S för organisation Oftanödvändigt ont istället för något som tillför nytta till organisationen.
Min inriktning ärdrig får bli ett självändamål.
Etar istället sikte på att stödja organisationens mål genom att utveckla och skydda informationshanteringen.
Med tjänster som nulägesanalys,ning och enligt ISO/IEC 27001 och 27002 kan jag hjälpa din organisation att få en skräddarsydkan även ge stöd införsom kommer att ställa stora krav på de allra flesta

MENU MENU Sök efter:

Jag har alltid haft svårt för den oreflekterade gruppkänslan, när tillhörigheten till en grupp blir så viktig för ens (yrkes)identitet att det skuggar tankens klarhet.
Tyvärr tycker jag att säkerhetsbranschen ofta drabbas en överdriven gruppkänsla som leder till ett grupptänk och inte minst av en oförståelse för hur det ser ut i ”verkligheten”.
Att predika för kören, d.v.s.
för andra säkerhetsmänniskor, är enklare än att öppet diskutera säkerhetsfrågor med människor som har andra och kanske viktigare prioriteringar än säkerhet.
Själv måste jag erkänna att jag grips av en skamkänsla över att erbjuda lösningar som tar så mycket tid från kärnverksamheten, dessutom med oklart resultat.
Trots att säkerhetsbranschen av tradition är högerlutande, vilket i normala fall skulle leda till ett ifrågasättande av byråkrati, krångel, förmynderi och slöseri med skattemedel, så godtas orimligt insatskrävande säkerhetsåtgärder i just skattefinansierade verksamheter.
Ganska hemmablint kan man tycka.
Låt mig bara ta några exempel.
I Sverige finns runt grundskolor.
Såsom praxis och stöd är utformade ska då informationsklassning genomföras om inte i samtliga grundskolor så åtminstone per förvaltning eller grundskoleområde, gärna med stöd av SKR:s KLASSA.
Många kommuner väljer dessutom att ta in konsulter för att genomföra klassningarna med KLASSA för dyra pengar och utan att den så viktiga dialogen uppstår mellan verksamhet och informationssäkerhetsansvarig.
Åtgärderna som levereras ur KLASSA är inte i de flesta fall konkreta utan snarare på en nivå som kräver en egen utredning för framtagning av åtgärder hos kommunen som använder verktyget.
För mig känns det som en mycket dyrbar metod som ger ett resultat som i bästa fall är tveksamt.
Som jag tidigare betraktar jag inte det som ett sätt att effektivisera säkerhetsarbetet och föreslår andra möjligheter.
Några andra som inte är så ängsliga för att ta säkerhetsresurser i anspråk är MSB.
Myndigheten har nu tagit fram en egen som såvitt jag kan se inte har något vetenskapligt stöd (däremot en närmast rörande metodbeskrivning med formel och allt).
Det framgår inte heller varför man inte tydligare anslutit till ISO 27004 som visserligen nämns men lämnar få spår i utformningen.
MSB har gått så långt att man skrivit in ISO 27001/27002 i sin föreskrift för statliga myndigheter så det skulle känts rätt logiskt att man då gått all in i standardfamiljen även då det gäller uppföljning.
Rapporten är ett svar på ett regeringsuppdrag: Detta skulle kunna tolkas som något som liknar frivillig tillsyn eller revision men istället har MSB knåpat ihop något som enligt min bedömning (jag har ändå rätt många år i mätbranschen) kommer att ta avsevärd tid att hantera för de organisationer som väljer att delta utan egentlig nytta.
Ja, visst får ledningen en överblick men även den som är mest besatt av mantrat ”ledningens genomgång” måste någon gång landa i att det är praktiska åtgärder som måste vidtas för att förbättra säkerheten – det räcker inte att rapportera aldrig så mycket.
Jag vet hur betvingande det är med spindeldiagram, jag har stått inför otaliga ledningsgrupper och showat med gott resultat, men det som gav verklig nytta var något annat.
Det var de insatser vi lade ner på att skriva detaljerade rekommendationer noggrant anpassade efter den specifika organisationens förutsättningar och risker.
Efter att ha läst MSB:s rapport kan jag inte förstå hur denna typ av frågeställningar öht ska kunna besvaras och vad eventuella svar skulle kunna ha för kvalitet: Hur räknar man ens procent på åtgärder?
Är åtgärden att sätt lås på ett dokumentskåp lika mycket värd som att ändra backup-rutiner liksom?
Måste åtgärderna att ha varit fullständigt genomförda för att räknas eller räcker det att de är påbörjade?
Om det endast fullständigt genomförda åtgärder som ingår kommer då organisationen att prioritera kortsiktiga åtgärder och välja bort de som tar lång tid men som kanske har större betydelse för säkerheten?
Att med så många grundläggande osäkerhet försöka tillämpa en formel som denna ger mig ett intryck av ett helt verklighetsfrämmande projekt.
Ett tredje ack så resurskrävande villospår är de externa revisioner som många organisationer väljer att göra.
Det är ett enkelt men kostsamt beslut att ta för ledningen.
Och när man ser på leveranserna från inte minst större välrenommerade företag blir man ofta beklämd.
Rapporterna, som inte sällan kommer i power point-format, är så uppenbart standardrekommendationer som av juniora konsulter klippts samman till något som inte är anpassat till kundens verksamhet och i vissa fall inte ens till svensk kontext.
Hur svårtolkade (en eufemism) rapporterna kan vara tyder den absurda upplevelse som jag stött på när ett revisionsbolag anlitas för att uttolka ett annat revisionsbolags rapport och försöka göra om den till något som liknar förslag på begripliga åtgärder.
Och nej, det blev inte så mycket begripligare i nästa led.
Trots den bristande kvaliteten i många revisionsrapporter får de orimligt stor betydelse i många organisationer.
Ledningar tar dem på stort allvar och tycker sig ha fått ett underlag både för den så omtalade ”benchmarketingen” och för att att kunna vidta rätt säkerhetsåtgärder.
Det är inte så konstigt; ledningen tycker sig ha betalat dyrt för att få en professionell genomgång av ett område som man själv i de flesta fall är dåligt insatt i. Att ställa kritiska frågor är inte aktuellt, särskilt om det skulle kunna avslöja ens egen bristande kunskap.
Vid ett inte oväsentligt antal tillfällen har jag tyckt när jag läst rapporterna att de varit mer eller mindre vilseledande när det gäller vilka åtgärder som rekommenderas.
Eftersom de som utfört revisionen på ett industriellt sätt inte haft möjlighet att sätta sig in i kundens förutsättningar kan fokuseringen på de prefabricerade åtgärderna leda till både dubbelarbete när vissa element faktiskt redan finns på plats men under annan benämning än revisionsbolagets och till att väsentliga risker missas.
Dessutom är hänsyn sällan tagen till beroendeförhållandet mellan olika åtgärder, något som kan göra att kundens åtgärdsarbete blir alldeles i onödan ineffektivt.
Ibland betonar revisorerna väldigt specifika åtgärder som den som arbetar med säkerhet i organisationen vet att man redan klarat av på annat sätt eller att avsaknaden av åtgärden innebär en mycket liten risk.
Detta går dock inte fram till ledningen som sätter en större tillit till den ytliga granskningen än till den egna personalens bedömningar – onödig kraft läggs då på att checka av åtgärdsförslagen istället för på att reducera verkliga risker.
Säkerhetsarbetet kan därmed snedvridas på avgörande sätt för lång tid fram över.
Detta är bara tre exempel, det finns många fler metoder och krav som kan ses som på det hela taget tämligen improduktiva.
Det är naturligtvis inte en slump att compliance och rapportering är så populärt.
Det är betydligt lättare att ”granska” än att skapa fungerande säkerhetsåtgärder – tro mig, jag har varit på båda sidorna.
Ibland skulle jag vilja gå så långt som att det borde vara förbjudet föreslå metoder och åtgärder för den som inte själv stått i det praktiska slitet att försöka förbättra säkerheten i en faktiskt existerande organisation.
Det är först då en djupare förståelse för hur komplicerat det är att förbättra den verkliga säkerheten, inte bara den som finns i kolumner och poängsättning.
Säkerhetsbranschen har anammat synsätten som leder till största nackdelen med NPM med oklara rambeskrivningar, mätningar och rapporteringar en masse.
Trots att aktörerna i branschen som sagt ofta i andra sammanhang klagar på administration tycks man blind för den negativa byråkrati man själv skapar och som äter upp resurserna som skulle gjort så mycket större nytta i kärnverksamheten.
Informationssäkerhetskraven såsom de ser ut idag trängs med likartade strukturer för hållbarhet, miljö, jämställdhet, ekonomi m.m.
som alla är viktiga men samtidigt tar kraft från det egentliga uppdraget.
Det är tyvärr inte så stor risk att vi råkar ut för något ansvarsutkrävande men vi borde verkligen se oss i spegeln och ställa frågan om vi är närande eller tärande.
Sannolikt mest det senare vilket borde sporra oss till att tänka på att varje timme vi tvingar alternativt uppmuntrar andra till att lägga på att svara på frågor och rapportera tas från en sjuksköterska eller lärare eller någon som producerar något vettigt.
Tre rapporter rörande obligatorisk incidentrapportering har kommit sedan årsskiftet: två från MSB och en från IMY (Integritetsskyddsmyndigheten).
Spännande läsning men säger rapporterna något väsentligt som jag kan dra nytta av i mitt säkerhetsarbete?
Under senare år har det nationella och även europeiska säkerhetsarbetet präglats av en klockarkärlek till obligatorisk inrapportering av incidenter.
Själv känner jag mig mer ambivalent.
Å ena sidan kan det tyckas som en självklarhet att det ska finnas en nationell lägesbild över vad som händer både för det akuta läget men även för att dra nytta av erfarenheterna som det brukar heta.
Å andra sidan är incidentrapportering en aktivitet som rusar i komplexitet när man bara börjar skrapa på ytan, det räcker att försöka rigga en fungerande process i den egna organisationen för att inse det.
Se bara den enkla processbeskrivning jag tagit fram som stöd för den enskilda organsiationer: Tyvärr måste jag medge att jag inte är alldeles övertygad om att kvantitativa insamlingar av något så komplext som incidenter är det bästa sättet att bringa klarhet i vilka verksamhetsstörningar och andra typer av realiserade hot som kan kopplas till it-incidenter (vilket är det som MSB och NIS-direktivet fokuserar på).
Förutom att det tynger de inrapporterande verksamheterna i kritiska faser undrar jag generellt om kvaliteten på rapporteringen och vilken säkerhetshöjande effekt den har.
Generellt är det ett problem att det saknas systematik i det nationella säkerhetsarbetet.
I myndigheter, kommuner, regioner och företag försöker vi få till en PDCA-snurra med ett tydligt C men i de nationella satsningarna för att stödja säkerhetsarbetet tycks inte utvärdering ses som ett nödvändigt steg.
För att ta ett par exempel så har jag frågat MSB om vilken utvärdering som skett av det s.k.
Metodstödet som ligger ute Informationssäkerhet.se och vilken säkerhetshöjande effekt det haft samt ställt samma typ av fråga till SKR angående KLASSA.
I båda fallen var svaret att man inte genomfört någon utvärdering och några planer i den riktningen nämndes inte heller.
Det finns en risk att mycket blir vad jag brukar kalla ”religiös säkerhet”, d.v.s.
åtgärder som vidtas i god tro men där det krävs just tro istället för evidens för att se resultaten.
Ofta handlar det om det som jag redan skrivit om som Graeberskt: när arbetet stannar vid dokument som skrivs, mallar som fylls i, enkäter som besvaras och engångsutbildningar som inte leder till någon djupare kunskap.
När en kommun glatt skriver om att deras styrande dokument blivit ”godkända” av tillsynsmyndigheten men att man inte tittat på hur det faktiskt ser ut i verkligheten tycker jag mig leva i Graebers värld av BS jobs.
Det finns en risk att nationell incidentrapportering blivit så populär just för att den kan röra sig i denna värld.
Vad kommer man då fram till i rapporterna?
För att få litet grepp om frågan har jag gjort en sammanställning av 2020 års inrapporterade incidenter: Att viktiga samhällsfrågor alltmer tenderar att diskuteras utifrån andra premisser än fakta och kunskap är djupt oroande.
Jag ger därför Fia Ewald Consultings julgåva till två aktörer som verkligen bidrar till att ge oss faktabaserade underlag: Tankesmedjan Balans och Wikipedia får 10 000 kronor vardera.
Hoppas att detta inspirerar andra att ge stöd till dessa förkämpar för förbättrad kunskap!
Det kan knappast ha förbigått någon att information blivit det nya guldet och att det finns extremt starka både offentliga och privata intressen som vill vara med och ta hem vinster från den resursen.
Framför allt den information som skapas i offentlig sektor är extra åtråvärd dels för att den är så omfångsrik, dels för att den ofta innehåller detaljerade uppgifter om olika allmänt intressanta förhållanden.
Intresset för att använda den offentligt producerade informationen som här kallas ”öppna data” har inom EU formaliserats genom PSI-direktivet som även blivit svensk lag sedan 2010.
En utredning tillsattes på klassiskt och bra svenskt maner 2019 för att bl.a.
genomföra en översyn och utvärdering av lagen (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen, analysera behovet av för-fattningsändringar för att genomföra öppna data-direktivet och säkerställa en ändamålsenlig nationell reglering som, ur ett rättsligt perspektiv, främjar och stödjer den offentliga förvaltningens arbete med att tillgängliggöra öppna data och annan digital information samt lämna förslag till nödvändiga författningsändringar.
Den lämnades över i höstas under beteckningen SOU 2020:55 Innovation genom information och har knappast lett till några större rubriker.
Att vidareförädla data kan ju tyckas som en högst okontroversiell inriktning för ett alltmer digitaliserat samhälle men ändå är det vissa frågor som skaver alltmer ju mer jag funderar på dem.
I utredningen ges följande beskrivning av syftet med offentlig verksamhet ska lägga resurser på arbetet med öppna data: I portalparagrafen till PSI-lagen anges att syftet med lagen är att främja utvecklingen av en informationsmarknad genom att underlätta enskildas användning av handlingar som tillhandahålls av myndigheter.
Redan där kan man haja till.
I Sverige har vi en mycket lång tradition av att utnyttja offentlig information för forskning och allmänhetens insyn men vad som här avses skapas är en ”informationsmarknad”.
Observera att med enskilda avses inte medborgare som vill ha insyn enligt offentlighetsprincipen vilket klargörs längre fram i utredningen utan endast företag som ska använda informationen.
Den tes som drivs i direktivet och i efterföljande lagar och utredningar är att det finns ett starkt samhällsintresse av att skapa en ”informationsmarknad” som ska försörja nationella och internationella företag med råvaran offentlig information till ett självkostnadspris.
I en som tagits fram av Lantmäteriet på uppdrag av regeringen blandas ändå syftena ihop så att det framstår som att öppna data skulle förbättra möjligheten till insyn: Öppna data skapar värde på flera olika plan i samhället.
Det rör sig dels om rena ekonomiska värden i form av stimulerad tillväxt och ökad effektivitet som ger aktörer möjlighet att utveckla nya produkter och tjänster.
Dessutom bidrar öppna offentliga data per definition till ökad transparens och demokratisk kontroll genom att öka insyn och förståelse för offentlig förvaltning.
Den ökade insynen innebär nya möjligheter för externa aktörer att mäta policyeffekter och granska, upptäcka samt motverka oegentligheter inom offentlig sektor.
För mig framstår som mycket tydligt att det finns framför allt tre olika syften med extern åtkomst till myndigheters information: Av dessa syften har under de senaste decennierna det sistnämnda syftet varit extremt prioriterat (även om forskning och företagande ofta kan vara överlappande).
I de olika initiativ som bedrivits i Sverige rörande digitalisering har jag inte på ett enda ställe sett några konkreta förslag för att utveckla lösningar för att stärka offentlighetsprincipen.
Detta trots att öppenheten blivit ordentligt naggad i kanten bland annat genom Sveriges EU-inträde genom avsiktliga och oavsiktliga anpassningar till den betydligt mer begränsade insynsmöjlighet som finns i övriga EU-länder (bortsett från Finland).
När man pratar om ökad delaktighet i digitala sammanhang är det alltså inte ökad insyn som diskuteras utan i de allra flesta olika tekniska lösningar som lanseras för offentlig service.
Vilka möjligheter som finns att digitalt utveckla demokratin är ett ämne som ligger mig varmt om hjärtat men jag skulle här även vilja peka på ytterligare en aspekt där den nuvarande satsningen på öppna data rymmer stora intressekonflikter.
Eftersom jag skulle vilja belysa den på ett principiellt plan och inte fastna i inhemska perspektiv väljer jag att ta ett exempel från USA.
I Erik Åsards nya bok Med lögnen som vapen som handlar om Donald Trump och hans påverkan på det amerikanska samhället.
I ett avsnitt berättar Åsard om Trumps märkliga tillsättningar av ledande tjänstemän.
Detta är nog så intressant men i det som jag fastnat för i detta sammanhang är när han föreslog Barry Myers, en miljonär och gammal kompis, som chef för NOAA som är den amerikanska motsvarigheten till SMHI.
Myers var av en händelse även ägare till ett privat företag som säljer väderrapporter som en kommersiell tjänst.
Enligt Åsard såg Myers rapporteringen från NOAA som en svår konkurrent eftersom myndigheten tillhandahöll samma data kostnadsfritt (enligt lag) som Myers paketerade om och marknadsförde i sin egen tjänst.
Som Åsard skriver: Rapporterna från the National Weather Service är kostnadsfria, men AccuWeather lyckades genom förförisk och inte sällan vilseledande marknadsföring få kunderna att betala för dem.
Utan den statliga väderlekstjänsten och dess skattefinansierade tillgångar (radar, väderstationer, väderballonger) skulle inte företaget ha mycket att erbjuda.
För att skilja ut sig från konkurrenterna började AccuWeather tillverka prognoser som sträckte sig 45 och till och med 90 dagar framåt.
Det är en metod som seriösa meteorologer har dömt ut och liknat vid att använda handläsning eller horoskoptydning.
Vidare skriver Åsard: Till skillnad från bolagen i den privata sektorn är the National Weather Service enligt lag förbjuden att göra reklam för sina tjänster.
Det har utnyttjats av företagare som Myers, som under 1990-talet offentligt började argumentera för att den statliga myndigheten borde förbjudas att göra några väderprognoser överhuvudtaget (utom vid fara för liv och egendom).
Sådan information borde vara en fråga mellan kunderna och de privata företagen, menade han.
När den konservativa republikanska senatorn Rick Santorum lade fram ett snarlikt lagförslag 2005, fick det entusiastiskt stöd av Myers.
Förslaget föll, men Myers tvekade alltså inte att stödja en lag som flagrant skulle gynnat hans eget företag och tvingat skattebetalarna att betala dubbelt för en tjänst som den statliga myndigheten tillhandahållit gratis.
Som Michael Lewis påpekar har privata företag i branschen ett ekonomiskt intresse av väderkatastrofer som deras offentliga motsvarigheter saknar.
Ju större och farligare orkaner, desto fler kunder kommer att vilja betala för att få varningar om dem.
Och ju fler kunder desto större vinster.
Lewis föreställer sig en dystopiskt slut – ”dagen då du bara får den väderleksrapport du betalar för”.
Lyckligtvis har vi ingen Trump i Sverige (än).
De många intressekonflikter som Erik Åsard så elegant lyfter fram i ett kort stycke i sin bok saknas är dock helt relevanta för Sverige när det gäller öppna data.
Av någon anledning har de utredningar som genomförts sedan direktivets tillkomst undvikit att ta upp dessa frågor trots att de har stor betydelse för både samhälle och den enskilde individen.
Att låta marknadskrafter bli dominerande när det gäller hur offentlig information ska användas skapar intressekonflikter.
”Öppna data” kan leda till motsatsen, att de undanhålls från medborgarna för att de utgör råvara för ett företag.
Och kommer det att ställas krav på myndigheterna att de måste upprätthålla informationshantering som annars skulle effektiviseras bort för att det skulle påverka företag som använder informationen negativt om den togs bort?
Det är inte heller säkert att låta multinationella försäkringsbolag kostnadsfritt ta del av patientuppgifter är något som gynnar några andra än just försäkringsbolagen.
Som alltid när det gäller intressekonflikter finns det inget entydigt svart eller vitt i hanteringen av öppna data även om det i det svenska sammanhanget hittills framställts som helt utan komplikationer att langa ut vår viktigaste gemensamma resurs gratis på marknaden.
Själv har jag svårt att förstå hur det kan utgöra en marknad överhuvudtaget, snarare en nationell välgörenhetsbasar.
För att skapa en mer mångdimensionell bild av öppna data där olika intressen kartläggs och ställs mot varandra på ett öppet (!)
sätt bör ett mer gediget underlag än olika tas fram om det verkliga ekonomiska värdet.
Därefter kan en offentlig diskussion föras om hur vår gemensamma informationsbonanza ska användas så att alla våra olika intressen tillvaratas – inte bara de ekonomiska för vissa aktörer.
Efter långt om länge släppte nu äntligen Datainspektionen (snart Integritetsskyddsmyndigheten) sina av åtta vårdgivare.
Även om jag var väl förberedd på innehållet så är det en chockerande dyster läsning när den fulla konsekvensen av vad jag redan visste blev förtydligad på detta sätt.
Låt mig först understryka att det Datainspektionen ställer krav på inte är några nya krav för vården utan de har funnits sedan länge bland annat i Socialstyrelsens och i PuL.
De brister som framkommer i granskningar har inte heller de nyhetens behag utan är de samma som i de granskningar av vården som Socialstyrelsen respektive Datainspektionen gjorde typ 2012.
Det är alltså inte så att vårdgivarna är tagna på sängen med helt ny rafflande krav utan det är väl kända försummelser som regioner och vårdgivare medvetet underlåtit att rätta till.
Egentligen räcker det att läsa följande stycke i granskningen gällande Capio S:t Görans Sjukhus AB för att se vidden av hur undermålig säkerheten och skyddet för integriteten är: Ytterligare försvårande omständigheter är att behandlingen av uppgifter om patienter i huvudjournalsystemet hör till kärnan i en vårdgivares verksamhet, att behandlingen omfattar många patienter och möjligheten till åtkomst avser en stor andel av de anställda.
Inom ramen för den inre sekretessen har mer än 2700 medarbetare åtkomst till uppgifter som rör närmare 490 000 patienter.
Utöver det har mer än 600 medarbetare, inom ramen för den sammanhållna journalföringen, åtkomstmöjligheten till uppgifter rörande cirka 3 patienter i TakeCare.
För att strö ytterligare salt i såret kan man läsa om Aleris sjukvård AB: Aleris har ett dokument som benämns ”Behovs-och riskanalys-TakeCare”.
Dokumentet har sett ut som det gör idag sedan den 28 maj 2012 då Take Care infördes och gäller både för den inre sekretessen och inom ramen för den sammanhållna journalföringen.
Av dokumentet framgår de olika profilerna, så kallade behörighetsgrupper.
Dokumentet visar bland annat läsrättigheterna samt skrivrättigheterna för respektive behörighetsgrupp.
Alla profiler förutom tekniker har tilldelats läsbehörighet till uppgifterna i TakeCare.
Då ska noteras att man hade 796 350 unika patienter i maj 2019 och 1058 aktiva användarkonton av vilket det absoluta flertalet alltså har läsrättigheter till samtliga patienter oavsett om de har en vårdrelation eller inte.
Att Aleris slänger fram en oförändrad riskanalys från 2012 säger nog det mesta om nivån på säkerhetsarbetet liksom när Capio hävdar att de visst har en behov- och riskanalys men att den av okänd anledning är borttappad.
Capio St Göran fick 30 miljoner i sanktionsavgift och Aleris Sjukvårds AB 15 miljoner (plus ytterligare 12 miljoner från sitt andra bolag Aleris Närsjukvård AB) men de är långt ifrån unika.
Bristerna hos övriga granskade vårdgivare (granskningen av Kry ännu ej beslutad) bekräftar det vi redan vet bland annat från tidigare granskningar.
Säkerheten i den svenska sjukvården är helt undermålig och det gäller inte bara vad gäller integritetsrelaterade frågor som de Datainspektionen granskat utan generellt.
Jag har begärt en större del av underlagen från Datainspektionens granskningar och ska fördjupa mig ytterligare i dem.
I detta blogginlägg ska jag ta upp några fenomen som aktualiseras i de granskningsfynd som presenteras i de offentliggjorda rapporterna.
Utgångspunkten är att den usla säkerhet som indikeras genom granskningarna är en följdriktig konsekvens av ett konsekvent förhållningssätt till integritet och säkerhet i vården från olika aktörer.
För att förstå hur samtliga granskade vårdgivare (Kry inte inräknade än så länge) så flagrant bryter mot lagstiftningen måsta man känna till att lagtrots när det gäller integritet och säkerhet i digitala lösningar är normen i den svenska vården – inte undantaget.
Att endast medarbetare med vårdrelation eller något annat mycket tydligt definierat skäl ska ha åtkomst till patientuppgifter är ett krav som har kommit med dataskyddsförordningen utan har funnits i princip sedan journalerna övergick från att vara räkenskapsmaterial till att vara vårddokumentation.
Vi rör oss alltså någonstans i början av förra seklet (hur gärna skulle jag inte vilja gå in på detaljerna i denna historia men inser att alla kan inte vara totala journalnördar – skulle någon vilja veta mer så får ni skicka ett mail).
På den tiden pappersjournalerna gällde fanns de inlåsta i journalarkiv med strikta regler för vem som fick ta del av dem.
Det kan sägas att ha rått en minimalistisk åtkomstprincip innan begreppet var uppfunnet.
Återkommande klagomål fanns på att det var för många som ändå kunde slinka in och läsa det de inte fick men möjligheten får ändå säga vara mikroskopisk jämfört med det som skildras i de aktuella granskningsrapporterna.
När de tidiga journalsystemen introducerades på slutet av 1980-talet hade de inte funktionalitet för en effektiv behörighetsstyrning på individ- och rollnivå vilket var ett första steg på färden mot dagens situation.
Istället för att tvinga leverantörerna tillbaka till ritbordet för att konstruera system som följde lagstiftningen började man (med ”man” avses i det följande den grupp av leverantörer, it-chefer, byråkrater, politiker och andra makthavare inom vården som ansvarat för digitaliseringen) tänja på normerna och hävda att det gick lika bra att styra med logguppföljning som med behörigheter.
Istället för att organisatoriskt och tekniskt begränsa åtkomsten hävdade man att logguppföljning var en jämförbar säkerhetsåtgärd (!).
Denna för svensk sjukvård unika bedömning var ett fatalt vägval ligger bakom en stor del av de säkerhetsproblem som finns i vården idag.
De negativa konsekvenserna begränsas inte enbart till att det på dryga tjugo år utvecklats de organisatoriska och tekniska lösningar som är nödvändiga för följa lagen och ha ens ett basalt skydd för patientuppgifterna.
Det har även lett till att man för att motivera det stora felsteget gjort dygd av nödvändigheten genom att hävda att ALLA inom sjukvården behöver tillgång till ALLA patientuppgifter hela tiden – allt annat vore en risk för patientsäkerheten.
I målande ordalag beskrevs hur nödvändig patientinformation inte skulle finnas tillgänglig för vårdpersonalen vid behandlingar olika slag vilket skrämde upp en hel del läkare och sköterskor som därmed köpte den konstruerade motsättningen mellan patientsäkerhet och integritet.
Det ledde till en ond spiral där krav på korrekt behörighetshanteringen inte ens ställts vid upphandlingar och stora utvecklingsprojekt trots att lagstiftningen är tydlig på denna punkt vilket i sin tur knappast motiverat leverantörer av vårdinformationssystem att utveckla sådan funktionalitet.
Det är därför en särskild glädje att Datainspektionen i granskningen av Capio S:t Göran slår fast att loggning kan ersätta att begränsa åtkomst via behörighetshantering: Capio S:t Görans anger att de använder systematisk logguppföljning för att reducera risken för att medarbetare otillbörligen tar del av patientuppgifter.
Datainspektionen konstaterar att patientdatalagen inte lämnar något utrymme förvårdgivare att kompensera frånvaron av behovs-och riskanalys, eller en allt för bred tilldelning av behörighet tillåtkomst, med en omfattande logguppföljning.
Inte heller fiktiva åtkomsthinder som ”journalfilter” eller ”aktiva val” godkänns av Datainspektionen som tillräckligt för att begränsa åtkomsten vilket kan vara en bra tumregel att ha med sig in framtida projekt.
Det känns också bra att Datainspektionen drar undan mattan för det i digitala sammanhanget urgamla svepskälet för att ha lagstridig hantering av personuppgifter, nämligen att hävda att man har en akutverksamhet.
Ytterligare en konsekvens är att den lättsinniga hållningen till lagstiftning sedan dess blivit en tradition inom vård-it.
Ett aktuellt exempel är när Region Skåne först beslutat att medvetet gå emot bättre vetande och upphandla en som går emot dataskyddslagstiftningen och sedan i sista minuten sig.
Hur mycket denna utsvävning kostat i pengar och förlorad tid är oklart.
Argumentationsfelen för att använda exempelvis molntjänster är desamma som medvetet praktiserats under par decennier i vården: ”ja men det blir ju bättre än det vi har” och så bygger man fast sig i bristfällig lösning som det tar åratal att ta sig ur istället för att ställa rätt säkerhetskrav från början och se till att de levereras.
Själv kan jag inte räkna alla gånger som jag, när jag påpekat brister i tänkta lösningar, fått kommentarer som ”ja men det är ju bättre än det som finns idag”, d.v.s.
att legitimera kända risker i nya lösningar med den falska jämförelsen med dagsläget.
Detta är ytterligare en väsentlig bakgrund till dagens situation och som bygger på samma knäppa riskhantering som är den andra återkommande bristen i Datainspektionens aktuella granskningar, nämligen risk- och sårbarhetsanalyser där vårdgivarna återkommande endast analyserar och inte risker.
För en sansad människa framstår det kanske som obegripligt varför man över huvud taget bryr sig om att göra riskanalyser om man inte är intresserad av att identifiera och reducera risker.
Jag ser det mer som en del i den svenska digitaliseringskulturen där det inte får finnas problem utan vi ständigt är glittrande glada.
Och har vi inte identifierat några risker så behöver vi ju inte några säkerhetsåtgärder och då är ”utmaningen” (inte problemet) obefintlig.
Tydliga ansvarsförhållanden är grunden för all fungerande säkerhet.
Saknas denna förutsättningen kommer säkerheten oundvikligen att bli lidande och det går inte heller att genomföra ett ansvarsutkrävande.
I den trassliga spaghettistruktur som är svensk vård-it blir detta synligt även i Datainspektionens granskningar.
En konstruktion som skulle behöva synas beskrivs i rapporten om Aleris Sjukvård AB: Federation Samverkan TakeCare (FSTC) är beställare av journalsystemet Take Care och Compu Group Medical (CGM) är leverantör av journalsystemet och ansvarar för de funktioner som systemet har för att styra behörigheter.
Alla funktioner i journalsystemet är skapade av CGM, men det är Aleris som väljer vilka funktioner som en viss personalkategori ska ha tillgång till bland de funktioner som finns inlagda.
Aleris har inga tekniska möjligheter att göra ändringar i Take Care eftersom Aleris inte har någon rådighet över journalsystemet.
Aleris är endast användare av systemet.
Aleris har inte kunnat ställa några krav på CGM vid upphandlingen av journalsystemet.
Bolaget har till exempel påpekat att det funnits problem med journalsystemet bestående i, så vitt avser behörighetstilldelningen, att systemet inte kan separera läs-och utskriftbehörigheter för en läsfunktion.
CGM har inte varit intresserade av att ändra detta trots synpunkter från Aleris.
Det är FSTC som kan beställa ändringar av funktionerna och det är sedan upp till CGM om de vill utföra ändringarna eller inte.
Aleris har en representant i FSTC som kan framföra Aleris önskemål.
Aleris har dock inte fått något gehör för bolagets synpunkter.
Här förefaller det alltså omöjligt för vårdgivaren som även är personuppgiftsansvarig att genomdriva sina säkerhetskrav eftersom en organisation utan formellt ansvar förhindrar det.
Om vi nu hypotetiskt litar blint på att Aleris verkligen ställt rätt säkerhetskrav är det alltså FSTC som drivs av Region Stockholm som inte bara förorsakat kränkningar av ett mycket stort antal patienters integritet utan också ”användarna” Aleris sanktionsavgifter.
Det borde finnas ett intresse åtminstone från ”användarna” att reda ut ansvarsförhållandena och skapa garantier för att man kan få påverkansmöjlighet på de gemensamma it-systemen så at de följer lagstiftningen även om regionen inte prioriterar den frågan.
Trots att det i övrigt finns en mycket god säkerhetskultur i vården har man alltså inte lyckats inympa informationssäkerhet i den.
Det huvudsakliga ansvaret för detta ligger naturligtvis hos regionerna som sjukvårdshuvudmän tillsammans med SKR som sedan mitten av 90-talet utlovat gemensamma regler för informationssäkerhet men hittills inte lyckats uppvisa något som ens liknar det.
Är det någonstans där Datainspektionen bör göra nästa granskning så är det hos SKR:s it-bolag Inera.
Detta är särskilt angeläget eftersom lösningar som NPÖ som tillhandahålls av Inera saknar adekvat behörighetshantering (se ovan) som inte bara drabbar den enskilde vårdgivare utan samtliga vårdgivare som använder.
En annan aktör som väcker viss tveksamhet är IVO vars granskningar hittills inte alls verkar ha genomförts på samma grundliga nivå som Datainspektionen.
Några granskade verksamheter hänvisar till granskningar som IVO gjort och som på något sätt skulle gett klartecken för den säkerhetsnivå som de nu ligger på.
Förhoppningsvis kan tillsynsansvaret i och med NIS-direktivet leda till att IVO utvecklar sina granskningsmetoder.
Jag tror att det är centralt att myndigheterna samverkar här och ser informationssäkerheten i ett helhetsperspektiv och förstår att det är en sammanhängande säkerhetsarkitektur där brister i ett hänseende skapar risker på flera olika sätt.
Det skulle även vara en fördel att ha gemensamma granskningsmetoder och kanske t.o.m.
genomföra granskningar tillsammans.
Många tillsynsmyndigheter kan lära sig mycket genom att studera med vilken noggrannhet och stringens Datainspektionens granskningar genomförts.
I rättvisans namn ska sägas att vården inte fått särskilt mycket hjälp från myndighetshåll att utveckla sin säkerhet.
Jag har tidigare om att MSB:s knytning till ISO 27000 och det metodstöd som utvecklats i denna anda knappast är till hjälp för vårdens infrastruktur och jag kan inte heller se andra satsningar som tagits fram för att stödja denna i sanning samhällsviktiga verksamhet.
Datainspektionens granskningar som endast rör ett par aspekter av säkerheten borde ge upphov till ett större samordnande projekt lett av myndigheter för att långsiktigt höja vården säkerhet eftersom detta är en fråga som regionerna med all önskvärd tydlighet visat att de inte klarar av.
En helt nödvändig insats är att tvinga regioners och SKR:s makthavare att erkänna att det finns ett mycket stort säkerhetsunderskott i vården och istället för att stoppa huvudet i ta sitt ansvar och börja bygga för framtiden.
Under de (alltför) många år jag arbetat med informationssäkerhet har ingen företeelse varit mer omhuldad än de standarder som använts som stöd i arbetet.
När jag började var det BS 77 99 och nu har vi en hel 27000-familj.
Även om jag under alla år har haft en god hjälp av standarderna har jag aldrig riktigt kunna gripas av samma entusiasm som de många, inklusive utgivare av myndigheters föreskrifter, som sett standarderna som ett magiskt spö som det i princip räcker att hänvisa till så försvinner säkerhetsproblemen.
Jag har redan skrivit ett antal inlägg, bl a och berör den ganska problematiska övertro som finns i Sverige till standardens kraft att skapa bättre informationssäkerhet.
Med tiden har jag kommit att fråga mig om sättet att se på framför allt ISO 27000 kanske snarare stjälpt än hjälptt.
En rejäl tankeställare fick jag när jag hade uppdraget att försöka få in säkerhetsperspektivet i en utredning om e-hälsa.
Få saker har jag misslyckats så kapitalt med och en av orsakerna, förutom mina egna brister, var att både utredaren och utredningens sekretariat så fort frågan kom upp smashade bort den som en irriterande fluga med: vi gör en hänvisning till att standarder ska användas.
Eftersom jag inte förstår en vink när jag får den eller snarare bryr mig om den så fortsatte jag och försökte även få ett förtydligande vilka standarder som skulle användas och hur.
Som ni säkert förstår fick jag aldrig några svar på mina frågor utan det ansågs helt tillfyllest att säkerhetsproblem skulle hanteras via ”standarder”.
Självklart förstår jag lockelsen i att det skulle kunna fungera så.
Problemet är att det inte gör det.
Om man tittar bakåt så var standarder i industrisamhällets begynnelse en typ av nationella och internationella överenskommelser om framför allt utformningen av tekniska produkter och mått.
En av mina favoriter är standarden för avstånd mellan hålen för .
Det är ju ett sant kaos som väntar om hålslagen utformas hur som helst och ingen vet vilka pärmar som kan användas för vilka papper.
Men vad händer egentligen när man flyttar över standardiseringsidéen från vidden för järnvägsspår till hur organisationer ska styra olika verksamhetsområden?
När standarder som framtagits utan kontroll från lagstiftare och den egna förvaltningen ska leva sida vid sida med den ordinarie styrningen?
I en mycket intressant från Örebros universitet har författarna (Andersson, Karlsson och Hedström) genom diskursanalys försökt förstå hur framtagandet av standarder i 27000-serien egentligen går till.
Som en bakgrund gör de en åtskillnad mellan s.k.
de facto-standarder som ta fram av ett företag eller flera företag tillsammans som har ett konkret behov av standardisering.
Den andra typen av standarder benämns de jure-standarder som kan utvecklas av olika lagstiftande organ alternativt myndigheter eller av oberoende standardorganisationer som ISO.
27000-serien är alltså en de jure-standard men ligger utanför det lagstiftande området.
Artikeln lyfter också fram att denna typ av standarder strävar efter att skapa en konsensus av vad som bland experter inom området anses vara ”best practice” vilket även framgår tydligt i arbetet med informationssäkerhetsstandarden: De jure standards play a central role in information security, and organizations are increasingly required to demonstrate compliance with them ( ; ).
Det kan alltså ifrågasättas vad standardens ställningstagande egentligen bygger, om dess anspråk på att vila på ”best practice” uppfylls.
Eftersom den inte bygger på evidens skulle dess USP bestå just i en erfarenhetsbaserad kunskap.
Om inte denna grund finns påverkas naturligtvis standardens legitimitet.
Senare i artikeln framgår på ett litet roande och samtidigt avslöjande sätt hur ytterst få som deltar i standardarbetet även om man tågat omkring på standardiseringsmötena som en fåmansprocession under beteckningen ”Sweden”.
Artikelförfattarna gör en maktanalys av själva arbetet med framtagandet av standarder men jag tycker att en vidare maktanalys av hur en mycket liten krets knutna till standardarbetet har haft ett helt dominerande inflytande över svensk förvaltnings arbete med informationssäkerhet.
Resultatet har blivit en hegemonisk doktrin om att ISO 27000 är den enda framkomliga vägen att arbeta med informationssäkerhet i svensk förvaltning trots att denna doktrin vare sig bygger på evidens eller ”best practice”.
Så här 11 år efter att ISO 27000 pekades ut som vägledande för svenska myndigheters arbete med informationssäkerhet i MSB:s föreskrift MSBFS 2009:10 (ytterligare markerat i de följande föreskrifterna fram till den nu gällande MSBFS 2020:6) så tycker jag inte det är uppenbart att det var ett helt lyckat vägval.
Detta bygger jag på attt knappast kan ses som särdeles framgångsrikt mätt med tillgängliga måttstockar, d.v.s.
de granskningar som gjorts både generellt och de som gjorts med inriktning på samhällsviktiga sektorer som exempelvis sjukvård.
Låt oss komma ihåg att detta inte är den enda möjliga vägen att välja.
I Finland antogs i år en av informationshanteringsnämnden under finansministeriet som explicit undviker att hänvisa till någon standard: referensramar och ger inga anvisningar om tekniska lösningar, som kan förändras till och med snabbt.
Utifrån en riskbedömning som görs från fall till fall ska varje myndighet välja tillräckligt säkra tekniska lösningar som är lämpliga i den aktuella situationen.
Jag kommer ihåg att ansvariga för Normen i Norge förde samma resonemang i sina reglervården, man ville inte referera till någon särskild standard.
Uppfattningen var att det var möjligt att plocka ut det man ville ha ur standarder utan att behöva ansluta sig till en helhet som inte kunde kontrolleras av norsk sjukvård.
När standarder lämnar tekniska specifikationer och övergår till organisatorisk styrning uppstår paradoxala effekter.
Jag tänker nu på att ISO 27000 innehåller mycket allmänna krav, att det ska finnas informationsklassning men inte hur den ska utföras eller vilken normskala som ska tillämpas.
Varje organisation ska själv ta fram sitt eget komplexa ledningssystem med de komponenter som anvisas i standarden men utformningen och tillämpningen kommer att se väldigt olika ut, det tror jag varje erfaren konsult kan intyga.
Istället för centrala regler som specificerar olika lösningar får vi alltså en mängd olika regelverk som ska användas i samma infrastruktur.
Standarden leder alltså sannolikt till mindre standardisering på grund av sin inriktning på enskilda organisationer istället för på helhet.
Bräckligheten i kunskapsunderlaget och det fragmentiserade resultatet är två orsaker att ompröva ISO 27000 ställning i den offentliga verksamhetensi Sverige.
Vi behöver inte kasta ut barnet med badvattnet men vi måste våga ifrågasätta doktrinen även om de som har byggt upp en stark ställning med hjälp av standarden riskerar att ta illa upp.
Informationssäkerhet är en för viktig fråga för att vi ska ha råd med heliga principer som inte tål att diskuteras.
Häromveckan kom en OECD-rapport där det framkom att Sverige enligt de måttstockar som användes inte var så bra på digitalisering.
Rapporten väckte förvåning och upprördhet i vissa kretsar.
Jag kan på sätt och vis förstå att det kan upplevas som en kalldusch med tanke på hur mycket offentlig ”digitalisering” haussas och sponsras.
Samtidigt får jag litet drygt medge att jag inte är såååå häpen.
Den svenska digitaliseringen har under decennier fört en haltande tillvaro trots att den ständigt varit omgiven av jublande kaskader av pepp.
Under dessa år har olika mystiska nationella organisationer skapats, marknadsförts och sedan dött utan att lämna några imponerande spår efter sig.
Ur minnet kan jag rada upp följande: Utöver detta har diverse ännu mer kortlivade initiativ tagits av regeringar i form av råd och kanske den mest luftiga av alla: en nationell CIO, en funktion som lyckligtvis evaporerade efter mindre än ett år.
Av allt detta finns idag bara DIGG kvar – en myndighet med oklart ansvar och mandat.
Efter att ha rört mig i både närmare centrum och och för det mesta i periferin av dessa cirklar så finns det vissa genomgående drag som jag tycker mig kunnat notera.
Bara uppräkningen av alla flyktiga organisationer som haft en förväntan på sig att samordna den svenska digitaliseringen visar på det kanske främsta problemet: bristen på kontinuitet.
Det har aldrig funnits en långsiktig plan med prioriteringar för hur den offentliga digitaliseringen ska rullas ut.
Bristen på strategisk inriktning skulle i sig kunna vara en strategi, att den svenska staten gjort en välavvägd bedömning att en organisk framväxt utan styrning av digitala lösningar på sikt skulle gynna samhället bäst.
Om detta har varit planen har den dock hållits väl dold.
Verkligheten tyder på, i alla fall för mig, att planering och tydlig inriktning hade varit mycket önskvärt för att skapa en fungerande digital infrastruktur.
Kanske var vi närmare en möjlighet att skapa en infrastruktur på slutet av 90-talet än idag.
Då fanns en medvetenhet om att Sverige hade unika möjligheter bland annat genom denna snabba spridningen av hemdatorer som skett då anställda fick möjlighet att med förmånliga villkor skaffa sig en egen dator via arbetsgivaren.
Då diskuterades hur en statlig e-legitimation skulle kunna införas som en central infrastrukturkomponent.
Själv tyckte jag att det var en rimlig förlängning av ett statlig åtagande: folkbokföring, personnummer och sedan e-legitimation skulle fullfölja en lång linje i svensk förvaltningshistoria som skulle kunna vara byggstenen för många andra lösningar.
Men sedan hände ingenting, varje år sas det att i september – då kommer den att komma!
Vet ej varför just september var en så bra månad för att lansera e-leg men i min något osäkra minnesbild var det så.
En myndighet (E-nämnden) bildades 2003 för att leva i två somrar med uppdrag att stödja utvecklingen av ett säkert effektivt elektroniskt informationsutbyte mellan myndigheter och mellan myndigheter och enskilda genom att beslut om vilka standarder för informationsutbyte myndigheter under regeringen skulle använda sig av.
Detta inkluderade även e-legfrågan.
Men som sagt någon statlig e-legitimation blev det inte då vilket jag är ganska övertygad berodde på ideologiska skäl.
Politiker av olika schatteringar gick all in för nyliberalism och ville hellre att ”marknaden” skulle hantera e-legitimationerna vilket säkert påverkade införande och fördröjde en säker infrastruktur-utveckling.
Att jag tagit upp denna gamla historia är mest för att peka på ett annat återkommande tema i den svenska digitaliseringen, nämligen att det saknats öppna och tydliga diskussioner om hur staten och marknaden ska samverka på bästa sätt för gynna samhället.
Istället har framtagandet av digitala lösningar skett i en ideologisk blindhet som lett mycket stora kostnader (tänk bara Hälsa för mig) utan att det lett till de resultat som eftersträvats.
Och vad är det då för resultat som eftersträvas?
Man skulle tycka att med den stora förväntan på digitalisering och AI som lösningen på alla problem liksom de miljarder som pytsats in att även utan plan så skulle det vara nödvändigt att ha någon slags tydliga mål som går att följa upp.
Så är dock inte fallet om man inte räknar det outsägligt fåniga målet att ”Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter” som tydligt.
Istället vimlar det av fluffiga utsägelser som digitaliseringen ska rädda allt från äldreomsorgen till exportindustrin och självklart skolan.
Exakt hur det här ska gå till beskrivs vad jag kan se varken av , eller digitaliseringsevangelisterna trots att man skrivit vad man kallar mål och strategier.
Det förväntas bara ske.
Det ligger något av en paradox i att digitaliseringslösningar idag så ofta används för att mäta som en del i det rådande NPM-paradigmet när det samtidigt sker så litet av formell utvärdering av vad digitaliseringen faktiskt leder till.
Om man går in de traditionella utvärderarna av ”vad f-n får vi för pengarna?” som Riksrevisionen, Statskontoret och, när det gäller e-hälsa, Myndigheten för vårdanalys finns påfallande få granskningar och rapporter skrivna just om digitalisering.
Riksrevisionen publicerade 2016 en som knappast är en av dem som länder revisionen till heder med tanken på kvaliteteten som kontrollerar om myndigheter digitaliserat tillräckligt mycket – inte vad digitaliseringen lett till.
Detta är i sig en generell tendens, att se digitaliseringen i sig som något ”gott” samtidigt som man i nästa andetag säger att digitaliseringen inte är självändamål.
Men vad kan vara mer självändamål än att ha som mål att ”Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter”?
Däremot kom 2019 en om digitalisering och nyföretagande som faktiskt sätter nyföretagandet i centrum – inte digitaliseringen.
Utöver detta finns det inte mycket att hämta om digitalisering hos Riksrevisionen om man är intresserad av resultatet av statens insatser på området.
Statskontoret har skrivit myndighetsanalyser av bl.a.
E-delegationen, Digisam och Digitaliseringsrådet (spoiler alert: de har inte lyckats så bra) men egentligen inget vad jag kan se om digitaliseringen i sig.
Riksrevisionens och Statskontorets uppdrag kan möjligen göra dem något begränsade i sina granskningar men att Myndigheten för vårdanalys inte haft detta som ett starkt granskningsområde förvånar mig starkt.
Med tanke på hur e-hälsa, välfärdsteknologi, AI och digitalisering lyfts fram som vårdens frälsare borde utfallet av detta vara mycket angeläget att kontinuerligt följa.
Som det nu är hittar jag egentligen bara en som handlar om cancervården specifik.
Ett om äldreomsorgens digitalisering ska slutlevereras 2023 och inriktningen ”Myndigheten ska bedöma hur digitaliseringen av äldreomsorgen bidrar till verksamhetsutveckling, med särskilt fokus på kostnadseffektivitet.” – alltså hur ska digitaliseringen ”effektivisera” äldreomsorgens.
Sammanfattande kan jag förstå om det är svårt att göra granskningar med så fluffiga mål för vad är det egentligen som ska följas upp?
Min egen anekdotiska upplevelse är att den svenska digitaliseringen lider svårt av ett marshmallowssyndrom.
Ni vet det där gamla experimentet om uppskjuten tillfredställelse som sedan har ifrågasatts men som jag ändå använder här som bild.
På Stanford university erbjöds fyraåring att marshmallows med förutsättningen att om de kunde motstå att genast sluka den godbit de fick och kunde vänta några minuter kunde de istället få två.
Tanken var att de som kunde planera och motstå frestelsen blev framgångsrika längre fram i livet.
Den svenska digitaliseringen tyckte jag ofta har liknat barnen som inte kunde låta bli att genast tillfredsställa sitt sötsug.
De politiker, tjänstemän och företag som drivit på digitaliseringen har dock styrts av starkare tobak än marshmallows men kontentan blir att det idag saknas en plan.
Det tycks som man ofta gör saker för att man inte för att man analyserat och kommit fram till att det är rätt steg i en bestämd riktning.
Detta leder också till den intressanta frågan vems intressen tjänar den nuvarande digitaliseringen.
Som redan nämnts är äldreomsorgen ett frestande område att digitalisera, mindre så digitaliseringsbyråkraternas egna jobb.
Jag ska inte ge mig in på David Graebers tankar om Bullshit jobs (läs gärna själva!)
men tanken på de undersköterskor som flänger omkring som torra skinn i äldreomsorgen är de som ska effektiviseras och inte de som har bullshit jobs är djupt störande.
Jag tänker också på vad en äldre människa tjänar på att inte få en människa som kommer och hjälper till med matning utan en robot.
Detta borde vi prata mycket mer om.
För att ingen ska missförstå ovanstående: jag vet och uppskattar den ständigt puttrande digitaliseringen men skulle uppskatta en plan.
I mitt förra inlägg hävdade jag att arbetet med informationssäkerhet alltför ofta kännetecknas av byråkratiska aktiviteter utan reell säkerhetshöjande effekt men däremot med ett anspråkstagande av verksamheters resurser på ett orimligt sätt.
Det är ju inte heller enbart kärnverksamhetens resurser som används på ett sätt som kan etiskt ifrågasättas.
Att säkerhetsarbetet bedrivs utan hänsyn till hur effektiv användningen av resurser är samtidigt som den oavlåtliga klagovisan ljuder att säkerhetsarbetet får för litet resurser, ständigt för litet resurser, är paradoxalt.
För den som arbetar med säkerhet borde det ha högsta prioritet att få fram arbetssätt som ger största möjliga utdelning av säkerhetshöjande effekter i förhållanden till insatta resurser.
Tyvärr har jag sett mycket litet av den typen av analyser och jag kan t.o.m.
tycka att säkerhetsområdet får rejält med pengar sammantaget utan det riktigt framgår vad som kommit ut av det.
Rubriken på blogginlägget är aningen ironisk eftersom det väl nu är allmänt känt att effektiviseringar sällan leder till bättre verksamhet.
Jag tycker ändå att det är klädsamt om vi som jobbar informationssäkerhet, som är en stödfunktion, håller upp spegeln och ser vad vi kan göra när kärnverksamheten i många organisationer är hårt pressad av krav på besparingar.
Att försöka göra saker bättre och mer kostnadseffektiva behöver inte heller vara till nackdel för metodutveckling, jag dristar mig att anse att det skulle vara en fördel om det fanns ROI-perspektiv på både planerade och genomförda säkerhetsåtgärder.
Jag tror det skulle vara ett stort stöd för många informationssäkerhetsansvariga som nu ibland verkar beta av ett antal aktiviteter utan att kunna bedöma vad det egentligen leder till.
Vissa aktiviteter kan vara stora och dyrbara men det handlar också om annat där kostnaden kanske inte är så stor men effekten ännu mindre.
Att genomföra generiska e-utbildningar är enligt min erfarenhet tämligen bortkastat mensom initierat dem kan bocka av en ruta.
För mig betyder detta mekaniska tillvägagångssätt, förutom pengar och medarbetares tid i sjön, att organisationen invaggas i en vilseledande och farlig falsk trygghet.
Det tämligen obefintliga effektivitetspressen inom säkerhetsområdet, som är så kännbar i andra sektorer, tycker jag mig se leda till en lättja i tanke och i handling.
Det är lätt att glömma bort men informationssäkerhet handlar i grunden om att .
Har man inte det så har man inte en fungerande informationssäkerhet.
Med detta i bakhuvudet så kan den seriösa informationssäkerhetsarbetaren inte leva efter bekvämlighetsprincipen och hela tiden göra det som känns enklast.
Att enbart identifiera information som råkar finnas i system som man redan känner till är som, för att använda en mycket uttjatad bild, att leta efter den borttappade nyckeln under gatlyktan eftersom det är enklast.
Tyvärr är det så jag uppfattar rätt mycket av de insatser som går under beteckningen ”informationsklassning” som inte leder till kontroll över den information som är viktig för verksamheten utan den som redan finns bekvämt paketerad i en behållare a.k.a ett ”system”.
Ibland när jag får ”verktyg” för informationsklassning som är obegripligt efterfrågade presenterade för mig kan jag inte låta bli att fnissa till och tänka på min bekant som var kommunal it-chef på 1990-talet.
Hen hävdade att det var en underbar tillvaro där hen sågs som en wizzard som på vilken fråga som helst (i princip) från verksamheten kunde hacka ihop ett it-verktyg för att lösa en uppgift.
”Stöd” sågs helt enkelt som synonymt med någon slags programvara.
Tyvärr tycks denna uppfattning leva kvar bland många i informationssäkerhetsbranschen trots att det ofta är de icke-digitala delarna i en aktivitet som är svåra.
I informationsklassning (se nedan) är den stora frågan exempelvis att göra rätt analyser, inte att hålla reda på genomförda klassningar.
Innehåller verktygen dessutom generiska skyddsåtgärder uppstår en annan problematik: vem tar då egentligen ansvar för att det är korrekta skyddsåtgärder i förhållande till risken?
Efter denna salva känner jag mig förpliktigad att ge exempel på alternativ.
Här kommer därför ett förslag på arbetssätt motsvarande informationssäkerhetens kinderägg.
De tre fördelarna med mitt förslag är att man faktiskt arbetar med information – inte system, att man kan bygga upp en likvärdig säkerhet i likartade verksamheter och att kostnader i form av pengar och tid radikalt skulle kunna minskas samtidigt som får ökad kvalitet/säkerhet.
Med avsikt har jag valt en mycket säkerhetskänslig funktion som även är mycket vanligt förekommande: processen för läkemedelshantering i äldreomsorgen.
För att ge en kort bakgrund så ombesörjs äldreomsorgen med de 290 kommunerna som huvudman.
Kommunerna kan bedriva omsorgen själva eller anlita underleverantörer som privata vårdföretag.
Oavsett vilket så är det kommunen som har ansvar som sjukvårdshuvudman och ska därmed säkerställa att omsorgen bedrivs på ett säkert och likvärdigt sätt oavsett utförare.
En central del i omsorgen av äldre är läkemedelshanteringen.
Äldre som inte får rätt läkemedel i rätt dos vid rätt tidpunkt löper en avsevärd hälsorisk, i värsta fall med döden som utgång.
Omsorgen sker dygnet runt av ett antal medarbetare som vid varje givet tillfälle måste ha korrekt och spårbar information tillgänglig.
Samtidigt berör uppgifterna om läkemedel omsorgstagarens hälsotillstånd vilket gör dem till känsliga personuppgifter som måste omges med ett mycket starkt skydd mot obehörig åtkomst.
Utöver detta finns en särskild risk i läkemedelshanteringen, narkotiska preparat och även andra är mycket stöldbegärliga.
Även detta stärker det utpräglade behovet av spårbarhet där varje händelse kan följas och och kopplas till person som i en lång verifikationskedja.
En generisk processbeskrivning på övergripande nivå skulle kunna se ut så här.
Inga konstigheter i det men man kan gå ett fördjupande steg till utan att beskrivningen skulle tappa särskilt mycket i allmängiltighet med däremot fånga upp vilken information som hanteras, se detta utsnitt ur processen: Processen startar med att en av regionens läkare gör en läkemedelsordination vilket dokumenteras i regionens vårdsystem samt i den nationella läkemedelslistan.
Dessa moment ligger utanför processbeskrivningen ovan som startar med att information om ordination överförs till kommunen som en pappersutskrift vilket startar processen.
Den intresserade kan notera följande: Detta är inte på något sätt unikt för den här processen utan gäller för många andra.
Slutsatsen man kan dra är att om man seriöst så räcker det sannerligen inte med att ”klassa” ett enskilt system utan måste få kontroll över hela informationshanteringen.
Inte heller att enbart titta på digital information utan det är just helheten som måste fångas för att rätt åtgärder ska kunna vidtas.
Även för dataskyddet är detta en självklarhet – man kan liksom inte bara skydda personuppgifter i digital form.
I den ovan beskrivna processen finns t.o.m.
bärare som apodos-påsar som måste omhändertas på ett korrekt sätt.
Det kan tyckas ansträngande att inte bara få ägna sig åt färdigpaketerad information prydligt avgränsad i system men här finns istället stora effektivitetsvinster att göra.
Det går att klassa informationsmängden ”ordination” och så vidare så att det går att använda som en i samtliga kommuner oavsett vilka bärare man för tillfället råkar använda.
Dagens rekommendation från myndigheter och SKR är att 290 kommuner med vissa fall flera förvaltningar som bedriver äldreomsorg ska klassa system i varje förvaltning.
Dessutom måste samma manöver upprepas av de privata vårdgivare som anlitas av kommunerna.
Enligt beräkningar fanns 2019 14900 företag som ägnade sig åt vård och omsorg.
Jag har inte riktigt tid att fördjupa mig i exakt hur många av dessa som bedriver äldreomsorg men för saken skull så utgår jag från att det åtminstone finns 500 privata äldreboenden.
Sammantaget kanske det då behöver göras 850 klassningar av olika vårdgivare.
Låt oss höfta och säga att resursåtgången per klassning är minst 100 timmar inklusive förberedelser och dokumentation (detta är extremt lågt räknat med tanke på att det ofta är ett flertal deltagare på klassningarna) för att klassa ett system som stödjer en liten del av ordinationsprocessen.
Lustigt nog kommer det också att bli samma system som klassas gång på gång med varierande resultat.
Kontentan blir alltså bristande kontroll över informationen och bristande likvärdighet mellan olika äldreomsorgsverksamheter till en sammantagen resursåtgång av 85 000 timmar.
Betänk också att detta bara är en av flera processer bara i äldreomsorgen.
Mitt förslag är att man istället slår ihop sina påsar, tar fram gemensamma normerande klassningar skyddsnivåer.
Skyddsnivåerna måste då tas fram i stor öppenhet där det redovisas hur man ser på olika risker och hur de föreslagna skyddsåtgärderna avses reducera dessa.
Koppling till krav i föreskrifter med mera bör även finnas.
Skyddsnivåerna måste även innefatta skydd av andra bärare än system och molntjänster, t.ex.
fysiskt skydd av papper.
En jätteuppgift är att hålla skyddsnivåerna uppdaterade så att de inte ger förlegade rekommendationer.
Då ska vi komma ihåg att detta ändå skulle kräva en bråkdel av de resurser som skulle gå åt om varje vårdgivare skulle genomföra alla moment själv.
Jag kan mycket väl tänka mig att man i många fall även kan ge förslag på arbetsrutiner.
Vad skull då detta kunna innebära i praktiken?
Naturligtvis skulle ansvaret för säkerheten aldrig kunna delegeras men exempelvis en vårdgivare skulle kunna gå i ett bibliotek av olika verksamhetsprocesser, välja ut den aktuella och få fram en bild av generisk process samt en normerande klassning av typen nedan (fast ifylld): Därefter jämför vårdgivaren med sin egen verksamhet hur väl det presenterade materialet stämmer överens.
Gör det det i stora drag, kanske med litet annorlunda benämningar, så skulle vårdgivaren med detta stöd kunna ta sig ner till nivå att kunna köpa rätt skåp att förvara den enskilde vårdtagarens medicin i. Att krav på digitala lösningar ingår är naturligtvis självklart.
Som en bonus kan även krav på bevarande och gallring läggas in.
Det kan kännas som en överväldigande uppgift att ta itu med men minns då att den redan är överväldigande och idag tynger kärnverksamheten på ett orimligt sätt.
Kan vi åtminstone ta fram normerande klassningar för generiska processer i samhällsviktig verksamhet skulle vi ge möjlighet att höja samhällssäkerheten högst väsentligt och dessutom kunna reducera resursåtgången.
Eftersom myndigheterna med särskilt ansvar för informationssäkerhet förefaller skeptiska till den här typen av stöd finns det utrymme för andra aktörer att träda fram.
Statskontorets publikationer är en underskattad men ständig källa om inte till glädje så till mycket nyttig kunskap.
Under sommaren har jag en forskningsantologi kallad .
Min bedömning är att denna antologi är ett måste för den som arbetar med informationshantering eller informationssäkerhet i offentlig sektor.
Här får man så mycket sammanhang och tankar att man går ur boken som en tjänsteperson eller konsult stärkt och betydligt bättre rustad att hantera sitt uppdrag.
Ur en informationssäkerhetskonsults vinkel är det framför allt avsnitten om hur förpappring, managementbyråkrati, användning av standarder och konsulter riskerar leda inte bara till onödig administration utan också till bristande styrförmåga.
Tyvärr är det mycket som känns obehagligt välbekant.
Det är dystert att blir varse om hur det område man själv jobbar inom liksom man själv kanske är en förgiftad gåva till uppdragsgivaren, att det kostar mer än det smakar.
Vi kanske ödmjukt borde inseltför ofta ger upphov till mer byråkrati än nytta, till mer krångel än säkerhet.
En ständigt närvarande fråga borde vara hur kan vi skapa bättre säkerhet utan att tynga våra uppdragsgivare och utan att ta kraft från organisationernas verkliga uppgifter.
Hur mycket har alla de icke-fungerande ledningssystem inte kostat i pengar, incidenter och en falsk trygghet som hindrat att man vidtagit reella säkerhetsåtgärder.
Slutligen är det för mig oetiskt att ta mer resurser från kärnverksamheten till säkerhet om det inte går att påvisa att det är nödvändigt.
Givna frågor borde vara: Varför fungerar då så mycket avt så dåligt trots de avsevärda resurser som läggs på det från olika håll?
Efter att ha begrundat Statskontorets antologi vill jag på prov lansera hypotesen att många av informationssäkerhetens tillkortakommande beror på att arbetet bedrivits som en del i den new public management-trend som varit rådande i svensk förvaltning de senaste decennierna.
NPM diskuteras frekvent i antologin och många av dessa resonemang kan med lätthet översättas till informationssäkerhetsområdet.
Kännetecknande för NPM är bland annat en strävan att styrformerna i offentlig förvaltning ska likna de i privata företag.
Konsekvenserna blir i korthet decentralisering, ram/mål-styrning, standarder och en massa mätande.
Det som regleras är som ska göras men inte Ansvaret för hur åtgärder ska genomföras trycks ner i den decentraliserade strukturen.
Någon som kommer att tänka på den så omtalade ansvarsprincipen kanske?
NPM kan låta lockande men jag skulle säga att informationssäkerheten nationellt och i de enskilda organisationerna lidit stor skada av att det inte funnits en inriktning att ge tydliga direktiv om olika säkerhetsåtgärder ska utföras.
Det är en närmast kuslig suboptimering att varje organisation ska räkna ut allt själva.
Kravet på kortsiktig leverans och mätbarhet gör att det strategiska arbetet försummas.
Dessutom leder till en bristande samordning i en alltmer integrerad informationsinfrastruktur där en parts investering i säkerhet görs helt urarva genom att andra aktörer har gjort andra bedömningar och därmed inte infört samma skydd.
Fokus ligger också på dokument, standarder och rapportering, allt i enlighet med NPM:s styrfilosofi.
Jag tror inte att motståndet mot att få en konkretare styrning i säkerhetsfrågor ligger hos enskilda myndigheter, kommuner eller regioner, tvärtom är en vanlig utgångspunkt i diskussioner att man vill ha tydlighet och stöd i att veta vilka säkerhetsåtgärder som är adekvata och uppdaterade.
Snarare uppfattar jag att myndigheterna med föreskriftsrätt duckar och inte vill ta det ansvar som det innebär att peka med hela handen.
Det är liksom lättare att klaga på den bristande säkerheten i förvaltningen än att ge ett ändamålsenligt stöd.
Jag vill lansera ett förslag som jag haft sedan jag jobbade på MSB som exempel på hur vi skulle kunna bryta med ovanstående ineffektiva styrning och få en bättre och billigare säkerhet.
Mitt förslag är och har varit att erbjuda stöd i form av standardiserade skyddsnivåer och det jag kallar normerande klassningar.
Skyddsnivåer har jag skrivit om tidigare så därför koncentrerar jag mig på de normerande klassningarna.
Det mest uppenbara exemplet på hur det skulle kunna fungera gäller kommunal verksamhet.
Tänk er att det finns 290 kommuner med samma tio obligatoriska uppgifter.
Det leder till att man har i grunden har mycket likartade processer även om man ofta har egna beteckningar på förvaltningar, processer och informationsmängder.
I större kommuner kan det vara så att flera organisatoriska enheter ägnar sig åt samma slags verksamhet, exempelvis förskola eller äldreomsorg.
Man kan också anlita utomstående leverantörer för att driva verksamhet som till exempel ett äldreboende.
En viktig grundprincip för kommunal verksamhet är likvärdighet, dvs.
att invånare har rätt att förvänta sig samma kommunala service oavsett var man bor eller vem som är utförare.
I det här sammanhanget bör det tolkas som att invånare har rätt till samma säkerhet och integritet.
Detta uppnås dock knappast om informationsklassningar genomförs på tusentals olika sätt med helt olika resultat (jag kommer inte att ta upp SKR:s KLASSA här eftersom jag gjort det på annat ställe och kommit fram till att det inte är ett verktyg för informationsklassning utan möjligen för att ställa baskrav på enskilda system och som dessutom ger precis samma risk för olikartade bedömningar som om man inte använde verktyget).
Vad som skulle leda till både ensartade bedömningar och dramatiskt minskad resursåtgång är att göra normerande klassningar på prioriterade processer i kommunal verksamhet.
Man skulle då gå igenom en generisk process, exempelvis utbetalning av försörjningsstöd, se vilka informationsmängder som stödjer och skapas i de olika aktiviteterna i processen.
Därefter kan informationsmängderna klassas och den normerande klassningen användas av samtliga som utbetalar försörjningsstöd.
I och med att aktiviteter och informationsmängder är förvånansvärt konstanta över tid i många processer (tro mig, jag har gått igenom ett stort antal processer även i ett ”historiskt” perspektiv) så skulle denna grund kunna användas under lång tid.
Uppdateringar måste göras då exempelvis lagstiftning eller andra nya förutsättningar leder till att en förändrad bedömning blir nödvändig.
Även denna förvaltningsinsats har allt att vinna på att genomföras kollektivt och inte av varje informationsägare.
Och, observera, den normerande klassningen är bara ett stöd.
Det står varje informationsägare fritt att välja en annan nivå eftersom ansvaret för säkerheten kvarstår hos hen.
Ytterligare en poäng är att det här finns mycket stora samordningsvinster att göra även med dataskydd och arkiv.
Jamen systemen och it-tjänsterna säger ni uppbragt – varför finns inte de med i konceptet???
Det gör de faktiskt eftersom it-säkerheten hanteras i de standardiserade skyddsnivåerna och gör man sin processorienterade informationskartläggning rätt så identifierar man inte bara de digitala lösningar som används som bärare utan även de andra medier som faktiskt används.
Dessutom förekommer idag information i många fall i flera versioner på olika bärare så därför kan man inte gå nerifrån och upp.
Slutligen är bärarna inte alls lika konstanta som aktiviteter och informationsmängder så att ha dem som utgångspunkt för strategiskt styrning skulle vara göra sig själv en stor otjänst.
En passant kan sägas att samma synsätt sannolikt skulle kunna användas av SÄPO till allas nytta.
Att göra generiska säkerhetsskyddsanalyser för exempelvis kommuner och regioner skulle avlasta dessa aktörer och ge ett mer likvärdigt skydd.
(Jag flyr nu eftersom jag vet att detta är en helig ko som absolut inte får besudlas….).
Min förutsägelse är att det inte finns något ljus som automatiskt kommer att slås på i denna mörka byråkratiska tunnel utan det är vi själva genom att tänka fritt och nytt som måste skapa det.
Det är inte i mängden dokument säkerheten sitter.
Antalet konsulter har tillväxt kanske inte explosionsartat men massivt under de senaste decennierna.
Det skulle föra för långt att ta upp alla bakomliggande orsaker till detta i ett kort blogginlägg.
Jag tänkte istället ägna mig åt litet självspäkning så här i slutet av sommaren och resonera litet om informationssäkerhetskonsulter och vilken eventuellt nytta eller skada vi kan bidra till.
För dessa resonemang har jag inte något specifikt stöd gällande konsulter inom informationssäkerhetsområdet men utgår från forskning angående managementkonsulteri generellt.
Tankarna som presenteras nedan bygger dock främst på mina egna erfarenheter från båda sidor upphandlingsbordet samt av de studier av de palimpsestlika konsultinsatser som man alltför ofta stöter på som konsult.
Det vill säga de ofta flerfaldiga lager av tidigare uppdrag som inte lett till något varaktigt säkerhetsarbete men som lever kvar som bortglömda power points, ibland regelverk som är copy paste ur standarden och som resignation i organisationen: ”vi har ju redan försökt och det gick inte”.
Marknaden för informationssäkerhetskonsulter har som sagt växt.
Många organisationer, både privata och offentliga, ser behov externa specialister för att förbättra sin säkerhet.
Men flera faktorer försvårar redan i upphandlingsskedet.
En sådan faktor är att det är marknad där ”varan” saknar en tydlig definition för vad ska egentligen en sådan konsult ha för bakgrund och kompetens?
När det inte ens finns en tydlig överenskommelse om vad informationssäkerhet ÄR och än mindre krav på enhetliga utbildningar med fastställt innehåll så är förvirring en självklar konsekvens.
Vanligaste förvirringen är sammanblandningen av informations- respektive it-säkerhet där både leverantör och kund ofta har inriktning på teknisk säkerhet snarare än den organisatoriska säkerhet som är grunden för informationssäkerheten.
Leverantör och kund kan med denna bakgrund ha helt olika uppfattningar om vad som ska levereras.
Genomgående har leverantörer ett kunskapsövertag – det är ju de som förväntas sitta på expertisen.
Om kunden inte har gjort ett ordentligt förarbete med analys av vilken typ specialiststöd man egentligen behöver kan leverantören på olika sätt styra vad som faktiskt kommer att levereras.
Detta moment 22, att man har alltid för litet intern kompetens för att kunna beskriva vad som behövs innan man har upphandlat kompetens, gäller inte bara för enskilda organisationer.
Under åren har jag sett ett rätt stort antal gemensamma ramavtal som haft samma brist.
Upphandlingen tycks formad av önskan att hitta en informationssäkerhetens Mary Poppins som bara glider in och fixar till saker utan att besvära organisationen.
Resultatet blir bland annat att rena teknikföretag kan kapa åt sig uppdrag där organisatorisk kompetens är helt nödvändig.
När ingen annan kan beskriva vad en ”informationssäkerhetsspecialist” är och vad som krävs för att arbeta som en sådan är det naturligtvis ett omöjligt krav att ställa att just den upphandlande organisationen ska göra det.
I ett antal upphandlingar och även anställningsförfarande har varit med om att några yrkesgrupper anser sig kompetenta även om de aldrig arbetat med informationssäkerhet, läs militärer och poliser.
Tidigare har jag skrivit om att informationssäkerhet fortfarande i hög grad är en erfarenhetsbaserad kunskap där juniora utövare lär sig av seniora dito.
Men hur ska krav på denna typ av erfarenhet ställas i en upphandling och hur mycket enklare vore det inte med någon typ av examen kompletterad med praktik under x antal år?
Under senare år har det dykt upp krav på att konsulter ska vara certifierade.
Detta menar jag är ett attraktivt villospår.
De certifieringar som ofta refereras till lider dels av att vara utformade främst för amerikanska förhållande, dels ha teknisk inriktning.
Det är inte till mycket hjälp när man ska få till en organisatorisk styrning i en svensk kommun eller myndighet.Själv skulle jag alltid ge företräde till en konsult med akademisk examen i samhällsvetenskapliga ämnen framför någon med aldrig så många certifieringar men utan examen.
Ett trick som ibland har använts när upphandlingarna inte varit tillräckligt tydliga i kraven är att leverantören erbjuder en senior konsult men det sedan i praktiken blir juniora konsulter som får genomföra uppdraget.
Till viss del kan sådana ageranden uppmuntras genom upphandlingens konstruktion och hur man hanterar dilemmat att å ena sidan försöka uppnå en trygg leverans av konsultkraft från leverantören, å andra sidan få tillgång till verkligt kvalificerade konsulter.
Om betoningen läggs på att leverantörens förmåga att leverera kvantitet finns det en risk att konsulter ses som utbytbara.
En annan nackdel är att mindre leverantörer utesluts från möjligheten att lämna anbud.
Med risk att trampa folk på tårna är min erfarenhet att många av de mest kvalificerade konsulterna inom informationssäkerhetsområdet väljer att starta eget eller att arbeta i mindre bolag så att satsa på kvantitet i upphandlingen kan leda till att man kanske missar kvalitet.
Sedan är den upphandlingstekniska utformningen som ska formulera vad kunden prioriterar.
Ska man göra en bred utannonsering eller räcker det med att vända sig till några få leverantörer?
Är det priset, kvaliteten eller tiden som är viktigast?
För offentliga organisationer finns också omfattande regelverk som LOU att följa när det gäller den här typen av frågor.
Ett mer grundläggande problem är hur man egentligen ska prissätta konsulttjänster.
Fortfarande är den vanliga linjen att man använder timpris vilket är förståeligt men ofta vilseledande.
För en duktig konsult kan naturligtvis leverera mycket mer kvalitet på kortare tid än en mer orutinerad.
Ur kundens synvinkel får man alltså mer kvalitet till lägre pris om man väljer en dyrare konsult (under förutsättning att den dyrare konsulten verkligen är bättre).
Det rimliga vore att sätta priset utifrån nyttan som levereras till kunden oavsett hur lång tid det tar att utföra uppdraget.
Nu är det ofta så att upphandlingar görs av ett visst antal timmar vilket om det kombineras med alltför stor betoning av timpriset leder till att kunden får en sämre konsult till ett högre sammanlagt pris.
Jag menar också att det fordras en ansenlig mängd icke-fakturerbar tid för att utveckla sin kompetens och hålla sig uppdaterad vilket påverkar det som blir timpris ut.
För en medveten kund bör detta vara en aspekt värd att noggrant analysera innan upphandlingsunderlag skickas ut.
Kunder väljer ofta att upphandla x antal timmar eller ett fastprisuppdrag för att få kontroll och inte en löpande räkning utan slut.
Själv brukar jag istället föreslå att kunden köper en timbank med fritt avrop.
Då ligger makten hos kunden som inte behöver avropa fler timmar än man faktiskt använder och dessutom, om man inte trivs med konsulten, kan kunden på ett smidigt sätt avsluta relationen.
Eftersom det ofta är svårt att avgöra hur omfattande uppdraget blir innan man börjar med en mer konkret planering så ger detta kunden en flexibilitet som på ett avgörande sätt kan minska kostnaderna för uppdraget.
Jag tycker också det är rimligt att leverantören tar risken i affären eftersom man har kunskapsövertaget och möjligheten att påverka uppdragets utförande.
Det handlar ju också om att ställa krav som går att utvärdera på ett bra sätt vilket ju är något enklare för tekniska prylar än då man ska köpa mänsklig kompetens.
Kompetensen är som sagt svår att beskriva vilket leder till att den är även är svår att kontrollera.
Med beaktande att kunden ofta inte har möjlighet att göra en riktigt rättvis bedömning så tycker jag ändå att det finns vissa krav som kan leda till en bättre uppfattning om vad leverantörens erbjudande innebär.
Exempelvis skulle jag numera som kund ställa krav på exakt vilka konsulter som är aktuella i anbudet samt efterfråga skriftprov och andra underlag som just dessa konsulter skrivit.
Vid referenstagning skulle jag försöka tala med andra än den eller de som konsulten arbetar närmast hos en tidigare uppdragsgivare eftersom jag upplever att det är rätt vanligt att det finns en aningen symbiotisk relation mellan exempelvis informationssäkerhetsansvarig hos kunden och konsulten.
Kunden bör också få möjlighet att träffa den tilltänkta konsulten för att skaffa sig en bättre bild av personen och det intryck den ger.
Särskilt vikt bör i samtalet läggas vid vilken faktiskt erfarenhet av och förståelse för kundens verksamhet som konsulten har.
Utan denna förförståelse kommer kunden att få betala för leverantörens kompetenshöjning då konsulten måste sätta sig in i förutsättningarna för kundens organisation.
Men inte ens dessa varianter på krav garanterar på något sätt att man hittar ”rätt” konsult.
Inte bara kunden behöver göra analyser av chansen/risken för att uppdraget avlöper framgångsrikt.
Även leverantören har all anledning att försöka klargöra hur redo kundens organisation är för genomförandet av det aktuella uppdraget.
Inte så sällan tackar jag nej till uppdrag.
Det kan handla om att kunden har satt en alldeles för snäv tidsram för att de organisatoriska åtgärderna ska hinna tas fram, processas, beslutas och genomföras eller att jag inte uppfattar att ledningen verkligen är beredd på vad som kommer att vara nödvändiga förutsättningar.
Om ett avtal sluts uppstår omedelbart ett antal nya frågeställningar.
En del av dem uppkommer genom att leverantören och kunden inte har riktigt samma intressen.
Många leverantörer är starkt inriktade på att genomföra uppdrag på sitt sätt, inte minst därför att det lönar sig bättre att ”ta från hyllan” än att utveckla saker tillsammans med kunden (såvida man inte har uppdrag på löpande räkning).
Att vara alltför lyhörd och explorativ kan äventyra vinsten i ett fastprisuppdrag med definierad leverans men även uppdrag med begränsat antal timmar.
Juniora konsulter är också av naturliga skäl rädda att släppa sargen och överge mallar som tagits fram av arbetsgivaren.
För en konsult är det också en svår balansgång mellan att göra för mycket alternativt för litet.
Det är ofta svårt frestande att ta över alltmer avt, alldeles särskilt om förväntan finns på att man ska vara Mary Poppinslikt allfixande.
Det är praktiskt för konsulten eftersom man då kan genomföra arbetet på sitt sätt vilket gör att man har kontroll och det på ett sätt går snabbare.
För kunden kan det dock bli en nackdel om konsulten blir alltför dominerande eftersom man då riskerar få en leverans som inte är avpassad för verksamheten och att behovet av att bygga upp egen kompetens försummas.
Om detta finns mycket mer att skriva men eftersom det är sommar och sol får det vänta till ett senare tillfälle.
Jag tror att vi måste bli mycket mer öppna om att det är svårt både att vara kund och att vara leverantör när det kommer till att upphandla konsulttjänster.
En förbättrad dialog i de enskilda uppdragen där konsulten är följsam och öppen inför hur kunden uppfattar leveransen höjer kvaliteten inte bara i uppdraget utan kan bidra till en långsiktig utveckling av branschen.
Ja, det verkar självklart men vid ett stort antal tillfällen har jag träffat på kunder som varit missnöjda med tidigare konsult men inte tyckt sig kunna nå fram utan istället valt att så snabbt som möjligt avsluta uppdraget.
Vi måste också ha diskussioner generellt om hur man får till en bra upphandling där kund och leverantör har samförstånd om vad och hur uppdraget ska levereras och med vilken kompetens.
Kanske kan informella men allmänt accepterade paketeringar av olika typer uppdrag tas fram.
Detta försvåras dock av att det inte finns någon sammanhållande branschorganisation.
En flink människa skulle ju också kunna ta fram en ratingsida där olika konsultinsatser betygssätt ungefär som ett restaurangbesök – det vore nog smärtsamt men nyttigt för många av oss.

demokratiaspekter genom insyn och transparens forskningens tillgång till information på lång och kort sikt förtags behov av råvara till olika typer av tjänster inklusive AI Toppledarforum E-nämnden (Nämnden för elektronisk förvaltning) 24-timmarsmyndigheten Verva E-delegationen E-legitimationsnämnden Digitaliseringskommissionen Digitaliseringsrådet DIGG Merparten av informationsmängderna är även de att betrakta som tämligen generiska Merparten av informationen hanteras i pappersform, detta särskilt i kritiska aktiviteter i processen En stor del av informationen finns på flera bärare samtidigt I hela processen är spårbarheten är essentiell för patientsäkerheten Har den här åtgärden en säkerhetshöjande effekt som står i paritet med den kostnad och krångel som den orsakar verksamheten?
Är den här åtgärden verkligen avpassad till och tar hänsyn till verksamhetens egentliga behov av säkerhet?
Indirekt: vet jag som vill lansera den tillräckligt mycket om verksamhetens behov för att kunna avgöra det?
Kommer den här åtgärden verkligen att fungera i praktiken eller är den en ren pappersprodukt?
Och kommer den även att fungera över tid, t.ex.
när konsulten lämnat skeppet?
Finns det verkligen inte ett effektivare sätt att reducera risken till en acceptabel nivå?

inte inte behov bred kan, ha kontroll över sin information normerande klassning och vad hur.
hur

Meny Inläggsnavigering

MENU MENU Postat av MSB fick den 19 september 2019 i uppdrag av regeringen att ta fram en struktur för uppföljning av det systematiskat i den offentliga förvaltningen.
Uppföljningsstrukturen ska syfta till att aktörer i offentlig förvaltning regelbundet ska erbjud as att medverka i uppföljningen och få återkoppling som omfattar en bedömning om vilken nivå derasbefinner sig på samt förslag på åtgärder som bör vidtas för att uppnå en högre nivå påt.
Uppföljnings strukturen ska även syfta till att MSB regelbundet ger regeringen en samlad bedömning om nivån på det systematiskat i den offentliga förvaltningen.
Postad i , , , , Tagged , , , , Postat av → Postad i , , , , , , , Tagged , , , , , , , Postat av Postad i Postat av Postad i , , , Tagged , , Postat av miljoner Postad i , , , , Tagged , , , , Postat av Rekommendationerna hänvisar inte till några allmänna standard er eller Postad i , , , Tagged , , , , , , , Postat av Postad i , Tagged , , , , Postat av Postad i , , , , Tagged , , , , , , , , , Postat av Postad i , , , Tagged , , , , , , , Postat av Postad i , , Tagged , , , ← Sök efter:

Tack Calle Lilius för bilderna!
Statlig förvaltningspolitik för 2020-talet

Jag har arbetat med informationssäkerhet i ett par decennier nu och tycker fortfarande att det är lika intressant.
Som informationssäkerhetschef i ett landsting, som konsult och som nu senast enhetschef för s på Myndigheten för samhällsskydd och beredskap (MSB) har jag haft förmånen att lära känna området ur många olika aspekter.
Det har också gett mig erfarenhet från enskilda organisationer inom både offentlig och privat sektor samt informationssäkerhetsfrågor på den nationella nivån.
Som konsult vill jag hjälpa er med att både skapa esom förebygger att störningar inträffar och med att skapa förståelse för varför informationssäkerhet är viktig för just er organisation.
Hej Fia, Jag gillar ditt engagemang och din sajt.
Ser att vi har gemensam skepsis till hur saker och ting sköts i Sverige, inte minst inom e-hälsans område.
Tror att min nästa roman kan intressera dig.
”En skamlös upphandling” heter den och baksidestexten beskriver kort vad den handlar om.
”När Ingrid Karlbergs son dör på operationsbordet är hon inte bara en sörjande mor.
Hon är också en framgångsrik affärskvinna som får sitt livs största utmaning.
Om sjukhuset haft fungerande rutiner och system och använt den it-lösning hennes företag First-Aid-IT erbjuder, hade sonen fortfarande varit vid liv.
Det driver Ingrid in i en kamp om att vinna en offentlig upphandling av ett nytt sjukvårdssystem – till varje pris.
Men konkurrensen är hård och den politiskt styrda beslutsprocessen svår att bemästra.
Hon kastas in i en härva med allt från ohejdad girighet, lögner, inkompetens och fejknyheter till rena mutor och utpressning.
Sonens död får inte ha varit förgäves.
Ska hon lyckas?
”En skamlös upphandling” är den andra fristående delen i en verklighetsbaserad tetralogi om människor i it-världen.
Historien utspelas i ett Sverige där den ena skandalen i vården avlöser den andra.
Oegentligheter och skyhöga kostnader på Nya Karolinska och läckta samtal till 1177 är bara två exempel.
Hur ska regeringens vision om att vi ska vara bäst i världen på e-hälsa år 2025 kunna uppnås?” Obligatoriska fält är märkta

Lämna ett svar

MENU MENU Om mig skriver: Din e-postadress kommer inte publiceras.

Att förena informationssäkerhet med verksamhetsnytta har varit min målsättning när jag jobbat med sjukvård, med kommuner, med myndigheter eller med privata företag.
Att utgå från verksamhetens processer och se hur informationen stödjer dessa processer är nödvändigt för att kunna skapa säkerhet med rätt profil och nivå.
Två erfarenheter är särskilt viktiga för mig.
Den första ärltid kostar men att det finns ett val.
Antingen kan pengarna läggas på panikåtgärder vid incidenter och på bristande funktionalitet.
Eller så kan de läggas på ett systematiskt och kvalitetshöjande arbete som ger organisationen ordning och struktur även i andra avseenden som till exempel i informationshanteringen generellt.
Den andra är att de åtgärder som vidtas för att förbättra säkerheten aldrig fungerar bra om de inte vilar på engagemang och medvetenhet i organisationen.
Att utveckla den goda säkerhetskulturen får inte bara bli ord utan en kollektiv medvetenhet där säkerhet inte upplevs som en belastning och repressivt inslag utan en förutsättning för att organisationen ska kunna utföra uppdrag på bästa sätt.
Min inriktning som konsult är att sträva efter att ständigt utveckla min verktygslåda och inte kränga standardlösningar.
Det finns inga absoluta sanningar om vad som är rätt eller fel säkerhetsåtgärder utan att vara en bra konsult är att förstå vad kunden faktiskt behöver just nu.
Att driva mitt eget företag har inte bara gett mig möjlighet att förverkliga yrkesmässiga ambitioner utan också att kunna omsätta mina personliga värderingar i företagets inriktning.
En fråga som starkt engagerat mig sedan tonåren är miljö- och klimatfrågan.
Jag tror inte vi på individuell basis kan lösa miljöproblemen men att det är ändå viktigt att göra markeringen av dess betydelse.
I det lilla kan jag nu ha min egen miljöpolicy i som innebär att jag inte gör tjänsteresor med flyg eller bil om det inte är absolut nödvändigt och det har det faktiskt inte varit sedan maj 2016.
De konferenslokaler jag bokar för kurser måste vara miljömärkta och jag försöker undvika att överkonsumera teknisk utrustning.

MENU MENU Sök efter:

MENU MENU Sök efter:

Jag har alltid haft svårt för den oreflekterade gruppkänslan, när tillhörigheten till en grupp blir så viktig för ens (yrkes)identitet att det skuggar tankens klarhet.
Tyvärr tycker jag att säkerhetsbranschen ofta drabbas en överdriven gruppkänsla som leder till ett grupptänk och inte minst av en oförståelse för hur det ser ut i ”verkligheten”.
Att predika för kören, d.v.s.
för andra säkerhetsmänniskor, är enklare än att öppet diskutera säkerhetsfrågor med människor som har andra och kanske viktigare prioriteringar än säkerhet.
Själv måste jag erkänna att jag grips av en skamkänsla över att erbjuda lösningar som tar så mycket tid från kärnverksamheten, dessutom med oklart resultat.
Trots att säkerhetsbranschen av tradition är högerlutande, vilket i normala fall skulle leda till ett ifrågasättande av byråkrati, krångel, förmynderi och slöseri med skattemedel, så godtas orimligt insatskrävande säkerhetsåtgärder i just skattefinansierade verksamheter.
Ganska hemmablint kan man tycka.
Låt mig bara ta några exempel.
I Sverige finns runt grundskolor.
Såsom praxis och stöd är utformade ska då informationsklassning genomföras om inte i samtliga grundskolor så åtminstone per förvaltning eller grundskoleområde, gärna med stöd av SKR:s KLASSA.
Många kommuner väljer dessutom att ta in konsulter för att genomföra klassningarna med KLASSA för dyra pengar och utan att den så viktiga dialogen uppstår mellan verksamhet och informationssäkerhetsansvarig.
Åtgärderna som levereras ur KLASSA är inte i de flesta fall konkreta utan snarare på en nivå som kräver en egen utredning för framtagning av åtgärder hos kommunen som använder verktyget.
För mig känns det som en mycket dyrbar metod som ger ett resultat som i bästa fall är tveksamt.
Som jag tidigare betraktar jag inte det som ett sätt att effektivisera säkerhetsarbetet och föreslår andra möjligheter.
Några andra som inte är så ängsliga för att ta säkerhetsresurser i anspråk är MSB.
Myndigheten har nu tagit fram en egen som såvitt jag kan se inte har något vetenskapligt stöd (däremot en närmast rörande metodbeskrivning med formel och allt).
Det framgår inte heller varför man inte tydligare anslutit till ISO 27004 som visserligen nämns men lämnar få spår i utformningen.
MSB har gått så långt att man skrivit in ISO 27001/27002 i sin föreskrift för statliga myndigheter så det skulle känts rätt logiskt att man då gått all in i standardfamiljen även då det gäller uppföljning.
Rapporten är ett svar på ett regeringsuppdrag: Detta skulle kunna tolkas som något som liknar frivillig tillsyn eller revision men istället har MSB knåpat ihop något som enligt min bedömning (jag har ändå rätt många år i mätbranschen) kommer att ta avsevärd tid att hantera för de organisationer som väljer att delta utan egentlig nytta.
Ja, visst får ledningen en överblick men även den som är mest besatt av mantrat ”ledningens genomgång” måste någon gång landa i att det är praktiska åtgärder som måste vidtas för att förbättra säkerheten – det räcker inte att rapportera aldrig så mycket.
Jag vet hur betvingande det är med spindeldiagram, jag har stått inför otaliga ledningsgrupper och showat med gott resultat, men det som gav verklig nytta var något annat.
Det var de insatser vi lade ner på att skriva detaljerade rekommendationer noggrant anpassade efter den specifika organisationens förutsättningar och risker.
Efter att ha läst MSB:s rapport kan jag inte förstå hur denna typ av frågeställningar öht ska kunna besvaras och vad eventuella svar skulle kunna ha för kvalitet: Hur räknar man ens procent på åtgärder?
Är åtgärden att sätt lås på ett dokumentskåp lika mycket värd som att ändra backup-rutiner liksom?
Måste åtgärderna att ha varit fullständigt genomförda för att räknas eller räcker det att de är påbörjade?
Om det endast fullständigt genomförda åtgärder som ingår kommer då organisationen att prioritera kortsiktiga åtgärder och välja bort de som tar lång tid men som kanske har större betydelse för säkerheten?
Att med så många grundläggande osäkerhet försöka tillämpa en formel som denna ger mig ett intryck av ett helt verklighetsfrämmande projekt.
Ett tredje ack så resurskrävande villospår är de externa revisioner som många organisationer väljer att göra.
Det är ett enkelt men kostsamt beslut att ta för ledningen.
Och när man ser på leveranserna från inte minst större välrenommerade företag blir man ofta beklämd.
Rapporterna, som inte sällan kommer i power point-format, är så uppenbart standardrekommendationer som av juniora konsulter klippts samman till något som inte är anpassat till kundens verksamhet och i vissa fall inte ens till svensk kontext.
Hur svårtolkade (en eufemism) rapporterna kan vara tyder den absurda upplevelse som jag stött på när ett revisionsbolag anlitas för att uttolka ett annat revisionsbolags rapport och försöka göra om den till något som liknar förslag på begripliga åtgärder.
Och nej, det blev inte så mycket begripligare i nästa led.
Trots den bristande kvaliteten i många revisionsrapporter får de orimligt stor betydelse i många organisationer.
Ledningar tar dem på stort allvar och tycker sig ha fått ett underlag både för den så omtalade ”benchmarketingen” och för att att kunna vidta rätt säkerhetsåtgärder.
Det är inte så konstigt; ledningen tycker sig ha betalat dyrt för att få en professionell genomgång av ett område som man själv i de flesta fall är dåligt insatt i. Att ställa kritiska frågor är inte aktuellt, särskilt om det skulle kunna avslöja ens egen bristande kunskap.
Vid ett inte oväsentligt antal tillfällen har jag tyckt när jag läst rapporterna att de varit mer eller mindre vilseledande när det gäller vilka åtgärder som rekommenderas.
Eftersom de som utfört revisionen på ett industriellt sätt inte haft möjlighet att sätta sig in i kundens förutsättningar kan fokuseringen på de prefabricerade åtgärderna leda till både dubbelarbete när vissa element faktiskt redan finns på plats men under annan benämning än revisionsbolagets och till att väsentliga risker missas.
Dessutom är hänsyn sällan tagen till beroendeförhållandet mellan olika åtgärder, något som kan göra att kundens åtgärdsarbete blir alldeles i onödan ineffektivt.
Ibland betonar revisorerna väldigt specifika åtgärder som den som arbetar med säkerhet i organisationen vet att man redan klarat av på annat sätt eller att avsaknaden av åtgärden innebär en mycket liten risk.
Detta går dock inte fram till ledningen som sätter en större tillit till den ytliga granskningen än till den egna personalens bedömningar – onödig kraft läggs då på att checka av åtgärdsförslagen istället för på att reducera verkliga risker.
Säkerhetsarbetet kan därmed snedvridas på avgörande sätt för lång tid fram över.
Detta är bara tre exempel, det finns många fler metoder och krav som kan ses som på det hela taget tämligen improduktiva.
Det är naturligtvis inte en slump att compliance och rapportering är så populärt.
Det är betydligt lättare att ”granska” än att skapa fungerande säkerhetsåtgärder – tro mig, jag har varit på båda sidorna.
Ibland skulle jag vilja gå så långt som att det borde vara förbjudet föreslå metoder och åtgärder för den som inte själv stått i det praktiska slitet att försöka förbättra säkerheten i en faktiskt existerande organisation.
Det är först då en djupare förståelse för hur komplicerat det är att förbättra den verkliga säkerheten, inte bara den som finns i kolumner och poängsättning.
Säkerhetsbranschen har anammat synsätten som leder till största nackdelen med NPM med oklara rambeskrivningar, mätningar och rapporteringar en masse.
Trots att aktörerna i branschen som sagt ofta i andra sammanhang klagar på administration tycks man blind för den negativa byråkrati man själv skapar och som äter upp resurserna som skulle gjort så mycket större nytta i kärnverksamheten.
Informationssäkerhetskraven såsom de ser ut idag trängs med likartade strukturer för hållbarhet, miljö, jämställdhet, ekonomi m.m.
som alla är viktiga men samtidigt tar kraft från det egentliga uppdraget.
Det är tyvärr inte så stor risk att vi råkar ut för något ansvarsutkrävande men vi borde verkligen se oss i spegeln och ställa frågan om vi är närande eller tärande.
Sannolikt mest det senare vilket borde sporra oss till att tänka på att varje timme vi tvingar alternativt uppmuntrar andra till att lägga på att svara på frågor och rapportera tas från en sjuksköterska eller lärare eller någon som producerar något vettigt.
Tre rapporter rörande obligatorisk incidentrapportering har kommit sedan årsskiftet: två från MSB och en från IMY (Integritetsskyddsmyndigheten).
Spännande läsning men säger rapporterna något väsentligt som jag kan dra nytta av i mitt säkerhetsarbete?
Under senare år har det nationella och även europeiska säkerhetsarbetet präglats av en klockarkärlek till obligatorisk inrapportering av incidenter.
Själv känner jag mig mer ambivalent.
Å ena sidan kan det tyckas som en självklarhet att det ska finnas en nationell lägesbild över vad som händer både för det akuta läget men även för att dra nytta av erfarenheterna som det brukar heta.
Å andra sidan är incidentrapportering en aktivitet som rusar i komplexitet när man bara börjar skrapa på ytan, det räcker att försöka rigga en fungerande process i den egna organisationen för att inse det.
Se bara den enkla processbeskrivning jag tagit fram som stöd för den enskilda organsiationer: Tyvärr måste jag medge att jag inte är alldeles övertygad om att kvantitativa insamlingar av något så komplext som incidenter är det bästa sättet att bringa klarhet i vilka verksamhetsstörningar och andra typer av realiserade hot som kan kopplas till it-incidenter (vilket är det som MSB och NIS-direktivet fokuserar på).
Förutom att det tynger de inrapporterande verksamheterna i kritiska faser undrar jag generellt om kvaliteten på rapporteringen och vilken säkerhetshöjande effekt den har.
Generellt är det ett problem att det saknas systematik i det nationella säkerhetsarbetet.
I myndigheter, kommuner, regioner och företag försöker vi få till en PDCA-snurra med ett tydligt C men i de nationella satsningarna för att stödja säkerhetsarbetet tycks inte utvärdering ses som ett nödvändigt steg.
För att ta ett par exempel så har jag frågat MSB om vilken utvärdering som skett av det s.k.
Metodstödet som ligger ute Informationssäkerhet.se och vilken säkerhetshöjande effekt det haft samt ställt samma typ av fråga till SKR angående KLASSA.
I båda fallen var svaret att man inte genomfört någon utvärdering och några planer i den riktningen nämndes inte heller.
Det finns en risk att mycket blir vad jag brukar kalla ”religiös säkerhet”, d.v.s.
åtgärder som vidtas i god tro men där det krävs just tro istället för evidens för att se resultaten.
Ofta handlar det om det som jag redan skrivit om som Graeberskt: när arbetet stannar vid dokument som skrivs, mallar som fylls i, enkäter som besvaras och engångsutbildningar som inte leder till någon djupare kunskap.
När en kommun glatt skriver om att deras styrande dokument blivit ”godkända” av tillsynsmyndigheten men att man inte tittat på hur det faktiskt ser ut i verkligheten tycker jag mig leva i Graebers värld av BS jobs.
Det finns en risk att nationell incidentrapportering blivit så populär just för att den kan röra sig i denna värld.
Vad kommer man då fram till i rapporterna?
För att få litet grepp om frågan har jag gjort en sammanställning av 2020 års inrapporterade incidenter: Under de (alltför) många år jag arbetat med informationssäkerhet har ingen företeelse varit mer omhuldad än de standarder som använts som stöd i arbetet.
När jag började var det BS 77 99 och nu har vi en hel 27000-familj.
Även om jag under alla år har haft en god hjälp av standarderna har jag aldrig riktigt kunna gripas av samma entusiasm som de många, inklusive utgivare av myndigheters föreskrifter, som sett standarderna som ett magiskt spö som det i princip räcker att hänvisa till så försvinner säkerhetsproblemen.
Jag har redan skrivit ett antal inlägg, bl a och berör den ganska problematiska övertro som finns i Sverige till standardens kraft att skapa bättre informationssäkerhet.
Med tiden har jag kommit att fråga mig om sättet att se på framför allt ISO 27000 kanske snarare stjälpt än hjälptt.
En rejäl tankeställare fick jag när jag hade uppdraget att försöka få in säkerhetsperspektivet i en utredning om e-hälsa.
Få saker har jag misslyckats så kapitalt med och en av orsakerna, förutom mina egna brister, var att både utredaren och utredningens sekretariat så fort frågan kom upp smashade bort den som en irriterande fluga med: vi gör en hänvisning till att standarder ska användas.
Eftersom jag inte förstår en vink när jag får den eller snarare bryr mig om den så fortsatte jag och försökte även få ett förtydligande vilka standarder som skulle användas och hur.
Som ni säkert förstår fick jag aldrig några svar på mina frågor utan det ansågs helt tillfyllest att säkerhetsproblem skulle hanteras via ”standarder”.
Självklart förstår jag lockelsen i att det skulle kunna fungera så.
Problemet är att det inte gör det.
Om man tittar bakåt så var standarder i industrisamhällets begynnelse en typ av nationella och internationella överenskommelser om framför allt utformningen av tekniska produkter och mått.
En av mina favoriter är standarden för avstånd mellan hålen för .
Det är ju ett sant kaos som väntar om hålslagen utformas hur som helst och ingen vet vilka pärmar som kan användas för vilka papper.
Men vad händer egentligen när man flyttar över standardiseringsidéen från vidden för järnvägsspår till hur organisationer ska styra olika verksamhetsområden?
När standarder som framtagits utan kontroll från lagstiftare och den egna förvaltningen ska leva sida vid sida med den ordinarie styrningen?
I en mycket intressant från Örebros universitet har författarna (Andersson, Karlsson och Hedström) genom diskursanalys försökt förstå hur framtagandet av standarder i 27000-serien egentligen går till.
Som en bakgrund gör de en åtskillnad mellan s.k.
de facto-standarder som ta fram av ett företag eller flera företag tillsammans som har ett konkret behov av standardisering.
Den andra typen av standarder benämns de jure-standarder som kan utvecklas av olika lagstiftande organ alternativt myndigheter eller av oberoende standardorganisationer som ISO.
27000-serien är alltså en de jure-standard men ligger utanför det lagstiftande området.
Artikeln lyfter också fram att denna typ av standarder strävar efter att skapa en konsensus av vad som bland experter inom området anses vara ”best practice” vilket även framgår tydligt i arbetet med informationssäkerhetsstandarden: De jure standards play a central role in information security, and organizations are increasingly required to demonstrate compliance with them ( ; ).
Det kan alltså ifrågasättas vad standardens ställningstagande egentligen bygger, om dess anspråk på att vila på ”best practice” uppfylls.
Eftersom den inte bygger på evidens skulle dess USP bestå just i en erfarenhetsbaserad kunskap.
Om inte denna grund finns påverkas naturligtvis standardens legitimitet.
Senare i artikeln framgår på ett litet roande och samtidigt avslöjande sätt hur ytterst få som deltar i standardarbetet även om man tågat omkring på standardiseringsmötena som en fåmansprocession under beteckningen ”Sweden”.
Artikelförfattarna gör en maktanalys av själva arbetet med framtagandet av standarder men jag tycker att en vidare maktanalys av hur en mycket liten krets knutna till standardarbetet har haft ett helt dominerande inflytande över svensk förvaltnings arbete med informationssäkerhet.
Resultatet har blivit en hegemonisk doktrin om att ISO 27000 är den enda framkomliga vägen att arbeta med informationssäkerhet i svensk förvaltning trots att denna doktrin vare sig bygger på evidens eller ”best practice”.
Så här 11 år efter att ISO 27000 pekades ut som vägledande för svenska myndigheters arbete med informationssäkerhet i MSB:s föreskrift MSBFS 2009:10 (ytterligare markerat i de följande föreskrifterna fram till den nu gällande MSBFS 2020:6) så tycker jag inte det är uppenbart att det var ett helt lyckat vägval.
Detta bygger jag på attt knappast kan ses som särdeles framgångsrikt mätt med tillgängliga måttstockar, d.v.s.
de granskningar som gjorts både generellt och de som gjorts med inriktning på samhällsviktiga sektorer som exempelvis sjukvård.
Låt oss komma ihåg att detta inte är den enda möjliga vägen att välja.
I Finland antogs i år en av informationshanteringsnämnden under finansministeriet som explicit undviker att hänvisa till någon standard: referensramar och ger inga anvisningar om tekniska lösningar, som kan förändras till och med snabbt.
Utifrån en riskbedömning som görs från fall till fall ska varje myndighet välja tillräckligt säkra tekniska lösningar som är lämpliga i den aktuella situationen.
Jag kommer ihåg att ansvariga för Normen i Norge förde samma resonemang i sina reglervården, man ville inte referera till någon särskild standard.
Uppfattningen var att det var möjligt att plocka ut det man ville ha ur standarder utan att behöva ansluta sig till en helhet som inte kunde kontrolleras av norsk sjukvård.
När standarder lämnar tekniska specifikationer och övergår till organisatorisk styrning uppstår paradoxala effekter.
Jag tänker nu på att ISO 27000 innehåller mycket allmänna krav, att det ska finnas informationsklassning men inte hur den ska utföras eller vilken normskala som ska tillämpas.
Varje organisation ska själv ta fram sitt eget komplexa ledningssystem med de komponenter som anvisas i standarden men utformningen och tillämpningen kommer att se väldigt olika ut, det tror jag varje erfaren konsult kan intyga.
Istället för centrala regler som specificerar olika lösningar får vi alltså en mängd olika regelverk som ska användas i samma infrastruktur.
Standarden leder alltså sannolikt till mindre standardisering på grund av sin inriktning på enskilda organisationer istället för på helhet.
Bräckligheten i kunskapsunderlaget och det fragmentiserade resultatet är två orsaker att ompröva ISO 27000 ställning i den offentliga verksamhetensi Sverige.
Vi behöver inte kasta ut barnet med badvattnet men vi måste våga ifrågasätta doktrinen även om de som har byggt upp en stark ställning med hjälp av standarden riskerar att ta illa upp.
Informationssäkerhet är en för viktig fråga för att vi ska ha råd med heliga principer som inte tål att diskuteras.
Statskontorets publikationer är en underskattad men ständig källa om inte till glädje så till mycket nyttig kunskap.
Under sommaren har jag en forskningsantologi kallad .
Min bedömning är att denna antologi är ett måste för den som arbetar med informationshantering eller informationssäkerhet i offentlig sektor.
Här får man så mycket sammanhang och tankar att man går ur boken som en tjänsteperson eller konsult stärkt och betydligt bättre rustad att hantera sitt uppdrag.
Ur en informationssäkerhetskonsults vinkel är det framför allt avsnitten om hur förpappring, managementbyråkrati, användning av standarder och konsulter riskerar leda inte bara till onödig administration utan också till bristande styrförmåga.
Tyvärr är det mycket som känns obehagligt välbekant.
Det är dystert att blir varse om hur det område man själv jobbar inom liksom man själv kanske är en förgiftad gåva till uppdragsgivaren, att det kostar mer än det smakar.
Vi kanske ödmjukt borde inseltför ofta ger upphov till mer byråkrati än nytta, till mer krångel än säkerhet.
En ständigt närvarande fråga borde vara hur kan vi skapa bättre säkerhet utan att tynga våra uppdragsgivare och utan att ta kraft från organisationernas verkliga uppgifter.
Hur mycket har alla de icke-fungerande ledningssystem inte kostat i pengar, incidenter och en falsk trygghet som hindrat att man vidtagit reella säkerhetsåtgärder.
Slutligen är det för mig oetiskt att ta mer resurser från kärnverksamheten till säkerhet om det inte går att påvisa att det är nödvändigt.
Givna frågor borde vara: Varför fungerar då så mycket avt så dåligt trots de avsevärda resurser som läggs på det från olika håll?
Efter att ha begrundat Statskontorets antologi vill jag på prov lansera hypotesen att många av informationssäkerhetens tillkortakommande beror på att arbetet bedrivits som en del i den new public management-trend som varit rådande i svensk förvaltning de senaste decennierna.
NPM diskuteras frekvent i antologin och många av dessa resonemang kan med lätthet översättas till informationssäkerhetsområdet.
Kännetecknande för NPM är bland annat en strävan att styrformerna i offentlig förvaltning ska likna de i privata företag.
Konsekvenserna blir i korthet decentralisering, ram/mål-styrning, standarder och en massa mätande.
Det som regleras är som ska göras men inte Ansvaret för hur åtgärder ska genomföras trycks ner i den decentraliserade strukturen.
Någon som kommer att tänka på den så omtalade ansvarsprincipen kanske?
NPM kan låta lockande men jag skulle säga att informationssäkerheten nationellt och i de enskilda organisationerna lidit stor skada av att det inte funnits en inriktning att ge tydliga direktiv om olika säkerhetsåtgärder ska utföras.
Det är en närmast kuslig suboptimering att varje organisation ska räkna ut allt själva.
Kravet på kortsiktig leverans och mätbarhet gör att det strategiska arbetet försummas.
Dessutom leder till en bristande samordning i en alltmer integrerad informationsinfrastruktur där en parts investering i säkerhet görs helt urarva genom att andra aktörer har gjort andra bedömningar och därmed inte infört samma skydd.
Fokus ligger också på dokument, standarder och rapportering, allt i enlighet med NPM:s styrfilosofi.
Jag tror inte att motståndet mot att få en konkretare styrning i säkerhetsfrågor ligger hos enskilda myndigheter, kommuner eller regioner, tvärtom är en vanlig utgångspunkt i diskussioner att man vill ha tydlighet och stöd i att veta vilka säkerhetsåtgärder som är adekvata och uppdaterade.
Snarare uppfattar jag att myndigheterna med föreskriftsrätt duckar och inte vill ta det ansvar som det innebär att peka med hela handen.
Det är liksom lättare att klaga på den bristande säkerheten i förvaltningen än att ge ett ändamålsenligt stöd.
Jag vill lansera ett förslag som jag haft sedan jag jobbade på MSB som exempel på hur vi skulle kunna bryta med ovanstående ineffektiva styrning och få en bättre och billigare säkerhet.
Mitt förslag är och har varit att erbjuda stöd i form av standardiserade skyddsnivåer och det jag kallar normerande klassningar.
Skyddsnivåer har jag skrivit om tidigare så därför koncentrerar jag mig på de normerande klassningarna.
Det mest uppenbara exemplet på hur det skulle kunna fungera gäller kommunal verksamhet.
Tänk er att det finns 290 kommuner med samma tio obligatoriska uppgifter.
Det leder till att man har i grunden har mycket likartade processer även om man ofta har egna beteckningar på förvaltningar, processer och informationsmängder.
I större kommuner kan det vara så att flera organisatoriska enheter ägnar sig åt samma slags verksamhet, exempelvis förskola eller äldreomsorg.
Man kan också anlita utomstående leverantörer för att driva verksamhet som till exempel ett äldreboende.
En viktig grundprincip för kommunal verksamhet är likvärdighet, dvs.
att invånare har rätt att förvänta sig samma kommunala service oavsett var man bor eller vem som är utförare.
I det här sammanhanget bör det tolkas som att invånare har rätt till samma säkerhet och integritet.
Detta uppnås dock knappast om informationsklassningar genomförs på tusentals olika sätt med helt olika resultat (jag kommer inte att ta upp SKR:s KLASSA här eftersom jag gjort det på annat ställe och kommit fram till att det inte är ett verktyg för informationsklassning utan möjligen för att ställa baskrav på enskilda system och som dessutom ger precis samma risk för olikartade bedömningar som om man inte använde verktyget).
Vad som skulle leda till både ensartade bedömningar och dramatiskt minskad resursåtgång är att göra normerande klassningar på prioriterade processer i kommunal verksamhet.
Man skulle då gå igenom en generisk process, exempelvis utbetalning av försörjningsstöd, se vilka informationsmängder som stödjer och skapas i de olika aktiviteterna i processen.
Därefter kan informationsmängderna klassas och den normerande klassningen användas av samtliga som utbetalar försörjningsstöd.
I och med att aktiviteter och informationsmängder är förvånansvärt konstanta över tid i många processer (tro mig, jag har gått igenom ett stort antal processer även i ett ”historiskt” perspektiv) så skulle denna grund kunna användas under lång tid.
Uppdateringar måste göras då exempelvis lagstiftning eller andra nya förutsättningar leder till att en förändrad bedömning blir nödvändig.
Även denna förvaltningsinsats har allt att vinna på att genomföras kollektivt och inte av varje informationsägare.
Och, observera, den normerande klassningen är bara ett stöd.
Det står varje informationsägare fritt att välja en annan nivå eftersom ansvaret för säkerheten kvarstår hos hen.
Ytterligare en poäng är att det här finns mycket stora samordningsvinster att göra även med dataskydd och arkiv.
Jamen systemen och it-tjänsterna säger ni uppbragt – varför finns inte de med i konceptet???
Det gör de faktiskt eftersom it-säkerheten hanteras i de standardiserade skyddsnivåerna och gör man sin processorienterade informationskartläggning rätt så identifierar man inte bara de digitala lösningar som används som bärare utan även de andra medier som faktiskt används.
Dessutom förekommer idag information i många fall i flera versioner på olika bärare så därför kan man inte gå nerifrån och upp.
Slutligen är bärarna inte alls lika konstanta som aktiviteter och informationsmängder så att ha dem som utgångspunkt för strategiskt styrning skulle vara göra sig själv en stor otjänst.
En passant kan sägas att samma synsätt sannolikt skulle kunna användas av SÄPO till allas nytta.
Att göra generiska säkerhetsskyddsanalyser för exempelvis kommuner och regioner skulle avlasta dessa aktörer och ge ett mer likvärdigt skydd.
(Jag flyr nu eftersom jag vet att detta är en helig ko som absolut inte får besudlas….).
Min förutsägelse är att det inte finns något ljus som automatiskt kommer att slås på i denna mörka byråkratiska tunnel utan det är vi själva genom att tänka fritt och nytt som måste skapa det.
Det är inte i mängden dokument säkerheten sitter.
Det är lätt att bli tidsblind men jag tror att vi även efterhand kommer att uppfatta våren 2020 som den värsta krisperioden i Sverige sedan andra världskriget.
Skadad av historiska studier är jag väl medveten om hur svårt det är att bedöma nutiden medan den pågår men har ändå blivit fascinerad av hur den nationella beredskapen fungerar när det som alla pratar om men ingen sett inträffar.
Det vill säga den stora samhällskrisen.
En termometer på hur väl det svenska krissystemet mår är den centrala myndigheten för dessa frågor Myndigheten för samhällsskydd och beredskap, MSB.
Jag hade egentligen, efter att ha studerat ett ganska stort antal allmänna handlingar, tänkt skriva om hur myndigheten hanterat det beryktade enkätverktyget.
Det är i sig en intressant historia som i delar redan skildrats av flera medier, kanske mest heltäckande av Arbetaren bland annat .
När man läser handlingarna är det så många överraskande steg allt sedan regeringen den 19 mars ger MSB ett uppdrag (Ju2020/01165/SSK) : Regeringen uppdrar åt Myndigheten för samhällsskydd och beredskap (MSB) att säkerställa att myndigheternas information med anledning av utbrottet av det nya coronaviruset är samordnad och tydlig samt att det finns effektiva kanaler för att föra ut informationen.
I uppdraget ingår att skyndsamt utarbeta ett nationellt informationsmaterial som på ett effektivt sätt ska kommuniceras till så många som möjligt.
MSB får 75 miljoner (!)
för att genomföra uppdraget under 2020, ett uppdrag som till synes inte på något sätt innehåller smittspårning eller insamlande av uppgifter.
Kanske är det de 75 miljonerna som snedvrider uppdraget från början, kanske lockar de 75 miljonerna till sig aktörer som ger myndigheten tips om vad de skulle kunna hitta på för att sätta sprätt på pengarna.
I vilket fall så är det inte MSB:s professionella kommunikatörer som får lead i detta jättelika kommunikationsuppdrag utan Avdelningen för cybersäkerhet och säkra kommunikationer.
Det formella beslutet på denna interna delning kommer den 26 mars, dagen efter att MSB bjudit in Folkhälsomyndigheten till ett möte där den förra myndigheten erbjuder den senare ett digitalt verktyg, allt enligt minnesanteckning från mötet: Kort möte med GD Folkhälsomyndigheten (FHM) sen em 25/3.
MSB tar upp initiativ kring digitalt verktyg för digital självskattning.
GD FHM positiv, betonar att ett sådant här verktyg inte ska driva fysisk testning i fel riktning.
Viktigt att anpassa svar på självskattning så respondenten inte förväntar sig att bara för att man gör digitalt test så får man fysiskt test.
Vad som händer under veckan där MSB:s samordningsuppdrag för myndigheters kommunikation angående corona övergår till att handla om ett digitalt verktyg för självskattning av smitta är för mig okänt men det är uppenbart att det är MSB som vill ha verktyget.
Litet småaktigt vill jag poängtera det eftersom jag själv blivit åthutad på sociala medier av en i utvecklingsarbetet involverad konsult när jag hävdade att det var så det låg till.
Några dagar efter åthutningen gick MSB officiellt ut och sa att det var på deras initiativ som verktyget .
Note to self som konsult: undvik att agera som dina kunders talesperson om du inte formellt blivit ombedd.
Enligt den juridiska utredning som MSB låter en extern byrå genomföra framgår det att det inte ingår i MSB:s uppdrag att bedriva smittspårning.
Därför måste man ha med sig expertmyndigheten FHM för att kunna genomföra projektet med digital självskattning.
Redan här går det se de problem som snart kommer att göra att projektet blir en återvändsgränd.
Rollen som samordnande myndighet kräver respekt för olika aktörers uppdrag och mandat och detta särskilt i trängda lägen, inte att man försöker ta över andra myndigheters uppgifter.
Sedan följer en närmast smärtsam historia fram till slutlig nedläggning via ett antal anhalter där det blir allt tydligare att ingen utom MSB (och leverantör samt konsulter) är intresserade av verktyget.
Kontentan blir x antal miljoner i sjön (konsultkostnaderna är inte medräknade i de 6,4 miljoner som MSB ska betala till leverantören), en granskning av Konkurrensverket och ett rejält tapp i anseende när MSB som bäst skulle behöva det.
Sannolikt har MSB tappat i förmåga att genomföra det egentliga uppdraget från regeringen: att samordna myndigheters information angående corona vilket knappast kan glädja uppdragsgivaren.
Det går att föreställa sig mindre trivsamma samtal på regeringskansliet.
Som en slutkommentar till Arbetaren säger MSB:s pressekreterare: Vi tar hellre kritik för att vi skyndar på att ta fram en lösning som på något sätt kan vara till hjälp när människor dör, än att få kritik för att vi sitter på händerna och inte gör något.
Vi ansåg att vi var, och är, i ett läge där det var viktigt att agera när det handlar om människoliv.
MSB reagerar alltså exakt på det sätt som jag skrivit om i ett tidigare , att göra NÅGOT känns alltid bättre även om detta något är inte leder framåt eller förbättrar situationen.
I krissituation är det viktiga tillit och att alla vet vem som ska göra vad.
I bakhuvudet gnager en liten olustig känsla av att myndigheten kan ha reagerat på yttre påverkan vilket lett fram till haveriet.
Det är lätt att glömma bort att de vanligaste påverkanskampanjerna är de ekonomiska.
Det skulle vara lätt att göra sig lustig över denna tragikomiska historia.
Det är inte min intention.
Istället får den mig, liksom många andra i dessa dagar, att reflektera över den svenska beredskapen och myndigheters förmåga.
Framförallt funderar jag på hur MSB (och andra myndigheter) förefaller så synnerligen oförberedda på en pandemi att man är tvungen att kasta sig in i så äventyrliga och ofruktbara aktiviteter som webenkäten.
Pandemi är verkligen inte en svart svan i ett riskperspektiv utan snarare vad Michele Wucker kallar en ”grå noshörning”: A “gray rhino” is a highly probable, high impact yet neglected threat: kin to both the elephant in the room and the improbable and unforeseeable black swan.
Pandemier har redan inträffat och har varit på MSB:s short list över samhällsrisker ända sedan myndigheten startade.
Ändå tycks inte nödvändiga förberedelser för samordning i en pandemisituation ha gjorts.
Detta ska inte MSB lastas för utan snarare de regeringar som styrt under perioden.
Kanske måste djurmetaforerna gå vidare till svarta strutsar (ja, jag vet att det inte är så i verkligheten att strutsar gräver ner huvudet vid annalkande fara men det är en bra metafor).
Nu pratas det i alla politiska läger om vikten av att förbättra den civila beredskapen och kanske till och med snegla tillbaka till beredskapens guldålder i Sverige: .
Problemet med detta är att det innebär att ett antal av dagens heliga kor måste slaktas om det ska fungera.
Det är inte bara mycket stora ekonomiska resurser som behövs.
Vi har under närmare 40 år demonterat den starka staten som är en förutsättning för en sammanhållen nationell beredskap och istället privatiserat och fragmentiserat ansvaret utan tanke på hur alla skärvor ska kunna skapa en helhet då det behövs.
Typexemplet på detta är ansvarsprincipen som inte är inskriven i någon lag men som har haft en förödande inverkan på den gemensamma styrningen av krisberedskapen.
Fragmentiseringen har inte kompenserats med en stark myndighet som nationellt nav.
MSB:s roll är istället att försöka samordna utan sammanhållen nationell planering och i stort utan mandat att faktiskt styra samhällsviktiga aktörer.
Fallet med webenkäten får tolkas som ett utslag av MSB:s omöjliga roll och borde vara ett exempel av många som bör leda till att ansvarsprincipen omprövas och att en verklig krisberedskapsmyndighet med fullt mandat skapas.
Kriser har den fördelen att de oftast tar slut.
Att framgångsrikt hantera kriser bygger därför på att man inte bara hanterar nuet utan även framtiden.
Folkhälsomyndigheten har varit beundransvärda i att de lyckats hålla blicken uppe och fått allt fler att förstå att bekämpningen av coronaviruset inte bara handlar om drastiska åtgärder här och nu utan att vi både måste tänka på nästa virusvåg som kanske kommer redan i höst.
Ett annat budskap är att vad som ska värnas är folkhälsa där virusbekämpningen inte får överskuggande sekundäreffekter som i skapar större ohälsa och död än själva viruset.
Däremot når nu MSB:s insatser en sådan nivå att de t.o.m.
får vara med i satirinslaget i P1, en ynnest som är få myndigheter förunnad.
Inslaget handlar förstås om den famösa enkätappen som jag omnämnde i mitt förra och som nu även tagits upp i MSB har hintat om lanseringen av appen med en näraliggande men okänd startpunkt.
Tyvärr har myndigheten inte någon kommunikationslinje i frågan, vid konkreta frågor som i Eko-inslaget kommer endast undflyende svar.
Jag kan förstå det.
Det är svårt att sälja in en lagring av personuppgifter på befolkningsnivå i en amerikansk molntjänst.
Eftersom jag själv varit engagerad i svagheterna i projektet Hälsa för mig så har jag svårt att känna stark tilltro till att det snabbt går att vispa ihop en dylik tjänst med tillräcklig säkerhet och med tillräcklig respekt för dataskyddsförordningen.
Det är ju liksom ingen slump att eSam gjort ett om det olämpliga i att använda molntjänster när personuppgifter eller annan känslig information förekommer.
Vid sidan om själva enkätappen är MSB:s kommunikation den lika märklig.
Grunden för fungerande kriskommunikation är att inte skapa mer oro än nödvändigt utan delge de fakta som finns och som är relevanta i den aktuella situationen.
MSB har nu haft några olyckliga veckor trots att de ska vara samhällets experter på kriskommunikation.
Kanske tröttnade man att vara transportsträckan i dagliga presskonferensen på Folkhälsomyndigheten och att det var orsaken till att man helt plötsligt spicade upp sin monotona redogörelse om samordningsmöten med länsstyrelserna med att föranstalta en möjlig vattenbrist.
En signal som ledde till att redan hårt tyngda kommuner fick svara på helt irrelevanta frågor om icke-existerande vattenbrister från oroliga medborgare och medier.
Sedan detta smyglanserande av enkätappen som skapar frågor som inte besvaras utan skjuts till en obestämd framtid.
Detta leder inte till en större tillit i krisen.
Någon skulle kunna invända att nu när vi står inför en så stor kris som denna blir frågor som säkerhet och integritet underordnade.
Jag håller inte med om detta utan som jag skrev i mitt tidigare inlägg så är det när vi är som mest pressade som vi måste försöka tänka klart och följa de rutiner vi satt i normalläget, t.ex.
gällande riskbedömningar.
Vi ser nu hur det runt om i världen sker överträdelser mot grundläggande rättigheter och att auktoritära medel som inkräktar på individens sfär alltför villigt vidtas.
I Sverige har vi en lång stabil tradition av tillit och respekt men det finns ingen garanti att vi klarar att bevara detta.
Att myndigheterna sköter sig, inte genar eller agerar impulsivt är också grunden för den tillit som krävs för krisbekämpningen – inklusive att genomföra smittspårning m.m.
Efterklokt skulle man möjligen kunna kritisera myndigheterna för att de inte tagit fram ett smittspårningsverktyg i mellantiden sedan svininfluensan för ett decennium sedan utan börja ad hoca nu för då skulle säkerhetsfrågorna sannolikt kunnat hanteras på ett systematiskt sätt men det båtar föga.
Naturligtvis skulle man kunna säga att det är dumt att spekulera när så litet är känt och allt det jag skriver nu står på en mycket vacklande grund.
Ändå är detta en så viktig fråga att det är svårt att låta bli och spekulationernas kvalitet blir även den ett resultat av MSB:s kommunikationsplan.
För mig är det svårt att förstå hur en kombination av inloggning med BankID, amerikansk molntjänst och och känsliga personuppgifter inte skulle leda till mycket stora risker och att dataskyddsförordningen inte kan efterlevas.
MSB:s gedigna juridiska kompetens har möjligen gjort en annan bedömning men det är just den man skulle vilja ta del av, särskilt som den rimligen redan är färdigställd om breddlanseringen ska ske i dagarna.
Med den som underlag skulle kriskommunikationen kunna ske utan att orimliga spekulationer och onödig oro uppstår.
Mitt förslag är att, särskilt efter medieuppmärksamheten, MSB omedelbart presenterar den som är av stort intresse särskilt för oss som följt diskussionerna efter eSams uttalande.
Har MSB lyckats knäcka den nöten så är det stora nyheter för både Eller så har jag och en hel del andra missuppfattat upplägget (inte alls otroligt) och då vore det ju bra om MSB gick ut och beskrev hur det egentligen ser ut.
Är det så att MSB inte har ett vattentätt underlag så kommer man att underminera det mycket mödosamma arbete som bedrivs i många, om inte de flesta, organisationer, idag för att nå fram till ett ansvarsfull sätt att hantera molntjänster.
Detta menar jag vore förödande för MSB som den myndighet som ska samordna samhälletsslarvar med säkerheten.
Det skulle leda till att det svenska samhället skulle få ännu svårare att bemästra de mycket utmanande uppgifter vi redan står inför.
MSB:s egen verksamhet är ett show room för hur det är tänkt att andra myndigheter ska agera och förutom legitimitet finns det också mycket reell säkerhet att förlora om inte MSB klarar sin roll att leda genom sitt exempel.
MSB:s skrift Om krisen eller kriget kommer har en aningen märklig titel som om det finns ett krisfritt alternativ.
Jag tror både myndigheten och vi andra skulle tjäna på att ”när” snarare än om, i alla fall när det gäller kriser.
När krisen verkligen kommer skapas ett skilje där organisationer och individer ofrivilligt visar sitt virke, om man klarar att fungera rationellt även under press.
Planering för vad som ska göras när allt står på ända är ett bra sätt att stärka sitt virke.
Så än mer att kunna upprätthålla sina principer och sin planering när krisen väl inträffar.
Länge fanns en syn att säkerhet var ett hinder för en fungerande verksamhet.
Långsamt har vi tagit oss till en situation där allt fler ser att säkerhet inte är hinder för verksamheten utan en förutsättning, och då alldeles särskilt i svåra situationer.
Vi kan inte gå tillbaka till ett antingen det ena eller det andra, vi måste fortsätta kämpa för både effektivitet och säkerhet.
Det är bra om MSB befinner sig på rätt sida i det arbetet så att inte nya stora problem har skapats som ger utslag när krisen väl är över.
Jag kommer nu att ikläda mig rollen av glädjedödare i dessa ändå så svåra tider – jag ber om ursäkt för det.
Under de senaste veckorna i coronans tid så blommar olika personligheter och mänskliga beteenden för att hantera kriser ut.
I denna vilda blandning av känslor och rationalitet är det inte lätt att urskilja vad som är vad.
Jag tänker nu oftare än vanligt på hur viktigt individens men också organisationens sätt att agera varit i de mer kritiska situationer jag varit inblandad i och vem jag skulle vilja ha vid min sida i en verkligt akut situation.
Att inte låta känslorna styra i en krissituation kan nog alla hålla med om i teorin.
Vi vet att stress försämrar vår tankeförmåga och att det därför i krissituationer är lätt att tillgripa helt fel lösningar eller missa uppenbara svagheter i handlingsalternativen.
Likaså är historien rik på exempel där boten varit värre än soten, d.v.s.
att de åtgärder man vidtagit för att hantera ett akut problem på kort eller lång sikt lett till värre konsekvenser än det ursprungliga problemet kunnat orsaka.
En illustration på detta är agapaddan som trettiotalet importerades till Australien från Hawaii som ett slags biologiskt bekämpningsmedel av en skalbagge som hotade sockerbetsodlingar.
Nu finns det över 100 miljoner av den giftiga paddan som hotar djur- och växtlivet på hela kontinenten.
Detta försvåras av att de sekundära problemen kanske uppstår inom ett helt annat område än där den ursprungliga krisen rör sig.
De som arbetar med krishanteringen kan därmed inte överblicka de möjliga sekundära konsekvenserna eftersom man kanske inte ens har rätt kompetens för att upptäcka dem.
Jag ska inte här gå in på det utslitna filosofiska järnvägsproblemet där olika liv ställs mot varandra utan nöjer mig med att säga att ALLA mår bra av att läsa filosofi och dessutom tänka några extra varv.
När vi blir utsatta för en pressande situation får många individer och organisationer ett starkt behov av att agera.
Att agera är ångestdämpande i sig för det ger känslan av att påverka hotet oavsett effekten av åtgärderna.
Just här menar jag att det just nu finns ett riskabel situation när både individer och myndigheter i positiv anda försöker bekämpa coronan eftersom man i vissa fall tycks släppa sitt ordinarie säkerhetstänkande (vilket väl i ärlighetens namn inte är på toppnivå ens i normalläget).
Samma sak med integritet och skyddet av personuppgifter.
De nya och provisoriska arbetssätten leder till nya risker som måste fångas upp och reduceras.
Anekdoter om hur man helt plötsligt fått oväntat besök i sitt Teams- eller Zoom-möte florerar utan att det observeras som ett säkerhetsproblem.
Okritiska reportage om hur kreativa elever fått skolor att börja använda (!)
i skolans uppgifter.
Entreprenörer som flashar om att de håller på att utveckla appar för smittspårning.
Säkerhet och integritet nämns ytterst sällan och då bara i formuleringar som ”liv går före allt” vilket implicit tycks betyda ”vi struntar i informationssäkerhet och integritet”.
Extra betänksam blir jag av att många tycks inspirerade av Kinas övervakningsmetoder och i denna uppskruvade anda inte tycks se vad de kostar.
När det i fredags kom ett kort meddelande på Ekot att MSB håller på att ta fram någon form av app för smittspårning åt FHM men inte vill kommentera hur den ska utformas undrar jag hur genomtänkt den lösningen egentligen är (särskilt ironiskt med tanke på att MSB varit en bastion spårbarhet som säkerhetsdimension).
Eller är detta myndigheter som drabbats av ett akut behov av att se verksamma ut och därför är beredda att hoppa över säkerhetsskacklarna?
Det är svårt att se hur en sådan lösning skulle kunna tas fram med tillräcklig legal och säkerhetsmässig analys på så kort tid.
När jag pratar om vikten av säkerhet avser jag inte enbart konfidentialitet.
Om man ska skapa olika rapporteringstjänster måste även behovet av riktighet, spårbarhet och tillgänglighet bedömas – annars riskerar man faktiskt att få lösningar där boten är värre än soten.
En lösning för akut rapportering som bygger på sms (förekommer faktiskt) leder till falsk trygghet och att nödvändiga åtgärder kanske inte sätts in för att ta ett enkelt exempel.
Det är just i krissituationer som det systematiskat prövas.
Det är nu som informationsklassningar och riskanalyser har som störst betydelse för att medvetna risker ska kunna tas av den som är riskägare.
Jag vill inte att all kreativitet och god vilja ska kväsas men vi måste arbeta på ett sätt som inte leder till större skador på sikt.
Även om det är kontraintuitivt så måste medvetna bedömningar göras av risker och lagstiftning respekteras.
Appar som används för rapportering av symptom för diagnos är exempelvis medicinsk-teknisk utrustning och måste uppfylla kraven på sådan.
Vi kan inte ge oss hän åt våra känslor utan måste låta systematiken ge oss tillgång till rationaliteten.
Extra illa om en myndighet som MSB signalerar att säkerhet skulle vara av underordnad betydelse i krislägen.
Det är nu vi som mest behöver vårt förnuft och då är det inte alltid bäst att göra ”något” utan vi måste göra så rätt som möjligt.
Jag ska nu kort återkomma med en uppdatering gällande SKR och överföring av känslig information till denna intresseförening, för bakgrund se .
För att sammanfatta frågan så har SKR växt som en gökunge i den svenska förvaltningen och fått/tagit allt fler myndighetsliknande uppgifter trots att man, som SKR själva ivrigt hävdar, inte är en myndighet utan en arbetsgivare- och intresseförening.
Därav följer att SKR inte har det ansvar och den insyn som en myndighet och vi som medborgare egentligen saknar möjlighet att kontrollera och utkräva ansvar av föreningen.
SKR ligger helt enkelt utanför den styrning som den svenska förvaltningen bygger på och det är svårt att ens se vilken lagstiftning som är tillämplig.
Detta förhindrar den kritiska granskning som offentlighetsprincipen möjliggör för myndigheter även om SKR ibland försöker vilseleda genom att hävda att de handlingar som hanteras inom föreningen blir offentliga när de inkommer till medlemmarna.
Häromdagen fick jag detta l mig tillsänt där Marie Morell (m), ordförande för sjukvårdsdelegationen på SKR, hävdar just detta i en fråga som har en ekonomisk betydelse för enskilda: – Vi har kontaktat dem och skickat ut material till dem vid ett flertal tillfällen.
Det är viktigt att de skapar någon form av branschråd så att vi har en motpart att arbeta med.
Vi är en ideell förening och som sådan lyder vi inte under offentlighetsprincipen.
Men handlingarna blir offentliga så fort de inkommer till respektive region eller kommun, säger Marie Morell.
Det finns alltså ingen insyn i själva processen och som jag tidigare visat är det högst tveksamt vilka av SKR:s många ”interna” dokument som verkligen ses som inkomna till medlemmarna.
Att inte ens handlingar i beredande organ hos SKR blir allmänna handlingar hos de regioner/kommuner som har representanter i dessa organ är för mig tämligen hårresande och jag försöker förstå vem en sådan representant tror sig vara.
En privatperson som blivit invald i hembygdsföreningens styrelse (inget ont om hembygdsföreningar)?
Nu när offentlighetsprincipen är hotad från olika håll känns det extra angeläget att slå vakt av denna för Sverige (och Finland) unika medborgerliga rättighet.
I mitt framförde jag dock att det är likaledes viktigt att se vilka risker det innebär att kommunicera känslig information med en aktör där OSL inte kan tillämpas.
Grunden för att kunna skydda känslig information när den utbyts med utomstående parter är att reglera hur informationen får hanteras.
När det gäller utbyte mellan myndigheter finns denna reglering i huvudsak redan på plats genom lagstiftningen (även om jag tycker att det ofta finns anledning att förtydliga relationen myndigheter emellan).
Här intresserar jag mig inte för säkerhetsskyddsområdet utan framför allt den lagstiftning som gäller normala verksamhetsförhållande men där mycket starkt krav på konfidentialitet finns t.ex.
gällande samhällsviktig verksamhet.
Notera att det där även finns annan lagstiftning som är ytterst relevant som exempelvis Krisberedskapsförordningen.
Denna reglering saknas då information ska utbytas med privata aktörer som företag och, som i det aktuella fallet, föreningar.
Då måste menar jag ett avtal slutas som beskriver villkoren för att informationen ska kunna lämnas ut, åtgärder som ska vidtas och ansvarsförhållanden.
För att reducera att konfidentiell information kommer i orätta händer bör man även minimera informationen som utlämnas till det absolut nödvändiga samt ålägga motparten att säkerställa att endast de som verkligen behöver informationen kan ta del av den.
Enligt mitt resonemang är det alltså en självklarhet att myndigheter måste använda sekretessavtal eller motsvarande när de tänker utbyta information med företag och föreningar.
Därför frågade jag två myndigheter som på olika sätt har ett ansvar för samhällsviktig verksamhet om de slutit sekretessavtal med SKR.
Först gick frågan till MSB som ju har ett mycket omfattande ansvar i dessa frågor: Hej!
MSB har ett omfattande samarbete med SKR i olika frågor.
Vissa av dessa frågor kan vara av känslig karaktär som kommuner/regionens insatser i det civila försvaret, samhällsviktig verksamhet, informations- och cybersäkerhet osv.
I dessa frågor utbyts rimligen känslig information.
SKR är en intresseförening som inte omfattas av OSL på samma sätt som en kommun/region, ett kommunalförbund eller ett kommunalt bolag.
Jag är därför intresserad av att ta del av det samarbetsavtal med vidhängande sekretessregler eller motsvarande som utgör reglering av dessa frågor i relationen mellan SKR och MSB.
Efter tämligen lång tid och en påstötning fick jag följande svar: Jag måste först beklaga att du fått vänta på ett besked men på grund av olyckliga omständigheter har beskedet fördröjts.
Genom en sökning i vårt diarium har vi hittat två avtal med SKR: Du har rätt att begära ett skriftligt beslut som går att överklaga.
Skriv till .
För ögonblicket är jag inte så intresserad av det civila försvaret som ju knappt kommit igång så därför gick jag in på .
Det är upp till varje läsare att ta ställning men jag kan inte se att detta dokument på något sätt reglerar sekretessen i förhållande till SKR.
Detta kan synas extra anmärkningsvärt i dessa coronaapokalysens tidevarv när Socialstyrelsen sekretessbelägger information för media om vårdens p medan intresseföreningen SKR sitter med på MSB:s samordningskonferens i samma fråga.
Visserligen togs sannolikt inga känsliga frågor upp då SKR var med men det visar den vinglighet som finns då det gäller just SKR .
Jag ställde samma fråga till eHälsomyndigheten som tillsammans med bland annat SKR arbetar med den nya in (återkommer inom kort angående detta alster) och där man får gissa att det för en del diskussioner om kritiskt infrastruktur osv.
Från denna myndighet fick jag bara ett kort nej på frågan.
Detta är förstås bara två stickprov men ändå från myndigheter som är vana att hantera sekretess.
Det kan tyckas litet märkligt efter allt som hänt med Transportstyrelsen och andra incidenter där information överförts på oklara grunder.
Mitt intryck (bekräftat av ett antal tjänstepersoner på andra myndigheter) är att myndigheterna helt enkelt inte tänker på att SKR inte är en myndighet utan utgår från att föreningen är som vilken deltagare som helst i myndighetssamarbetena.
Inte heller kommuner och regioner verkar reflektera särskilt över detta utan överför utan förbehåll känslig information till det de i vissa fall verkar se som en ”överordnad” aktör.
Detta även då det gäller informationssäkerhet.
Nyligen skickades ett mail ut från SKR: Klassa 4.0 har varit efterfrågat länge och nu finns finansiering för ett projekt som inleds i nästa vecka.
Det blir flera förändringar i den nya versionen, bland annat förbättringar av befintlig funktionalitet, bland annat uppdateringar av kravkataloger som genererar uppgifter till handlingsplanen och en nödvändig översyn av upphandlingskraven.
Dessutom blir det en hel del ny funktionalitet, t.ex.
: – En ny modul för att mäta organisationens mognad, – Möjlighet till uppföljning och att ta ut nyckelvärden för organisationen och anpassat till målgrupp, – Möjlighet för SKR att ta ut nationell uppföljning på aggregerad nivå, – Stöd för CISO i det systematiska arbetet och – Modul för riskanalys.
Dessutom kommer SKR att förstärka sin organisation för att kunna avsätta mer resurser till förvaltning av Klassa.
Det kommer att öppnas en möjlighet för statliga myndigheter att använda Klassa.
Verktyget kommer dock fortsatt att ägas av SKR med kommuner och regioner som primär målgrupp.
Detta menar jag är ett projekt som bör utsättas för en mycket grundlig riskanalys!
Dessutom kan det verkligen ifrågasättas varför denna nationellt intressanta information ska ägas av en förening utan insyn och där det inte heller går att bedöma säkerhetsriskerna.
Det är dags för en mer omfattande diskussion om SKR:s roll.
Myndigheterna bör också ha en konsekvent linje i förhållande till ”förvaltningsskvadern” – antingen är man en myndighet med det fulla ansvar som en sådan har eller så få man återgå till att vara en arbetsgivarorganisation en arbetsgivarorganisation som i huvudsak ägnar sig åt sina medlemmars avtalsfrågor.
Sekretessavtal bör i dagsläget vara ett minimikrav för alla myndigheter, inklusive kommuner och regioner, som utbyter känslig information med SKR på samma sätt som man reglerar relationen med vilken privat aktör som helst.
Efter att till största delen fåfängligt tröskat runt om SKL/SKR:s (hädanefter benämner jag organisationen SKR trots att den hetat SKL) hittar jag plötsligt en från Riksrevisionen som tar upp EXAKT samma saker som jag skrivit om!
Hur har jag kunnat missa det – det var ju inte längre än sedan 2017 den skrevs?
Jag rekommenderar alla intresserade av offentlig styrning att läsa rapporten eftersom här summeras en rad väsentliga frågor.
Rapporten handlar framför allt om hälso- och sjukvård men kan även läsas som en mer generell beskrivning av hur SKR fungerar.
Som jag i tidigare inlägg försökt återge har styrningen inom den offentligt finansierade sjukvården helt förskjutits i och med att Socialstyrelsen slagits i bitar.
Den svenska förvaltningen bygger på att det finns beredande myndigheter som fungerar som ett mellanled mellan olika intressenter och regeringen.
I detta fall har denna mekanism upphört att verka och SKR har istället kunnat förhandla direkt med regeringen och i vissa fall t.o.m.
haft en dubbelroll där man kunnat ge sig själv uppdrag.
I huvudsak har det handlat om att förmedla statsbidrag som (rapportens beteckning) vilket paradoxalt gett SKR en roll de facto överordnad sina medlemmar.
Just detta har ibland framskymtat i samtal med representanter för vården, att gäller att hålla sig väl med SKR eftersom det i annat fall kan påverka den ekonomiska fördelningen.
Sant eller inte, denna roll har inte enbart varit till godo för SKR, särskilt som det inte är små summor man har fått både för att fördela till sjukvårdshuvudmännen och till sin egen organisation.
SKR:s mycket stärkta roll har flera orsaker men en viktig sådan är just de otraditionella styrmedel som regeringen under ett drygt decennium (över-?)
använt särskilt i vården där regeringen velat höja ambitionsnivån men varit delvis förhindrad att styra genom det kommunala självstyret.
Lösningen har varit olika typer av riktade bidrag och överenskommelser som SKR fått i uppdrag att förmedla: Överenskommelserna har inte ingåtts med enskilda landsting utan med SKL för samtliga landsting.
Det har praktiska orsaker.
Det var enligt dåvarande socialministern helt enkelt enklare att teckna överenskommelser med SKL än med 21 — Inom ramen för utvecklingsarbetet framkom också en del kritiska synpunkter från enskilda tjänstemän när det gäller SKL:s roll i överenskommelserna.
Ett exempel är att några tjänstemän ställde sig frågande till SKL:s kapacitet att hantera långsiktighet och mer förvaltande uppgifter i samband med överenskommelserna.
Flera pekade på att SKL i sin roll har att hantera konflikten i att vara en del i en statlig satsning och samtidigt värna medlemmarnas intressen.
Några enskilda tjänstemän tyckte att överenskommelser kan ses som ett slags symptom på att myndigheterna inte fungerar bra; att regeringen i brist på välfungerande myndigheter väljer att vända sig till SKL.
Detta har skapat det SKR som vi känner idag: Regeringen har använt sig av otraditionell styrning som i stor utsträckning involverat SKL, vilket gjort SKL till en central aktör i styrningen.
Riksrevisionens bedömning är att detta skett utan att regeringen aktivt tagit ställning till vilken roll SKL ska ha i styrningen av vården.
Att SKL fått stort inflytande kan snarare ses som ett resultat av att regeringen allt oftare valt att ingå överenskommelser som vid varje enskilt tillfälle gett SKL lite mer att säga till om.
Att SKL påverkar villkoren för kommuner och landsting är naturligt.
(min kursivering) Givet de begränsningar som finns för regeringen att direkt styra vården är det begripligt att regeringen valt att använda sig av SKL.
Mycket talar för att regeringen helt enkelt ansåg att det inte var möjligt att få samma effekt med hjälp av de statliga myndigheterna på vårdområdet.
I praktiken har det emellertid inneburit att regeringen har gett SKL en myndighetsliknande roll.
Riksrevisionen kan konstatera att det saknas normativa principer för när, och i så fall hur, regeringen kan använda icke-offentliga aktörer för att genomföra sin politik.
Det finns fördelar men också nackdelar med att använda SKL i styrningen av vården.
SKL har naturligt närmare till landstingens verksamhet och kan därmed fungera som en viktig länk mellan staten och landstingen.
Det har också framkommit att det ur regeringens perspektiv kan upplevas som en snabb och flexibel väg för att nå ut till vårdens huvudmän.
(min kursivering) Riksrevisionen noterar även att SKR fått uppdrag gällande kunskapsstyrning vilket bland annat handlar om att ta fram kunskapsunderlag på ungefär samma sätt som Socialstyrelsen: I och med att regeringen har involverat SKL i styrningen av vården har det uppstått något som kan liknas vid en konkurrenssituation mellan den centrala förvaltningsmyndigheten och huvudmännens medlemsorganisation.
Båda organisationerna arbetar med kunskapsstöd till kommuner och landsting.
Vidare arbetar både SKL och Socialstyrelsen med att ta fram kunskap om hur vården fungerar.
Socialstyrelsen arbetar alltid på uppdrag av regeringen, och SKL på uppdrag av medlemmarna.
Inom ramen för överenskommelserna agerar SKL även som genomförare av regeringens politik.
Det är svårt att dra gränsen för vad som är SKL:s respektive Socialstyrelsens roll eftersom uppgifterna överlappar varandra.
Vidare har det framkommit i våra intervjuer, även med SKL, att det är vanligt att SKL uppfattas som en myndighet.
Ett sådant kunskapsunderlag som tas upp är väntetidsdatabasen som infördes i samband med vårdgarantin: Som en följd av vårdgarantin infördes en skyldighet för landstingen att lämna uppgifter om väntetider till en nationell databas.
Regeringen har i författningar reglerat att landstingen ska lämna uppgifterna ”till den nationella väntetidsdatabas som förs av Sveriges kommuner och landsting”.
Databasen förvaltas av SKL men har finansierats av staten.
Detta udda arrangemang lyfts fram av Riksrevisionen eftersom de bara kunnat hitta ett annat liknande fall: Att databasen hanteras av en intresseorganisation är en ovanlig lösning.
Riksrevisionen har endast funnit ett delvis liknande exempel inom svensk förvaltning: ett jaktregister som tidigare fördes av Svenska Jägarförbundet, och som nu hanteras av Naturvårdsverket.
I fallet med väntetidsdatabasen tillkommer även komplikationen att staten är beställare av vård av SKR:s medlemmar – att då leverantörernas intresseorganisation kontrollerar möjligheten för beställaren att bedöma i vilken grad ”beställningen” uppförts.
(min kursivering) Att regeringen inte tagit ställning i ägarskapsfrågan innebär i praktiken att det som tagits fram på SKL stannar på SKL.
Det är Riksrevisionens uppfattning att regeringen behöver utvärdera samarbetet med SKL för att på ett principiellt plan ta ställning till formerna för samverkan.
Regeringen har en ambition att minska detaljstyrningen på vårdområdet, men utvecklingen går långsamt.
Regeringen har uttryckt att antalet överenskommelser ska minska.
Trots detta har antalet överenskommelser på vårdområdet inte förändrats, och den ordning som har uppstått där SKL har en mycket central roll i regeringens styrning av vården tycks vara svår för regeringen att ta sig ur.
Om det nära samarbetet med SKL, i form av t.ex.
överenskommelser, ska fortsätta behöver regeringen säkra tillgången till det som tas fram med statliga medel.
Det kan t.ex.
handla om att reglera insyn och förvaltning under och efter en satsning. . (min kursivering) Den omfattande styrningen genom SKL har också lett till att rollfördelningen mellan SKL och Socialstyrelsen uppfattas som otydlig.
(min kursivering) SKR har alltså suttit på dubbla stolar: dels företrätt sina medlemmars intresse, dels agerat som statens förlängda arm och att det dessutom är svårt att avgöra på vems initiativ olika aktiviteter genomförs: Det har framkommit i flera intervjuer att SKL har stor initiativmakt när det gäller statens styrning av vården.
Enligt såväl Socialstyrelsens före detta som den nuvarande generaldirektören har regeringen ett nära samarbete med SKL: ”Regeringen beslutar, men [SKL] har stor möjlighet att föreslå.
Detta bidrar också till finansiering från staten i många fall.” I intervjuer med både SKL och dåvarande socialministern har det framkommit att överenskommelser ibland uppstått på initiativ från SKL och ibland från regeringen.
SKL är involverade både i att generera ämnen för överenskommelser och innehåll, t.ex.
Men SKR har inte bara fått maktmedlet att fördela avsevärda resurser, man har även fått pengar från staten direkt till den egna organisationen.
Totalt för perioden 2009−2016 har staten utbetalt 1 078 miljoner kronor till SKL centralt för hälso- och sjukvård.
finansierat utvecklingsarbete, nationell samordning och uppföljning av landstingens arbete.131 SKL har därmed kunnat bygga upp betydande kompetens och förvaltning med hjälp av de statliga medlen.
Enligt Socialdepartementet kan SKL:s arbete konkret handla om it-stöd, metod- och implementeringsstöd, kommunikationsinsatser, resurser för samordning centralt, regionalt och lokalt etc.
Eftersom Riksrevisionen påpekar att det varit svårt att få en samlad bild av hur staten finansierar SKR:s interna verksamhet har jag inte ens gjort något försök att se vad som hänt efter 2016 men en rimlig gissning är väl att kostnaderna för staten inte på något remarkabelt sätt minskat.
Utöver detta tillkommer de medel som medlemsorganisationerna tillför.
Sammantaget kan det tyckas som SKR lever ganska gott vilket väl faktumet att man har anställda och ett kontor i Bryssel i sin kansliorganisation.
Litet spydigt så skulle man kunna tycka att SKR skulle använda sin universalmedicin ”effektivisering genom digitalisering” på sin egen organisation – kanske skulle en AI-lösning kunna framställa peppiga digitaliseringskampanjer utan mänsklig handpåläggning?
Riksrevisionen jämför i sin rapport de statliga anslagen gällande vårdområdet (för SKR tillkommer ju även andra statliga medel eftersom man inte enbart hanterar vård) och det visar ganska tydligt att SKR får ett rejält tillskott även jämfört med myndigheterna.
Relationen mellan framförallt Socialstyrelsen och SKR är komplicerad på flera sätt: I samtliga intervjuer med chefer och medarbetare på Socialstyrelsen har det framkommit att man betraktar SKL som en stark aktör.
I flera intervjuer har chefer och utredare på Socialstyrelsen beskrivit att de upplever att myndigheten urholkats eller ”hamnat i bakvattnet” i jämförelse med SKL.
Företrädare för SKL har i våra intervjuer varit noga med att betona att deras roll är att ta till vara medlemmarnas intressen och att SKL inte kan bestämma över landstingen.
Samtidigt har chefer på SKL gett uttryck för att organisationen kan och bör vara något mer än en intresseorganisation: ”Utan att vara en formell myndighet kan vi i vissa stycken ha en funktion som stödjer och utvecklar t.ex.
kunskapsstyrning genom vårt arbete.”När det gäller statens roll har företrädare för SKL uttryckt en uppfattning om att staten inte ska vara inne i det verksamhetsnära och att statens uppgift är att göra det som ”ingen annan kan”.
En sammanfattande bedömning från Riksrevisionen är: Riksrevisionens bedömning är att regeringen har låtit samarbetet med SKL − och därmed SKL:s inflytande över styrningen av vården – växa i alltför stor omfattning.
Riksrevisionen noterar att medlen till SKL ökar.
Enligt Riksrevisionens mening vore det rimligt att riksdagen informerades om omfattningen och utvecklingen av medlen till SKL.
Anledningen är att de medel som tilldelats SKL centralt är i nivå med förvaltningsanslagen på vårdområdet som riksdagen beslutar om samtidigt som SKL är en intresseorganisation.
Det är Riksrevisionens uppfattning att regeringen behöver utvärdera samarbetet med SKL för att på ett principiellt plan ta ställning till formerna för samverkan.
Detta var skrivet 2017 och tyvärr har regeringen hittills inte, vad jag kan se, följt Riksrevisionen när man säger att regeringen behöver bland annat utvärdera samarbetet med SKR och reglera insyn, förvaltning och ägande när SKR används.
Det otydliga samarbetet mellan staten och SKR är inte isolerat till vårdområdet.
De negativa konsekvenserna av att använda en intresseorganisation för myndighetsuppdrag gäller inte heller bara bortfall av offentlighetsprincipen, bristande möjlighet till ansvarsutkrävande, snurrig styrning och oklar uppföljning av hur ekonomiska medel fördelas och används.
Många andra myndigheter samarbetar med SKR och jag har blivit nyfiken på hur man reglerar säkerheten i informationsutbytet eftersom t.ex.
inte OSL gäller för en intresseförening.
I min värld borde det slutas samma typ av avtal med en förening som med ett kommersiellt bolag innan känslig information kan utbytas.
Även mellan myndigheter kan överenskommelser behövas slutas men den stora skillnaden är att alla myndigheter måste följa sekretessreglerna i OSL även om inte avtal sluts.
Av ren bekvämlighet valde jag MSB, en myndighet som jag ju vet hanterar känslig information, och skickade för drygt två veckor sedan en fråga: Hej!
MSB har ett omfattande samarbete med SKR i olika frågor.
Vissa av dessa frågor kan vara av känslig karaktär som kommuner/regionens insatser i det civila försvaret, samhällsviktig verksamhet, informations- och cybersäkerhet osv.
I dessa frågor utbyts rimligen känslig information.
SKR är en intresseförening som inte omfattas av OSL på samma sätt som en kommun/region, ett kommunalförbund eller ett kommunalt bolag.
Jag är därför intresserad av att ta del av det samarbetsavtal med vidhängande sekretessregler eller motsvarande som utgör reglering av dessa frågor i relationen mellan SKR och MSB.
Hittills har jag trots en vänlig påminnelse inte fått något svar.
Personligen tycker jag inte denna märkliga hybridform av offentlig aktör som växt fram hör hemma i svensk förvaltning där offentlig verksamhet och offentliga medel flyttas över till en oreglerad och ogenomtränglig sfär.
Jag har svårt att tro att SKR självmant kommer att vilja lämna denna softa tillvaro som skapats.
Det är därför hög tid att regeringen följer Riksrevisionens råd och utvärderar sitt samröre med SKR.
För den som vill läsa regeringens något svala reaktion på Riksrevisionens granskningsrapport finns en länk Jag läste en så fantastisk metafor i Jennifer Clements roman Gun love.
Romanen handlar Pearl och hennes mamma Margot som bor i baksätet i en bil.
Miljön är den där sortens misär som bara finns i USA med hemlösa människor som helt saknar riktning i sitt liv.
Redan tidigt i boken finns följande passus: Mamma och jag flyttade in i Mercuryn när hon var sjutton och jag var nyfödd.
Så den bilen, som stod i utkanten av en trailerpark mitt i Florida, var det enda hem jag kände till.
Livet var en prick-till-prick-teckning och vi bekymrade oss inte stort om framtiden.
Bilden av prick-till-prick-teckningen hakade fast i mig och jag fick en stark känsla av hur de här romanfigurerna levde sitt liv.
Så är det ju ofta med god litteratur, den lever vidare inom en.
Men hjärnan är en märklig sak och vips började jag associera metaforen med hur jag uppfattar digitalisering och informationssäkerhet på samhällsnivå, som prickar till synes utan samband.
Finns det en dold teckning under prickarna så kan i alla fall inte jag se den.
Att jag började tänka på det berodde på den nya rapport som regeringens uppdrag tagits fram av sju myndigheter om säkert och effektivt informationsutbyte i offentlig .
Lustigt nog var varken MSB eller någon annan myndighet med säkerhetsprofil bland de sju myndigheterna trots att uppdraget rörde just säkert informationsutbyte.
Detta var säkert en bakgrund till de slängar som slungades från MSB på sociala medier men efter en genomläsning av rapporten får det sägas att de avsnitt som skrivits om säkerhet knappast skrivits av någon med erfarenhet från detta område.
Att Försäkringskassan är en av de myndigheter som ingått i arbetet med att ta fram rapporten känns aningen illavarslande när man läser budgetproppen där det står om Försäkringskassans allt större roll som intern it-leverantör i staten: Förhoppningsvis är det andra som ska stå för den leveransen än de som skrivit om säkerhet i rapporten.
Ändå är rapporten positiv i andra avseende, främst genom att man pratar om en gemensam digital infrastruktur.
Detta är något jag försökt driva i olika sammanhang utan påtaglig effekt.
Jag vill självklart inte framhäva min egen roll utan bara säga att detta är en inriktning som tidigare saknats på ett mer uttalat sätt och som jag tror i sig har en tydligt säkerhetshöjande effekt.
Att notera detta positiva anslag känns viktigt även om den stora bilden av infrastrukturen inte kan anas och på sin höjd tre prickar sammanfogats.
Problemet är inte endast att det tycks sakna en ritning för utveckling av digitaliseringen utan även för samhällets informationssäkerhet.
MSB:s handläggare (ja, jag vet att hen liksom många andra tjänstemän friskriver sig på sociala medier genom att hävda att de ”twittrar som privatperson” – ett oskick jag beskrivit ) ansåg att rapporten var ett ”hafsverk” och att rapportförfattarna inte tagit till sig MSB:s synpunkter.
Nyfiken som jag efterfrågade jag då de diarieföra synpunkter som det hänvisades till och fick ut detta mail: Det avslöjar inte mycket av ett eventuellt infrastrukturellt synsätt.
Informationssäkerhetsområdet tycks alltså ha sin egen mycket ofullständiga prick-till-prick-teckning.
Liksom arkivväsendet som även det har en stor betydelse för den offentliga informationshanteringen.
Sammantaget så är planeringen av vår gemensamma informationshanteringsinfrastruktur uppenbart fragmentiserad och där olika myndigheter ritar sina prickar oberoende av varandra trots att de åtminstone borde vara i samma teckning.
I detta dystra scenario är det inspirerande att snegla österut.
I Finland har nämligen antagits en ny lag med om informationshantering inom den offentliga förvaltning.
I som låg till grund för lagen ges inriktningen: Det är fråga om en allmän lag som ska reglera informationshanteringen inom den offentliga sektorn.
Lagen avses gälla all informationshantering som sker inom myndigheternas verksamhet.
Genom lagen säkerställs en enhetlig förvaltning och en informationssäker behandling av myndigheternas informationsmaterial i syfte att genomföra offentlighetsprincipen.
Dessutom har lagen bestämmelser om elektronisk överföring av information mellan olika myndigheters informationssystem.
Genom regleringen effektiveras myndigheternas informationshantering så att myndigheterna kan tillhandahålla förvaltningskunderna sina tjänster på ett kvalitativt sätt som är förenligt med god förvaltning och kan sköta sina uppgifter på ett resultatgivande sätt.
Syftet med lagen är att främja också interoperabiliteten mellan informationssystemen och informationslagren.
träder i kraft vid årsskiftet och innebär också att en informationshanteringsnämnd ska säkerställa samordningen mellan informationshantering (inklusive arkiv), digitalisering och informationssäkerhet.
I dagarna har även en ny cyberstrategi antagits.
För mig förefaller denna ordning mycket ändamålsenlig särskilt om det även blir ett gemensamt myndighetsansvar.
I Sverige skulle det kunna kopieras så att DIGG får skärpa till sig och samtidigt överta ansvaret för samhällets informationssäkerhet och se till att det blir integrerat i hela digitaliseringensprocessen.
De myndigheter som redan idag framför allt är intresserade av internationella antagonistiska hot och cyberkrig kan fortsätta med detta med gott samvete.
På detta sätt skulle prickarna åtminstone fyllas i på samma teckning.
Jag vet att detta är en överdriven förenkling och att det inte går att dra snörräta linjer mellan olika säkerhetsområden men jag tror vi måste komma tillbaka till en situation där normallägets funktionalitet respekteras och där bygget av en gemensam infrastruktur kan ske med god säkerhet.

Har den här åtgärden en säkerhetshöjande effekt som står i paritet med den kostnad och krångel som den orsakar verksamheten?
Är den här åtgärden verkligen avpassad till och tar hänsyn till verksamhetens egentliga behov av säkerhet?
Indirekt: vet jag som vill lansera den tillräckligt mycket om verksamhetens behov för att kunna avgöra det?
Kommer den här åtgärden verkligen att fungera i praktiken eller är den en ren pappersprodukt?
Och kommer den även att fungera över tid, t.ex.
när konsulten lämnat skeppet?
Finns det verkligen inte ett effektivare sätt att reducera risken till en acceptabel nivå?
Överenskommelse om kommunernas krisberedskap (dnr MSB 2018-09779) Överenskommelse om kommunernas arbete med civilt försvar (dnr MSB 2018-05681) Bilaga 1 omfattas av försvarssekretess (15 kap.
2 § offentlighets- och sekretesslagen (2009:400) och lämnas inte ut.

bred vad hur.
hur om mot En av nätläkarna tycker att det verkar ha varit en bristfällig konsekvensanalys inför beslutet och att det är märkligt att SKL:s handlingar inte omfattas av offentlighetsprincipen.

Meny MSB Inläggsnavigering

MENU MENU Postat av MSB fick den 19 september 2019 i uppdrag av regeringen att ta fram en struktur för uppföljning av det systematiskat i den offentliga förvaltningen.
Uppföljningsstrukturen ska syfta till att aktörer i offentlig förvaltning regelbundet ska erbjud as att medverka i uppföljningen och få återkoppling som omfattar en bedömning om vilken nivå derasbefinner sig på samt förslag på åtgärder som bör vidtas för att uppnå en högre nivå påt.
Uppföljnings strukturen ska även syfta till att MSB regelbundet ger regeringen en samlad bedömning om nivån på det systematiskat i den offentliga förvaltningen.
Postad i , , , , Tagged , , , , Postat av → Postad i , , , , , , , Tagged , , , , , , , Postat av Rekommendationerna hänvisar inte till några allmänna standard er eller Postad i , , , Tagged , , , , , , , Postat av Postad i , , , Tagged , , , , , , , Postat av Postad i , , , Tagged , , Postat av Postad i , , , , , Tagged , , , Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , , Tagged , , , , , , , Postat av Postad i , , Tagged , , , Postat av Säker och samordnad it-drift Försäkringskassan har påbörjat anslutning av sex myndigheter inom regeringsuppdraget att er- bjuda samordnad och säker statlig it-drift (Fi2017/03257/DF).
Intresset är stort och flera statliga myndigheter har inlett dialog med Försäkringskassan med avsikt att ansluta sin it- drift.
Postad i , , , , , Tagged , , ← Sök efter:

Statlig förvaltningspolitik för 2020-talet ett otraditionellt styrmedel I Riksrevisionens granskningar har det dock framkommit att SKL kommit att få ett stort inflytande även över den statliga styrningen av vården .
Det är Riksrevisionens bedömning att regeringen inte i tillräcklig utsträckning har tagit hänsyn till konsekvenserna av att använda en intresseorganisation som en del av förvaltningen Eftersom SKL inte är en myndighet lyder organisationen inte under förvaltningslagen eller regeringsformen.
Möjligheterna till ansvarsutkrävande är inte heller samma som om SKL hade varit en myndighet.
SKL företräder offentliga organ, men är i sig själv inte ett sådant.
Därmed kan varken regeringen, andra myndigheter eller medborgarna ställa samma krav på objektivitet och trans-parens på SKL som på Socialstyrelsen.
SKL är en organisation som ska bevaka sina medlemmars intressen och det är därför naturligt för SKL att slå vakt om det kommunala självstyret.
Det gör att man inte kan förvänta sig samma objektivitet från SKL som från en statlig myndighet.
SKL kan dessutom ha ett intresse av att hålla nere kostnader för sina medlemmar .
regeringens utredning Jaktens villkor konstaterades att förvaltningsuppgifter på jaktens och viltvårdens område som innebär myndighetsutövning inte annat än i undantagsfall borde fullgöras av intresseorganisationer.
Såväl in-formations-, rättssäkerhets-, som konkurrenssynpunkter talade för att en myndighet skulle ta över ansvaret för registret Det är Riksrevisionens bedömning att det i praktiken är oklart vem som egentligen äger den kunskap och de databaser som tas fram inom ramen för överenskommelserna.
Regeringen har därmed inte säkrat tillgången till den kompetens som byggts upp med statliga medel.
Riksrevisionen kan konstatera att det inte finns någon diskussion inom Socialdepartementet om att överföra databaser från SKL till Socialstyrelsen .
Riksrevisionens bedömning är att regeringen har låtit samarbetet med SKL − och därmed SKL:s inflytande över styrningen av vården – växa i alltför stor omfattning.
Granskningen visar att de medel som tilldelas SKL utan krav på att fördelas vidare till landstingen beloppsmässigt kan jämföras med förvaltningsanslagen till de större vårdmyndigheterna.
Departementet har inte heller haft en samlad bild av hur de medel som har gått till SKL centralt har utvecklats över tid Riksrevisionen noterar att medlen till SKL ökar.
Riksdagen har inte informerats om omfattningen och utvecklingen av dessa medel.
Enligt Riksrevisionens mening vore det rimligt att riksdagen informerades om medlen till SKL.
Anledningen är att de medel som tilldelats SKL centralt är i nivå med förvaltningsanslagen på vårdområdet som riksdagen beslutar om, samtidigt som SKL är en intresseorganisation .
Varken företrädare för Socialdepartementet, SKL eller Socialstyrelsen kan beskriva vilken typ av uppgifter regeringen ger till respektive aktör.
Riksrevisionen bedömer att en förklaring till detta är att det inte har funnits någon sådan logik i styrningen .
Tillägg 2020-02-20:

Efter långt om länge släppte nu äntligen Datainspektionen (snart Integritetsskyddsmyndigheten) sina av åtta vårdgivare.
Även om jag var väl förberedd på innehållet så är det en chockerande dyster läsning när den fulla konsekvensen av vad jag redan visste blev förtydligad på detta sätt.
Låt mig först understryka att det Datainspektionen ställer krav på inte är några nya krav för vården utan de har funnits sedan länge bland annat i Socialstyrelsens och i PuL.
De brister som framkommer i granskningar har inte heller de nyhetens behag utan är de samma som i de granskningar av vården som Socialstyrelsen respektive Datainspektionen gjorde typ 2012.
Det är alltså inte så att vårdgivarna är tagna på sängen med helt ny rafflande krav utan det är väl kända försummelser som regioner och vårdgivare medvetet underlåtit att rätta till.
Egentligen räcker det att läsa följande stycke i granskningen gällande Capio S:t Görans Sjukhus AB för att se vidden av hur undermålig säkerheten och skyddet för integriteten är: Ytterligare försvårande omständigheter är att behandlingen av uppgifter om patienter i huvudjournalsystemet hör till kärnan i en vårdgivares verksamhet, att behandlingen omfattar många patienter och möjligheten till åtkomst avser en stor andel av de anställda.
Inom ramen för den inre sekretessen har mer än 2700 medarbetare åtkomst till uppgifter som rör närmare 490 000 patienter.
Utöver det har mer än 600 medarbetare, inom ramen för den sammanhållna journalföringen, åtkomstmöjligheten till uppgifter rörande cirka 3 patienter i TakeCare.
För att strö ytterligare salt i såret kan man läsa om Aleris sjukvård AB: Aleris har ett dokument som benämns ”Behovs-och riskanalys-TakeCare”.
Dokumentet har sett ut som det gör idag sedan den 28 maj 2012 då Take Care infördes och gäller både för den inre sekretessen och inom ramen för den sammanhållna journalföringen.
Av dokumentet framgår de olika profilerna, så kallade behörighetsgrupper.
Dokumentet visar bland annat läsrättigheterna samt skrivrättigheterna för respektive behörighetsgrupp.
Alla profiler förutom tekniker har tilldelats läsbehörighet till uppgifterna i TakeCare.
Då ska noteras att man hade 796 350 unika patienter i maj 2019 och 1058 aktiva användarkonton av vilket det absoluta flertalet alltså har läsrättigheter till samtliga patienter oavsett om de har en vårdrelation eller inte.
Att Aleris slänger fram en oförändrad riskanalys från 2012 säger nog det mesta om nivån på säkerhetsarbetet liksom när Capio hävdar att de visst har en behov- och riskanalys men att den av okänd anledning är borttappad.
Capio St Göran fick 30 miljoner i sanktionsavgift och Aleris Sjukvårds AB 15 miljoner (plus ytterligare 12 miljoner från sitt andra bolag Aleris Närsjukvård AB) men de är långt ifrån unika.
Bristerna hos övriga granskade vårdgivare (granskningen av Kry ännu ej beslutad) bekräftar det vi redan vet bland annat från tidigare granskningar.
Säkerheten i den svenska sjukvården är helt undermålig och det gäller inte bara vad gäller integritetsrelaterade frågor som de Datainspektionen granskat utan generellt.
Jag har begärt en större del av underlagen från Datainspektionens granskningar och ska fördjupa mig ytterligare i dem.
I detta blogginlägg ska jag ta upp några fenomen som aktualiseras i de granskningsfynd som presenteras i de offentliggjorda rapporterna.
Utgångspunkten är att den usla säkerhet som indikeras genom granskningarna är en följdriktig konsekvens av ett konsekvent förhållningssätt till integritet och säkerhet i vården från olika aktörer.
För att förstå hur samtliga granskade vårdgivare (Kry inte inräknade än så länge) så flagrant bryter mot lagstiftningen måsta man känna till att lagtrots när det gäller integritet och säkerhet i digitala lösningar är normen i den svenska vården – inte undantaget.
Att endast medarbetare med vårdrelation eller något annat mycket tydligt definierat skäl ska ha åtkomst till patientuppgifter är ett krav som har kommit med dataskyddsförordningen utan har funnits i princip sedan journalerna övergick från att vara räkenskapsmaterial till att vara vårddokumentation.
Vi rör oss alltså någonstans i början av förra seklet (hur gärna skulle jag inte vilja gå in på detaljerna i denna historia men inser att alla kan inte vara totala journalnördar – skulle någon vilja veta mer så får ni skicka ett mail).
På den tiden pappersjournalerna gällde fanns de inlåsta i journalarkiv med strikta regler för vem som fick ta del av dem.
Det kan sägas att ha rått en minimalistisk åtkomstprincip innan begreppet var uppfunnet.
Återkommande klagomål fanns på att det var för många som ändå kunde slinka in och läsa det de inte fick men möjligheten får ändå säga vara mikroskopisk jämfört med det som skildras i de aktuella granskningsrapporterna.
När de tidiga journalsystemen introducerades på slutet av 1980-talet hade de inte funktionalitet för en effektiv behörighetsstyrning på individ- och rollnivå vilket var ett första steg på färden mot dagens situation.
Istället för att tvinga leverantörerna tillbaka till ritbordet för att konstruera system som följde lagstiftningen började man (med ”man” avses i det följande den grupp av leverantörer, it-chefer, byråkrater, politiker och andra makthavare inom vården som ansvarat för digitaliseringen) tänja på normerna och hävda att det gick lika bra att styra med logguppföljning som med behörigheter.
Istället för att organisatoriskt och tekniskt begränsa åtkomsten hävdade man att logguppföljning var en jämförbar säkerhetsåtgärd (!).
Denna för svensk sjukvård unika bedömning var ett fatalt vägval ligger bakom en stor del av de säkerhetsproblem som finns i vården idag.
De negativa konsekvenserna begränsas inte enbart till att det på dryga tjugo år utvecklats de organisatoriska och tekniska lösningar som är nödvändiga för följa lagen och ha ens ett basalt skydd för patientuppgifterna.
Det har även lett till att man för att motivera det stora felsteget gjort dygd av nödvändigheten genom att hävda att ALLA inom sjukvården behöver tillgång till ALLA patientuppgifter hela tiden – allt annat vore en risk för patientsäkerheten.
I målande ordalag beskrevs hur nödvändig patientinformation inte skulle finnas tillgänglig för vårdpersonalen vid behandlingar olika slag vilket skrämde upp en hel del läkare och sköterskor som därmed köpte den konstruerade motsättningen mellan patientsäkerhet och integritet.
Det ledde till en ond spiral där krav på korrekt behörighetshanteringen inte ens ställts vid upphandlingar och stora utvecklingsprojekt trots att lagstiftningen är tydlig på denna punkt vilket i sin tur knappast motiverat leverantörer av vårdinformationssystem att utveckla sådan funktionalitet.
Det är därför en särskild glädje att Datainspektionen i granskningen av Capio S:t Göran slår fast att loggning kan ersätta att begränsa åtkomst via behörighetshantering: Capio S:t Görans anger att de använder systematisk logguppföljning för att reducera risken för att medarbetare otillbörligen tar del av patientuppgifter.
Datainspektionen konstaterar att patientdatalagen inte lämnar något utrymme förvårdgivare att kompensera frånvaron av behovs-och riskanalys, eller en allt för bred tilldelning av behörighet tillåtkomst, med en omfattande logguppföljning.
Inte heller fiktiva åtkomsthinder som ”journalfilter” eller ”aktiva val” godkänns av Datainspektionen som tillräckligt för att begränsa åtkomsten vilket kan vara en bra tumregel att ha med sig in framtida projekt.
Det känns också bra att Datainspektionen drar undan mattan för det i digitala sammanhanget urgamla svepskälet för att ha lagstridig hantering av personuppgifter, nämligen att hävda att man har en akutverksamhet.
Ytterligare en konsekvens är att den lättsinniga hållningen till lagstiftning sedan dess blivit en tradition inom vård-it.
Ett aktuellt exempel är när Region Skåne först beslutat att medvetet gå emot bättre vetande och upphandla en som går emot dataskyddslagstiftningen och sedan i sista minuten sig.
Hur mycket denna utsvävning kostat i pengar och förlorad tid är oklart.
Argumentationsfelen för att använda exempelvis molntjänster är desamma som medvetet praktiserats under par decennier i vården: ”ja men det blir ju bättre än det vi har” och så bygger man fast sig i bristfällig lösning som det tar åratal att ta sig ur istället för att ställa rätt säkerhetskrav från början och se till att de levereras.
Själv kan jag inte räkna alla gånger som jag, när jag påpekat brister i tänkta lösningar, fått kommentarer som ”ja men det är ju bättre än det som finns idag”, d.v.s.
att legitimera kända risker i nya lösningar med den falska jämförelsen med dagsläget.
Detta är ytterligare en väsentlig bakgrund till dagens situation och som bygger på samma knäppa riskhantering som är den andra återkommande bristen i Datainspektionens aktuella granskningar, nämligen risk- och sårbarhetsanalyser där vårdgivarna återkommande endast analyserar och inte risker.
För en sansad människa framstår det kanske som obegripligt varför man över huvud taget bryr sig om att göra riskanalyser om man inte är intresserad av att identifiera och reducera risker.
Jag ser det mer som en del i den svenska digitaliseringskulturen där det inte får finnas problem utan vi ständigt är glittrande glada.
Och har vi inte identifierat några risker så behöver vi ju inte några säkerhetsåtgärder och då är ”utmaningen” (inte problemet) obefintlig.
Tydliga ansvarsförhållanden är grunden för all fungerande säkerhet.
Saknas denna förutsättningen kommer säkerheten oundvikligen att bli lidande och det går inte heller att genomföra ett ansvarsutkrävande.
I den trassliga spaghettistruktur som är svensk vård-it blir detta synligt även i Datainspektionens granskningar.
En konstruktion som skulle behöva synas beskrivs i rapporten om Aleris Sjukvård AB: Federation Samverkan TakeCare (FSTC) är beställare av journalsystemet Take Care och Compu Group Medical (CGM) är leverantör av journalsystemet och ansvarar för de funktioner som systemet har för att styra behörigheter.
Alla funktioner i journalsystemet är skapade av CGM, men det är Aleris som väljer vilka funktioner som en viss personalkategori ska ha tillgång till bland de funktioner som finns inlagda.
Aleris har inga tekniska möjligheter att göra ändringar i Take Care eftersom Aleris inte har någon rådighet över journalsystemet.
Aleris är endast användare av systemet.
Aleris har inte kunnat ställa några krav på CGM vid upphandlingen av journalsystemet.
Bolaget har till exempel påpekat att det funnits problem med journalsystemet bestående i, så vitt avser behörighetstilldelningen, att systemet inte kan separera läs-och utskriftbehörigheter för en läsfunktion.
CGM har inte varit intresserade av att ändra detta trots synpunkter från Aleris.
Det är FSTC som kan beställa ändringar av funktionerna och det är sedan upp till CGM om de vill utföra ändringarna eller inte.
Aleris har en representant i FSTC som kan framföra Aleris önskemål.
Aleris har dock inte fått något gehör för bolagets synpunkter.
Här förefaller det alltså omöjligt för vårdgivaren som även är personuppgiftsansvarig att genomdriva sina säkerhetskrav eftersom en organisation utan formellt ansvar förhindrar det.
Om vi nu hypotetiskt litar blint på att Aleris verkligen ställt rätt säkerhetskrav är det alltså FSTC som drivs av Region Stockholm som inte bara förorsakat kränkningar av ett mycket stort antal patienters integritet utan också ”användarna” Aleris sanktionsavgifter.
Det borde finnas ett intresse åtminstone från ”användarna” att reda ut ansvarsförhållandena och skapa garantier för att man kan få påverkansmöjlighet på de gemensamma it-systemen så at de följer lagstiftningen även om regionen inte prioriterar den frågan.
Trots att det i övrigt finns en mycket god säkerhetskultur i vården har man alltså inte lyckats inympa informationssäkerhet i den.
Det huvudsakliga ansvaret för detta ligger naturligtvis hos regionerna som sjukvårdshuvudmän tillsammans med SKR som sedan mitten av 90-talet utlovat gemensamma regler för informationssäkerhet men hittills inte lyckats uppvisa något som ens liknar det.
Är det någonstans där Datainspektionen bör göra nästa granskning så är det hos SKR:s it-bolag Inera.
Detta är särskilt angeläget eftersom lösningar som NPÖ som tillhandahålls av Inera saknar adekvat behörighetshantering (se ovan) som inte bara drabbar den enskilde vårdgivare utan samtliga vårdgivare som använder.
En annan aktör som väcker viss tveksamhet är IVO vars granskningar hittills inte alls verkar ha genomförts på samma grundliga nivå som Datainspektionen.
Några granskade verksamheter hänvisar till granskningar som IVO gjort och som på något sätt skulle gett klartecken för den säkerhetsnivå som de nu ligger på.
Förhoppningsvis kan tillsynsansvaret i och med NIS-direktivet leda till att IVO utvecklar sina granskningsmetoder.
Jag tror att det är centralt att myndigheterna samverkar här och ser informationssäkerheten i ett helhetsperspektiv och förstår att det är en sammanhängande säkerhetsarkitektur där brister i ett hänseende skapar risker på flera olika sätt.
Det skulle även vara en fördel att ha gemensamma granskningsmetoder och kanske t.o.m.
genomföra granskningar tillsammans.
Många tillsynsmyndigheter kan lära sig mycket genom att studera med vilken noggrannhet och stringens Datainspektionens granskningar genomförts.
I rättvisans namn ska sägas att vården inte fått särskilt mycket hjälp från myndighetshåll att utveckla sin säkerhet.
Jag har tidigare om att MSB:s knytning till ISO 27000 och det metodstöd som utvecklats i denna anda knappast är till hjälp för vårdens infrastruktur och jag kan inte heller se andra satsningar som tagits fram för att stödja denna i sanning samhällsviktiga verksamhet.
Datainspektionens granskningar som endast rör ett par aspekter av säkerheten borde ge upphov till ett större samordnande projekt lett av myndigheter för att långsiktigt höja vården säkerhet eftersom detta är en fråga som regionerna med all önskvärd tydlighet visat att de inte klarar av.
En helt nödvändig insats är att tvinga regioners och SKR:s makthavare att erkänna att det finns ett mycket stort säkerhetsunderskott i vården och istället för att stoppa huvudet i ta sitt ansvar och börja bygga för framtiden.
Häromveckan kom en OECD-rapport där det framkom att Sverige enligt de måttstockar som användes inte var så bra på digitalisering.
Rapporten väckte förvåning och upprördhet i vissa kretsar.
Jag kan på sätt och vis förstå att det kan upplevas som en kalldusch med tanke på hur mycket offentlig ”digitalisering” haussas och sponsras.
Samtidigt får jag litet drygt medge att jag inte är såååå häpen.
Den svenska digitaliseringen har under decennier fört en haltande tillvaro trots att den ständigt varit omgiven av jublande kaskader av pepp.
Under dessa år har olika mystiska nationella organisationer skapats, marknadsförts och sedan dött utan att lämna några imponerande spår efter sig.
Ur minnet kan jag rada upp följande: Utöver detta har diverse ännu mer kortlivade initiativ tagits av regeringar i form av råd och kanske den mest luftiga av alla: en nationell CIO, en funktion som lyckligtvis evaporerade efter mindre än ett år.
Av allt detta finns idag bara DIGG kvar – en myndighet med oklart ansvar och mandat.
Efter att ha rört mig i både närmare centrum och och för det mesta i periferin av dessa cirklar så finns det vissa genomgående drag som jag tycker mig kunnat notera.
Bara uppräkningen av alla flyktiga organisationer som haft en förväntan på sig att samordna den svenska digitaliseringen visar på det kanske främsta problemet: bristen på kontinuitet.
Det har aldrig funnits en långsiktig plan med prioriteringar för hur den offentliga digitaliseringen ska rullas ut.
Bristen på strategisk inriktning skulle i sig kunna vara en strategi, att den svenska staten gjort en välavvägd bedömning att en organisk framväxt utan styrning av digitala lösningar på sikt skulle gynna samhället bäst.
Om detta har varit planen har den dock hållits väl dold.
Verkligheten tyder på, i alla fall för mig, att planering och tydlig inriktning hade varit mycket önskvärt för att skapa en fungerande digital infrastruktur.
Kanske var vi närmare en möjlighet att skapa en infrastruktur på slutet av 90-talet än idag.
Då fanns en medvetenhet om att Sverige hade unika möjligheter bland annat genom denna snabba spridningen av hemdatorer som skett då anställda fick möjlighet att med förmånliga villkor skaffa sig en egen dator via arbetsgivaren.
Då diskuterades hur en statlig e-legitimation skulle kunna införas som en central infrastrukturkomponent.
Själv tyckte jag att det var en rimlig förlängning av ett statlig åtagande: folkbokföring, personnummer och sedan e-legitimation skulle fullfölja en lång linje i svensk förvaltningshistoria som skulle kunna vara byggstenen för många andra lösningar.
Men sedan hände ingenting, varje år sas det att i september – då kommer den att komma!
Vet ej varför just september var en så bra månad för att lansera e-leg men i min något osäkra minnesbild var det så.
En myndighet (E-nämnden) bildades 2003 för att leva i två somrar med uppdrag att stödja utvecklingen av ett säkert effektivt elektroniskt informationsutbyte mellan myndigheter och mellan myndigheter och enskilda genom att beslut om vilka standarder för informationsutbyte myndigheter under regeringen skulle använda sig av.
Detta inkluderade även e-legfrågan.
Men som sagt någon statlig e-legitimation blev det inte då vilket jag är ganska övertygad berodde på ideologiska skäl.
Politiker av olika schatteringar gick all in för nyliberalism och ville hellre att ”marknaden” skulle hantera e-legitimationerna vilket säkert påverkade införande och fördröjde en säker infrastruktur-utveckling.
Att jag tagit upp denna gamla historia är mest för att peka på ett annat återkommande tema i den svenska digitaliseringen, nämligen att det saknats öppna och tydliga diskussioner om hur staten och marknaden ska samverka på bästa sätt för gynna samhället.
Istället har framtagandet av digitala lösningar skett i en ideologisk blindhet som lett mycket stora kostnader (tänk bara Hälsa för mig) utan att det lett till de resultat som eftersträvats.
Och vad är det då för resultat som eftersträvas?
Man skulle tycka att med den stora förväntan på digitalisering och AI som lösningen på alla problem liksom de miljarder som pytsats in att även utan plan så skulle det vara nödvändigt att ha någon slags tydliga mål som går att följa upp.
Så är dock inte fallet om man inte räknar det outsägligt fåniga målet att ”Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter” som tydligt.
Istället vimlar det av fluffiga utsägelser som digitaliseringen ska rädda allt från äldreomsorgen till exportindustrin och självklart skolan.
Exakt hur det här ska gå till beskrivs vad jag kan se varken av , eller digitaliseringsevangelisterna trots att man skrivit vad man kallar mål och strategier.
Det förväntas bara ske.
Det ligger något av en paradox i att digitaliseringslösningar idag så ofta används för att mäta som en del i det rådande NPM-paradigmet när det samtidigt sker så litet av formell utvärdering av vad digitaliseringen faktiskt leder till.
Om man går in de traditionella utvärderarna av ”vad f-n får vi för pengarna?” som Riksrevisionen, Statskontoret och, när det gäller e-hälsa, Myndigheten för vårdanalys finns påfallande få granskningar och rapporter skrivna just om digitalisering.
Riksrevisionen publicerade 2016 en som knappast är en av dem som länder revisionen till heder med tanken på kvaliteteten som kontrollerar om myndigheter digitaliserat tillräckligt mycket – inte vad digitaliseringen lett till.
Detta är i sig en generell tendens, att se digitaliseringen i sig som något ”gott” samtidigt som man i nästa andetag säger att digitaliseringen inte är självändamål.
Men vad kan vara mer självändamål än att ha som mål att ”Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter”?
Däremot kom 2019 en om digitalisering och nyföretagande som faktiskt sätter nyföretagandet i centrum – inte digitaliseringen.
Utöver detta finns det inte mycket att hämta om digitalisering hos Riksrevisionen om man är intresserad av resultatet av statens insatser på området.
Statskontoret har skrivit myndighetsanalyser av bl.a.
E-delegationen, Digisam och Digitaliseringsrådet (spoiler alert: de har inte lyckats så bra) men egentligen inget vad jag kan se om digitaliseringen i sig.
Riksrevisionens och Statskontorets uppdrag kan möjligen göra dem något begränsade i sina granskningar men att Myndigheten för vårdanalys inte haft detta som ett starkt granskningsområde förvånar mig starkt.
Med tanke på hur e-hälsa, välfärdsteknologi, AI och digitalisering lyfts fram som vårdens frälsare borde utfallet av detta vara mycket angeläget att kontinuerligt följa.
Som det nu är hittar jag egentligen bara en som handlar om cancervården specifik.
Ett om äldreomsorgens digitalisering ska slutlevereras 2023 och inriktningen ”Myndigheten ska bedöma hur digitaliseringen av äldreomsorgen bidrar till verksamhetsutveckling, med särskilt fokus på kostnadseffektivitet.” – alltså hur ska digitaliseringen ”effektivisera” äldreomsorgens.
Sammanfattande kan jag förstå om det är svårt att göra granskningar med så fluffiga mål för vad är det egentligen som ska följas upp?
Min egen anekdotiska upplevelse är att den svenska digitaliseringen lider svårt av ett marshmallowssyndrom.
Ni vet det där gamla experimentet om uppskjuten tillfredställelse som sedan har ifrågasatts men som jag ändå använder här som bild.
På Stanford university erbjöds fyraåring att marshmallows med förutsättningen att om de kunde motstå att genast sluka den godbit de fick och kunde vänta några minuter kunde de istället få två.
Tanken var att de som kunde planera och motstå frestelsen blev framgångsrika längre fram i livet.
Den svenska digitaliseringen tyckte jag ofta har liknat barnen som inte kunde låta bli att genast tillfredsställa sitt sötsug.
De politiker, tjänstemän och företag som drivit på digitaliseringen har dock styrts av starkare tobak än marshmallows men kontentan blir att det idag saknas en plan.
Det tycks som man ofta gör saker för att man inte för att man analyserat och kommit fram till att det är rätt steg i en bestämd riktning.
Detta leder också till den intressanta frågan vems intressen tjänar den nuvarande digitaliseringen.
Som redan nämnts är äldreomsorgen ett frestande område att digitalisera, mindre så digitaliseringsbyråkraternas egna jobb.
Jag ska inte ge mig in på David Graebers tankar om Bullshit jobs (läs gärna själva!)
men tanken på de undersköterskor som flänger omkring som torra skinn i äldreomsorgen är de som ska effektiviseras och inte de som har bullshit jobs är djupt störande.
Jag tänker också på vad en äldre människa tjänar på att inte få en människa som kommer och hjälper till med matning utan en robot.
Detta borde vi prata mycket mer om.
För att ingen ska missförstå ovanstående: jag vet och uppskattar den ständigt puttrande digitaliseringen men skulle uppskatta en plan.
1910 blev Karlstads lasarett det andra i Sverige som blev s.k.
delat lasarett (efter Falun).
Att ett lasarett blev delat betydde att det fanns både en medicinsk och en kirurgisk verksamhet.
I korthet var detta första steget på den snabba utveckling pådriven av en framgångsrik forskning där ögon, öron, ortopedi, röntgen, BB, barn, gynekologi o.s.v, o.s.v.
, blev egna specialiteter och subspecialiteter i ett allt finmaskigare nät.
Till detta kommer allmänmedicin och annan öppenvårdsverksamhet för att inte glömma psykiatrin i olika former.
Alla dessa med tiden hundratals olika kompetensområden måste organiseras i avdelningar, kliniker, mottagningar m.m.
för att få bästa möjliga vård för patienten till en för samhället rimlig kostnad.
Det räcker dock inte med att organisera vårdens olika verksamhet i förhållande till varandra utan vården måste styckevis och delt även passas in i samhällets generella styrning som i sin tur består av förvaltning respektive den politiska styrningen.
För Sveriges del har det i huvudsak inneburit inpassning i kommun, landsting/region och stat eftersom vården varit offentligt finansierad (även detta i huvudsak) sedan lång tid tillbaka.
Historiskt har vårdverksamheten i delar vandrat mellan huvudmännen.
Att allmänmedicin och psykiatri var ett statligt ansvar fram till 1960-talet och äldrevård en landstingsangelägenhet fram till ÄDEL-reformen då den överfördes till primärkommunerna är bara två exempel.
Vad jag vill säga med denna skamligt korta sammanfattning är att sjukvård är EXTREMT svårt att styra med en fullständigt oöverblickbar komplexitet i tre dimensioner: den interna styrningen av vårdarbetet och förvaltningsstyrningen samt den politiska styrningen.
Fram till 1970-talet var inriktningen för att hantera denna komplexitet bland annat att försöka skapa mer enhetliga huvudmannaskap vilket var en av orsakerna till att exempelvis allmänmedicin och psykiatri överfördes till landstingen från staten.
Denna trend avlöstes av den glada NPM-eran när styrningen av offentlig verksamhet fragmentiserades bland annat för att underlätta för privata alternativ.
Det var då äldreomsorgen och den social omsorgen fördes till den kommunala sektorn vilket bland annat har lett till bollandet av gamla multisjuka mellan två huvudmän – något vi sett de avskräckande konsekvenserna av nu efter covid-19.
Det är ett ganska väl beforskat hur organisatorisk komplexitet leder till det som slarvigt brukar kallas byråkrati men som jag hellre skulle benämna administration som inte är direkt kopplad till kärnverksamhetens uppgifter.
Ju större antal aktörer som ska förmås att röra sig i samma riktning eller åtminstone samspela, desto fler samordnade aktiviteter krävs för att hålla ihop helheten.
Det blir strategier, policies, planer, möten, kontroller och rapporteringar i olika riktningar.
Genom privatiseringen av offentlig verksamhet har dessutom ytterligare behov av upphandlingar, kravställningar, regelverk, beställningar och uppföljningar tillkommit.
Detta skapar kohorter av nya typer av administratörer, alltså inte den gamla typen som skötte budget, bokföring och löneutbetalningar.
Istället har kvalitetsutvecklare, upphandlingsspecialister, digitaliseringsstrateger, e-hälsosamordnare och (visst, jag kackar i eget bo) informationssäkerhetsansvariga tillkommit.
Och så naturligtvis kommunikatörer, kommunikatörer och åter kommunikatörer.
Utan jämförelser i övrigt kommer jag osökt att tänka på den här gamla klassiska bilden där jag föreställer mig vårdpersonalen dignar under hela lasset av administration upp till sjukvårdspolitiker och vårdbolagschefer.
Det är med detta i bakhuvudet jag läser i DN som drar en lans för förstatligande av sjukvården.
För mig framstår det som ett relevant förslag.
1962 gav de flesta landsting ut historiker över sina första hundra år.
Dessa historiker rymmer en fascinerande motsättning mellan beständighet och föränderlighet.
Landstingen hade funnits i respektingivande hundra år men vad ett landsting var och skulle syssla med hade ständigt förändrats under dessa är.
Vad detta lär oss är att hur samhällets basala funktioner ska organiseras ständigt måste omprövas för att institutionerna ska vara ändamålsenliga och anpassade till rådande behov.
Historiskt har detta skett kontinuerligt som jag snabbskissat ovan och det finns ingen anledning att tro att just den organisation av sjukvården har idag är den enda möjliga oavsett vad som händer i samhället i övrigt.
Själv hyser jag inte någon ohejdad tilltro till att ett förstatligande av sjukvården skulle lösa alla eller ens merparten av problem som vården har att leva med men i all enkelhet skulle åtminstone ett lager i pyramiden försvinna.
Förhoppningsvis skulle grundläggande mål som likvärdig vård vara enklare att uppnå.
En annan effekt är att den samordnade byråkratin internt mellan de idag 21 regioner skulle kunna plockas bort (även om den säkert delvis skulle komma tillbaka i en annan form).
Att inte bara DN utan även andra med viss energi börjar ifrågasätta regionernas roll väcker oro i regionsleden, inte minst hos särintressets främsta företrädare SKR vars ordförande Anders Knape som skrev ett kanske aningen sentimentalt på DN:s ledare.
Han, liksom regionala företrädare, lobbar ivrigt för att regionernas USP är den politiska styrningen av regionerna som hypotetiskt skulle göra sjukvården regionalt anpassad och därmed ”bättre”.
Med viss bombasm skriver Knape: den lokala och regionala nivåns omkring 40.000 förtroendevalda utifrån kunskap om invånarna lokalt och regionalt.
Deras kraft är oslagbar.
För den som något fördjupat sig i landstingens/regionernas historia väcker denna beskrivning antagligen skuggan av ett leende.
Inga sjukvårdsstrider har varit så infekterade som de enskilda landsting där sedan åtminstone 1920-talet omfattande manifestationer skett för att sjukstugor skulle placeras i ”rätt” samhälle eller rörande nedläggningar av sjukhus.
Knapes uttalande pekar snarare på en klassisk problemställning inom svensk sjukvård: den potentiella motsättningen mellan regional särart å ena sidan och likvärdighet nationellt å andra.
För mig framstår denna argumentationslinje också som alltmer paradoxal då SKR själva så intensivt försöker samla nationell styrning hos sig själva.
Som jag tidigare skrivit om har alltfler frågor börjat samordnas via SKR och därmed flyttats från den regionala nivån till en nationell.
Om SKR starkaste argument mot ett förstatligande är det demokratiska värde som finns i den regionala politiska styrningen verkar det ju vara att såga av sin egen viktigaste sittgren om makten förs från dessa demokratiska församlingar in i det mörker som föreningen SKR utgör.
Själv skulle jag alla dagar i veckan föredra en normal svensk myndighet framför SKR som nationellt samordnande.
Ibland dristar jag mig till och med till att tycka att det kanske är en demokratisk fördel om sjukvården lyfts bort från bypolitiken.
Knape har förstås en poäng när han lyfter fram mindre lyckade statliga experiment och då även inom digitaliseringsområdet.
Tyvärr måste jag dock säga att det är en boll som är svår att inte smasha tillbaka för den som strävar mot förstatligande av sjukvården.
INGEN fråga har engagerat SKR så mycket som digitalisering som lösning på all och jag misstänker att man har en gemensam morgonbön i SKR-palatset som går ungefär så här: Digitalisering, låt ditt namn bli helgat Låt ditt rike komma.
Ge oss i dag vårt dagliga bröd .
Och glöm våra misslyckade projekt, så som vi glömmer dem själva.
Och för oss inte in i verkligheten, utan fräls oss från ansvar.
Förlåt, det är semester… Min poäng är att trots den närmast religiösa inställning som SKR har till digitalisering i teorin så ser i praktiken digitaliseringen av den svenska sjukvården som ett härke trots de enorma resurser som tillförts.
Jag sitter mycket tungt på mina händer för att inte skriva något om den totala frånvaron av samordning av informationssäkerhet och det provocerande ointresset för integritetsfrågor där SKR knappast agerat som insiktsfull vägledare för sina medlemmar.
Om verkligheten ska användas som betygssättare för regionernas och SKR:s förmåga att skapa en nationellt sammanhållande och långsiktigt fungerande vård så ser det rätt illa ut för Knapes linje.
För att komma vidare vore det önskvärt med en hederlig gammaldags utredning som inte helt styrdes av särintressen inom vården.
Personligen lutar jag svagt åt att behovet av nationell samordning av sjukvården bäst hanteras genom ett förstatligande åtminstone av delar av vården.
Det kommer visserligen att skapa nya gränslinjer – hur ska exempelvis äldreomsorgen hanteras med större medicinsk kompetens – men jag tror verkligen det är dags att ompröva dagens situation.
Jag ska nu kort återkomma med en uppdatering gällande SKR och överföring av känslig information till denna intresseförening, för bakgrund se .
För att sammanfatta frågan så har SKR växt som en gökunge i den svenska förvaltningen och fått/tagit allt fler myndighetsliknande uppgifter trots att man, som SKR själva ivrigt hävdar, inte är en myndighet utan en arbetsgivare- och intresseförening.
Därav följer att SKR inte har det ansvar och den insyn som en myndighet och vi som medborgare egentligen saknar möjlighet att kontrollera och utkräva ansvar av föreningen.
SKR ligger helt enkelt utanför den styrning som den svenska förvaltningen bygger på och det är svårt att ens se vilken lagstiftning som är tillämplig.
Detta förhindrar den kritiska granskning som offentlighetsprincipen möjliggör för myndigheter även om SKR ibland försöker vilseleda genom att hävda att de handlingar som hanteras inom föreningen blir offentliga när de inkommer till medlemmarna.
Häromdagen fick jag detta l mig tillsänt där Marie Morell (m), ordförande för sjukvårdsdelegationen på SKR, hävdar just detta i en fråga som har en ekonomisk betydelse för enskilda: – Vi har kontaktat dem och skickat ut material till dem vid ett flertal tillfällen.
Det är viktigt att de skapar någon form av branschråd så att vi har en motpart att arbeta med.
Vi är en ideell förening och som sådan lyder vi inte under offentlighetsprincipen.
Men handlingarna blir offentliga så fort de inkommer till respektive region eller kommun, säger Marie Morell.
Det finns alltså ingen insyn i själva processen och som jag tidigare visat är det högst tveksamt vilka av SKR:s många ”interna” dokument som verkligen ses som inkomna till medlemmarna.
Att inte ens handlingar i beredande organ hos SKR blir allmänna handlingar hos de regioner/kommuner som har representanter i dessa organ är för mig tämligen hårresande och jag försöker förstå vem en sådan representant tror sig vara.
En privatperson som blivit invald i hembygdsföreningens styrelse (inget ont om hembygdsföreningar)?
Nu när offentlighetsprincipen är hotad från olika håll känns det extra angeläget att slå vakt av denna för Sverige (och Finland) unika medborgerliga rättighet.
I mitt framförde jag dock att det är likaledes viktigt att se vilka risker det innebär att kommunicera känslig information med en aktör där OSL inte kan tillämpas.
Grunden för att kunna skydda känslig information när den utbyts med utomstående parter är att reglera hur informationen får hanteras.
När det gäller utbyte mellan myndigheter finns denna reglering i huvudsak redan på plats genom lagstiftningen (även om jag tycker att det ofta finns anledning att förtydliga relationen myndigheter emellan).
Här intresserar jag mig inte för säkerhetsskyddsområdet utan framför allt den lagstiftning som gäller normala verksamhetsförhållande men där mycket starkt krav på konfidentialitet finns t.ex.
gällande samhällsviktig verksamhet.
Notera att det där även finns annan lagstiftning som är ytterst relevant som exempelvis Krisberedskapsförordningen.
Denna reglering saknas då information ska utbytas med privata aktörer som företag och, som i det aktuella fallet, föreningar.
Då måste menar jag ett avtal slutas som beskriver villkoren för att informationen ska kunna lämnas ut, åtgärder som ska vidtas och ansvarsförhållanden.
För att reducera att konfidentiell information kommer i orätta händer bör man även minimera informationen som utlämnas till det absolut nödvändiga samt ålägga motparten att säkerställa att endast de som verkligen behöver informationen kan ta del av den.
Enligt mitt resonemang är det alltså en självklarhet att myndigheter måste använda sekretessavtal eller motsvarande när de tänker utbyta information med företag och föreningar.
Därför frågade jag två myndigheter som på olika sätt har ett ansvar för samhällsviktig verksamhet om de slutit sekretessavtal med SKR.
Först gick frågan till MSB som ju har ett mycket omfattande ansvar i dessa frågor: Hej!
MSB har ett omfattande samarbete med SKR i olika frågor.
Vissa av dessa frågor kan vara av känslig karaktär som kommuner/regionens insatser i det civila försvaret, samhällsviktig verksamhet, informations- och cybersäkerhet osv.
I dessa frågor utbyts rimligen känslig information.
SKR är en intresseförening som inte omfattas av OSL på samma sätt som en kommun/region, ett kommunalförbund eller ett kommunalt bolag.
Jag är därför intresserad av att ta del av det samarbetsavtal med vidhängande sekretessregler eller motsvarande som utgör reglering av dessa frågor i relationen mellan SKR och MSB.
Efter tämligen lång tid och en påstötning fick jag följande svar: Jag måste först beklaga att du fått vänta på ett besked men på grund av olyckliga omständigheter har beskedet fördröjts.
Genom en sökning i vårt diarium har vi hittat två avtal med SKR: Du har rätt att begära ett skriftligt beslut som går att överklaga.
Skriv till .
För ögonblicket är jag inte så intresserad av det civila försvaret som ju knappt kommit igång så därför gick jag in på .
Det är upp till varje läsare att ta ställning men jag kan inte se att detta dokument på något sätt reglerar sekretessen i förhållande till SKR.
Detta kan synas extra anmärkningsvärt i dessa coronaapokalysens tidevarv när Socialstyrelsen sekretessbelägger information för media om vårdens p medan intresseföreningen SKR sitter med på MSB:s samordningskonferens i samma fråga.
Visserligen togs sannolikt inga känsliga frågor upp då SKR var med men det visar den vinglighet som finns då det gäller just SKR .
Jag ställde samma fråga till eHälsomyndigheten som tillsammans med bland annat SKR arbetar med den nya in (återkommer inom kort angående detta alster) och där man får gissa att det för en del diskussioner om kritiskt infrastruktur osv.
Från denna myndighet fick jag bara ett kort nej på frågan.
Detta är förstås bara två stickprov men ändå från myndigheter som är vana att hantera sekretess.
Det kan tyckas litet märkligt efter allt som hänt med Transportstyrelsen och andra incidenter där information överförts på oklara grunder.
Mitt intryck (bekräftat av ett antal tjänstepersoner på andra myndigheter) är att myndigheterna helt enkelt inte tänker på att SKR inte är en myndighet utan utgår från att föreningen är som vilken deltagare som helst i myndighetssamarbetena.
Inte heller kommuner och regioner verkar reflektera särskilt över detta utan överför utan förbehåll känslig information till det de i vissa fall verkar se som en ”överordnad” aktör.
Detta även då det gäller informationssäkerhet.
Nyligen skickades ett mail ut från SKR: Klassa 4.0 har varit efterfrågat länge och nu finns finansiering för ett projekt som inleds i nästa vecka.
Det blir flera förändringar i den nya versionen, bland annat förbättringar av befintlig funktionalitet, bland annat uppdateringar av kravkataloger som genererar uppgifter till handlingsplanen och en nödvändig översyn av upphandlingskraven.
Dessutom blir det en hel del ny funktionalitet, t.ex.
: – En ny modul för att mäta organisationens mognad, – Möjlighet till uppföljning och att ta ut nyckelvärden för organisationen och anpassat till målgrupp, – Möjlighet för SKR att ta ut nationell uppföljning på aggregerad nivå, – Stöd för CISO i det systematiska arbetet och – Modul för riskanalys.
Dessutom kommer SKR att förstärka sin organisation för att kunna avsätta mer resurser till förvaltning av Klassa.
Det kommer att öppnas en möjlighet för statliga myndigheter att använda Klassa.
Verktyget kommer dock fortsatt att ägas av SKR med kommuner och regioner som primär målgrupp.
Detta menar jag är ett projekt som bör utsättas för en mycket grundlig riskanalys!
Dessutom kan det verkligen ifrågasättas varför denna nationellt intressanta information ska ägas av en förening utan insyn och där det inte heller går att bedöma säkerhetsriskerna.
Det är dags för en mer omfattande diskussion om SKR:s roll.
Myndigheterna bör också ha en konsekvent linje i förhållande till ”förvaltningsskvadern” – antingen är man en myndighet med det fulla ansvar som en sådan har eller så få man återgå till att vara en arbetsgivarorganisation en arbetsgivarorganisation som i huvudsak ägnar sig åt sina medlemmars avtalsfrågor.
Sekretessavtal bör i dagsläget vara ett minimikrav för alla myndigheter, inklusive kommuner och regioner, som utbyter känslig information med SKR på samma sätt som man reglerar relationen med vilken privat aktör som helst.
Efter att till största delen fåfängligt tröskat runt om SKL/SKR:s (hädanefter benämner jag organisationen SKR trots att den hetat SKL) hittar jag plötsligt en från Riksrevisionen som tar upp EXAKT samma saker som jag skrivit om!
Hur har jag kunnat missa det – det var ju inte längre än sedan 2017 den skrevs?
Jag rekommenderar alla intresserade av offentlig styrning att läsa rapporten eftersom här summeras en rad väsentliga frågor.
Rapporten handlar framför allt om hälso- och sjukvård men kan även läsas som en mer generell beskrivning av hur SKR fungerar.
Som jag i tidigare inlägg försökt återge har styrningen inom den offentligt finansierade sjukvården helt förskjutits i och med att Socialstyrelsen slagits i bitar.
Den svenska förvaltningen bygger på att det finns beredande myndigheter som fungerar som ett mellanled mellan olika intressenter och regeringen.
I detta fall har denna mekanism upphört att verka och SKR har istället kunnat förhandla direkt med regeringen och i vissa fall t.o.m.
haft en dubbelroll där man kunnat ge sig själv uppdrag.
I huvudsak har det handlat om att förmedla statsbidrag som (rapportens beteckning) vilket paradoxalt gett SKR en roll de facto överordnad sina medlemmar.
Just detta har ibland framskymtat i samtal med representanter för vården, att gäller att hålla sig väl med SKR eftersom det i annat fall kan påverka den ekonomiska fördelningen.
Sant eller inte, denna roll har inte enbart varit till godo för SKR, särskilt som det inte är små summor man har fått både för att fördela till sjukvårdshuvudmännen och till sin egen organisation.
SKR:s mycket stärkta roll har flera orsaker men en viktig sådan är just de otraditionella styrmedel som regeringen under ett drygt decennium (över-?)
använt särskilt i vården där regeringen velat höja ambitionsnivån men varit delvis förhindrad att styra genom det kommunala självstyret.
Lösningen har varit olika typer av riktade bidrag och överenskommelser som SKR fått i uppdrag att förmedla: Överenskommelserna har inte ingåtts med enskilda landsting utan med SKL för samtliga landsting.
Det har praktiska orsaker.
Det var enligt dåvarande socialministern helt enkelt enklare att teckna överenskommelser med SKL än med 21 — Inom ramen för utvecklingsarbetet framkom också en del kritiska synpunkter från enskilda tjänstemän när det gäller SKL:s roll i överenskommelserna.
Ett exempel är att några tjänstemän ställde sig frågande till SKL:s kapacitet att hantera långsiktighet och mer förvaltande uppgifter i samband med överenskommelserna.
Flera pekade på att SKL i sin roll har att hantera konflikten i att vara en del i en statlig satsning och samtidigt värna medlemmarnas intressen.
Några enskilda tjänstemän tyckte att överenskommelser kan ses som ett slags symptom på att myndigheterna inte fungerar bra; att regeringen i brist på välfungerande myndigheter väljer att vända sig till SKL.
Detta har skapat det SKR som vi känner idag: Regeringen har använt sig av otraditionell styrning som i stor utsträckning involverat SKL, vilket gjort SKL till en central aktör i styrningen.
Riksrevisionens bedömning är att detta skett utan att regeringen aktivt tagit ställning till vilken roll SKL ska ha i styrningen av vården.
Att SKL fått stort inflytande kan snarare ses som ett resultat av att regeringen allt oftare valt att ingå överenskommelser som vid varje enskilt tillfälle gett SKL lite mer att säga till om.
Att SKL påverkar villkoren för kommuner och landsting är naturligt.
(min kursivering) Givet de begränsningar som finns för regeringen att direkt styra vården är det begripligt att regeringen valt att använda sig av SKL.
Mycket talar för att regeringen helt enkelt ansåg att det inte var möjligt att få samma effekt med hjälp av de statliga myndigheterna på vårdområdet.
I praktiken har det emellertid inneburit att regeringen har gett SKL en myndighetsliknande roll.
Riksrevisionen kan konstatera att det saknas normativa principer för när, och i så fall hur, regeringen kan använda icke-offentliga aktörer för att genomföra sin politik.
Det finns fördelar men också nackdelar med att använda SKL i styrningen av vården.
SKL har naturligt närmare till landstingens verksamhet och kan därmed fungera som en viktig länk mellan staten och landstingen.
Det har också framkommit att det ur regeringens perspektiv kan upplevas som en snabb och flexibel väg för att nå ut till vårdens huvudmän.
(min kursivering) Riksrevisionen noterar även att SKR fått uppdrag gällande kunskapsstyrning vilket bland annat handlar om att ta fram kunskapsunderlag på ungefär samma sätt som Socialstyrelsen: I och med att regeringen har involverat SKL i styrningen av vården har det uppstått något som kan liknas vid en konkurrenssituation mellan den centrala förvaltningsmyndigheten och huvudmännens medlemsorganisation.
Båda organisationerna arbetar med kunskapsstöd till kommuner och landsting.
Vidare arbetar både SKL och Socialstyrelsen med att ta fram kunskap om hur vården fungerar.
Socialstyrelsen arbetar alltid på uppdrag av regeringen, och SKL på uppdrag av medlemmarna.
Inom ramen för överenskommelserna agerar SKL även som genomförare av regeringens politik.
Det är svårt att dra gränsen för vad som är SKL:s respektive Socialstyrelsens roll eftersom uppgifterna överlappar varandra.
Vidare har det framkommit i våra intervjuer, även med SKL, att det är vanligt att SKL uppfattas som en myndighet.
Ett sådant kunskapsunderlag som tas upp är väntetidsdatabasen som infördes i samband med vårdgarantin: Som en följd av vårdgarantin infördes en skyldighet för landstingen att lämna uppgifter om väntetider till en nationell databas.
Regeringen har i författningar reglerat att landstingen ska lämna uppgifterna ”till den nationella väntetidsdatabas som förs av Sveriges kommuner och landsting”.
Databasen förvaltas av SKL men har finansierats av staten.
Detta udda arrangemang lyfts fram av Riksrevisionen eftersom de bara kunnat hitta ett annat liknande fall: Att databasen hanteras av en intresseorganisation är en ovanlig lösning.
Riksrevisionen har endast funnit ett delvis liknande exempel inom svensk förvaltning: ett jaktregister som tidigare fördes av Svenska Jägarförbundet, och som nu hanteras av Naturvårdsverket.
I fallet med väntetidsdatabasen tillkommer även komplikationen att staten är beställare av vård av SKR:s medlemmar – att då leverantörernas intresseorganisation kontrollerar möjligheten för beställaren att bedöma i vilken grad ”beställningen” uppförts.
(min kursivering) Att regeringen inte tagit ställning i ägarskapsfrågan innebär i praktiken att det som tagits fram på SKL stannar på SKL.
Det är Riksrevisionens uppfattning att regeringen behöver utvärdera samarbetet med SKL för att på ett principiellt plan ta ställning till formerna för samverkan.
Regeringen har en ambition att minska detaljstyrningen på vårdområdet, men utvecklingen går långsamt.
Regeringen har uttryckt att antalet överenskommelser ska minska.
Trots detta har antalet överenskommelser på vårdområdet inte förändrats, och den ordning som har uppstått där SKL har en mycket central roll i regeringens styrning av vården tycks vara svår för regeringen att ta sig ur.
Om det nära samarbetet med SKL, i form av t.ex.
överenskommelser, ska fortsätta behöver regeringen säkra tillgången till det som tas fram med statliga medel.
Det kan t.ex.
handla om att reglera insyn och förvaltning under och efter en satsning. . (min kursivering) Den omfattande styrningen genom SKL har också lett till att rollfördelningen mellan SKL och Socialstyrelsen uppfattas som otydlig.
(min kursivering) SKR har alltså suttit på dubbla stolar: dels företrätt sina medlemmars intresse, dels agerat som statens förlängda arm och att det dessutom är svårt att avgöra på vems initiativ olika aktiviteter genomförs: Det har framkommit i flera intervjuer att SKL har stor initiativmakt när det gäller statens styrning av vården.
Enligt såväl Socialstyrelsens före detta som den nuvarande generaldirektören har regeringen ett nära samarbete med SKL: ”Regeringen beslutar, men [SKL] har stor möjlighet att föreslå.
Detta bidrar också till finansiering från staten i många fall.” I intervjuer med både SKL och dåvarande socialministern har det framkommit att överenskommelser ibland uppstått på initiativ från SKL och ibland från regeringen.
SKL är involverade både i att generera ämnen för överenskommelser och innehåll, t.ex.
Men SKR har inte bara fått maktmedlet att fördela avsevärda resurser, man har även fått pengar från staten direkt till den egna organisationen.
Totalt för perioden 2009−2016 har staten utbetalt 1 078 miljoner kronor till SKL centralt för hälso- och sjukvård.
finansierat utvecklingsarbete, nationell samordning och uppföljning av landstingens arbete.131 SKL har därmed kunnat bygga upp betydande kompetens och förvaltning med hjälp av de statliga medlen.
Enligt Socialdepartementet kan SKL:s arbete konkret handla om it-stöd, metod- och implementeringsstöd, kommunikationsinsatser, resurser för samordning centralt, regionalt och lokalt etc.
Eftersom Riksrevisionen påpekar att det varit svårt att få en samlad bild av hur staten finansierar SKR:s interna verksamhet har jag inte ens gjort något försök att se vad som hänt efter 2016 men en rimlig gissning är väl att kostnaderna för staten inte på något remarkabelt sätt minskat.
Utöver detta tillkommer de medel som medlemsorganisationerna tillför.
Sammantaget kan det tyckas som SKR lever ganska gott vilket väl faktumet att man har anställda och ett kontor i Bryssel i sin kansliorganisation.
Litet spydigt så skulle man kunna tycka att SKR skulle använda sin universalmedicin ”effektivisering genom digitalisering” på sin egen organisation – kanske skulle en AI-lösning kunna framställa peppiga digitaliseringskampanjer utan mänsklig handpåläggning?
Riksrevisionen jämför i sin rapport de statliga anslagen gällande vårdområdet (för SKR tillkommer ju även andra statliga medel eftersom man inte enbart hanterar vård) och det visar ganska tydligt att SKR får ett rejält tillskott även jämfört med myndigheterna.
Relationen mellan framförallt Socialstyrelsen och SKR är komplicerad på flera sätt: I samtliga intervjuer med chefer och medarbetare på Socialstyrelsen har det framkommit att man betraktar SKL som en stark aktör.
I flera intervjuer har chefer och utredare på Socialstyrelsen beskrivit att de upplever att myndigheten urholkats eller ”hamnat i bakvattnet” i jämförelse med SKL.
Företrädare för SKL har i våra intervjuer varit noga med att betona att deras roll är att ta till vara medlemmarnas intressen och att SKL inte kan bestämma över landstingen.
Samtidigt har chefer på SKL gett uttryck för att organisationen kan och bör vara något mer än en intresseorganisation: ”Utan att vara en formell myndighet kan vi i vissa stycken ha en funktion som stödjer och utvecklar t.ex.
kunskapsstyrning genom vårt arbete.”När det gäller statens roll har företrädare för SKL uttryckt en uppfattning om att staten inte ska vara inne i det verksamhetsnära och att statens uppgift är att göra det som ”ingen annan kan”.
En sammanfattande bedömning från Riksrevisionen är: Riksrevisionens bedömning är att regeringen har låtit samarbetet med SKL − och därmed SKL:s inflytande över styrningen av vården – växa i alltför stor omfattning.
Riksrevisionen noterar att medlen till SKL ökar.
Enligt Riksrevisionens mening vore det rimligt att riksdagen informerades om omfattningen och utvecklingen av medlen till SKL.
Anledningen är att de medel som tilldelats SKL centralt är i nivå med förvaltningsanslagen på vårdområdet som riksdagen beslutar om samtidigt som SKL är en intresseorganisation.
Det är Riksrevisionens uppfattning att regeringen behöver utvärdera samarbetet med SKL för att på ett principiellt plan ta ställning till formerna för samverkan.
Detta var skrivet 2017 och tyvärr har regeringen hittills inte, vad jag kan se, följt Riksrevisionen när man säger att regeringen behöver bland annat utvärdera samarbetet med SKR och reglera insyn, förvaltning och ägande när SKR används.
Det otydliga samarbetet mellan staten och SKR är inte isolerat till vårdområdet.
De negativa konsekvenserna av att använda en intresseorganisation för myndighetsuppdrag gäller inte heller bara bortfall av offentlighetsprincipen, bristande möjlighet till ansvarsutkrävande, snurrig styrning och oklar uppföljning av hur ekonomiska medel fördelas och används.
Många andra myndigheter samarbetar med SKR och jag har blivit nyfiken på hur man reglerar säkerheten i informationsutbytet eftersom t.ex.
inte OSL gäller för en intresseförening.
I min värld borde det slutas samma typ av avtal med en förening som med ett kommersiellt bolag innan känslig information kan utbytas.
Även mellan myndigheter kan överenskommelser behövas slutas men den stora skillnaden är att alla myndigheter måste följa sekretessreglerna i OSL även om inte avtal sluts.
Av ren bekvämlighet valde jag MSB, en myndighet som jag ju vet hanterar känslig information, och skickade för drygt två veckor sedan en fråga: Hej!
MSB har ett omfattande samarbete med SKR i olika frågor.
Vissa av dessa frågor kan vara av känslig karaktär som kommuner/regionens insatser i det civila försvaret, samhällsviktig verksamhet, informations- och cybersäkerhet osv.
I dessa frågor utbyts rimligen känslig information.
SKR är en intresseförening som inte omfattas av OSL på samma sätt som en kommun/region, ett kommunalförbund eller ett kommunalt bolag.
Jag är därför intresserad av att ta del av det samarbetsavtal med vidhängande sekretessregler eller motsvarande som utgör reglering av dessa frågor i relationen mellan SKR och MSB.
Hittills har jag trots en vänlig påminnelse inte fått något svar.
Personligen tycker jag inte denna märkliga hybridform av offentlig aktör som växt fram hör hemma i svensk förvaltning där offentlig verksamhet och offentliga medel flyttas över till en oreglerad och ogenomtränglig sfär.
Jag har svårt att tro att SKR självmant kommer att vilja lämna denna softa tillvaro som skapats.
Det är därför hög tid att regeringen följer Riksrevisionens råd och utvärderar sitt samröre med SKR.
För den som vill läsa regeringens något svala reaktion på Riksrevisionens granskningsrapport finns en länk Här kommer en summering av min diskussion med SKR angående ett eventuellt tillämpande av offentlighetsprincipen även inom SKR.
Jag inledde med ett i Dagens samhälle där jag försökte resonera angående varför det vore lämpligt att SKR skulle omfattas av offentlighetsprincipen.
De 3500 tecken som står till buds för en debattartikel omöjliggör naturligtvis en rättvis behandling av de frågeställningar som skulle behövas för en så komplicerad fråga som den jag lyfte.
Ändå tyckte jag än då att det tydligt i min artikel framgick att det finns ett antal skäl till varför SKR:s ställning som ”ideell förening” borde omprövas.
En resonerande inställning där olika argument prövas är dock inget som intresserar SKR.
Istället skickades föreningens VD för att ge ett .
Kanske det ändå inte blev så dräpande som önskat eftersom en hel del läsare (t.ex.
och och ) reagerade på SKR:s icke-svar och den attityd varmed det förmedlades.
Litet orolig blir man ju med tanke på att Isling rekryterats till SKR för .” Själv tycker jag att SKR ofta verkar lida av ett attitydproblem där tjänstemännen antingen uttrycker sig med viss arrogans eller inte alls då motiverade frågor ställs.
Isling är i detta fall inget undantag och är hans förhållningssätt ett exempel på den nya inriktningen för SKR bör man kanske sätta sig och titta litet på på kartan för att ta ut en annan riktning.
I min försökte jag visa att SKR har stora möjligheter att uppnå den öppenhet som Isling menar att man vill men inte kan (enligt honom) ha.
Jag pekar på paradoxen att Inera valt att frivilligt tillämpa öppenhet men inte SKR men det vilar en kanske en ännu större paradox i att SKR ska ge för att utveckla demokratin kommuner och regioner.
Den som ska ge stöd i demokratiutvecklingen borde rimligen vinna på att vara ett föredöme.
För att förstå SKR:s ställning måste man förstå kommunernas (inklusive landstingskommuners även om de kallar sig regioner) ställning i det svenska styrelseskicket.
Även om man ofta pratar om det kommunala självstyret är alla den makt och det inflytande som kommuner har en delegation från den centrala statsmakten.
Kommuners existensberättigande ligger framför allt i att de har en territoriell förankring, d.v.s.
de har en delegation för styrning av vissa frågor inom ett avgränsat geografiskt område samt beskattningsrätt för samma område.
Kommunerna ska alltså kunna utgöra en motpol till den nationella styrningen och tillgodose lokalsamhällets interna behov utan att först behöva passera den nationella nivån (mycket förenklat uttryckt).
Även i detta perspektiv är SKR något av en paradox.
Genom sin ständiga tillväxt och överförande av allt fler kommunala frågor till en nationell nivå så blir legitimiteten hos det kommunala självstyret i samma takt naggat i kanten.
Mitt intresse i debattartikeln var dock främst inriktat på informationshanteringen där information som i kommunerna hanteras enligt TF och OSL blir utslussad till en ideell förening som inte alls har samma krav på sin hantering av samma information.
Det gäller öppenheten där t.ex.
stora framtidsfrågor som digitalisering och e-hälsa beslutas helt utan insyn och medborgardialog.
Men det gäller även skyddet för känslig information som i ursprungskommunerna styrs av OSL.
Jag tänkte på det när jag läste om SKR gjort en stor enkätundersökning om informationssäkerhet i alla kommuner och började då fundera på hur denna känsliga information hanterades inom SKR.
Har de deltagande kommunerna slutit sekretessavtal med SKR och vilken information har de fått om hur informationen hanteras?
Jag läser också om SKR:s där det inte står ett ord om statistiksekretess.
Ytterligare en fråga där sekretessen är av central betydelse är civilt försvar där ett alltmer aktivt deltagande kommer att krävas av kommunerna.
Vilken information i dessa frågor är möjlig att lämna till SKR?
Det är möjligt att dessa frågor hanteras på ett utmärkt sätt men just i och med avsaknaden av tillämplig lagstiftning föreställer jag mig att behovet av avtal blir stort och något krångligt att administrera liksom att ansvarsförhållanden ständigt måste redas ut.
Jag ser en risk för något jag skulle vilja kalla ”trust by proxy”, d.v.s.
att man förutsätter att SKR har samma styrning som de ingående medlemmarna och därmed inte vidtar de skyddsåtgärder som är nödvändiga.
Om jag låter omotiverat misstänksam ber jag om ursäkt men bakgrunden är delvis att det är mycket svårt att få uppgifter om säkerheten inom SKR.
När jag exempelvis ställde en fråga för ett tag sedan om föreningen har en säkerhetsskyddschef fick jag till svar att de behövde man inte svara på eftersom man inte är en myndighet… Sammantaget tror jag man skulle ha mycket att vinna på att vara tydligare i dessa frågor och då inte bara visavi medlemmar.
Alla dessa viktiga välfärdsfrågor som SKR i allt högre grad hanterar så att de därmed försvinner från offentligheten är inte bara viktiga i nuet utan också för framtiden.
Tanken att framtida forskning inte kommer att ha ett grundmaterial att utgår från för att kunna förstå hur vitala offentliga frågor beslutats svider verkligen.
Att SKR inte har ett krav på sig att bevara och tillhandahålla denna information är en förlust för hela samhällsutvecklingen!
Som en liten julklapp till SKR kommer jag här med ett förslag på lösning på problemet så att SKR också kan bedriva verksamheten med den öppenhet man säger sig vilja ha.
Idag är man alltså en ”ideell förening” vilket känns aningen märkligt med tanke på verksamhet och finansiering.
Det gör att det i finns mycket litet av som påverkar hur verksamheten ska bedrivas vilket i och för sig gör det fullt möjligt att tillämpa TF och OSL på samma sätt som Inera beslutat göra.
Å andra sidan finns det en i mitt tycke betydligt mer stabil lösning, nämligen att SKR omvandlas till ett kommunalförbund som det beskrivs i . På det sättet skulle man både få en verksamhet som är effektiv, har reglerade styrformer och de krav på informationshantering som finns i medlemsorganisationerna.
Det skulle bryta den nuvarande rörelsen där delaktighet och insyn försvinner när betydelsen av frågorna ökar men också ge betydligt bättre grund för samarbete mellan stat och kommuner.
I annat fall undrar jag var gränsen för SKR som ideell förening går – hur mycket kommunala uppgifter kan en förening egentligen ta över?
Mottar tacksamt motargument mot omvandlingen till kommunalförbund eftersom för mig känns den lösningen ganska praktisk men säkert har jag förbisett några för andra självklara förutsättningar som talar emot en sådan lösning.
Trots min julklapp tror jag ärligt talat att intresset för att ens överväga övergång från förening till kommunalförbund är mycket svalt inom SKR, det är sällan de som har privilegier som arbetar för att ta bort dem.
Däremot är det en idé att försöka få igång en debatt i riksdagen vilket kan vara en målsättning för 2020.
Ibland är man tvungen att återvända till gamla jaktmarker.
Där är jag nu.
Efter en sensommar och höst då jag funderat en hel över Inera och i förlängningen SKR blev frestelsen för stor och jag började plocka fram gamla luntor ur bokhyllan.
Luntor som jag framför allt samlat på mig när jag började forskarutbildningen i ekonomisk historia med ambitionen att skriva en avhandling om landstingens roll i den svenska modellen.
Sedan kom barn och livet emellan så det blev aldrig mer än en ambition.
Däremot ledde det till ett fortfarande pågående stort intresse för den regionala styrningen och sjukvård samt, som sagt, till en inte obetydlig samling litteratur i frågan.
Livet är cirkulärt och nu gläds jag över att återigen ha anledning att dyka in mina gamla böcker (verkligen gamla).
Jag läser om hur Svenska Landskommuners Förbund, Svenska Landstingsförbundet och Svenska Stadsförbundet via Landstings- respektive Kommunförbundet utvecklats till SKR.
Från att ha varit renodlade arbetsgivarorganisationer med uppgift att ge medlemmarna stöd i förhandlingarna med de anställdas organisationer har SKR nu utvecklats till en organisation med ständigt växande antal anställda och som lika kontinuerligt påtar sig nya operativa uppgifter.
Mycket stora skattemedel fördelas via SKR och en inte på alldeles anspråkslös summa (understatement) går till SKR:s egen interna organisation, se budgeten på sida 49 i denna redovisning jag fått ut från SKR.
per medborgare och år enligt SKR själva.
Slutligen leds SKR av indirekt valda politiker som även har kontroll över de bolag som ingår i SKR-sfären.
Enligt svensk lagstiftning ska offentlighetsprincipen tillämpas i alla myndigheter (inklusive kommuner och regioner) samt kommunala bolag m.m..
I OSL 2 kap står det följande: Vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter ska i tillämpliga delar gälla också handlingar hos aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande.
Sådana bolag, föreningar och stiftelser ska vid tillämpningen av denna lag jämställas med myndigheter.
Kommuner och landsting ska anses utöva ett rättsligt bestämmande inflytande om de ensamma eller tillsammans 1. äger aktier i ett aktiebolag eller andelar i en ekonomisk förening med mer än hälften av samtliga röster i bolaget eller föreningen eller på något annat sätt förfogar över så många röster i bolaget eller föreningen, 2. har rätt att utse eller avsätta mer än hälften av ledamöterna i styrelsen för ett aktiebolag, en ekonomisk förening eller en stiftelse, eller 3. utgör samtliga obegränsat ansvariga bolagsmän i ett handelsbolag.
Vid tillämpningen av andra stycket 1-3 ska inflytande som utövas av en juridisk person över vilken en kommun eller ett landsting bestämmer på det sätt som anges i de nämnda punkterna anses utövat av kommunen eller landstinget.
Första stycket gäller också för handlingar som efter medgivande av en kommun eller ett landsting för viss bestämd tid förvaras hos aktiebolag, handelsbolag, ekonomiska föreningar eller stiftelser där kommuner eller landsting tidigare har utövat ett rättsligt bestämmande inflytande.
Vad som föreskrivs om kommuner och landsting i första-tredje styckena tillämpas också på kommunalförbund.
För en ytlig betraktare förefaller SKR uppfylla alla kriterier som t.ex.
att kommuner/regioner utövar ett rättsligt bestämmande inflytande.
Ändå omfattas inte SKR av offentlighetsprincipen, ett förhållande som är allt mer förvånande ju mer man tänker på det.
Bristen på insyn i en politiskt styrd organisation med den makt SKR har är en anomali i det svenska systemet som sannolikt har sin upprinnelse i de ursprungliga förhandlingsorganisationernas uppgifter.
I arbetsgivarorganisationer med enda syfte att förhandla arbetsvillkor kan möjligen hemlighetsmakeriet accepteras – i en organisation som för kommuners och regioners talan i en mängd frågor, opinionsbildar på ett inte helt okontroversiellt sätt och dessutom leder allt fler operativa verksamheter kan det det inte.
Inte minst att det inte går att utkräva ansvar borde ses som en mycket missklädande fläck i det offentliga Sverige.
Att slutna sällskap inte är nyttiga ens för sig själva är en ganska uppenbar slutsats efter i Svenska Akademien.
Samma faror av vänskapskorruption lurar i SKR, dessutom är man utsatta för ett starkt kommersiellt tryck i exempelvis digitaliseringsfrågorna.
Vad synen att digitalisering är lösningen på i princip alla samhällsfrågor bygger på när inga seriösa siffror som underbygger detta väcker frågan vems intressen som egentligen tjänas av SKR.
Ökad öppenhet i denna och andra frågor skulle ställa krav på samma typ av underlag och ansvar som i de kommuner och regioner som skickat delegater till SKR.
Istället urlakas den demokratiska processen markant i och med överförandet av frågor till SKR.
Det finns även andra skäl att göra en reglering i OSL så att även SKR omfattas av kraven på offentlighet och sekretess.
Ett starkt sådant är att SKR allt mer fungerar som en mellanstation mellan statliga och kommunala myndigheter också kan komma att hantera känslig information som rör exempelvis informationssäkerhet.
Eftersom OSL inte gäller kan det vara svårt för myndigheterna att reglera eller överblicka hur informationen hanteras i föreningen SKR.
Samtidigt är det svårt för kommuner och regioner att ifrågasätta att lämna ut information om sina förhållanden till SKR.
Ytterligare ett skäl är kopplingen till arkivlagen som ställer krav på att allmänna handlingar ska bevaras inte bara av insynsskäl utan även för att garantera rättssäkerhet och möjlighet till forskning.
Risken för att den helt offentligt finansierade verksamheten SKR med sin allt tyngre samhällsroll inte lämnar ett bra forskningsmaterial efter sig är överhängande.
Min enkla poäng är att om SKR agerar som en myndighet ska man behandlas som en myndighet.
Det är dags för SKR att inte bara byta namn utan även vara beredda att ta ansvar i förhållande till sitt inflytande.
Hur OSL och kanske TF behöver förändras och kompletteras med en rad som inkluderar SKR i dess räckvidd bör vara en ganska enkel juridisk manöver (jag är ju inte jurist så jag kan ju unna mig att ta lätt på frågan).
Sannolikt är det en betydligt svårare politisk process att tvinga ut SKR:s makthavare ur den så behagliga hemliga stugvärmen men icke förty är detta vad demokratisk anständighet kräver.
Ett obligatoriskt men till intet förpliktigande uttryck sedan länge är ”transparens”, ibland så flitigt använt att man riskerar att glömma bort hur viktigt det faktiskt är med öppenhet.
Öppenheten är central för samhällsklimatet och delaktigheten men också för att kunna tillvarata den samlade kompetensen.
I Sverige har vi varit gynnade av den unika institution som offentlighetsprincipen utgjort sedan 1700-talet och som visserligen på många sätt hotas men som fortfarande är ett omhuldat ideal.
Att få insyn i och i förlängningen möjlighet att påverka de stora samhällsfrågorna är det stora värdet med öppenhet för de offentliga verksamheter där offentlighetsprincipen ska tillämpas.
Öppenhet är av samma skäl obekvämt för makthavare, det är liksom bekvämare om man får arbeta ostört och göra som man vill.
Misstag behöver heller inte upptäckas och att slippa stå till svars för det ena och det andra är naturligtvis behagligt.
Sjukvård rankas som den viktigaste frågan av väljarna.
I Sverige är sjukvården offentligt finansierad.
Dessa två premisser sammantaget ger att ett stort mått av öppenhet i hanteringen av sjukvårdsfrågor borde vara en självklarhet.
Tyvärr är inte så fallet när det gäller e-hälsa.
Även för en som tämligen noggrant följt utvecklingen inom området i 25 år är det mycket svårt att få en överblick ens över hur området styrs.
Då menar jag i form institutioner och presenterade inriktningar som rör sig på en konkret nivå.
Under de senaste tio åren har jag sett en rörelse där allt större inflyttande över e-hälsan flyttats över från staten och regionerna till SKL.
Jag har tidigare skrivit om Inera som ändå fattat beslut om att följa offentlighetsprincipen trots att man inte är skyldig att göra det.
Värre är det med SKL som är en arbetsgivarorganisation för regioner och kommuner.
Trots den litet udda konstruktionen att man som intresseorganisation tillskjuts mycket stora offentliga medel från staten och man styrs av folkvalda politiker så har inte kravet på öppenhet följt med.
Bristen på insyn blir mycket påtaglig när man ser på den för digitalisering som tillsattes efter valet och består av politiker från regioner och kommuner.
Det är alltså ett indirekt valt politiskt organ.
Uppdraget är stort och spännande för den som är intresserad av e-hälsa: Beredningen hanterar strategiska frågor om grundläggande gemensamma förutsätt­ning­ar för digital utveckling, exempelvis fråge­ställ­ningar kopplat till effektivisering genom digitalisering, automation och artificiell intelligens (AI), inno­vations- och förändringsledning, data som strategisk resurs, säker informations­hante­ring och nationell digital infrastruktur.
Vidare ska beredningen hantera rättsliga för­utsättningar för en digital samverkande förvaltning.
I uppdraget ingår också att följa SKL-koncernens samverkan för att gemensamt stötta med­lem­marna i deras verk­sam­hetsutveckling med stöd av digitalisering.
Inte minst blir man ju sugen på att läsa mer om hur beredningen ska hantera de rättsliga förutsättningar efter SKL kanske inte helt klargörande angående molntjänster häromveckan där man inte ens nämner eSams rättsliga uttalande där man avråder från att använda molntjänster.
Detta trots att SKL själva uppger följande i sin rapport: Undersökningen från Radar visar att cirka 50 procent av kommunerna använder Microsoft Office 365 (MS O365) och att 100 procent av de större kommunerna använder denna tjänst.
Hur som helst blev jag intresserad av att ta del av beredningen för digitalisering har för arbete på gång, vilka frågor man ventilerade och vilka insatser som planerades.
Detta visade sig vara en stängd dörr för när jag skickade dessa frågor till SKL:s presstjänst (de har ju inget diarium): Jag skulle vilja veta: – vilka handlingar som finns relaterade till Beredningen för digitalisering – vilka av dessa handlingar som jag kan få ta del av fick jag följande, kanske väntade svar: Tack för att du kontaktar oss.
SKL är en intresse- och arbetsgivarorganisation och omfattas inte av skyldigheten att lämna ut allmänna handlingar enligt offentlighetsprincipen.
Vi kan därmed inte hjälpa dig med din förfrågan.
Du kan läsa mer om SKL och vår organisation på .
Jag gjorde ett par försökt med kommuner och regioner, varav ett par med representanter i beredningen, om de fått in några handlingar men helt utan resultat.
Ofrivilligt parafraserar jag Tom Waits gamla låt i huvudet och får en öronmask: what are they building in there?
Men det är inte bara att man faktiskt inte lämnar ut handlingar som är utestängande.
När jag läser programmet till den med underrubriken En dag.
Oändliga möjligheter.
känner jag en lätt yrsel.
Där kommer de usual suspects att prata om ungefär samma saker som vanligt på de otaliga konferenser som går av stapeln (även om jag känner ett visst intresse för den handlingsplan för 2020-2022 som ska diskuteras) medan många av oss andra känner en mycket stor oro för de många alarmerande händelser som tydligt visar att kostnaderna skenar för för e-hälsan och att nya mycket allvarliga säkerhetsbrister hela tiden avslöjas.
Nu senast var det av ett nytt vårdinformationssystem där det avslöjas att det finns stora risker för både patientsäkerhet och integritet: I rapporten pekas på att rutinerna för riskanalys i arbetet med Skånes digitala vårdsystem, SDV, är för dåliga – informationsklassificeringen görs för sent och avklarade riskanalyser sammanställs inte centralt så att de kan följas upp.
Riskanalysverktyget anses dessutom vara svårt att hantera.
Organisationskulturen i sig finns också med bland de identifierade bristerna.
Det finns helt enkelt ingen kommunicerad agenda för informationssäkerhet med verktyg för att rapportera brister i arbetet med den nya vårdinformationsplattformen.
Det gör att brister riskerar att förbises och att ”medarbetare genom uppgivenhet både upplever och bidrar till en tystnadskultur”.
I sin tur leder det till att oro ventileras i korridorerna vilket leder till ytterligare risker.
Naturligtvis fick jag inte ut någon rapport från Region Skåne när jag efterfrågade den utan ett listigt svar att någon sådan rapport inte fanns diarieförd.
Min fråga: Jag undrar då om en sådan rapport inte finns utan att CS blivit vilseförda eller om den finns men man valt eller missat att diarieföra den?
besvarades med att den sannolikt var ett internt arbetsmaterial.
Det mest deprimerande i detta är att upprepningstvånget.
Trots att svenska sjukvården gång på gång råkar ut för stora säkerhetsproblem, trots ett antal liknande projekt i bland annat och med miljardinvesteringar inte fungerar på ett säkert sätt så är det som denna information inte tränger i genom väggarna på den svenska e-hälsans fort.
Att dessa fullkomligt vitala frågor inte tas upp på en konferens om framtidens e-hälsa gör att verkar som vi lever i två olika världar: verkligheten respektive e-hälsans utopia.
Detta är inte en bra grund för ett mycket komplicerat samhällsutvecklingsarbete!
Den tystnadskultur som den interna rapporten som CS tagit del av pekar på en mycket central risk, nämligen tystnadskulturen som gör det omöjligt att föra fram risker eftersom man då avfärdas som negativ.
För den som arbetar med säkerhet och vet hur betydelsefull en positiv säkerhetskultur är för ett fungerande säkerhetsarbete förstår på djupet hur destruktivt det här förhållningssättet är.
Tyvärr praktiseras samma förhållningssätt även på nationell nivå t.ex.
konferensprogram av typen Nationella e-hälsodagen och när en företrädare för SKL på en konferens säger att ”det är mycket enklare att vara emot”, underförstått att resa rationella frågor uppfattas som fientligt.
Jag kan möjligen förstå att SKL som lobbyorganisation jobbar med ensidiga marknadsföringsknep även om jag som skattebetalare inte skulle vilja se pengar som så väl behövs i vården gå till detta.
Däremot tycker jag att myndigheterna borde nyktra till och kunna föra en diskussion där även nyanser är tillåtna.
Jag tror alla kan stå ut med litet av den dåliga stämning som uppstår när folk visar sig ha olika åsikter.
För säkerheten i framtidens e-hälsa är det nödvändigt att kunna prata om risker och reducera dem innan de lett till ett nytt och ett nytt och ett nytt haveri.
Den minnesgode kommer ihåg att jag bett att få se Ineras ledningssystem för informationssäkerhet, blivit nekad och hänvisad till Kammarrätt för att framföra mina besvär över detta, förloppet finns beskrivet .
Själv måste jag medge att jag fann Ineras agerande aningen besynnerligt.
Om det nu finns styrande dokument för informationssäkerheten vid sidan om den A4 som utgör policy (vilket Inera hävdar) så förefaller det märkligt att varje ord i dessa dokument skulle utgöra en sådan betydande risk för Ineras säkerhet att de inte kan lämnas ut.
För den som jag som arbetat med utlämnande av allmänna handlingar är väl bekant med rutinen att maska dokumenten så att de delar som bedöms som sekretesskänsliga inte kan läsas – ytterst sällan är dokumenten i sin helhet känsligt.
Kanske har inte Inera upparbetat rutinen för maskning än men efter att ha läst Kammarrättens utslag så är det nog dags att komma igång med det nu.
Jag är naturligtvis nöjd med utslaget och väntar nu på mina handlingar.
Samtidigt väcker ju historien med Inera en hel del tankar.
En är att vi alla är betjänta av största möjliga öppenhet om de regler gällande säkerhet som finns olika organisationer.
Vi behöver lära av varandra och vi behöver närma oss mer av praxis både på branschnivå och i samhället i stort.
Ett överdrivet hemlighetsmakeri skapar en negativ säkerhetskultur och förhindrar processen mot en nödvändig samsyn om hur styrningen av säkerhet bör utformas.
Ineras förhållningssätt pekar också på ett annat mer praktiskt problem, nämligen vikten av att utforma sin hierarki av styrande dokument rätt.
Om man, som Inera tycks ha gjort, blandar principer,ansvarsfördelning och andra faktorer som bör kunna vara helt öppna i random organisation med detaljbeskrivningar av säkerhetslösningar, risker och sårbarheter har man ju skapat ett regelverk som knappast går att sprida ens internt och ännu mindre till externa parter som kunder.
En betydligt mer positiv erfarenhet var det att begära ut samma information hos eHälsomyndigheten där jag inte bara fick ta del av de handlingar som på ett övergripande sätt styr säkerhetsarbetet utan även en bild av de handlingar som är av mer känslig karaktär.
Tyvärr bekräftades dock min bild av bristande styrning av säkerheten inom vården då två av de stora aktörerna inom svensk e-hälsa inte har ett gemensamt regelverk.
Detta är en mycket stor fråga som måste lösas innan vi kan säga att vi är på väg mot en säker e-hälsa.
Efter diskussionerna om 1177-skandalen och andra händelser inom e-hälsoområdet har jag efterfrågat en nationell genomlysning av hur det egentligen står till med informationssäkerheten i den svenska vården.
I väntan på en större aktör som kan genomföra en omfattande analys av den i mitt tycke centrala frågan så tänkte jag börja dra några små strån till stacken och titta närmare på hur några viktiga aktörer inom e-hälsoområdet hanterar informationssäkerhetsfrågan.
Hälso- och sjukvården är också en av de utpekade branscher där aktörer åläggs att bedriva ei NIS-direktivet.
Att sanktionsavgifter kan utdömas från både dataskyddsmyndigheten och från IVO i det här fallet borde vara en starkt pådrivande faktor för att förbättra säkerheten.
En naturlig startpunkt är Inera som presenterar sig så här: Inera ägs av SKL Företag, regioner och kommuner.
Genom att erbjuda kompetens inom digitalisering stödjer Inera ägarnas verksamhetsutveckling.
Inera koordinerar och utvecklar gemensamma digitala lösningar till nytta för invånare, medarbetare och beslutsfattare.
och Inera utvecklar och förvaltar nationella tjänster inom e-hälsa och digitalisering på uppdrag av regioner och kommuner.
Ungefär 35 digitala tjänster drivs idag av Inera, bland annat 1177 Vårdguiden, Nationell patientöversikt och Journalen.
Vissa tjänster används av invånare, andra av vårdpersonal.
Arbete pågår med nuvarande tjänster och på vilket sätt de kan anpassas för kommunerna.
Inera ansvarar också för den gemensamma infrastruktur och it-arkitektur som ligger till grund för många av tjänsterna.
Därmed har Inera uppdraget från sjukvårdshuvudmännen att koordinera och utveckla gemensamma e-hälsolösningar – en supertungviktare inom e-hälsoområdet alltså.
Av detta följer att man har ett lika tungt ansvar när det gäller informationssäkerheten i de lösningar man erbjuder.
Detta faktum accentueras av att sjukvårdshuvudmän och vårdgivare i de flesta fall inte kan välja andra lösningar än de som Inera erbjuder eftersom de är nationella tjänster som det är nödvändigt att använda för att kunna bedriva vård.
Till skillnad mot om man skulle anlita kommersiell leverantör där man både kan styra med kravspecifikation och genom att byta leverantör om man inte är nöjd med säkerheten.
Dessutom ska Inera stödja digitalisering av regioners och kommuners verksamheter genom att tillhandahålla kompetens och material.
Bland annat säger man sig ta fram regelverk för informationssäkerhet, juridik och kvalitetssäkring.
Det vore konstigt om man inte skulle bli intresserad av hur Inera arbetar med informationssäkerhet då dessa olika uppdrag presenteras.
När man bedömer en organisations förutsättningar för att bedriva eär den vanliga metoden att utgå från vilka styrande dokument som tagits fram och beslutats.
Inte för att styrande dokument i sig med nödvändighet leder till bättre säkerhet men de ger ramarna för arbetet och beskriver förhoppningsvis det organisatoriska maskineri med bland annat ansvar och roller som förlängningen ska snurra igång det systematiska arbetet.
I korthet: regelverk är en nödvändig men absolut inte tillräcklig förutsättning för fungerande informationssäkerhet och det finns definitivt olika kvalitet på regelverk.
Dessutom innehåller regler på högre nivå mycket sällan någon som helst känslig information och skulle det återfinnas någon liten del som bedöms som känslig är den lätt att maskera vid ett utlämnande (tro mig – jag har begärt ut regler i stor omfattning från myndigheter, kommuner och regioner).
Innan vi går vidare ska jag för transparensens påpeka att jag för ett femtontal år sedan gjorde ett par konsultuppdrag för Ineras föregångare och jag hade även kontakt med Inera under den tid jag arbetade på MSB.
Mitt sammantagna intryck är att det varit motigt att införa ett systematisktt trots uppdraget Inera och dess föregångare haft.
Men åter till nuläget.
Med ovan beskrivna bakgrund var ett första steg för mig att be att få ta del av Ineras regelverk vilket jag gjorde den 6 augusti: Hej!
Jag skulle vilja ta del av: – Ineras interna ledningssystem för informationssäkerhet (LIS) som tillämpas i Ineras verksamhet – Aktuella regelverk och stödmaterial för informationssäkerhet som Inera tagit fram som stöd för sina kunder Jag skulle dessutom vilja veta när Inera senast genomförde en mer omfattande informationssäkerhetsrevision av den egna verksamheten.
Tack på förhand!
Jag fick snabbt ett automatsvar som kvitterade att mitt ärende tagits emot.
Sedan dröjde det och dröjde det.
Till slut kom ett svar den 22 augusti: Ni har begärt utlämnande av Ineras interna ledningssystem för informationssäkerhet (LIS), som tillämpas i Ineras verksamhet, samt vidare aktuella regelverk och stödmaterial för informationssäkerhet, som Inera tagit fram som stöd för sina kunder.
Ineras informationssäkerhetspolicy återfinns på .
Regelverk och stödmaterial inom informationssäkerhet och arkitektur, som delas med kunder, återfinns på .
Beträffande LIS gör Inera följande bedömning: Informationssäkerhet syftar till att hindra information från att läcka ut, förvanskas eller förstöras samt säkerställa att informationen finns tillgänglig för en legitim användare.
Ineras produkter och tjänster håller en sådan säkerhetsnivå att kunder kan känna förtroende för Inera som leverantör och uppnå en hög nivå av informationssäkerhet.
Inera har ett ledningssystem för informationssäkerhet, som är baserat på ISO 27001.
av regelverk som beskriver krypteringsnivåer, autentiserings-metoder, säkerhetsåtgärder i driftsmiljön m.m.
I systemet ingår vidare modeller förificering, incidenthantering, etc., liksom uppföljning i form av interna och externa revisioner samt säkerhetstester.
Sekretess gäller enligt 18 kap.
8 § 3 offentlighets- och sekretesslagen för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser telekommunikation eller system för automatiserad behandling av information.
LIS innehåller uppgifter av sådan art att ett utlämnande typiskt sett är ägnat att medföra skada för det intresse som skall skyddas genom den aktuella bestämmelsen.
Handlingarna kan därför inte lämnas ut.
Om ni inte är nöjd med sekretessbedömningen har ni rätt att begära ett formellt beslut.
Med vänlig hälsning Inera Detta var ett intressant svar av flera skäl.
För det första är den informationssäkerhetspolicy som bifogas och som också ligger ute på Ineras så sällsynt innehållslös och består enbart av det som i andra policys brukar ligga under rubriken ”mål”.
Bland annat saknas helt inriktning för ansvarsförhållanden vilket är av stor betydelse att definiera för en leverantör .
Att policyn är beslutad den 14 juni i år väcker även det en hel del tankar (mer om innehållet i de dokument jag fått ut längre ner).
Det riktigt förvånande är dock att Inera anser att övriga styrande dokument i sin helhet går att sekretesslägga och det med hänvisning till OSL trots att man inte tillhör de offentliga organisationer som faller under offentlighetslagstiftningen!
Detta sporrade min nyfikenhet och som den jobbiga människa jag är måste jag ställa ytterligare frågor med vändande post: Tack för svar!
En formfråga: har Inera fattat ett beslut att tillämpa OSL generellt för sin verksamhet?
Till svar fick jag följande: I Ineras bolagsordningen (från 2017) står följande: Allmänheten ska ha rätt att ta del av handlingar hos bolaget enligt de grunder som gäller för allmänna handlingars offentlighet i 2 kap.
tryckfrihetsförordningen och offentlighets- och sekretesslagen.
Här tätnade mystiken för mig.
2 kap TF och OSL handlar om hanteringen av allmänna handlingar.
Inera har per definition inte några allmänna handlingar och vad betyder då egentligen paragrafen i Ineras bolagsordning?
En generös tolkning är att man menar att Ineras handlingar ska hanteras som allmänna handlingar i myndigheter, regioner och landsting.
För att den handlingsoffentligheten ska fungera krävs bland annat diarieföring av handlingar där ärenden/handlingar får unika identiteter som går att söka fram och begära ut.
Om myndigheten, i det här fallet icke-myndigheten Inera, bedömer att det finns grund i OSL för sekretess för hela eller delar begärda handlingar ska ett sådant beslut lämnas skyndsamt med besvärshänvisning så begäran prövas i Kammarrätten.
Min nästa fråga blev därför: Tack!
Det innebär alltså att jag kan få ett formellt beslut med besvärshänvisning inom typ tre dagar?
Och svaret kom pronto: Ja, det stämmer.
Vill du alltså helst få ett formellt beslut?
Självklart vill jag ha ett formellt beslut men på vad?
Jag var tvungen att skriva tillbaka för klarläggande: Hej igen!
För att följa ert beslut om att efterleva OSL och TF bör jag få ta del av vilka handlingar och dess unika ID så att jag kan begära ut dem.
I policyn står inget om vilka övriga styrande dokument om ingår i ledningssystemet så därför behöver jag uppgifter om detta.
Exempel kan vara Riktlinje för åtkomst osv.
Dokumentnamnet kan inte falla under den sekretess ni hänvisar till.
Tyvärr har ni ju inget diarium på nätet så att jag själv kan söka reda på dessa uppgifter.
Jag skulle också vilja se beslut om till vilken instans ni skickar besvär i utlämnandefrågor.
När jag fått dessa uppgifter kan jag göra en formell begäran om utlämnande.
En vecka senare (30 augusti) kom svaret med en bilaga Hej Fia, Bifogad fil innehåller en beskrivning av Ineras ledningssystem och dess komponenter.
Den instans som är aktuell i besvärsfrågor är Kammarrätten.
Återkommer till innehållet i dokumentet senare men efter att ha läst beskrivningen skickade jag in följande begäran: Tack!
Jag har alltså fått en beskrivning av ert ledningssystem där ni bedömer att samtliga ingående dokument i sin helhet faller under OSL 18:8 § 3.
Förutom att jag tycker att det är tämligen unikt för Inera att se hela regelverket som fallande ur sekretess blir jag litet fundersam över vilka dokument i beskrivningen som är framtagna och beslutade.
Är beskrivningen en plan över vad som ska tas fram eller finns omnämnda dokument?
Och kommer Kammarrätten verkligen att anse att de är en instans för besvär gällande utbegäran om icke-allmänna handlingar (eftersom Inera inte är skyldiga att följa TF och OSL utan har det mer som en policyinriktning)?
Eftersom jag håller på att skriva om det just nu vill jag gärna pröva detta så jag begär ett formellt beslut angående utlämnande av följande dokument (eftersom de saknar unik identitet anger jag den beteckning som anges i beskrivningen): Jag förutsätter att ni gör en sekretessprövning som innebär att de delar av dokumenten som inte faller under reglerna för sekretess lämnas ut.
Förhoppningsvis håller ni också den praxis som gäller för skyndsam handläggning för denna typ av ärenden, d.v.s.
beslut inom tre arbetsdagar.
Idag den 3 september fick jag ett formell avslag med en besvärshänvisning där beslutet där samtliga handlingar i ledningssystemet förutom policyn i sin helhet bedöms i behov av sekretess.
Besvärshänvisningen är till Kammarrätten som kan göra en annan bedömning.
Själv är jag tveksam till om besvärshänvisningen verkligen fungerar eftersom Inera formellt inte faller under offentlighetsprincipen och de handlingar jag begärt ut därmed inte är att betrakta som allmänna vilket också fastslagits i ett liknande fall, då gällande (SKI).
Av rent intresse kommer jaag ändå att skicka in ett besvär.
Om vi ser till själva processen tycks Inera lägga betoningen på S snarare än O i OSL.
Det är tyvärr inte en ovanlig attityd bland myndigheter, det är klart att det är mycket bekvämare att arbeta bakom lyckta dörrar, men en mycket tråkig utveckling i ett samhälle där vi berömt oss för vår fina offentlighetsprincip.
Min fråga här blir hur syftet med informationsklassningen som säkerhetsåtgärd skulle kunna skadas om Inera lämnade ut beskrivningen av sin metod.
Eller hur riktlinjersin helhet skulle kunna vara känsliga.
För att undvika missförstånd: självklart finns det ingående beskrivningar av tekniska lösningar alternativt risker/sårbarheter som bör hållas skyddade för obehöriga (särskilt som Inera paradoxalt nog är frikostiga med tekniska beskrivningar .
Men styrande dokument på en högre nivå borde Inera ha all anledning att vilja sprida om man tar sitt uppdrag att ”koordinera och utveckla digitala lösningar” på allvar.
Eftersom vi vet att informationssäkerheten är så illa utvecklad inom sjukvården borde Inera föregå med gott exempel och visa upp vilken säkerhet man själv har i sin instans av 1177 till skillnad mot Medhelps hantering.
Vad skulle nyttan vara i att begränsa harmlös information om sitt säkerhetsarbete till sina ”kunder” om man hanterar personuppgifter för hela befolkningen och ett mycket stort antal aktörer är berörda av dessa regler på olika sätt?
En mer cynisk människa än jag skulle ifrågasätta att de dokument jag efterfrågar över huvudtaget finns annat än på ritbordet med tanke på att policyn antogs i mitten av juni i år och övriga dokument rimligen borde vara underdokument till den.
Jag väljer att tro att dokumenten i beskrivningen verkligen finns men det ledningssystem som framtonar liknar inget jag tidigare sett i en organisation med Ineras betydelse och ambition att följa ISO/IEC 27001/27002.
Policyn är som jag tidigare skrivit torftig och innehåller inte delar som ändå får uppfattas som praxis som exempelvis ansvar och roller, incident och kontinuitet vilket även är centrala aspekter för en tjänsteleverantör.
Dessa frågor återkommer inte heller på anvisningsnivå.
Inledningsvis sägs att: Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering.
Den ska också tillämpas i projekt och på förvaltningsobjekt.
Det är alltså en intern policy för bolaget Inera men vad säger det om informationssäkerheten i tjänsterna?
Och i relationen med kunderna?
När så basala frågor lämnas öppna är frågan vad policyn egentligen fyller för syfte.
Sammantaget är den bild jag får att detta inte ens om det blir genomfört skulle bli ett fungerande ledningssystem på det sätt som beskrivs i standarden.
Men då har jag som sagt inte sett själva dokumenten.
Kanske någon som är ”kund” i Ineras mening kan kolla på dessa dokument och återkomma med en beskrivning?
Ineras hemlighetsmakeri blir ännu mer märkligt med tanke på att ett flertal av de ägare som Inera kallar kunder villigt lämnat ut sina styrande dokument för informationssäkerhet när jag frågat.
Varför skulle större sekretess råda hos Inera?
Kanske är det ovanan att leva med en god offentlighetskultur som präglar Ineras synsätt.
På samhällsnivå är det i så fall ett stort problem om viktig information flyttas från öppna organisationer till slutna som Inera och SKL.
Jag tror att överdrivet sekretessläggande är till stor nackdel för säkerhetsarbete generellt men alldeles särskilt i sammanhang då en ett antal aktörer ska dela information, tjänster och infrastruktur.
Det måste finnas en grundlig kännedom och diskussion om gemensamma regler hos de som är aktörer i samarbetet men det måste också gå att presentera utanför den snävaste kretsen för att kunna skapa tillit.
Konsulter och leverantörer måste även de få inblick för att kunna utveckla sina tjänster så att de passar.
Detta gäller än mer om Inera ska axla rollen att stödja kommunerna i deras digitalisering.
Min förslag har sedan länge varit att ta fram gemensamma regelverk och skyddsnivåer för att skapa gemensam säkerhet och dessutom slippa de stora konverteringsproblem som uppstår då aktörer med olika regelverk ska samverka i samma infrastruktur.
Svensk digitalisering är i sig planlös men det skulle kunna gå att riva det Babels torn av språkförbistring som redan finns inom informationssäkerhetsområdet genom att skapa just gemensamma regelverk.
Jag gjorde ett försök 2014 när jag jobbade på MSB att få olika centrala aktörer att samverka men denna strategi har fallit i glömska trots ett flertal tunga undertecknare (bland annat SKL och Inera).
Idag är behovet av fungerande informationssäkerhet i vården större än någonsin finns det definitivt utrymme för Inera att kliva fram och göra mer av sitt uppdrag att ta fram regelverk för informationssäkerhet än det som nu finns presenterat på n, detta särskilt som SKL säger att man ska arbeta ”resolut” med att förbättra informationssäkerheten.
Ska man lyckas med det krävs dock öppenhet och dialog med de många aktörer som måste ingå i ett sådant förbättringsarbete.
Att hävda att sekretess råder för varje mening i styrande dokument på hög nivå är inte ett tecken på vilja till öppenhet och dialog.

Toppledarforum E-nämnden (Nämnden för elektronisk förvaltning) 24-timmarsmyndigheten Verva E-delegationen E-legitimationsnämnden Digitaliseringskommissionen Digitaliseringsrådet DIGG Överenskommelse om kommunernas krisberedskap (dnr MSB 2018-09779) Överenskommelse om kommunernas arbete med civilt försvar (dnr MSB 2018-05681) Bilaga 1 omfattas av försvarssekretess (15 kap.
2 § offentlighets- och sekretesslagen (2009:400) och lämnas inte ut.
Riktlinje informationssäkerhet Anvisning för informationsklassicering Anvisning för informations- och it-säkerhet för medarbetare

inte inte behov kan, Folkviljan utövas genom inom En av nätläkarna tycker att det verkar ha varit en bristfällig konsekvensanalys inför beslutet och att det är märkligt att SKL:s handlingar inte omfattas av offentlighetsprincipen.

Meny SKR Inläggsnavigering

MENU MENU Postat av miljoner Postad i , , , , Tagged , , , , Postat av Postad i , Tagged , , , , Postat av Postad i , , , , , Tagged , , , , , , Postat av Postad i , , , , Tagged , , , , , , , Postat av Postad i , , Tagged , , , Postat av Postad i , , , Tagged , , , Postat av Postad i , , , , Tagged , , , Postat av Hej!
Postad i , , , Tagged , , , , Postat av Postad i , , , , , Tagged , , , , , Postat av Postad i , , , , , Tagged , , , , , ← Sök efter:

ett otraditionellt styrmedel I Riksrevisionens granskningar har det dock framkommit att SKL kommit att få ett stort inflytande även över den statliga styrningen av vården .
Det är Riksrevisionens bedömning att regeringen inte i tillräcklig utsträckning har tagit hänsyn till konsekvenserna av att använda en intresseorganisation som en del av förvaltningen Eftersom SKL inte är en myndighet lyder organisationen inte under förvaltningslagen eller regeringsformen.
Möjligheterna till ansvarsutkrävande är inte heller samma som om SKL hade varit en myndighet.
SKL företräder offentliga organ, men är i sig själv inte ett sådant.
Därmed kan varken regeringen, andra myndigheter eller medborgarna ställa samma krav på objektivitet och trans-parens på SKL som på Socialstyrelsen.
SKL är en organisation som ska bevaka sina medlemmars intressen och det är därför naturligt för SKL att slå vakt om det kommunala självstyret.
Det gör att man inte kan förvänta sig samma objektivitet från SKL som från en statlig myndighet.
SKL kan dessutom ha ett intresse av att hålla nere kostnader för sina medlemmar .
regeringens utredning Jaktens villkor konstaterades att förvaltningsuppgifter på jaktens och viltvårdens område som innebär myndighetsutövning inte annat än i undantagsfall borde fullgöras av intresseorganisationer.
Såväl in-formations-, rättssäkerhets-, som konkurrenssynpunkter talade för att en myndighet skulle ta över ansvaret för registret Det är Riksrevisionens bedömning att det i praktiken är oklart vem som egentligen äger den kunskap och de databaser som tas fram inom ramen för överenskommelserna.
Regeringen har därmed inte säkrat tillgången till den kompetens som byggts upp med statliga medel.
Riksrevisionen kan konstatera att det inte finns någon diskussion inom Socialdepartementet om att överföra databaser från SKL till Socialstyrelsen .
Riksrevisionens bedömning är att regeringen har låtit samarbetet med SKL − och därmed SKL:s inflytande över styrningen av vården – växa i alltför stor omfattning.
Granskningen visar att de medel som tilldelas SKL utan krav på att fördelas vidare till landstingen beloppsmässigt kan jämföras med förvaltningsanslagen till de större vårdmyndigheterna.
Departementet har inte heller haft en samlad bild av hur de medel som har gått till SKL centralt har utvecklats över tid Riksrevisionen noterar att medlen till SKL ökar.
Riksdagen har inte informerats om omfattningen och utvecklingen av dessa medel.
Enligt Riksrevisionens mening vore det rimligt att riksdagen informerades om medlen till SKL.
Anledningen är att de medel som tilldelats SKL centralt är i nivå med förvaltningsanslagen på vårdområdet som riksdagen beslutar om, samtidigt som SKL är en intresseorganisation .
Varken företrädare för Socialdepartementet, SKL eller Socialstyrelsen kan beskriva vilken typ av uppgifter regeringen ger till respektive aktör.
Riksrevisionen bedömer att en förklaring till detta är att det inte har funnits någon sådan logik i styrningen .
Tillägg 2020-02-20:

Att införa ett ledningssystem för informationssäkerhet enligt ISO/IEC 27001 och 27002 innebär att ge ledningen för organisationen ett verktyg för att styra informationssäkerheten så att den motsvarar verksamhetens behov.
Ledningssystemet bör därför i mesta möjliga mån integreras i organisationens övriga styrning samtidigt som det blir en styrning som täcker informationssäkerhetens samtliga delar.
Stödet för att införa ett ledningssystem innebär genomgång av förutsättningar för organisationen, stöd med en långsiktig planering samt stöd för att ta fram grundläggande dokument samt hjälp i förankringsarbetet.
För att kunna bygga upp ett långsiktigtsom stödjer verksamheten är det nödvändigt att både ha analyserat organisationens behov och nivån på den befintliga informationssäkerheten.
En nulägesanalys ger grunden för att kunna skräddarsy den säkerhet organisationen behöver.
En nulägesanalys genomförs i form av dokumentgranskningar och intervjuer och levereras i rapportform med rekommendationer för det fortsatta arbetet.
Ett fungerandeutgör ett svar på de risker som organisationen är utsatt för.
Arbetet med riskanalyser och riskhantering är det som ger dynamiken och förmågan att dimensionera säkerhetsåtgärderna så att de blir effektiva.
Att ha en systematisk riskhantering innebär att ha en struktur för att identifiera risker och sedan kunna reducera dem på ett strukturerat sätt.
I tjänsten ingår stöd för riskanalyser på olika nivåer (för hela organisationen, för en verksamhetsprocess eller för ett projekt till exempel).
Stöd kan även ges för de årliga risk- och sårbarhetsanalyser som statliga myndigheter, kommuner och landsting ska genomföra enligt MSB:s föreskrifter.
Framtagande av en grundläggande struktur för en systematisk riskhantering i organisationen.
Alla organisationer är idag beroende av sin informationshantering och när en större störning i informationshanteringen inträffar påverkar det organisationens möjlighet att fortsätta att bedriva sin verksamhet.
Det är därför nödvändigt att ha en planering för hur man ska hantera en störning så de mest prioriterade funktionerna i organisationen ändå kan upprätthållas.
I tjänsten ingår bland annat att kartlägga vilka av organisationens verksamheter och funktioner som är prioriterade av ledning samt identifiera vilka beroenden som finns till informationshanteringen.
Därefter tas förslag fram på organisation och planering för att kunna möta störningar.
Trots all planering inträffar ändå incidenter i informationshanteringen som leder till större eller mindre störningar.
När det händer är det viktigt att närmare analysera vad som orsakat incidenten och vilken effekt den fått i verksamheten.
Därefter kan kunskapen som uppnåtts användas för att förbättra skyddet så att liknande incidenter inte händer igen.
I händelseanalysen ligger fokus på vad som incidenten lett till för konsekvenser för organisationen.
Resultatet presenteras i rapport och i en presentation för ledningen eller annat forum.
En allt större del av en organisations informationshantering sker genom outsourcing eller molntjänster.
Liksom vid upphandling av traditionella it-system är informationssäkerheten en central fråga att beakta och som bör tas med redan initialt i upphandlingsprojektet.
I många organisationer är upphandlingarna få och det kan därför upplevas som att man saknar den erfarenhet och kompetens som behövs för att kraven på informationssäkerhet skall komma med i upphandlingen på ett bra sätt.
Upphandlingsstödet kan vara mer eller mindre omfattande beroende på kundens önskemål, från att konsulten deltar i hela upphandlingsprojektet till att konsulten validerar framtagna säkerhetskrav från kundens projektgrupp.
Kontroll av att säkerhetskrav efterlevs är en väsentlig komponent i ett systematiskt.
Kontrollen ger stöd för fortsatt utveckling av det interna säkerhetsarbetet och är också ett viktigt underlag då organisationer ska ha en gemensam informationshantering, t.ex.
i form av e-förvaltningstjänster.
Revisionen sker enligt ett fastställt revisionsprogram som framför allt är inriktad på organisationens förmåga till styrning av informationssäkerheten.
Resultatet är den dokumenterad rapport i två delar; en mer utförlig för det interna förbättringsarbetet och en mer komprimerad som utan risk kan kommuniceras till externa parter.
För många organisationer kan det vara svårt att hålla en tillräcklig kompetens inom informationssäkerhetsområdet i den egna organisationen.
Även för en organisation som har egen personal som arbetar med säkerhetsfrågor kan känna att omvärldsbevakningen blir otillräcklig och att det skulle vara bra att ha en extern expert att diskutera risker och åtgärder med.
Organisationen kan välja i vilken omfattning och vilket sätt säkerhetsrådgivaren ska ge stöd.
Säkerhetsrådgivaren ersätter aldrig egen kompetens utan ska ses en diskussionspartner som finns som resurs för interna medarbetare.
Informationsklassning ses som en av de centrala aktiviteterna i det systematiskat.
Ändå är det mycket få organisationer som faktiskt genomför informationsklassningar och ännu färre som har utvecklat skyddsnivåer med åtgärder som svarar på klassningens krav.
Orsaken till att så organisationer verkligen arbetar med informationsklassning är sannolikt att det är en komplex aktivitet där många delar av organisationen måste vara engagerade.
I tjänsten ingår att ta fram en modell för informationsklassning som passar kundens behov samt även stödja kunden i att ta fram rutiner för att införa informationsklassning på ett systematiskt sätt.
Det finns även möjlighet att ta fram underlag för skyddsnivåer.
För att skapa en väl fungerande informationssäkerhet krävs kunniga och engagerade medarbetare på alla nivåer.
Finns det växer en god säkerhetskultur fram där ledning och medarbetare inte bara följer beslutade regler utan också är förberedda på att hantera nya situationer som utgör en risk för informationshanteringen.
Informationssäkerhetsområdet utvecklas snabbt och därför behövs ständig vidareutveckling av kompetensen hos alla medarbetare.
Kunden kan själv välja målgrupp och omfattning för utbildningen.
Rekommenderat är en två-timmars genomgång med ledningsgruppen som ger en överblick över området.
Genomgången innehåller också en presentation av risker, externa förväntningar och interna behov av säkerhet.
Bredare medarbetarutbildning är ett annat bra steg för en organisation som vill gå vidare och förbättra sin säkerhet.
Myndigheter, kommuner och landsting inför allt fler lösningar för informationshantering för att utveckla sin e-förvaltning.
Lösningar kan vara e-tjänster i den egna verksamheten men ofta handlar det om samverkan mellan olika organisationer.
Oavsett om det är en tjänst som skapas inom en kommun eller en myndighet måste den kunna hantera information på ett säkert vilket förutsätter välgrundad kunskap om hur säkerheten bör utformas.
E-förvaltning förutsätter en säker informationshantering för att mötas av tillit och förtroende hos den enskilde.
Stöd ges för att analyser av behovet av informationssäkerhet i planerade och befintliga e-förvaltningstjänster.
Särskild betoning läggs på processkartläggning, ansvarsförhållanden och förutsättningar samverkan.
Den svenska sjukvården har ambitionen att utveckla och förbättra det nationella e-hälsoområdet.
För att utveckla den fulla potentialen inom e-hälsoområdet är dock informationssäkerhet är en avgörande fråga.
De e-hälsolösningar som tas fram måste både ge patientsäkerhet och integritet för att de ska kunna fungera effektivt och skapa tillit.
Det kräver också att både de nationella lösningarna och de enskilda vårdaktörerna kontinuerligt arbetar med organisatoriska och tekniska åtgärder i ett inbördes samspel.
Stöd ges för att analyser av behovet av informationssäkerhet i planerade och befintliga e-hälsotjänster.
Målsättningenen ska skapa möjligheter för god tillgänglighet, hög grad av integritet samt uppfylla de mycket höga krav på riktighet och spårbarhet som finns i vård och omsorg.
Dataskyddsförordningen innebär betydande förändringar för organisationer som hanterar personuppgifter.
Framförallt måste personuppgiftsansvariga ha en starkare kontroll över hur personuppgifterna hanteras.
Detta kräver både organisatoriska och tekniska åtgärder.
I tjänsten ingår ledningsinformation av vad förordningen innebär och stöd för kartläggning av organisationens processer och hur dessa använder personuppgifter.
Därtill kommer en riskanalys och förslag på vilka organisatoriska åtgärder som bör vidtas.
Förslag kan även tas fram för det obligatoriska inrapporteringssystemet för incidenter samt åtgärder för åtgärder i prioriterade it-system.
Informationssäkerhet handlar i hög grad om kommunikation som leder till medvetenhet och engagemang.
Att nå fram till andra än de redan frälsta är nödvändigt om informationssäkerhet ska bli en viktig fråga i den enskilda organisationen och i samhället.
På ledningsgruppsmöten, på konferenser och seminarier kan en dialog skapas som lägger grunden för ett arbete med hög delaktighet som kan förbättra informationssäkerheten.
Med en mycket lång erfarenhet som föreläsare kan jag hjälpa er att moderera samtal och med att själv föreläsa så att informationssäkerhet både blir en begriplig fråga och så att deltagarna känner sig engagerade.

Ledningssystem för informationssäkerhet (LIS) Nulägesanalys Riskanalyser och systematisk riskhantering Kontinuitetshantering Händelseanalys Upphandlingsstöd Revision av informationssäkerhet Informationssäkerhetsrådgivare Informationsklassning och skyddsnivåer Utbildning Stöde-förvaltning Stöde-hälsa Stöd för att efterleva dataskyddsförordningen Moderator och föreläsare

MENU MENU Sök efter:

Som en inledning på höstens äventyr tänkte jag bara göra några kompletterande anmärkningar till en debatt i Dagens samhälle.
Den inleddes med där jag ventilerade min oro efter vad som framkommit om Region Stockholms informationssäkerhet i den granskningsrapport som initierades av 1177-skandalen.
På inlägget följde två svar.
Det kom från ett par tjänstemän från SKL där man hävdade att regionerna arbetar resolut med informationssäkerhet.
I svaret är man tillämpar man ad hominem-argumentet att ett flertal gånger understryka att jag är ”konsulten”.
Det är ju förståeligt med tanke på NKS och i vilket vanrykte konsulter hamnat i efter den hanteringen men det som bekymrar mig är snarare att baktanken sannolikt är att göra mina argument ointressanta på grund av att jag inte representerar någon organisation.
Detta riktar i och för sig ljuset på ett tråkigt fenomen, att inträdesbiljetten i samtalet om samhällets gemensamma frågor förutsätter att deltagaren representerar ett särintresse.
Personligen tycker jag i stället att det demokratiska samtalet skulle tjäna på att många fler deltog, även de som inte har något annat intresse än att de är engagerade i att försöka förbättra samhället precis som när jag ställer upp som blodgivare.
Detta tillsammans med debattörernas åsikt att öppenhet om inträffade incidenter i offentlig verksamhet på något sätt skulle vara optional tycker jag också visar på det problematiska i SKL:s alltmer utvidgade roll.
Allt mer beslutsfattande och operativ verksamhet för in i en organisation där offentlighetsprincipen inte gäller och insynen, precis som debattörerna antyder, inte är en rättighet utan något som kan ges på nåder.
Att en arbetsgivarorganisation kan överta all fler uppgifter från demokratiskt valda organisationer och dessutom emellanåt kalla sig saker som ”koncernen SKL” (litet som om Almega skulle kalla sig koncernen Almega där alla tjänsteföretag skulle vara underordnade föreningen) leder till ett demokratiskt underskott som borde bekymra fler än mig.
För att inte falla i samma fälla och bara diskutera SKL:s svar utifrån vilka de är och inte utifrån deras argument ska jag här gå något djupare än jag kunde göra i mitt .
Företrädarna hävdar att regionerna arbetar resolut med informationssäkerhet men de exempel som ges på vad man gör tyder snarare på att man fortfarande är kvar i huvudsak teoretiska aktiviteter som möjligen kan få en säkerhetshöjande effekt längre fram.
Det skulle kunna tyckas vara gott nog om informationssäkerhet vore en helt ny fråga.
Det är det inte – behovet av informationssäkerhet i vården har lyfts fram som en kritisk fråga i flera decennier, det har funnits lagstiftning och föreskrifter som ställt krav på sjukvårdshuvudmän och vårdgivare ungefär lika länge.
Problemet är bara att frågan inte prioriterats och nödvändiga åtgärder inte vidtagits.
Att då litet förnärmat när vi närmar oss år 2020 hävda att man nu minsann är på gång med att ta fram mognadsmodeller och skrivit in i en egenstrategi att man anslutit sig till den nationella för informations- och cybersäkerhet känns inte, mja, som något som kommer att hindra incidenter och höja säkerhetsnivån inom den närmaste tiden.
Man säger också att SKL erbjuder sina medlemmar konkret stöd men där är problemet att det stöd som erbjuds t.ex.
i form av informationsklassningsverktyget KLASSA inte skulle ha utgjort ett stöd när det gäller upphandlingen av 1177 eftersom det är ett verktyg för att klassa system, inte informationen i processer.
SKL menar att jag bara gnäller utan konstruktiva lösningar.
Själv tycker jag att jag verkligen anstränger mig för att komma med förslag på förbättringar som att göra en gemensam analys för att kunna prioritera rätt åtgärder o.s.v.
men att vara konstruktiv innebär inte att man bortser från problemen.
Kanske har SKL fastnat i en föreställning att man ska verka som ett företag och att endast positiva marknadsbudskap ska förmedlas vilket följande ger intrycket av.
Jag tycker istället att ett rationellt hanterande av offentliga medel måste bygga på tydliga och ansvarsfulla problemformuleringar.
Sjukvården är i en ständig förändring där numera digitaliseringen spelar en avgörande roll.
Min enda önskaen tas på samma allvar som säkerheten i andra aspekter.
Ett läkemedel skulle aldrig introduceras utan noggranna tester, däremot är det fortfarande comme il faut att föra in nya digitala lösningar i skarp drift utan närmare tester.
Även Daniel Forslund (L), digitaliseringslandstingsråd i Region Stockholm och tycket att jag ensidigt fokuserat på revisionsrapporten när jag bedömde som regionens informationssäkerhet var undermålig.
Jag håller inte med.
Även om det var en kortfattad rapport pekade den på mycket basala systemfel som påverkar hela regionens säkerhetsarbete.
Men eftersom jag försöker ha någorlunda torrt på fötterna innan jag uttalar mig så har jag skrivit till regionen och bett att få ta del av regionens styrande dokument inom informationssäkerhetsområdet.
Utan att förhäva mig utan bara för att skapa kontext i frågan kan jag säga att jag genom åren som konsult och i andra roller sett ett mycket stort antal ledningssystem och också arbetat med att mäta befintlig informationssäkerhet i olika typer av organisationer.
Det är med denna bakgrund som jag bedömer att Region Stockholm saknar rimliga förutsättningar för att bedriva ett systematiskt.
Att regionen på hösten 2018 upphandlar en så känslig tjänst så sent som hösten 2018 utan att ställa relevanta säkerhetskrav är en bekräftelse på ett systemfel och inte en incident som inte kunnat undvikas.
Den som är intresserad får gärna ta del av de dokument jag fått från Region Stockholm för att göra en egen och möjligen annan bedömning.
Jag har tagit del av den granskningsrapport som KPMG genomfört på uppdrag av Region Stockholm efter 1177-skandalen och som av en händelse (?)
publicerades dagen för midsommarafton.
Rapportens omfång motsvarar på intet sätt skandalens omfång utan är ett luftigt dokument på 14 sidor inklusive bilagor.
Att rapporten är tunn räknat i sidor behöver naturligtvis inte påverka skärpan i analysen men som rätt luttrad granskare av informationssäkerhet känns de 14 sidorna som rätt kraftigt i obalans med uppdragets genomförande och omfattning: Granskningen har omfattat en kombination av IT-revision, inhämtning av information från tillgänglig dokumentation av karaktären styr- och stöddokument, uppföljningsrapporter samt intervjuer med nyckelpersoner.
Granskningen har utgått från vedertagna granskningsmetoder inom området informationssäkerhet, vilket omfattat såväl Vårdgivaren och dennes underleverantörer som Region Stockholm genom HSF.
En lista över de personer som intervjuats återfinns i bilaga 2.
Granskningen har genomförts under maj-juni 2019.
Vidare är rapportens utformning i avvikelseformat där endast väsentliga iakttagelser har lyfts fram med förslag på förbättringsåtgärder, inklusive eventuella behov att förtydliga avtal, uppföljningsrutiner och processer för att minimera att motsvarande inträffar igen.
Att på så få sidor beskriva Region Stockholms, Medhelps och ett antal underleverantörers styrning av sin informationssäkerhet, vad som gått fel och vad som bör göras för att undvika att systemfel som det inträffade upprepas känns inte riktigt seriöst.
Den sammanfattande bedömningen är dock på allvar oroande: Vår övergripande bedömning är att HSF bör se över kravställningen på informationssäkerheten i samband med upphandlingar samt att uppföljningsprocessen behöver struktureras och formaliseras för icke funktionella krav, däribland informationssäkerhet.
I allt väsentligt behöver kravställningen preciseras för att säkerställa att leverantörerna är införstådda i HSF:s förväntningar, men även för att öka den interna förståelsen för hur kraven ska följas upp.
Att avtalskraven beträffande informationssäkerhet är allmänt hållna, samtidigt som standarden inom området inte är fullt integrerad i HSF:s verksamhet, innebär i praktiken att Vårdgivarens hantering av informationssäkerhet endast har följts upp i begränsad omfattning.
Vad gäller Vårdgivaren kan vi konstatera att det inte finns något dokumenterat ledningssystem för informationssäkerhet samt att det förekommit brister i rutinen för utvärdering och uppföljning av underleverantörer till vårdtjänsten.
Vi noterar dock att Vårdgivaren, sedan incidenten, arbetar med en åtgärdsplan för att förbättra informationssäkerheten, rutiner beträffande kontroll av leverantörer samt planerar för en certifiering inom ISO 27001.
Vi noterar att de akuta bristerna hänförliga till incidenten har hanterats, bland annat genom den skyndsamma nedstängningen av den felkonfigurerade servern, uppsägningen av avtalet med underleverantören som givit upphov till incidenten samt inhämtandet av all patientinformation till Vårdgivarens egen tekniska lösning.
Vi har dock identifierat ett antal framåtblickande förbättringsområden som rör HSF:s övergripande arbetssätt beträffande informationssäkerhet, fördelningen av roller och ansvar samt metoden för hantering och uppföljning av leverantörer.
Vidare har vi även identifierat åtgärder hänförliga till Vårdgivarens arbete med informationssäkerhet och den planerade ISO-certifieringen samt sättet till vilket Vårdgivaren arbetar med att vidareförmedla HSF:s avtalskrav beträffande informationssäkerhet.
HSF är alltså Hälso- och sjukvårdsförvaltningen i Region Stockholm och vårdgivaren Medhelp.
Att Region Stockholm inte lyckas formulera tydliga säkerhetskrav i upphandlingar i en så central tjänst som 1177 är i sig skandalöst.
Att sedan Medhelp som vårdgivare helt saknar ledningssystem för informationssäkerhet och att Region Stockholm inte ens ställt krav på en så grundläggande nivå är information som bekräftar min bild att den svenska sjukvården fortfarande ignorerar behovet av informationssäkerhet.
1177-skandalen var trots allt bara sten som vändes, om än stor.
Det som verkligen oroar är de brister i Region Stockholm säkerhetsarbete som avslöjas indirekt i rapporten.
Dessa brister gör det mycket sannolikt att 1177 bara är en del i större systemfel där patienters hälsa och integritet är i en ständig riskzon om rapportens uppgifter stämmer.
Ta till exempel följande iakttagelse från granskarna: HSF saknar ett fullständigt ledningssystem för informationssäkerhet (LIS).
Enligt den regionsövergripande informationssäkerhetspolicyn ska varje nämnd införa ett lokalt ledningssystem för informationssäkerhet.
I förekommande fall har HSF tagit fram lokala styrande dokument för informationssäkerhet, men dessa återspeglar i allt väsentligt de styrdokument som finns på regional nivå.
Graden av verksamhetsanpassning är relativt låg och förvaltningen har inte tagit fram några instruktioner eller utvecklat processer för hanteringen av informationssäkerhet.
Vi noterar att instruktioner håller på att arbetas fram, men dessa berör hanteringen av portabel IT-utrustning och syftar således inte till att tydliggöra riktlinjerna för hur förvaltningen.
Region Stockholm har alltså inte tagit fram säkerhetsregler för avpassade för sjukvården utan i huvudsak nöjt sig med de generella för regionen (trots att det funnits en föreskrift att så ska göras sedan 2008 SOSFS 2008:14) och att man inte heller är på väg att göra det för mer än för bärbar utrustning.
Jag tror redan den som rent tillfälligt jobbat med informationssäkerhet i vården förstår hur mycket arbete och eftertanke som krävs för att anpassa generella regler så att de fungerar i vården, t.ex.
bara att ge en uttolkning av ansvasförhållandena för informationshanteringen är en mycket komplex fråga.
Situationen i Region Stockholm gäller även hos Medhelp som inte heller har förmåga att ställa relevanta krav på sina underleverantörer: Processer och rutiner ska finnas för att säkerställa uppfyllandet av Socialstyrelsens krav på informationssäkerhet.
Vårdgivaren har inget dokumenterat LIS och det är vår bedömning att vissa processer saknas för att kunna försäkra att kraven uppfylls.
Vi noterar exempelvis att Vårdgivaren, i enlighet med vedertagna standarder och god praxis, inte har ställt ändamålsenliga krav på samt följt upp leverantörers hantering av informationssäkerhet.
Vidare anger Socialstyrelsen att vårdgivare ska ha en informationssäkerhetspolicy som anger mål och inriktning på verksamhetens arbete med informationssäkerhet.
Vi har identifierat att Vårdgivaren har antagit en informationssäkerhetspolicy i maj 2019.
Vi noterar i sammanhanget att Vårdgivaren planerar för en certifiering inom ISO 27001 till kvartal 2, 2020 samt har ett ledningssystem för GDPR.
Den här råttan-på-repet situationen illustrerar väl varför startpunkten för att förbättra säkerheten i vården på måste ligga på sjukvårdshuvudmännen eftersom det är huvudmännen som utformar förutsättningarna för de övriga aktörerna.
Tyvärr har ju lagstiftning och föreskrifter i huvudsak varit inriktade på vårdgivarna vilka i praktiken numera har svårt att ens den egna informationssäkerheten eftersom informationen hanteras i gemensamma lösningar.
Det är därför extra nedslående när sjukvårdshuvudmännen väljer att inte driva frågan ens i den egna verksamheten och inte heller att respektera de föreskrifter som finns.
Framför allt är det en fråga där det inte skulle behövas en föreskrift för att få de styrande i Sveriges största sjukvårdshuvudman att inse behovet av att styra informationshanteringen så att patienterna kan lita på att få god och säker vård.
I den kommentar som regionens ansvariga för vård upprepar man att man ska införa emen fokuserar i åtgärderna huvudsakligen på underleverantörerna.
Men att styra underleverantörerna utan ett eget fungerande regelverk är ett moment 22 som även granskarna noterar: HSF ställer inte tillräckligt tydliga krav på sina privata vårdgivare vad gäller deras informationssäkerhet.
Kravställningen på informationssäkerhet sker genom tillämpningen av en standardbilaga, vilken anger att leverantörer/vårdgivare ska följa regionövergripande styrande dokument för informationssäkerhet.
Vi noterar att de styrande dokumenten, i sin tur, anger att informationssäkerheten hos de som arbetar på uppdrag av Region Stockholm ska regleras genom avtal.
Vår bedömning är att dessa hänvisningar kan ge upphov till skiljande uppfattningar gällande kravbilden på informationssäkerheten.
Med hänsyn till att Socialstyrelsen anger som krav att vissa kontrollmål ska uppfyllas beträffande informationssäkerheten, företrädesvis med stöd av ett LIS enligt standarder i ISO 27000-serien, är det även vår bedömning att HSF:s tillkommande avtalskrav endast ger en begränsad effekt vad gäller att tydliggöra förväntningarna på de privata vårdgivarna.
Jag ska inte tjata mer om hur uppseendeväckande det är att Region Stockholm trots föreskrifter, alla incidenter och trots alla granskningar genom åren ändå inte prioriterar att införa ens ett regelverk för vården att utgå ifrån.
Det gör att man vare sig kan ha ett internt systematiskteller ställa relevanta krav på underleverantörer, det senare framgår på ett nästan tragikomiskt sätt i relationen med Medhelp.
Informationssäkerheten i vården är ingen ny fråga utan har varit uppmärksammad sedan åtminstone första hälften av nittiotalet.
Den stora frågan är Region Stockholm (och övriga sjukvårdshuvudmän) år efter år undviker att komma till rätta med bristerna.
Varför tycker man att det är rimligt att utsätta verksamheten och patienterna för de stora risker som den bristande säkerheten leder till samtidigt som man är beredd att investera ofattbara resurser i experiment som NKS?
Och nej, det går inte att säga att 1177 var ett undantag från en i övrigt fungerande situation.
KPMG:s rapport är den senaste i en rad av rapporter som visar att den bristande säkerheten är ett systemfel som genomsyrar hela den svenska vården – har man inte styrning av informationssäkerheten så finns den inte mer än fläckvis och utan möjlighet att reducera riskerna.
En relaterad fråga är om NIS-direktivet kommer att ha någon positiv inverkan över huvud taget eller om även denna styrning mot ekommer att ignoreras.
Om läsaren tycker att jag ger en alltför mörk bild av Region Stockholms informationssäkerhet rekommenderar jag att ni läser KPMG:s knapphändiga rapport som ändå ger en antydan om regionens förmåga rörande informationssäkerhet.
Tillägg 2019-06-24: Lägger ut rapporten som pdf här: Först en disclaimer.
Denna text är skriven med ett visst undertryckt ursinne.
Under 7-8 år under mina vittflygande studier jobbade jag samtidigt på ett boende för psykiskt funktionsnedsatta barm och ungdomar.
Den erfarenheten gör att jag framförallt tänker på de patienter och anhöriga som drabbats av 1177-skandalen men också på den vårdpersonal som till skillnad från digitaliseringsbyråkrater, ”visionärer” och ”evangelister” möter patienter.
De ska nu leva i oro över hur deras arbetsgivare hanterar den information som de i förtroende tar emot och där samtal från hjälpsökande patienter studsar vidare för hantering i Thailand.
Jag jobbade också i ett landsting under 90-talet då politiker, it-leverantörer och byråkrater gick in i en lustiger dans om digitalisering som var mycket lösligt kopplad till verksamhetsbehov.
Att försöka skjuta in frågor om informationssäkerhet eller kvalitet i informationshanteringen stämplades som närmast illojalt eller i bästa fall som tugg som man måste genomlida innan man gick vidare precis som förut.
Filifjonkan på bilden har inte bara med ångestridna patienter att göra utan också känslan av den annalkande katastrofen som hon symboliserar.
Det finns inget som är så lätt som att förutspå framtiden i efterhand.
Många är nu chockade och totalt överraskade över vad som framkommit om 1177 och dess underleverantörer.
Att försöka påpeka vikten av god informationssäkerhet vid digitaliseringen har som sagt varit ett arbete i stark motvind för att inte säga full stormstyrka i 25 år.
Ofta har den berättigade oron för den alltmer bristande säkerheten inom vård-it utmålats som ett Filifjonka-aktigt beteende och att varningarna för riskerna skulle ha lika litet med vår verklighet att göra som Filifjonkans permanenta ängslighet i Mumindalens idyll.
När det nu exempelvis framkommer att Region Värmland har anlitat en underleverantör för att hantera den extremt känsliga informationen i telefonrådgivning endast med dessa säkerhetskrav: Leverantören ska skydda sin information mot otillbörlig åtkomst och förstörelse i enlighet med gällande lagar, förordningar och föreskrifter.
Hur skyddet genomförs ska dokumenteras.
Leverantören ska på begäran kunna uppvisa denna dokumentation för landstinget.
Leverantören ska följa landstingets vid var tid gällande riktlinjer för informationssäkerhet.
ger det en indikation om hur relevant oron faktiskt var/är.
Observera att inga ytterligare krav ställts till exempel i form av en säkerhetsbilaga som förtydligar vad det är man vill ha, inte ens ett personuppgiftsbiträdesavtal i någondera riktningen finns.
Otroligt nog verkar hela den massiva hypen kring dataskyddsförordningen gått regionen förbi.
Med tanke på att hela härvan ännu inte är utredd ska jag, för att undvika förhastade slutsatser, inte kommentera alla juridiska och tekniska detaljer.
Enkla lösningar är det redan alltför många som kommer med.
Inte heller finner jag det meningsfullt att ägna mer tid åt den lyteskomik som svaren från de olika leden i leverans av telefontjänsten i 1177 gett utrymme för.
Istället ska jag försöka ringa något av det systemfel som ligger som grund för den uppkomna situationen.
Grundproblemet ligger i att vård-it i Sverige under trettio år har fått växa fram inte som en sammanhängande infrastruktur utan som en brädhög där olika aktörer kunnat lägga på sin egen bräda utan att behöva ta hänsyn till någon gemensam plan.
Detta skapar naturligtvis en låg grad av funktionalitet trots de enorma resurser som lagts på digitaliseringen men dessutom har det också skapar de oöverblickbara säkerhetsrisker som 1177-skandalen är ett av de mest flagranta exemplen på.
Den främsta säkerhetsrisken är att det i många fall är omöjligt att klarlägga ansvaret för säkerheten vilket med all önskvärd tydlighet framgår i fallet med 1177.
Intuitivt skulle nog de flesta säga att det största ansvaret ligger hos sjukvårdshuvudmännen, det vill säga främst regionerna/landstingen som i den svenska förvaltningsmodellen delegerats ansvaret för och där ansvaret definieras i hälso- och sjukvårdslagen: Med huvudman avses i denna lag det landsting eller den kommun som enligt lagen ansvarar för att erbjuda hälso- och sjukvård.
Inom en huvudmans geografiska område kan en eller flera vårdgivare bedriva verksamhet.
När det gällde hanteringen av information inklusive säkerhet var detta ansvar inte särskilt besvärligt att definiera på den tiden då landstingen också utförde den absoluta merparten av vården.
Då var journalerna allmänna handlingar som tillhörde landstinget och det också ställdes tydliga krav på hanteringen (ja, jag vet att det inte alltid funkade jättebra i verkligheten men jag rör mig nu på systemnivå).
I och med kommunalisering (ÄDEL) och privatiseringsvågen blev ansvaret otydligare.
Som en andra skänkel i saxen som klippte av tydligheten i ansvarsfördelningen fungerade rörelsen mot alltfler samarbeten mellan landsting som exempelvis Sjunet och de nationella tjänsterna.
Det är här jag menar att juridiken inte hängt med, inte genom att ställa krav på integritet i det nya landskapet.
Det juridiska ansvaret läggs nämligen främst på vårdgivaren: Med vårdgivare avses i denna lag statlig myndighet, landsting, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet.
Vårdgivaren kan vara vilken aktör som helst som bedriver någon form av vård, till exempel Medhelp.
Denne har också ansvaret för informationssäkerheten vilket mycket specifikt beskrivs i Socialstyrelsens föreskrift med regler för vårdens Problemet är bara att den mest säkerhetsmedvetne vårdgivaren ändå inte kan hålla sig för sig själv utan måste fungera i brädhögen av oklara ansvar eftersom man till exempel med nödvändighet måste använda bland annat nationella tjänster.
I och med detta faller alla de många goda råd som även säkerhetsexperter av olika dignitet framfört de senaste dagarna om att det bara är att ha tydliga upphandlingsrutiner, följa upp krav o.s.v.
Inte ens dataskyddet faller ut som man skulle kunna tro när man läser i avtalet mellan Region Stockholm och Medhelp och ser att regionen är personuppgiftsbiträde åt Medhelp och inte tvärtom….
Det som måste understrykas är att den digitala världen inte bygger på bilaterala relationer utan på multilaterala och att vi saknar verktyg att hantera den nya situationen.
Även trogna gamla kämpar som tillsynsvapnet riskerar att bli tandlöst eftersom tillsynen gäller enskilda organisationer.
Att skapa ansvarsförhållanden och möjlighet till ansvarsutkrävande avpassade för multilaterala infrastrukturer bedömer jag som den mest fundamentala säkerhetsåtgärden för vård-it.
Detta är inte något som en enskild vårdgivare kan ta ansvar för utan måste byggas upp på nationell nivå.
Tyvärr har denna grundläggande förutsättning totalt negligerats i de utredningar om e-hälsa som genomfört under senare år.
Mer om de moderna strukturerna finns att läsa i den nyligen utkomna antologin .
Ansvaret är alltså idag osynkroniserat med den nationella informationsinfrastrukturen och även med den tekniska infrastrukturen.
Ändå tror jag det är viktigt med ett ansvarsutkrävande.
Tyvärr kommer nog inte Region Stockholms innovationsregionråd ta sitt ansvar och avgå, inte heller hans motsvarigheter i Region Värmland och Sörmland.
SKL:s programansvarige för e-hälsa kommer att på motsvarande sätt skjuta ansvaret ifrån sig och Inera har snabbt varit ute och sagt att de går skuldfria ur denna förödande situation.
Tyvärr, inte för att vi behöver ett melodramatiskt utspel som när Toyota-chefen gråtande bad om ursäkt för sina fel eller syndabockar, men för att ge en reboot för vård-it.
Om ett antal digitaliseringspotentater inom vården åtminstone hade omdömet att säga: ”jag har villigt tagit emot all cred för att framstå som nyskapande och innovativ, nu tar jag lika villigt mitt ansvar när det visar sig att vi kört totalt fel inom e-hälsoområdet.”.
Detta vore en mycket viktig signal att vi nu inte ska fortsätta som förut utan gå in i en ny tid.
Det jag skriver ovan kan nog de flesta hålla med om på någon nivå men varför ser det då ut som det gör?
Jag skulle vilja hävda att det inte enbart beror på inkompetens utan i lika hög grad på attityd, möjligen arrogans.
Detta är en något nedslående tanke för sannolikheten för att kunna omvandla inkompetens till kompetens är större en att rå på decennier av negativ säkerhetskultur.
Jag förstår att det är mycket behagligare att ständigt mana framåt och inte hänga upp sig på problem och hinder.
I 1177-skandalen är patientens integritet som allvarligt skadats vilket är ett värde som talföra debattörer inom digitaliseringen och e-hälsa till och med i många sammanhang förnekat.
Den bristande samordningen kan också ses som ett resultat av SKL:s framgångsrika arbete som lobbyorganisation.
SKL är en intresseorganisation för regioner och kommuner som arbetsgivare och har med stor frenesi hävdat det kommunala självstyret inom hälso- och sjukvård.
Varje försök till styrning från staten nagelfars och min bedömning är att staten efter nedmonteringen av Socialstyrelsen inte ens har möjlighet till en effektiv myndighetsstyrning vilket lämnat fältet ännu mer fritt för SKL.
Ur ett samhällsperspektiv har det även lett till en starkt minskad insyn eftersom SKL, trots att man är helt finansierad av offentliga medel, inte lyder under offentlighetsprincipen.
Vad som pågår inom SKL och vilken agenda som drivs är därför svårgenomträngligt.
Under den tid jag jobbade på MSB och, bland annat inspirerad av den norska lösningen Normen, försökte få till en styrning bättre avpassad till de multilaterala relationerna fick jag ofta känna av SKL:s maktanspråk.
Ärligt talat så var intresset inte särskilt stort ens i min egen myndighet och inte heller i de andra myndigheter som hade uppdrag i någon form som påverkade säkerhetsaspekterna i vården.
Men var det ett svalt umgänge i myndighetssfären så var SKL:s engagemang i frågan på nollpunkten.
Mitt käcka erbjudande om att MSB skulle kunna samordna och tillföra väsentliga resurser och kompetens för att göra den så skakiga informationssäkerheten i vården bättre möttes mycket kallsinnigt.
Budskapet var att detta var en uppgift som regionerna kunde klara själva (med SKL:s hjälp) och att myndigheter inte hade i territoriet att göra.
Själv kände jag mig som en ovälkommen budbärare från de många medlemsorganisationer som satt med sin usla säkerhetssituation utan reell möjlighet att göra något åt den.
Med ett avancerat tjat lyckades det till slut att få SKL att skriva under den gemensamma strategi som jag tagit fram som underlag och som nu litet patetiskt ligger kvar på MSB .
Någon gemensam styrning á la Normen är lika fjärran som då strategin skrevs.
SKL har alltså haft alla möjligheter att själva ta fram de stöd som så väl skulle behövas i deras medlemsorganisationer.
Så har inte skett förutom det tveksamma verktyget för informationsklassning som jag skrivit om Något gemensamt regelverk för att hantera den multilaterala ansvarssituationen inom vården kan jag fortfarande inte hitta på SKL: s webbsida.
Intressant nog har ju inte SKL något formellt ansvar för informationssäkerheten i vården eftersom man är en intresseorganisation och kommer säkerligen inte att påta sig något sådant nu heller.
När nu nästa trend är AI i vården blir man inte direkt lugnare, särskilt inte när SKL:s programansvarige för e-hälsa ifrågasätter lagstiftningen snarare än ansvarskänslan hos införarna som .
I mina dystrare stunder tror jag vi nått vår kollektiva inkompetensnivå där vi ska skapat ett it-monster som ingen längre kan styra.
Vi har en situation med i princip outtömliga tekniska möjligheter promotas av aggressiva leverantörer.
Tekniken möter en omogen organisationsstruktur där verklig styrning ersatts av fritt spelrum för särintressen.
Till detta kommer den bristande självinsikten om att det är så här det ser ut och den negativa säkerhetskulturen inom vården.
Och slutligen juridik och företrädare för informationssäkerhet som fortsätter att leverera lösningar gjorda för enstaka organisationer eller möjligen bilaterala relationer vilken inte är till någon större hjälp i den dagens multilaterala arkitekturer.
Självklart kan vi inte ge upp utan istället ställa oss frågan hur vi kan genomföra de absolut nödvändiga förändringar som skulle göra vård-it till en seriös verksamhet.
Här vill jag anslå en ny ton för att markera att detta är mycket komplexa frågor som vi idag i huvudsak saknar svar på.
Det är inte enkla förbättringar av upphandlingsrutiner som kan leda framåt utan förändringar av en helt annan dimension som är nödvändiga.
Det är inte beställningar mellan kund och leverantör som är det verkliga problemet utan beställningen från regeringen till sjukvårdshuvudmännen som inte fungerar där sjukvårdshuvudmännen som leverantörer inte klarar av att skapa en säker vård-it.
Mina förslag, som jag inte när något större hopp om att de kommer att anammas, är att likna vid ett undantagstillstånd.
Det kan tyckas dramatiskt men allvaret i situationen kräver extraordinära åtgärder .
Parallellt med åtgärderna bör även en attitydförskjutning initieras där vi slutar se digitalisering som ett självändamål utan blir förmögna att ta in olika perspektiv som till exempel säkerhet.
Utgångspunkten bör också att det är en nationell struktur som ska byggas och förvaltas där de gamla organisationsgränserna inte längre får sätta käppar i hjulet.
Här kan man ana att en del integritetsnihilister vädrar morgonluft men bedra er inte; målet är att stärka integriteten, inte nedmontera den ytterligare!

Inför ett moratorium inom vård-it och inför inte några nya lösningar som inte är absolut nödvändiga.
Gör en heltäckande genomgång av säkerhetsbristerna inom den svenska vård-it.
Stärk Socialstyrelsens roll i förhållande till sjukvårdshuvudmän vårdgivare när det gäller vårdens informationshantering.
Detta bör även gälla myndigheter som främst ska leverera e-tjänster som E-hälsomyndigheten.
Utred hur ansvarsförhållandena för informationshanteringen i vården ser ut och hur de borde se ut.
En central fråga är det reella ansvarsutkrävandet.
Säkerställ att även det långsiktiga behovet av vårdinformationen beaktas, både den enskilda patientens behov och samhällets behov av informationen för forskningsändamål.
Ta fram en strategi och en arkitektur för den nationella nivån som inte bara är fluff.
Ta fram en gemensam styrmodellvården och låt den förvaltas av myndigheter – inte av intresseorganisationer eller utförare i första hand.
Skapa ett ackrediteringssystem för anslutning till den nationella arkitekturen.
Skapa verktyg för systematisk uppföljning av informationssäkerheten inom vård-it och lita inte på att tillsyn av enskilda organisationer skapar säkerhet.
Utveckla utbildningar för de somen i vården.
Utveckla ett forskningsprogram för informationssäkerhetsstyrning i miljöer med multilaterala ansvarsförhållanden.

en varför

MENU MENU Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , , Tagged , , , , , , Postat av Postad i , , , , , Tagged , , , , , , Sök efter:

Även för den som är relativt insatt i svensk hälso- och sjukvård och dessutom fortlöpande läst DN:s långa rapportering om alla turer i NKS:s skandalen är ”Kampen om Karolinska.
Konsulterna” av journalisterna Anna Gustafsson och Lisa Röstlund en upprörande och i vissa stycken hjärtslitande läsning.
Sammanställningen av en lång rad av medvetna beslut av den politiska majoriteten under ett antal år som lett till en alltmer katastrofal situation är skakande och i förstone närmast obegriplig.
Att denna politiska revolution av den stockholmska sjukvården kunnat genomföras trots att den kantats av ekonomiska haverier i en hittills okänd skala, personal som flyr eller är helt uppgivna samt i sin yttersta konsekvens patienter som faktiskt dör på grund av omorganisationen.
Boken ger en mycket grundlig och researchad beskrivning av förloppet, dessutom välskriven.
Jag kommer inte här att gå in på djupet i boken utan rekommenderar den som sommarläsning för alla.
Som konsult kan jag särskilt uppmuntra andra konsulter läsning och därefter visst begrundade av vilken skada man kan göra om man som konsult driver sin egen agenda i kundens organisation.
Det är inte en särskilt hårfin skillnad mellan att ha integritet och att driva sina egna intressen hos kunden.
Efter att ha arbetat i offentlig sektor är det vissa drag i historien obehagligt välbekanta som övertron på att gigantiska omorganisationer löser problem och managementkonsulter som löper amok och kör över alla som har någon slags kompetens, d.v.s.
Den tystnadskultur som drivits fram vid NKS där enbart lovprisning av den värdebaserade vården tolererats är inte heller den ett unikt fenomen utan en sjuka som enligt min uppfattning äter sig allt djupare in i den offentliga sektorn generellt.
Det till synes oreflekterade upphöjandet av nya organisationsteorier som frälsningslära är inte heller unikt för NKS med sin värdebaserade vård.
Själv har jag varit med om allt från LOTS till Lean via lärande organisation, det sistnämnda något ironiskt eftersom varken landstingspolitiker eller myndighetschefer verkar lära sig något av de misslyckade organisationsexperimenten – snabbt är man på nästa modeteori.
Själv har jag mycket liten tilltro till att omorganisationer löser större problem, och för detta finns det heller föga stöd i forskningen.
Men för den ledare som vill sätta sitt märke på kommunen, regionen eller myndigheten kan en stor omorganisation vara det som skapar synlighet och inge en känsla av handlingskraft.
Region Stockholm har dock tagit vissa fenomen till en ny nivå.
Varför den borgerliga majoriteten med m och kd i spetsen valde en ekonomisk driftform (OPS) som blivit många gånger dyrare än att bygga och drifta det nya sjukhuset i egen regi saknar fortfarande rimliga svar förutom att de drevs av en nyliberal överideologi.
För den intresserade som vill djupdyka i denna del finns SvD-journalisterna Henrik Ennart och Fredrik Mellgrens bok ”Sjukt hus: om Nya Karolinska – svindlerierna, skandalerna och sjukvårdskrisen i Stockholm”, också den mycket läsvärd.
Stockholmare kommer att dras med effekterna av denna mycket dåliga affär i decennier framåt.
Att man dessutom låtit konsulter från BCG skicka in juniora konsulter, fakturera vilt samt anställa sina gamla kollegor är även det ganska många snäpp mer än vad som brukar förekomma.
Lägg därtill alla turer där anställda på KI även driver företag tillsammans med amerikanska intressen och försöker påverka utvecklingen av den stockholmska sjukvården så det gynnar de egna företagen snarare än patienterna och vi har en soppa som inte skådats i Sverige i modern tid.
Särskilt oroande blir detta med tanke på att hälso- och sjukvård är en av de sektorer som är mest utsatta för korruption vilket det finns ett aktuellt Konflikt om .Det tål att påminnas om den gamla sanningen att Sverige löper en stor risk för korruption eftersom vår självbild är att vårt samhälle är immunt mot korruption.
För mig har det dock varit av särskilt intresse att ta några steg tillbaka och sätta den värdebaserade vården och den informationshantering som följt med den i ett större historiskt och politiskt perspektiv.
Jag pratar då inte om de ”normala” it-haveriförloppen inom den svenska sjukvården och framför allt Region Stockholm där först politiker går ut med löften om fantastiska nya som sedan .
Därefter glöm, få andra att glömma och upprepa.
Nu pratar vi om en informationshantering med risker på en hel annan nivå och inbyggda i själva styrningen av sjukvården.
Den värdebaserade vårdens ledande företrädare Michael Porter (forskare i management och strategi, inte medicin) brukar enligt författarna av sammanfatta sin teori i ekvationen .
Resultatet mäts i hög grad utifrån patientens upplevelse, inte ett faktiskt mätbart resultat vilket känns fascinerande paradoxalt eftersom modellen i övrigt bygger på att mäta, mäta och åter mäta.
Observera att jag inte på något sätt ifrågasätta patientens rätt att känna sig nöjd med och delaktighet i sin vård utan invändningen ligger i att det finns få så luriga mått som upplevd nöjdhet samt att detta är ett mått är skräddarsytt för en konkurrensstyrd kommersiell verksamhet.
Redan här kan man se hur valet av vårdmodell klickar i den ideologiska revolutionen av den stockholmska sjukvården.
Den värdebaserade vården satt i system förutsätter en gigantisk datainsamling för att verkligen kunna bedöma vilken aktör som vid varje tillfälle lyckas lösa Porters ekvation bäst.
Förutom att i sig skapar det NPM-inferno som även känns igen från den svenska skolan med överdokumentation och rapportering med efterföljande stress är detta en modell som illa överensstämmer med en offentligt finansierad vård.
Istället för att ta det ansvar som krävs för bland annat multisjuka äldre maximeras istället vinsten i modellen för de vårdgivare som avverkar enskilda vårdepisoder snabbast.
Som så ofta i den moderna vårdens historia har frälsare av Porters typ fått dominera och hävda att sjukvård kan ses på precis samma sätt som bilfabriker.
Och varje gång havererar de löpande bandsprinciperna utom i vissa specifika operationstyper eftersom människor envisas med att ha kroppar och sinnen som är så mycket mer unika och komplexa än nyproducerade bilar.
Skandalen på NKS gör dock att jag (och förhoppningsvis andra) får upp ögonen för hur det ekonomiska skede vi lever i fungerar.
Sedan åtminstone 70-talet har vi vetat att vi lever i ett informationssamhälle men vad betyder egentligen det?
Inte bara att vi får en massa nya coola prylar och kan kommunicera via the world wide ( wild) webb utan att vi faktiskt gått in i en ekonomi som har information som sin huvudsakliga råvara.
Den amerikanska professorn i social psykologi Shoshana Zuboff har i sin mycket omskriva beskrivit framväxten av hur det ekonomiska systemet byggt på information som råvara fungerar.
Ofta tolkas hennes teorier endast i förhållande till Google, Facebook och liknande plattformar som .
Att se Zuboffs bok snävt som en beskrivning av hur Google och Facebook fungerar är fel menar jag.
Bland annat den globala hälso- och sjukvårdsmarknaden fungerar idag enligt samma grundprinciper.
I fallet med NKS, BCG och den värdebaserade vården blir det uppenbart hur ekonomiska intressen utanför NKS, Region Stockholm och Sverige ser den svenska sjukvården som en naturresurs att utvinna.
Zuboff är inte ensam i sitt uppsåt att skildra den digitala ekonomins framväxt men hon gör det på ett sammanfattande och övertygande sätt (och med en titel som för tankarna till favoriten bland författare till breda historiska exposéer Hobsbawm).
Mycket grovt förenklat kan Zuboffs skildring av övervakningskapitalismens era ses som ett skede där teknisk innovation korrelerar med framför allt två huvudsakliga faktorer: att det från 70-talet växer fram en nyliberal hegemoni i västvärlden och efter 11 september 2001 ett samhällsklimat som präglas av en allt starkare befogad eller obefogad känsla av otrygghet.
Nyliberalismens huvudkonflikt kan, även detta starkt förenklat, ses som en maktkamp mellan statlig/samhällelig reglering och de fria marknadskrafterna.
Under de senare decennierna av förra århundradet och de två i vårt nuvarande har en systemförändrande avreglering skett och ersatts av metoder som compliance och standarder där marknaden påstår sig kunna reglera sig själv.
Kombinerad med den konsekventa nedmonteringen av rätten till integritet som motiverats av att kunna förhindra terrorism och andra brott har kapat både samhällets och individens förmåga att på ett effektivt sätt skydda sig, eller ens vilja skydda sig, mot att personlig information utan insyn och kontroll används som råvara.
När informationen blivit råvara förflyttas äganderätten av uppgifterna från individen till det företag som kan hävda sig ha ”förädlat” den (här finns en intressant koppling till Nozick som jag inte hinner utveckla närmare men låt mig ändå säga att jag ser Nozick som själva gudfadern till berättigandet av utvecklingen).
I denna historiska korsväg utvecklar först Google och därefter bl.a.
Facebook sina tjänster.
I lika hög grad som att erbjuda användarna möjlighet att utbyta information sinsemellan börjar företagen exponentiellt samla allt mer information om användarnas beteende.
I förstone motiveras detta med att det ska ge underlag för att ge användarna allt bättre tjänster för att sedan allt mer tydligt ge stöd för riktad marknadsföring.
Med den fullständigt enorma informationsbas av överskottsinformation som Google byggde upp kunde de göra så annonsörerna kunde få stor träffsäkerhet i sin annonsering.
Steget efter att ge sökvägar till annonsörerna var det som Zuboff menar är det verkligt revolutionerande: ett överskott av information rörande användarnas beteende som med algoritmernas hjälp går att användarnas behov: Instead, we are the objects from which raw materials are extracted and expropriated for Google’s prediction factories.
Förutsägelserna berör inte bara den enskilda användarna utan, viktigare, på gruppnivå.
Ett positivt exempel är när det genom användares sökningar på Internet går att förutse influensaepidemier.
Obehagligare när en kvinna börjar få annonser om mammakläder i sitt flöde redan innan hon själv vet att hon är gravid… Den verkliga vinsten i att inte bara veta hur folk/kunder beter sig när de får hålla på som de vill utan när tjänsteleverantörerna påverkar kunderna att agera på ett sätt som gynnar leverantören utan att ens fatta det.
Tjänste- och plattformsleverantörer har, som Zuboff visar, ända sedan början haft ett gemensamt intresse och samarbete med statliga myndigheter i USA och annorstädes vilket inte gör osynliga men obetvingliga styrningen mycket skrämmande.
Den generellt positiva syn som många säkerhetsmänniskor har till övervakning blir satt i detta sammanhang oroande naiv.
Marknadspotentialen i att ha tillgång till oceaner av information om beteenden är omätbar inte bara i första läget för det egna företaget utan framför allt som en förpackad kommoditet som kan säljas vidare.
Sätt då detta i korrelation med en bransch som omsätter mellan 10 och 20 % av BNP i västvärldens länder, är i snabb global tillväxt och dessutom samlar in och bearbetar känslig personlig information om alla invånare.
Landskapet som NKS och den värdebaserade vården sätts i kan liknas vid det El dorado som conquistadorerna drömde om, med skillnaden att Sverige verkligen finns och har kvalitetsregister och patientjournaler för hela befolkningen.
Det vill säga ett verkligt El dorado för inte bara vård- och läkemedelsföretag utan även försäkringsbranschen.
Cyberrymden är en ny jättekontinent som exploatörerna vill hålla så fri från reglering som möjligt.
De fantastiska marknadsmöjligheter som ligger i att kunna prognosticera patienter och försäkringstagarnas utveckling är oöverblickbara.
Denna sanning uttrycks explicit i ett citat av en högt uppsatt tjänsteman på Karolinska som inleder avsnittet som är mycket lämpligt benämnt ”Guldet” i DN-journalisternas bok: Det är en sak som BCG och bolagen de jobbar med främst vill åt.
Det är patientdata som är deras bitcoins.
Däri ligger den stora affären i värdebaserad vård.
Vi måste lära oss att leva med att Sverige med sin långtgående nyliberalism i kombination med de kvalitetsregister som på frivillig basis byggts upp under mycket lång tid tillsammans alla övriga patientdata kommer att ha ofattbar dragningskraft på internationella företag.
Det gäller på samma sätt för all annan information inklusive personuppgifter som sammanställs av svenska myndigheter.
Det viktiga är att detta hanteras på ett öppet sätt där inte bara företagen blir nöjda utan att även kärnverksamheten och dess avnämare som patienter och medborgare.
När man ser mekanismerna som varit i kraft vid NKS kan jag inte låta bli att undra över exempelvis satsningen på När satsningen presenterades av Göran Hägglund (numera tryggt förankrad i privata vårdföretag) framställdes som en särskild USP att app-leverantörer och andra entreprenörer skulle kunna bygga tjänster på de datamängder som insamlades.
Vad var egentligen hönan och vad var ägget i Hälsa för mig?
kan ses i full careta när det gäller även härvan på NKS och den värdebaserade vården.
Lobbyismen, parasiterandet på akademin och de vilseledande budskapen om vem som gynnades.
Utan att ta partipolitisk ställning tycks för närvarande samhällets förmåga att hantera en skandal som den vid NKS undermålig.
Inget ansvarsutkrävande av de verkligt ansvariga, d.v.s.
de politiker som fattat samtliga beslut både när det gäller byggnation, värdebaserad vård, konsultanvändande och it-system, har skett.
Fristående och seriös journalistik förefaller vara det enda sättet för att skapa den insyn och kontroll som de offentliga institutionerna inte är intresserade av att själva bygga upp vilket i sig är en dyster insikt.
I detta sammanhang är en stilla önskan att hela e-hälsoområdet kommer att locka till sig lika envetna, seriösa och välskrivande journalister som de som nu skrivit ”Konsulterna”.
Ett helt ofarligt löfte att ge är att det finns lika mycket att gräva fram om e-hälsa som om NKS!
Det är lätt att hamna i en politisk depression när man funderar över hur digitaliseringens starka krafter ska kunna tyglas för att dra åt ett håll som gynnar hela samhället och så att individen har en basal möjlighet att upprätthålla sin integritet.
Att krafterna som motverkar integritet är mycket kraftfulla är uppenbart och argumentationen från de kommersiella aktörerna mot integritet som hindrar affären dominerar även i ett stort antal myndighetsutredningar har jag länge observerat.
Den sittande majoriteten i Region Stockholm gjorde det till och med till ett vallöfte att göra stockholmarnas patientdata tillgängligt för industrin.
Trots detta drabbades jag litet av en chock när jag i slutet av ”Konsulterna” får läsa att OECD antagit värdebaserad vård som strategisk inriktning och kräver att medlemsländerna, däribland Sverige, ska dela patientdata via en jättelik gemensam databas, ”Parisdatabasen” där OECD är ägare till uppgifterna.
Detta sker i samarbete med – BCG… Databasen vars nytta bedöms oklar av Socialstyrelsen och vars syfte inte klart har definierats anses ändå oumbärlig.
Särskilt upprörande är att det inte går att avtala vem som ska få tillgång till informationen utan har beskrivits som ”OECD och framtida samarbetspartners”.
Ganska långt från dataskyddsförordningens regler är väl ett understatement.
Jag uppmanar alla intresserade att hålla ögonen på detta projekt, särskilt som det verkar som att OECD i aggressiva ordalag kräver in uppgifter trots svenska myndigheters tveksamhet.
Landsting och regioner är däremot föga förvånande positiva, en nödvändig levnadsregel är nog: lita aldrig på en region i integritetsfrågor.
Vad kan då göras?
Jag menar att vi måste kunna införa ett slags samhälleligt marshmallows-test där vi vågar utreda vår nya situation och skaffa oss nödvändiga redskap för att styra utvecklingen åt ett håll som gynnar flertalet och inte bara viljelöst följa med.
Oavsett politisk uppfattning bör vi kunna komma överens om att de intressekonflikter som finns i den digitala utvecklingen måste lyftas fram och diskuteras så att åtminstone invånare i demokratier har möjlighet att ställning till hur de vill ha framtiden.
Ett konkret förslag är att tillsätta en etisk kommitté med uppdrag att fortlöpande utvärdera och ta ställning till större initiativ inom digitaliseringsområdet.
DIGG kan vara sammankallande och sköta kansliet för kommittén men ett antal mycket fristående och erkänt motspänstiga ledamöter av typen filosofer bör ingå.
Otillräckligt men kanske ett första steg på att erkänna att varje mynt har åtminstone två sidor, så även digitaliseringen.
Slutligen måste jag understryka att jag inte ger någon av de nämnda böckerna rättvisa utan uppmanar alla att själva läsa dem och bilda sig en egen uppfattning.
Själv fick jag min nya Fitbit igår… Tillägg 2019-06-18: Ett visst hopp angående möjligheten att OECD:s planer kan ändå skönjas i och med regeringens beslut att inte delta i uppbyggnaden av .
Sjukvårdsminister Gabriel Wikström har nu uttalat att uppgifter kring aborter ska hanteras som övriga patientuppgifter i vården .
Detta är intressant eftersom hans resonemang ställer ett antal principiella frågor på sin spets.
För att inte bli alltför tjatig kommer jag här att lämna den ständigt återkommande falska motsättningen mellan patientsäkerhet å ena sidan och integritet å den andra där hän även om den är högst relevant.
Insamlandet av känsliga personuppgifter i register sker för det ”greater good”, alltså inte för den enskilda patientens patientsäkerhet.
Få, särskilt i Sverige, skulle argumentera emot den medicinska registerforskningens stora betydelse både för enskilda och för samhället i stort.
Det finns en mycket lång tradition att använda medicinska och andra personuppgifter för forskningsändamål så det får sägas finnas en stor acceptans att vara leverantör till allehanda forskning.
Betydelsen av möjlighet till registerforskning har också fått en aktuell beskrivning i Bengt Westerbergs 2014 .
Förutsättningen för att upprätthålla legitimiteten i registerforskningen är att patienternas integritet i hanteringen vilket Bengt Westerberg uttryckligen hade att utreda.
Han har dock fått kritik för att inte tillräckligt att beakta den intresseavvägning som måste göras och inte heller att ta hänsyn till den kritik som Datainspektionen framfört gällande brister i säkerheten i registerhanteringen.
När Gabriel Wikström nu presenterar sitt förslag lyser hela denna diskussion med sin frånvaro.
Istället sker en märklig omformulering där integriteten i hanteringen av patientuppgifter ses som att man tabubelägger vissa åkommor.
Den ganska självklara och lagstadgade uppfattningen att känsliga uppgifter om hälsa ska hanteras så att de bara är tillgängliga för de som deltar i vården av den enskilda patienten framställs som en litet gammaldags känsla av skam.
Underförstått ska en modern och neurosfri människa glatt dela med sig av dessa uppgifter till de instanser och företag som tycker sig ha nytta av dem.
Förutom att det strider mot det etiska ställningstagande som finns hos allmänheten och i rådande lagstiftning är det också djupt störande ur andra synpunkter.
Uppgifter om sexuell hälsa inklusive abort kan utgöra en verklig risk för patienten om de kommer i orätta händer.
Risken för hedersvåld och vanlig ”hederligt svensk” kvinnomisshandel finns om uppgifter om abort kommer i orätta händer.
Tyvärr har även RFSU som annars brukar vara vaksamma för kvinnors rättigheter negligerat denna .
Ministern hävdar att det saknas anledning för oro.
Registren kommer att omges med nödvändig säkerhet och dessutom finns det inga uppgifter om incidenter i tidigare registerhantering.
Båda dessa påståenden måste som ytterst tveksamma.
Säkerheten i registerhanteringen är en förlängning av säkerheten hos de vårdgivare som lämnar uppgifter till registren.
Det räcker kanske med att ta ett enda aktuellt som visar på skakigheten i den generella informationssäkerheten i sjukvården och dessutom tillägga att det i dag inte sker någon systematisk insamling av it-incidenter i sjukvården över huvud taget.
Jag vågar, utan att darra på manschetten, att informationssäkerheten som är förutsättningen för integriteten i sjukvården är klart undermålig och att ministern därför saknar fog för sitt lugnande besked kring hanteringen.
Datainspektionens utlåtanden om själva registren indikerar även de på påtagliga brister.
Det är inte bara för forskning som sjukvårdshuvudmännen och andra vill återanvända uppgifter insamlade i samband med patientens vård.
I en något märklig förra veckan hävdar ett antal administratörer med emfas rätten till patientuppgifterna.
Självklart finns ett ekonomiskt och etiskt intresse av att säkerställa att de ersättningar som privata vårdgivare erhåller från sjukvårdshuvudmännen verkligen går till vård av patienter.
Det är dock ett logiskt felslut att med svepande formuleringar om tystnadsplikt hävda att det innebär att administratörer hos landstingen måste ha direktåtkomst till alla patienters person- och hälsouppgifter hos de privata vårdgivarna.
För att försöka förtydliga frågan.
Det finns starka och legitima skäl att använda patientuppgifter för andra ändamål än för vården av den enskilda patienten.
Det finns också laglig rätt att göra detta för sjukvårdshuvudmän och vårdgivare.
Men detta måste ske så att patientens integritet kan skyddas och det är sjukvårdshuvudmännens ansvar att skapa säkra lösningar för både uppföljning och forskning.
Detta är naturligtvis ingen omöjlighet att åstadkomma om viljan finns.
Istället för att formulera indignerade debattinlägg om hur integriteten hindrar sjukvårdshuvudmännens administration är det detta man bör koncentrera sig på.
Jag skrev själv ett i Läkartidningen 2010 om möjligheten att avidentifiera patientuppgifter för att öka säkerheten.
Jag tycker fortfarande att det är den typen av lösningar som borde analyseras närmare, särskilt nu när informationssystem inom hälso- och sjukvård i allt högre grad blivit attraktiva mål för externa parter.
Aktörer inom hälso- och sjukvårdsområdet måste också ta risken med integritetsbrott för den enskilda patienten på allvar.
Och när det gäller abortregistret och de undersystem som ska leverera information till registret så måste hanteringen utformas så att det skyddar den egentliga riskägaren, nämligen den kvinna som riskerar sitt liv och sin hälsa om informationen kan läsas av fel personer.

förutse

MENU MENU Postat av Postad i , , , , , Tagged , , , , , Postat av Postad i , , , Tagged , , , Sök efter:

Konsulterna vårdresultat/kostnad=värde The Age of Surveillance Capitalism

Den minnesgode kommer ihåg att jag tyckte det saknades några frågor vid den öppna utfrågningen i riksdagens försvarsutskott om cybersäkerhet för ett par veckor sedan.
För att inte bara planlöst gnälla ska jag formulera några av de frågor jag själv skulle ställt i rollen som en hyfsat insatt folkvald ledamot i försvarsutskottet.
Rollen kräver ju en något mer nobel approach än den som småaktig bloggare.
Jag kommer därför naturligtvis inte att ställa tråkiga frågor som vad cybersäkerhet betyder eller vad det är för värden på axlarna på MSB:s bild över utvecklingen av digitalisering respektive cybersäkerhet även om jag grubblat över detta sedan jag såg den.
Jag ska heller inte göra banala zingers av typen ”här ser vi hur man försöker lösa morgondagens frågor med gårdagens lösningar.”.
Istället kommer jag att försöka ställa fem övergripande frågor som jag menar är av betydelse för samhället och inte bara för samhällets säkerhet.
– Herr ordförande, vi har nu fått en genomgång av ett statsråd och fyra myndighetsföreträdare.
Tyvärr kan inte genomgången ha lett till en bra helhetsbild av frågan.
Varje myndighetsrepresentant har presenterat sin myndighets perspektiv på ett sätt som får åhöraren att känna sig som på toppen av ett utsiktstorn där det bara är möjligt att beskåda utsikten genom fyra fastlåsta och begränsade kikare.
Själva vyn är osynlig genom dessa tunnlade perspektiv.
När vi som folkvalda får en presentation där cyberförsvar, säkerhetsskydd, samhällsviktig verksamhet, och den vardagliga informationssäkerheten presenterade som helt separerade spår är det lätt att förstå den vanmakt som många aktörer som förväntas göra något i praktiken känner.
I NISU-utredningen 2015 var det första åtgärdsförslaget för att förbättra informationssäkerheten att utveckla en nationell styrmodell för informationssäkerhet: En nationell styrmodell för informationssäkerhet består av ett antal komponenter som måste utvecklas och förvaltas över tid.
En del är ett sammanhållande regelverk som innehåller olika nivåer av reglering under föreskriftsnivån, det vill säga en regelhierarki som motsvarar ett ledningssystem inom en organisation.
Förutom de resurser som krävs för att utveckla och förvalta styrmodellen krävs en lösning för anslutning och efterlevnadskontroll som löpande samordnas med andra intressenter.
I detta ligger också omfattande utbildningsinsatser.
I styrmodellen är informationsklassning den mest omfattande aktiviteten som går från processorienterad informationskartläggning via själva klassningsmomentet till utvecklade gemensamma skyddsnivåer.
För att skyddsnivåerna ska kunna fylla sin funktion krävs omfattande insatser av både egen och extern kompetens inom områdena administrativ, fysisk och it-inriktad säkerhet.
Slutligen förutsätter en nationell styrmodell en väl utvecklad kunskapsstyrning.
Kunskap kan i detta sammanhang röra sig om kunskap om metoder men i ännu högre grad om att kunna ge ett vederhäftigt underlag för en styrning utifrån risk.
Det innebär att kunna förmedla en uppdaterad riskbild och att samtidigt kunna förmedla stöd för riskreducerande åtgärder.
Behovet av en nationell styrmodell förefaller större än någonsin, inte minst sett i perspektivet av att försöka samordna digitalisering och säkerhet.
Min fråga till statsrådet är därför var detta förslag hamnat.
En följdfråga till myndighetsföreträdarna är om det är omöjligt att utan ett formellt uppdrag från regeringen börja samarbeta på ett sätt som leder till konkreta samordnade stöd för – Herr ordförande, två konkreta frågor angående molntjänster.
I efterdyningarna av skandalen vid Transportstyrelsen har molntjänster blivit en huvudfråga för regeringen när det gäller säkerhet.
Samtidigt vet vi att molntjänster redan används i stor omfattning av svenska myndigheter, kommuner och regioner/landsting, att de ger effektiva lösningar och i många fall bättre säkerhet än om verksamheterna själva skulle drifta och förvalta i egen miljö.
Många av de tjänster som idag finns även som applikationer för egen förvaltning kommer snart enbart att finnas som molntjänster.
Samtidigt är det svårt för Söpple kommun att ställa krav på Microsoft och Google angående säkerhet och integritetsskydd.
En lösning som skulle kunna ge både bättre säkerhet och nödvändig effektivitet var om svenska staten på samma sätt som den tyska sluter ett gemensamt avtal med några av de stora jättarna.
Jag förstår problematiken när det gäller konkurrensfrågor m.m.
men vill ändå ställa frågan om detta är något regeringen överväger eller om varje kommun och myndighet även fortsättningsvis ska försöka lista ut om det är juridiskt korrekt att använda Office 365 samt ta fram sina egna avtal.
Jag skulle också vilja fråga om den ändring som redan skett, nämligen att SÄPO och Försvarsmakten tilldelats en vetorätt när det gäller utkontraktering av information från säkerhetskänslig verksamhet.
Detta ställer ju ansvarsprincipen på ända och jag funderar i detta sammanhang om regeringen ser framför sig även andra förändringar i denna grundpelare i svensk förvaltning.
Vem tar ansvar för verksamheten i det här fallet – SÄPO eller verksamhetsledningen?
-Herr ordförande, under dagens presentationer är det lätt att få föreställningen att säkerhet är ett enkelt och entydigt begrepp samt att säkerhetsåtgärder alltid är obestridligt ”goda”.
Den som ägnat minsta tanke åt detta och kanske dessutom kanske ändå studerat lite samhällsvetenskap, historia eller filosofi vet naturligtvis att så inte är fallet.
Säkerhet existerat alltid i en relation till andra värden.
En supersäker lösning som skulle förhindra alla brott vore att låsa in alla medborgare och slänga bort nyckeln för att dra frågan över det löjligas gräns.
Samtidigt måste jag som folkvald naturligtvis beakta de olika intressen som finns i samhället och som delvis står i konflikt med ”säkerhet”.
För mig framstår det som det finns tre värden som ständigt kommer i konflikt med den renodlade säkerheten; effektivitet, demokrati och individens integritet.
I digitaliseringssträvandena ligger önskan om effektivitet.
Demokrati i den form vi känner den är ett centralt element insyn och delaktighet.
Övervakning är per se en inskränkning i integritet.
Jag hörde ingen av talarna ta upp dessa konflikter och ställer därför frågan om myndighetsföreträdarna ser det som liggande utanför sitt uppdrag att även ta hänsyn till denna typ av aspekter.
Det är i så fall viktigt att veta eftersom utgångspunkten då måste vara att myndigheterna agerar som ”säkerhetsnördar” och de övriga perspektiven måste tillföras från annat håll innan beslut tas i viktiga frågor.
– Herr ordförande, jag tror vi alla är överens om att det finns ett stort behov av att utveckla informationssäkerheten i Sverige.
En absolut vital förutsättning för att kunna göra det är att det finns tillgänglig kunskap och kompetens på olika nivåer.
Min bedömning är att detta behov är skriande idag alltifrån den vetenskapliga nivån till att det saknas tusentals informationssäkerhetsansvariga företag, kommuner, landsting och myndigheter.
Detta leder till att vi inte vet vad vi ska göra för att faktiskt vara effektiva och att det saknas operativ förmåga att bedriva det säkerhetsarbete som åläggs olika aktörer.
Situationen kommer knappast att förbättras av sig själv eftersom det idag endast finns en handfull utbildningsplatser per år för att utbilda kompetenta informationssäkerhetsansvariga.
Många av de som idag är informationssäkerhetsansvariga (eller kallar sig certifierade och informationssäkerhetsexperter) saknar helt utbildning inom området.
Fortbildningsbehovet är därför oerhört stort.
Ytterligare en aspekt är att kunskapsuppbyggnad bygger på ett kritiskt tänkande och en öppen dialog.
Ett intryck från säkerhetsområdet är att det ofta präglas av en tystnadskultur och en anti-intellektualism.
Detta bygger, tror jag, på tradition, på att det saknas arenor för ett intellektuellt utbyte i säkerhetsfrågor och på att en osäker profession sluter sig inom sig själv i kotterier.
För att komma vidare och hitta den goda säkerhetskulturen som skapar kunskap och insikt även på den nationella nivån krävs insatser även från myndigheterna.
Min fråga är hur det stora kunskaps- och kompetensbehovet ska tillgodoses och hur myndigheterna kan verka för en god säkerhetskultur med kritiskt tänkande även i de nationella sammanhangen.
– Herr ordförande, en sista fråga.
I de presentationer vi tagit del av lyfts diverse försumligheter och bristande medvetande hos samhällets aktörer fram.
Däremot sägs mycket litet om och i så fall hur myndigheterna med särskilt ansvar för säkerhet bedriver en systematisk utvärdering av sina egna insatser.
Utvärdering är ju en grundläggande aktivitet i ett systematiskt arbetssätt och det finns därför anledning att anta att denna kvalitetshöjande mekanism måste vara inbyggd i myndigheternas verksamhet.
Detta framgår dock inte i de årsredovisningar jag tagit del av och inte heller i dagens presentationer.
Därför skulle jag vilja ställa frågan om den bristande säkerheten alltid är någon annans fel eller om det är möjligt att myndigheterna sett anledning att även förbättra sina egna insatser?
En rimlig ståndpunkt är att tydliga begrepp i de flesta fall är en förutsättning för en fungerande kommunikation.
Personligen ser jag kommunikation som det viktigaste redskapet för att få till en fungerande informationssäkerhet både i den egna organisationen och nationellt.
Därför är begrepp inom informationssäkerhet en avgörande faktor för att lyckas.
Ett begrepp som gjort en raketkarriär är cyber.
Det är inte bara en allmän känsla utan stöds också av en sökning i Retriever, se graf: I många sammanhang, även från regeringen, lyfts betydelsen av s.k.
cybersäkerhet fram som en central fråga för det svenska samhället.
Jag uppfattar försvarsminister Peter Hultqvist som en informell rekordhållare då han lyckades säga ”cyber” inte mindre än 36 gånger i ett men då krävdes det också stycken som det här för att lyckas: Cyberdomänen, eller cyberrymden, vad vi än väljer att kalla den, har kommit att bli en ytterligare arena för militär och annan verksamhet.
Den trenden har varit tydlig under en tid.
Tidigare rapporter från Försvarsberedningen har lyft fram de problem och risker som präglar cyberdomänen.
Den tilltagande antagonistiska dimensionen i cyberrymden gör det nödvändigt att utveckla och stärka cyberförsvarsresurser.
Vi kan se att ett flertal länder i världen har gjort just det.
Det försvarspolitiska inriktningsbeslutet från 2015 innehöll ett tydligt och nytt steg i arbetet med svenskt cyberförsvar.
Här förekommer även sammansättningar som cyberdomänen respektive cyberrymden som antingen är samma sak eller möjligen inte eftersom begreppen används varannan gång t.o.m.
Detta är kanske bara ett uttryck för språkglädje där man vill variera uttrycken.
Hur som helst har begreppet ”cyber” här någon slags rumslig dimension.
I den nationella strategi för samhällets informations- och cybersäkerhet som regeringen presenterade 2017 och som statsrådet hänvisar till i sitt anförande saknas dock denna rumsliga dimension då begreppen som utgör strategins ämne definieras: Med informations- och cybersäkerhet avses i denna skrivelse en uppsättning säkerhetsåtgärder för bevarande av konfidentialitet, riktighet och tillgänglighet hos information.
Med konfidentialitet avses att obehöriga inte ska kunna ta del av informationen.
Med riktighet menas att informationen inte förändras, manipuleras eller förstörs på ett obehörigt sätt.
Med tillgänglighet menas att behöriga ska kunna ha tillgång till informationen på det sätt och vid den tidpunkt som tjänsterna erbjuder.
För informationssäkerhet som avser digital information används i denna skrivelse även begreppet cybersäkerhet.
I denna skrivelse används begreppen beroende av sitt sammanhang, där exempelvis cybersäkerhetsbegreppet är vanligt förekommande i en internationell .
Det är litet svårt att se skillnaden mellan informations- respektive cybersäkerhet men jag tolkar det som att man ser cybersäkerhet som en delmängd av informationssäkerhet där cybersäkerhet bara handlar om ”digital information”.
Cybersäkerhet anses också mer ”internationellt”.
För mig är blir det aningen besynnerligt att tala om digital information eftersom det blir en mix av information och bärare– när man exempelvis klassar information är det ju inte mediet som klassas utan informationsinnehållet.
För att få bättre bild av hur begreppet används av de myndigheter som har särskilda ansvar inom området och därmed ofta kommunicerar med begreppet i fokus skrev jag en enkel fråga till tre av dessa myndigheter; Försvarsmakten, SÄPO och MSB.
Begreppet ”cyber” används flitigt för tillfället.
Jag skulle behöva ha x:s definition av begreppet eftersom det används på olika sätt i olika sammanhang.
Samma dag fick jag svar från Försvarsmakten med en hel ordlista ( ) med sammansättningar med ”cyber”, däribland cybersäkerhet: Cybersäkerhet är den samling av säkerhetsåtgärder, riskhanteringsmetoder och tekniker som kan användas i syfte att bevara konfidentialitet, riktighet, spårbarhet och tillgänglighet i cyberrymden.
En stor eloge till FM för denna goda service!
Definitionen pekar mindre på styrning på organisatorisk men desto mer på konkreta säkerhetsåtgärder, alltså ganska långt från ledningssystem.
Åtgärderna ska vidtas i cyberrymden (med synonymer som cyberspace, cybermiljön, cyberarenan, cyberdomänen) som enligt begreppslistan är: Cyberrymden är den del av informationsmiljön som består av de sammanlänkade och av varandra beroende it-infrastrukturer, som möjliggör kommunikation, med tillhörande data och information.
Den inkluderar internet, intranät, telekommunikationssystem, it-system samt inbyggda processorer och styrenheter.
Jag uppfattar det som cyberrymden är den gemensamma tekniska infrastrukturen men inte informationen i sig.
Från SÄPO kom efter en knapp vecka det något förvånande svaret: Hej, Säkerhetspolisen har ingen egen definition av begreppet cyber.
Det är inte ett begrepp som används primärt i vår verksamhet.
Förvånande eftersom ”cyber” förekommer flitigt på SÄPO:s webbplats, i olika rapporter och utåtriktad verksamhet som och för att bara ta ett par exempel.
Slutligen då MSB där svaret satt hårdare inne och inte kom förrän efter en dryg månad: Hej!
Ordet ”cyber ”kan inte anses stå för sig själv, utan används av MSB i sammansättning med andra ord, främst ”cybersäkerhet”.
Beroende på sammanhanget använder MSB ordet ”cybersäkerhet” med något olika betydelse: MSB har under flera år engagerat sig i terminologifrågor och stöttar bl.a.
SIS i arbetet med terminologi på informations- och cybersäkerhetsområdet.
MSB planerar inte att ta fram en egen definition av begreppet cyber, eller cybersäkerhet.
De definitioner/beskrivningar som myndigheten behöver kunna använda är, enligt ovan, bl.a.
från regeringens strategier, standardiseringsorgan (ex SIS), FN, EU samt Nato.
Cyber/cybersäkerhet förekommer i dag i förslag till reglering från EU (den s.k.
cybersäkerhetsakten, COM(2017) 477 final).
Myndigheten har därmed tre olika definitioner för olika sammanhang och har dessutom gjort en egen utveckling av den definition som fanns med i 2017 år nationella strategi.
Detta blir aningen motsägelsefullt när man samtidigt säger sig använda befintliga definitioner/beskrivningar och inte utveckla egna.
Formuleringen om SIS undviker elegant att MSB faktiskt inte använder den definition av cybersäkerhet (”cyber” i sig själv ingår inte) som finns terminologin SIS-TR 50:2015 (tyvärr är jag inte länka till terminologin eftersom den inte är fritt tillgänglig): bevarande av konfidentialitet, riktighet och tillgänglighet hos information i cyberrymden Cyberrymden;telerymden har i sin tur definitionen: abstrakt rymd som utgörs av digital kommunikation mellan datornätverk och där all digital information befinner sig Med den förtydligande kommentaren: Cyberrymden innefattar all kommunikation via internet samt telekommunikation.
En cyberrymd möjliggörs av den hårdvara och de system som ingår i en infrastruktur.
Jag är inte alldeles säker på att jag förstår vad detta exakt betyder.
Terminologin verkar dock ha den implicita uppfattningen att ”cyber” har med internationella konflikter och antagonism att göra vilket markeras redan i det inledande stycket till kapitlet om Samhällets informations- och cybersäkerhet: Varje dag utsätts svenska myndigheter och företag för cyberattacker.
Detta har bidragit till att bl.a.
frågor om cybersäkerhet och cyberresiliens har blivit mer aktuella inom olika branscher.
Sverige, liksom många andra europeiska länder, har på senare år börjat uppmärksamma risken för cyberattacker som en global och militär hotbild.
Det är därför viktigt att introducera cybersäkerhet inom olika branscher för att öka förståelsen och kompetensen för hur man kan skydda information från dessa hot.
Cybersäkerheten har medfört nya termer, men eftersom området fortfarande är nytt kan dessa termer komma att ändras och det kommer att krävas fortsatt terminologiutredning inom detta område.
Det verkar inte råda någon konsensus om skillnaden mellan informations- och cybersäkerhet, utan de två termerna används ibland omväxlande.
Ibland används termen informationssäkerhet när inriktningen ligger på informationen och termen cybersäkerhet när det handlar om den digitala domänen; ibland ses cybersäkerhet som informationssäkerhet på en global nivå .
Samtliga sammansatta ord med förleden cyber som presenteras i terminologin är företeelser som skulle kunna ingå i en krigföring eller terrorism på hög nivå (cyberattack, cyberavskräckande, cyberförsvar, cyberkrigföring, cyberoperation osv.).
I en lustig cirkelrörelse hänvisar man i en fotnot till SOU 2015:23 (NISU) och den begreppsdiskussion som förs där på sidan 40: En grundläggande definitionsfråga för hela den svenska informationssäkerhetsnomenklaturen handlar just om innebörden av det svenska begreppet ”informationssäkerhet”.
På engelska är detta begrepp uppdelat i två betydelser dels ”Information Security” som utgår från ett tekniskt perspektiv och återspeglas i ISO 27001-standarden, dels i ”Information Assurance” som utgår från ett nationellt säkerhetsperspektiv och där även organisation och policy ingår.
I tidigare utredningsarbeten gjordes försök att särskilja det senare begreppet från det förra genom att introducera termen ”informationssäkring”, vilket också infördes i SIS-nomenklatur.
Begreppet – liksom den förenklade varianten ”övergripande informationssäkerhet” – vann aldrig någon uppslutning i det offentliga Sverige då det ansågs för komplicerat att beskriva.
Följden har dock blivit olyckliga sammanblandningar i begreppens innebörd – inte minst i internationella sammanhang.
Cybersäkerhetsbegreppet är mer strategiskt och fokuserar mer på nationella och internationella nätverk.
Därmed har cybersäkerhet en större internationell räckvidd med t.ex.
folkrättsliga frågeställningar och normer på cyberområdet än det mer tekniska informationssäkerhetsbegreppet.
Det senare har en större tyngdpunkt mot hård- och mjukvara samt standardisering.
Motivet för fokus mot cybersäkerhet är att det är på detta område som statsmaktsperspektivet behöver utvecklas då frågeställningarna ligger ovanför myndigheternas ansvarsområden, samt att avdömningar mellan olika sektorsstrategier kan behöva göras inom ramen för ett svenskt koherent nationellt förhållningssätt gentemot EU och andra internationella .
Detta är ju ett märkligt stycke där den uttalat organisatoriskt inriktade ISO 27001 framställs som fokuserade på tekniska åtgärder (!).
Cybersäkerhet sägs vara mer ”strategiskt” och verkande på nationell nivå.
Till att detta kommer alla företag som använder ”cyber” i olika konstellationer för sin produkter och tjänster som knappast är på nationell nivå.
Sammantaget är användningen av begreppet ”cyber” högst inkonsistent och rör sig i en skala från å ena sidan normal it-säkerhet med vissa tillägg av informationssäkerhet till en del av det nationella försvaret.
Vissa gemensamma drag tycks finnas som att det gäller digital infrastruktur i någon bemärkelse samt den renodlade inriktningen mot antagonistiska hot.
I övrigt är det ganska fritt valt vilken betydelse man vill ge ordet.
Är denna otydlighet då egentligen ett problem?
Det kanske behövs ett sådant här amorft begrepp som beskriver en amorf verklighet och inte enbart för sexa till vilken konferensrubrik eller vilket tjänsteutbud i it-sektorn som helst?
Kanske inte men jag måste ändå resa invändningen att om att vårt, enligt många, största hot förtjänar en något mer entydig beskrivning.
Att måla upp ett förödande hot mot nationen och mot enskilda men göra det i så oklara termer är inte bra för samhällsklimatet i en demokrati (vilket jag skrivit om tidigare).
Inte heller är det en fördel för kunder att erbjuda tjänster där det inte närmare går att avgöra vad tjänsten egentligen består i. Jag tycker därför att det är en rimlig önskan att åtminstone centrala myndigheter sätter sig ner för att begreppsmodellera vad ”cyber” är och vilken relation cybersäkerhet har till informationssäkerhet.
Betänk språklagens krav på myndigheterna: Språket i offentlig verksamhet ska vara vårdat, enkelt och begripligt.
Förhoppningsvis har det inte förbigått någon att2018 kommer att ersätta den svenska personuppgiftslagen.
Dataskyddsförordningen innebär att den enskildes rättigheter gällande skydd av personuppgifter stärks medan kraven blir strängare för myndigheter, företag och andra organisationer som hanterar personuppgifter.
Ett förbättrat integritetsskydd är verkligen välkommet med tanke på hur det ser ut på integritetsfronten idag.
Den kartläggning av som genomförts av Integritetskommittén genomfört (för transparensen skull är det väl bäst att meddela att jag suttit som expert i kommittén) visar på allvarliga brister i skyddet för den enskildes integritet i olika verksamheter.
Särskilt bekymmersam beskrivs situationen i hälso- och sjukvården vilket inte på något sätt förvånar den som har någon inblick i hur sjukvårdens informationshantering är utformad idag.
Jag kommer att återkomma till den fråga i ett senare inlägg men för den intresserade går det bra att ladda ner utredningen i sin helhet .
Ett kapitel där jag varit närmare involverad handlar om integritet och informationssäkerhet.
Dessa två storheter är nära länkade i ett antal avseenden.
Skyddet för den personliga integriteten ingår med självklarhet i aspekten ”konfidentialitet” och att skapa förutsättningar för att upprätthålla integritet är därmed ett mål fört i en organisation.
Informationssäkerhetsarbetets arsenal av åtgärder är de samma som måste användas i skyddet för integriteten.
Detta kan tyckas vara självklarheter och sammankopplingen har gjorts på det nationella planet exempelvis i den så kallade Infosäk-utredningen som lade fram sitt slutbetänkande Säker information.
I utredningen föreslogs som en av tio mål i en svensk informationssäkerhetsstrategi vara att skapa förtroende, trygghet, säkerhet, och öka integritetsskyddet.
Tråkigt nog kan detta ses som en startpunkt för en nu decennielång tradition i det nationellat (liksom i e-förvaltnings- och e-hälsosatsningar på nationella planet); att säga att integritet är ett viktigt mål men inte komma med några konkreta förslag på åtgärder för att uppnå målet.
Se även , och .
I NISU var utredarens uppdrag bland annat att: Uppdraget kan tolkas som något otydligt då ordet integritet visserligen ingår men sannolikt i samma betydelse som det engelska Detta är ett återkommande problem som , att begreppet integritet används i två helt olika betydelser inom informationssäkerhetsområdet.
Den första betydelsen är den definition av den personliga integriteten som återfinns exempelvis i personuppgiftslagen.
Den andra har sitt ursprung i EU:s definition av informationssäkerhet där användningen av begreppet är synonymt med det engelska .
Begreppet avser i detta sammanhang att en databas, ett nätverk, ett system alternativt en informationsmängd är skyddad från oavsiktlig förändring eller förlust av information.
NISU väljer att över huvud taget inte behandla den personliga integriteten: Av vilken orsak utredaren gör denna avgränsning motiveras inte närmare.
Därmed avviker NISU från det förhållningssätt som exempelvis ENISA och OECD rekommenderar.
The European Union Agency for Network and Information Security (ENISA) har uppdraget att samordna EU:s arbete med nät- och informationssäkerhet.
Integritetsfrågorna är en inte oväsentlig del av ENISA:s arbete där värnet av den personliga integriteten ses som en förutsättning för den it-utveckling som ska ge en viktig grund för den ekonomiska utveckling som eftersträvas för Europa.
Som en följd av detta har ENISA genomfört olika insatser som bland annat resulterat i ett antal publikationer som behandlar integritet från policynivå ner till teknisk tillämpning.
ENISA gjorde 2014 en ambitiös guide som beskriver hur skyddet av integritet kan utformas i praktiken i it-relaterade tjänster och system.
De har här utvidgat begreppet för konceptet till att gälla Privacy and Data Protection by Design.
I inledningen till vägledningen summeras integriteten i ett EU-perspektiv från ett överordnat värde till tekniska åtgärder som byggs in i it-lösningar: Även för OECD (Organisation for Economic Co-operation and Development)har informationssäkerhet och integritet ett nära samband vilket bland annat demonstreras av en arbetsgrupp för informationssäkerhet och integritet (Working Party on Information Security and Privacy in the Digital Economy – WPSPDE).
Från Sveriges sida har Post- och telestyrelsen (PTS) deltagit i arbetet.
2015 presenterades den senaste vägledningen i informationssäkerhetsfrågor, Digital Security Risk Management, där ett viktigt paradigmskifte genomförts då man säger att informationssäkerhet inte är en teknisk fråga utan en ekonomisk.
Informationssäkerheten ska därmed kopplas till den positiva ekonomiska utveckling som är OECD:s syfte.
OECD har lyft fram integritetsfrågorna som en viktig framgångsfaktor för den ekonomiska utvecklingen.
Skydd av personuppgifter vid dataöverföring och datalagring måste vara utformat så att det underlättar för fria dataflöden över landsgränser.
2013 kom en ny version av The OECD Privacy Framework där organisationen framhåller att man under decennier spelat en viktig roll i främjandet av integritet som ett fundamentalt värde och som ett villkor för ett fritt flöde av personuppgifter över landsgränser.
I ramverket ingår ett antal principer bland annat rörande insamling av personuppgifter, datakvalitet, syftet, användningen, säkerhet, öppenhet, individens rättigheter samt ansvar för datahanteringen.
Vad som tillkommit i revisionen 2013 är att man förordar ett riskbaserat förhållningssätt på samma sätt som i övrigtsamt krav på incidentrapportering.
Här är OECD:s linje att det bör finnas en nationell strategi för hantering av personuppgifter.
Eftersom i princip alla organisationer hanterar personuppgifter i större eller mindre omfattning så har också i princip alla organisationer legala krav på hur hanteringen ska ske.
De flesta organisationer har också behov av att kunna uppvisa en ansvarsfull hantering av personuppgifter för att kunna upprätthålla sin legitimitet och för att kunna skapa tillit hos olika omgivande aktörer.
Legitimiteten som kommer av förmågan att kunna upprätthålla den personliga integriteten har, som både ENISA och OECD understryker, en stark påverkan på ekonomisk utveckling på både samhälls- och aktörsnivå.
Kort sagt kan informationssäkerhet ha en mycket viktig funktion även för den ekonomiska utvecklingen nationellt och internationellt.
Att man i Sverige då valt en linje med svaga kopplingar mellan områdena är märkligt.
Förhoppningsvis kan svenska myndigheter samordna sig i konkreta frågor som att MSB:s obligatoriska it-incidentrapportering integreras med den rapportering av incidenter som ska utifrån kraven i dataskyddsförordningen så dubbelrapportering undviks.
Men för att stödja olika verksamheter så att de kan bedriva ettsom stödjer de allt starkare kraven på skydd av personliga integriteten kommer enligt min bedömning att kräva betydligt mer.
Detta kommer jag att återkomma till i ett senare inlägg.

Såsom beskrivet i skrivelsen Nationell strategi för samhällets informations- och cybersäkerhet (Skr.
2016/17:213, Justitiedepartementet) där definitionen är ”informationssäkerhet som avser digital information”.
För att inte riskera en snäv tolkning som att det enbart omfattar it- och nätverkssäkerhet anser MSB att cybersäkerhet i detta sammanhang avser säkerhetsåtgärder på samhällelig strategisk nivå, främst reglerande och samordnade åtgärder, som behövs så att samhällets aktörer kan bedrivapå organisatorisk nivå, främst för information som hanteras digitalt.
Såsom beskrivet i Sveriges inlaga till FN:s generalförsamling att cybersäkerhet tydligare beskriver de skyddsåtgärder som innefattar konfidentialitet, tillgänglighet och riktighet för att inte blandas samman med den betydelse av informationssäkerhet som används av vissa länder eller organisationer som en del av en doktrin där synen att informationsinnehållet som sådant är ett hot.
I de fall MSB har samverkan med andra organisationer (såsom EU, NATO och FN) kan viss annan betydelse av cybersäkerhet förekomma, utefter de samverkande organisationernas definition av begreppet.

MENU MENU Postat av Postad i , , , , , Tagged , , , , , , postat av Postad i , , Tagged , , , , , Postat av Postad i , Tagged , , , , Sök efter:

Begrepp med definitioner för cyber Regeringens skrivelse 2009/10:124 Samhällets krisberedskap – stärkt samverkan för ökad säkerhet Strategi för samhällets informationssäkerhet 2010-2015 SOU 2015:23 Informations- och cybersäkerhet i Sverige.
Strategi och åtgärder för säker information i staten (NISU) föreslå övergripande mål för samhällets, och hur Sverige ska upprätthålla säkerhet och integritet i samhällsviktig it-infrastruktur.
integrity I de delar utredningens förslag skulle kunna påverka den enskildes personliga integritet föreslår utredningen ytterligare utredningsåtgärder för att väga in sådana aspekter.

Förhoppningsvis har det inte förbigått någon att2018 kommer att ersätta den svenska personuppgiftslagen.
Dataskyddsförordningen innebär att den enskildes rättigheter gällande skydd av personuppgifter stärks medan kraven blir strängare för myndigheter, företag och andra organisationer som hanterar personuppgifter.
Ett förbättrat integritetsskydd är verkligen välkommet med tanke på hur det ser ut på integritetsfronten idag.
Den kartläggning av som genomförts av Integritetskommittén genomfört (för transparensen skull är det väl bäst att meddela att jag suttit som expert i kommittén) visar på allvarliga brister i skyddet för den enskildes integritet i olika verksamheter.
Särskilt bekymmersam beskrivs situationen i hälso- och sjukvården vilket inte på något sätt förvånar den som har någon inblick i hur sjukvårdens informationshantering är utformad idag.
Jag kommer att återkomma till den fråga i ett senare inlägg men för den intresserade går det bra att ladda ner utredningen i sin helhet .
Ett kapitel där jag varit närmare involverad handlar om integritet och informationssäkerhet.
Dessa två storheter är nära länkade i ett antal avseenden.
Skyddet för den personliga integriteten ingår med självklarhet i aspekten ”konfidentialitet” och att skapa förutsättningar för att upprätthålla integritet är därmed ett mål fört i en organisation.
Informationssäkerhetsarbetets arsenal av åtgärder är de samma som måste användas i skyddet för integriteten.
Detta kan tyckas vara självklarheter och sammankopplingen har gjorts på det nationella planet exempelvis i den så kallade Infosäk-utredningen som lade fram sitt slutbetänkande Säker information.
I utredningen föreslogs som en av tio mål i en svensk informationssäkerhetsstrategi vara att skapa förtroende, trygghet, säkerhet, och öka integritetsskyddet.
Tråkigt nog kan detta ses som en startpunkt för en nu decennielång tradition i det nationellat (liksom i e-förvaltnings- och e-hälsosatsningar på nationella planet); att säga att integritet är ett viktigt mål men inte komma med några konkreta förslag på åtgärder för att uppnå målet.
Se även , och .
I NISU var utredarens uppdrag bland annat att: Uppdraget kan tolkas som något otydligt då ordet integritet visserligen ingår men sannolikt i samma betydelse som det engelska Detta är ett återkommande problem som , att begreppet integritet används i två helt olika betydelser inom informationssäkerhetsområdet.
Den första betydelsen är den definition av den personliga integriteten som återfinns exempelvis i personuppgiftslagen.
Den andra har sitt ursprung i EU:s definition av informationssäkerhet där användningen av begreppet är synonymt med det engelska .
Begreppet avser i detta sammanhang att en databas, ett nätverk, ett system alternativt en informationsmängd är skyddad från oavsiktlig förändring eller förlust av information.
NISU väljer att över huvud taget inte behandla den personliga integriteten: Av vilken orsak utredaren gör denna avgränsning motiveras inte närmare.
Därmed avviker NISU från det förhållningssätt som exempelvis ENISA och OECD rekommenderar.
The European Union Agency for Network and Information Security (ENISA) har uppdraget att samordna EU:s arbete med nät- och informationssäkerhet.
Integritetsfrågorna är en inte oväsentlig del av ENISA:s arbete där värnet av den personliga integriteten ses som en förutsättning för den it-utveckling som ska ge en viktig grund för den ekonomiska utveckling som eftersträvas för Europa.
Som en följd av detta har ENISA genomfört olika insatser som bland annat resulterat i ett antal publikationer som behandlar integritet från policynivå ner till teknisk tillämpning.
ENISA gjorde 2014 en ambitiös guide som beskriver hur skyddet av integritet kan utformas i praktiken i it-relaterade tjänster och system.
De har här utvidgat begreppet för konceptet till att gälla Privacy and Data Protection by Design.
I inledningen till vägledningen summeras integriteten i ett EU-perspektiv från ett överordnat värde till tekniska åtgärder som byggs in i it-lösningar: Även för OECD (Organisation for Economic Co-operation and Development)har informationssäkerhet och integritet ett nära samband vilket bland annat demonstreras av en arbetsgrupp för informationssäkerhet och integritet (Working Party on Information Security and Privacy in the Digital Economy – WPSPDE).
Från Sveriges sida har Post- och telestyrelsen (PTS) deltagit i arbetet.
2015 presenterades den senaste vägledningen i informationssäkerhetsfrågor, Digital Security Risk Management, där ett viktigt paradigmskifte genomförts då man säger att informationssäkerhet inte är en teknisk fråga utan en ekonomisk.
Informationssäkerheten ska därmed kopplas till den positiva ekonomiska utveckling som är OECD:s syfte.
OECD har lyft fram integritetsfrågorna som en viktig framgångsfaktor för den ekonomiska utvecklingen.
Skydd av personuppgifter vid dataöverföring och datalagring måste vara utformat så att det underlättar för fria dataflöden över landsgränser.
2013 kom en ny version av The OECD Privacy Framework där organisationen framhåller att man under decennier spelat en viktig roll i främjandet av integritet som ett fundamentalt värde och som ett villkor för ett fritt flöde av personuppgifter över landsgränser.
I ramverket ingår ett antal principer bland annat rörande insamling av personuppgifter, datakvalitet, syftet, användningen, säkerhet, öppenhet, individens rättigheter samt ansvar för datahanteringen.
Vad som tillkommit i revisionen 2013 är att man förordar ett riskbaserat förhållningssätt på samma sätt som i övrigtsamt krav på incidentrapportering.
Här är OECD:s linje att det bör finnas en nationell strategi för hantering av personuppgifter.
Eftersom i princip alla organisationer hanterar personuppgifter i större eller mindre omfattning så har också i princip alla organisationer legala krav på hur hanteringen ska ske.
De flesta organisationer har också behov av att kunna uppvisa en ansvarsfull hantering av personuppgifter för att kunna upprätthålla sin legitimitet och för att kunna skapa tillit hos olika omgivande aktörer.
Legitimiteten som kommer av förmågan att kunna upprätthålla den personliga integriteten har, som både ENISA och OECD understryker, en stark påverkan på ekonomisk utveckling på både samhälls- och aktörsnivå.
Kort sagt kan informationssäkerhet ha en mycket viktig funktion även för den ekonomiska utvecklingen nationellt och internationellt.
Att man i Sverige då valt en linje med svaga kopplingar mellan områdena är märkligt.
Förhoppningsvis kan svenska myndigheter samordna sig i konkreta frågor som att MSB:s obligatoriska it-incidentrapportering integreras med den rapportering av incidenter som ska utifrån kraven i dataskyddsförordningen så dubbelrapportering undviks.
Men för att stödja olika verksamheter så att de kan bedriva ettsom stödjer de allt starkare kraven på skydd av personliga integriteten kommer enligt min bedömning att kräva betydligt mer.
Detta kommer jag att återkomma till i ett senare inlägg.

MENU MENU Postat av Postad i , Tagged , , , , Sök efter:

Regeringens skrivelse 2009/10:124 Samhällets krisberedskap – stärkt samverkan för ökad säkerhet Strategi för samhällets informationssäkerhet 2010-2015 SOU 2015:23 Informations- och cybersäkerhet i Sverige.
Strategi och åtgärder för säker information i staten (NISU) föreslå övergripande mål för samhällets, och hur Sverige ska upprätthålla säkerhet och integritet i samhällsviktig it-infrastruktur.
integrity I de delar utredningens förslag skulle kunna påverka den enskildes personliga integritet föreslår utredningen ytterligare utredningsåtgärder för att väga in sådana aspekter.

Efter Kammarrättens utslag dröjde det bara några dagar innan jag fick ut de dokument som jag började jaga med en fråga den 6 augusti.
Samtliga tre dokument har mycket marginella maskningar vilket jag återkommer till men som läsaren själv har möjlighet att bedöma eftersom jag lägger ut dem i sin helhet.
Låt oss då se på dokumenten och då först till det mest övergripande: Riktlinje för informationssäkerhet.
Detta dokument tycks ha ganska litet att göra med den policy som beslutades i och därts övergripande syfte anges vara att främja digitalisering samtidigt som tillit till informationshanteringen upprätthålls.
De flesta skulle kanske anse att informationssäkerheten ska stödja kärnverksamhetens uppdrag, i det här fallet egentligen kundernas uppdrag, men Inera är sannolikt i detta fall ett offer för SKL:s överideologi där digitalisering är ett dominerande egenvärde.Inte ett ord om patientsäkerhet för att bara ta en sak som jag personligen anser aningen viktigare än att ”främja digitalisering”.
Den sällsynt korta policyn innehåller ingenting om ansvarsförhållanden eller vem som egentligen ska styra säkerheten, däremot är ett mål att säkerhetsarbetet ska grundas på ”gemensamma regelverk, referensarkitekturer och styrande principer”.
Gemensamma för vem och framtagna av vem kan man undra.
Policyn ska tillämpas enbart internt och det saknas relation till kunderna trots att Ineras roll som leverantör: Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering.
Den ska också tillämpas i projekt och på förvaltningsobjekt.
Policyn ger som jag ser det inte någon verksam strategisk ledning för Ineras säkerhetsarbete i rollen som tjänsteleverantör eftersom ansvar och relationer helt saknas.
Hela upplägget med denna helt urvattnade policy känns litet märkligt när Inera dessutom arbetar baklänges och lägger den som olja på vattnet på redan framtagna underliggande dokument.
Kanske har det funnits en annan policy tidigare som fadat bort utan kommentar.
Låt oss lämna policyn och istället titta på riktlinjen som av naturliga skäl saknar den kopplingar till den beslutade policyn.
En första observation som reser den alltid lika spännande frågan om kausalitet och korrelation.
Av en händelse sammanfaller att jag efterfrågade riktlinjen den 6 augusti med en massiv uppdatering som skedde den 9 augusti när en mängd basala säkerhetsaspekter fördes in i riktlinjen (se revisionshistoriken).
Detta var också första gången på tre och ett halvt år som en uppdatering skedde.
Nog om detta lustiga sammanträffande.
Inera är är ju en tjänsteleverantör av känsliga informationstjänster till vården och det som först slår mig då jag läser riktlinjen är att detta förhållande är i det närmaste osynligt i riktlinjen på samma sätt som i policyn.
Riktlinjen gör ingen distinktion mellan Ineras interna informationssäkerhet och den säkerhet som ska finnas i de tjänster som levereras.
Kundernas frånvaro i hanteringen blir närmast självlysande i definitionen av informationsägaren: För varje viktig informationsmängd ska det utses en informationsägare med uppdrag att hantera alla delar av informationssäkerheten som är relaterade till denna informationsmängd.
För de tjänster som Inera tillhandahåller är detta normalt rollen Tjänsteansvarig.
Här man alltså kortslutit systemet så kunderna är inte informationsägare och ska inte heller hantera exempelvis informationsklassning och riskanalys av den information som de faktiskt är ansvariga för.
För att göra det extrem tydligt: Inera är inte en vårdgivare utan hanterar andra vårdgivares information i ett antal gemensamma tjänster.
Vårdgivarna (offentliga och privata) är enligt lag och föreskrift ansvariga för sin information och att den hanteras på ett säkert sätt – det är bara att läsa HSLF-FS 2016:40 för att få en samlad bild av kraven.
Samtidigt skriver man t.ex.
under 15.3.1. om en informationsägare som sannolikt är kunden.
Roller och begrepp är alltså inte konsistenta.
Ytterligare ett tecken på att riktlinje inte tjänar Ineras verksamhet särskilt väl är att de ytterst knapphändiga beskrivningar av utveckling som finns i kapitlen 15.1 och 15.2.
Detta är alltså riktlinjen där ansvar, principer och arbetssätt bör framgå.
Som jag uppfattar det är Ineras huvudsakliga uppdrag att utveckla olika it-lösningar för vården vilket skulle föranleda att ett verksamhetsanpassat säkerhetsarbete skulle ha en tyngdpunkt just i utvecklings- och förvaltningsprocessen av erbjudna lösningar.
I Ineras riktlinje är det dock inte så utan det känns snarare som en ytlig genomgång av kraven i ISO 27001 med mycket små modifikationer.
Dessutom ingår den i det jag brukar tänka på som ”de öde regelverken” eftersom det inte bara kunderna som saknas utan även i hög grad andra aktörer.
Istället upprepas riktlinjen igenom ”Inera ska…” utan att närmare definiera vilken roll inom Inera som ska utföra säkerhetsarbetet.
Igenkänningsfaktorn är hög.
Jag har sett denna typ av regelverk ett otal antal gånger och ett genomgående drag är att när regelverk är så här diffusa så får de ingen eller ringa säkerhetshöjande effekt.
Har ledningen inte pekat ut ansvar (vilket man här inte har i policyn och mycket litet i riktlinjen) så finns inget maskineri som drar runt säkerhetsarbetet.
Att något i denna anonyma text skulle befinnas vara av den art att det går att sekretesslägga med hänvisning till OSL 18 kap.
8 §: Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser byggnader eller andra anläggningar, lokaler eller inventarier, tillverkning, förvaring, utlämning eller transport av pengar eller andra värdeföremål samt transport eller förvaring av vapen, ammunition, sprängämnen, klyvbart material eller radioaktiva ämnen, telekommunikation eller system för automatiserad behandling av information, behörighet att få tillgång till upptagning för automatiserad behandling eller annan handling, den civila luftfarten eller den civila sjöfarten, transporter på land av farligt gods, eller hamnskydd.
kändes märkligt.
Än mer så Ineras ursprungliga beslut att hela dokumentet skulle utgöra risk om det spreds.
På ett sätt skulle jag ironiskt kunna hålla med: kvaliteten på dokumentet indikerar en klar brist på styrning av säkerhetsarbetet vilket kan naturligtvis är en stor risk om det framkommer.
Men det som nu maskats i dokumentet är endast sex passager där man mitt i den i övrigt så generella beskrivningen av allmänna säkerhetsåtgärder tydligen placerat in var datalagring sker samt tekniska beskrivningar av bland annat segmentering.
Om dessa uppgifter är på detaljnivå har de knappast i riktlinjen att göra eftersom den då inte går att sprida i en vidare krets internt.
Även detta är att starkt skäl att se över regelverket och styrningen i stort.
Om vi sedan tittar på de två övriga dokument jag fått ta del av: så går maskningarna i dessa sammantaget att räkna på ena handens fingrar.
Förutom att även dessa i huvudsak saknar anpassning till Ineras egentliga behov av styrning och även till SKL:s flaggskepp KLASSA är det svårt att se vad som föranlett Ineras rädsla för att sprida dem.
Hela hanteringen av min begäran utlämnande av handlingar framstår som fånig och okunnig i mina ögon men har det goda med sig att det kanske hindrar andra från det överutnyttjande av 18.8 som jag tycker mig sett tecken på.
Min sammantagna bild är att Inera saknar ett sammanhängande systematisktoch att den styrning som finns inte är är inriktad på rätt målbild som till exempel att ge kunderna möjlighet att styra sin egen säkerhet eller på patientsäkerhet.
Ingenstans framgår att den informationsklassning som kunderna gör av sin information ger utslag i Ineras leverans, inte heller att Inera har ett kunderbjudande som är transparent och flexibelt.
Jag är den första att erkänna att Ineras uppdrag är mycket komplicerat men just därför skulle det kännas betydligt tryggare om det gick att urskilja ett stort engagemang för säkerhetsfrågor som skulle ge både kunder och allmänheten i stort en anledning att hysa en stor tillit till Inera.
Särskilt tänker jag på detta när nu Inera satt igång ett nytt projekt om säker digital .
Visserligen står det ”säker” i rubriken men vilket stöd har projektet i Ineras LIS för att uppnås denna säkerhet?
Finns det en risk att detta projekt hamnar i samma situation som den som kritiserades så hårt av MSB när det gäller säkerhetsaspekterna (trots att det är se att MSB bidrog på ett så särskilt strukturerat sätt)?
Hälso- och sjukvård är ju i högsta grad en samhällsviktig verksamhet som borde få MSB:s mest djuplodande intresse när en ny nationell lösning ska tas fram.
Möjligen har jag helt fel.
Kanske är säkerheten i Ineras verksamhet mycket bättre än vad de styrande dokumenten ger intryck av.
Men samtidigt är det svårt att föreställa sig edär det inte finns en tydlig dokumenterad styrning.
Självklart borde denna styrning omfatta mer än Inera – jag ska väl inte tjata om en nationell styrmodell á la Normen en gång till… Däremot vore det mycket önskvärt med en större granskning av samtliga större aktörer inom hälso- och sjukvård både för att bedöma den reella säkerheten och för att se vilka samordningsbehov som finns.
Med detta som utgångspunkt går det sedan att börja skissa på den gemensamma styrmodellen.
I väntan på detta mitt utopiska tillstånd är en rimlig inriktning att IVO koncentrerar sin tillsyn utifrån NIS-direktivet främst på dessa stora aktörer eftersom de har den största påverkan på vår gemensamma säkerhet.
Den minnesgode kommer ihåg att jag bett att få se Ineras ledningssystem för informationssäkerhet, blivit nekad och hänvisad till Kammarrätt för att framföra mina besvär över detta, förloppet finns beskrivet .
Själv måste jag medge att jag fann Ineras agerande aningen besynnerligt.
Om det nu finns styrande dokument för informationssäkerheten vid sidan om den A4 som utgör policy (vilket Inera hävdar) så förefaller det märkligt att varje ord i dessa dokument skulle utgöra en sådan betydande risk för Ineras säkerhet att de inte kan lämnas ut.
För den som jag som arbetat med utlämnande av allmänna handlingar är väl bekant med rutinen att maska dokumenten så att de delar som bedöms som sekretesskänsliga inte kan läsas – ytterst sällan är dokumenten i sin helhet känsligt.
Kanske har inte Inera upparbetat rutinen för maskning än men efter att ha läst Kammarrättens utslag så är det nog dags att komma igång med det nu.
Jag är naturligtvis nöjd med utslaget och väntar nu på mina handlingar.
Samtidigt väcker ju historien med Inera en hel del tankar.
En är att vi alla är betjänta av största möjliga öppenhet om de regler gällande säkerhet som finns olika organisationer.
Vi behöver lära av varandra och vi behöver närma oss mer av praxis både på branschnivå och i samhället i stort.
Ett överdrivet hemlighetsmakeri skapar en negativ säkerhetskultur och förhindrar processen mot en nödvändig samsyn om hur styrningen av säkerhet bör utformas.
Ineras förhållningssätt pekar också på ett annat mer praktiskt problem, nämligen vikten av att utforma sin hierarki av styrande dokument rätt.
Om man, som Inera tycks ha gjort, blandar principer,ansvarsfördelning och andra faktorer som bör kunna vara helt öppna i random organisation med detaljbeskrivningar av säkerhetslösningar, risker och sårbarheter har man ju skapat ett regelverk som knappast går att sprida ens internt och ännu mindre till externa parter som kunder.
En betydligt mer positiv erfarenhet var det att begära ut samma information hos eHälsomyndigheten där jag inte bara fick ta del av de handlingar som på ett övergripande sätt styr säkerhetsarbetet utan även en bild av de handlingar som är av mer känslig karaktär.
Tyvärr bekräftades dock min bild av bristande styrning av säkerheten inom vården då två av de stora aktörerna inom svensk e-hälsa inte har ett gemensamt regelverk.
Detta är en mycket stor fråga som måste lösas innan vi kan säga att vi är på väg mot en säker e-hälsa.
Efter diskussionerna om 1177-skandalen och andra händelser inom e-hälsoområdet har jag efterfrågat en nationell genomlysning av hur det egentligen står till med informationssäkerheten i den svenska vården.
I väntan på en större aktör som kan genomföra en omfattande analys av den i mitt tycke centrala frågan så tänkte jag börja dra några små strån till stacken och titta närmare på hur några viktiga aktörer inom e-hälsoområdet hanterar informationssäkerhetsfrågan.
Hälso- och sjukvården är också en av de utpekade branscher där aktörer åläggs att bedriva ei NIS-direktivet.
Att sanktionsavgifter kan utdömas från både dataskyddsmyndigheten och från IVO i det här fallet borde vara en starkt pådrivande faktor för att förbättra säkerheten.
En naturlig startpunkt är Inera som presenterar sig så här: Inera ägs av SKL Företag, regioner och kommuner.
Genom att erbjuda kompetens inom digitalisering stödjer Inera ägarnas verksamhetsutveckling.
Inera koordinerar och utvecklar gemensamma digitala lösningar till nytta för invånare, medarbetare och beslutsfattare.
och Inera utvecklar och förvaltar nationella tjänster inom e-hälsa och digitalisering på uppdrag av regioner och kommuner.
Ungefär 35 digitala tjänster drivs idag av Inera, bland annat 1177 Vårdguiden, Nationell patientöversikt och Journalen.
Vissa tjänster används av invånare, andra av vårdpersonal.
Arbete pågår med nuvarande tjänster och på vilket sätt de kan anpassas för kommunerna.
Inera ansvarar också för den gemensamma infrastruktur och it-arkitektur som ligger till grund för många av tjänsterna.
Därmed har Inera uppdraget från sjukvårdshuvudmännen att koordinera och utveckla gemensamma e-hälsolösningar – en supertungviktare inom e-hälsoområdet alltså.
Av detta följer att man har ett lika tungt ansvar när det gäller informationssäkerheten i de lösningar man erbjuder.
Detta faktum accentueras av att sjukvårdshuvudmän och vårdgivare i de flesta fall inte kan välja andra lösningar än de som Inera erbjuder eftersom de är nationella tjänster som det är nödvändigt att använda för att kunna bedriva vård.
Till skillnad mot om man skulle anlita kommersiell leverantör där man både kan styra med kravspecifikation och genom att byta leverantör om man inte är nöjd med säkerheten.
Dessutom ska Inera stödja digitalisering av regioners och kommuners verksamheter genom att tillhandahålla kompetens och material.
Bland annat säger man sig ta fram regelverk för informationssäkerhet, juridik och kvalitetssäkring.
Det vore konstigt om man inte skulle bli intresserad av hur Inera arbetar med informationssäkerhet då dessa olika uppdrag presenteras.
När man bedömer en organisations förutsättningar för att bedriva eär den vanliga metoden att utgå från vilka styrande dokument som tagits fram och beslutats.
Inte för att styrande dokument i sig med nödvändighet leder till bättre säkerhet men de ger ramarna för arbetet och beskriver förhoppningsvis det organisatoriska maskineri med bland annat ansvar och roller som förlängningen ska snurra igång det systematiska arbetet.
I korthet: regelverk är en nödvändig men absolut inte tillräcklig förutsättning för fungerande informationssäkerhet och det finns definitivt olika kvalitet på regelverk.
Dessutom innehåller regler på högre nivå mycket sällan någon som helst känslig information och skulle det återfinnas någon liten del som bedöms som känslig är den lätt att maskera vid ett utlämnande (tro mig – jag har begärt ut regler i stor omfattning från myndigheter, kommuner och regioner).
Innan vi går vidare ska jag för transparensens påpeka att jag för ett femtontal år sedan gjorde ett par konsultuppdrag för Ineras föregångare och jag hade även kontakt med Inera under den tid jag arbetade på MSB.
Mitt sammantagna intryck är att det varit motigt att införa ett systematisktt trots uppdraget Inera och dess föregångare haft.
Men åter till nuläget.
Med ovan beskrivna bakgrund var ett första steg för mig att be att få ta del av Ineras regelverk vilket jag gjorde den 6 augusti: Hej!
Jag skulle vilja ta del av: – Ineras interna ledningssystem för informationssäkerhet (LIS) som tillämpas i Ineras verksamhet – Aktuella regelverk och stödmaterial för informationssäkerhet som Inera tagit fram som stöd för sina kunder Jag skulle dessutom vilja veta när Inera senast genomförde en mer omfattande informationssäkerhetsrevision av den egna verksamheten.
Tack på förhand!
Jag fick snabbt ett automatsvar som kvitterade att mitt ärende tagits emot.
Sedan dröjde det och dröjde det.
Till slut kom ett svar den 22 augusti: Ni har begärt utlämnande av Ineras interna ledningssystem för informationssäkerhet (LIS), som tillämpas i Ineras verksamhet, samt vidare aktuella regelverk och stödmaterial för informationssäkerhet, som Inera tagit fram som stöd för sina kunder.
Ineras informationssäkerhetspolicy återfinns på .
Regelverk och stödmaterial inom informationssäkerhet och arkitektur, som delas med kunder, återfinns på .
Beträffande LIS gör Inera följande bedömning: Informationssäkerhet syftar till att hindra information från att läcka ut, förvanskas eller förstöras samt säkerställa att informationen finns tillgänglig för en legitim användare.
Ineras produkter och tjänster håller en sådan säkerhetsnivå att kunder kan känna förtroende för Inera som leverantör och uppnå en hög nivå av informationssäkerhet.
Inera har ett ledningssystem för informationssäkerhet, som är baserat på ISO 27001.
av regelverk som beskriver krypteringsnivåer, autentiserings-metoder, säkerhetsåtgärder i driftsmiljön m.m.
I systemet ingår vidare modeller förificering, incidenthantering, etc., liksom uppföljning i form av interna och externa revisioner samt säkerhetstester.
Sekretess gäller enligt 18 kap.
8 § 3 offentlighets- och sekretesslagen för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser telekommunikation eller system för automatiserad behandling av information.
LIS innehåller uppgifter av sådan art att ett utlämnande typiskt sett är ägnat att medföra skada för det intresse som skall skyddas genom den aktuella bestämmelsen.
Handlingarna kan därför inte lämnas ut.
Om ni inte är nöjd med sekretessbedömningen har ni rätt att begära ett formellt beslut.
Med vänlig hälsning Inera Detta var ett intressant svar av flera skäl.
För det första är den informationssäkerhetspolicy som bifogas och som också ligger ute på Ineras så sällsynt innehållslös och består enbart av det som i andra policys brukar ligga under rubriken ”mål”.
Bland annat saknas helt inriktning för ansvarsförhållanden vilket är av stor betydelse att definiera för en leverantör .
Att policyn är beslutad den 14 juni i år väcker även det en hel del tankar (mer om innehållet i de dokument jag fått ut längre ner).
Det riktigt förvånande är dock att Inera anser att övriga styrande dokument i sin helhet går att sekretesslägga och det med hänvisning till OSL trots att man inte tillhör de offentliga organisationer som faller under offentlighetslagstiftningen!
Detta sporrade min nyfikenhet och som den jobbiga människa jag är måste jag ställa ytterligare frågor med vändande post: Tack för svar!
En formfråga: har Inera fattat ett beslut att tillämpa OSL generellt för sin verksamhet?
Till svar fick jag följande: I Ineras bolagsordningen (från 2017) står följande: Allmänheten ska ha rätt att ta del av handlingar hos bolaget enligt de grunder som gäller för allmänna handlingars offentlighet i 2 kap.
tryckfrihetsförordningen och offentlighets- och sekretesslagen.
Här tätnade mystiken för mig.
2 kap TF och OSL handlar om hanteringen av allmänna handlingar.
Inera har per definition inte några allmänna handlingar och vad betyder då egentligen paragrafen i Ineras bolagsordning?
En generös tolkning är att man menar att Ineras handlingar ska hanteras som allmänna handlingar i myndigheter, regioner och landsting.
För att den handlingsoffentligheten ska fungera krävs bland annat diarieföring av handlingar där ärenden/handlingar får unika identiteter som går att söka fram och begära ut.
Om myndigheten, i det här fallet icke-myndigheten Inera, bedömer att det finns grund i OSL för sekretess för hela eller delar begärda handlingar ska ett sådant beslut lämnas skyndsamt med besvärshänvisning så begäran prövas i Kammarrätten.
Min nästa fråga blev därför: Tack!
Det innebär alltså att jag kan få ett formellt beslut med besvärshänvisning inom typ tre dagar?
Och svaret kom pronto: Ja, det stämmer.
Vill du alltså helst få ett formellt beslut?
Självklart vill jag ha ett formellt beslut men på vad?
Jag var tvungen att skriva tillbaka för klarläggande: Hej igen!
För att följa ert beslut om att efterleva OSL och TF bör jag få ta del av vilka handlingar och dess unika ID så att jag kan begära ut dem.
I policyn står inget om vilka övriga styrande dokument om ingår i ledningssystemet så därför behöver jag uppgifter om detta.
Exempel kan vara Riktlinje för åtkomst osv.
Dokumentnamnet kan inte falla under den sekretess ni hänvisar till.
Tyvärr har ni ju inget diarium på nätet så att jag själv kan söka reda på dessa uppgifter.
Jag skulle också vilja se beslut om till vilken instans ni skickar besvär i utlämnandefrågor.
När jag fått dessa uppgifter kan jag göra en formell begäran om utlämnande.
En vecka senare (30 augusti) kom svaret med en bilaga Hej Fia, Bifogad fil innehåller en beskrivning av Ineras ledningssystem och dess komponenter.
Den instans som är aktuell i besvärsfrågor är Kammarrätten.
Återkommer till innehållet i dokumentet senare men efter att ha läst beskrivningen skickade jag in följande begäran: Tack!
Jag har alltså fått en beskrivning av ert ledningssystem där ni bedömer att samtliga ingående dokument i sin helhet faller under OSL 18:8 § 3.
Förutom att jag tycker att det är tämligen unikt för Inera att se hela regelverket som fallande ur sekretess blir jag litet fundersam över vilka dokument i beskrivningen som är framtagna och beslutade.
Är beskrivningen en plan över vad som ska tas fram eller finns omnämnda dokument?
Och kommer Kammarrätten verkligen att anse att de är en instans för besvär gällande utbegäran om icke-allmänna handlingar (eftersom Inera inte är skyldiga att följa TF och OSL utan har det mer som en policyinriktning)?
Eftersom jag håller på att skriva om det just nu vill jag gärna pröva detta så jag begär ett formellt beslut angående utlämnande av följande dokument (eftersom de saknar unik identitet anger jag den beteckning som anges i beskrivningen): Jag förutsätter att ni gör en sekretessprövning som innebär att de delar av dokumenten som inte faller under reglerna för sekretess lämnas ut.
Förhoppningsvis håller ni också den praxis som gäller för skyndsam handläggning för denna typ av ärenden, d.v.s.
beslut inom tre arbetsdagar.
Idag den 3 september fick jag ett formell avslag med en besvärshänvisning där beslutet där samtliga handlingar i ledningssystemet förutom policyn i sin helhet bedöms i behov av sekretess.
Besvärshänvisningen är till Kammarrätten som kan göra en annan bedömning.
Själv är jag tveksam till om besvärshänvisningen verkligen fungerar eftersom Inera formellt inte faller under offentlighetsprincipen och de handlingar jag begärt ut därmed inte är att betrakta som allmänna vilket också fastslagits i ett liknande fall, då gällande (SKI).
Av rent intresse kommer jaag ändå att skicka in ett besvär.
Om vi ser till själva processen tycks Inera lägga betoningen på S snarare än O i OSL.
Det är tyvärr inte en ovanlig attityd bland myndigheter, det är klart att det är mycket bekvämare att arbeta bakom lyckta dörrar, men en mycket tråkig utveckling i ett samhälle där vi berömt oss för vår fina offentlighetsprincip.
Min fråga här blir hur syftet med informationsklassningen som säkerhetsåtgärd skulle kunna skadas om Inera lämnade ut beskrivningen av sin metod.
Eller hur riktlinjersin helhet skulle kunna vara känsliga.
För att undvika missförstånd: självklart finns det ingående beskrivningar av tekniska lösningar alternativt risker/sårbarheter som bör hållas skyddade för obehöriga (särskilt som Inera paradoxalt nog är frikostiga med tekniska beskrivningar .
Men styrande dokument på en högre nivå borde Inera ha all anledning att vilja sprida om man tar sitt uppdrag att ”koordinera och utveckla digitala lösningar” på allvar.
Eftersom vi vet att informationssäkerheten är så illa utvecklad inom sjukvården borde Inera föregå med gott exempel och visa upp vilken säkerhet man själv har i sin instans av 1177 till skillnad mot Medhelps hantering.
Vad skulle nyttan vara i att begränsa harmlös information om sitt säkerhetsarbete till sina ”kunder” om man hanterar personuppgifter för hela befolkningen och ett mycket stort antal aktörer är berörda av dessa regler på olika sätt?
En mer cynisk människa än jag skulle ifrågasätta att de dokument jag efterfrågar över huvudtaget finns annat än på ritbordet med tanke på att policyn antogs i mitten av juni i år och övriga dokument rimligen borde vara underdokument till den.
Jag väljer att tro att dokumenten i beskrivningen verkligen finns men det ledningssystem som framtonar liknar inget jag tidigare sett i en organisation med Ineras betydelse och ambition att följa ISO/IEC 27001/27002.
Policyn är som jag tidigare skrivit torftig och innehåller inte delar som ändå får uppfattas som praxis som exempelvis ansvar och roller, incident och kontinuitet vilket även är centrala aspekter för en tjänsteleverantör.
Dessa frågor återkommer inte heller på anvisningsnivå.
Inledningsvis sägs att: Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering.
Den ska också tillämpas i projekt och på förvaltningsobjekt.
Det är alltså en intern policy för bolaget Inera men vad säger det om informationssäkerheten i tjänsterna?
Och i relationen med kunderna?
När så basala frågor lämnas öppna är frågan vad policyn egentligen fyller för syfte.
Sammantaget är den bild jag får att detta inte ens om det blir genomfört skulle bli ett fungerande ledningssystem på det sätt som beskrivs i standarden.
Men då har jag som sagt inte sett själva dokumenten.
Kanske någon som är ”kund” i Ineras mening kan kolla på dessa dokument och återkomma med en beskrivning?
Ineras hemlighetsmakeri blir ännu mer märkligt med tanke på att ett flertal av de ägare som Inera kallar kunder villigt lämnat ut sina styrande dokument för informationssäkerhet när jag frågat.
Varför skulle större sekretess råda hos Inera?
Kanske är det ovanan att leva med en god offentlighetskultur som präglar Ineras synsätt.
På samhällsnivå är det i så fall ett stort problem om viktig information flyttas från öppna organisationer till slutna som Inera och SKL.
Jag tror att överdrivet sekretessläggande är till stor nackdel för säkerhetsarbete generellt men alldeles särskilt i sammanhang då en ett antal aktörer ska dela information, tjänster och infrastruktur.
Det måste finnas en grundlig kännedom och diskussion om gemensamma regler hos de som är aktörer i samarbetet men det måste också gå att presentera utanför den snävaste kretsen för att kunna skapa tillit.
Konsulter och leverantörer måste även de få inblick för att kunna utveckla sina tjänster så att de passar.
Detta gäller än mer om Inera ska axla rollen att stödja kommunerna i deras digitalisering.
Min förslag har sedan länge varit att ta fram gemensamma regelverk och skyddsnivåer för att skapa gemensam säkerhet och dessutom slippa de stora konverteringsproblem som uppstår då aktörer med olika regelverk ska samverka i samma infrastruktur.
Svensk digitalisering är i sig planlös men det skulle kunna gå att riva det Babels torn av språkförbistring som redan finns inom informationssäkerhetsområdet genom att skapa just gemensamma regelverk.
Jag gjorde ett försök 2014 när jag jobbade på MSB att få olika centrala aktörer att samverka men denna strategi har fallit i glömska trots ett flertal tunga undertecknare (bland annat SKL och Inera).
Idag är behovet av fungerande informationssäkerhet i vården större än någonsin finns det definitivt utrymme för Inera att kliva fram och göra mer av sitt uppdrag att ta fram regelverk för informationssäkerhet än det som nu finns presenterat på n, detta särskilt som SKL säger att man ska arbeta ”resolut” med att förbättra informationssäkerheten.
Ska man lyckas med det krävs dock öppenhet och dialog med de många aktörer som måste ingå i ett sådant förbättringsarbete.
Att hävda att sekretess råder för varje mening i styrande dokument på hög nivå är inte ett tecken på vilja till öppenhet och dialog.
Efter mitt förra inlägg om e-hälsa har jag fått en del kommentarer som visar att sjukvårdens organisation och i ännu högre grad e-hälsoområdets styrning är en okänd värld för många.
Som en projektledare en gång sa till mig som en förebärare för Trump: ”Hur svårt kan det vara med sjukvård (och e-hälsa)?”.
Ganska svårt skulle jag vilja säga vilket även Trump .
Därför kommer här en inledning för att ytterligare förtydliga hur jag uppfattar organisationen idag (finns utrymme för osäkerhet i detta) samt ge ett praktiskt exempel på vad det leder till.
För att bara titta på den bristande styrningen har jag uppdaterat en gammal bild till hur jag tror det ser ut i dag (jag har inte tagit med finlir som kvalitetsregister och trygghetslarm m.m., m.m.).
Bilden är ett försök beskriva samspelet.
Som framgår är ett flertal myndigheter involverade i olika delar, det finns utförare och leverantörer.
Två saker är slående.
Den första är att det inte finns en överordnad myndighet med mandat att hålla ihop helheten och som kan vara kontaktpunkt för övriga aktörer.
Med tanke på hälso- och sjukvårdens betydelse för samhället i olika dimensioner, de mycket stora offentliga resurser som går till sjukvården och det stora antalet aktörer som deltar i det gemensamma vårdarbetet måste detta ses som ett icke-rationellt sätt att organisera det hela om man vill ha effektivitet, kvalitet och strategisk inriktning.
Det andra är SKL och sjukvårdshuvudmännens organisation som jag menar inte håller måttet för de uppgifter som man åtagit sig.
Sjukvårdshuvudmännen har en roll som offentliga organ som är reglerad i lagstiftningen.
Detsamma gäller för vårdgivare oavsett om de är privata eller offentliga.
Men i denna ordning har alltmer SKL glidit in, en intresseorganisation som inte är en myndighet, inte har en lagfäst roll och inte omfattas av offentlighetslagstiftningen.
Riksrevisionen har pekat på detta i en gällande den generella styrningen på vårdområdet.
Inom e-hälsoområdet är problemen med detta mycket tydligt.
En inte oviktig fråga i detta är att det öppenhetskrav som gäller för myndigheter som landsting, regioner och kommuner försvinner då de samarbetar i sin intresseorganisation.
Nu när aktiviteter som tidigare skedde i respektive huvudmans verksamhet flyttas in i SKL:s hägn (inklusive Inera) försvinner också insynen.
Detta kan jämföras med kommunalförbund där insynsmöjligheten fortfarande finns kvar.
Denna fråga verkar inte engagera SKL i någon högre grad, jag söker på hemsidan för att finna om man frivilligt erbjuder en likande insyn i beslutsunderlag och annat som skulle räknas som allmänna handlingar hos SKL:s medlemmar men ser inga sådana informationsinsatser.
Jag skickade även ett mail till SKL:s infoadress den 24 juli: Hej!
Jag vet att SKL inte är en myndighet och därmed inte omfattas av offentlighetslagstiftningen.
Däremot är SKL:s medlemmar det liksom medlemmarnas uppdragsgivare.
Min fråga är hur eftersträvar SKL att ändå kunna erbjuda motsvarande transparens som medlemmarna förutsätts ha?
Detta borde vara allt viktigare i och med att SKL har tagit på sig allt fler uppgifter av operativ karaktär och frågor som starkt påverkar medlemmarnas prioriteringar och finansiering.
Eller är SKL:s linje att allmänheten får tillräcklig insyn via det material som publiceras på den egna webbplatsen?
Detta mail är fortfarande obesvarat efter ett par veckor, kanske beroende på semestertider, vilket i sig är en intressant illustration av att SKL inte omfattas av kraven på myndigheter att snabbt besvara inkommande frågor.
I frågan om e-hälsa är det dock de bristande organisatoriska förutsättningarna som är mest värda att ifrågasätta.
SKL är i sig inte en organisation som är skapad för att bedriva operativ verksamhet utan för att driva förhandlingar i huvudmännens intresse mot arbetstagare och delvis även mot regeringen.
Nu har man omvandlat sig till något som varken är företag eller myndighet men har en horisontell integration där huvudmännen både är leverantörer och kunder, en typ av organisation som redan Vänerskogs jättelika konkurs 1981 visade problemen med.
Denna oreda av aktörer i en infrastruktur av mycket känslig information är detta, ja jag vågar klämma i med, katastrofalt.
Ett mycket stort antal stort antal aktörer är inne och rycker i den gemensamma informationsinfrastrukturen utan att det finns en konkret inriktning utom den som delas av regeringen och SKL.
Jag noterar att webbplatsen inte uppdaterats sedan oktober 2017 men att det kommit en som mest verkar vara ett underlag för förhandlingar samt ett antal fluffiga mål.
Det är långt till verkstaden om man säger så.
Vad leder detta till i praktiken?
Ett bra exempel är hur den ganska naturliga frågeställningen om att ge patienten tillgång till mer information om sin hälsa, behandlingar m.m har hanterats.
För att klargöra utgångsläget så har patienter haft rätt att ta del av sin journal sedan länge, se patientjournallagen (SFS 1985: 562).
En journalhandling inom enskild hälso- och sjukvård skall på begäran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller kopia, om inte annat följer av 2 kap.
8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.
E-hälsofrågan i det hela handlar mer om patienten kan del av journalen.
Personligen tycker jag att hela frågan är felformulerad – istället borde den ha varit: ”hur informerar vi patienten på bästa sätt?”.
Då hade vårdens arbetsverktyg knappast varit den bästa lösningen utan man skulle jobbat på att ge patienten information i den form och på det sätt som gör det enkelt att ta till sig.
Bortsett från detta så påbörjades under början av 2000-talet i landstingsvärlden projekt med målsättning att tillgängliggöra journalen via nätet.
Observera att detta endast handlar envägskommunikation – att patienten får möjlighet att journalen.
Trots att dessa initiativ pågick bland huvudmännen bestämde Göran Hägglund som socialminister att ett nationellt initiativ skulle inledas för att patientjournaler skulle göras tillgängliga i en tjänst där de kunde användas av tredjeparter efter patientens initiativ.
Jag ser det här som ett utslag av att både e-hälsa och e-förvaltning starkt präglades av att under åren runt decennieskiftet ses som en näringsfråga, d.v.s.
de personuppgifter som myndigheter samlar in ska ses som råvara för privata tjänsteleverantörer.
Do´nt get me started – utrymmer räcker inte till för dra upp alla negativa aspekter av detta… Låt mig istället nöja mig med att detta var en lösning med så många problem inte minst säkerhetsmässigt att den skulle ha lagt sig i byrålådan på ett mycket tidigt stadium.
Nu är det stoppat av Datainspektionen även om eHälsomyndigheten fortsätter att processa stödda av en landets mest exklusiva advokatbyråer till en kostnad på drygt 1,5 miljoner bara 2017 (jag har kollat).
För att summera: det har alltså pågått två parallella projekt utan samordning, så vitt jag kan se, för att överföra information från journal till patienter.
Man har inte i lösningarna tagit höjd för hur behovet att patienten med tillräcklig kvalitet och säkerhet ska kunna föra tillbaka uppgifter till vården – en fråga som i sig är en av grundvalarna i en utvecklad e-hälsa.
Exemplet visar mycket tydligt att det inte finns en gemensam plan, behovsanalys eller medvetenhet om att man bygger en gemensam infrastruktur.
Min erfarenhet från olika sammanhang inom området är det också ofta saknas vilja att ta vara på professionernas intresse av fungerande arbetsverktyg eller etiska krav.
Tråkigt nog tycker jag inte att arbetstagarorganisationerna varit särskilt skickliga på att samla och driva sina medlemmars olika behov, detta är dock bara mer än känslomässig upplevelse från konferensbord och från att ha tagit del av olika debattinlägg.
Trots att alla aktörer med emfas skulle säga att de starkt vurmar för patients intresse kan jag tycka att det är väl lätt att utan fog göra sig till patientens företrädare.
Framför allt är det svårt att hitta insikten i att patienter är vi alla och på samma sätt som vi har väldigt olika syn och intressen i andra frågor har vi det även som patienter.
Ett flagrant exempel på detta är de som ständigt ställer patientsäkerhet mot integritet.
Eller inte erkänner att om en välsituerad grupp använder kommersiella nätläkare för att lindra myggbett så kommer det att inkräkta på andra patienters intressen.
Även här måste finnas en mycket större helhetstanke där e-hälsan sätts i sitt rätta sammanhang.
Slutligen kan jag inte underlåta att gå in på integritetsfrågan och hur det gick när jag försökte begära ut mina personuppgifter från vården.
Även detta är en god illustration av läget.
Först till den juridiska historiken som går att scrolla förbi om man inte är intresserad men den har rätt stor betydelse för det praktiska utlämnandet av personuppgifter.
Enligt den gamla patientjournallagen hade varje vårdgivare ansvar för sin egen journal och om uppgifterna behövdes hos en annan vårdgivare måste vissa mått och steg vidtas.
En ansvarig läkare hos vårdgivare A måste göra en menprövning om det var till men eller gagn för patienten att uppgifterna lämnades ut.
Lämnades uppgifter ut skulle ett journalnotat göras om när, vad och till vem uppgifter lämnats ut och hos vårdgivare B fördes uppgifterna in som ”kopia”.
Hela förfarandet hade fördelar som att det gav mycket god spårbarhet, patienten kunde eventuellt förhindra att information lämnades vidare om man ville skydda sin integritet och det var inte hela journalen som lämnades vidare utan bara relevanta delar.
Jag vill bara påpeka dessa fördelar utan att för den delen behöva anklagas för att vara bakåtsträvare för naturligtvis är detta regler som är svåra att upprätthålla i ett digitalt flöde.
Och, ja, jag är väl medveten om att reglerna inte alltid efterlevdes.
Min poäng är att dessa säkerhetsåtgärder inte ersattes av motsvarande funktioner när patientdatalagen (PDL) infördes.
Mitt intryck efter att ha följt frågan om vårdinformation tämligen ingående sedan 1994 är att det inte ens fanns en ambition att göra det.
Denna min uppfattning stärks när jag läser förarbetena till lagstiftningen.
Jag ser patientdatalagen som ett resultat av mer än ett decenniums påverkanskampanj från olika aktörer med innebörden att säkerhet och integritet inte går att förena med digitaliseringen utan man måste välja.
Valet blev då tämligen enkelt eftersom den tekniska och organisatoriska förändringen redan genomförts.
Resultatet, förutom allt newspeak där dålig säkerhet var bra säkerhet o.s.v., var att i patientdatalagen infördes ”sammanhållen journalföring” som enligt lagens definition betyder: Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.
I och med patientdatalagen ändrades grundprincipen för hanteringen av journaluppgifter från att det tidigare defaultläget var att en vårdgivare inte kunde lämna ut uppgifter utan menprövning till nuvarande defaultläge: att information kan flöda mellan vårdgivare om inte patienten aktivt spärrar utlämnandet.
Ett villkor som satts upp för den sammanhållna journalföringen: Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att andra uppgifter än dem som anges i görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.
En sjuk patient ska alltså ta till sig information om hur informationen kommer att hanteras och dessutom ha kraft genomdriva en spärr om hen bedömer att överföringen olämplig.
Några saker bör särskilt noteras i detta redan orimliga scenario.
För det första innebär direktåtkomsten att vårdgivare 2 får tillgång till vårdinformation hos vårdgivare 1 istället för som tidigare ett journalutdrag över information som bedöms vara relevant för det aktuella sjukdomstillfället.
För det andra förutsätter det att vårdpersonalen hos vårdgivare 1 kan ge upplysningar om hur informationen kommer att hanteras i den sammanhållna journalföringen, vilka som kommer att få tillgång till den exempelvis.
Min visserligen anekdotiska men ändå uppfattning efter att ha frågat ett ganska stort antal anställda i vården finns inte en kunskap inom vården hur informationen hanteras och hur ska då personalen kunna upplysa patienten?
Detta är inte så konstigt för jag tror uppriktigt inte någon idag har kontroll över informationsflödena i vården.
För det tredje lyser ett decennium efter PDL:s ikraftträdande fortfarande möjligheten att faktiskt spärra sin journal med sin frånvaro hos ett stort antal vårdgivare.
I praktiken kan jag inte se att patienten har någon reell möjlighet att vare sig få veta hur den egna vårdinformationen hanteras eller att påverka åtkomsten till den.
Med stöd av den sammanhållna journalföringen har det vuxit fram en vårdinformationsspaghetti där det vad jag kunnat se inte finns vare sig överblick, tydlig styrning eller definierade ansvar.
Detta leder också till att när jag hos min vårdgivare frågar: ”Gör ni journalnotat om vilka samtycken till andra vårdgivare jag givit så att jag kan få en sammanställning över vilka som fått åtkomst till mina uppgifter?” får till svar ” Nej, det finns i dagsläget ingen sådan funktion i COSMIC men detta är under utveckling, det vill säga en samtyckestjänst.
Vi dokumenterar inte i x:s journal andra vårdgivares samtycken, detta är var och ens eget ansvar.
När någon inhämtar ett samtycke i COSMIC så genererar detta en logg samt en referens i journalen.”.
Det vill säga att den vårdgivare som lämnar ifrån sig informationen noterar inte detta utan patienten förväntas ansvara för spårbarheten.
Jag vände mig då till Inera som ansvarar för tjänsten Nationell Patientöversikt som är en slags växel då vårdinformation förs mellan olika vårdgivare.
På frågan om de kan redovisa vilka som eventuellt tagit del av min vårdinformation svarar de: ”Samtycke måste alltid inhämtas av den vårdgivare som ska ta del av din information i NPÖ.
Samtycket ska registreras i det lokala journalsystemet hos den aktuella vårdgivaren.
Det tekniska samtycket loggas i den nationella säkerhetstjänsten som förvaltas av Inera.
Det finns ingen dokumentation från journalinformation och inte heller någon information om varför samtycket har inhämtats.” Deras uppfattning är alltså att de endast har ”tekniska loggar” och att jag fortfarande själv måste hålla reda på mina samtycken trots digitaliseringen.
Det framgår också att de anser att de tekniska loggarna inte är att betrakta som personuppgifter.
Jag har valt att inte fördjupa mig ytterligare i detta men hoppas att andra tar upp den tråden.
Sammantaget skulle jag vilja säga att detta rimmar rätt illa med dataskyddsförordningens krav.
Min egentliga poäng med att försöka beskriva att oreda, de oklara ansvarsförhållandena och bristande överblick är att detta naturligtvis inte bara påverkar patientens möjlighet till personlig integritet.
I ännu högre grad påverkas effektivitet, patientsäkerheten och möjligheten att upprätthålla verksamheten vid större störningar.Särskilt bekymmersamt är det oklara ansvaret som även andra Vad blir då kontentan av allt detta?
Jag tror faktiskt inte huvudfrågan är huruvida sjukvården ska förstatligas utan hur den ska styras (även om jag i dagsläget har litet svårt att se exakt vilket värde den regionala politiska styrningen tillför).
Oavsett om det finns 2 eller 200 000 vårdgivare så måste det finnas en stark statlig styrning som då inte enbart omfattar den offentligt finansierade slutenvården som ett förstatligande skulle innebära.
Den nuvarande bristen på styrningen tjänar såvitt jag kan se enbart oseriösa leverantörer på och möjligen de offentliga företrädare som älskar att åka omkring på olika konferenser och framställa sig som visionära.
Situationen där myndigheter processar mot varandra vittnar väl om något om den rådande anarkin.
Om vi inte klarar av att styra digitaliseringen av vården idag så blir tanken på AI och IoT mardrömslik.
Mina förslag är därför att på äktsvenskt maner tillsätta flera rejäla utredningar men med skillnad från de tidigare inte bilägga facit från uppdragsgivaren.
Jag ser framför mig en handfull utredningar inom olika områden men som är starkt koordinerade så att resultaten går att använda.
Viktigt är att ta hänsyn till de mångskiftande intressen som hälso- och sjukvården ska tjäna, inklusive professionernas och forskningens behov på kort och lång sikt.
Inriktningen bör vara att på samma sätt som på 1940-talet bygga en långsiktigt fungerande infrastruktur i bred politisk enighet.
Några förslag (jag tar inte med komplicerade saker som prioriteringar i vården och patienters egentliga intressen): Puh!
Jag vill verkligen inte påstå att jag kommit med de definitiva sanningarna i dessa komplicerade frågor – det finns så många olika sätt att betrakta den svenska e-hälsan.
Säkert har jag missuppfattat eller vantolkat en massa saker.
Mitt enda försvar är att jag efter bästa förmåga försökt måla upp bild av e-hälsa.
Förhoppningsvis kan dessa långa inlägg stimulera andra att dela bild av samma frågor.
I maj när dataskyddsförordningen trädde i kraft inledde jag ett test: att genom att ställa frågor om hur mina personuppgifter hanterades i vården ville jag göra en temperaturmätning av den kontroll som vården generellt har över vårdinformationen.
För hälso- och sjukvård innebär (i princip) inte dataskyddsförordningen någon så stor skillnad eftersom både patientdatalagen och PuL redan gett patienten möjlighet att få tillgång till sin information och (i teorin) spärra åtkomsten till sin vårdinformation.
I verkligheten är det och har det sedan patientdatalagen varit svårt för att inte säga omöjligt att få veta hur patientuppgifter hanteras – det är i alla fall min uppfattning som jag ville pröva genom att begära upplysningar om mina egna vårduppgifter med stöd av dataskyddsförordningen.
Svaren på mina frågor var negativa (vilket jag kommer att återkomma till senare) men jag fick underlag rörande dagssituationen inom e-hälsoområdet.
Detta inlägg svävar ut in extremis och handlar om i vilket landskap som digitalisering av vårdinformationen sker.
Jag ska resonera om den bristande styrningen av e-hälsa samt pusta ut orosmoln om informationssäkerhet och det långsiktiga bevarandet av vårdinformationen.
I ett följande inlägg kommer jag att skriva mer om den bakomliggande juridiken.
Först till organisationen av den svenska sjukvården som förvånansvärt många som gör inlägg i e-hälsofrågor inte tycks bottna helt i. Tillåt mig att roa mig med en historisk utflykt.
Den svenska vården är i huvudsak offentligt finansierad via skattemedel.
Det regionala ansvarar för att erbjuda vård inom det egna upptagningsområdet enligt hälsosjukvårdslagen.
Men landstingen och regioner behöver inte själva vara utförare av all vård utan kan även vara privata.
Andelen privata vårdgivare har tillväxt mycket starkt under de senaste 20 åren men strukturen med självständiga landsting som sjukvårdshuvudmän har funnits sedan 1862 (med varierande uppdrag).
Redan här finns underlag för vanliga missuppfattningar om ansvar men också reella problem eftersom de flesta krav i föreskrifter m.m.
riktas mot vårdgivarna och inte sjukvårdshuvudmännen.
När det gäller säkerhet och integritet har dock vårdgivarna inte så stora möjligheter att påverka sin situation trots att de har ansvaret – de tvingas (formellt eller informellt) ofta av sjukvårdshuvudmän, SKL eller myndigheter att använda lösningar oavsett egna säkerhetskrav.
Landstingen är kommuner med en politisk ledning vilket gör att inriktningen för olika landsting och regioner kan variera.
För e-hälsan som av naturliga skäl blir allt mer nationell är detta en ansvarsfördelning som innebär stora problem, inte minst eftersom landstingspolitiker använt rollen för egna, i mitt tycke kortsiktiga, kampanjer.
En misstanke som gror är att e-hälsa används av politiker för att undkomma att diskutera den offentligt finansierade vårdens grundfråga: den nödvändiga prioriteringen.
Det är ett väl känt faktum att det inte finns någon bortre gräns för behovet av vård, det finns hela tiden nya sjukdomar och tillstånd som kan behandlas och definitionen av hälsa kan sättas så högt att inte minsta krämpa blir acceptabel.
Däremot är vårdens resurser begränsade – alltså måste prioriteringar ske.
Detta är den mest laddade av alla frågor för sjukvårdspolitiker eftersom prioriteringar ofelbart kommer att leda till att några patienter blir missnöjda.
Den som tillsattes i slutet av nittiotalet för att ge de lokala politikerna stöd i form av nationella prioriteringslistor släppte också snabbt den glödheta potatisen och lämnande ifrån sig litet allmänna rekommendationer om hur processen för prioriteringar skulle kunna ske .
Min teori är att politiker och högre tjänstemän i vården nu (omedvetet) använder e-hälsa som en dimridå för att undvika frågan om prioriteringar genom att hävda att e-hälsosatsningar skulle kunna leda till enorma effektivitetsvinster (som då underförstått skulle leda till att får den vård de vill ha).
I verkligheten sker en mycket negativ icke-styrd prioritering av sjukvårdsmedel genom bland annat kommersiella nätläkare där en ohelig allians mellan nätläkarnas ekonomiska intresse och människor med lättare krämpor prioriterar upp sig på bekostnad av andra med reella hälsoproblem.
En hårdvinklad beskrivning men ni förstår vad jag menar.
Detta sätter stark press på sjukvårdspolitiker som i vissa fall måste säga nej men hellre säger att e-hälsa kommer att lösa problemen.
Själv är jag positiv till de former av e-hälsa som leder till reella förbättringar men att tro att den ska kunna upphäva den omöjliga ekvationen mellan outtömliga behov och begränsade resurser är en vanföreställning som ansvarsfulla politiker borde göra upp med.
En annan viktig negativ faktor är SKL:s förändrade roll.
SKL driver sina medlemsorganisationers intressen i förhållande gentemot uppdragsgivaren staten, d.v.s.
att man vill att staten ska styra så litet som möjligt (även om det inte uttrycks preeeecis så) vilket ökar på fragmentiseringen ytterligare.
Den tidigare sammanhållande myndigheten Socialstyrelsen som var en beredande motpart för SKL blev sönderslagen för några år sedan.
Uppgifterna är nu fördelade på fyra myndigheter som tillsammans med Läkemedelsverket tycks ha ett tämligen lågintensivt samarbete.
SKL och sjukvårdshuvudmännen agerar som månghövdad maktfaktor utan eget ansvar i det tomrum som skapades när Socialstyrelsen nedmonterades.
Dessutom står e-hälsoområdet under ett starkt kommersiellt intresse, inte bara genom nätläkarna.
Den nära alliansen mellan känns inte helt betryggande för det kommande.
I den tidigare regeringen var två av hälso- och sjukvårdsministerns statssekreterare hämtade från it-leverantörer vilket Dagens samhälle skrev om förra året.
Förväntan på stora vinster inom vården och en kanske alltför nära relation är knappast positiva nyheter för patienter och skattebetalare.
Eftersom jag intresserat mig en hel del för den svenska sjukvårdens historia kan jag inte undgå att fundera över att maktbalansen mellan staten som är uppdragsgivaren och utförarna, d.v.s.
sjukvårdshuvudmännen (regioner och landsting) samt numera SKL, har förskjutits.
Att göra historiska jämförelser är alltid vanskligt men för mig går det inte att motstå frestelsen att försöka analysera varför e-hälsa och digitalisering relativt sett varit så litet framgångsrika samhällsprojekt i förhållande till de resurser som satsat.
Hade det gått att prata fram e-hälsa och digitalisering hade det svenska samhället genomgått ett Civilization-moment där den framgångsrike spelaren lyckas uppfinna elektricitet på 1100-talet.
Men tyvärr räcker det inte med miljontals power point bilder, konferensinlägg, möten, testbäddar och avgränsade dellösningar för att skapa infrastruktur.
I detta delar jag uppfattningen i om floden av åsikter.
Jag tror mig att se några orsaker till det haltande genomförandet av något som trots allt alla varit överens om ska genomföras.
Detta är en situation som i mycket liknar den som rådde från slutet av fyrtiotalet och i ett par decennier framåt då det skedde en så här i efterhand nästan ofattbar mobilisering och utbyggnad av den svenska hälso- och sjukvården.
När jag skrev en historik om den värmländska sjukvården häpnade jag över att landstinget under en tioårsperiod byggde inte mindre än fyra nya sjukhus!
Även om jag är starkt lockad ska jag inte gräva ner mig ytterligare i detta utan bara tacksamt konstatera att den samhälleliga kraftsamling är något som vi nu fortsätter att skörda frukterna av.
Hur kunde man lyckas med denna infrastrukturella revolution?
En första förutsättning var att det fanns en stark politisk enighet om att detta skulle genomföras även från de borgerliga partierna som annars kampanjade för skattesänkningar.
Men till skillnad mot e-hälsoutvecklingen (liksom digitaliseringen i övrigt) nöjde man sig inte med den politiska enigheten utan skapade även de institutionella förutsättningarna (för den som vill läsa mer om institutionella förutsättningar rekommenderar jag verkligen att läsa litet Lennart Lundqvist eller Bo Rothstein) för utbyggnad.
En viktig sådan var att skapa ett mycket genomarbetat kunskapsunderlag att ta ut riktningen ifrån.
I detta var utredningsväsendet mycket betydelsefullt, de utredningsinsatser som gjordes var av mycket hög kvalitet.
Häri ligger en väsentlig skillnad mot de utredningar och kommittéer som levererat förslag inom digitalisering och e-hälsa, jag nöjer mig med att instämma i de synpunkter som framförs i den här .
I utvecklingen fanns en mycket kraftfull och sammanhållande motor i Medicinalstyrelsen, sedermera Socialstyrelsen.
Det är idag nästan svårt att förstå hur inflytelserik myndigheten var och på vilken detaljnivå man styrde sjukvården.
Om vi bara ser till vårdbyggnader fanns det ett regelverk som ner till hur många luftkubik per vårdplats definierade hur sjukhusen skulle byggas.
Varje ritning på ny- eller ombyggnad måste skickas in för godkännande och stränga inspektörer åkte ut och kontrollerade att det som byggts höll måttet.
Landstingen var byggherrar och hade det praktiska ansvaret för byggande och vård men deras intressen samlade ingen front i Landstingsförbundet (en del av SKL:s föregångare tillsammans med Kommunförbundet) utan gick huvudsakligen via riksdagen.
Där fanns det som kallades ”landstingspartiet” eller ”landstingsbänken” där landstingsordförande som nästan undantagslöst även vara riksdagsmän kunde driva sina frågor – ofta i gott samförstånd oavsett partipolitisk tillhörighet.
Även detta var en viktig institutionell förutsättning eftersom det då fanns etablerade och lagfästa former för att lösa intressemotsättningar.
Idag är situationen radikalt annorlunda.
En viktig skillnad är förstås att det kommit in så många privata aktörer men också att när de gamla institutionerna revs ner ersattes de inte av nya som skulle varit verkningsfulla då man anammade new public management som grundfilosofi för den svenska vården.
Jag är för tillfället inne på att försöken att uppnå effektiv digitalisering och e-hälsa är bland de bästa exemplen på hur new public management på ett negativt sätt präglat svensk offentlig sektor.
Resultatet har bland annat blivit att Socialstyrelsen i accelererande takt fråntagits mandat och att sammanhållen utveckling ersatts med fragmentisering.
Intresseorganisationen SKL tycks inte heller längre gå via en beredning på myndighetsnivå utan direkt på regeringen och jag har t.o.m.
läst meningar som att ”regeringen bör SKL i uppdrag …”.
Den geografiska uppdelningen av ansvar var under perioden mindre problematisk än idag eftersom större delen av vårdens uppgifter kunde lösas inom varje landstings hank och stör.
När digitaliseringen tog fart i början av nittiotalet skapades överbryggande strukturer som exempelvis Sjunet och sedermera Carelink.
Nu finns både eHälsomyndigheten och Inera m.fl.
som utan tydlig gemensam strategi eller regelverk grejar i infrastrukturen.
Bortsett från det negativa i att sakna gemensam styrning ser jag det inte heller som problemfritt när digitalisering och e-hälsa blir frikopplade från den kärnverksamhet de ska utgöra stödfunktion för.
En annan aspekt som tycks ha glömts bort är vårdinformationens långsiktiga betydelse både för den enskilda patienten och för forskningen.
För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård.
Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades).
Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman.
Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän.
Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring.
Alla sjukvårdshuvudmän (alltså landsting/regioner) utom en om jag kommer ihåg rätt hade åtagit sig att bevara alla läkarförda journaler för all framtid.
Bakgrunden till detta var den enorma betydelse som den vårdinformation som arkiverats från sjuttonhundratalet och framåt haft för den svenska forskningen.
I PDL är kravet att en journal ska bevaras i minst tio är efter att sista anteckningen förts in i handlingen samt att journaler som allmänna handlingar ska hanteras som sådana.
Det är ungefär vad som stod i patientjournallagen också men nu är kontexten radikalt annorlunda och även innebörden av begreppen – vad är ens en ”handling” i dagens vårdinformation?
Bara den förändringen att betydligt mindre andel av vårdinformationen är allmänna handlingar och därmed kan gallras av den enskilda vårdgivaren är en stor risk.
Vissa sjukvårdshuvudmän har försökt reglera arkivfrågan i avtal med de privata vårdgivarna men detta är knappast tillräckligt.
Redan idag är det som presenteras på skärmen hos en vårdgivare en sammanställning av information ur en rad system och tjänster som kan finnas både inom och utom vårdgivarens organisation.
Detta är bara inledning av en utveckling där informationshanteringen kommer att bli organisatoriskt och tekniskt allt mer komplex.
För att bevara denna gigantiska informationsmassa för framtiden för att kunna serva patienter som envisas med att leva i bortåt ett sekel och för att kunna ge underlag för livsviktig forskning räcker det inte med att litet svävande beskriva ”e-arkiv”.
För mig är detta en mycket bekymmersam fråga och det förvånar mig att varken Riksarkivet eller de utredningar som genomförts gällande registerforskningen intresserat sig för detta.
Så här i slutet av litanian vill jag inte på något sätt hävda att vi kan använda gårdagens lösningar idag.
Däremot tror jag att det finns mycket att vinna på att ha ett historiskt perspektiv.
I detta fall vill jag lyfta fram behovet av kvalitativa kunskapsunderlag som är parlamentariskt förankrade, en långsiktig väl definierad inriktning, institutionella förutsättningar anpassade efter aktuell situation och en sammanhållande kraft med mandat att genomdriva beslutade lösningar.
Framför allt tror jag att vi måste erkänna att det finns intressemotsättningar och lyfta fram dem i ljuset för att kunna diskutera hur de ska lösas.
Ofta framhålls svårigheten med den geografiska uppdelningen, minst lika stor är den som handlar om de inte helt kompatibla intressena privata utförare och den offentliga finansieringen.
Hur dessa intressen ska balanseras mot varandra har hittills varit en icke-fråga i e-hälsosammanhang.
Det har vi inte råd att låta den fortsätta vara.
Om vi ska klara upprätthålla den väsentliga del i välfärdssamhället som den offentligt finansierade sjukvården utgör och dessutom införa dataskyddsförordning, NIS-direktiv, civil beredskap och allt annat så måste vi ändra bilden av e-hälsa.
Det handlar inte om att släppa ner litet slumpmässiga tekniska lösningar (gärna efter påtryckning av olika leverantörer) utan att se att det kräver samma mobilisering, organisation och koordinering som då sjukvården byggdes ut under efterkrigstiden.
Och glöm inte forskningen!

Riktlinje informationssäkerhet Anvisning för informationsklassicering Anvisning för informations- och it-säkerhet för medarbetare Stärkt samordning av de frågor som påverkar vården i regeringskansliet och en stärkt roll för Socialstyrelsen som sammanhållande kraft i vården och beställare av it-lösningar hos e-Hälsomyndigheten, SKL m.fl.
Hur en gemensam infrastruktur ska kunna byggas upp i konkreta termer och ansvarsförhållandena för detta En ny patientdatalag som lever upp till dagens många olika behov och som inte genar när det blir svårt.
En arkivlag som kan tillgodse kravet på att bevara den gemensamma informationsinfrastruktur som uppstår inom bland annat e-hälsa.
I en ny arkivlag bör finnas utrymme för att fatta beslut om bevaranderegler även för andra än statliga myndigheter, t.ex.
ett krav på att viss vårdinformation ska bevaras för all framtid oavsett vårdgivare.
SKL:s roll med övervägande om liknande krav på öppenhet som gäller de ingående sjukvårdshuvudmännen.
Frågan bör ställas om SKL över huvud taget har de institutionella förutsättningarna att leverera gemensamma e-tjänster eller om detta istället bör ske av myndigheter Utred möjligheten att införa en lösning liknande den norska Normenden svenska vården.
Detta drev jag med klent gehör när jag jobbade på MSB men det är aldrig fel att vädra gamla käpphästar.
MSB måste våga överge sin beröringsskräck för verkligheten och kunna ge faktiskt stöd till bland annat vården.
Hur e-hälsan systematiskt ska utvärderas och vem som ska utföra det.

OFFENTLIGHET 16 § på vilket sätt läsa alla all en sina sjukvårdsvårdshuvudmännen vårdgivare alla

Jag har alltid haft svårt för den oreflekterade gruppkänslan, när tillhörigheten till en grupp blir så viktig för ens (yrkes)identitet att det skuggar tankens klarhet.
Tyvärr tycker jag att säkerhetsbranschen ofta drabbas en överdriven gruppkänsla som leder till ett grupptänk och inte minst av en oförståelse för hur det ser ut i ”verkligheten”.
Att predika för kören, d.v.s.
för andra säkerhetsmänniskor, är enklare än att öppet diskutera säkerhetsfrågor med människor som har andra och kanske viktigare prioriteringar än säkerhet.
Själv måste jag erkänna att jag grips av en skamkänsla över att erbjuda lösningar som tar så mycket tid från kärnverksamheten, dessutom med oklart resultat.
Trots att säkerhetsbranschen av tradition är högerlutande, vilket i normala fall skulle leda till ett ifrågasättande av byråkrati, krångel, förmynderi och slöseri med skattemedel, så godtas orimligt insatskrävande säkerhetsåtgärder i just skattefinansierade verksamheter.
Ganska hemmablint kan man tycka.
Låt mig bara ta några exempel.
I Sverige finns runt grundskolor.
Såsom praxis och stöd är utformade ska då informationsklassning genomföras om inte i samtliga grundskolor så åtminstone per förvaltning eller grundskoleområde, gärna med stöd av SKR:s KLASSA.
Många kommuner väljer dessutom att ta in konsulter för att genomföra klassningarna med KLASSA för dyra pengar och utan att den så viktiga dialogen uppstår mellan verksamhet och informationssäkerhetsansvarig.
Åtgärderna som levereras ur KLASSA är inte i de flesta fall konkreta utan snarare på en nivå som kräver en egen utredning för framtagning av åtgärder hos kommunen som använder verktyget.
För mig känns det som en mycket dyrbar metod som ger ett resultat som i bästa fall är tveksamt.
Som jag tidigare betraktar jag inte det som ett sätt att effektivisera säkerhetsarbetet och föreslår andra möjligheter.
Några andra som inte är så ängsliga för att ta säkerhetsresurser i anspråk är MSB.
Myndigheten har nu tagit fram en egen som såvitt jag kan se inte har något vetenskapligt stöd (däremot en närmast rörande metodbeskrivning med formel och allt).
Det framgår inte heller varför man inte tydligare anslutit till ISO 27004 som visserligen nämns men lämnar få spår i utformningen.
MSB har gått så långt att man skrivit in ISO 27001/27002 i sin föreskrift för statliga myndigheter så det skulle känts rätt logiskt att man då gått all in i standardfamiljen även då det gäller uppföljning.
Rapporten är ett svar på ett regeringsuppdrag: Detta skulle kunna tolkas som något som liknar frivillig tillsyn eller revision men istället har MSB knåpat ihop något som enligt min bedömning (jag har ändå rätt många år i mätbranschen) kommer att ta avsevärd tid att hantera för de organisationer som väljer att delta utan egentlig nytta.
Ja, visst får ledningen en överblick men även den som är mest besatt av mantrat ”ledningens genomgång” måste någon gång landa i att det är praktiska åtgärder som måste vidtas för att förbättra säkerheten – det räcker inte att rapportera aldrig så mycket.
Jag vet hur betvingande det är med spindeldiagram, jag har stått inför otaliga ledningsgrupper och showat med gott resultat, men det som gav verklig nytta var något annat.
Det var de insatser vi lade ner på att skriva detaljerade rekommendationer noggrant anpassade efter den specifika organisationens förutsättningar och risker.
Efter att ha läst MSB:s rapport kan jag inte förstå hur denna typ av frågeställningar öht ska kunna besvaras och vad eventuella svar skulle kunna ha för kvalitet: Hur räknar man ens procent på åtgärder?
Är åtgärden att sätt lås på ett dokumentskåp lika mycket värd som att ändra backup-rutiner liksom?
Måste åtgärderna att ha varit fullständigt genomförda för att räknas eller räcker det att de är påbörjade?
Om det endast fullständigt genomförda åtgärder som ingår kommer då organisationen att prioritera kortsiktiga åtgärder och välja bort de som tar lång tid men som kanske har större betydelse för säkerheten?
Att med så många grundläggande osäkerhet försöka tillämpa en formel som denna ger mig ett intryck av ett helt verklighetsfrämmande projekt.
Ett tredje ack så resurskrävande villospår är de externa revisioner som många organisationer väljer att göra.
Det är ett enkelt men kostsamt beslut att ta för ledningen.
Och när man ser på leveranserna från inte minst större välrenommerade företag blir man ofta beklämd.
Rapporterna, som inte sällan kommer i power point-format, är så uppenbart standardrekommendationer som av juniora konsulter klippts samman till något som inte är anpassat till kundens verksamhet och i vissa fall inte ens till svensk kontext.
Hur svårtolkade (en eufemism) rapporterna kan vara tyder den absurda upplevelse som jag stött på när ett revisionsbolag anlitas för att uttolka ett annat revisionsbolags rapport och försöka göra om den till något som liknar förslag på begripliga åtgärder.
Och nej, det blev inte så mycket begripligare i nästa led.
Trots den bristande kvaliteten i många revisionsrapporter får de orimligt stor betydelse i många organisationer.
Ledningar tar dem på stort allvar och tycker sig ha fått ett underlag både för den så omtalade ”benchmarketingen” och för att att kunna vidta rätt säkerhetsåtgärder.
Det är inte så konstigt; ledningen tycker sig ha betalat dyrt för att få en professionell genomgång av ett område som man själv i de flesta fall är dåligt insatt i. Att ställa kritiska frågor är inte aktuellt, särskilt om det skulle kunna avslöja ens egen bristande kunskap.
Vid ett inte oväsentligt antal tillfällen har jag tyckt när jag läst rapporterna att de varit mer eller mindre vilseledande när det gäller vilka åtgärder som rekommenderas.
Eftersom de som utfört revisionen på ett industriellt sätt inte haft möjlighet att sätta sig in i kundens förutsättningar kan fokuseringen på de prefabricerade åtgärderna leda till både dubbelarbete när vissa element faktiskt redan finns på plats men under annan benämning än revisionsbolagets och till att väsentliga risker missas.
Dessutom är hänsyn sällan tagen till beroendeförhållandet mellan olika åtgärder, något som kan göra att kundens åtgärdsarbete blir alldeles i onödan ineffektivt.
Ibland betonar revisorerna väldigt specifika åtgärder som den som arbetar med säkerhet i organisationen vet att man redan klarat av på annat sätt eller att avsaknaden av åtgärden innebär en mycket liten risk.
Detta går dock inte fram till ledningen som sätter en större tillit till den ytliga granskningen än till den egna personalens bedömningar – onödig kraft läggs då på att checka av åtgärdsförslagen istället för på att reducera verkliga risker.
Säkerhetsarbetet kan därmed snedvridas på avgörande sätt för lång tid fram över.
Detta är bara tre exempel, det finns många fler metoder och krav som kan ses som på det hela taget tämligen improduktiva.
Det är naturligtvis inte en slump att compliance och rapportering är så populärt.
Det är betydligt lättare att ”granska” än att skapa fungerande säkerhetsåtgärder – tro mig, jag har varit på båda sidorna.
Ibland skulle jag vilja gå så långt som att det borde vara förbjudet föreslå metoder och åtgärder för den som inte själv stått i det praktiska slitet att försöka förbättra säkerheten i en faktiskt existerande organisation.
Det är först då en djupare förståelse för hur komplicerat det är att förbättra den verkliga säkerheten, inte bara den som finns i kolumner och poängsättning.
Säkerhetsbranschen har anammat synsätten som leder till största nackdelen med NPM med oklara rambeskrivningar, mätningar och rapporteringar en masse.
Trots att aktörerna i branschen som sagt ofta i andra sammanhang klagar på administration tycks man blind för den negativa byråkrati man själv skapar och som äter upp resurserna som skulle gjort så mycket större nytta i kärnverksamheten.
Informationssäkerhetskraven såsom de ser ut idag trängs med likartade strukturer för hållbarhet, miljö, jämställdhet, ekonomi m.m.
som alla är viktiga men samtidigt tar kraft från det egentliga uppdraget.
Det är tyvärr inte så stor risk att vi råkar ut för något ansvarsutkrävande men vi borde verkligen se oss i spegeln och ställa frågan om vi är närande eller tärande.
Sannolikt mest det senare vilket borde sporra oss till att tänka på att varje timme vi tvingar alternativt uppmuntrar andra till att lägga på att svara på frågor och rapportera tas från en sjuksköterska eller lärare eller någon som producerar något vettigt.
Tre rapporter rörande obligatorisk incidentrapportering har kommit sedan årsskiftet: två från MSB och en från IMY (Integritetsskyddsmyndigheten).
Spännande läsning men säger rapporterna något väsentligt som jag kan dra nytta av i mitt säkerhetsarbete?
Under senare år har det nationella och även europeiska säkerhetsarbetet präglats av en klockarkärlek till obligatorisk inrapportering av incidenter.
Själv känner jag mig mer ambivalent.
Å ena sidan kan det tyckas som en självklarhet att det ska finnas en nationell lägesbild över vad som händer både för det akuta läget men även för att dra nytta av erfarenheterna som det brukar heta.
Å andra sidan är incidentrapportering en aktivitet som rusar i komplexitet när man bara börjar skrapa på ytan, det räcker att försöka rigga en fungerande process i den egna organisationen för att inse det.
Se bara den enkla processbeskrivning jag tagit fram som stöd för den enskilda organsiationer: Tyvärr måste jag medge att jag inte är alldeles övertygad om att kvantitativa insamlingar av något så komplext som incidenter är det bästa sättet att bringa klarhet i vilka verksamhetsstörningar och andra typer av realiserade hot som kan kopplas till it-incidenter (vilket är det som MSB och NIS-direktivet fokuserar på).
Förutom att det tynger de inrapporterande verksamheterna i kritiska faser undrar jag generellt om kvaliteten på rapporteringen och vilken säkerhetshöjande effekt den har.
Generellt är det ett problem att det saknas systematik i det nationella säkerhetsarbetet.
I myndigheter, kommuner, regioner och företag försöker vi få till en PDCA-snurra med ett tydligt C men i de nationella satsningarna för att stödja säkerhetsarbetet tycks inte utvärdering ses som ett nödvändigt steg.
För att ta ett par exempel så har jag frågat MSB om vilken utvärdering som skett av det s.k.
Metodstödet som ligger ute Informationssäkerhet.se och vilken säkerhetshöjande effekt det haft samt ställt samma typ av fråga till SKR angående KLASSA.
I båda fallen var svaret att man inte genomfört någon utvärdering och några planer i den riktningen nämndes inte heller.
Det finns en risk att mycket blir vad jag brukar kalla ”religiös säkerhet”, d.v.s.
åtgärder som vidtas i god tro men där det krävs just tro istället för evidens för att se resultaten.
Ofta handlar det om det som jag redan skrivit om som Graeberskt: när arbetet stannar vid dokument som skrivs, mallar som fylls i, enkäter som besvaras och engångsutbildningar som inte leder till någon djupare kunskap.
När en kommun glatt skriver om att deras styrande dokument blivit ”godkända” av tillsynsmyndigheten men att man inte tittat på hur det faktiskt ser ut i verkligheten tycker jag mig leva i Graebers värld av BS jobs.
Det finns en risk att nationell incidentrapportering blivit så populär just för att den kan röra sig i denna värld.
Vad kommer man då fram till i rapporterna?
För att få litet grepp om frågan har jag gjort en sammanställning av 2020 års inrapporterade incidenter: Jag ska nu framföra den något inopportuna åsikten att det dokumenteras för litet i organisationerna.
Inopportun eftersom vi fortfarande lever i en tid med oändlig övertro på fragmentiserade mätvärden, checklistor, matriser och inkodande, väl skildrat .
Huvudsak blir bisak och frågan är allt oftare för vems skull allt detta registrerande sker, kanske inte för patienten eller eleven utan för att försörja något multinationellt företags omätliga begär efter data?
Det är inte denna typ av dokumentation jag skriver om här utan snarare när matriser ersätter resonemang och utvecklade bedömningar.
För att ta informationssäkerhetsområdet som ett exempel ser jag som regel snarare än undantag informationsklassningar och riskanalyser vars värde kan ifrågasättas, särskilt i det längre perspektivet.
Det som återstår efter timmar av nedlagd arbetstid och noggrann analys är alltför ofta en matris eller ett excel-ark utan förklaringar.
Deltagare eller roller som ingått framgår inte och inte heller hur resultatet ska hanteras.
Men mest saknas på vilka grunder bedömningen gjorts.
Att arbeta på det här sättet är som att skriva i vatten.
Skrivandet, när det sker på ett beständigt sätt, är i sig ett stöd för tanken.
Medan man skriver formulerar man sina tankar, utvecklar och förtydligar, hittar svagheter, gör synteser och lägger grunden för kommunikation.
Man skapar förutsättningar för en diskussion som vaskar fram de bästa praktiska lösningarna.
Både informationsklassningar och riskanalyser ska naturligtvis ske återkommande.
En väl dokumenterad tidigare klassning eller riskanalys är ovärderligt stöd då proceduren ska upprepas.
Istället för att börja från noll kan man gå igenom vilka faktorer som kvarstår eller ändrats, om man fått fördjupad kunskap som påverkar bedömningarna, om åtgärder vidtagits som påverkar risken eller om lagstiftning tillkommit för att ta några exempel.
Utan bra dokumentation kommer inte ens de som deltagit i den förra övningen hur diskussionen gick, än mindre de som kommer till.
Att det organisatoriska minnet skapar effektivitet är en sak.
Ytterligare en är att dokumentationens syfte inte enbart är att kommunicera utan det är också ett sätt att aggregera kunskap inte bara i enstaka situationer utan genom att skapa ett större kunskapsunderlag som kan återanvändas i nya situationer.
Detta bör även ses som en del i organisationens generella riskarbete.
Det skrivna ordet är vår kapsel för kunskap vilket även går att översätta till mänsklighetens utveckling.
Låt mig ta ett sista argument för bättre dokumentation och organisatoriskt minne, nämligen att det är verktyg för att skapa ett sammanhang för de som arbetar i organisationen.
En fullödig dokumentation lägger fram de rationella skälen till gjorda bedömningar och motiverar i förlängningen säkerhetsåtgärder.
Detta leder till en positiv säkerhetskultur kan växa fram där det är naturligt att samtala om säkerhet och där det är tillåtet att ifrågasätta säkerhetsbedömningar.
Den som arbetar med säkerhet behöver inte känna sig pressad och defensiv när någon frågar varför ett visst tillvägagångssätt ska tillämpas eftersom det finns mer än siffra att bygga sin motiverande argumentation på.
KASAM, känslan av sammanhang, var ett begrepp som myntades av sociologen Se alltså detta inlägg som en plädering för att skriva bättre och läsa mer.
Den som känner sig osäker i sitt skrivande måste få öva, öva, öva och att skriva bra bör uppvärderas och ses som en omistlig kompetens för den som arbetar med informationssäkerhet.
Teknikhistoria är ett fascinerande ämne som jag ägnat mycket intresse genom åren och då alldeles särskilt samspelet mellan teknik, samhällsutveckling och ekonomi.
Frågor som varför vissa tekniska uppfinningar blir innovationer medan andra inte gör det och de institutionella förutsättningar som gör att teknik leder till positiv samhällsutveckling är ganska grundligt beforskade.
En underbar populärvetenskaplig bok på detta tema är Wolfgang Schivelbuschs som jag rekommenderar alla som vill skapa sig en hälsosam distans till det utmattande nuet.
Det är med denna bakgrund som den svenska förvaltningens digitalisering ständigt förvånar mig eftersom dess genomförande tycks strida mot det som framkommit som framgångsfaktorer för införande av ny teknik.
Istället för att bygga gemensam infrastruktur och institutionella förutsättningar har svenska myndigheter och regioner/landsting ägnat sin energi åt någon slags känslomässig påverkan.
Vad är då budskapet i denna känslomässiga kommunikation?
Så här ser de mest förekommande implicita och explicita budskap ut.
Det övergripande budskapet att det finns ett stort antal ludditer som är passionerat motverkar digitalisering och som måste övertygas om att digitalisering är BRA.
Efter noggrant begrundande kan jag inte erinra mig en enda person som varit emot digitalisering, däremot många som varit emot dålig digitalisering.
Det hindrar inte att det förekommer en ständig underström av halmdockor (läs mer om det klassiska fula argumentationsfelet ) när digitalisering diskuteras.
Dessa figurer som med lock och pock måste forceras att överge papper och penna är del i en ganska bra härskarteknik eftersom den som låtsas som att dessa finns då själv framstår som en ljusbringare som står för det ”moderna”.
Och det är något som i svenska sammanhang vördas så är det det moderna, så har det varit sedan 1800-talet, oavsett vad moderniteten stått för.
Det uppenbart ologiska i att hävda att populasen är teknikfientliga bakåtsträvare på jobbet eller när de ska använda offentliga e-tjänster när de samtidigt på sin fritid har olika kommersiella e-tjänster som sina närmaste livskamrater tycks inte störa.
Nästa centrala budskap är att digitalisering per definition är bra vilket leder till den underförstådda tesen att digitalisering är bra.
Som följd av detta görs ingen skillnad mellan bra och dålig digitalisering trots att alla känner till minst fem misslyckade digitaliseringsprojekt i sin närhet.
Att det inte får finnas dåliga digitaliseringsprojekt till en dubbelriktad kultur av icke-existerande uppföljning och erfarenhetsåtervinning; eftersom det inte görs någon uppföljning kan dålig digitalisering inte påvisas.
Jag tittar in på webbplatserna för två centrala aktörer för den offentliga sektorns digitalisering, eSam och SKL, för att se hur man hanterar utvärderingsfrågan.
eSam har gett ut ett antal vägledningar och metodbeskrivningar för digital samverkan (a.k.a.
ta fram digitala lösningar) i alla möjliga skärningar men vad jag kan se har inte uppföljning och utvärdering förlänats något eget metodstöd.
I den 84-sidiga för behovsdriven utveckling finns visserligen dessa rader med: Efter varje införande bör det genomföras en utvärdering för att ta vara på erfarenheter om vad som gick bra respektive mindre bra i behovsinsamling, planering, metodval, samarbete samt hur resultaten mottogs.
Infriade tjänsten de förhoppningar verksamheten och målgruppen tänkt sig?
men i ett systematiskt arbete förväntar man sig ett något större intresse för frågan.
SKL, som får ses som ett epicentrum för den vingliga offentliga digitaliseringen, förvånar mig positivt genom att erbjuda verktyg för uppföljning exempelvis och så kallade LIKA-värderingar som den för socialtjänst.
Tyvärr visar sig dessa undersökningar vara mognadsundersökningar av i vilken omfattning man lyckats digitalisera, d.v.s.
det handlar inte om att utvärdera hur väl digitaliseringen fungerar.
Ointresset för utvärdering är paradoxalt sett i ljuset av att digilisatörerna gärna vill tala om digitalt ledarskap och vikten av styrning samt nyttorealisering (nej, det är ingen idé ni går till den vägledningen för nyttorealisering för den innehåller inget substantiellt om uppföljning).
För att kunna leda, styra och nyttorealisera i verklig bemärkelse måste man arbeta systematiskt med att utvärdera gjorda satsningar ur ett antal aspekter som ekonomi och effektivitet.
Förhållningssättet att arbeta utan systematik är menar jag en av de mest grundläggande orsakerna till att det offentliga Sveriges digitalisering inte alls når den nivå som skulle kunna förväntas med tanke på de investeringar som gjorts.
Att den svenska digitaliseringen kraftigt underpresterar är ett faktum som det nu tycks råda konsensus om även från internationella bedömare som OECD.
Orsakerna till detta borde vara synnerligen intressanta att identifiera och då inte bara genom att komma dragande med gamla kära bortförklaringar som att juridiken inte är anpassad till digitaliseringen.
Kraften i det argumentet är ju inte heller så övertygande då till exempelvis sjukvårdshuvudmän och vårdgivare högaktningsfullt struntar i viss lagstiftning som man finner obekväm.
Det går inte att argumentera för digitalisering med rationella argument, tråkiga och genomarbetade analyser eller krassa ekonomiska beräkningar.
Istället sker kommunikationen med ett överflöd av uttalande av den här typen: Eftersom dessa uttalande inte går att vare sig be- eller vederlägga befinner vi oss i en situation där ledande aktörer inom digitaliseringsetablissemanget ständigt vädjar till våra känslor istället för att föra en dialog grundad i sakfrågor.
Här uppstår tror jag den olyckliga pepp-cirkelargumentationen där utomstående inte kan delta eftersom ramen för deltagandet är satt; bara de som accepterar pepp-läget kan ingå, de som efterfrågar rationalitet, siffror och nytta uppfattas som fientligt inställda och görs mer eller mindre förfinat till icke-deltagare och i värsta fall till halmdockan ”motståndare till digitalisering”.
Att det finns ett digitaliseringsetablissemang (precis som det finns ett informationssäkerhetsetablissemang) som har mycket att försvara blir ganska uppenbart vid minsta lilla glutt in på LinkedIn.
Det vore kul att se ett sociogram över det ganska begränsade antal människor som genom åren konfererat med varandra, gett varandra komplimanger, titlar, priser och positioner.
Man har skapar myndigheter, kommittéer, kommissioner och råd för att underlätta digitaliseringen, oundgängliga roller som regeringens CDO och kommunala digitaliseringsstrateger och peppat varandra på karnevaler och festivaler (det sista var kanske en liten överdrift…).
Digitaliseringen har beskrivits som det största tekniksprånget i historien (jag skulle nog snarare hävda ångmaskinen eller elektriciteten) och som lösningen på flertalet svåra samhällsproblem.
Den arma fackutbildade personalen i välfärdssektorn har fått finna sig att bli mästrade av allehanda ”evangelister” utan definierad kompetens givits utrymme att predika.
Helt olika räknesätt har tillämpats i de kommunala ekonomierna där lärplattformar för bortåt en halv miljard kunnat prioriteras samtidigt med kraftiga nedskärningar på personalen.
Under senare tid har jag alltmer kommit att grubbla över hur den privata sektorn kunnat genomföra sin digitalisering utan detta etablissemang och överbyggnad.
Jag tror att det är dags för ett paradigmskifte inom den offentliga digitaliseringen i Sverige.
Det är inte fel på förutsättningar, ekonomi eller teknik i första hand utan på den metafysik som omger digitaliseringssträvandena, alltså de föreställningar som finns om digitaliseringen och det sammanhang som de digitala lösningarna ska fungera i. Som samhällsmedborgare skulle jag önska att digitaliseringsetablissemanget tar ett steg tillbaka och med viss självkritik granskar sina argument för att kunna börja tillämpa mer kvalitativ och effektiva arbetssätt.
Det vill säga mindre marknadsföring och mera hantverk, mindre känslor och mera strukturellt tänkande, färre halmdockor och fler verkliga läkare och lärare, färre evangelister och flera ingenjörer i vid bemärkelse, mindre digitala lösningar i sig och mer intresse för de resultat som digitaliseringen ger.
Framför allt önskar jag viljan och förmågan till ett normalt kritiskt förhållningssätt till digitalisering.
Ett stöd för denna typ av reflektioner kan vara följande över vanliga villfarelser.
Särskilt rekommenderar jag närstudier av följande bias: sunk cost fallacy, dunning kruger effect, back fire effect, self serving bias och group think.
Det har knappast gått någon förbi att det under några år nu rasar in nya eller nygamla regleringar gäller olika aspekter av informationssäkerhet: dataskyddsförordningen, lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet), ny säkerhetsskyddslag och sedan litet civilt försvar på det.
Samtliga av ovanstående regleringar ”drabbar” primärkommunerna.
En egenhet för primärkommunerna generellt är att kravbördan inom alla områden drabbar samtliga kommuner lika hårt oavsett om de har 4000 invånare eller 900 000.
Detsamma gäller för ovan nämnda nya lagar.
Kommunerna har den, vid sidan om sjukvården, mest komplexa kravbilden på informationssäkerhet i samhället redan från början i kombination med att flertalet av små och medelstora kommuner alltför ofta helt eller delvis saknar den kompetens som behövs för att hantera situationen.
För att uppnå målbilden; ett säkrare Sverige, behöver de ansvariga myndigheterna därmed anstränga sig till det yttersta för att ge ett stöd som fungerar till kommunerna.
Att inta en hållning av typen ”det är deras eget ansvar” är helt meningslöst och kontraproduktivt eftersom det objektivt sett saknas förutsättningar för att de skulle kunna lyckas med det.
Ytterligare en aktör i detta är SKL som under senare påtagit sig ett allt större operativt ansvar i frågor bland annat av denna typ.
Nu är det alltså litet upp till bevis-läge.
Jag ska därför göra en liten kontrollrunda för att se vilken information och stöd Söpple kommun kan räkna med när det gäller NIS och därefter göra en sequel om säkerhetsskyddslagen.
Först en kort bakgrund.
NIS-direktivet antogs av Europaparlamentet 2016 och den svenska lag som följden av detta, lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, trädde med tillhörande förordning i kraft 1 augusti 2018.
Målsättningen med direktivet och följaktligen med lagen är att hög gemensam nivå på säkerhet i nätverk och informationssystem.
Lagstiftningen är inriktad på de nätverk och informationssystem som stödjer samhällsviktiga tjänster i sju sektorer (energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten, digital infrastruktur) samt i digitala tjänster.
Det är inte i en begreppsvärld klar som ett vårregn vi rör oss i här vilket gör att jag hänvisar den intresserade till definitionerna i lag och förordning för att själv bilda sig en uppfattning om den exakta betydelsen i begreppen.
Viktig avgränsning är att lagen inte gäller för verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen.
Däremot gäller den för både offentlig och privat verksamhet.
För att uppnå bättre säkerhet är de främst två krav lagen riktar in sig på.
För det första ska leverantörerna av samhällsviktiga tjänster bedriva einklusive riskanalyser och incidenthantering.
Av någon anledning betonas det särskilt att man också ska vidta åtgärder för att reducera de risker man upptäcker(!).
Man skulle kunna tycka att det är en ganska självklar del i emen lagstiftaren känner ändå att detta måste påpekas.
För det andra är det universalmedlet incidentrapportering som jag i förtroende vill meddela att jag tror är tecknet på att det offentliga säkerhetsarbetet har fastnat i en NPM-fälla.
Det vill säga att tvinga ett antal decentraliserade verksamheter att rapportera in uppgifter som man inte sedan vet vad man ska göra med.
Lagen innehåller också nyheten att leverantörerna av samhällsviktiga och digitala tjänster ska tillsynas vilket i sin tur bygger på att de som lagen berör själva ska anmäla sig till tillsynsmyndigheten.
Om så inte sker, om man inte vidtar korrekta säkerhetsåtgärder eller inte rapporterar incidenter kan en sanktionsavgift tas ut av tillsynsmyndigheten.
Efter dataskyddsförordningen kan ordet ”sanktionsavgift” väcka viss panik men i lagen om informationssäkerhet för samhällsviktiga och digitala tjänster sägs En sanktionsavgift ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor.
10 miljoner kan ju vara skrämmande för en liten kommun men för en större organisation kan det som en summa värd att gambla med.
Vad som är skrämmande är att det inte är en tillsynsmyndighet utan sex förutom MSB: Sammanfattningsvis är min bedömning att det är minst lika omfattande krav som ställs i den här lagen som i dataskyddsförordningen.
Att bedriva ett systematiskt och riskbaseratär en mycket komplex uppgift som de statliga myndigheterna inte lyckas leva upp på något särskilt övertygande sätt trots att kravet funnits i föreskrift i snart ett decennium.
Nu vidgas kretsen som skulle uppfylla den målbilden till även kommuner och landsting vilkas möjlighet att realisera den är långt, långt sämre än de statliga myndigheternas.
Och så till ett stort antal företag som kommer att ta in kravet i sin affärsplanering och vara extremt intresserade av att förstå exakt vad som krävs eftersom säkerhet kostar.
Missförstå mig rätt.
Jag är den första att hävda nödvändigheten av att bedriva eoch då särskilt i kommuner och landsting.
Hur starkt jag än uttrycker den övertygelsen framstår det som ett understatement.
Men för att uppnå detta måste man förstå förutsättningarna.
Jag ska därför här göra ett litet tankeexperiment för att försöka förstå hur den nya lagstiftningen landar i en medelstor kommun som vi kan kalla Söpple kommun.
En första observation är när vi tittar på de obligatoriska uppgifterna för en kommun är att Söpple kommun kommer att få fem tillsynsmyndigheter: Energimyndigheten eftersom man har ett kommunalt elbolag, Transportstyrelsen eftersom man har kommunal kollektivtrafik, IVO eftersom man bedriver hälso- och sjukvård bland annat inom äldrevården, Livsmedelsverket eftersom man producerar och levererar dricksvatten och PTS eftersom man har ett stadsnät (jag har inte här gjort någon skillnad på om det är kommunala bolag).
Söpple kommun måste alltså vara beredda på att dessa fem olika myndigheter kan komma på tillsynsbesök.
Vilka förutsättningar har då Söpple kommun som med sina 24 000 invånare kan sägas vara en normalstor kommun.
I kommunen finns ingen informationssäkerhetsansvarig utan frågan ligger under it vilket också är normalt men olyckligt.
Man har påbörjat en sondering med två grannkommuner för att gemensamt kunna inrätta en tjänst som informationssäkerhetssamordnare vilket suttit hårt åt eftersom varje utgift ställs mot personal i äldreomsorgen.
Tyvärr har man redan insett att även om man lyckas få beslut om medel för en sådan tjänst kommer det att bli extremt svårt att hitta en sökande som både har kompetens och är villig att flytta till Söpple.
Sannolikheten för att hitta någon i kommunen är mycket låg, det finns inga utbildningar för att snabbt utbilda en redan anställd och de som finns på marknaden kan definitivt få bättre betalt än i kommunal verksamhet.
Jag vill bara här återigen understryka att informationssäkerhet i en kommun är på en svårighetsgrad som få informationssäkerhetsansvariga i statlig verksamhet någonsin råkar ut för så är det någonstans kompetens verkligen behövs så är det i kommunerna.
Både tjänstemannaledningen och den politiska ledningen i Söpple kommun är yrvakna.
De har inte hört talas om något NIS-direktiv och har precis tagits sig igenom pärsen med dataskyddsförordningen.
Min hypotes om okunskapen i Söpple bygger jag på att det är just det förhållande som jag stött på när jag varit i kontakt med ett stort antal kommunala företrädare.
För att göra en bedömning om varför beredskapen inför NIS är så låg så gjorde jag i förra veckan en rundvandring på MSB:s och de övriga tillsynsmyndigheternas samt SKL:s webbplatser för att se vilken information som fanns om NIS där.
På MSB:s webbplats finns en sida med undersidor som i huvudsak bygger på vad som står i lag, förordning och MSB:s . Hur olika aktörer ska göra för att de ska kunna klara en tillsyn står det däremot mycket litet om, där hänvisar man till det så kallade Metodstödet som på en tämligen abstrakt nivå går igenom olika aktiviteter som kan ingå i ett systematiskt säkerhetsarbete.
Vällovligt men inte särskilt användbart för en kommun med de mycket konkreta frågor som måste lösas i detta sammanhang – bara en sådan sak som att hantera nämndorganisationen… Ytterligare en komplikation är att man tungt lutar sig mot en standard som inte är fritt tillgänglig, något som kan bli mycket besvärligt när tillsynsaktiviteterna sätter igång.
Det går liksom inte att kräva att varje organisation som ska tillsynas måste köpa standarderna för att veta vad de är tvungna att göra.
Skyldigheterna måste framgå av föreskriften och vara möjliga att granska även i ett offentlighetsperspektiv.
Övriga tillsynsmyndigheter har inte heller de såvitt jag kan se ingen information riktad till kommunerna specifikt.
I vissa fall tycker jag dock att den generella information de erbjuder är överlägsen den som finns på MSB:s webbplats som Energimyndighetens frågor och svar som ger rediga besked i en del kniviga .
Mest sparsmakad är kanske IVO som egentligen bara konstaterar att man är Inte heller SKL erbjuder sina uppdragsgivare något överflöd av information i . Webbplatserna gav alltså inte något bra stöd för Söpple kommun att ta tag i frågan men det är kanske inte den vägen som är den primära för att sprida information till kommunerna – för att börja söka där måste man ju först veta att det finns ett NIS-direktiv.
Jag skickade därför ett mail till MSB.
PTS, Livsmedelsverket, Energimyndigheten, IVO och Transportstyrelsen med följande lydelse: Hej!
Jag skulle vilja ta del av information angående lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet) som x (d.v.s.
den aktuella myndigheten) skickat direkt till kommuner.
Samma meddelande lade jag in i frågelåda på SKL:s webbplats och jag kan redan nu avslöja att jag inte fått något svar på detta.
När det gäller myndigheterna kan man sammanfattningsvis säga att det endast är MSB som skickat ut någon information direkt till kommunerna och då inte till kommunerna specifikt eftersom det handlar om missiven till föreskrifterna när de gått ut på remiss.
Detta skedde sista augusti.
MSB har deltagit i en träff i nätverketkommuner (KIS) och har en frågelåda på webbplatsen där man kan skicka in mail.
Dessa frågor är dock inte ännu synliga för någon annan än den som skickat frågan.
Livsmedelsverket har tagit fram en broschyr som man delat ut på en konferens om dricksvatten.
I övrigt säger sig tillsynsmyndigheterna invänta att MSB ska samordna dem.
Så här fyra månader efter att lagen trätt i kraft är det svårt att inte jämföra med hur vi blev fullständigt översköljda från olika håll med information om dataskyddsförordningen.
Datainspektionen måste faktiskt få en eloge för att man redan ett par år innan det äntligen blev 25 maj 2018 byggde upp informationskanaler både IRL och på sin webbplats.
Jag kommer med särskild glädje ihåg en realtidschatt för kanske två år sedan då det gick att ställa alla möjliga frågor till myndighetens kunniga jurister.
För aktiva personuppgiftsansvariga har det varit fullt möjligt att planera och bygga upp de nödvändiga funktionerna i sin organisation.
Att det sedan inte alltid blivit så är en annan fråga.
Att Datainspektionen bedrivit ett aktivt informationsarbete i god tid innan dataskyddsförordningen blev verklighet gör att de tillsyner man raskt kommit igång med känns rimliga.
Samma sak kan inte sägas i fallet med NIS-direktivet som trots att det varit känt på central nivå i flera år inte alls åtföljts av samma förberedelser.
Utifrån vad jag hittills sett kan mycket väl frågan fortfarande vara helt okänd i Söpple kommun men även hos andra både offentliga och privata aktörer.
Nu verkar ju inte tillsynsmyndigheterna kommit igång än vilket måste vara lika bra sett till det rådande läget när det gäller information och stöd.
Meningen med tillsyn är inte att skapa ett blame game och inte heller innebär tillsyn i sig några förbättringar om det inte tydligt framgår vad som ska göras (jag hävdar detta med viss emfas efter att ha jobbat med tillsyn ett antal år).
Tyvärr tycker jag mig spåra en omedveten trend inom både säkerhet och digitalisering att information från myndigheter främst sker muntligt på konferenser m.m.
Förutom den otydlighet och det breda tolkningsutrymme som övergivandet av skriftlig information innebär gör det att informationen inte når utanför de invigdas krets.
Det är inte heller möjligt att fördjupa sig, gå tillbaka, sprida vidare och att ha kontroll över att det är korrekt information som förmedlas.
Nu när olika lagstiftningar dessutom ska samexistera i en mängd organisationer krävs betydligt djupare resonemang än de som kan förmedlas via en power point-presentation.
För att göra en u-sväng i mitt argumenterande kanske det finns fördelar med att det ännu spridits information och stöd gällande lagen om informationssäkerhet för samhällsviktiga och digitala tjänster.
Nu kanske det finns möjlighet att ta ett nationellt ansvar och samordna de olika regleringarna så att inte varje kommun behöver sitta och försöka få ihop olika lagstiftningar och hur de ska uttolkas för den egna verksamheten?
Låt oss hoppas det.
För att de här nya regleringarna dels ska få genomslag, dels leda till säkerhetshöjande effekter krävs mycket tydlig information om som ska göras till som ska göra något samt stöd för det ska göras, d.v.s.
Dessutom, snälla, behövs samordning så att det blir en enhetlig kravbild.
Utan starkt stöd, gemensam prioritering och samordning kommer Söpple kommun vare sig att klara NIS-direktivet eller säkerhetsskyddslagen.
För kommuner som Söpple där egen kompetens i hög grad saknas tror jag att vi måste tänka mycket mer i fasta skyddsnivåer och ett mycket välutvecklat centralt stöd för att det inte bara ska bli både dålig säkerhet och dålig stämning.Men vem är det då som ska ta ansvar för helheten?
Kanske behövs det rent av en ny informationssäkerhetsutredning som utgår från verklighetens utförare av informationssäkerhet och vad de behöver för att klara uppgiften?
Jag tror helt enkelt vi har råd att leva i en drömvärld där olika aktörer oberoende av varandra pekar på vad de vill ha men ingen talar om för Söpple kommun få ihop det i den egna verksamheten.
Förtydligande: jag har efter jag publicerade detta fått ett påpekande att kommunens stadsnät sannolikt inte faller under NIS men däremot under lagen om elektronisk kommunikation (LEK) som har likartade krav som NIS.
Effekten för Söpple kommun blir alltså ungefär densamma i slutändan.
Eftersom frågan om spårbarhetens vara eller icke vara som en självständig aspekt av informationssäkerhet är återkommande diskuterad ska jag här göra ett inlägg i frågan.
Bakgrunden är den så kallade CIA-triaden som kommer från engelskans Confidentiality, Integrity och Availability vilket ofta på svenska översatts till konfidentialitet, riktighet och tillgänglighet.
Detta är kanske inte en optimal översättning vilket möjligen är en delorsak till de olika uppfattningar som finns om hur detta ska tolkas.
Huvudorsaken skulle jag dock vilja hävda att det med förvånande kraft hävdas att det bara finns en möjlig beskrivning av vad arbetet med informationssäkerhet syftar till och att det fångas i den svenska definitionen.
Vi (inte så få) som vill problematisera begreppen för att få dem mer anpassade till de behov vi uppfattar finns möts av tystnad.
För att ge så gott underlag som möjligt för en diskussion ska jag försöka vara tydlig och transparent som möjligt i min argumentation och hoppas att få svar i samma anda.
Utgångspunkten för mitt resonemang är ett statement som jag mer uppfattar som en dogm och som ofta formuleras som kofindentialitet, riktighet och tillgänglighet är den verkliga kärnaspekterna i informationssäkerheten och att spårbarhet är en osjälvständig stödfunktion till de övriga tre.
Nyligen såg jag det formulerat som fast sats: konfidentialitet, riktighet och tillgänglighet är tillstånd, spårbarhet en förmåga.
Vare sig eller kan härledas ur ISO/IEC 27000:2018 (ordlistan för 27000-serien) som genomgående använder property som exempelvis: property of accuracy and completeness Property kan översättas som egenskap.
Inte heller i den terminologi som tagits fram av en arbetsgrupp i SIS: Teknisk Rapport SIS-TR 50:2015 (kan tyvärr inte länka eftersom den inte är fritt tillgänglig) återfinns tillstånd respektive förmåga i denna betydelse.
I rapportens inledning står det: Informationssäkerhet handlar därför om hur informationens konfidentialitet, riktighet och tillgänglighet ska bevaras så att organisationens krav kan uppfyllas.
Dessa egenskaper kompletteras ibland även med en eller flera andra egenskaper, såsom spårbarhet, oavvislighet, ansvarighet, autenticitet och auktorisation.
Här definieras alltså konfidentialitet, riktighet och tillgänglighet som men så även bland annat spårbarhet.
I övrigt förekommer begreppet tillstånd litet här och var men aldrig på det sätt som i satsen ovan.
Närmast kommer man i beskrivningen av informationssäkerhetsmodell: Enheterna i ett system indelas i logiska grupper av subjekt (användare och deras processer), objekt och resurser.
Egenskaper hos ett önskvärt, ”säkert” tillstånd definieras och det visas att varje tillståndsövergång bevarar säkerheten vid övergång från ett till-stånd till ett annat.
Ett säkert tillstånd kräver att samtliga tillåtna åtkomstfall överensstämmer med fastställda säkerhetsregler.
Jag tolkar denna beskrivning liksom de andra tillstånd som ändå förekommer i handboken (exempelvis av redundans, anonymitet m.m.)
som en sammansatt helhet som resulterar från flera/många säkerhetsaktiviteter.
Riktighet definieras exempelvis som endast: skydd mot oönskad förändring vilket jag gissar ska läsas med en koppling bakåt till inledningen; att det är en eller möjligen en funktion.
Synsättet att det finns etablerade definitioner som ”tillstånd” respektive ”förmåga” verkar vara en uppfattning som får anses begränsat till vissa företrädare i Sverige som inte har stöd i den terminologi som tagits fram.
Detta synsätt verkar inte hämtat från något internationellt etablerat sammanhang vilket det räcker att göra en slö koll på Wikipedia för att upptäcka.
I artikeln Informations security anges som key concepts som första punkt CIA- triaden med följande beskrivning The CIA triad of confidentiality, integrity, and availability is at the heart of information security.
Inte heller i den svenska akademiska diskussionen förefaller det finnas konsensus eller ens en särskilt omfattande diskussion om CIA-begreppen.
Det gör att jag särskilt höjer på ett ögonbryn då akademiker på högre nivå utan närmare förklaring anammar satser som den ovan beskrivna utan förtydliganden.
Jag är helt enig i att detta är ett key concept – då borde det förtjäna en behandling på akademisk nivå som motsvarar dess betydelse.
Fördelen med att det saknas etablerade och allmänt accepterade definitioner är att det skapar en frihet att undersöka vilket förhållningssätt som är mest ändamålsenligt och samtidigt logiskt konsistent åtminstone på en basal nivå.
Personligen finner jag inte begreppen tillstånd respektive förmåga som särskilt tydliggörande men möjligen kan en begreppsmodellering där tankarna om detta redovisas på ett öppet sätt uppenbara en logik som jag missat.
Om vi ändå i detta sammanhang kan utgå från att det finns ett antal egenskaper som är centrala för att skapa god informationssäkerhet så är nästa fråga vilka dessa är.
Inte heller här råder den fullständiga enighet om CIA-triaden vilket man ibland kan förledas att tro.
Parkerian Hexad konstruerades redan 1998 av som adderade tre aspekter till den ursprungliga triaden: Authenticity, Availability och Utility.
Även aktuella svenska exempel på kritisk diskussion om CIA triaden.
Det av MSB finansierade forskningsprojektet SECURIT landade bland annat i antologin där ett bidrag ( av Björn Lundgren) starkt ifrågasätter CIA-triaden.
Jag kanske inte är helt övertygad om den modell som forskaren anser borde ersätta CIA-triaden men i detta sammanhang är det ändå viktigt att poängtera att det är väl värt att diskutera frågan.
ISO 27000 öppnar ju också upp för att triaden kan kompletteras med ytterligare egenskaper vilket också sker exempelvis i själva standarden i avsnittet om kryptering.
Noterbart är att ISO-standarderna inte har en konsistent hantering av begreppen sinsemellan trots att de riktar sig mot samma objekt (i detta fall informationshantering).
I SS-ISO 30300 (hantering av verksamhetsinformation) anges målen vara vilket är snubblande nära ISO 27000 men med andra definitioner.
I SS-ISO 15489 (Dokumenthantering) är ett tillkommande mål autenticitet.
Här bör en begreppsmodellering göras, särskilt som SS-ISO 30300 börjat spridas främst genom SKL.
Även här finns alltså ett behov av att göra sig redo för att öppna upp och diskutera om och hur centrala begrepp ska användas.
Själv menar jag att det finns skäl för att se närmare även på autenticitet men här ska jag koncentrera mig på spårbarhet.
Istället för att som nu negligera spårbarhetsbegreppet finns det anledning att lyfta upp det och se hur dess betydelse ökat under de senaste årtiondena och detta i flera dimensioner.
För det första är det den mest självklara dimensionen att på ett säkert sätt kunna följa vad som hänt i informationshanteringen både som en följd av mänsklig aktivitet och som tekniska händelser.
I det allt mer transaktionstäta informationsflödena där en mängd aktörer är detta en alltmer central funktion.
Här gäller detta att även uppfatta egenskapen spårbarhet som en negation, det vill säga att undvika spårbarhet till exempel som skydd för den personliga integriteten.
För att bara räkna upp några krav som inte endast omfattar informationens konfidentialitet, riktighet eller tillgänglighet utan där det också ställer krav på en hög grad av spårbarhet: Kraven på spårbarhet har också en tydlig koppling till konkreta säkerhetsåtgärder där loggning är den främsta åtgärden för att skapa spårbarhet i it-tjänster.
Loggning sker även i ett antal andra typer som i inpasseringskontrollssystem, telefoni, chatt och andra kommunikationslösningar.
I den manuella informationshanteringen kan det behöva finnas rutinerna som bland annat kan omfatta signering, vidimering, kontrollerad versionshantering och kvittensförfarande.
Observera också att om dessa åtgärder inte kan matchas mot ett definierat krav på spårbarhet kan det innebära stora merkostnader, inkräktande på den personliga integriteten och ytterst leda till lagöverträdelser om det inte går att motivera åtgärden.
För att illustrera behovet inom den samhällsviktiga verksamheten sjukvård finns det gott stöd att hämta i det paper som presenterades av Ella Kolkowska, Karin Hedström och Fredrik Karlsson vid Örebro University på en konferens redan 2009: (tillgängligt via DIVA).
Spårbarheten är alltså direkt kopplad till målsättningen för kärnverksamheten och ytterst till patientsäkerheten.
Att då som SKL ta bort spårbarheten ur sitt klassningsverktyg förefaller inte direkt som att anpassa säkerheten efter verksamhetens behov och inte heller att värna sina medlemmars intressen.
Observera också att spårbarhet inte enbart handlar om att spåra användares aktiviteter utan själva informationen.
Här finns en naturlig övergång till de andra syften som spårbarheten kommer att behöva tjäna i allt högre grad.
Den första är för att skapa autenticitet, en kvalitet som blir allt mer uppenbart nödvändig.
Spårbarhet är en tydlig faktor för att kunna skapa autenticitet och oavvislighet vilket är ett krav från arkivsidan.
I den informationshantering som sker i offentlig sektor borde alltså rimligen spårbarhet upphöjas till triadnivå, särskilt sett till kravet på rättssäkerhet och att kunna tillhandahålla information för forskningsändamål.
Jag lämnar nu autenticiteten i förhoppningen att övertygelsen om betydelsen är väl känd.
Istället ska jag skriva om något som tilltar ännu mer i betydelse, nämligen möjligheten att reproducera information.
Idag sammanställs den information som visas på skärmen från ett växande antal källor, olika tjänster och applikationer.
För att kunna reproducera information såsom den såg ut vid ett visst givet tillfälle kommer att krävas allt mer avancerade funktioner av spårbarhet.
Den som har följt ett it-avbrott på närmare håll vet att den inte enbart leder till tillgänglighetsproblem utan även till en rad andra negativa konsekvenser.
En sådan är att man ofta får versionsproblem där blir svårt att säkerställa vilken den senaste versionen av olika informationstyper var.
När fel version av en delmängd körs kan det skapa mycket stora problem där hela tilltron till informationslösningen kan gå om intet.
En fatal variant är när information förlorats utan att det går att spåra att den försvunnit.
För att sammanfatta: jag kan inte se att det finns något stöd för att begreppen tillstånd respektive förmåga är etablerade som beskrivning för olika aspekter av informationssäkerhet utan snarare att skulle vara det mest använda internationellt begreppet vilket också används i ISO 27000.
Det görs heller ingen hierarkisk skillnad mellan egenskaper av den typ som framgår i uppdelningen tillstånd/förmåga.
För att försöka vara vitsig är det svårt att spåra var uppfattningen om tillstånd/förmåga har uppstått och på vilka grunder.
CIA-triadens uppräkning av egenskaper är återkommande diskuterad och kan kompletteras vid behov även enligt ISO 27000 med till exempel spårbarhet.
I detta sammanhang vill jag understryka att en portalprincip i ISO 27000en ska anpassas till verksamhetens behov, det är alltså inte standarden i sig som skapar låsningar.
Om en uppfattning är att standarden kan anpassas till verksamhetens/samhällets behov menar jag att det gör det omöjligt att använda standarden som stöd för nationell (eller lokal) styrning av informationssäkerhet.
Det finns ju liksom inget egenintresse i att följa en standard.
Det skulle behövas en riktigt djupborrande analys på flera nivåer av hanteringen av aspekten spårbarhet i Sverige.
Jag när fortfarande ett hopp om att de som ger uttryck för starka åsikter gällande spårbarhet kan ta sig tiden att utveckla hur de tänker och inte bara konstatera sin uppfattning.
Detta är inte bara en teoretisk tankelek utan frånvaron av spårbarhet eller motsvarande som styrmedel för informationssäkerheten får mycket allvarliga konsekvenser för bland annat hälso- och sjukvård men även för förmågan att upprätthålla kontinuitet, för dataskydd och för det långsiktiga bevarandet.
Ett särskilt problem ligger i att det inte går att ta del av vare sig de resonemang som ligger bakom olika ställningstaganden eller själva standardtexterna eftersom de inte fritt tillgängliga trots att de utgör underlag t.o.m.
för föreskrifter.
Denna bristande offentlighetsstruktur har jag skrivit ett annat blogginlägg om Ett typiskt tecken för en dogm är att bevarandet av dogmen är viktigare än de negativa konsekvenser dess tillämpning får.
Jämför exempelvis med katolska kyrkans dogm att preventivmedel inte är tillåtna.
Dogmen är orubbad trots de uppenbara negativa konsekvenser detta får i form av könssjukdomar och oönskade graviditeter vilket i sin tur leder till illegala aborter med oerhört lidande och död.
I fallet med katolska kyrkan går det ändå att se vem som har ansvar för dogmerna med de dödliga konsekvenserna men vem tar ansvar för dogmer inom informationssäkerhetsområdet och de eventuella konkreta följder de kan få?
Informationssäkerhet är inte en religion och vi har inget stöd av högra makter (tror jag).
Därför när jag en from förhoppning att vi gemensamt ska försöka eliminera de drag av dogmatism som ändå florerar.
För att hantera de enorma säkerhetsutmaningar vi står inför har vi inte råd att bygga säkerhetsåtgärder på resonemang som inte tål att prövas utan vi kommer istället att behöva pröva våra intellekt till det yttersta för att åter och åter hitta de bästa lösningarna.
Och vi måste inse att detta inte är teoretiska övningar utan de val vi gör leder till goda eller mindre goda resultat i praktiken och där det ligger ett stort ansvar på oss som arbetar med informationssäkerhet.
Slutligen kan jag inte undgå att tycka att myndigheter inom informationssäkerhetsområdet är de som tillsammans med akademin måste ta ett särskilt ansvar för bryta ner dogmer och bygga kunskap som samhället kan använda.
Nu ser jag fram emot en mängd kloka motargument!
Sedan jag skrev mitt förra blogginlägg där jag förordade att vi borde införa en starkare gemensam styrning av informationssäkerheten bland annat i form av gemensamma skyddsnivåer samt t.o.m.
ett gemensamt ledningssystem har jag flera gånger fått frågan ”har du kollat på KLASSA?”.
Svaret är ja, det har jag och till och med skrivit på bloggen .
Sedan dess har det skett en viss men som jag ser det så kvarstår de huvudproblem som jag skrev om i det tidigare inlägget.
Att man dessutom tagit bort spårbarhet som en bedömning i klassningen gör ju inte saken direkt bättre (vilket också ett antal personer verksamma i landsting och kommuner upprört framfört till mig).
De mest övergripande invändningarna jag hade var att verktyget bygger på att man klassar system, inte information, och att säkerhetskraven är alldeles för glesa.
Detta kan menar jag leda till att man snarast skapar säkerhetsproblem än förebygger dem eftersom en organisation kan bli invaggad i en falsk trygghet av att ha vidtagit åtgärder när de i själva verket är otillräckliga.
Dessutom stöds samma aktivitet ofta av samma eller snarlik information på olika bärare som i detta exempel från en tämligen harmlös anställningsaktivitet direkt hämtad från verkligheten: Om man då fragmentiserar klassandet till att endast omfatta informationen då den exempelvis befinner sig i rekryteringsverktyget missar man ju att skydda samma information då den förekommer i andra sammanhang.
Ju fler olika typer av tjänster och bärare som används desto viktigare blir det att ha kontroll över informationen oavsett var den befinner sig.
Med tanke på att verktyget är framtaget för kommunal verksamhet blir man litet brydd i detta hänseende när man tänker på vissa av de mest känsliga verksamheterna.
Ta till exempel överförmyndarna där konfidentialitet, riktighet och spårbarhet är oerhört viktiga för att verksamheten ska kunna bedrivas.
Överförmyndarnas informationshantering sker i en komplex mosaik av bland annat enskilda beslutssystem, lagringsytor, papper och mail.
I detta sammanhang är det självklart helt otillräckligt att bara genomföra en systemklassning av ett ärendehanteringssystem.
Man skulle kunna invända att överförmyndarna är en liten och unik verksamhet med specifika krav där man inte kan förvänta sig att generella metoder ska kunna fungera.
Visserligen svarar jag men i grunden gäller detta för de flesta verksamheter inom en kommun eller landsting eller t.o.m.
med en statlig verksamhet oavsett omfattning.
Kraven på säkerhet ligger på alla de bärare, inte bara det som en händelse definieras som ett ”system” (vilket dessutom är alltmer oklar definition sett till dagens tekniska utveckling).
Återigen vill jag propagera för att istället se det som att system och tjänster ska certifieras för att klara vissa skyddsnivåer – inte klassas.
Bortsett från kvaliteten på metoden för klassningen funderar jag över det i mitt tycke oproportionerliga intresse som finns för klassning och incidenthantering.
Samt att detta intresse tar sig uttryck i att klassning respektive incidenthantering ses som fristående aktiviteter och inte som delar i en större helhet.
Det fragmentiserade synsättet går igen i de metoder som presenteras.
Den bärande idéen är att varje organisation med egna resurser och egna värderingar ska styra informationssäkerheten i den egna verksamheten.
Detta menar jag är ett mer och mer verklighetsfrämmande paradigm i en värld där vi i allt högre grad delar information mellan organisationer samt mellan organisationer och individer.
I ett digitalt tjänstesamhälle är det inte den interna säkerheten i den enskilda organisationen som är det mest centrala utan den gemensamma infrastrukturens säkerhet.
Det är ungefär som att i vägtrafiken låta varje transportföretag men även varje individ ta fram sina egna regler och tillämpa dem på de gemensamma vägarna.
Det är klart att man genom frivilliga samordnande insatser och tillsyn skulle uppnå en viss effekt men jag tror de flesta skulle uppfatta det som ett absurt och närmast nihilistiskt trafikpolitiskt förslag.
När det gäller säkerheten i den digitala infrastrukturen är fortfarande en dominerande uppfattning.
I det tidigare blogginlägget om KLASSA ställde jag upp sex krav på en fungerande metod för informationsklassning.
Omättligt krävande som jag är vill jag nu lägga till två ytterligare.
För det första måste metoden vara tillämplig även i ett större sammanhang än i en enskild organisations användning av ett system.
För det andra ingå i en större helhet av systematiskt– att klassa information utan relation till det kretslopp av övriga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering, ansvarsfördelning och uppföljning är inte effektivt säkerhetshöjande.
Särskilt inte om skyddsnivåerna har stora brister.
Informationsklassning är helt enkelt inte sååå viktig i sig.
Men inte ens då tror jag att detta är en särskilt bra väg att gå.
Det inte alldeles enkelt att utföra klassning på ett välavvägt sätt ens med stöd av en bra metod.
Vad som krävs är erfarenhet och kompetens inom informationshantering och risker samt förståelse för hur organisationer fungerar.
Att klassa information är inte att som professor Balthazar stoppa in information i ett rör på en informationsklassningsmaskin och med automatik få ut en färdig klassning.
Därför är det inte en metod där olika organisationer förväntas göra sina egna klassningar en lösning på det mycket stora kompetensunderskottet – kompetensen behövs ändå.
Och om alla gör sina egna bedömningar i en gemensam struktur kan man fråga sig vad som blir resultatet.
En god gissning är att den lägsta nivån blir trendsättande inte minst eftersom om en part har en låg nivå på sina säkerhetsåtgärder riskerar det övriga aktörers säkerhet.
Den som har gjort en större investering riskerar att få denna investering underminerad av den som väljer en lägre nivå – ekonomin i att ändå välja den högre nivån kan starkt ifrågasättas.
Att klassa information är varken så enkelt eller så viktigt som enstaka aktivitet som man ibland vill ge sken av.
Sammantaget vill jag därmed propagera för en mycket starkare styrning av processer, informationshantering och informationssäkerhet där den gemensamma grunden inte är optional.
Vi måste lämna det föråldrade synsättet där ”system” sätts i centrum och istället inse att det är en informationsinfrastruktur som måste hanteras med vederbörlig respekt och med styrande säkerhetsregler.
Kanske har vi förlorat ett decennium av möjligheter att skapa en gemensam informationssäkerhet genom att låta en slavisk tolkning av ISO 27000 kombineras med en flummig samordningstanke.
Det räcker inte med lösryckta initiativ kring olika aktiviteter som klassning utan vi måste se att ebygger på en samverkande helhet av säkerhetsåtgärder.
Efter mitt förra inlägg om e-hälsa har jag fått en del kommentarer som visar att sjukvårdens organisation och i ännu högre grad e-hälsoområdets styrning är en okänd värld för många.
Som en projektledare en gång sa till mig som en förebärare för Trump: ”Hur svårt kan det vara med sjukvård (och e-hälsa)?”.
Ganska svårt skulle jag vilja säga vilket även Trump .
Därför kommer här en inledning för att ytterligare förtydliga hur jag uppfattar organisationen idag (finns utrymme för osäkerhet i detta) samt ge ett praktiskt exempel på vad det leder till.
För att bara titta på den bristande styrningen har jag uppdaterat en gammal bild till hur jag tror det ser ut i dag (jag har inte tagit med finlir som kvalitetsregister och trygghetslarm m.m., m.m.).
Bilden är ett försök beskriva samspelet.
Som framgår är ett flertal myndigheter involverade i olika delar, det finns utförare och leverantörer.
Två saker är slående.
Den första är att det inte finns en överordnad myndighet med mandat att hålla ihop helheten och som kan vara kontaktpunkt för övriga aktörer.
Med tanke på hälso- och sjukvårdens betydelse för samhället i olika dimensioner, de mycket stora offentliga resurser som går till sjukvården och det stora antalet aktörer som deltar i det gemensamma vårdarbetet måste detta ses som ett icke-rationellt sätt att organisera det hela om man vill ha effektivitet, kvalitet och strategisk inriktning.
Det andra är SKL och sjukvårdshuvudmännens organisation som jag menar inte håller måttet för de uppgifter som man åtagit sig.
Sjukvårdshuvudmännen har en roll som offentliga organ som är reglerad i lagstiftningen.
Detsamma gäller för vårdgivare oavsett om de är privata eller offentliga.
Men i denna ordning har alltmer SKL glidit in, en intresseorganisation som inte är en myndighet, inte har en lagfäst roll och inte omfattas av offentlighetslagstiftningen.
Riksrevisionen har pekat på detta i en gällande den generella styrningen på vårdområdet.
Inom e-hälsoområdet är problemen med detta mycket tydligt.
En inte oviktig fråga i detta är att det öppenhetskrav som gäller för myndigheter som landsting, regioner och kommuner försvinner då de samarbetar i sin intresseorganisation.
Nu när aktiviteter som tidigare skedde i respektive huvudmans verksamhet flyttas in i SKL:s hägn (inklusive Inera) försvinner också insynen.
Detta kan jämföras med kommunalförbund där insynsmöjligheten fortfarande finns kvar.
Denna fråga verkar inte engagera SKL i någon högre grad, jag söker på hemsidan för att finna om man frivilligt erbjuder en likande insyn i beslutsunderlag och annat som skulle räknas som allmänna handlingar hos SKL:s medlemmar men ser inga sådana informationsinsatser.
Jag skickade även ett mail till SKL:s infoadress den 24 juli: Hej!
Jag vet att SKL inte är en myndighet och därmed inte omfattas av offentlighetslagstiftningen.
Däremot är SKL:s medlemmar det liksom medlemmarnas uppdragsgivare.
Min fråga är hur eftersträvar SKL att ändå kunna erbjuda motsvarande transparens som medlemmarna förutsätts ha?
Detta borde vara allt viktigare i och med att SKL har tagit på sig allt fler uppgifter av operativ karaktär och frågor som starkt påverkar medlemmarnas prioriteringar och finansiering.
Eller är SKL:s linje att allmänheten får tillräcklig insyn via det material som publiceras på den egna webbplatsen?
Detta mail är fortfarande obesvarat efter ett par veckor, kanske beroende på semestertider, vilket i sig är en intressant illustration av att SKL inte omfattas av kraven på myndigheter att snabbt besvara inkommande frågor.
I frågan om e-hälsa är det dock de bristande organisatoriska förutsättningarna som är mest värda att ifrågasätta.
SKL är i sig inte en organisation som är skapad för att bedriva operativ verksamhet utan för att driva förhandlingar i huvudmännens intresse mot arbetstagare och delvis även mot regeringen.
Nu har man omvandlat sig till något som varken är företag eller myndighet men har en horisontell integration där huvudmännen både är leverantörer och kunder, en typ av organisation som redan Vänerskogs jättelika konkurs 1981 visade problemen med.
Denna oreda av aktörer i en infrastruktur av mycket känslig information är detta, ja jag vågar klämma i med, katastrofalt.
Ett mycket stort antal stort antal aktörer är inne och rycker i den gemensamma informationsinfrastrukturen utan att det finns en konkret inriktning utom den som delas av regeringen och SKL.
Jag noterar att webbplatsen inte uppdaterats sedan oktober 2017 men att det kommit en som mest verkar vara ett underlag för förhandlingar samt ett antal fluffiga mål.
Det är långt till verkstaden om man säger så.
Vad leder detta till i praktiken?
Ett bra exempel är hur den ganska naturliga frågeställningen om att ge patienten tillgång till mer information om sin hälsa, behandlingar m.m har hanterats.
För att klargöra utgångsläget så har patienter haft rätt att ta del av sin journal sedan länge, se patientjournallagen (SFS 1985: 562).
En journalhandling inom enskild hälso- och sjukvård skall på begäran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller kopia, om inte annat följer av 2 kap.
8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.
E-hälsofrågan i det hela handlar mer om patienten kan del av journalen.
Personligen tycker jag att hela frågan är felformulerad – istället borde den ha varit: ”hur informerar vi patienten på bästa sätt?”.
Då hade vårdens arbetsverktyg knappast varit den bästa lösningen utan man skulle jobbat på att ge patienten information i den form och på det sätt som gör det enkelt att ta till sig.
Bortsett från detta så påbörjades under början av 2000-talet i landstingsvärlden projekt med målsättning att tillgängliggöra journalen via nätet.
Observera att detta endast handlar envägskommunikation – att patienten får möjlighet att journalen.
Trots att dessa initiativ pågick bland huvudmännen bestämde Göran Hägglund som socialminister att ett nationellt initiativ skulle inledas för att patientjournaler skulle göras tillgängliga i en tjänst där de kunde användas av tredjeparter efter patientens initiativ.
Jag ser det här som ett utslag av att både e-hälsa och e-förvaltning starkt präglades av att under åren runt decennieskiftet ses som en näringsfråga, d.v.s.
de personuppgifter som myndigheter samlar in ska ses som råvara för privata tjänsteleverantörer.
Do´nt get me started – utrymmer räcker inte till för dra upp alla negativa aspekter av detta… Låt mig istället nöja mig med att detta var en lösning med så många problem inte minst säkerhetsmässigt att den skulle ha lagt sig i byrålådan på ett mycket tidigt stadium.
Nu är det stoppat av Datainspektionen även om eHälsomyndigheten fortsätter att processa stödda av en landets mest exklusiva advokatbyråer till en kostnad på drygt 1,5 miljoner bara 2017 (jag har kollat).
För att summera: det har alltså pågått två parallella projekt utan samordning, så vitt jag kan se, för att överföra information från journal till patienter.
Man har inte i lösningarna tagit höjd för hur behovet att patienten med tillräcklig kvalitet och säkerhet ska kunna föra tillbaka uppgifter till vården – en fråga som i sig är en av grundvalarna i en utvecklad e-hälsa.
Exemplet visar mycket tydligt att det inte finns en gemensam plan, behovsanalys eller medvetenhet om att man bygger en gemensam infrastruktur.
Min erfarenhet från olika sammanhang inom området är det också ofta saknas vilja att ta vara på professionernas intresse av fungerande arbetsverktyg eller etiska krav.
Tråkigt nog tycker jag inte att arbetstagarorganisationerna varit särskilt skickliga på att samla och driva sina medlemmars olika behov, detta är dock bara mer än känslomässig upplevelse från konferensbord och från att ha tagit del av olika debattinlägg.
Trots att alla aktörer med emfas skulle säga att de starkt vurmar för patients intresse kan jag tycka att det är väl lätt att utan fog göra sig till patientens företrädare.
Framför allt är det svårt att hitta insikten i att patienter är vi alla och på samma sätt som vi har väldigt olika syn och intressen i andra frågor har vi det även som patienter.
Ett flagrant exempel på detta är de som ständigt ställer patientsäkerhet mot integritet.
Eller inte erkänner att om en välsituerad grupp använder kommersiella nätläkare för att lindra myggbett så kommer det att inkräkta på andra patienters intressen.
Även här måste finnas en mycket större helhetstanke där e-hälsan sätts i sitt rätta sammanhang.
Slutligen kan jag inte underlåta att gå in på integritetsfrågan och hur det gick när jag försökte begära ut mina personuppgifter från vården.
Även detta är en god illustration av läget.
Först till den juridiska historiken som går att scrolla förbi om man inte är intresserad men den har rätt stor betydelse för det praktiska utlämnandet av personuppgifter.
Enligt den gamla patientjournallagen hade varje vårdgivare ansvar för sin egen journal och om uppgifterna behövdes hos en annan vårdgivare måste vissa mått och steg vidtas.
En ansvarig läkare hos vårdgivare A måste göra en menprövning om det var till men eller gagn för patienten att uppgifterna lämnades ut.
Lämnades uppgifter ut skulle ett journalnotat göras om när, vad och till vem uppgifter lämnats ut och hos vårdgivare B fördes uppgifterna in som ”kopia”.
Hela förfarandet hade fördelar som att det gav mycket god spårbarhet, patienten kunde eventuellt förhindra att information lämnades vidare om man ville skydda sin integritet och det var inte hela journalen som lämnades vidare utan bara relevanta delar.
Jag vill bara påpeka dessa fördelar utan att för den delen behöva anklagas för att vara bakåtsträvare för naturligtvis är detta regler som är svåra att upprätthålla i ett digitalt flöde.
Och, ja, jag är väl medveten om att reglerna inte alltid efterlevdes.
Min poäng är att dessa säkerhetsåtgärder inte ersattes av motsvarande funktioner när patientdatalagen (PDL) infördes.
Mitt intryck efter att ha följt frågan om vårdinformation tämligen ingående sedan 1994 är att det inte ens fanns en ambition att göra det.
Denna min uppfattning stärks när jag läser förarbetena till lagstiftningen.
Jag ser patientdatalagen som ett resultat av mer än ett decenniums påverkanskampanj från olika aktörer med innebörden att säkerhet och integritet inte går att förena med digitaliseringen utan man måste välja.
Valet blev då tämligen enkelt eftersom den tekniska och organisatoriska förändringen redan genomförts.
Resultatet, förutom allt newspeak där dålig säkerhet var bra säkerhet o.s.v., var att i patientdatalagen infördes ”sammanhållen journalföring” som enligt lagens definition betyder: Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.
I och med patientdatalagen ändrades grundprincipen för hanteringen av journaluppgifter från att det tidigare defaultläget var att en vårdgivare inte kunde lämna ut uppgifter utan menprövning till nuvarande defaultläge: att information kan flöda mellan vårdgivare om inte patienten aktivt spärrar utlämnandet.
Ett villkor som satts upp för den sammanhållna journalföringen: Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att andra uppgifter än dem som anges i görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.
En sjuk patient ska alltså ta till sig information om hur informationen kommer att hanteras och dessutom ha kraft genomdriva en spärr om hen bedömer att överföringen olämplig.
Några saker bör särskilt noteras i detta redan orimliga scenario.
För det första innebär direktåtkomsten att vårdgivare 2 får tillgång till vårdinformation hos vårdgivare 1 istället för som tidigare ett journalutdrag över information som bedöms vara relevant för det aktuella sjukdomstillfället.
För det andra förutsätter det att vårdpersonalen hos vårdgivare 1 kan ge upplysningar om hur informationen kommer att hanteras i den sammanhållna journalföringen, vilka som kommer att få tillgång till den exempelvis.
Min visserligen anekdotiska men ändå uppfattning efter att ha frågat ett ganska stort antal anställda i vården finns inte en kunskap inom vården hur informationen hanteras och hur ska då personalen kunna upplysa patienten?
Detta är inte så konstigt för jag tror uppriktigt inte någon idag har kontroll över informationsflödena i vården.
För det tredje lyser ett decennium efter PDL:s ikraftträdande fortfarande möjligheten att faktiskt spärra sin journal med sin frånvaro hos ett stort antal vårdgivare.
I praktiken kan jag inte se att patienten har någon reell möjlighet att vare sig få veta hur den egna vårdinformationen hanteras eller att påverka åtkomsten till den.
Med stöd av den sammanhållna journalföringen har det vuxit fram en vårdinformationsspaghetti där det vad jag kunnat se inte finns vare sig överblick, tydlig styrning eller definierade ansvar.
Detta leder också till att när jag hos min vårdgivare frågar: ”Gör ni journalnotat om vilka samtycken till andra vårdgivare jag givit så att jag kan få en sammanställning över vilka som fått åtkomst till mina uppgifter?” får till svar ” Nej, det finns i dagsläget ingen sådan funktion i COSMIC men detta är under utveckling, det vill säga en samtyckestjänst.
Vi dokumenterar inte i x:s journal andra vårdgivares samtycken, detta är var och ens eget ansvar.
När någon inhämtar ett samtycke i COSMIC så genererar detta en logg samt en referens i journalen.”.
Det vill säga att den vårdgivare som lämnar ifrån sig informationen noterar inte detta utan patienten förväntas ansvara för spårbarheten.
Jag vände mig då till Inera som ansvarar för tjänsten Nationell Patientöversikt som är en slags växel då vårdinformation förs mellan olika vårdgivare.
På frågan om de kan redovisa vilka som eventuellt tagit del av min vårdinformation svarar de: ”Samtycke måste alltid inhämtas av den vårdgivare som ska ta del av din information i NPÖ.
Samtycket ska registreras i det lokala journalsystemet hos den aktuella vårdgivaren.
Det tekniska samtycket loggas i den nationella säkerhetstjänsten som förvaltas av Inera.
Det finns ingen dokumentation från journalinformation och inte heller någon information om varför samtycket har inhämtats.” Deras uppfattning är alltså att de endast har ”tekniska loggar” och att jag fortfarande själv måste hålla reda på mina samtycken trots digitaliseringen.
Det framgår också att de anser att de tekniska loggarna inte är att betrakta som personuppgifter.
Jag har valt att inte fördjupa mig ytterligare i detta men hoppas att andra tar upp den tråden.
Sammantaget skulle jag vilja säga att detta rimmar rätt illa med dataskyddsförordningens krav.
Min egentliga poäng med att försöka beskriva att oreda, de oklara ansvarsförhållandena och bristande överblick är att detta naturligtvis inte bara påverkar patientens möjlighet till personlig integritet.
I ännu högre grad påverkas effektivitet, patientsäkerheten och möjligheten att upprätthålla verksamheten vid större störningar.Särskilt bekymmersamt är det oklara ansvaret som även andra Vad blir då kontentan av allt detta?
Jag tror faktiskt inte huvudfrågan är huruvida sjukvården ska förstatligas utan hur den ska styras (även om jag i dagsläget har litet svårt att se exakt vilket värde den regionala politiska styrningen tillför).
Oavsett om det finns 2 eller 200 000 vårdgivare så måste det finnas en stark statlig styrning som då inte enbart omfattar den offentligt finansierade slutenvården som ett förstatligande skulle innebära.
Den nuvarande bristen på styrningen tjänar såvitt jag kan se enbart oseriösa leverantörer på och möjligen de offentliga företrädare som älskar att åka omkring på olika konferenser och framställa sig som visionära.
Situationen där myndigheter processar mot varandra vittnar väl om något om den rådande anarkin.
Om vi inte klarar av att styra digitaliseringen av vården idag så blir tanken på AI och IoT mardrömslik.
Mina förslag är därför att på äktsvenskt maner tillsätta flera rejäla utredningar men med skillnad från de tidigare inte bilägga facit från uppdragsgivaren.
Jag ser framför mig en handfull utredningar inom olika områden men som är starkt koordinerade så att resultaten går att använda.
Viktigt är att ta hänsyn till de mångskiftande intressen som hälso- och sjukvården ska tjäna, inklusive professionernas och forskningens behov på kort och lång sikt.
Inriktningen bör vara att på samma sätt som på 1940-talet bygga en långsiktigt fungerande infrastruktur i bred politisk enighet.
Några förslag (jag tar inte med komplicerade saker som prioriteringar i vården och patienters egentliga intressen): Puh!
Jag vill verkligen inte påstå att jag kommit med de definitiva sanningarna i dessa komplicerade frågor – det finns så många olika sätt att betrakta den svenska e-hälsan.
Säkert har jag missuppfattat eller vantolkat en massa saker.
Mitt enda försvar är att jag efter bästa förmåga försökt måla upp bild av e-hälsa.
Förhoppningsvis kan dessa långa inlägg stimulera andra att dela bild av samma frågor.
Jag har tidigare skrivit om att jag ser kommunikation som det centrala verktyget it och kanske det tydligast inte funkar.
Det här inlägger kommer att ytligt behandla om några aspekter av det vittomfattande ämnet, nämligen förutsättningar och förförståelse, innehåll och form.
Att kommunikationen inom informationssäkerhetsområdet har jag redan försökt beskriva i ett tidigare inlägg.
Det saknas arenor och samtalsformer för att utveckla kunskap och samsyn.
Det språkbruk och de metaforer som uppstår i denna dysfunktionella kultur gör även att vår kommunikation inte fungerar i samspelet med de vi vill engagera.
Ofta framstår både vi själva och det vi säger uppfattas som ovidkommande, auktoritärt, svårbegripligt och alarmistiskt (källa: de många verksamhetsföreträdare jag samverkat med under ett par decennier).
Själv uppfattar jag kommunikationen i informationssäkerhetsfrågor ibland som direkt vilseledande för civila organisationer.
Ett exempel är den nednötta metaforen om att skydda sina guldägg.
Den underförstådda tanken är att alla organisationer har avgränsade informationsmängder eller hård/mjukvara som ska skyddas mot främst obehörig åtkomst (?)
framför alla andra.
Detta menar jag är en feltolkning av hur dagens informations- och it-infrastrukturer fungerar där det snarare handlar om komplexa samband där olika men i många fall lika viktiga krav ställs på olika delar för att helheten ska fungera.
För att ta ett exempel från verkligheten så är det i en kommunal verksamhet meningslöst att försöka peka ut vad som skulle vara ”guldägg”.
I den kommunala äldreomsorgen bör det ställas mycket höga krav på tillgänglighet i trygghetslarmen, lika höga krav på riktighet och spårbarhet i journaldokumentationen och mycket höga krav på konfidentialitet i alla delar.
För den ekonomiska redovisningen kommer peakar i tillgänglighetskraven vid vissa perioder under bokföringsåret.
Jag kan fortsätta uppräkningen med att peka på PuL, algoritmer, webbplatser m.m., m.m.
men det enda jag vill komma fram till är att jakten på ”guldägg” leder tanken och därmed kommunikationen helt fel.
Andra vanliga påståenden på konferenser och i marknadsföring är att medarbetarna skulle vara det största problemet.
Detta påstående saknar belägg och den organisation som skulle se medarbetarna som den största risken tror jag får anledning att snabbt göra en förnyad riskanalys.
Den som tycker att ovanstående kan ses som bagateller behöver sannolikt mer övergripande argumentation om den problematiska kommunikationen.
Låt oss se ett grundscenario som både gäller i den enskilda organisationen och på ett nationellt plan.
Å ena sidan finns informationssäkerhetsexperterna som ser generella risker och som har organisatoriska och tekniska metoder för att reducera dessa risker (i alla fall hypotetiskt).
Å andra sidan finns det organisationer för vilka informationen är en resurs för verksamhetens olika processer.
Det är de senare som har den faktiska möjligheten och resurserna att genomföra informationssäkerhetsåtgärder.
För att uppnå fungerande informationssäkerhet krävs insatser från båda parter.
Enda sättet att skapa en sådan gynnsam situation är god kommunikation, den goda kommunikation som jag menar ofta saknas.
Resultatet blir alltför ofta att verksamhet och informationssäkerhet samexisterar som olja och vatten.
Trots att det är verksamheten som har behov av informationssäkerhet för att kunna leverera talar informationssäkerhetsspecialisten för döva öron.
Ett aktuellt exempel på hur det kan gå är när eHälsomyndigheten, som objektivt sett är en av de svenska organisationer som har mest behov av god informationssäkerhet, levererar två om framtiden och överhuvudtaget inte analyserar behovet av just informationssäkerhet .
Jag kommer återkomma till detta i ett senare inlägg.
Sammantaget är min erfarenhet som statlig tjänsteman som försökt förbättra informationssäkerheten inom e-förvaltning och e-hälsa att försöket mötts med en ganska avsevärd brist på förståelse från båda lägren.
De som arbetar med informationssäkerhet nationellt har haft begränsat intresse av och insikt om behovet av informationssäkerhet i verksamheter som är utpräglat civila.
De som arbetar med digitalisering i förvaltning och sjukvård har med två undantag sagt typ: ”jaja, det är säkert viktigt med säkerhet men det tar vi sedan när vi realiserat våra lösningar – säkerhet innebär ju bara en massa krångel som kan leda till att vi inte kan genomföra det vi vill.” Förutsättningen för kommunikationen är alltså en ömsesidig misstro som måste överbryggas.
Behovet av informationssäkerhet finns främst hos organisationerna själva även om det på aggregerad nivå naturligtvis i hög grad är ett samhällsintresse.
Ansvaret för kommunikationen ligger dock på informationssäkerhetsspecialisterna eftersom organisationerna inte är medvetna om sitt behov.
Här uppstår dock ett avgörande problem eftersom kommunikationen om informationssäkerheten som skapas i denna situation i de flesta fall är istället för .
Det är informationssäkerhetsspecialisterna som försöker sälja in sitt utbud av standardiserade synsätt och metoder till en verksamhet som har ett behov, ett behov som tyvärr formuleras på verksamhetens egna premisser.
Detta gäller även det nationella planet där det är myndigheterna med ett utbud som fått styra strategier och handlingsplaner, inte de civila verksamheterna med behov.
Och som alltid vid utbudsstyrning är det svårt att sätta nivån och inriktningen eftersom behovet inte är definierat – utmärkt situation för ett kommersiellt företag men knappast då man försöker styra med begränsade resurser.
Kommunikationen är en produkt av områdets kultur.
Den blir därför alltför ofta inriktad på envägskommunikation, förutsätter att de man riktar sig till är okunniga (”hur ska vi få dem att förstå”) samt på lösningar som är helt omöjliga i praktiken (som att använda signalskyddslösningar i sjukvården).
Den känslomässiga argumentationen kring attacker och antagonistiska hot lämnar mottagaren i ett rationellt limbo, kvar blir rädda människor underkastade olika auktoriteter.
Den auktoritära kommunikationsformen är naturligtvis också ett resultat av vår bristande kunskap inom informationssäkerhetsområdet (se tidigare inlägg), om man är osäker ger man sig ogärna in i dialog och diskussion.
Inte så få av de ”kommunikationsplaner” jag sett har enbart innehållit aktiviteter där avsändaren förmedlat budskap men inga aktiviteter av inlyssnande.
Hur ska vi då förbättra vår kommunikation så att organisationerna drivs av en inre motivation och på så sätt får ett ständigt förbättrat?
Jag tror det viktigaste förhållningssättet är att bestämma sig för en rollfördelning där informationssäkerhetsspecialisten (både i en enskild organisation och i form av myndigheter på nationell nivå) är en stödfunktion.
Informationssäkerheten tjänar istället syftet att organisationen ska kunna upprätthålla sitt uppdrag och sin leverans med tillräcklig kvalitet och utan störningar (i detta ligger naturligtvis även att kunna uppfylla externa krav).
För att kunna ge stöd måste informationssäkerhetsspecialisten förstå verksamheten, den unika informationshanteringen och de unika behoven.
Helt enkelt förstå att en pågående dialog, ett ömsesidigt utbyte är nödvändigt i lika hög grad för den som ska stödja som den blir stödd.
Under senare år har frågan om säkerhetskultur blivit alltmer aktuell.
Att få medarbetare i en organisation att vara medvetna och motiverade i säkerhetsfrågor ses av allt fler som något som inte bara är ett komplement till den traditionella regelstyrningen.
Tidigare har jag skrivit om betydelsen av en profession inom informationssäkerhetsområdet.
Även för en profession är det centralt att ha någon form av kultur som både skapar gemenskap inom gruppen men också bär upp de handlingar, synsätt och värderingar som gruppen förmedlar till utomstående.
Kort sagt kan ett kollektivs kultur ge gruppen en enighet om mål och medel som inte bara beskrivs i standarder, strategier och andra dokument utan som ett socialt kitt och ett ethos.
Kultur handlar i första rummet inte om beteenden utan om det som ligger bakom beteenden, som innebörder, förståelser, idéer, värden, trosföreställningar, prioriteringar och förgivettaganden.
Kulturens betydelse finns belagd i en ganska ymnig forskning inom olika fält som jag inte här kommer att gå närmare in på utan bara som icke-expert nicka och säga: ja, detta verkar relevant även för oss som arbetar med informationssäkerhet.
Det kan verka flummigt men jag tror detta är en mer central fråga än vad det först kan tyckas eftersom den kulturella grunden kan peka ut vägen för gruppen långsiktigt.
De kulturella värderingarna ger också underlaget för prioriteringar i det vardagliga arbetet.
Sist men inte minst är en grupps kultur kärnan i den kommunikation som sker med de utanför för gruppen, de kulturella budskapen som gruppen förmedlar överröstar i princip alltid själv sakinnehållet i kommunikationen.
Eftersom jag ser kommunikation som det viktigaste verktyget i arbetet med informationssäkerhet blir därför kulturfrågan central.
Vad är då våra gemensamma värderingar och vad leder de till för beteenden?
Ingen har, såvitt jag vet, gjort en kulturanalys av aktiva inom säkerhetsområdet utan jag ska försöka uttolka de gemensamma tendenser jag tyckt mig se genom åren.
Redan nu ber jag om ursäkt för de kategoriska och säkert missvisande beskrivningar som följer men jag har för närvarande enbart tillgång till mina egna erfarenheter (vilket i sig är en del av kulturen eftersom denna typ av diskussion aldrig förs).
En första reflektion är att den militär-polisiära bakgrunden fortfarande vilar tung över oss.
Det tar sig många uttryck som i den metaforvärld som används där ”attacker”, ”hot” och ”antagonism” bara är några exempel.
Detta skapar naturligtvis en speciell atmosfär men eftersom det inte bara är så att tankar som styr ord utan i lika hög grad det omvända: att våra metaforer styr våra tankar kommer detta att påverka vårt agerande.
Jag dristar mig till att säga att traditionella informationssäkerhetsmänniskor finner det betydligt enklare att fokusera på ”attacker” än att inrikta sig på de störningar i informationshanteringen som uppstår av andra orsaker som uppdateringsfel, buggar, bristande rutiner, ineffektivitet som gör att medarbetarna är mer eller mindre tvungna att bryta mot reglerna m.m.
Vårt mindset är helt enkelt mer inriktat på attacker och det är också det vi kommunicerar exempelvis med ledningarna i de organisationer där vi verkar.
Men denna kulturella värdering kan leda oss fel även i praktisk handling för om ENISA har rätt i sin så är det inte antagonistiska hot som skapar flertalet störningar: Även om alla säkert kan vara överens om att incidentrapportering är problematiskt som underlag för att bedöma vad som egentligen händer och i ännu högre grad om vilka hot som finns är ENISA:s redovisning intressant, särskilt som det väl för Sveriges del inte finns någon som är mer relevant.
Om vi nu antar att ENISA:s uppgifter stämmer så är det stora problemet störningar i kommunikationen som leder till störningar i system.
Malicious actions är däremot en mycket liten kategori.
Flera rimliga frågor inställer sig som vad som orsakat störningarna i kommunikationen.
En annan vanlig kommentar när den här typen av siffror redovisas är att det finns ett stort mörkertal när det gäller attacker m.m.
Där är jag helt beredd att hålla med, vi ju är långt ifrån att ha en heltäckande redovisning av inträffade incidenter, rimligen är mörkertalet lika stort eller större när det gäller icke-antagonistiska incidenter.
Min poäng är i all enkelhet att den kulturella styrningen mot antagonistiska hot kan leda till felprioriteringar it.
Att vara inriktad på antagonistiska hot är också belönande i så måtto att det enklare att få uppmärksamhet både från ledningar och media om man pratar om spännande hotbilder med antagonister än om frågeställningarna tangerar den vardagliga verksamhetsutvecklingen.
I den nu rådande kulturen finns en påtaglig fara för att informationssäkerhetschefen medverkar till att ledningen beslutar om säkerhetsåtgärder som inte motsvarar den faktiska riskbilden.
Och här gömmer sig kanske också ett kulturellt problem eftersom det finns två mål för säkerhetsarbetet; att avvärja hot respektive att stödja att informationshanteringen uppfyller verksamhetens krav på konfidentialitet, riktighet, spårbarhet och tillgänglighet.
Det förstnämnda liknar mer än militär uppgift medan det andra är mer att jämföra med ett kvalitetsarbete och inbegriper en nära dialog med verksamheten.
Om vi ska arbeta mer aktivt med kulturfrågan måste vi förtydliga vilken som är vår gemensamma målbild och också vår roll.
För att skissa vidare på den kultur jag uppfattar finns i vårt sammanhang så ser jag också ett auktoritärt drag.
Detta drag har förmodligen samma militär-polisiära bakgrund som det tidigare men kanske det svaga kunskapsunderlag vi ofta har för det vi föreslår också spelar in.
Exempel på vad jag menar med det auktoritära draget är att jag tycker att det finns en övertro på regler och compliance jämfört med andra typer av styrning som mer bygger på diskussion och tvåvägskommunikation.
Jag uppfattar också att kultur och former för diskussioner som alltför litet öppna och ”akademiska”, kanske för att det inte forum som inbjuder till det.
De forum som finns är i de flesta fall konferenser där ”heliga” sanningar presenteras utan återkoppling.
Denna attityd förstärks genom att informationssäkerhetsspecialistens legitimitet oftare hämtas i externa krav som lagstiftning eller standarden än verksamhetens egna behov.
Det finns också dragning mot hemlighetsfullhet.
Detta kan härledas till när säkerhetsarbetet i första hand var inriktat på att skydda rikets säkerhet men kanske också till att vi har svårt att rationellt argumentera för olika åtgärder.
Det kan då vara enklare att antyda att det finns hot som tyvärr inte kan yppas än att tydligt redogöra för olika risker och låta ledningen eller verksamheten avgöra vad som är nödvändiga åtgärder.
Detta är en bräcklig position som jag också tror skapar osäkerhet hos många i branschen.
Jag uppfattar inställningen som felriktad därför att betoningen på det hemliga, förutom att göra de flesta samtal till återvändsgränder, också gör att andra lika viktiga frågor kommer helt i bakgrunden.
I myndigheter finns till exempel kravet på öppenhet i offentlighetsprincipen som ställer stora krav på riktighet och spårbarhet i de offentliga informationsflödena.
Informationssäkerhetsspecialisten har, i min mening, ett lika tungt uppdrag i att medverka till detta som att skydda mot obehörig åtkomst.
Detta är ett exempel på statusbalansen i kulturen, sekretess har högre status än öppenhet, men det finns även andra statusförhållanden som kan diskuteras.
Ett sådant är förhållandet mellan teknik och organisation som ofta omnämns som ”hårda” respektive ”mjuka” frågor.
Man behöver inte ha läst genusvetenskap för att tolka att den egentliga innebörden är att de hårda, manliga frågorna är aningen viktigare än de mjuka, kvinnliga.
Så är det i det övriga samhället och det finns inga skäl att tro att det set annorlunda ut inom informationssäkerhetsområdet.
I praktiken leder denna inställning ofta till en överbetoning av tekniska lösningar framför organisatoriska och också till ett ofta väl teknokratiskt förhållningssätt även i organisatoriska åtgärderna.
Det blir litet märkligt i kombination med standardens tydliga organisatoriska inriktning men det är en dissonans som har accepterats.
Slutligen är en annan viktig aspekt av kulturen den tydliga mansdominansen.
Jag ser det som ett svaghetstecken för en yrkeskår när det måste skapas särskilda forum för kvinnor vilket nu skett på flera håll.
Kanske känns det nödvändigt för att kunna leva vidare i den auktoritära och teknokratiska kultur som jag frammanat ovan.
Jag skulle dock hellre se att vi gick vidare och försökte utveckla en mer ändamålsenlig kultur för de uppgifter vi har att lösa och där alla kan delta i ett gemensamt samtal på lika villkor.

Sverige måste förstå att digitalisering inte är en lyxprodukt utan en kärnverksamhet.
En strategisk fråga blir att lyfta fram de förändringsagenter som finns ute i verksamheterna och helt enkelt vända på bevisbördan.
Det ska inte längre vara så att det är den som vill förändra som måste förklara sig utan snarare den som vill bevara det gamla.
Hur många av er upplever att juridiken stimulerar och möjliggör digitaliseringsresan inom hälso- och sjukvården?
Digitalisering skapar mervärde Man behöver förändra helheten – inte bara småändra i marginalen.
Då är risken att man lägger all kraft på en enskild lösning och inte på att förändra det som verkligen ger effekt Möt innevånaren/patienten tidigt genom digitala arbetsmetoder Tillförlitlighet Äkthet Integritet (oförändrad) Användbarhet avtalshantering ansvarsutkrävande interna kontrollsystem upptäckt av avvikelser teknisk övervakning dataskydd patientsäkerhet medarbetares integritet medarbetares rättssäkerhet brottsutredning forensik fysiskt skydd Stärkt samordning av de frågor som påverkar vården i regeringskansliet och en stärkt roll för Socialstyrelsen som sammanhållande kraft i vården och beställare av it-lösningar hos e-Hälsomyndigheten, SKL m.fl.
Hur en gemensam infrastruktur ska kunna byggas upp i konkreta termer och ansvarsförhållandena för detta En ny patientdatalag som lever upp till dagens många olika behov och som inte genar när det blir svårt.
En arkivlag som kan tillgodse kravet på att bevara den gemensamma informationsinfrastruktur som uppstår inom bland annat e-hälsa.
I en ny arkivlag bör finnas utrymme för att fatta beslut om bevaranderegler även för andra än statliga myndigheter, t.ex.
ett krav på att viss vårdinformation ska bevaras för all framtid oavsett vårdgivare.
SKL:s roll med övervägande om liknande krav på öppenhet som gäller de ingående sjukvårdshuvudmännen.
Frågan bör ställas om SKL över huvud taget har de institutionella förutsättningarna att leverera gemensamma e-tjänster eller om detta istället bör ske av myndigheter Utred möjligheten att införa en lösning liknande den norska Normenden svenska vården.
Detta drev jag med klent gehör när jag jobbade på MSB men det är aldrig fel att vädra gamla käpphästar.
MSB måste våga överge sin beröringsskräck för verkligheten och kunna ge faktiskt stöd till bland annat vården.
Hur e-hälsan systematiskt ska utvärderas och vem som ska utföra det.

all vad de hur integrity inte 16 § på vilket sätt läsa alla all en sina internt utbudsstyrd behovsstyrd men

Meny Metod Inläggsnavigering

MENU MENU Postat av MSB fick den 19 september 2019 i uppdrag av regeringen att ta fram en struktur för uppföljning av det systematiskat i den offentliga förvaltningen.
Uppföljningsstrukturen ska syfta till att aktörer i offentlig förvaltning regelbundet ska erbjud as att medverka i uppföljningen och få återkoppling som omfattar en bedömning om vilken nivå derasbefinner sig på samt förslag på åtgärder som bör vidtas för att uppnå en högre nivå påt.
Uppföljnings strukturen ska även syfta till att MSB regelbundet ger regeringen en samlad bedömning om nivån på det systematiskat i den offentliga förvaltningen.
Postad i , , , , Tagged , , , , Postat av → Postad i , , , , , , , Tagged , , , , , , , Postat av Aaron Antonovsky på 1960-talet och innebär i korthet att om omvärlden ter sig begriplig, hanterbar och meningsfull så har du lättare att hantera svåra situationer.
Jag menar att det organisatoriska minnet är en betydelsefull del i om vi upplever kasam eller inte på vår arbetsplats.
Bättre rutiner för att ta fram och återanvända meningsfull dokumentation ökar vår förmåga att känna delaktighet och motverkar stress.
Detta är inte på något sätt oväsentligt i dessa dagar då allt fler mår dåligt på jobbet.
Postad i , , Tagged , , , Postat av Postad i , , , , , Tagged , , , , Postat av Postad i , , , , Tagged , , , , , Postat av Postad i , , , Tagged , , , , , , Postat av Postad i , , , , Tagged , , , , , Postat av Postad i , , , , , , , , Tagged , , , , , , , , , , Postat av Postad i , , Tagged , , , Postat av Postad i , , Tagged , , ← Sök efter:

Järnvägsresandets historia tillstånd förmåga egenskaper egenskap Informationssäkerhet och organisationskultur Vad är säker kultur Information Security Goals in a Swedish Hospital egenskap

Eftersom frågan om spårbarhetens vara eller icke vara som en självständig aspekt av informationssäkerhet är återkommande diskuterad ska jag här göra ett inlägg i frågan.
Bakgrunden är den så kallade CIA-triaden som kommer från engelskans Confidentiality, Integrity och Availability vilket ofta på svenska översatts till konfidentialitet, riktighet och tillgänglighet.
Detta är kanske inte en optimal översättning vilket möjligen är en delorsak till de olika uppfattningar som finns om hur detta ska tolkas.
Huvudorsaken skulle jag dock vilja hävda att det med förvånande kraft hävdas att det bara finns en möjlig beskrivning av vad arbetet med informationssäkerhet syftar till och att det fångas i den svenska definitionen.
Vi (inte så få) som vill problematisera begreppen för att få dem mer anpassade till de behov vi uppfattar finns möts av tystnad.
För att ge så gott underlag som möjligt för en diskussion ska jag försöka vara tydlig och transparent som möjligt i min argumentation och hoppas att få svar i samma anda.
Utgångspunkten för mitt resonemang är ett statement som jag mer uppfattar som en dogm och som ofta formuleras som kofindentialitet, riktighet och tillgänglighet är den verkliga kärnaspekterna i informationssäkerheten och att spårbarhet är en osjälvständig stödfunktion till de övriga tre.
Nyligen såg jag det formulerat som fast sats: konfidentialitet, riktighet och tillgänglighet är tillstånd, spårbarhet en förmåga.
Vare sig eller kan härledas ur ISO/IEC 27000:2018 (ordlistan för 27000-serien) som genomgående använder property som exempelvis: property of accuracy and completeness Property kan översättas som egenskap.
Inte heller i den terminologi som tagits fram av en arbetsgrupp i SIS: Teknisk Rapport SIS-TR 50:2015 (kan tyvärr inte länka eftersom den inte är fritt tillgänglig) återfinns tillstånd respektive förmåga i denna betydelse.
I rapportens inledning står det: Informationssäkerhet handlar därför om hur informationens konfidentialitet, riktighet och tillgänglighet ska bevaras så att organisationens krav kan uppfyllas.
Dessa egenskaper kompletteras ibland även med en eller flera andra egenskaper, såsom spårbarhet, oavvislighet, ansvarighet, autenticitet och auktorisation.
Här definieras alltså konfidentialitet, riktighet och tillgänglighet som men så även bland annat spårbarhet.
I övrigt förekommer begreppet tillstånd litet här och var men aldrig på det sätt som i satsen ovan.
Närmast kommer man i beskrivningen av informationssäkerhetsmodell: Enheterna i ett system indelas i logiska grupper av subjekt (användare och deras processer), objekt och resurser.
Egenskaper hos ett önskvärt, ”säkert” tillstånd definieras och det visas att varje tillståndsövergång bevarar säkerheten vid övergång från ett till-stånd till ett annat.
Ett säkert tillstånd kräver att samtliga tillåtna åtkomstfall överensstämmer med fastställda säkerhetsregler.
Jag tolkar denna beskrivning liksom de andra tillstånd som ändå förekommer i handboken (exempelvis av redundans, anonymitet m.m.)
som en sammansatt helhet som resulterar från flera/många säkerhetsaktiviteter.
Riktighet definieras exempelvis som endast: skydd mot oönskad förändring vilket jag gissar ska läsas med en koppling bakåt till inledningen; att det är en eller möjligen en funktion.
Synsättet att det finns etablerade definitioner som ”tillstånd” respektive ”förmåga” verkar vara en uppfattning som får anses begränsat till vissa företrädare i Sverige som inte har stöd i den terminologi som tagits fram.
Detta synsätt verkar inte hämtat från något internationellt etablerat sammanhang vilket det räcker att göra en slö koll på Wikipedia för att upptäcka.
I artikeln Informations security anges som key concepts som första punkt CIA- triaden med följande beskrivning The CIA triad of confidentiality, integrity, and availability is at the heart of information security.
Inte heller i den svenska akademiska diskussionen förefaller det finnas konsensus eller ens en särskilt omfattande diskussion om CIA-begreppen.
Det gör att jag särskilt höjer på ett ögonbryn då akademiker på högre nivå utan närmare förklaring anammar satser som den ovan beskrivna utan förtydliganden.
Jag är helt enig i att detta är ett key concept – då borde det förtjäna en behandling på akademisk nivå som motsvarar dess betydelse.
Fördelen med att det saknas etablerade och allmänt accepterade definitioner är att det skapar en frihet att undersöka vilket förhållningssätt som är mest ändamålsenligt och samtidigt logiskt konsistent åtminstone på en basal nivå.
Personligen finner jag inte begreppen tillstånd respektive förmåga som särskilt tydliggörande men möjligen kan en begreppsmodellering där tankarna om detta redovisas på ett öppet sätt uppenbara en logik som jag missat.
Om vi ändå i detta sammanhang kan utgå från att det finns ett antal egenskaper som är centrala för att skapa god informationssäkerhet så är nästa fråga vilka dessa är.
Inte heller här råder den fullständiga enighet om CIA-triaden vilket man ibland kan förledas att tro.
Parkerian Hexad konstruerades redan 1998 av som adderade tre aspekter till den ursprungliga triaden: Authenticity, Availability och Utility.
Även aktuella svenska exempel på kritisk diskussion om CIA triaden.
Det av MSB finansierade forskningsprojektet SECURIT landade bland annat i antologin där ett bidrag ( av Björn Lundgren) starkt ifrågasätter CIA-triaden.
Jag kanske inte är helt övertygad om den modell som forskaren anser borde ersätta CIA-triaden men i detta sammanhang är det ändå viktigt att poängtera att det är väl värt att diskutera frågan.
ISO 27000 öppnar ju också upp för att triaden kan kompletteras med ytterligare egenskaper vilket också sker exempelvis i själva standarden i avsnittet om kryptering.
Noterbart är att ISO-standarderna inte har en konsistent hantering av begreppen sinsemellan trots att de riktar sig mot samma objekt (i detta fall informationshantering).
I SS-ISO 30300 (hantering av verksamhetsinformation) anges målen vara vilket är snubblande nära ISO 27000 men med andra definitioner.
I SS-ISO 15489 (Dokumenthantering) är ett tillkommande mål autenticitet.
Här bör en begreppsmodellering göras, särskilt som SS-ISO 30300 börjat spridas främst genom SKL.
Även här finns alltså ett behov av att göra sig redo för att öppna upp och diskutera om och hur centrala begrepp ska användas.
Själv menar jag att det finns skäl för att se närmare även på autenticitet men här ska jag koncentrera mig på spårbarhet.
Istället för att som nu negligera spårbarhetsbegreppet finns det anledning att lyfta upp det och se hur dess betydelse ökat under de senaste årtiondena och detta i flera dimensioner.
För det första är det den mest självklara dimensionen att på ett säkert sätt kunna följa vad som hänt i informationshanteringen både som en följd av mänsklig aktivitet och som tekniska händelser.
I det allt mer transaktionstäta informationsflödena där en mängd aktörer är detta en alltmer central funktion.
Här gäller detta att även uppfatta egenskapen spårbarhet som en negation, det vill säga att undvika spårbarhet till exempel som skydd för den personliga integriteten.
För att bara räkna upp några krav som inte endast omfattar informationens konfidentialitet, riktighet eller tillgänglighet utan där det också ställer krav på en hög grad av spårbarhet: Kraven på spårbarhet har också en tydlig koppling till konkreta säkerhetsåtgärder där loggning är den främsta åtgärden för att skapa spårbarhet i it-tjänster.
Loggning sker även i ett antal andra typer som i inpasseringskontrollssystem, telefoni, chatt och andra kommunikationslösningar.
I den manuella informationshanteringen kan det behöva finnas rutinerna som bland annat kan omfatta signering, vidimering, kontrollerad versionshantering och kvittensförfarande.
Observera också att om dessa åtgärder inte kan matchas mot ett definierat krav på spårbarhet kan det innebära stora merkostnader, inkräktande på den personliga integriteten och ytterst leda till lagöverträdelser om det inte går att motivera åtgärden.
För att illustrera behovet inom den samhällsviktiga verksamheten sjukvård finns det gott stöd att hämta i det paper som presenterades av Ella Kolkowska, Karin Hedström och Fredrik Karlsson vid Örebro University på en konferens redan 2009: (tillgängligt via DIVA).
Spårbarheten är alltså direkt kopplad till målsättningen för kärnverksamheten och ytterst till patientsäkerheten.
Att då som SKL ta bort spårbarheten ur sitt klassningsverktyg förefaller inte direkt som att anpassa säkerheten efter verksamhetens behov och inte heller att värna sina medlemmars intressen.
Observera också att spårbarhet inte enbart handlar om att spåra användares aktiviteter utan själva informationen.
Här finns en naturlig övergång till de andra syften som spårbarheten kommer att behöva tjäna i allt högre grad.
Den första är för att skapa autenticitet, en kvalitet som blir allt mer uppenbart nödvändig.
Spårbarhet är en tydlig faktor för att kunna skapa autenticitet och oavvislighet vilket är ett krav från arkivsidan.
I den informationshantering som sker i offentlig sektor borde alltså rimligen spårbarhet upphöjas till triadnivå, särskilt sett till kravet på rättssäkerhet och att kunna tillhandahålla information för forskningsändamål.
Jag lämnar nu autenticiteten i förhoppningen att övertygelsen om betydelsen är väl känd.
Istället ska jag skriva om något som tilltar ännu mer i betydelse, nämligen möjligheten att reproducera information.
Idag sammanställs den information som visas på skärmen från ett växande antal källor, olika tjänster och applikationer.
För att kunna reproducera information såsom den såg ut vid ett visst givet tillfälle kommer att krävas allt mer avancerade funktioner av spårbarhet.
Den som har följt ett it-avbrott på närmare håll vet att den inte enbart leder till tillgänglighetsproblem utan även till en rad andra negativa konsekvenser.
En sådan är att man ofta får versionsproblem där blir svårt att säkerställa vilken den senaste versionen av olika informationstyper var.
När fel version av en delmängd körs kan det skapa mycket stora problem där hela tilltron till informationslösningen kan gå om intet.
En fatal variant är när information förlorats utan att det går att spåra att den försvunnit.
För att sammanfatta: jag kan inte se att det finns något stöd för att begreppen tillstånd respektive förmåga är etablerade som beskrivning för olika aspekter av informationssäkerhet utan snarare att skulle vara det mest använda internationellt begreppet vilket också används i ISO 27000.
Det görs heller ingen hierarkisk skillnad mellan egenskaper av den typ som framgår i uppdelningen tillstånd/förmåga.
För att försöka vara vitsig är det svårt att spåra var uppfattningen om tillstånd/förmåga har uppstått och på vilka grunder.
CIA-triadens uppräkning av egenskaper är återkommande diskuterad och kan kompletteras vid behov även enligt ISO 27000 med till exempel spårbarhet.
I detta sammanhang vill jag understryka att en portalprincip i ISO 27000en ska anpassas till verksamhetens behov, det är alltså inte standarden i sig som skapar låsningar.
Om en uppfattning är att standarden kan anpassas till verksamhetens/samhällets behov menar jag att det gör det omöjligt att använda standarden som stöd för nationell (eller lokal) styrning av informationssäkerhet.
Det finns ju liksom inget egenintresse i att följa en standard.
Det skulle behövas en riktigt djupborrande analys på flera nivåer av hanteringen av aspekten spårbarhet i Sverige.
Jag när fortfarande ett hopp om att de som ger uttryck för starka åsikter gällande spårbarhet kan ta sig tiden att utveckla hur de tänker och inte bara konstatera sin uppfattning.
Detta är inte bara en teoretisk tankelek utan frånvaron av spårbarhet eller motsvarande som styrmedel för informationssäkerheten får mycket allvarliga konsekvenser för bland annat hälso- och sjukvård men även för förmågan att upprätthålla kontinuitet, för dataskydd och för det långsiktiga bevarandet.
Ett särskilt problem ligger i att det inte går att ta del av vare sig de resonemang som ligger bakom olika ställningstaganden eller själva standardtexterna eftersom de inte fritt tillgängliga trots att de utgör underlag t.o.m.
för föreskrifter.
Denna bristande offentlighetsstruktur har jag skrivit ett annat blogginlägg om Ett typiskt tecken för en dogm är att bevarandet av dogmen är viktigare än de negativa konsekvenser dess tillämpning får.
Jämför exempelvis med katolska kyrkans dogm att preventivmedel inte är tillåtna.
Dogmen är orubbad trots de uppenbara negativa konsekvenser detta får i form av könssjukdomar och oönskade graviditeter vilket i sin tur leder till illegala aborter med oerhört lidande och död.
I fallet med katolska kyrkan går det ändå att se vem som har ansvar för dogmerna med de dödliga konsekvenserna men vem tar ansvar för dogmer inom informationssäkerhetsområdet och de eventuella konkreta följder de kan få?
Informationssäkerhet är inte en religion och vi har inget stöd av högra makter (tror jag).
Därför när jag en from förhoppning att vi gemensamt ska försöka eliminera de drag av dogmatism som ändå florerar.
För att hantera de enorma säkerhetsutmaningar vi står inför har vi inte råd att bygga säkerhetsåtgärder på resonemang som inte tål att prövas utan vi kommer istället att behöva pröva våra intellekt till det yttersta för att åter och åter hitta de bästa lösningarna.
Och vi måste inse att detta inte är teoretiska övningar utan de val vi gör leder till goda eller mindre goda resultat i praktiken och där det ligger ett stort ansvar på oss som arbetar med informationssäkerhet.
Slutligen kan jag inte undgå att tycka att myndigheter inom informationssäkerhetsområdet är de som tillsammans med akademin måste ta ett särskilt ansvar för bryta ner dogmer och bygga kunskap som samhället kan använda.
Nu ser jag fram emot en mängd kloka motargument!
Sedan jag skrev mitt förra blogginlägg där jag förordade att vi borde införa en starkare gemensam styrning av informationssäkerheten bland annat i form av gemensamma skyddsnivåer samt t.o.m.
ett gemensamt ledningssystem har jag flera gånger fått frågan ”har du kollat på KLASSA?”.
Svaret är ja, det har jag och till och med skrivit på bloggen .
Sedan dess har det skett en viss men som jag ser det så kvarstår de huvudproblem som jag skrev om i det tidigare inlägget.
Att man dessutom tagit bort spårbarhet som en bedömning i klassningen gör ju inte saken direkt bättre (vilket också ett antal personer verksamma i landsting och kommuner upprört framfört till mig).
De mest övergripande invändningarna jag hade var att verktyget bygger på att man klassar system, inte information, och att säkerhetskraven är alldeles för glesa.
Detta kan menar jag leda till att man snarast skapar säkerhetsproblem än förebygger dem eftersom en organisation kan bli invaggad i en falsk trygghet av att ha vidtagit åtgärder när de i själva verket är otillräckliga.
Dessutom stöds samma aktivitet ofta av samma eller snarlik information på olika bärare som i detta exempel från en tämligen harmlös anställningsaktivitet direkt hämtad från verkligheten: Om man då fragmentiserar klassandet till att endast omfatta informationen då den exempelvis befinner sig i rekryteringsverktyget missar man ju att skydda samma information då den förekommer i andra sammanhang.
Ju fler olika typer av tjänster och bärare som används desto viktigare blir det att ha kontroll över informationen oavsett var den befinner sig.
Med tanke på att verktyget är framtaget för kommunal verksamhet blir man litet brydd i detta hänseende när man tänker på vissa av de mest känsliga verksamheterna.
Ta till exempel överförmyndarna där konfidentialitet, riktighet och spårbarhet är oerhört viktiga för att verksamheten ska kunna bedrivas.
Överförmyndarnas informationshantering sker i en komplex mosaik av bland annat enskilda beslutssystem, lagringsytor, papper och mail.
I detta sammanhang är det självklart helt otillräckligt att bara genomföra en systemklassning av ett ärendehanteringssystem.
Man skulle kunna invända att överförmyndarna är en liten och unik verksamhet med specifika krav där man inte kan förvänta sig att generella metoder ska kunna fungera.
Visserligen svarar jag men i grunden gäller detta för de flesta verksamheter inom en kommun eller landsting eller t.o.m.
med en statlig verksamhet oavsett omfattning.
Kraven på säkerhet ligger på alla de bärare, inte bara det som en händelse definieras som ett ”system” (vilket dessutom är alltmer oklar definition sett till dagens tekniska utveckling).
Återigen vill jag propagera för att istället se det som att system och tjänster ska certifieras för att klara vissa skyddsnivåer – inte klassas.
Bortsett från kvaliteten på metoden för klassningen funderar jag över det i mitt tycke oproportionerliga intresse som finns för klassning och incidenthantering.
Samt att detta intresse tar sig uttryck i att klassning respektive incidenthantering ses som fristående aktiviteter och inte som delar i en större helhet.
Det fragmentiserade synsättet går igen i de metoder som presenteras.
Den bärande idéen är att varje organisation med egna resurser och egna värderingar ska styra informationssäkerheten i den egna verksamheten.
Detta menar jag är ett mer och mer verklighetsfrämmande paradigm i en värld där vi i allt högre grad delar information mellan organisationer samt mellan organisationer och individer.
I ett digitalt tjänstesamhälle är det inte den interna säkerheten i den enskilda organisationen som är det mest centrala utan den gemensamma infrastrukturens säkerhet.
Det är ungefär som att i vägtrafiken låta varje transportföretag men även varje individ ta fram sina egna regler och tillämpa dem på de gemensamma vägarna.
Det är klart att man genom frivilliga samordnande insatser och tillsyn skulle uppnå en viss effekt men jag tror de flesta skulle uppfatta det som ett absurt och närmast nihilistiskt trafikpolitiskt förslag.
När det gäller säkerheten i den digitala infrastrukturen är fortfarande en dominerande uppfattning.
I det tidigare blogginlägget om KLASSA ställde jag upp sex krav på en fungerande metod för informationsklassning.
Omättligt krävande som jag är vill jag nu lägga till två ytterligare.
För det första måste metoden vara tillämplig även i ett större sammanhang än i en enskild organisations användning av ett system.
För det andra ingå i en större helhet av systematiskt– att klassa information utan relation till det kretslopp av övriga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering, ansvarsfördelning och uppföljning är inte effektivt säkerhetshöjande.
Särskilt inte om skyddsnivåerna har stora brister.
Informationsklassning är helt enkelt inte sååå viktig i sig.
Men inte ens då tror jag att detta är en särskilt bra väg att gå.
Det inte alldeles enkelt att utföra klassning på ett välavvägt sätt ens med stöd av en bra metod.
Vad som krävs är erfarenhet och kompetens inom informationshantering och risker samt förståelse för hur organisationer fungerar.
Att klassa information är inte att som professor Balthazar stoppa in information i ett rör på en informationsklassningsmaskin och med automatik få ut en färdig klassning.
Därför är det inte en metod där olika organisationer förväntas göra sina egna klassningar en lösning på det mycket stora kompetensunderskottet – kompetensen behövs ändå.
Och om alla gör sina egna bedömningar i en gemensam struktur kan man fråga sig vad som blir resultatet.
En god gissning är att den lägsta nivån blir trendsättande inte minst eftersom om en part har en låg nivå på sina säkerhetsåtgärder riskerar det övriga aktörers säkerhet.
Den som har gjort en större investering riskerar att få denna investering underminerad av den som väljer en lägre nivå – ekonomin i att ändå välja den högre nivån kan starkt ifrågasättas.
Att klassa information är varken så enkelt eller så viktigt som enstaka aktivitet som man ibland vill ge sken av.
Sammantaget vill jag därmed propagera för en mycket starkare styrning av processer, informationshantering och informationssäkerhet där den gemensamma grunden inte är optional.
Vi måste lämna det föråldrade synsättet där ”system” sätts i centrum och istället inse att det är en informationsinfrastruktur som måste hanteras med vederbörlig respekt och med styrande säkerhetsregler.
Kanske har vi förlorat ett decennium av möjligheter att skapa en gemensam informationssäkerhet genom att låta en slavisk tolkning av ISO 27000 kombineras med en flummig samordningstanke.
Det räcker inte med lösryckta initiativ kring olika aktiviteter som klassning utan vi måste se att ebygger på en samverkande helhet av säkerhetsåtgärder.
Som jag litet surt påpekat några gånger är kunskapsgrunden fört påfallande svagt.
Det är därför en händelse av stort intresse när en ny forskningsantologi inom informationssäkerhetsområdet publiceras som nu då presenteras.
Än mer så när den är inriktad på organisation och inte enbart teknik som den övervägande del av de svenska forskningsinsatser varit.
Antologin bygger på resultatet från ett antal olika forskargrupper som finansierats av MSB i ett femårigt forskningsprogram relaterat till frågor om informationssäkerhetskultur.
I programmet genomfördes en omfattande enkätundersökning som använts av flera av de ingående forskningsgrupperingarna.
Att det är ett konglomerat av olika discipliner som deltagit är både en styrka och en svaghet i antologin.
Styrka eftersom det ger en i delar ny och intressant belysning av informationssäkerhet, svaghet då den röda tråden i antologin känns väl tunn och att det mer har handlar om paketering än en reell knytning till just säkerhetskultur.
Att det inte är ett inarbetat forskningsområde visar sig också i att den litteratur som använts i förvånande hög grad är utgiven för tio år sedan eller mer.
Först två allmänna reflektioner efter genomläsning.
För det första beskrivs informationssäkerhet påfallande ofta direkt och indirekt som en statisk entitet, d.v.s.
på ett icke-relationellt sätt, som här t.ex: Informationssäkerhetskultur kan vara bra såväl som dålig.
Den är bra om den gynnar .
Jag menar att informationssäkerheten inte är ett värde i sig utan att det är organisationens intressen som ska gynnas av informationssäkerhetskulturen, d.v.s.
att den goda informationssäkerhetskulturen stödjer organisationen i att identifiera sitt behov av olika informationssäkerhetsåtgärder.
Den andra reflektionen är den i mitt tycke en övertro på regelstyrning.
I några av inläggen framstår det som att informationssäkerhetskulturens främsta och möjligen enda uppgift är att motivera medarbetarna att följa regler.
Med erfarenhet från att vara informationssäkerhetsansvarig alternativt konsult i rätt många organisationer har jag upplevt att det stora behovet av säkerhetskultur är att den lägger grunden för en dialog om informationssäkerhet.
Verksamheten måste vara involverad eftersom det är den som känner de egentliga behoven av säkerhet men behöver hjälp med att kanalisera dem och över huvud taget definiera dem som säkerhetsrelaterade.
I detta är exempelvis verksamhetens förmåga och intresse av att uppmärksamma risker och kommunicera dem.
Och när det gäller styrningen är det också aningen förvånande att ledarskap inte diskuteras – när organisationskultur i allmänhet brukar ses som i en nära samvariation med ledarskap.
Här tänker jag inte enbart på det generella ledarskapet i en organisation.
Minst lika viktigt är det ledarskap som de som arbetar med informationssäkerhet utövar både nationellt och i sina respektive organisationer.
Min uppfattning, som saknar vetenskapligt belägg, är att detta ledarskap fortfarande är starkt präglat av en patriarkal kultur hämtad från en militär-polisiär tradition som är illasittande i de flesta moderna organisationer.
Detta kommer ytterligare att förstärkas när Metoo-revolutionen, som inte bara handlar om sextrakasserier utan även manligt maktmissbruk bland annat på arbetsplatser, rullar vidare.
Några av inläggen läser jag med känsla av: var det inte mer?
Det är inte sååå upphetsande med en slutsats som att tjänstemän som arbetar i regelföljande organisationsklimat anammar informationssäkerhetsregler bättre än tjänstemän i organisationer utan detta klimat.
Eller att informationssäkerhetskulturen gynnas av att ledningen uttrycker att informationssäkerhet är en viktig fråga för organisationen (även om detta ändå touchar ledarskapsfrågan som jag tidigare skrev att jag saknade).
I andra fall blir jag uppriktigt förbryllad.
Avsnittet om ”praktikanpassad informationssäkerhetspolicy” blandar alla nivåer av styrande dokument på ett sätt som jag som strukturfascist känner mig ytterst obekväm med.
Bara att skriva informationssäkerhetspolycier i plural … Ett annat exempel som leder grubbel är detta: Historiskt sett baserast på tre tekniskt orienterade principer: , och .
Författarna vill komplettera dem med ”organisatoriskt orienterade och beteendebaserade principer som ansvar, rollintegritet, förtroende och etiskt handlande”.
Jag gillar känslan av att få mattan undanryckt under fötterna, för mig har aspekterna konfidentialitet, riktighet, tillgänglighet och spårbarhet varit definitioner av vad som ska uppnås i tillräcklig grad med både organisatoriska och tekniska åtgärder.
Tyvärr kan jag inte säga att den nya vinklingen som författarna från Handelshögskolan i Örebro lanserar känns uppenbar ens vid en närmare genomläsning.
”CIA”-begreppen ifrågasätts även av filosofen Björn Lundgren som vill ersätta dem med den s.k.
Trots att jag har en del högskolepoäng i filosofi går mig delar av hans resonemang förbi, kanske för att jag fastnar på ett tidigt skede eftersom det förefaller som om hans utgångspunkt är att det finns ett läge där information är ”säker”.
I min uppfattning strider detta mot det riskbaserade säkerhetsarbetet där det snarare handlar om att rikta in sig mot ett ständigt rörligt mål och få en acceptabel riskmiljö.
Andra inlägg är mer givande.
Den etnologiska studien av den konfliktfyllda kultur som råder runt framtagandet av informationssäkerhetsstandarder bör leda till eftertanke men har också vissa (ofrivilligt?)
komiska inslag.
Flera av inläggen handlar om informationssäkerhet i hälso- och sjukvård och det är kanske här antologin är som mest intressant särskilt med den tydliga kopplingen till integritetsfrågor.
När nu många nya aktörer börjat visa intresse för integritetsfrågor i samband med dataskyddsförordningen har det ett generellt intresse.
Jag ska därför göra en fördjupning rörande ett av antologins inlägg.
Jag har i olika sammanhang ifrågasatt säkerheten och hanteringen av personuppgifter i den nationella tjänsten Hälsa för mig och kan därför säkert uppfattas som jävig men vill ändå hävda att Peter Johanssons och Sofie Hellbergs bidrag som handlar om den tjänsten är det mest givande avsnittet i antologin.
Detta inte enbart för att sjukvårdens informationssäkerhet och hantering av integritetsfrågor är så viktiga i sig utan också för att de frågeställningar de lyfter fram kan generaliseras.
Bidraget inleds med en effektiv genomgång av tidigare forskning om integritet samt om några möjliga synsätt.
Själva förordar de ett s.k.
kontextdrivet förhållningssätt i motsats att försöka skapa en allomfattande och evig definition av integritetsbegreppet: Vi delar uppfattningen om att nyckeln till att förstå och hantera personlig integritet ligger det sammanhang där integritetsfrågorna uppstår.
En fördel med detta förhållningssätt är att man redan i designfasen av nya tekniker och system kan inkludera skydd för den personliga integriteten eller sätt upp regler kring nya teknikers användningsområden.
Utan ett sådant kontextdrivet förhållningssätt finns en risk att man vare sig kan identifiera eller hantera situationer där den personliga integriteten .
Detta stämmer väl med privacy by design (som ju föreskrivs i dataskyddsförordningen) även om jag hellre skulle beskriva det som privacy by design i än i system.
Forskarna identifierar de två parallella trenderna där accelererande mängder information insamlas och bearbetas samtidigt som individen får en ökad tillgång till information om sig själv.
Med denna bakgrund studerar forskarna den tidigare regeringens satsning på tjänsten Hälsa för mig.
Hur ansvaret för säkerhet och integritet ska fördelas i det informationshanteringslandskapet är inte uppenbart vilket caset med Hälsa för mig visar.
Att trycka ner ansvaret till individen med krav på hen själv ska ”styra” sin integritet har varit en bekväm lösning som myndigheter och tjänsteleverantörer.
Individens möjlighet att göra rimliga avvägningar är av flera skäl mycket begränsad av att hen inte kan överblicka användningen av informationen, konsekvenserna av detta och dessutom är i ojämn maktrelation med leverantören av tjänsten.
En egen reflektion är att författarna i marginalen låter ett inslag i den kultur som formats runt e-hälsa skymta fram när man skriver: Att personlig integritet är något som kan upplevas stå i vägen för e-hälsoutvecklingen har vi noterat vid olika e-hälsokonferenser.
Där har vi lyssnat på olika talare som raljerat över ”integritetsivrare”, vilket vi uppfattar som mycket problematiskt då det appliceras svepande på bland annat läkare och patientföreningar som representerar särskilt sårbara .
Potentiellt negativa effekter för integriteten tonas .
Detta är en kultur jag känner igen sedan åtminstone början av nittiotalet.
Som verksam inom informationshanteringen i vården blev jag vittne till ett tydligt perspektivskifte.
Från att tystnadsplikt och integritet hade varit kärnvärden i läkarkåren och vården i stort skedde en snabb relativisering (ja, jag vet att allt inte var idealiskt tidigare heller men pratar här om de uttalade etiska ståndpunkterna).
Relativiseringen av integriteten blev ett förhållningssätt som funnits med i digitaliseringsprocessen av vården ända sedan dess begynnelse, där det har målats upp en motsatsställning mellan patientsäkerhet och integritet.
Bakgrunden till detta är att det har funnits en motvilja hos sjukvårdshuvudmän, vårdgivare och systemleverantörer att göra den insats som krävs för att få en styrning av informationshanteringen och systemen/tjänsterna så att båda dessa värden kan uppnås samtidigt.
Min uppfattning är att denna relativisering främst bottnade i att sjukvårdshuvudmännen m.fl.
inte prioriterade att ta fram organisatoriska beskrivningar av hur ”vårdrelation” ska definieras, d.v.s.
vilka medarbetare som verkligen har anledning att ta del av den enskilda patientens vårdinformationen.
Detta kompletterat med att systemleverantörerna inte klarade av att leverera digitala lösningar med en för ändamålet avpassad behörighetshantering gjorde att den personliga integriteten framställdes som ett hinder för verksamheten och ett hot för patienten.
Ett tydligt tecken var den ständigt återkommande bilden på konferenser och andra sammanhang där det beskrevs hur en medvetslös patient kommer in på akuten och personalen p.g.a.
att patienten kan ge samtycke inte kommer åt information som överkänslighet eller annan medicinsk bakgrund med följd av att patienten avlider.
Att flertalet patienter inte är medvetslösa, inte på akuten och att behörighetsstyrningen kan ske situationsanpassat försvann i detta scenario som gjorde det överväldigande tydligt för många att integritet är av ondo.
En rådande doktrin var också att behörighetsstyrning var onödigt och att loggning var lösningen på kontroll av åtkomst.
Att loggning i detta syfte skulle kräva att det är mycket tydligt vem som har åtkomsträtt, d.v.s.
i princip samma förutsättning som för den behörighetshantering som man sa sig inte kunna åstadkomma, förträngdes.
Effekten blev usel informationssäkerhet samt att etiken och i förlängningen lagstiftning anpassades efter organisatoriska och tekniska brister.
Detta vore ytterst intressant att läsa om i en forskningsstudie.
Den inneboende paradoxen med självstyrd integritet samtidigt som individen inte har det egentliga valet eller möjligheten att styra begränsningen av användningen av personuppgifter är inte unik för Hälsa för mig.
Den möjlighet att spärra uppgifter som patienten fick i patientdatalagen (PDL) 2008 har i praktiken inte realiserats utan på många sätt motarbetats av vårdgivare.
Bidraget om Hälsa för mig och den bristande integritetsanalysen i det projektet illustrerar en historisk utveckling formad genom tekniska ofullkomligheter men därefter stödd av en säkerhetskultur som legitimerar den bristande säkerheten, ja rent av gör den till en dygd.
Den bristande analysen i fråga om integritet i Hälsa för mig har lett till att Datainspektionen listat ett antal förelägganden som måste åtgärdas innan tjänsten kan tas i bruk.
E-hälsomyndigheten har överklagat detta till f men i dagsläget verkar det oklart om tjänsten kommer att kunna tas i bruk.
För mig är detta antologins absolut viktigaste bidrag när det gäller att vissa betydelsen av en positiv respektive negativ informationssäkerhetskultur.
Dessutom att den kulturella påverkan på intet sätt är begränsad till en enskild organisation utan kan omfatta en hel sektor.
Här finns verkligen möjlighet till vidare forskning.
I dessa dataskyddsförordningstider är det också av stor betydelse att visa att integritet inte handlar om teknikaliteter utan om kultur och värderingar.
Sammantaget illustrerar antologin ett spretigt kunskapsområde med oklar teori och en ganska lång väg kvar att gå.
Svaret på frågan i rubriken tycker jag mig kunna se som: ja, det finns både positiv och negativ informationssäkerhetskultur och vi måste förstå mer för att kunna stärka den positiva kulturen.

Tillförlitlighet Äkthet Integritet (oförändrad) Användbarhet avtalshantering ansvarsutkrävande interna kontrollsystem upptäckt av avvikelser teknisk övervakning dataskydd patientsäkerhet medarbetares integritet medarbetares rättssäkerhet brottsutredning forensik fysiskt skydd

integrity inte

Integritet och hälso- och sjukvård

MENU MENU Postat av Postad i , , , Tagged , , , , , , Postat av Postad i , , , , Tagged , , , , , Postat av Postad i , , , Tagged , , , Sök efter:

tillstånd förmåga egenskaper egenskap Informationssäkerhet och organisationskultur Vad är säker kultur Information Security Goals in a Swedish Hospital egenskap Informationssäkerhet och sekretess riktighet tillgänglighet processer

Under de (alltför) många år jag arbetat med informationssäkerhet har ingen företeelse varit mer omhuldad än de standarder som använts som stöd i arbetet.
När jag började var det BS 77 99 och nu har vi en hel 27000-familj.
Även om jag under alla år har haft en god hjälp av standarderna har jag aldrig riktigt kunna gripas av samma entusiasm som de många, inklusive utgivare av myndigheters föreskrifter, som sett standarderna som ett magiskt spö som det i princip räcker att hänvisa till så försvinner säkerhetsproblemen.
Jag har redan skrivit ett antal inlägg, bl a och berör den ganska problematiska övertro som finns i Sverige till standardens kraft att skapa bättre informationssäkerhet.
Med tiden har jag kommit att fråga mig om sättet att se på framför allt ISO 27000 kanske snarare stjälpt än hjälptt.
En rejäl tankeställare fick jag när jag hade uppdraget att försöka få in säkerhetsperspektivet i en utredning om e-hälsa.
Få saker har jag misslyckats så kapitalt med och en av orsakerna, förutom mina egna brister, var att både utredaren och utredningens sekretariat så fort frågan kom upp smashade bort den som en irriterande fluga med: vi gör en hänvisning till att standarder ska användas.
Eftersom jag inte förstår en vink när jag får den eller snarare bryr mig om den så fortsatte jag och försökte även få ett förtydligande vilka standarder som skulle användas och hur.
Som ni säkert förstår fick jag aldrig några svar på mina frågor utan det ansågs helt tillfyllest att säkerhetsproblem skulle hanteras via ”standarder”.
Självklart förstår jag lockelsen i att det skulle kunna fungera så.
Problemet är att det inte gör det.
Om man tittar bakåt så var standarder i industrisamhällets begynnelse en typ av nationella och internationella överenskommelser om framför allt utformningen av tekniska produkter och mått.
En av mina favoriter är standarden för avstånd mellan hålen för .
Det är ju ett sant kaos som väntar om hålslagen utformas hur som helst och ingen vet vilka pärmar som kan användas för vilka papper.
Men vad händer egentligen när man flyttar över standardiseringsidéen från vidden för järnvägsspår till hur organisationer ska styra olika verksamhetsområden?
När standarder som framtagits utan kontroll från lagstiftare och den egna förvaltningen ska leva sida vid sida med den ordinarie styrningen?
I en mycket intressant från Örebros universitet har författarna (Andersson, Karlsson och Hedström) genom diskursanalys försökt förstå hur framtagandet av standarder i 27000-serien egentligen går till.
Som en bakgrund gör de en åtskillnad mellan s.k.
de facto-standarder som ta fram av ett företag eller flera företag tillsammans som har ett konkret behov av standardisering.
Den andra typen av standarder benämns de jure-standarder som kan utvecklas av olika lagstiftande organ alternativt myndigheter eller av oberoende standardorganisationer som ISO.
27000-serien är alltså en de jure-standard men ligger utanför det lagstiftande området.
Artikeln lyfter också fram att denna typ av standarder strävar efter att skapa en konsensus av vad som bland experter inom området anses vara ”best practice” vilket även framgår tydligt i arbetet med informationssäkerhetsstandarden: De jure standards play a central role in information security, and organizations are increasingly required to demonstrate compliance with them ( ; ).
Det kan alltså ifrågasättas vad standardens ställningstagande egentligen bygger, om dess anspråk på att vila på ”best practice” uppfylls.
Eftersom den inte bygger på evidens skulle dess USP bestå just i en erfarenhetsbaserad kunskap.
Om inte denna grund finns påverkas naturligtvis standardens legitimitet.
Senare i artikeln framgår på ett litet roande och samtidigt avslöjande sätt hur ytterst få som deltar i standardarbetet även om man tågat omkring på standardiseringsmötena som en fåmansprocession under beteckningen ”Sweden”.
Artikelförfattarna gör en maktanalys av själva arbetet med framtagandet av standarder men jag tycker att en vidare maktanalys av hur en mycket liten krets knutna till standardarbetet har haft ett helt dominerande inflytande över svensk förvaltnings arbete med informationssäkerhet.
Resultatet har blivit en hegemonisk doktrin om att ISO 27000 är den enda framkomliga vägen att arbeta med informationssäkerhet i svensk förvaltning trots att denna doktrin vare sig bygger på evidens eller ”best practice”.
Så här 11 år efter att ISO 27000 pekades ut som vägledande för svenska myndigheters arbete med informationssäkerhet i MSB:s föreskrift MSBFS 2009:10 (ytterligare markerat i de följande föreskrifterna fram till den nu gällande MSBFS 2020:6) så tycker jag inte det är uppenbart att det var ett helt lyckat vägval.
Detta bygger jag på attt knappast kan ses som särdeles framgångsrikt mätt med tillgängliga måttstockar, d.v.s.
de granskningar som gjorts både generellt och de som gjorts med inriktning på samhällsviktiga sektorer som exempelvis sjukvård.
Låt oss komma ihåg att detta inte är den enda möjliga vägen att välja.
I Finland antogs i år en av informationshanteringsnämnden under finansministeriet som explicit undviker att hänvisa till någon standard: referensramar och ger inga anvisningar om tekniska lösningar, som kan förändras till och med snabbt.
Utifrån en riskbedömning som görs från fall till fall ska varje myndighet välja tillräckligt säkra tekniska lösningar som är lämpliga i den aktuella situationen.
Jag kommer ihåg att ansvariga för Normen i Norge förde samma resonemang i sina reglervården, man ville inte referera till någon särskild standard.
Uppfattningen var att det var möjligt att plocka ut det man ville ha ur standarder utan att behöva ansluta sig till en helhet som inte kunde kontrolleras av norsk sjukvård.
När standarder lämnar tekniska specifikationer och övergår till organisatorisk styrning uppstår paradoxala effekter.
Jag tänker nu på att ISO 27000 innehåller mycket allmänna krav, att det ska finnas informationsklassning men inte hur den ska utföras eller vilken normskala som ska tillämpas.
Varje organisation ska själv ta fram sitt eget komplexa ledningssystem med de komponenter som anvisas i standarden men utformningen och tillämpningen kommer att se väldigt olika ut, det tror jag varje erfaren konsult kan intyga.
Istället för centrala regler som specificerar olika lösningar får vi alltså en mängd olika regelverk som ska användas i samma infrastruktur.
Standarden leder alltså sannolikt till mindre standardisering på grund av sin inriktning på enskilda organisationer istället för på helhet.
Bräckligheten i kunskapsunderlaget och det fragmentiserade resultatet är två orsaker att ompröva ISO 27000 ställning i den offentliga verksamhetensi Sverige.
Vi behöver inte kasta ut barnet med badvattnet men vi måste våga ifrågasätta doktrinen även om de som har byggt upp en stark ställning med hjälp av standarden riskerar att ta illa upp.
Informationssäkerhet är en för viktig fråga för att vi ska ha råd med heliga principer som inte tål att diskuteras.

MENU MENU Postat av Rekommendationerna hänvisar inte till några allmänna standard er eller Postad i , , , Tagged , , , , , , , Sök efter:

Förhoppningsvis har det inte förbigått någon att2018 kommer att ersätta den svenska personuppgiftslagen.
Dataskyddsförordningen innebär att den enskildes rättigheter gällande skydd av personuppgifter stärks medan kraven blir strängare för myndigheter, företag och andra organisationer som hanterar personuppgifter.
Ett förbättrat integritetsskydd är verkligen välkommet med tanke på hur det ser ut på integritetsfronten idag.
Den kartläggning av som genomförts av Integritetskommittén genomfört (för transparensen skull är det väl bäst att meddela att jag suttit som expert i kommittén) visar på allvarliga brister i skyddet för den enskildes integritet i olika verksamheter.
Särskilt bekymmersam beskrivs situationen i hälso- och sjukvården vilket inte på något sätt förvånar den som har någon inblick i hur sjukvårdens informationshantering är utformad idag.
Jag kommer att återkomma till den fråga i ett senare inlägg men för den intresserade går det bra att ladda ner utredningen i sin helhet .
Ett kapitel där jag varit närmare involverad handlar om integritet och informationssäkerhet.
Dessa två storheter är nära länkade i ett antal avseenden.
Skyddet för den personliga integriteten ingår med självklarhet i aspekten ”konfidentialitet” och att skapa förutsättningar för att upprätthålla integritet är därmed ett mål fört i en organisation.
Informationssäkerhetsarbetets arsenal av åtgärder är de samma som måste användas i skyddet för integriteten.
Detta kan tyckas vara självklarheter och sammankopplingen har gjorts på det nationella planet exempelvis i den så kallade Infosäk-utredningen som lade fram sitt slutbetänkande Säker information.
I utredningen föreslogs som en av tio mål i en svensk informationssäkerhetsstrategi vara att skapa förtroende, trygghet, säkerhet, och öka integritetsskyddet.
Tråkigt nog kan detta ses som en startpunkt för en nu decennielång tradition i det nationellat (liksom i e-förvaltnings- och e-hälsosatsningar på nationella planet); att säga att integritet är ett viktigt mål men inte komma med några konkreta förslag på åtgärder för att uppnå målet.
Se även , och .
I NISU var utredarens uppdrag bland annat att: Uppdraget kan tolkas som något otydligt då ordet integritet visserligen ingår men sannolikt i samma betydelse som det engelska Detta är ett återkommande problem som , att begreppet integritet används i två helt olika betydelser inom informationssäkerhetsområdet.
Den första betydelsen är den definition av den personliga integriteten som återfinns exempelvis i personuppgiftslagen.
Den andra har sitt ursprung i EU:s definition av informationssäkerhet där användningen av begreppet är synonymt med det engelska .
Begreppet avser i detta sammanhang att en databas, ett nätverk, ett system alternativt en informationsmängd är skyddad från oavsiktlig förändring eller förlust av information.
NISU väljer att över huvud taget inte behandla den personliga integriteten: Av vilken orsak utredaren gör denna avgränsning motiveras inte närmare.
Därmed avviker NISU från det förhållningssätt som exempelvis ENISA och OECD rekommenderar.
The European Union Agency for Network and Information Security (ENISA) har uppdraget att samordna EU:s arbete med nät- och informationssäkerhet.
Integritetsfrågorna är en inte oväsentlig del av ENISA:s arbete där värnet av den personliga integriteten ses som en förutsättning för den it-utveckling som ska ge en viktig grund för den ekonomiska utveckling som eftersträvas för Europa.
Som en följd av detta har ENISA genomfört olika insatser som bland annat resulterat i ett antal publikationer som behandlar integritet från policynivå ner till teknisk tillämpning.
ENISA gjorde 2014 en ambitiös guide som beskriver hur skyddet av integritet kan utformas i praktiken i it-relaterade tjänster och system.
De har här utvidgat begreppet för konceptet till att gälla Privacy and Data Protection by Design.
I inledningen till vägledningen summeras integriteten i ett EU-perspektiv från ett överordnat värde till tekniska åtgärder som byggs in i it-lösningar: Även för OECD (Organisation for Economic Co-operation and Development)har informationssäkerhet och integritet ett nära samband vilket bland annat demonstreras av en arbetsgrupp för informationssäkerhet och integritet (Working Party on Information Security and Privacy in the Digital Economy – WPSPDE).
Från Sveriges sida har Post- och telestyrelsen (PTS) deltagit i arbetet.
2015 presenterades den senaste vägledningen i informationssäkerhetsfrågor, Digital Security Risk Management, där ett viktigt paradigmskifte genomförts då man säger att informationssäkerhet inte är en teknisk fråga utan en ekonomisk.
Informationssäkerheten ska därmed kopplas till den positiva ekonomiska utveckling som är OECD:s syfte.
OECD har lyft fram integritetsfrågorna som en viktig framgångsfaktor för den ekonomiska utvecklingen.
Skydd av personuppgifter vid dataöverföring och datalagring måste vara utformat så att det underlättar för fria dataflöden över landsgränser.
2013 kom en ny version av The OECD Privacy Framework där organisationen framhåller att man under decennier spelat en viktig roll i främjandet av integritet som ett fundamentalt värde och som ett villkor för ett fritt flöde av personuppgifter över landsgränser.
I ramverket ingår ett antal principer bland annat rörande insamling av personuppgifter, datakvalitet, syftet, användningen, säkerhet, öppenhet, individens rättigheter samt ansvar för datahanteringen.
Vad som tillkommit i revisionen 2013 är att man förordar ett riskbaserat förhållningssätt på samma sätt som i övrigtsamt krav på incidentrapportering.
Här är OECD:s linje att det bör finnas en nationell strategi för hantering av personuppgifter.
Eftersom i princip alla organisationer hanterar personuppgifter i större eller mindre omfattning så har också i princip alla organisationer legala krav på hur hanteringen ska ske.
De flesta organisationer har också behov av att kunna uppvisa en ansvarsfull hantering av personuppgifter för att kunna upprätthålla sin legitimitet och för att kunna skapa tillit hos olika omgivande aktörer.
Legitimiteten som kommer av förmågan att kunna upprätthålla den personliga integriteten har, som både ENISA och OECD understryker, en stark påverkan på ekonomisk utveckling på både samhälls- och aktörsnivå.
Kort sagt kan informationssäkerhet ha en mycket viktig funktion även för den ekonomiska utvecklingen nationellt och internationellt.
Att man i Sverige då valt en linje med svaga kopplingar mellan områdena är märkligt.
Förhoppningsvis kan svenska myndigheter samordna sig i konkreta frågor som att MSB:s obligatoriska it-incidentrapportering integreras med den rapportering av incidenter som ska utifrån kraven i dataskyddsförordningen så dubbelrapportering undviks.
Men för att stödja olika verksamheter så att de kan bedriva ettsom stödjer de allt starkare kraven på skydd av personliga integriteten kommer enligt min bedömning att kräva betydligt mer.
Detta kommer jag att återkomma till i ett senare inlägg.

MENU MENU Postat av Postad i , Tagged , , , , Sök efter:

Regeringens skrivelse 2009/10:124 Samhällets krisberedskap – stärkt samverkan för ökad säkerhet Strategi för samhällets informationssäkerhet 2010-2015 SOU 2015:23 Informations- och cybersäkerhet i Sverige.
Strategi och åtgärder för säker information i staten (NISU) föreslå övergripande mål för samhällets, och hur Sverige ska upprätthålla säkerhet och integritet i samhällsviktig it-infrastruktur.
integrity I de delar utredningens förslag skulle kunna påverka den enskildes personliga integritet föreslår utredningen ytterligare utredningsåtgärder för att väga in sådana aspekter.

En rimlig ståndpunkt är att tydliga begrepp i de flesta fall är en förutsättning för en fungerande kommunikation.
Personligen ser jag kommunikation som det viktigaste redskapet för att få till en fungerande informationssäkerhet både i den egna organisationen och nationellt.
Därför är begrepp inom informationssäkerhet en avgörande faktor för att lyckas.
Ett begrepp som gjort en raketkarriär är cyber.
Det är inte bara en allmän känsla utan stöds också av en sökning i Retriever, se graf: I många sammanhang, även från regeringen, lyfts betydelsen av s.k.
cybersäkerhet fram som en central fråga för det svenska samhället.
Jag uppfattar försvarsminister Peter Hultqvist som en informell rekordhållare då han lyckades säga ”cyber” inte mindre än 36 gånger i ett men då krävdes det också stycken som det här för att lyckas: Cyberdomänen, eller cyberrymden, vad vi än väljer att kalla den, har kommit att bli en ytterligare arena för militär och annan verksamhet.
Den trenden har varit tydlig under en tid.
Tidigare rapporter från Försvarsberedningen har lyft fram de problem och risker som präglar cyberdomänen.
Den tilltagande antagonistiska dimensionen i cyberrymden gör det nödvändigt att utveckla och stärka cyberförsvarsresurser.
Vi kan se att ett flertal länder i världen har gjort just det.
Det försvarspolitiska inriktningsbeslutet från 2015 innehöll ett tydligt och nytt steg i arbetet med svenskt cyberförsvar.
Här förekommer även sammansättningar som cyberdomänen respektive cyberrymden som antingen är samma sak eller möjligen inte eftersom begreppen används varannan gång t.o.m.
Detta är kanske bara ett uttryck för språkglädje där man vill variera uttrycken.
Hur som helst har begreppet ”cyber” här någon slags rumslig dimension.
I den nationella strategi för samhällets informations- och cybersäkerhet som regeringen presenterade 2017 och som statsrådet hänvisar till i sitt anförande saknas dock denna rumsliga dimension då begreppen som utgör strategins ämne definieras: Med informations- och cybersäkerhet avses i denna skrivelse en uppsättning säkerhetsåtgärder för bevarande av konfidentialitet, riktighet och tillgänglighet hos information.
Med konfidentialitet avses att obehöriga inte ska kunna ta del av informationen.
Med riktighet menas att informationen inte förändras, manipuleras eller förstörs på ett obehörigt sätt.
Med tillgänglighet menas att behöriga ska kunna ha tillgång till informationen på det sätt och vid den tidpunkt som tjänsterna erbjuder.
För informationssäkerhet som avser digital information används i denna skrivelse även begreppet cybersäkerhet.
I denna skrivelse används begreppen beroende av sitt sammanhang, där exempelvis cybersäkerhetsbegreppet är vanligt förekommande i en internationell .
Det är litet svårt att se skillnaden mellan informations- respektive cybersäkerhet men jag tolkar det som att man ser cybersäkerhet som en delmängd av informationssäkerhet där cybersäkerhet bara handlar om ”digital information”.
Cybersäkerhet anses också mer ”internationellt”.
För mig är blir det aningen besynnerligt att tala om digital information eftersom det blir en mix av information och bärare– när man exempelvis klassar information är det ju inte mediet som klassas utan informationsinnehållet.
För att få bättre bild av hur begreppet används av de myndigheter som har särskilda ansvar inom området och därmed ofta kommunicerar med begreppet i fokus skrev jag en enkel fråga till tre av dessa myndigheter; Försvarsmakten, SÄPO och MSB.
Begreppet ”cyber” används flitigt för tillfället.
Jag skulle behöva ha x:s definition av begreppet eftersom det används på olika sätt i olika sammanhang.
Samma dag fick jag svar från Försvarsmakten med en hel ordlista ( ) med sammansättningar med ”cyber”, däribland cybersäkerhet: Cybersäkerhet är den samling av säkerhetsåtgärder, riskhanteringsmetoder och tekniker som kan användas i syfte att bevara konfidentialitet, riktighet, spårbarhet och tillgänglighet i cyberrymden.
En stor eloge till FM för denna goda service!
Definitionen pekar mindre på styrning på organisatorisk men desto mer på konkreta säkerhetsåtgärder, alltså ganska långt från ledningssystem.
Åtgärderna ska vidtas i cyberrymden (med synonymer som cyberspace, cybermiljön, cyberarenan, cyberdomänen) som enligt begreppslistan är: Cyberrymden är den del av informationsmiljön som består av de sammanlänkade och av varandra beroende it-infrastrukturer, som möjliggör kommunikation, med tillhörande data och information.
Den inkluderar internet, intranät, telekommunikationssystem, it-system samt inbyggda processorer och styrenheter.
Jag uppfattar det som cyberrymden är den gemensamma tekniska infrastrukturen men inte informationen i sig.
Från SÄPO kom efter en knapp vecka det något förvånande svaret: Hej, Säkerhetspolisen har ingen egen definition av begreppet cyber.
Det är inte ett begrepp som används primärt i vår verksamhet.
Förvånande eftersom ”cyber” förekommer flitigt på SÄPO:s webbplats, i olika rapporter och utåtriktad verksamhet som och för att bara ta ett par exempel.
Slutligen då MSB där svaret satt hårdare inne och inte kom förrän efter en dryg månad: Hej!
Ordet ”cyber ”kan inte anses stå för sig själv, utan används av MSB i sammansättning med andra ord, främst ”cybersäkerhet”.
Beroende på sammanhanget använder MSB ordet ”cybersäkerhet” med något olika betydelse: MSB har under flera år engagerat sig i terminologifrågor och stöttar bl.a.
SIS i arbetet med terminologi på informations- och cybersäkerhetsområdet.
MSB planerar inte att ta fram en egen definition av begreppet cyber, eller cybersäkerhet.
De definitioner/beskrivningar som myndigheten behöver kunna använda är, enligt ovan, bl.a.
från regeringens strategier, standardiseringsorgan (ex SIS), FN, EU samt Nato.
Cyber/cybersäkerhet förekommer i dag i förslag till reglering från EU (den s.k.
cybersäkerhetsakten, COM(2017) 477 final).
Myndigheten har därmed tre olika definitioner för olika sammanhang och har dessutom gjort en egen utveckling av den definition som fanns med i 2017 år nationella strategi.
Detta blir aningen motsägelsefullt när man samtidigt säger sig använda befintliga definitioner/beskrivningar och inte utveckla egna.
Formuleringen om SIS undviker elegant att MSB faktiskt inte använder den definition av cybersäkerhet (”cyber” i sig själv ingår inte) som finns terminologin SIS-TR 50:2015 (tyvärr är jag inte länka till terminologin eftersom den inte är fritt tillgänglig): bevarande av konfidentialitet, riktighet och tillgänglighet hos information i cyberrymden Cyberrymden;telerymden har i sin tur definitionen: abstrakt rymd som utgörs av digital kommunikation mellan datornätverk och där all digital information befinner sig Med den förtydligande kommentaren: Cyberrymden innefattar all kommunikation via internet samt telekommunikation.
En cyberrymd möjliggörs av den hårdvara och de system som ingår i en infrastruktur.
Jag är inte alldeles säker på att jag förstår vad detta exakt betyder.
Terminologin verkar dock ha den implicita uppfattningen att ”cyber” har med internationella konflikter och antagonism att göra vilket markeras redan i det inledande stycket till kapitlet om Samhällets informations- och cybersäkerhet: Varje dag utsätts svenska myndigheter och företag för cyberattacker.
Detta har bidragit till att bl.a.
frågor om cybersäkerhet och cyberresiliens har blivit mer aktuella inom olika branscher.
Sverige, liksom många andra europeiska länder, har på senare år börjat uppmärksamma risken för cyberattacker som en global och militär hotbild.
Det är därför viktigt att introducera cybersäkerhet inom olika branscher för att öka förståelsen och kompetensen för hur man kan skydda information från dessa hot.
Cybersäkerheten har medfört nya termer, men eftersom området fortfarande är nytt kan dessa termer komma att ändras och det kommer att krävas fortsatt terminologiutredning inom detta område.
Det verkar inte råda någon konsensus om skillnaden mellan informations- och cybersäkerhet, utan de två termerna används ibland omväxlande.
Ibland används termen informationssäkerhet när inriktningen ligger på informationen och termen cybersäkerhet när det handlar om den digitala domänen; ibland ses cybersäkerhet som informationssäkerhet på en global nivå .
Samtliga sammansatta ord med förleden cyber som presenteras i terminologin är företeelser som skulle kunna ingå i en krigföring eller terrorism på hög nivå (cyberattack, cyberavskräckande, cyberförsvar, cyberkrigföring, cyberoperation osv.).
I en lustig cirkelrörelse hänvisar man i en fotnot till SOU 2015:23 (NISU) och den begreppsdiskussion som förs där på sidan 40: En grundläggande definitionsfråga för hela den svenska informationssäkerhetsnomenklaturen handlar just om innebörden av det svenska begreppet ”informationssäkerhet”.
På engelska är detta begrepp uppdelat i två betydelser dels ”Information Security” som utgår från ett tekniskt perspektiv och återspeglas i ISO 27001-standarden, dels i ”Information Assurance” som utgår från ett nationellt säkerhetsperspektiv och där även organisation och policy ingår.
I tidigare utredningsarbeten gjordes försök att särskilja det senare begreppet från det förra genom att introducera termen ”informationssäkring”, vilket också infördes i SIS-nomenklatur.
Begreppet – liksom den förenklade varianten ”övergripande informationssäkerhet” – vann aldrig någon uppslutning i det offentliga Sverige då det ansågs för komplicerat att beskriva.
Följden har dock blivit olyckliga sammanblandningar i begreppens innebörd – inte minst i internationella sammanhang.
Cybersäkerhetsbegreppet är mer strategiskt och fokuserar mer på nationella och internationella nätverk.
Därmed har cybersäkerhet en större internationell räckvidd med t.ex.
folkrättsliga frågeställningar och normer på cyberområdet än det mer tekniska informationssäkerhetsbegreppet.
Det senare har en större tyngdpunkt mot hård- och mjukvara samt standardisering.
Motivet för fokus mot cybersäkerhet är att det är på detta område som statsmaktsperspektivet behöver utvecklas då frågeställningarna ligger ovanför myndigheternas ansvarsområden, samt att avdömningar mellan olika sektorsstrategier kan behöva göras inom ramen för ett svenskt koherent nationellt förhållningssätt gentemot EU och andra internationella .
Detta är ju ett märkligt stycke där den uttalat organisatoriskt inriktade ISO 27001 framställs som fokuserade på tekniska åtgärder (!).
Cybersäkerhet sägs vara mer ”strategiskt” och verkande på nationell nivå.
Till att detta kommer alla företag som använder ”cyber” i olika konstellationer för sin produkter och tjänster som knappast är på nationell nivå.
Sammantaget är användningen av begreppet ”cyber” högst inkonsistent och rör sig i en skala från å ena sidan normal it-säkerhet med vissa tillägg av informationssäkerhet till en del av det nationella försvaret.
Vissa gemensamma drag tycks finnas som att det gäller digital infrastruktur i någon bemärkelse samt den renodlade inriktningen mot antagonistiska hot.
I övrigt är det ganska fritt valt vilken betydelse man vill ge ordet.
Är denna otydlighet då egentligen ett problem?
Det kanske behövs ett sådant här amorft begrepp som beskriver en amorf verklighet och inte enbart för sexa till vilken konferensrubrik eller vilket tjänsteutbud i it-sektorn som helst?
Kanske inte men jag måste ändå resa invändningen att om att vårt, enligt många, största hot förtjänar en något mer entydig beskrivning.
Att måla upp ett förödande hot mot nationen och mot enskilda men göra det i så oklara termer är inte bra för samhällsklimatet i en demokrati (vilket jag skrivit om tidigare).
Inte heller är det en fördel för kunder att erbjuda tjänster där det inte närmare går att avgöra vad tjänsten egentligen består i. Jag tycker därför att det är en rimlig önskan att åtminstone centrala myndigheter sätter sig ner för att begreppsmodellera vad ”cyber” är och vilken relation cybersäkerhet har till informationssäkerhet.
Betänk språklagens krav på myndigheterna: Språket i offentlig verksamhet ska vara vårdat, enkelt och begripligt.
Jag lyssnar på det senaste avsnittet av den underbara podden som handlar om atomskräcken.
Programledaren Kalle Lind och historikern Marie Cronqvist pratar om stämningen under kalla kriget och särskilt om skräcken för atomkriget som föranledde omfattande mer eller mindre välbetänkta åtgärder.
Det är svårt att undvika att göra jämförelser med nutiden där atomkriget blivit cyberkrig med samma ryssar med tillägget av terrorister.
Förmedlade hot och ständiga konfliktbudskap ger en förkrigsatmosfär vilken i sin tur ger grogrund till fake news och låga krav på sanningshalt inte bara hos ryssarna.
Som Aiskylos skrev för sisådär 2500 år sedan; krigets första offer är sanningen.
Det är helt enkelt inte särskilt lätt i en sådan samhällsstämning försöka inta en rationell hållning till hotbilder och rimliga säkerhetsåtgärder.
Med detta som bakgrund läser jag utredningen som har ett grått omslag och en titel som är helt befriad från den putslustighet som många andra utredare hängett sig åt: ”En ny säkerhetsskyddslag”.
Förtroendeingivande.
Säkerhetsskydd är ett svårhanterligt område.
Samtidigt som det är något som alla vill ha i någon form finns det mycket starka skäl att det ska ha en så begränsad tillämpning som möjligt.
Säkerhetspolisen (och Försvarsmakten) har mycket stora befogenheter som inskränker medborgarens normala fri- och rättigheter samtidigt som de åtgärder som vidtas ska skydda bland annat dessa rättigheter.
Denna balansgång är alltid svår i en demokrati genom det asymmetriska informationsövertaget där de som representerar SÄPO och Försvarsmakten alltid kan hävda att de känner till hot som de tyvärr inte kan avslöja men som motiverar mer resurser och mer inflytande för säkerhetstjänsten.
Bristen på transparens omöjliggör också för utomstående att bedöma säkerhetsskyddets effektivitet, så även för uppdragsgivaren.
Dialogen mellan myndigheter och uppdragsgivare blir därför annorlunda jämfört med andra myndigheter som nagelfars i fråga om effektivitet i förhållande till behov och de resurser som tillförts.
Dessutom innebär mandatet att SÄPO kan ålägga organisationer att genomföra olika typer av säkerhetsåtgärder (även tekniska lösningar) som inte organisationen själv valt, något som kan ha påverkan på organisationens ekonomiska förhållanden.
Därför måste dessa inskränkningar av rättigheter minimeras och starka motiv till inskränkningarna finnas och att den transparens som saknas i genomförande måste ersättas med så offentliga och tydliga spelregler som möjligt.
Beslutsfattare, medborgare och andra aktörer har rätt att förvänta sig en förutsägbarhet i myndighetsutövningen och att element av godtycklighet är bannlysta.
Förutsägbarhet bör i det här fallet innebära både att det är klart när lagen är tillämplig och vad konsekvenserna blir av att lagen ska tillämpas.
Ytterligare en viktig utgångspunkt är att säkerhetsskydd inte är det enda sättet att skydda för samhället viktiga resurser och att hänsyn måste tas till att myndigheter och andra organisationer bedriver ett aktivt säkerhetsarbete som utgår från andra regelverk.
För att säkerhetsskydd ska bli aktuellt räcker det inte med att en verksamhet är viktig eller känslig, brister i skyddet måste leda till risker för rikets säkerhet samt de övriga skyddsvärden som finns definierade.
Detta är min utgångspunkt i läsningen av förslaget där jag först kommer att titta på några principiella frågor och i ett senare inlägg mer specifikt på de delar som gäller informationssäkerhet.
För utredningen står det klart att det behövs ett utvidgat säkerhetsskydd, något som framför allt uttrycks som negation.
Utrednings ledmotiv är ”för snävt” som beskrivningen av dagens säkerhetsskydd, jag räknar till drygt 30 tillfällen där ”snävt” används i olika sammansättningar – oftast med ”allt för”.
Säkert är det få som inte delar utredningens uppfattning att tiderna förändras och hoten ser annorlunda ut, däremot behöver inte per definition en förändring innebära utvidgning.
Den utvidgning som utredningen föreslår är att: Förändringen är inte bara i omfattning utan ligger även djupare, i själva definitionen av vad som ska skyddas.
I den nuvarande lagstiftningen används begreppet rikets säkerhet som det som är styrande för vad lagen avser att skydda.
Begreppet har traditionellt innehållit tre dimensioner: verksamhet, skyddsaspekt och typ av hot.
Verksamhet har framför allt avsett den centrala statsmakten och militära förhållanden.
Skyddsaspekten har varit konfidentialitet; obehörig åtkomst av information.
Hot har varit relaterat till brott; på senare tid antagonism och terrorism.
Med dessa ganska distinkta avgränsningar har det varit möjligt att identifiera vilken verksamhet och vilken information som omfattats av lagstiftningen liksom att vidta åtgärder för att förhindra obehörig åtkomst.
I förslaget till ny säkerhetsskyddslag förskjuts samtliga dessa parametrar.
När det gäller verksamhet skriver utredningen: I dag utgår säkerhetsskyddslagen från att behov av säkerhetsskydd främst handlar om skydd av hemliga uppgifter.
Kopplingen till offentlighets- och sekretesslagen kan ge intryck av att säkerhetsskydd främst är en angelägenhet för myndigheter och andra offentliga organ för vilka den lagen är tillämplig.
Därutöver handlar det om ett säkerhetsskydd med inriktning att skydda mot terrorism för flygplatser och byggnader, anläggningar m.m.
som enligt skyddslagen är skyddsobjekt.
Sådana avgränsningar är i dag för snäva och medför eller riskerar att medföra att t.ex.
verksamheter som är av betydelse för att upprätthålla grundläggande samhällsfunktioner faller utanför tillämpningsområdet.
Ett första steg är en ändrad systematik som bl.a.
tydligare innefattar sådan säkerhetskänslig verksamhet som bedrivs hos enskilda.
Vi föreslår att beskrivningen av säkerhetsskyddet ska utgå från två huvudsakliga inriktningar.
Säkerhetsskyddet ska inriktas mot verksamhet som innebär hantering av säkerhetsskyddsklassificerade uppgifter.
Det ska innefatta skydd av uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt säkerhetsskyddsåtagande och som till sin natur är sådana uppgifter som avses i bestämmelser om sekretess.
Det innebär således en vidare ram än enligt den nuvarande lagen som utgår från begreppet hemliga uppgifter.
Därutöver ska säkerhetsskyddet inriktas mot verksamheter som av annan anledning behöver ett säkerhetsskydd (i övrigt säkerhetskänslig verksamhet).
Det motsvarar delvis vad som i dag skyddas inom ramen för skydd mot terrorism, dvs.
i huvudsak verksamhet vid skyddsobjekt, flygplatser och vissa verksamheter som ska skyddas enligt folkrättsliga åtaganden om luftfartsskydd, hamnskydd och sjöfartsskydd.
Det skyddsvärda området bör inte avgränsas genom regleringen om skyddsobjekt, utan ska utformas så att det även kan innefatta annan säkerhetskänslig verksamhet, t.ex.
hantering av it-system eller sammanställningar av uppgifter som är av central betydelse för ett fungerande samhälle eller verksamhet som behöver skyddas på den grunden att den kan utnyttjas för att skada nationen, t.ex.
vissa verksamheter inom det kärntekniska området.
Att säkerhetskänslig verksamhet idag också kan vara privat är inte mycket att orda om.
Däremot öppnar den sista meningen upp för en definition som liknar begreppet ”samhällsviktig verksamhet” som är: En verksamhet som uppfyller minst ett av följande villkor: Med samhällsviktig verksamhet menas de verksamheter, anläggningar, noder, infrastrukturer och tjänster som upprätthåller den funktion som de ingår i och är verksamhet som är av avgörande betydelse för upprätthållandet av viktiga samhällsfunktioner.
Samhällsviktig verksamhet kan vara av nationell, regional eller lokal betydelse.
Vad som är samhällsviktigt kan variera beroende på vilka situationer vi ställs inför och i takt med att samhället utvecklas.
Var gränsen går mellan ”säkerhetskänslig” å ena sidan och ”samhällsviktig” å andra sidan framstår i alla fall inte för mig som uppenbart.
I kapitel 13.1 presenteras ett försök att utreda inom vilka samhällssektorer finns särskilda skyddsvärda funktioner (som då ska omfattas av säkerhetsskyddslagen).
Inte heller efter att ha studerat det blir skiljelinjen distinkt även om man här försöker ringa in mer exakt vad det är som avses.
Ett rättesnöre skulle kunna ha varit att säkerhetskänslig verksamhet måste vara av nationell betydelse men inte heller detta håller när man på sidan 245 skriver: Det bör därför krävas ett kvalificerat skyddsbehov utifrån för samhället fundamentalt viktiga funktioner för att åtgärder enligt säkerhetsskyddslagstiftningen ska vara motiverade.
Dessa funktioner kan, trots kravet på nationell betydelse, finnas i en regional eller till och med i en lokal kontext.
Situationen förbättras inte heller av att utredningen föreslår på oklara grunder att begreppet ”rikets säkerhet” ska bytas ut mot ”Sveriges säkerhet”.
Orsaken att frångå det inarbetade begreppet till ett med mer territoriell konnotation sägs någonstans vara en vilja att vidga begreppets tillämpning samtidigt som det i den egentliga förklaringen skrivs: Benämningen rikets säkerhet ska ersättas med Sveriges säkerhet vilket endast är en språklig ändring.
Att det kan råda osäkerhet kring den nya lagens tillämpningsområde är olyckligt.
En risk är att en allt för vid tillämpning leder till att medborgares grundlagsfästa rättigheter inskränks (information görs otillgänglig, övervakning sker, personkontroller införs, ekonomiska förhållanden påverkas, arbetsmöjligheter försvåras) i ett alltför stort antal verksamheter som efter beslut av SÄPO börjar hanteras i extraordinära former.
Denna risk förstärks av oklarheten i vem som ska avgöra om en verksamhet är säkerhetskänslig eller inte.
En intressant fråga är vad som händer om en organisation själv genom en säkerhetsskyddsanalys kommer fram till att det saknas säkerhetskänslig verksamhet medan SÄPO hävdar motsatsen.
Frågan blir ännu intressantare om man betänker a) det är ett vinstdrivande företag b) säkerhetsskydd kostar avsevärda resurser.
Det är också litet svårt att se en förståelse för de beroendekedjor som finns i dagens samhälle och hur svårt det är att avgränsa enskilda verksamheter.
Utan tydliga avgränsningar skulle väsentliga delar av det svenska näringslivet inom it, telekom, kraft, livsmedel, bank och finans, vård och omsorg samt underleverantörer till dessa i värsta fall kunna omfattas av säkerhetsskyddslagstiftningen.
Alternativt skulle lagen kunna tillämpas på ett sätt som skulle kunna vara konkurrenspåverkande, som att i vissa sektorer skulle underleverantörer ses som säkerhetskänsliga, i andra inte.
Ytterligare en risk är att oren uppdelning mellan samhällsviktig respektive säkerhetskänslig verksamhet skulle kunna påverka krishanteringsförmågan.
Om en allvarlig händelse definieras som i första hand något som ska hanteras av SÄPO kan det leda till att det återställande krisarbetet försvåras exempelvis genom att information hemligstämplas.
I nästa inlägg alltså mer om informationssäkerhet i förslaget.
För att förena episteme och techne (och förhoppningsvis uppnå fronesis) så behöver professionen sina metoder.
Metoderna är i kunskapssamhället professionens verktyg och det som utgör grunden för en intern gemenskap och en extern uppfattning om vad en medlem i professionen kan utföra.
I detta sammanhang kommer jag att använda begreppet ”metod” som ett systematiskt och enhetligt sätt att utföra en viss aktivitet med ett beskrivet önskat resultat.
I teorin finns också ett antal metoder inom informationssäkerhetsområdet som riskanalys, informationsklassning, incident- och kontinuitetshantering.
Ledningssystem a´ la ISO 27000 kan också ses som en metametod där ovanstående metoder ingår som komponenter.
Frågan är dock hur väl metoderna uppfyller kraven på att vara systematiska, enhetliga och ha beskrivet önskat resultat.
Att metoderna är utvärderade och därmed sägas vara effektiva sedda till sitt syfte bör vara ytterligare ett krav för att de ska sägas fungera.
Förutom införandet av ledningssystem är sannolikt informationsklassning den mest upplyfta metoden för att uppnå bättre informationssäkerhet.
För att göra en snabb bedömning av metoder känns det därför ganska rimligt att titta litet närmare på klassningen så som den beskrivs.
Här har jag ett underlag på divergerande åsikter som uppstod när jag arbetade på MSB och dristade mig till att fram ett förslag på vägledning för informationsklassning.
Den informella remissen ledde till att det ramlade in en mängd svar från informationssäkerhetsmänniskor i framför allt myndigheter.
Jag planerar att använda dessa svar för en litet utförligare analys vid ett senare tillfälle – nu räcker det att säga att synpunkterna gick i alla riktningar och att alla var lika övertygade om att det sättet de uppfattade saken var det enda rätta.
Inte ens var man överens om det skulle heta ”klassning” eller ”klassificering”, ännu mindre om huruvida det är information eller system som ska klassas.
En litet märklig upplevelse vid genomläsningen var att själva syftet med informationsklassningen framstod som så odefinierat i ett antal av svaren, framför allt då man hade invändningar mot att jag i vägledningen beskrivit att informationsklassningen som metod också måste innehålla skyddsnivåer.
Lika fången som andra av min egen tankegång så har jag alltid föreställt mig det som meningslöst att klassa information om det inte leder till konkreta skyddsåtgärder.
Detta var dock inte en uppfattning som delades av alla.
Jag svävar fortfarande i ovisshet om vad då klassningen tjänar till och det är en av de många frågor som jag tycker det vore ytterst intressant att diskutera.
I paradgrenen informationsklassning saknas det alltså enhetlighet samt systematik.
Den bristande systematiken ligger bland annat i att klassningen som aktivitet inte har ett givet samband med andra aktiviteter som exempelvis riskanalys och inte heller beskrivs som en process vars resultat regelbundet utvärderas.
I vägledningen skrev jag till exempel djärvt att klassning ska ses som en form av risk- alternativt konsekvensanalys men fick mycket starkt mothugg mot detta och hur då det systematiska sambandet mellan riskanalysen och klassningen ser ut för dessa skribenter är fortfarande oklart för mig.
Det mest slående i svaren var att ofta saknades argument eller teori för den åsikt man förfäktade.
Istället var det redovisande av hur man själv i praktiken genomför sina klassningar eller, mest återkommande, hänvisningar till hur man tolkat ISO 27000.
Här ligger en viss ironi eftersom en del svar rörande klassningen där man hänvisar till standarden faktiskt går emot vad standarden säger, som när man hävdar att det system som ska klassas samtidigt som standarden uttryckligen säger att det är information.
Mycket av det som kan sägas om informationsklassning kan sägas också om ledningssystem som metod.
Förutom att syftet och genomförandet saknar enhetlighet är båda metoderna synnerligen icke utvärderade.
Jag under senare tid plöjt en hel del av den litteratur som finns på området och har ännu inte hittat några studier som exempelvis utvärderar olika metoder för informationsklassning, ej heller av om ledningssystem på det sätt som standarden föreskriver är ett effektivt sätt att styra informationssäkerhet i en organisation.
Och här måste jag gå in på helig mark och framföra ståndpunkten att ISO 27000, som gett mig så mycket stöd genom åren som yrkesverksam, inte så sällan snarare är ett hinder än en hjälp.
Eller, rättare sagt, vårt användande av standarden som en ersättning för utvärderade metoder utgör ett hinder för oss att bli mer professionella.
ISO 27000 definierar ett område som jag skulle vilja kalla organisatorisk styrning men innehåller ingenting om hur olika aktiviteter ska utföras, och är alltså ingen metod.
Som jag skrev inledningsvis skulle man kunna sträcka det till att standarden översiktligt beskriver en metametod men överlämnar till oss praktiserande att ta fram de konkreta, enhetliga, systematiska och utvärderade metoderna.
Denna metametod börjar kanske också bli litet anfrätt av tiden med sin inriktning på styrning av informationssäkerhet i organisation när information i allt högre grad flödar över organisationsgränser.
ISO 27000 har i många fall blivit en ersättning för metoder vilket vi måste erkänna för att komma vidare.
Istället för att i övermåttan peka på standarden som en bibel måste vi ta uppgiften med metodutveckling på allvar och skapa en gemensam plattform som uppfyller kraven på enhetlighet och systematik.
Här kommer ett litet mellanspel i min långa rant om varför informationssäkerheten inte funkar.
Istället ska jag ägna ytterligare några rader åt e-hälsa.
I slutet av september inträffade ett nytt stort it-haveri i Stockholms läns landsting (SLL) där flera sjukhus drabbades på ett sådant sätt att patientsäkerheten uppgavs .
I SLL:s digitala lösningar har större incidenter skett vid ett antal tillfällen under de senaste åren och det var bara någon månad sedan en mycket allvarlig händelse skedde i . Som samhällsmedlem och patient in spe med viss insikt om hur det ser ut på e-hälsoområdet är jag djupt oroad.
Trots att de många och allvarliga incidenterna som utgör en stor risk för patientsäkerheten och för patienternas integritet tycks insikten om de stora problemen med säkerhet inte engagera vårdens makthavare nämnvärt.
Pliktskyldigt sägs några fraser om säkerhet, sedan störtar samtalet vidare med muntra trumpetstötar om att Sverige ska bli bäst i världen på e-hälsa vilket inte förefaller innebära att vi ska bli bäst i världen på en e-hälsa.
Digitalisering beskrivs i närmast messianska former och diskussionsklimatet är av en sådan karaktär att det problematiserande som är nödvändigt för alla framgångsrika utvecklingsprojekt avvisas kategoriskt och sägs till och med vara ”förbjudet”.
Jag ser detta i sig som djupt problematiskt eftersom digitaliseringen, liksom alla andra större samhällsförändringar, innebär reella intressekonflikter som måste hanteras på ett rationellt sätt.
Detta gäller även inom informationssäkerhetsområdet specifikt där till exempel tillgänglighet och skydd mot obehörig åtkomst alltid måste balanseras mot varandra.
Historiskt har ,enligt min uppfattning, flertalet e-hälsolösningar hastats fram utan gemensam strategi i meningen långsiktig målbild och långsiktig planering där behov och beroenden är analyserade och utvärderade i en öppen diskussion.
Alltför ofta har mycket kostsamma och administrativt krävande lösningar (tänk exempelvis NPÖ) dykt upp utan att behov, säkerhet och kvalitet har klarlagts.
Efter att ett stort antal miljoner flödat in i de ofärdiga projekten har de försvunnit till en kyrkogård av misslyckade visioner.
När jag läste följande tweet kändes den därför som ett mycket tråkigt exempel på att vårdens makthavare tycks oförmögna att lära sig av tidigare misstag:

Såsom beskrivet i skrivelsen Nationell strategi för samhällets informations- och cybersäkerhet (Skr.
2016/17:213, Justitiedepartementet) där definitionen är ”informationssäkerhet som avser digital information”.
För att inte riskera en snäv tolkning som att det enbart omfattar it- och nätverkssäkerhet anser MSB att cybersäkerhet i detta sammanhang avser säkerhetsåtgärder på samhällelig strategisk nivå, främst reglerande och samordnade åtgärder, som behövs så att samhällets aktörer kan bedrivapå organisatorisk nivå, främst för information som hanteras digitalt.
Såsom beskrivet i Sveriges inlaga till FN:s generalförsamling att cybersäkerhet tydligare beskriver de skyddsåtgärder som innefattar konfidentialitet, tillgänglighet och riktighet för att inte blandas samman med den betydelse av informationssäkerhet som används av vissa länder eller organisationer som en del av en doktrin där synen att informationsinnehållet som sådant är ett hot.
I de fall MSB har samverkan med andra organisationer (såsom EU, NATO och FN) kan viss annan betydelse av cybersäkerhet förekomma, utefter de samverkande organisationernas definition av begreppet.
Fler verksamheter ska kunna falla under säkerhetsskyddet Flera organisationer ska kunna falla under säkerhetsskyddet Inom informationssäkerhetsområdet ska inte enbart konfidentialitet utan även riktighet och tillgänglighet bedömas Ett bortfall av, eller en svår störning i verksamheten som ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid kan leda till att en allvarlig kris inträffar i samhället.
Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt.

en säker

Vad är det egentligen som ska skyddas?
En profession behöver metoder

MENU MENU postat av Postad i , , Tagged , , , , , postat av Postad i , , , , , postat av Postad i , , , , Tagged , , , , , , postat av → Postad i , , , Tagged , , , , , Sök efter:

Begrepp med definitioner för cyber

Prenumerera på mitt nyhetsbrev som innebär att du får ett mejl så fort jag publicerat ett nytt inlägg.
Bara nya inlägg, inget spam eller annat.

MENU MENU Sök efter:

Tre rapporter rörande obligatorisk incidentrapportering har kommit sedan årsskiftet: två från MSB och en från IMY (Integritetsskyddsmyndigheten).
Spännande läsning men säger rapporterna något väsentligt som jag kan dra nytta av i mitt säkerhetsarbete?
Under senare år har det nationella och även europeiska säkerhetsarbetet präglats av en klockarkärlek till obligatorisk inrapportering av incidenter.
Själv känner jag mig mer ambivalent.
Å ena sidan kan det tyckas som en självklarhet att det ska finnas en nationell lägesbild över vad som händer både för det akuta läget men även för att dra nytta av erfarenheterna som det brukar heta.
Å andra sidan är incidentrapportering en aktivitet som rusar i komplexitet när man bara börjar skrapa på ytan, det räcker att försöka rigga en fungerande process i den egna organisationen för att inse det.
Se bara den enkla processbeskrivning jag tagit fram som stöd för den enskilda organsiationer: Tyvärr måste jag medge att jag inte är alldeles övertygad om att kvantitativa insamlingar av något så komplext som incidenter är det bästa sättet att bringa klarhet i vilka verksamhetsstörningar och andra typer av realiserade hot som kan kopplas till it-incidenter (vilket är det som MSB och NIS-direktivet fokuserar på).
Förutom att det tynger de inrapporterande verksamheterna i kritiska faser undrar jag generellt om kvaliteten på rapporteringen och vilken säkerhetshöjande effekt den har.
Generellt är det ett problem att det saknas systematik i det nationella säkerhetsarbetet.
I myndigheter, kommuner, regioner och företag försöker vi få till en PDCA-snurra med ett tydligt C men i de nationella satsningarna för att stödja säkerhetsarbetet tycks inte utvärdering ses som ett nödvändigt steg.
För att ta ett par exempel så har jag frågat MSB om vilken utvärdering som skett av det s.k.
Metodstödet som ligger ute Informationssäkerhet.se och vilken säkerhetshöjande effekt det haft samt ställt samma typ av fråga till SKR angående KLASSA.
I båda fallen var svaret att man inte genomfört någon utvärdering och några planer i den riktningen nämndes inte heller.
Det finns en risk att mycket blir vad jag brukar kalla ”religiös säkerhet”, d.v.s.
åtgärder som vidtas i god tro men där det krävs just tro istället för evidens för att se resultaten.
Ofta handlar det om det som jag redan skrivit om som Graeberskt: när arbetet stannar vid dokument som skrivs, mallar som fylls i, enkäter som besvaras och engångsutbildningar som inte leder till någon djupare kunskap.
När en kommun glatt skriver om att deras styrande dokument blivit ”godkända” av tillsynsmyndigheten men att man inte tittat på hur det faktiskt ser ut i verkligheten tycker jag mig leva i Graebers värld av BS jobs.
Det finns en risk att nationell incidentrapportering blivit så populär just för att den kan röra sig i denna värld.
Vad kommer man då fram till i rapporterna?
För att få litet grepp om frågan har jag gjort en sammanställning av 2020 års inrapporterade incidenter: Att lyckas med sitthandlar i hög grad om att kommunicera.
Att kommunicera handlar i sin tur i hög grad om att skapa förståelse och samsyn.
Detta är nödvändigt för att få människor och organisationer att agera.
Banala sanningar kan tyckas men tyvärr är dålig kommunikation en ständig ledsagare för de som arbetar med informationssäkerhet.
Själva begreppet informationssäkerhet saknar en tydlig och accepterad .
Detta leder till problem både för dem som anser sig arbeta med ”informationssäkerhet” och för dem som avser att anställa eller anlita vad de tror är en definierad kompetens.
Det blir inte enklare då man slänger in nya spännande beteckningar som ” ”.
Jag tror att det finns en olycklig tendens att de som arbetar med informationssäkerhet (i någon form) är mer intresserade av att bekräfta varandra i gruppen än att skapa en relation med omvärlden, d.v.s.
en relation byggd på ömsesidig förståelse.
Ta exemplet med titeln ”CISO” som fått en snabb spridning i svenska myndigheter inklusive regioner och kommuner.
Uttytt står CISO för vilket låter flott men titeln leder enligt min mening till mer oförståelse och förvirring än klarhet.
När informationssäkerhet i sig ännu inte är ett hushållsbegrepp så min fråga är varför man i Söpple kommun väljer att höja svårighetsnivån ytterligare och införa en titel som är helt ogenomtränglig för alla utanför skrået.Vad man chiefar över är även det höljt i dunkel.
Särskilt märkligt blir detta titulerande sett i ljuset av den svenska språklagen som uttryckligen skriver: Språket i domstolar, förvaltningsmyndigheter och andra organ som fullgör uppgifter i offentlig verksamhet är svenska.
I annan lag finns särskilda bestämmelser om rätt att använda nationella minoritetsspråk och annat nordiskt språk.
När det gäller skyldigheten för domstolar och förvaltningsmyndigheter att anlita tolk och att översätta handlingar finns det särskilda bestämmelser.
Språket i offentlig verksamhet ska vara vårdat, enkelt och begripligt.
Myndigheter har ett särskilt ansvar för att svensk terminologi inom deras olika fackområden finns tillgänglig, används och utvecklas.
Detta har alltså svenska myndigheter att följa vilket jag finner som ett rimligt krav.
Jag har funderat över varför så många väljer att bryta mot detta när det gäller CISO-begreppet, vad vill man uppnå på bekostnad av att varken den egna organisationen eller de invånare man är satt att tjäna begriper vad man sysslar med?
CISO är ju inte heller på något sätt en skyddad yrkestitel eller resultatet av en specifik utbildning utan kan stå för litet vad som helst.
Jag är den första att förespråka en klassisk professionalisering av vår yrkesgrupp, vilket jag skrivit om bland annat , men då är det helt andra och mer seriösa åtgärder som krävs än en flashig titel.
Vi borde vilja nå ut, inte spinna in oss i en allt tätare skråkokong.
Återigen; CISO-begreppet är bara ett exempel men jag tycker det är signifikativt för en attityd som jag menar är till nackdel både för professionen och för uppdragsgivare.
En episod som ofta återkommer i mitt minne är när en medarbetare för ett antal år sedan argumenterade för sin linje (som inte var min) med fritt citerat:” well, det är så vi i communitiet ser det.”.
Tyvärr fann jag mig inte tillräckligt snabbt för att fråga exakt vad ”communitiet” egentligen var och vilka som ingick i det men jag misstänker att det var någon slags informell och självutnämnd kommitté av människor som såg sig som ägare av informationssäkerhetsfrågan i Sverige.
Eftersom jag själv alltid skytt den här typen av gemenskaper är jag partisk.
Ändå vill jag säga jag uppfattar den här kårandan som ett problem som gestaltas bland annat genom lanserandet av CISO-titeln.
Istället för att rikta blicken på den egentliga målgruppen, det vill säga de som inte arbetar med informationssäkerhet, spelar vi för vårt eget galleri.
Den skapar också osunda lojalitetsband eftersom det saknas objektiva och accepterade krav på den som ska ses som en kompetent yrkesutövare.
Låt oss skingra dimman och inrikta oss på att nå ut till de som vi egentligen ska tjäna och skapa förutsättningarna för en seriös utveckling mot en profession.
Detta kan också en etablerad titel med ett tydligt kompetenskrav som på sikt till och med skulle kunna bli en skyddad.
Jag fortsätter succékonceptet att blogga om obskyra ämnen med en mycket begränsad grupp av intresserade.
Förra gången utredningsväsendet, nu behovet av autenticitet.
Upprinnelsen till detta inlägg är att jag fick uppdraget att prata om äkthet på en konferens och då började fundera mer intensivt på frågan – tack för det FALK!
Detta blogginlägg ska ses som en bråkdel av vad jag anser behöver belysas gällande autenticitet.
Utgångspunkten var att både ur ett arkiv- och ett informationssäkerhetsperspektiv finns ett grundläggande intresse av att kunna skapa och upprätthålla autenticitet på olika nivå i informationshanteringen.
Att notera är att autenticitet vid sidan om skydd mot obehörig åtkomst också är det historiskt sett mest konsistenta intresset både för arkivverksamhet och för informationssäkerhetsområdet.
Dessutom är vissa tekniska åtgärder för att på olika sätt skapa autenticitet så grundläggande att vi inte ens reflekterar över dem, från underskrift på pappersdokument till olika digitala autentiseringslösningar.
Detta till trots är autenticitet som begrepp och tillämpning påfallande sällan diskuterat.
Slagningar i Libris och Diva antyder att när autenticitet explicit diskuteras gäller det i allra flesta fall kulturminnesvård, konst eller möjligen kvalitet.
Inte ens som autenticitetens betydelse i relation till juridiskt bevisvärde har skapat några större textmängder vilket påpekas i en av de få avhandlingar från senare år som har detta tema ( av Jonas Ekfeldt).
De många utredningar som genomförts rörande digitalisering har inte fördjupat sig autenticiteten utan den nämns endast flyktigt som i SOU 2018:25 där ordet autenticitet finns med två (!)
gånger på 562 sidor.
Visserligen diskuteras signaturer i ett avsnitt men som jag ser det är det enbart en delmängd av frågan och här presenterad helt utan större kontext.
Det enda glädjeämnet är en tio år gammal text av , numera landsarkivarie i Härnösand.
Ett första steg för många för att förstå begreppet autenticitet är att gå till de standarder som ofta tillmäts kvaliteten att kunna ge definitioner.
Jag har här valt två centrala standarder för området som även fått förleden SS för att ange att de ska ses som svenska standarder.
Den första är SS-ISO 15489_1 2016 som är en standard för hantering av verksamhetsinformation till vilken allt oftare arkivarier hänvisar.
Ur ett arkivperspektiv är möjligheten att bedöma graden av autenticitet en nödvändig förutsättning för i princip alla moment i hanteringen och det är därför av intresse att se vilket stöd standarden ger för att närma sig frågan.
Trots att den alltså är en svensk standard finns den ännu inte, såvitt jag kan se, översatt till svenska.
Inga förändringar har dock gjorts från en tidigare version av standarden som hade följande svenska definition: Att handlingen visar att den är vad den utger sig för att vara, Att den är skapad eller skickad av personen som uppgett sig för att ha skapat eller skickat in handlingen Att handlingen blivit skapad eller inskickad i den angivna tiden Även bortsett från den förvirrande användningen av begreppet ”handling” som skapar så mycket språkförbistring när arkivarier ska kommunicera den övriga mänskligheten (det är liksom både bärare och informationsinnehåll på en gång) så är denna definition fertil grogrund för ett antal frågor.
Som det första cirkelargumentet att handlingen (som bärare gissar jag) i sig demonstrerar något som ger autenticitet.
Som att den tycks se autenticitet som ett binärt begrepp; antingen är handlingen autentisk eller inte.
Som att autenticitet på något vagt sätt har med post att göra.
Som att autenticitet är knuten till en enskild person.
Om vi istället går över till informationssäkerheten och ser vad den svenska terminologin som SIS gav ut 2015 säger blir frågorna inte färre.
Där uppges följande: äkthet avseende uppgivna uppgifter; särskilt rörande påstådd identitet och meddelandens ursprung och innehåll Den tekniska process vari äktheten, autenticiteten bekräftas kallas autentisering.
Denna kontroll kan avse entiteter såsom användare, processer, systemkomponenter och informationsobjekt Pluspoäng för att man nämner ordet ”äkthet” och att autentisering kan gälla olika typer av komponenter.
I övrigt är det rätt svårt att förstå vad som egentligen kännetecknar autenticitet.
Vad som mest intresserar mig är dock att autenticitet valts bort som en central dimension av informationssäkerheten i ISO 27000:s tolkning.
Istället har riktighet upphöjts till en av de tre särskilda omnämnda värdena och då med denna betydelse (fortfarande enligt terminologin): skydd mot oönskad förändring Definitionen ser till skyddet medan egenskapen ”riktighet” får förstås implicit som typ oförändrad information.
Jag har svårt att förstå denna prioritering mellan begreppen.
Hur man kommit fram till den är som eljest i standardsammanhang dolt, de diskussioner, överväganden och möjligen utredningar som lett fram till olika ställningstaganden finns inte presenterade någonstans.
Bristen på den transparens och strävan efter delaktighet som finns inom exempelvis akademin saknas då standarder etablerar sina sanningar.
Riktighet kan i bästa fall ses som en delmängd av det större begreppet autenticitet.
Därför bör autenticitet eftersträvas som ett huvudmål snarare än riktighet, en uppfattning som skulle varit rimlig redan innan det digitala samhälle vi nu har fötts.
När information hela tiden skapas, transformeras och kommuniceras med oändliga möjligheter att avsiktligt eller oavsiktligt göra den missvisande vad det gäller upphov, kvalitet och intention borde autenticiteten vara en naturlig fokalpunkt för informationssäkerhet, digitalisering och arkiv.
För att inte tala om AI och deep fake.
Informationssäkerhet och valet av riktighet framför autenticitet – varför blev det så?
Bortsett från min generella hypotes om den anti-intellektuella hållning som präglar området är en spekulation att riktighet valts p.g.a.
många i branschen rekryterats från it-hållet och därför känner sig bekväma med ett databassynsätt, d.v.s.
att information i ett system ska skyddas mot förändring.
Eftersom denna snäva beskrivning av risker är otillräcklig sett till verkliga organisationers behov har man därför behövt gå in och trixa med begreppet spårbarhet för att få någon slags relevant beskrivning.
Därav det neurotiska förhållandet till spårbarhet, ett begrepp som är så tabuiserad att det inte ens går att diskutera för de rättroende.
Synd tycker jag vilket jag skrivit om Mitt förslag för att få en mer täckande beskrivning av förhållanden som behöver beskrivas är att använda konfidentialitet, autenticitet, spårbarhet och tillgänglighet.
Riktighet kan då placeras in under paraplyet autenticitet som en nödvändig men inte på långt tillräcklig aspekt att bedöma.
Dock räcker inte de definitioner som de två standarderna ger för att fylla det behov av att beskriva informationens äkthet som vi har i digitaliserad värld.
Hur ser då detta behov ut?
Kärnan i frågan är att kunna säkerställa en informationsmängds kvalitet i form av ”äkthet”.
För att ytterligare ringa in vad som åsyftas så består autenticiteten inte bara av att informationen är oförändrad (det som åsyftas med riktighet) utan även att den är vilket också kan formuleras att den har ett .
Som ett enkelt exempel: för att ett avtal ska kunna ha ett bevisvärde räcker det egentligen inte med en signatur även om det accepterats under lång tid.
Vad som krävs är att det går att härleda vem det är som undertecknat men framför allt om denna någon hade mandat att underteckna avtalet o.s.v.
Det är inte heller så att en tavla signerad med namnet Picasso övertygar alla som en äkta dyrgrip.
Den kanske bästa och enklaste illustrationen av bevisvärdets betydelse för autenticiteten finns att hämta i utvecklingen av sedlarnas historia som betalningsmedel.
De första sedlarna var egentligen kvitton på insatta medel hos en bank.
Kvittot kunde sedan användas för att på ett smidigt sätt kunna sköta betalningar utan att behöva släpa omkring högar av metaller.
För att denna effektivisering av ekonomin skulle kunna vara möjlig krävdes institutionella förutsättningar för att den enskilda sedeln skulle accepteras som autentisk och inte som vilken papperslapp som helst.
Det räcker inte med att siffrorna på sedeln är ”riktiga” utan den måste också omges andra skyddsåtgärder för att kunna accepteras som äkta.
Jag laborerar med tanken att se autenticitet som en inversion av källkritikens principer.
Det betyder att autenticitet inte är binärt utan en glidande skala av möjlighet att bedöma äktheten, beroenden, tendens, tidsförhållanden, närhet till händelsen o.s.v.
De tekniska lösningarna kan sägas ”låsa” den organisatoriska kontext som omgett informationen i olika skeden och därmed ge ett bevisvärde.
I ett långsiktigt måste de organisatoriska förhållandena som skapar autenticitet kunna återskapas på ett säkert sätt även om tekniska lösningar förändras och information migreras (kedja som ej bryts).
Inom arkivområdet används begreppet proveniens för att beskriva förhållandet mellan information, organisation och i förlängningen äkthet.
Frågan om autenticitet är principiellt densamma i digitala som i analoga informationsmängder.
Komplexiteten har dock växt explosionsartat från det kinderägg-tillstånd där information, bärare och autenticitetsskapande faktor var oupplösligt sammanfogade som i ett undertecknat pappersavtal.
Genom digitaliseringen lever dessa tre komponenter sina egna liv där samma informationsmängd kan finnas på ett otal antal bärare och med olika nivå av autenticitet.
Direkt rafflande blir det med funktioner som ”Dela dokument” i Office 365 där mottagaren får ett dokument som inte behöver vara detsamma eller ens finnas kvar när mottagaren tar fram det en andra gång i sin e-post.
Att skapa autenticitet momentant skulle i sig vara en rejäl utmaning men för att strö ytterligare salt i såren så är kravet på autenticitet utan slut eftersom trots det information over flow vi lever i så måste ansenliga mängder av den information som skapas bevaras under lång tid eller för evigt.
Kraven på att kunna arkivera information på ett säkert sätt är självklart inte mindre nu än tidigare.
Det betyder att tilltron till informationens autenticitet inte bara ska kunna upprätthållas i ett år utan i 100 eller 1000 år för många informationsmängder.
Tänk patientjournaler, tänk urkunder i statsförvaltningen, tänk instruktioner för hanteringen av utbränt kärnbränsle, tänk mätvärden av klimatet….
Att med detta perspektiv se det mycket begränsade resonemangen om exempelvis, e-leg, e-signaturer och e-arkiv känns frustrerande.
I en tid då vi pratar så mycket om fake news och risken för negativ informationspåverkan borde verktygen för att skapa och upprätthålla autenticitet slipas.
Det finns redan viss teori om proveniens och processuella värden som skapar autenticitet inom arkivdisciplinen liksom en rad techne-åtgärder inom informationssäkerhetsområdet för autentisering och validering t.ex.
Dessa kunskapsområden borde dock tillåtas expandera och dessutom befrukta varandra för att vi ska komma närmare strategier för att skapa den autenticitet som krävs på både kort och lång sikt.
Det som hindrar detta tror jag är den korta händelsehorisont som gör att vi plumsar in i jättelika digitaliseringsprojekt utan att se längre fram än möjligen införandeprojektets avslut.
Bristande strategisk inriktning, kunskapsutveckling och samarbete mellan ansvariga myndigheter är en annan.
Group think inom informationssäkerhets- respektive arkivarieskrået som skapar en oförmåga att famna de stora frågorna en tredje där standardarbetet förefaller ha fungerat som en starkt konserverande faktor framför allt för informationssäkerheten.
Sist men inte minst styrningen av digitaliseringen i hög grad överlåtits till leverantörer av tekniska lösningar samt management.
För att komma vidare bör vi alltså försöka undanröja ovanstående hinder för att kunna skapa en mer funktionell plattform för att skapa den nödvändiga autenticiteten.
När tanken låser sig kan ett trick vara att tänka på att information är dagens hårdvaluta och jämföra med hur sedlar och andra metoder för penningtransaktioner hanteras.
Det är högintressanta tider då vissa frågor ställs på sin spets.
I min begränsade värld är en av dessa frågor det så kallade e-arkivet, denna företeelse så omgiven av förväntningar och föreställningar.
Under den senaste tiden har två stora händelser timat inom området: Statens servicecenter misslyckades med sin upphandling av e-arkiv och SKL Kommentus Inköpscentral (fortsättningsvis kallad SKI) lyckades med sin.
Det kan tyckas vara två mycket likartade händelser men ju mer man gräver så framstår skillnader allt tydligare.
Jag är ju en enkel konsult vars främsta uppgift är att försörja mig men eftersom jag misstänker att ingen annan bättre lämpad funktion tänker göra någon analys av varför det gick som det gick fattar jag ändå pennan/tangentbordet.
En brasklapp är naturligtvis att jag inte har den tid och de resurser som krävs för att göra en fullständig analys utan att jag enbart kommer att ta upp vissa aspekter som särskilt intresserar mig och då främst säkerhetskraven.
I ingetdera fallet kommer jag att kommentera de konsulttjänster som ingår i upphandlingarna utan endast upphandlingen av själva tjänsten eller applikationen.
För att förstå dessa upphandlingar behöver några basala förutsättningar slås fast.
Något som är självklart för den med litet insikt i arkivfrågor är att lagring av digital information inte täcker begreppet e-arkiv.
Här finns dock inte utrymme att gå igenom alla intrikata aspekter men låt mig poängtera vissa grundläggande frågor: Ovanstående punkter sammantaget med att Riksarkivet, för att uttrycka det milt, inte är direkt sugna på att ta emot digital arkivinformation och det inte heller finns en övergripande strategi för den långsiktiga nationella arkivverksamheten försätter myndigheterna i en svår situation.
Man har helt enkelt en exponentiellt växande digital informationsmängd att långsiktigt ta hand om utan det finns tydliga lösningar för hur det ska ske.
Förutom myndigheters, kommuner och regioners vånda så är vi nog en hel del som känner en stor oro på samhällsnivå för de stora informationsförluster vi riskerar att göra.
En informationsförlust som inte bara är ett stort hot mot dagens och framtida forskning utan också för vårt gemensamma minne.
Det finns naturligtvis enstaka ljus i mörkret som Sydarkivera som förtjänar att lyftas fram men som helhet ser det tämligen mörkt ut.
Det är alltså i denna kontext som de två upphandlingarna ska sättas in och som kanske kan ge en förklaring till varför de utfallit som de gjort.
Inledningsvis kan slås fast att de två upphandlingsprojekten knappast kan ha haft mycket samröre.
Olikheten i synsätt och begrepp är iögonfallande trots att det i båda fallen handlar om offentlig sektor och delvis överlappande verksamheter.
En sak är dock den samma för båda upphandlingarna: det handlar inte om att upphandla en lösning för det långsiktiga arkivbehovet.
I stället uppfattar jag det mer som att göra en quick fix i väntan på något mer bestående.
Det är alltså möjligen lösningar för mellanarkiv vi pratar om där information av olika karaktär (allmänna handlingar och annat) lagras under en i arkivperspektivet begränsad tid för att därefter gallras, rensas eller föras över till en slutförvaring.
Såvitt jag kan se handlar också lösningar om överföring från system till system eller från system till tjänst, ingen inriktning mot ett mer infrastrukturellt tänkande finns med.
Jag är inte förvånad över detta men vill ändå betona detta.
Trots likheten i behov har SSC och SKI hamnat i två helt olika upphandlingar.
SSC har sedan 2014 bedrivit sitt upphandlingsprojekt där också ett antal statliga myndigheter deltagit och varit utsedda som ”pilotmyndigheter” (bakgrunden finns ).
Utifrån regeringsuppdraget lämnades en första delrapport 2015 med ett förord signerat både av SSC:s GD och riksarkivarien.
Jag vill inte undanhålla läsaren sammanfattningen i rapporten som var följande (felstavning inkluderad): Det finns goda förutsättningar för att skapa en förvaltningsgemensam tjänst för e-arkiv.
· Det blir en minskad investeringskostnad och en besparing för staten som helhet.
· Bara genom att etablera ett gemensamt e-arkiv istället för sju separata för pilotmyndigheterna, sparar staten flera tiotals miljoner kronor.
· Det finns etablerade arbetsätt för e-arkivering · Marknaden är mogen och det finns system och leverantörer.
· Sju pilotmyndigheter har skrivit på en avsiktsförklaring om att ansluta sig till tjänsten.
Förutsättningar för fortsatt arbete: · Regeringen behöver undanröja de juridiska hindren genom en förordningsändring.
· Statens servicecenter (SSC) och Riksarkivet förordar att projektet går vidare till krav- och upphandlingsfas, under förutsättning att regeringen bidrar med tillräcklig finansiering.
Även den som är luttrad från digitaliseringsprojektens närmast obligatoriska glädjekalkyler kanske ändå hoppar till litet vid sådana diffusa fördelar som att staten ska ”spara flera tiotals miljoner kronor”.
Konstateranden som att det finns en mogen marknad för e-arkiv och dessutom etablerade arbetssätt för e-arkivering känns idag 2019 som önsketänkanden och var det ännu mer 2015.
Det var utgångspunkterna för projektet som visserligen har haft riksarkivarien som styrgruppens ordförande och en stilig projektdokumentation men som ändå slutade i att upphandlingen av en nationell molntjänst avbröts strax före jul 2018.
Vad SSC under fyra år försökt upphandla är alltså en molntjänst för ett stort antal myndigheters e-arkiv (om man ser till de tillväxtstaplar som presenterats i projektet): Den ”tjänst” som Statens servicecenter efterfrågar i denna upphandling är således att betrakta som en sammanhållen leverans och ska inte förväxlas med begreppet ”Software as a service” (SaaS).
Skillnaden är att den grundläggande arkivmjukvaran upphandlas i form av en programvarulicens medan de övriga delarna i leveransen upphandlas som en tjänst på månadsbasis.
Istället för en normal upphandling av molntjänsten valde SSC att göra en så kallad konkurrenspräglad dialog.
Statens servicecenter har valt konkurrenspräglad dialog som upphandlingsförfarande då det inte är möjligt att utforma samtliga krav på tjänsten i förväg.
Med tanke på komplexiteten i uppdraget och de rättsliga förutsättningarna krävs dialog med erfarna leverantörer för att slutgiltigt utforma kraven.
Detta är enligt mig en mycket svår upphandlingsform inte minst när det gäller applikationer och molntjänster.
För att kunna styra en sådan upphandling krävs en mycket fast hand från kunden för att inte hamna på olika typer av grynnor och skär.
När då kunden redan inledningsvis skriver att man inte kunnat utforma kraven på tjänsten känns den fasta handen rätt avlägsen.
Som säkerhetsintresserad börjar man skruva på sig; att upphandla en nationell molntjänst med en glidande kravspec känns…obehagligt.
Låt oss då se på säkerhetsinriktningen i SSC:s konkurrenspräglade dialog.
För det följande är det viktigt att ha i åtanke att syftet med processen att nå fram till leverantör av en molntjänst, d.v.s.
en tjänst där stora mängder offentlig ackumuleras.
Kravet på tjänsten har varit att den ska kunna hantera den information som kundmyndigheterna väljer att stoppa in, även sekretessreglerad information.
Däremot inte hemliga handlingar: den förvaltningsgemensamma tjänsten för e-arkiv ska inte dimensioneras för hantering och lagring av hemliga uppgifter och handlingar.
Hemliga uppgifter och handlingar ska därför fortsatt, och av kundmyndigheterna själva, förvaras på annat sätt e-arkivet som sådant bör betraktas som säkerhetskänslig verksamhet – av betydelse för rikets säkerhet.
Detta bland annat mot bakgrund av de stora informationsmängder, från många myndigheter, som ansamlas i lösningen och de konsekvenser som till exempel ett bortfall av tjänsten skulle kunna medföra för berörda verksamheter – och för samhället Redan här väcks många frågor.
Om man ser det potentiella e-arkivet som en säkerhetskänslig verksamhet enbart p.g.a av att det ansamlas stora informationsmängder varför då utan närmare argumentation välja en lösning som leder just till detta?
Följden av beslutet har blivit att man valt att göra en upphandling med krav på säkerhetsskyddsavtal på nivå 1, alltså den högsta nivån.
Detta ställer stora krav på leverantören som att införa en säkerhetsskyddsorganisation, att välja vissa specifika säkerhetslösningar och att införa utvidgade säkerhetskontroller av anställda.
Förutom att säkerhetsskyddsåtgärderna av naturliga skäl kan minska effektiviteten i lösningen innebär ökade kostnader och därmed ökat utpris för kunden.
Det innebär minskad integritet för anställda och i många fall även fördyrande krav i kundens egen verksamhet.
I detta fall ställer jag mig också tveksam till på vilket sätt e-arkivet om det inte upprätthåller tillgängligheten skulle utgöra ett hot mot Sveriges säkerhet liksom att antagonistiska hot skulle vara den primära risken (jag går inte djupare på den nya lagens syn på riktighet och tillgänglighet eftersom den är i bästa fall oklar).
Om detta synsätt sprids, d.v.s.
att det visserligen inte är säkerhetskänslig information som kommer att hanteras i lösningen men vi kommer ändå att använda SUA, så kommer i princip varenda molntjänst som används i offentliga uppdrag av privata och offentliga aktörer att falla under säkerhetsskyddslagen.
Om säkerhetsskyddslagens syfte är att skydda ”det mest skyddsvärda” så kan vi inte låta det gå inflation i tillämpningen så att den blir det nya normala.
Jag vill bara framföra ett milt: sansa er och försök tänk på konsekvenserna av detta (även om utredningen som ny säkerhetsskyddslag hade en ytterst sangvinisk konsekvensanalys, återkommer till det i ett senare inlägg).
Det kanske mest häpnadsväckande är att informationsklassning och skyddsnivåer inte nämns vare sig i inbjudan eller bilagan.
Utan kommentar förutsätts alla myndigheter ha samma behov av säkerhet och kravs ställs inte på leverantören att kunna leverera tjänsten på olika fastställda skyddsnivåer.
Min fundering blir då vem som blir riskägare i det här konceptet om kundmyndigheten inte kan påverka tjänsten.
Detta känns igen från SSC:s övriga tjänster vilket jag ser som ett grundproblem med hela konstruktionen.
Förutom detta ställde SSC även krav på certifiering mot ISO 27001 eller motsvarande icke-certifierat ledningssystem, SOA samt beskrivning av säkerhetskontroller.
Detta är ett krav som måste finnas med men som i praktiken, enligt min erfarenhet, inte utgör en garant för ett väl fungerande säkerhetsarbete.
Hunnen så här långt i genomgången av upphandlingen pockar två frågor på.
För det första har SSC begränsat antalet möjliga leverantörer mycket starkt.
Fyra års utredande borde ha gett en marknadsanalys som påvisat att det finns mycket få svenska leverantörer som kan eller vill leverera på dessa villkor.
Historien visar ju också att endast en leverantör återstod när upphandlingen avslutades.
Den andra frågan är varför denna upphandlingen sker över huvud taget.
Ett alternativ hade varit att gå ut i en vanlig ramavtalsupphandling där Riksarkivet kunnat bistå med expertkunskap på samma sätt som de nu gjort i SSC:s upphandling.
Vad exakt tillför SSC som inte myndigheterna skulle kunna få i en direktrelation med leverantörerna?
Eftersom man då skulle kunna få fler leverantörer skulle förhoppningsvis den koncentration som påkallat säkerhetsskydd kunnat undvikas (ja, här ligger en mycket, mycket större fråga om den totala mängden tjänster hos leverantörerna och ramavtalens oligopolskapande kraft men jag hinner inte ta den nu).
Till detta kommer en bilaga med ganska ordinära säkerhetskrav.
Några reflektioner kan dock göras.
Påfallande många av kraven är inexakta av typen att leverantören ska beskriva vilken säkerhetsfunktionalitet finns.
En förvånansvärt stor andel av det som kan kallas säkerhetskrav ägnas åt fysisk säkerhet.
Och som sagt: nivåer saknas.
Sammantaget skulle det skapa stora svårigheter för kundmyndigheten att bedöma vilken den faktiska säkerheten i leveransen blir.
Om man summerar SSC:s kravbild inklusive orimliga krav som att leverantören ska ha erfarenhet av att tillämpa Riksarkivets FGS i praktiska lösningar vilket i princip är en omöjlighet eftersom det knappt finns några FGS:er så undrar jag om SSC verkligen velat ha en leverantör.
I förtroende har leverantörer förmedlat att har saknats dialog trots den upphandlingsform som valt och som bygger på just dialog.
Trots att endast en leverantör återstått under det sista året har upphandlingen rullat på och därefter avslutats bland annat med motiveringen att det var för få leverantörer.
I upphandlingsunderlaget återkommer följande formulering: Under avtalstiden kan uppdraget komma att begränsas eller på annat sätt förändras med anledning av författningsändringar eller förändrade uppdrag för Statens servicecenter.
Bland annat kan det bli aktuellt för statliga myndigheter att ansluta till en så kallad statlig molntjänst.
Med tanke på att företrädare för SSC ofta vädrat en önskan om att få uppdraget att ta över statlig it-drift och skapa en statlig molntjänst så kan inte tanken att angelägenheten att få affären i hamn kanske inte var helt odelad helt viftas bort.
SKI:s upphandling är en förnyad sådan så man får anses ha mera erfarenhet på området än SSC.
Av teoretiska och praktiska orsaker är jag tilltalad av SKI:s inriktning att använda definitionen ”funktion för e-arkivering” även om det finns aningen av ironi i motstridigheten när funktionen beskrivs som I definitionen av funktionen för e-arkivering beskrivs e-arkiv i termer av vad e-arkivet ska klara av, vilka behov som ska tillgodoses, snarare än vilka funktioner som ska finnas.
Detta är en betydligt mer öppen upphandling i meningen att det finns möjlighet för kunderna att använda avtalet både för att kunna köpa en molntjänst och för att köpa en applikation för egen drift.
I alla fall hypotetiskt minskar det risken för den koncentration som föranledde kravet på SUA för SSC.
SKI har alltså valt att inte göra en SUA, helt korrekt enligt mig.
Det ger också kunden möjlighet att lägga till egna säkerhetsåtgärder i en applikationsdrift och anpassa applikationsdriften till egna skyddsnivåer.
Att flera leverantörer finns på ramavtalet minskar inte bara koncentrationen av information utan gör också lättare att välja en leverantör som motsvarar den egna kravbilden utöver det som står i ramavtalet.
Jag tror (med betoning på tror) att ramavtal är en bättre lösning även ur säkerhetssynpunkt om det är oklart vad en mellanliggande myndighet ska tillföra eftersom kunden då har möjlighet att ha direktkontakt med leverantören.
Applikationsdrift i all ära men för mindre verksamheter kan molntjänster innebära en mycket bättre säkerhet än vad man kan skapa själv (har redan skrivit om detta ett antal gånger så jag vevar inte argumentationen ytterligare en gång).
Inte heller i SKI:s upphandling finns skyddsnivåer definierade även om informationsklassning nämns som en del i de konsulttjänster som kan avropas.
Krav på certifiering ställs inte och säkerhetskraven är inte frilagda på samma sätt som i SSC:s upphandling.
Likaså är många kraven av samma något diffusa karaktär som i SSC:s upphandling.
Det är därför svårt att på rimlig tid skapa en bild av hur den tänkta säkerhetsarkitekturen ser ut.
Jag tror dock att det varit enklare att hitta fram till ett samförstånd i denna upphandlingstyp än i den konkurrenspräglade dialogen som SSC valde som upphandlingsform.
Ett problem med båda upphandlingarna är att det är svårt att se vilka riskbedömningar som gjorts och det är även svårt att se något systematiskt arbete som föranlett de säkerhetskrav som faktiskt ställts.
Jag uppfattar det inte som att säkerhet varit en väl analyserad fråga i upphandlingarna även om SSC drämde i med storsläggan säkerhetsskydd.
Generellt skulle jag vilja hävda att kunden som använder SKI:s ramavtal har större möjlighet att påverka säkerheten i sin informationshantering än den tänkta kunden hos SSC.
Hur stora koncentrationer av information ska hanteras är en fråga på nationell nivå där jag inte tror att säkerhetsskydd är lösningen.
I båda fallen har (eller skulle ha haft) kunden ett drygt arbete att analysera sitt säkerhetsbehov innan en tjänst kan tas i drift.
En from förhoppning är fortfarande att ta fram gemensamma skyddsnivåer till gagn både för kunder och leverantörer.
Ytterligare en önskan skulle vara att tydligare utgå från de tilltänkta kundernas situation och möta dem där de är.
Om ett nationellt ”e-arkiv” ska byggas upp bör behov och lösningar analyseras mycket mer noggrant.
Det handlar om både organisation, tjänster och infrastruktur.
De utredande ansatser som gjort av SSC övertygar mig inte om att denna myndighet är rätt instans för detta uppdrag.
Under en övergångsperiod menar jag att den realistiska lösningen är att upphandla tjänster.
En observation som kan göras är att den organisation som har till uppgift att göra upphandlingar är den som lyckas.
En lärdom av detta kan vara att uppmärksamma hur komplicerad själva upphandlingsprocessen är och att den bäst sköts av en organisation med expertkompetens.
Att ha icke-koordinerade lösningar mellan stat och kommun/region är olyckligt.
Eftersom informationen flödar mellan arkivbildare bör det konceptuellt vara samma typ av lösningar.
Här finns även möjlighet att ge stöd för de privata utförarna av offentliga uppgifter – ett område som nu tycks bortglömt.
Slutligen vill jag, som så ofta, understryka betydelsen av att Riksarkivet tar ett betydligt större ansvar för e-arkivfrågan.
Det gäller både operativt i rena kravställningar men också strategiskt.
Redan nu görs enorma informationsförluster vilket borde sporra Riksarkivet till att göra det till sin huvudfråga.
Föreställningen om att e-arkiv handlar om att överföra information från ett system till ett annat måste överges och de stora informationsarkitekturerna prioriteras.
För att lyckas med krävs mycket stora insatser.
Två viktiga steg menar jag är att befria SSC från uppdrag inom e-arkivområdet och att inse att det som nu kallas e-arkiv egentligen är ett informationshanteringssystem som inte löser den långsiktiga arkivfrågan.
Därefter bör ett nytt uppdrag skapas.
Grunden för ett sådant uppdrag bör vara att staten nu (och sannolikt inte under överskådlig tid)inte har förutsättning att utveckla informationshanteringslösningar i den omfattningen själv.
Att omforma eller kopiera SKI:s ramavtal så att även statliga myndigheter kan använda det är ett sätt att skapa förutsättningar för en mogen marknad där leverantörer kan se en långsiktighet som gör att de vågar investera i utveckling.
Tillägg 2019-02-10: Uppmärksamma läsare har hört av sig och sagt Kammarkollegiets ramavtal innebär en möjlighet för alla aktörer inom offentliga sektor att upphandla e-arkivlösningar för installation i den egna miljön.
Definitionen av e-arkiv är på samma sätt som övriga sparsmakad och på samma gång förbryllande, arkivarie som jag är har jag svårt att uppfatta skillnaden mellan arkivering och långtidsarkivering: Anbudsgivare ska erbjuda minst en programvara för e-arkiv för installation i kunds it-miljö.
Med e-arkiv menas en programvara för arkivering och långtidsarkivering av handlingar för installation i kunds it-miljö Naturligtvis borde jag nämnt avtalets existens.
Jag har dock redan i ett tidigare inlägg beskrivit hur jag försökt få svar på vilken säkerhet dessa leverantörer kan erbjuda utan att lyckas (ingen svarade).
Dessutom går ramavtalet såvitt jag kan se ut den sista november i år.
Att avtalstiden snart går ut ökar möjligheterna för att ta ett större grepp om frågan.
Eftersom frågan om spårbarhetens vara eller icke vara som en självständig aspekt av informationssäkerhet är återkommande diskuterad ska jag här göra ett inlägg i frågan.
Bakgrunden är den så kallade CIA-triaden som kommer från engelskans Confidentiality, Integrity och Availability vilket ofta på svenska översatts till konfidentialitet, riktighet och tillgänglighet.
Detta är kanske inte en optimal översättning vilket möjligen är en delorsak till de olika uppfattningar som finns om hur detta ska tolkas.
Huvudorsaken skulle jag dock vilja hävda att det med förvånande kraft hävdas att det bara finns en möjlig beskrivning av vad arbetet med informationssäkerhet syftar till och att det fångas i den svenska definitionen.
Vi (inte så få) som vill problematisera begreppen för att få dem mer anpassade till de behov vi uppfattar finns möts av tystnad.
För att ge så gott underlag som möjligt för en diskussion ska jag försöka vara tydlig och transparent som möjligt i min argumentation och hoppas att få svar i samma anda.
Utgångspunkten för mitt resonemang är ett statement som jag mer uppfattar som en dogm och som ofta formuleras som kofindentialitet, riktighet och tillgänglighet är den verkliga kärnaspekterna i informationssäkerheten och att spårbarhet är en osjälvständig stödfunktion till de övriga tre.
Nyligen såg jag det formulerat som fast sats: konfidentialitet, riktighet och tillgänglighet är tillstånd, spårbarhet en förmåga.
Vare sig eller kan härledas ur ISO/IEC 27000:2018 (ordlistan för 27000-serien) som genomgående använder property som exempelvis: property of accuracy and completeness Property kan översättas som egenskap.
Inte heller i den terminologi som tagits fram av en arbetsgrupp i SIS: Teknisk Rapport SIS-TR 50:2015 (kan tyvärr inte länka eftersom den inte är fritt tillgänglig) återfinns tillstånd respektive förmåga i denna betydelse.
I rapportens inledning står det: Informationssäkerhet handlar därför om hur informationens konfidentialitet, riktighet och tillgänglighet ska bevaras så att organisationens krav kan uppfyllas.
Dessa egenskaper kompletteras ibland även med en eller flera andra egenskaper, såsom spårbarhet, oavvislighet, ansvarighet, autenticitet och auktorisation.
Här definieras alltså konfidentialitet, riktighet och tillgänglighet som men så även bland annat spårbarhet.
I övrigt förekommer begreppet tillstånd litet här och var men aldrig på det sätt som i satsen ovan.
Närmast kommer man i beskrivningen av informationssäkerhetsmodell: Enheterna i ett system indelas i logiska grupper av subjekt (användare och deras processer), objekt och resurser.
Egenskaper hos ett önskvärt, ”säkert” tillstånd definieras och det visas att varje tillståndsövergång bevarar säkerheten vid övergång från ett till-stånd till ett annat.
Ett säkert tillstånd kräver att samtliga tillåtna åtkomstfall överensstämmer med fastställda säkerhetsregler.
Jag tolkar denna beskrivning liksom de andra tillstånd som ändå förekommer i handboken (exempelvis av redundans, anonymitet m.m.)
som en sammansatt helhet som resulterar från flera/många säkerhetsaktiviteter.
Riktighet definieras exempelvis som endast: skydd mot oönskad förändring vilket jag gissar ska läsas med en koppling bakåt till inledningen; att det är en eller möjligen en funktion.
Synsättet att det finns etablerade definitioner som ”tillstånd” respektive ”förmåga” verkar vara en uppfattning som får anses begränsat till vissa företrädare i Sverige som inte har stöd i den terminologi som tagits fram.
Detta synsätt verkar inte hämtat från något internationellt etablerat sammanhang vilket det räcker att göra en slö koll på Wikipedia för att upptäcka.
I artikeln Informations security anges som key concepts som första punkt CIA- triaden med följande beskrivning The CIA triad of confidentiality, integrity, and availability is at the heart of information security.
Inte heller i den svenska akademiska diskussionen förefaller det finnas konsensus eller ens en särskilt omfattande diskussion om CIA-begreppen.
Det gör att jag särskilt höjer på ett ögonbryn då akademiker på högre nivå utan närmare förklaring anammar satser som den ovan beskrivna utan förtydliganden.
Jag är helt enig i att detta är ett key concept – då borde det förtjäna en behandling på akademisk nivå som motsvarar dess betydelse.
Fördelen med att det saknas etablerade och allmänt accepterade definitioner är att det skapar en frihet att undersöka vilket förhållningssätt som är mest ändamålsenligt och samtidigt logiskt konsistent åtminstone på en basal nivå.
Personligen finner jag inte begreppen tillstånd respektive förmåga som särskilt tydliggörande men möjligen kan en begreppsmodellering där tankarna om detta redovisas på ett öppet sätt uppenbara en logik som jag missat.
Om vi ändå i detta sammanhang kan utgå från att det finns ett antal egenskaper som är centrala för att skapa god informationssäkerhet så är nästa fråga vilka dessa är.
Inte heller här råder den fullständiga enighet om CIA-triaden vilket man ibland kan förledas att tro.
Parkerian Hexad konstruerades redan 1998 av som adderade tre aspekter till den ursprungliga triaden: Authenticity, Availability och Utility.
Även aktuella svenska exempel på kritisk diskussion om CIA triaden.
Det av MSB finansierade forskningsprojektet SECURIT landade bland annat i antologin där ett bidrag ( av Björn Lundgren) starkt ifrågasätter CIA-triaden.
Jag kanske inte är helt övertygad om den modell som forskaren anser borde ersätta CIA-triaden men i detta sammanhang är det ändå viktigt att poängtera att det är väl värt att diskutera frågan.
ISO 27000 öppnar ju också upp för att triaden kan kompletteras med ytterligare egenskaper vilket också sker exempelvis i själva standarden i avsnittet om kryptering.
Noterbart är att ISO-standarderna inte har en konsistent hantering av begreppen sinsemellan trots att de riktar sig mot samma objekt (i detta fall informationshantering).
I SS-ISO 30300 (hantering av verksamhetsinformation) anges målen vara vilket är snubblande nära ISO 27000 men med andra definitioner.
I SS-ISO 15489 (Dokumenthantering) är ett tillkommande mål autenticitet.
Här bör en begreppsmodellering göras, särskilt som SS-ISO 30300 börjat spridas främst genom SKL.
Även här finns alltså ett behov av att göra sig redo för att öppna upp och diskutera om och hur centrala begrepp ska användas.
Själv menar jag att det finns skäl för att se närmare även på autenticitet men här ska jag koncentrera mig på spårbarhet.
Istället för att som nu negligera spårbarhetsbegreppet finns det anledning att lyfta upp det och se hur dess betydelse ökat under de senaste årtiondena och detta i flera dimensioner.
För det första är det den mest självklara dimensionen att på ett säkert sätt kunna följa vad som hänt i informationshanteringen både som en följd av mänsklig aktivitet och som tekniska händelser.
I det allt mer transaktionstäta informationsflödena där en mängd aktörer är detta en alltmer central funktion.
Här gäller detta att även uppfatta egenskapen spårbarhet som en negation, det vill säga att undvika spårbarhet till exempel som skydd för den personliga integriteten.
För att bara räkna upp några krav som inte endast omfattar informationens konfidentialitet, riktighet eller tillgänglighet utan där det också ställer krav på en hög grad av spårbarhet: Kraven på spårbarhet har också en tydlig koppling till konkreta säkerhetsåtgärder där loggning är den främsta åtgärden för att skapa spårbarhet i it-tjänster.
Loggning sker även i ett antal andra typer som i inpasseringskontrollssystem, telefoni, chatt och andra kommunikationslösningar.
I den manuella informationshanteringen kan det behöva finnas rutinerna som bland annat kan omfatta signering, vidimering, kontrollerad versionshantering och kvittensförfarande.
Observera också att om dessa åtgärder inte kan matchas mot ett definierat krav på spårbarhet kan det innebära stora merkostnader, inkräktande på den personliga integriteten och ytterst leda till lagöverträdelser om det inte går att motivera åtgärden.
För att illustrera behovet inom den samhällsviktiga verksamheten sjukvård finns det gott stöd att hämta i det paper som presenterades av Ella Kolkowska, Karin Hedström och Fredrik Karlsson vid Örebro University på en konferens redan 2009: (tillgängligt via DIVA).
Spårbarheten är alltså direkt kopplad till målsättningen för kärnverksamheten och ytterst till patientsäkerheten.
Att då som SKL ta bort spårbarheten ur sitt klassningsverktyg förefaller inte direkt som att anpassa säkerheten efter verksamhetens behov och inte heller att värna sina medlemmars intressen.
Observera också att spårbarhet inte enbart handlar om att spåra användares aktiviteter utan själva informationen.
Här finns en naturlig övergång till de andra syften som spårbarheten kommer att behöva tjäna i allt högre grad.
Den första är för att skapa autenticitet, en kvalitet som blir allt mer uppenbart nödvändig.
Spårbarhet är en tydlig faktor för att kunna skapa autenticitet och oavvislighet vilket är ett krav från arkivsidan.
I den informationshantering som sker i offentlig sektor borde alltså rimligen spårbarhet upphöjas till triadnivå, särskilt sett till kravet på rättssäkerhet och att kunna tillhandahålla information för forskningsändamål.
Jag lämnar nu autenticiteten i förhoppningen att övertygelsen om betydelsen är väl känd.
Istället ska jag skriva om något som tilltar ännu mer i betydelse, nämligen möjligheten att reproducera information.
Idag sammanställs den information som visas på skärmen från ett växande antal källor, olika tjänster och applikationer.
För att kunna reproducera information såsom den såg ut vid ett visst givet tillfälle kommer att krävas allt mer avancerade funktioner av spårbarhet.
Den som har följt ett it-avbrott på närmare håll vet att den inte enbart leder till tillgänglighetsproblem utan även till en rad andra negativa konsekvenser.
En sådan är att man ofta får versionsproblem där blir svårt att säkerställa vilken den senaste versionen av olika informationstyper var.
När fel version av en delmängd körs kan det skapa mycket stora problem där hela tilltron till informationslösningen kan gå om intet.
En fatal variant är när information förlorats utan att det går att spåra att den försvunnit.
För att sammanfatta: jag kan inte se att det finns något stöd för att begreppen tillstånd respektive förmåga är etablerade som beskrivning för olika aspekter av informationssäkerhet utan snarare att skulle vara det mest använda internationellt begreppet vilket också används i ISO 27000.
Det görs heller ingen hierarkisk skillnad mellan egenskaper av den typ som framgår i uppdelningen tillstånd/förmåga.
För att försöka vara vitsig är det svårt att spåra var uppfattningen om tillstånd/förmåga har uppstått och på vilka grunder.
CIA-triadens uppräkning av egenskaper är återkommande diskuterad och kan kompletteras vid behov även enligt ISO 27000 med till exempel spårbarhet.
I detta sammanhang vill jag understryka att en portalprincip i ISO 27000en ska anpassas till verksamhetens behov, det är alltså inte standarden i sig som skapar låsningar.
Om en uppfattning är att standarden kan anpassas till verksamhetens/samhällets behov menar jag att det gör det omöjligt att använda standarden som stöd för nationell (eller lokal) styrning av informationssäkerhet.
Det finns ju liksom inget egenintresse i att följa en standard.
Det skulle behövas en riktigt djupborrande analys på flera nivåer av hanteringen av aspekten spårbarhet i Sverige.
Jag när fortfarande ett hopp om att de som ger uttryck för starka åsikter gällande spårbarhet kan ta sig tiden att utveckla hur de tänker och inte bara konstatera sin uppfattning.
Detta är inte bara en teoretisk tankelek utan frånvaron av spårbarhet eller motsvarande som styrmedel för informationssäkerheten får mycket allvarliga konsekvenser för bland annat hälso- och sjukvård men även för förmågan att upprätthålla kontinuitet, för dataskydd och för det långsiktiga bevarandet.
Ett särskilt problem ligger i att det inte går att ta del av vare sig de resonemang som ligger bakom olika ställningstaganden eller själva standardtexterna eftersom de inte fritt tillgängliga trots att de utgör underlag t.o.m.
för föreskrifter.
Denna bristande offentlighetsstruktur har jag skrivit ett annat blogginlägg om Ett typiskt tecken för en dogm är att bevarandet av dogmen är viktigare än de negativa konsekvenser dess tillämpning får.
Jämför exempelvis med katolska kyrkans dogm att preventivmedel inte är tillåtna.
Dogmen är orubbad trots de uppenbara negativa konsekvenser detta får i form av könssjukdomar och oönskade graviditeter vilket i sin tur leder till illegala aborter med oerhört lidande och död.
I fallet med katolska kyrkan går det ändå att se vem som har ansvar för dogmerna med de dödliga konsekvenserna men vem tar ansvar för dogmer inom informationssäkerhetsområdet och de eventuella konkreta följder de kan få?
Informationssäkerhet är inte en religion och vi har inget stöd av högra makter (tror jag).
Därför när jag en from förhoppning att vi gemensamt ska försöka eliminera de drag av dogmatism som ändå florerar.
För att hantera de enorma säkerhetsutmaningar vi står inför har vi inte råd att bygga säkerhetsåtgärder på resonemang som inte tål att prövas utan vi kommer istället att behöva pröva våra intellekt till det yttersta för att åter och åter hitta de bästa lösningarna.
Och vi måste inse att detta inte är teoretiska övningar utan de val vi gör leder till goda eller mindre goda resultat i praktiken och där det ligger ett stort ansvar på oss som arbetar med informationssäkerhet.
Slutligen kan jag inte undgå att tycka att myndigheter inom informationssäkerhetsområdet är de som tillsammans med akademin måste ta ett särskilt ansvar för bryta ner dogmer och bygga kunskap som samhället kan använda.
Nu ser jag fram emot en mängd kloka motargument!
Det är klart man bänkar sig framför tv:n (i ärlighetens namn bakom en datorskärm) när riksdagen har en öppen utfrågning om cybersäkerhet vilket skedde förra Sändningen börjar med en lång och mycket grynig mingelupptagning när alla deltagare och åhörare ska leta upp sina platser.
Trots mitt seriösa intresse för frågan uppstår nästan omedelbart samma problem som under de senaste veckornas rapportering från Svenska akademien; gränsen mellan fiktivt och faktiskt berättande glider ihop.
Jag och mitt sällskap följer de stela tjänstemannakramarna, den tidigare statliga chefen som nu blivit lobbyist som ivrigt söker sällskapet hos sina tidigare kollegor, den aningen nervöse talskrivaren som flackar med blicken och hoppas på att chefen ska hålla sig till manus och inte sväva ut i egna funderingar, den tidigare myndighetschefen som överraskande dyker upp.
Soundtracket till House of cards tonar upp i medvetandet och det är med stigande intresse man följer scenen.
Enda missen sett ur ett underhållningsperspektiv är den tekniska kvaliteten och att personaget inte introduceras.
Den nerv som fanns i minglet dör tråkigt nog ut i samma ögonblick som redovisningarna av vad som sker på cybersäkerhetsområdet börjar.
Först ministern, sedan myndighetscheferna i tur och ordning.
Det mest förvånande är att absolut inget förvånande sägs.
Det är exakt samma saker som sägs som har upprepats i 15-20 år.
Inga nya lösningar, inga nya självinsikter och inga reflektioner av vad som skulle kunna ändras hos myndigheterna själva.
Naturligtvis förekommer ordet ”cyber” mer ymnigt än någonsin och aktuella catch phrases som ”det förändrade omvärldsläget”.
Nya aningen dunkla fenomen som ”civila cyberförsvaret” förs in utan att det klargörs vad exakt detta skulle vara.
Axiom som att brister upptäcks när incidenter rapporteras ventileras.
Det mest genomgående temat är att de utfrågade myndigheterna säger sig behöva ännu mer resurser.
Alltså i sak intet nytt.
Däremot saknar i alla fall jag ett analytiskt förhållningssätt där man faktiskt kommer in på frågan hur intresseavvägningen mellan den effektivitet som digitaliseringen står för och en bättre säkerhet ska göras på samhällsnivå.
Eller hur det demokratiska samhället ska leva ihop med den ständigt ökade övervakningen från både företag och staten.
Sammantaget blir utfrågningen en god illustration över varför nuläget är som det är: säkerhetslägret och digitaliseringslägret är som två cykloper som möts och aldrig skapas ett stereoseende.
Inte heller då riksdagsledamöterna släpps in för att ställa frågor efter statsrådets och myndighetschefernas redovisningar tillkommer något nytt perspektiv.
De folkvalda håller sig hovsamt inom den uppdragna ramen och ställer välvilliga frågor som möts av föga förvånande svar.
Enda gången där det hettar till är när det bekymmersamma läget i kommunerna återkommande lyfts fram och en representant från SKL i lätt agiterad ton hävdar att tillståndet minsann är bättre än så eftersom så många kommuner börjat använda KLASSA (!).
För att övertyga den som inte tror mig har jag sammanställt ett litet quiz där den som vill får gissa om citaten kommer från den öppna utfrågningen förra veckan eller från För att göra det litet svårare har jag bytt ut ”informationssäkerhet” i texten från 2005 mot ”cybersäkerhet”.
Innebörden i begreppsanvändningen är mycket likartad i detta sammanhang och samtliga talare förra veckan.
Den som först sänder in ett rätt svar bjuder jag på lunch eller ett glas efter jobbet.
Skicka in en tipsrad med A för SOU 2005:42, B för citat från utfrågningen.
En rimlig ståndpunkt är att tydliga begrepp i de flesta fall är en förutsättning för en fungerande kommunikation.
Personligen ser jag kommunikation som det viktigaste redskapet för att få till en fungerande informationssäkerhet både i den egna organisationen och nationellt.
Därför är begrepp inom informationssäkerhet en avgörande faktor för att lyckas.
Ett begrepp som gjort en raketkarriär är cyber.
Det är inte bara en allmän känsla utan stöds också av en sökning i Retriever, se graf: I många sammanhang, även från regeringen, lyfts betydelsen av s.k.
cybersäkerhet fram som en central fråga för det svenska samhället.
Jag uppfattar försvarsminister Peter Hultqvist som en informell rekordhållare då han lyckades säga ”cyber” inte mindre än 36 gånger i ett men då krävdes det också stycken som det här för att lyckas: Cyberdomänen, eller cyberrymden, vad vi än väljer att kalla den, har kommit att bli en ytterligare arena för militär och annan verksamhet.
Den trenden har varit tydlig under en tid.
Tidigare rapporter från Försvarsberedningen har lyft fram de problem och risker som präglar cyberdomänen.
Den tilltagande antagonistiska dimensionen i cyberrymden gör det nödvändigt att utveckla och stärka cyberförsvarsresurser.
Vi kan se att ett flertal länder i världen har gjort just det.
Det försvarspolitiska inriktningsbeslutet från 2015 innehöll ett tydligt och nytt steg i arbetet med svenskt cyberförsvar.
Här förekommer även sammansättningar som cyberdomänen respektive cyberrymden som antingen är samma sak eller möjligen inte eftersom begreppen används varannan gång t.o.m.
Detta är kanske bara ett uttryck för språkglädje där man vill variera uttrycken.
Hur som helst har begreppet ”cyber” här någon slags rumslig dimension.
I den nationella strategi för samhällets informations- och cybersäkerhet som regeringen presenterade 2017 och som statsrådet hänvisar till i sitt anförande saknas dock denna rumsliga dimension då begreppen som utgör strategins ämne definieras: Med informations- och cybersäkerhet avses i denna skrivelse en uppsättning säkerhetsåtgärder för bevarande av konfidentialitet, riktighet och tillgänglighet hos information.
Med konfidentialitet avses att obehöriga inte ska kunna ta del av informationen.
Med riktighet menas att informationen inte förändras, manipuleras eller förstörs på ett obehörigt sätt.
Med tillgänglighet menas att behöriga ska kunna ha tillgång till informationen på det sätt och vid den tidpunkt som tjänsterna erbjuder.
För informationssäkerhet som avser digital information används i denna skrivelse även begreppet cybersäkerhet.
I denna skrivelse används begreppen beroende av sitt sammanhang, där exempelvis cybersäkerhetsbegreppet är vanligt förekommande i en internationell .
Det är litet svårt att se skillnaden mellan informations- respektive cybersäkerhet men jag tolkar det som att man ser cybersäkerhet som en delmängd av informationssäkerhet där cybersäkerhet bara handlar om ”digital information”.
Cybersäkerhet anses också mer ”internationellt”.
För mig är blir det aningen besynnerligt att tala om digital information eftersom det blir en mix av information och bärare– när man exempelvis klassar information är det ju inte mediet som klassas utan informationsinnehållet.
För att få bättre bild av hur begreppet används av de myndigheter som har särskilda ansvar inom området och därmed ofta kommunicerar med begreppet i fokus skrev jag en enkel fråga till tre av dessa myndigheter; Försvarsmakten, SÄPO och MSB.
Begreppet ”cyber” används flitigt för tillfället.
Jag skulle behöva ha x:s definition av begreppet eftersom det används på olika sätt i olika sammanhang.
Samma dag fick jag svar från Försvarsmakten med en hel ordlista ( ) med sammansättningar med ”cyber”, däribland cybersäkerhet: Cybersäkerhet är den samling av säkerhetsåtgärder, riskhanteringsmetoder och tekniker som kan användas i syfte att bevara konfidentialitet, riktighet, spårbarhet och tillgänglighet i cyberrymden.
En stor eloge till FM för denna goda service!
Definitionen pekar mindre på styrning på organisatorisk men desto mer på konkreta säkerhetsåtgärder, alltså ganska långt från ledningssystem.
Åtgärderna ska vidtas i cyberrymden (med synonymer som cyberspace, cybermiljön, cyberarenan, cyberdomänen) som enligt begreppslistan är: Cyberrymden är den del av informationsmiljön som består av de sammanlänkade och av varandra beroende it-infrastrukturer, som möjliggör kommunikation, med tillhörande data och information.
Den inkluderar internet, intranät, telekommunikationssystem, it-system samt inbyggda processorer och styrenheter.
Jag uppfattar det som cyberrymden är den gemensamma tekniska infrastrukturen men inte informationen i sig.
Från SÄPO kom efter en knapp vecka det något förvånande svaret: Hej, Säkerhetspolisen har ingen egen definition av begreppet cyber.
Det är inte ett begrepp som används primärt i vår verksamhet.
Förvånande eftersom ”cyber” förekommer flitigt på SÄPO:s webbplats, i olika rapporter och utåtriktad verksamhet som och för att bara ta ett par exempel.
Slutligen då MSB där svaret satt hårdare inne och inte kom förrän efter en dryg månad: Hej!
Ordet ”cyber ”kan inte anses stå för sig själv, utan används av MSB i sammansättning med andra ord, främst ”cybersäkerhet”.
Beroende på sammanhanget använder MSB ordet ”cybersäkerhet” med något olika betydelse: MSB har under flera år engagerat sig i terminologifrågor och stöttar bl.a.
SIS i arbetet med terminologi på informations- och cybersäkerhetsområdet.
MSB planerar inte att ta fram en egen definition av begreppet cyber, eller cybersäkerhet.
De definitioner/beskrivningar som myndigheten behöver kunna använda är, enligt ovan, bl.a.
från regeringens strategier, standardiseringsorgan (ex SIS), FN, EU samt Nato.
Cyber/cybersäkerhet förekommer i dag i förslag till reglering från EU (den s.k.
cybersäkerhetsakten, COM(2017) 477 final).
Myndigheten har därmed tre olika definitioner för olika sammanhang och har dessutom gjort en egen utveckling av den definition som fanns med i 2017 år nationella strategi.
Detta blir aningen motsägelsefullt när man samtidigt säger sig använda befintliga definitioner/beskrivningar och inte utveckla egna.
Formuleringen om SIS undviker elegant att MSB faktiskt inte använder den definition av cybersäkerhet (”cyber” i sig själv ingår inte) som finns terminologin SIS-TR 50:2015 (tyvärr är jag inte länka till terminologin eftersom den inte är fritt tillgänglig): bevarande av konfidentialitet, riktighet och tillgänglighet hos information i cyberrymden Cyberrymden;telerymden har i sin tur definitionen: abstrakt rymd som utgörs av digital kommunikation mellan datornätverk och där all digital information befinner sig Med den förtydligande kommentaren: Cyberrymden innefattar all kommunikation via internet samt telekommunikation.
En cyberrymd möjliggörs av den hårdvara och de system som ingår i en infrastruktur.
Jag är inte alldeles säker på att jag förstår vad detta exakt betyder.
Terminologin verkar dock ha den implicita uppfattningen att ”cyber” har med internationella konflikter och antagonism att göra vilket markeras redan i det inledande stycket till kapitlet om Samhällets informations- och cybersäkerhet: Varje dag utsätts svenska myndigheter och företag för cyberattacker.
Detta har bidragit till att bl.a.
frågor om cybersäkerhet och cyberresiliens har blivit mer aktuella inom olika branscher.
Sverige, liksom många andra europeiska länder, har på senare år börjat uppmärksamma risken för cyberattacker som en global och militär hotbild.
Det är därför viktigt att introducera cybersäkerhet inom olika branscher för att öka förståelsen och kompetensen för hur man kan skydda information från dessa hot.
Cybersäkerheten har medfört nya termer, men eftersom området fortfarande är nytt kan dessa termer komma att ändras och det kommer att krävas fortsatt terminologiutredning inom detta område.
Det verkar inte råda någon konsensus om skillnaden mellan informations- och cybersäkerhet, utan de två termerna används ibland omväxlande.
Ibland används termen informationssäkerhet när inriktningen ligger på informationen och termen cybersäkerhet när det handlar om den digitala domänen; ibland ses cybersäkerhet som informationssäkerhet på en global nivå .
Samtliga sammansatta ord med förleden cyber som presenteras i terminologin är företeelser som skulle kunna ingå i en krigföring eller terrorism på hög nivå (cyberattack, cyberavskräckande, cyberförsvar, cyberkrigföring, cyberoperation osv.).
I en lustig cirkelrörelse hänvisar man i en fotnot till SOU 2015:23 (NISU) och den begreppsdiskussion som förs där på sidan 40: En grundläggande definitionsfråga för hela den svenska informationssäkerhetsnomenklaturen handlar just om innebörden av det svenska begreppet ”informationssäkerhet”.
På engelska är detta begrepp uppdelat i två betydelser dels ”Information Security” som utgår från ett tekniskt perspektiv och återspeglas i ISO 27001-standarden, dels i ”Information Assurance” som utgår från ett nationellt säkerhetsperspektiv och där även organisation och policy ingår.
I tidigare utredningsarbeten gjordes försök att särskilja det senare begreppet från det förra genom att introducera termen ”informationssäkring”, vilket också infördes i SIS-nomenklatur.
Begreppet – liksom den förenklade varianten ”övergripande informationssäkerhet” – vann aldrig någon uppslutning i det offentliga Sverige då det ansågs för komplicerat att beskriva.
Följden har dock blivit olyckliga sammanblandningar i begreppens innebörd – inte minst i internationella sammanhang.
Cybersäkerhetsbegreppet är mer strategiskt och fokuserar mer på nationella och internationella nätverk.
Därmed har cybersäkerhet en större internationell räckvidd med t.ex.
folkrättsliga frågeställningar och normer på cyberområdet än det mer tekniska informationssäkerhetsbegreppet.
Det senare har en större tyngdpunkt mot hård- och mjukvara samt standardisering.
Motivet för fokus mot cybersäkerhet är att det är på detta område som statsmaktsperspektivet behöver utvecklas då frågeställningarna ligger ovanför myndigheternas ansvarsområden, samt att avdömningar mellan olika sektorsstrategier kan behöva göras inom ramen för ett svenskt koherent nationellt förhållningssätt gentemot EU och andra internationella .
Detta är ju ett märkligt stycke där den uttalat organisatoriskt inriktade ISO 27001 framställs som fokuserade på tekniska åtgärder (!).
Cybersäkerhet sägs vara mer ”strategiskt” och verkande på nationell nivå.
Till att detta kommer alla företag som använder ”cyber” i olika konstellationer för sin produkter och tjänster som knappast är på nationell nivå.
Sammantaget är användningen av begreppet ”cyber” högst inkonsistent och rör sig i en skala från å ena sidan normal it-säkerhet med vissa tillägg av informationssäkerhet till en del av det nationella försvaret.
Vissa gemensamma drag tycks finnas som att det gäller digital infrastruktur i någon bemärkelse samt den renodlade inriktningen mot antagonistiska hot.
I övrigt är det ganska fritt valt vilken betydelse man vill ge ordet.
Är denna otydlighet då egentligen ett problem?
Det kanske behövs ett sådant här amorft begrepp som beskriver en amorf verklighet och inte enbart för sexa till vilken konferensrubrik eller vilket tjänsteutbud i it-sektorn som helst?
Kanske inte men jag måste ändå resa invändningen att om att vårt, enligt många, största hot förtjänar en något mer entydig beskrivning.
Att måla upp ett förödande hot mot nationen och mot enskilda men göra det i så oklara termer är inte bra för samhällsklimatet i en demokrati (vilket jag skrivit om tidigare).
Inte heller är det en fördel för kunder att erbjuda tjänster där det inte närmare går att avgöra vad tjänsten egentligen består i. Jag tycker därför att det är en rimlig önskan att åtminstone centrala myndigheter sätter sig ner för att begreppsmodellera vad ”cyber” är och vilken relation cybersäkerhet har till informationssäkerhet.
Betänk språklagens krav på myndigheterna: Språket i offentlig verksamhet ska vara vårdat, enkelt och begripligt.
I detta inlägg ska jag inrikta mig på några mer generella frågor för området som också bör vara frågor som den som inte lever och andas informationssäkerhet borde ställa.
Ett ganska modest krav är att på ett hyfsat entydigt sätt kunna definiera vad informationssäkerhet är.
Detta är dock svårare än vad det först kan förefalla.
Inte ens om det är ett slags tillstånd eller en förmåga är klart.
Jag ska här endast ta upp några av de frågor man kan ha anledning att ställa sig angående vad informationssäkerhet ska anses vara.
En definition som säkert kommer att användas av många är den som finns med i den terminologi som sammanställts inom SIS: Denna definition har övertagits av MSB i den nya föreskriften MSBFS 2016:1 trots att myndigheten i andra sammanhang talar om ”förmåga” alternativt ”tillstånd” i andra sammanhang.
Jag ska inte detta sammanhang gå in på ISO 27000 och dess översättning i detta sammanhang utan här endast koncentrera mig på det sätt som terminologin definierar begreppet.
I ordet ”bevara” finns en implicit föreställning om att en vald informationsmängd är en entitet som har initiala egenskaper som ska bibehållas i en kortare eller mindre hantering.
Detta är ett ganska egenartat synsätt som sannolikt är hämtat från ett tidigare tekniskt utvecklingsskede, kanske en slags databastänkande, där man är upptagen av transaktioner inom ett enskilt system.
Att ställa krav på informationens kvalitet före instoppandet i systemet eller vid sammanställning till nya informationsmängder ligger utanför definitionen.
I värsta fall skullet alltså leda till att felaktig information förblir felaktig eftersom då den ursprungliga riktigheten ”bevaras”.
Beskrivningen indikerar också ett statiskt förhållande där informationen liksom inkapslad färdas i ett system.
Detta stämmer inte heller särskilt väl med den informationsinfrastruktur som har växt fram där information hela tiden sammanställs, förändras och kommuniceras i nya strukturer.
Informationssäkerheten borde då syfta till att förändras och skapa en tillräcklig nivå av skydd under informationshanteringsprocessen/erna.
Personligen måste jag därför medge att ”bevarande” är en definition som inte känns relevant.
”Tillstånd” eller ”förmåga” är alternativ som skulle ge andra möjligheter men oavsett vilket begrepp som väljs borde det bygga på en mer Trots att informationssäkerhetsområdet inte bygger på tung akademisk forskning på en ontologisk nivå, till exempel rörande vad informationssäkerhet skulle sägas vara, finns det vissa hangups där det hänvisats till akademin.
Den sådan är begreppet ”spårbarhet” som av informationssäkerhetens purister inte anses ha samma autonoma värde som exempelvis riktighet och tillgänglighet.
Purismen i denna fråga känns inte särskilt väl underbyggd.
Mig veterligen inte finns någon begreppsmodellering genomförd över något av begreppen och inte heller är översättningen av den så kallade CIA-triaden ( och ) till konfidentialitet, riktighet och tillgänglighet klockren.
skulle knappast översättas till ”riktighet” i något annat sammanhang, särskilt som riktighet i SIS terminologi anges som vilket återigen antyder ett synsätt som utgår från databashantering.
Rent praktiskt är spårbarhet ett begrepp som är av stor betydelse i transaktionstäta verksamheter som bank, finans och sjukvård samt för att stödja integritetskrav.
Spårbarhet är också mycket tydligt kopplat till konkreta åtgärder som loggning – ändå väljs det bort utan närmare förklaring.
Detta är bara ett exempel på att själva grundelementen i beskrivningen av informationssäkerheten saknar verkligt definition vilket ger möjlighet till vitt skilda tolkningar och närmast trosläror om vad informationssäkerhet egentligen är.
Ett annat tolkningsproblem är skillnaden mellan informationssäkerhet å ena sidan och it-säkerhet å den andra.
Att de som inte har informationssäkerhet har svårt att uppfatta skillnaden är inte så konstigt men att även de som arbetar med informationssäkerhet vacklar i distinktionen är ett tydligt tecken på osäkerheten i begreppet informationssäkerhet.
För mig framstår det som att informationssäkerhet i i första hand är en organisatorisk stödfunktion som ska ge ledningen stöd i att styra sin verksamhets resurser så att de skyddar informationen på ett sätt som stöder verksamhetens mål.
Detta uppfattar jag också som kärnan i ISO 27000 som ju är helt inriktad på att skapa ett ledningssystem som ska ge en organisatorisk förmåga till styrning av informationshanteringen.
It-säkerhet är i detta perspektiv de tekniska åtgärder som ska vidtas för att svara på de krav som ledningssystemet ställer.
Många verksamma inom informationssäkerhetsområdet tycks inte dela denna uppfattning utan ser informationssäkerhet som synonymt med it-säkerhet.
Även denna basala fråga skulle behöva analyseras och få en mer allmänt accepterad förklaring.
Detta är bara några frågor där det enligt min uppfattning råder oklarhet och där utrymmet för analys och vidareutveckling är mycket stort.
I nästa inlägg ska jag ge mig på målet för arbetet med informationssäkerhet.

Om vi särskiljer lagring och arkiv innebär arkiv den slutliga förvaringen av information som ska bevaras i hundra-, ja tusentals år.
Att införa e-arkiv är alltså inte något som kan vidtas med en händelsehorisont på tio år.
I den svenska myndighetsvärlden råder en viss begreppsanarki där ”arkiv” kan betyda olika saker som en lokal, en institution och en myndighets bestånd av allmänna handlingar vilket jag skrivit om bland annat En myndighet (inklusive kommuner och regioner) skapar och tar emot stora mängder information av vilka en del utgör allmänna handlingar som enligt huvudregeln ska bevaras för framtiden såvida inte ett formellt gallringsbeslut upprättas som sätter en gallringsfrist.
Gallring kan alltså ske efter olika lång tid vilket gör att viss information ska sparas för all framtid medan annan kan gallras efter viss tid.
För pappersbunden information har man därför ofta skapat för att avställa inaktuell information i väntan på långtidsbevarande respektive gallring.
Det är arkivmyndigheten som i huvudsak ska fatta gallringsbeslut.
Här finns dock en mycket stor skillnad mellan statliga myndigheter och kommuner/regioner.
För statliga myndigheter är Riksarkivet arkivmyndigheter medan i kommuner och regioner är deras egna styrelser som utgör arkivmyndigheter En arkivmyndighet har inte bara uppgiften att fatta gallringsbeslut utan även ansvaret för bland annat arkivvård och tillsyn.
I det nu aktuella sammanhanget är det en central förutsättning att när en arkivmyndighet tar hand om ett arkiv så är det också arkivmyndigheten som ”äger” arkivet.
Arkivmyndigheten ansvarar för utlämnande av allmänna handlingar och den ursprungliga arkivbildaren (d.v.s.
myndigheten som lämnat in) kan inte hålla på att rumstera om i informationen.
Trots att arkivredovisningen ska vara processorienterad och att vi idag har stora sammanhängande informationsinfrastrukturer med ett otal antal bärare är e-arkivfrågan fortfarande inriktad på att överföra informationsmängder från enskilda system för arkivering.
I den enkät jag gjorde 2018 bland myndigheter, kommuner och regioner var ett starkt intryck att e-arkivfrågan inte i någon högre grad kopplats samman med informationssäkerhet.
Få att de tillfrågade hade gjort informationsklassningar och riskanalyser, ännu färre kunde redovisa säkerhetskrav att ställa på e-arkiv.
Tillförlitlighet Äkthet Integritet (oförändrad) Användbarhet avtalshantering ansvarsutkrävande interna kontrollsystem upptäckt av avvikelser teknisk övervakning dataskydd patientsäkerhet medarbetares integritet medarbetares rättssäkerhet brottsutredning forensik fysiskt skydd Alla våra moderna samhällsbärande system bärs upp av den nya informationsteknologin.
Det går inte att organisera fram cybersäkerhet utan det krävs resursförstärkningar.
Enligt x mening är det av strategisk betydelse att kunna säkerställa kompetensförsörjningen inom informationssäkerhetsområdet.
X konstaterar också att staten behöver egen och unik kompetens.
Staten har också det yttersta ansvaret för den nationella säkerheten, vilket ställer särskilda krav.
Staten förfogar över en rad administrativa, ekonomiska och informativa styrmedel.
I praktiken är dessa relativt svagt utvecklade på informationssäkerhetsområdet.
Vår sårbarhet ökar och vi har stora brister trots att stora åtgärder vidtagits.
Såsom beskrivet i skrivelsen Nationell strategi för samhällets informations- och cybersäkerhet (Skr.
2016/17:213, Justitiedepartementet) där definitionen är ”informationssäkerhet som avser digital information”.
För att inte riskera en snäv tolkning som att det enbart omfattar it- och nätverkssäkerhet anser MSB att cybersäkerhet i detta sammanhang avser säkerhetsåtgärder på samhällelig strategisk nivå, främst reglerande och samordnade åtgärder, som behövs så att samhällets aktörer kan bedrivapå organisatorisk nivå, främst för information som hanteras digitalt.
Såsom beskrivet i Sveriges inlaga till FN:s generalförsamling att cybersäkerhet tydligare beskriver de skyddsåtgärder som innefattar konfidentialitet, tillgänglighet och riktighet för att inte blandas samman med den betydelse av informationssäkerhet som används av vissa länder eller organisationer som en del av en doktrin där synen att informationsinnehållet som sådant är ett hot.
I de fall MSB har samverkan med andra organisationer (såsom EU, NATO och FN) kan viss annan betydelse av cybersäkerhet förekomma, utefter de samverkande organisationernas definition av begreppet.

autenticitet riktighet giltig bevisvärde mellanarkiv en integrity inte konfidentialitet riktighet tillgänglighet

Meny Begrepp

Bakgrund Vad skulle då upphandlas?
SKI Slutsatser

Statens servicecenter Vad är informationssäkerhet?

Språkanvändningen i offentlig verksamhet

MENU MENU Postat av → Postad i , , , , , , , Tagged , , , , , , , Postat av chief information security officer Postad i , , Tagged , , , , Postat av Postad i , , , Tagged , , , Postat av Postad i , , , Tagged , , , , , , Postat av Postad i , , , Tagged , , , , , , Postat av Postad i , , , Tagged , , , , , postat av Postad i , , Tagged , , , , , Postat av Postad i , , , , Tagged , , , , Sök efter:

Om informationstekniskt bevis Juridik som stöd för förvaltningens digitalisering authenticity integrity tillstånd förmåga egenskaper egenskap Informationssäkerhet och organisationskultur Vad är säker kultur Information Security Goals in a Swedish Hospital egenskap SOU 2005:42 Säker information.
Förslag till informationssäkerhetspolitik.
Begrepp med definitioner för cyber bevarande av , och hos information.
Confidentiality, integrity availability Integrity skydd mot oönskad förändring

Lämnade idag följande remissvar angående arkivutredningen.
Arkivutredningen fick i uppdrag att göra en bred översyn av arkivområdet i Sverige.
Jag menar att utredningen inte lyckats formulera de strategiska frågor som är av verklig betydelse för att arkivväsendet ska kunna uppfylla sin viktiga samhällsfunktion, än mindre kommit med lösningar på dessa frågor.
Istället har man fastnat i detaljer och frågor av mindre betydelse.
Genomgående har det som kan sammanfattas som ”kulturarvsperspektivet” få styra utredningens inriktning och prioriteringar.
Det gör att de mycket komplexa frågor som samhällets informationshantering brottas med i huvudsak lämnas utan behandling.
Några av de frågor som jag menar är av essentiella för att information av vikt ska kunna säkras för framtiden och som utredningen utelämnar i sin rapport är följande.
Det finns i idag ingen plan för hur all den information som skapas idag ska bevaras med kvalitet, säkerhet och autenticitet för framtiden.
Detta är kärnan i all arkivverksamhet.
När vi nu har en exponentiell tillväxt av information saknas organisatoriska, metodmässiga och tekniska lösningar för det långsiktiga bevarandet.
Likaså saknas aktuell vägledning för hur gallring ska kunna genomföras i de enorma informationsmängder som skapas.
De senast tillkomna generella vägledningar rörande gallring togs fram av Riksarkivet under senare hälften av 1990-talet, d.v.s.
för snart ett kvarts sekel sedan.
Istället för varaktiga lösningar har spridda experiment med så kallade e-arkiv skett i olika regi som exempelvis Statens servicecenters upprepade misslyckande med en e-arkivtjänst.
Dessa lösningar är dock bara mellanarkiv – hur det slutgiltiga omhändertagandet av den digitala informationen är fortfarande höljt i dunkel.
Denna fråga borde ha varit centrum i utredning som har till uppdrag att göra en översyn av arkivverksamheten.
Ända fram till 1990-talet föreföll det fortfarande relevant att utgå från att varje myndighet kan ha i uppdrag att kontrollera den information man själv upprättar samt den information som inkommer till myndigheten.
Detta är idag ett betraktelsesätt som ligger långt ifrån den verklighet som snarare består av en snabbt sammanväxande nationell (och delvis internationell) informationsinfrastruktur.
Offentliga och privata aktörer ingår i processer information utbyts, förädlas, aggregeras och ackumuleras i snabb takt.
Svåra frågor som hur information ska kunna reproduceras från olika källor på ett säkert sätt över tid berörs inte av utredningen.
Inte heller hur ansvarsfördelningen i denna gemensamma infrastruktur ska fördelas röner intresse hos utredningen.
Vad som ska utgöra allmänna handlingar i den enskilda myndighetens arkiv liksom vem som ska ses som arkivbildare i denna helhet finns det idag inga officiella verktyg för att avgöra.
Även detta hade varit en central fråga att peka på för utredningen.
Arkivlagen gör en sammankoppling mellan allmänna handlingar och arkiv: Tyvärr gör denna sammankoppling att då en allt mindre andel av en myndighets handlingar ses som allmänna handlingar, vilket är negativt i sig, kommer även andelen information som ska bedömas ur arkivperspektivet att minska.
Vad denna utveckling innebär för framtidens möjlighet för bland annat forskning tas inte upp utredningen.
Ej heller hur detta påverkar den svenska demokratin där en mer extensiv tillämpning av vad som ska utgöra allmänna handlingar skulle kunna förbättra insyn och delaktighet.
Av särskilt intresse är de verksamheter som tidigare varit offentliga men som privatiserats och där det inte längre finns allmänna handlingar som ger insyn eller möjlighet till forskning.
Här finns privata företag men även intresseorganisationer som SKR som med offentliga medel skapar information med stor betydelse för samhället men som samhället saknar kontroll över.
I informationssamhället är av naturliga skäl information den viktigaste resursen.
Den information som skapas av myndigheter inklusive kommuner och regioner är därför begärlig inte bara inom myndighetssfären och inte bara för forskning utan även för nationella och internationella företag.
Detta har uppmärksammats vad gäller personuppgifter och alldeles särskilt för personuppgifter inom hälso- och sjukvård som är det nya guldet för många multinationella företag.
Hur svenska myndigheter ska förhålla sig till detta utan att t.ex.
äventyra personlig integritet eller riskera att snedvrida verksamheten för att producera information kommenteras inte av utredningen.
Lika litet berörs hur arkivväsendet ska förhålla sig till långsiktigt enormt värdefulla vårdsystemen och hur de ska bevaras för framtiden.
Riksarkivet har uttryckt att de anser att myndigheten ska får peka ut ”samhällsviktig” information oavsett arkivbildare.
Jag menar att det snarare behövs en analys av informationens betydelse som samhällsresurs för att först därefter kan bli möjlighet att besluta om hur prioritering och omhändertagande ska ske.
Utredningen uppmärksammar inte den nära relation arkivområdet har till områden som informationssäkerhet och dataskydd samt generell informationshantering.
Möjligen har det dominerande kulturarvsperspektivet gjort utredningen blind för de aktuella utmaningar som kräver samverkan mellan dessa områden.
Ett förslag är att snarast ta fram en strategi för svensk arkivverksamhet som behandlar ovanstående frågor.
Strategin bör bygga på en utredning som förutsättningslöst går igenom: möjligheter för att långsiktigt kunna bevara och tillhandahålla för samhället relevant information i autentisk form.
I detta ligger även att analysera intressenter och på vilket sätt de ska få tillgång till information alternativt påverka vilken information som ska tas fram/bevaras.
Utan närmare analys går att säga att hela andra resurser än nuvarande kommer att behövas för att ta hand om informationen.
Hur en hållbar finansiering på tillräcklig nivå ska ske är även det en fråga som bör utredas innan en strategi tas fram.
Fia Ewald En gång arkivarie, alltid arkivarie Det är högintressanta tider då vissa frågor ställs på sin spets.
I min begränsade värld är en av dessa frågor det så kallade e-arkivet, denna företeelse så omgiven av förväntningar och föreställningar.
Under den senaste tiden har två stora händelser timat inom området: Statens servicecenter misslyckades med sin upphandling av e-arkiv och SKL Kommentus Inköpscentral (fortsättningsvis kallad SKI) lyckades med sin.
Det kan tyckas vara två mycket likartade händelser men ju mer man gräver så framstår skillnader allt tydligare.
Jag är ju en enkel konsult vars främsta uppgift är att försörja mig men eftersom jag misstänker att ingen annan bättre lämpad funktion tänker göra någon analys av varför det gick som det gick fattar jag ändå pennan/tangentbordet.
En brasklapp är naturligtvis att jag inte har den tid och de resurser som krävs för att göra en fullständig analys utan att jag enbart kommer att ta upp vissa aspekter som särskilt intresserar mig och då främst säkerhetskraven.
I ingetdera fallet kommer jag att kommentera de konsulttjänster som ingår i upphandlingarna utan endast upphandlingen av själva tjänsten eller applikationen.
För att förstå dessa upphandlingar behöver några basala förutsättningar slås fast.
Något som är självklart för den med litet insikt i arkivfrågor är att lagring av digital information inte täcker begreppet e-arkiv.
Här finns dock inte utrymme att gå igenom alla intrikata aspekter men låt mig poängtera vissa grundläggande frågor: Ovanstående punkter sammantaget med att Riksarkivet, för att uttrycka det milt, inte är direkt sugna på att ta emot digital arkivinformation och det inte heller finns en övergripande strategi för den långsiktiga nationella arkivverksamheten försätter myndigheterna i en svår situation.
Man har helt enkelt en exponentiellt växande digital informationsmängd att långsiktigt ta hand om utan det finns tydliga lösningar för hur det ska ske.
Förutom myndigheters, kommuner och regioners vånda så är vi nog en hel del som känner en stor oro på samhällsnivå för de stora informationsförluster vi riskerar att göra.
En informationsförlust som inte bara är ett stort hot mot dagens och framtida forskning utan också för vårt gemensamma minne.
Det finns naturligtvis enstaka ljus i mörkret som Sydarkivera som förtjänar att lyftas fram men som helhet ser det tämligen mörkt ut.
Det är alltså i denna kontext som de två upphandlingarna ska sättas in och som kanske kan ge en förklaring till varför de utfallit som de gjort.
Inledningsvis kan slås fast att de två upphandlingsprojekten knappast kan ha haft mycket samröre.
Olikheten i synsätt och begrepp är iögonfallande trots att det i båda fallen handlar om offentlig sektor och delvis överlappande verksamheter.
En sak är dock den samma för båda upphandlingarna: det handlar inte om att upphandla en lösning för det långsiktiga arkivbehovet.
I stället uppfattar jag det mer som att göra en quick fix i väntan på något mer bestående.
Det är alltså möjligen lösningar för mellanarkiv vi pratar om där information av olika karaktär (allmänna handlingar och annat) lagras under en i arkivperspektivet begränsad tid för att därefter gallras, rensas eller föras över till en slutförvaring.
Såvitt jag kan se handlar också lösningar om överföring från system till system eller från system till tjänst, ingen inriktning mot ett mer infrastrukturellt tänkande finns med.
Jag är inte förvånad över detta men vill ändå betona detta.
Trots likheten i behov har SSC och SKI hamnat i två helt olika upphandlingar.
SSC har sedan 2014 bedrivit sitt upphandlingsprojekt där också ett antal statliga myndigheter deltagit och varit utsedda som ”pilotmyndigheter” (bakgrunden finns ).
Utifrån regeringsuppdraget lämnades en första delrapport 2015 med ett förord signerat både av SSC:s GD och riksarkivarien.
Jag vill inte undanhålla läsaren sammanfattningen i rapporten som var följande (felstavning inkluderad): Det finns goda förutsättningar för att skapa en förvaltningsgemensam tjänst för e-arkiv.
· Det blir en minskad investeringskostnad och en besparing för staten som helhet.
· Bara genom att etablera ett gemensamt e-arkiv istället för sju separata för pilotmyndigheterna, sparar staten flera tiotals miljoner kronor.
· Det finns etablerade arbetsätt för e-arkivering · Marknaden är mogen och det finns system och leverantörer.
· Sju pilotmyndigheter har skrivit på en avsiktsförklaring om att ansluta sig till tjänsten.
Förutsättningar för fortsatt arbete: · Regeringen behöver undanröja de juridiska hindren genom en förordningsändring.
· Statens servicecenter (SSC) och Riksarkivet förordar att projektet går vidare till krav- och upphandlingsfas, under förutsättning att regeringen bidrar med tillräcklig finansiering.
Även den som är luttrad från digitaliseringsprojektens närmast obligatoriska glädjekalkyler kanske ändå hoppar till litet vid sådana diffusa fördelar som att staten ska ”spara flera tiotals miljoner kronor”.
Konstateranden som att det finns en mogen marknad för e-arkiv och dessutom etablerade arbetssätt för e-arkivering känns idag 2019 som önsketänkanden och var det ännu mer 2015.
Det var utgångspunkterna för projektet som visserligen har haft riksarkivarien som styrgruppens ordförande och en stilig projektdokumentation men som ändå slutade i att upphandlingen av en nationell molntjänst avbröts strax före jul 2018.
Vad SSC under fyra år försökt upphandla är alltså en molntjänst för ett stort antal myndigheters e-arkiv (om man ser till de tillväxtstaplar som presenterats i projektet): Den ”tjänst” som Statens servicecenter efterfrågar i denna upphandling är således att betrakta som en sammanhållen leverans och ska inte förväxlas med begreppet ”Software as a service” (SaaS).
Skillnaden är att den grundläggande arkivmjukvaran upphandlas i form av en programvarulicens medan de övriga delarna i leveransen upphandlas som en tjänst på månadsbasis.
Istället för en normal upphandling av molntjänsten valde SSC att göra en så kallad konkurrenspräglad dialog.
Statens servicecenter har valt konkurrenspräglad dialog som upphandlingsförfarande då det inte är möjligt att utforma samtliga krav på tjänsten i förväg.
Med tanke på komplexiteten i uppdraget och de rättsliga förutsättningarna krävs dialog med erfarna leverantörer för att slutgiltigt utforma kraven.
Detta är enligt mig en mycket svår upphandlingsform inte minst när det gäller applikationer och molntjänster.
För att kunna styra en sådan upphandling krävs en mycket fast hand från kunden för att inte hamna på olika typer av grynnor och skär.
När då kunden redan inledningsvis skriver att man inte kunnat utforma kraven på tjänsten känns den fasta handen rätt avlägsen.
Som säkerhetsintresserad börjar man skruva på sig; att upphandla en nationell molntjänst med en glidande kravspec känns…obehagligt.
Låt oss då se på säkerhetsinriktningen i SSC:s konkurrenspräglade dialog.
För det följande är det viktigt att ha i åtanke att syftet med processen att nå fram till leverantör av en molntjänst, d.v.s.
en tjänst där stora mängder offentlig ackumuleras.
Kravet på tjänsten har varit att den ska kunna hantera den information som kundmyndigheterna väljer att stoppa in, även sekretessreglerad information.
Däremot inte hemliga handlingar: den förvaltningsgemensamma tjänsten för e-arkiv ska inte dimensioneras för hantering och lagring av hemliga uppgifter och handlingar.
Hemliga uppgifter och handlingar ska därför fortsatt, och av kundmyndigheterna själva, förvaras på annat sätt e-arkivet som sådant bör betraktas som säkerhetskänslig verksamhet – av betydelse för rikets säkerhet.
Detta bland annat mot bakgrund av de stora informationsmängder, från många myndigheter, som ansamlas i lösningen och de konsekvenser som till exempel ett bortfall av tjänsten skulle kunna medföra för berörda verksamheter – och för samhället Redan här väcks många frågor.
Om man ser det potentiella e-arkivet som en säkerhetskänslig verksamhet enbart p.g.a av att det ansamlas stora informationsmängder varför då utan närmare argumentation välja en lösning som leder just till detta?
Följden av beslutet har blivit att man valt att göra en upphandling med krav på säkerhetsskyddsavtal på nivå 1, alltså den högsta nivån.
Detta ställer stora krav på leverantören som att införa en säkerhetsskyddsorganisation, att välja vissa specifika säkerhetslösningar och att införa utvidgade säkerhetskontroller av anställda.
Förutom att säkerhetsskyddsåtgärderna av naturliga skäl kan minska effektiviteten i lösningen innebär ökade kostnader och därmed ökat utpris för kunden.
Det innebär minskad integritet för anställda och i många fall även fördyrande krav i kundens egen verksamhet.
I detta fall ställer jag mig också tveksam till på vilket sätt e-arkivet om det inte upprätthåller tillgängligheten skulle utgöra ett hot mot Sveriges säkerhet liksom att antagonistiska hot skulle vara den primära risken (jag går inte djupare på den nya lagens syn på riktighet och tillgänglighet eftersom den är i bästa fall oklar).
Om detta synsätt sprids, d.v.s.
att det visserligen inte är säkerhetskänslig information som kommer att hanteras i lösningen men vi kommer ändå att använda SUA, så kommer i princip varenda molntjänst som används i offentliga uppdrag av privata och offentliga aktörer att falla under säkerhetsskyddslagen.
Om säkerhetsskyddslagens syfte är att skydda ”det mest skyddsvärda” så kan vi inte låta det gå inflation i tillämpningen så att den blir det nya normala.
Jag vill bara framföra ett milt: sansa er och försök tänk på konsekvenserna av detta (även om utredningen som ny säkerhetsskyddslag hade en ytterst sangvinisk konsekvensanalys, återkommer till det i ett senare inlägg).
Det kanske mest häpnadsväckande är att informationsklassning och skyddsnivåer inte nämns vare sig i inbjudan eller bilagan.
Utan kommentar förutsätts alla myndigheter ha samma behov av säkerhet och kravs ställs inte på leverantören att kunna leverera tjänsten på olika fastställda skyddsnivåer.
Min fundering blir då vem som blir riskägare i det här konceptet om kundmyndigheten inte kan påverka tjänsten.
Detta känns igen från SSC:s övriga tjänster vilket jag ser som ett grundproblem med hela konstruktionen.
Förutom detta ställde SSC även krav på certifiering mot ISO 27001 eller motsvarande icke-certifierat ledningssystem, SOA samt beskrivning av säkerhetskontroller.
Detta är ett krav som måste finnas med men som i praktiken, enligt min erfarenhet, inte utgör en garant för ett väl fungerande säkerhetsarbete.
Hunnen så här långt i genomgången av upphandlingen pockar två frågor på.
För det första har SSC begränsat antalet möjliga leverantörer mycket starkt.
Fyra års utredande borde ha gett en marknadsanalys som påvisat att det finns mycket få svenska leverantörer som kan eller vill leverera på dessa villkor.
Historien visar ju också att endast en leverantör återstod när upphandlingen avslutades.
Den andra frågan är varför denna upphandlingen sker över huvud taget.
Ett alternativ hade varit att gå ut i en vanlig ramavtalsupphandling där Riksarkivet kunnat bistå med expertkunskap på samma sätt som de nu gjort i SSC:s upphandling.
Vad exakt tillför SSC som inte myndigheterna skulle kunna få i en direktrelation med leverantörerna?
Eftersom man då skulle kunna få fler leverantörer skulle förhoppningsvis den koncentration som påkallat säkerhetsskydd kunnat undvikas (ja, här ligger en mycket, mycket större fråga om den totala mängden tjänster hos leverantörerna och ramavtalens oligopolskapande kraft men jag hinner inte ta den nu).
Till detta kommer en bilaga med ganska ordinära säkerhetskrav.
Några reflektioner kan dock göras.
Påfallande många av kraven är inexakta av typen att leverantören ska beskriva vilken säkerhetsfunktionalitet finns.
En förvånansvärt stor andel av det som kan kallas säkerhetskrav ägnas åt fysisk säkerhet.
Och som sagt: nivåer saknas.
Sammantaget skulle det skapa stora svårigheter för kundmyndigheten att bedöma vilken den faktiska säkerheten i leveransen blir.
Om man summerar SSC:s kravbild inklusive orimliga krav som att leverantören ska ha erfarenhet av att tillämpa Riksarkivets FGS i praktiska lösningar vilket i princip är en omöjlighet eftersom det knappt finns några FGS:er så undrar jag om SSC verkligen velat ha en leverantör.
I förtroende har leverantörer förmedlat att har saknats dialog trots den upphandlingsform som valt och som bygger på just dialog.
Trots att endast en leverantör återstått under det sista året har upphandlingen rullat på och därefter avslutats bland annat med motiveringen att det var för få leverantörer.
I upphandlingsunderlaget återkommer följande formulering: Under avtalstiden kan uppdraget komma att begränsas eller på annat sätt förändras med anledning av författningsändringar eller förändrade uppdrag för Statens servicecenter.
Bland annat kan det bli aktuellt för statliga myndigheter att ansluta till en så kallad statlig molntjänst.
Med tanke på att företrädare för SSC ofta vädrat en önskan om att få uppdraget att ta över statlig it-drift och skapa en statlig molntjänst så kan inte tanken att angelägenheten att få affären i hamn kanske inte var helt odelad helt viftas bort.
SKI:s upphandling är en förnyad sådan så man får anses ha mera erfarenhet på området än SSC.
Av teoretiska och praktiska orsaker är jag tilltalad av SKI:s inriktning att använda definitionen ”funktion för e-arkivering” även om det finns aningen av ironi i motstridigheten när funktionen beskrivs som I definitionen av funktionen för e-arkivering beskrivs e-arkiv i termer av vad e-arkivet ska klara av, vilka behov som ska tillgodoses, snarare än vilka funktioner som ska finnas.
Detta är en betydligt mer öppen upphandling i meningen att det finns möjlighet för kunderna att använda avtalet både för att kunna köpa en molntjänst och för att köpa en applikation för egen drift.
I alla fall hypotetiskt minskar det risken för den koncentration som föranledde kravet på SUA för SSC.
SKI har alltså valt att inte göra en SUA, helt korrekt enligt mig.
Det ger också kunden möjlighet att lägga till egna säkerhetsåtgärder i en applikationsdrift och anpassa applikationsdriften till egna skyddsnivåer.
Att flera leverantörer finns på ramavtalet minskar inte bara koncentrationen av information utan gör också lättare att välja en leverantör som motsvarar den egna kravbilden utöver det som står i ramavtalet.
Jag tror (med betoning på tror) att ramavtal är en bättre lösning även ur säkerhetssynpunkt om det är oklart vad en mellanliggande myndighet ska tillföra eftersom kunden då har möjlighet att ha direktkontakt med leverantören.
Applikationsdrift i all ära men för mindre verksamheter kan molntjänster innebära en mycket bättre säkerhet än vad man kan skapa själv (har redan skrivit om detta ett antal gånger så jag vevar inte argumentationen ytterligare en gång).
Inte heller i SKI:s upphandling finns skyddsnivåer definierade även om informationsklassning nämns som en del i de konsulttjänster som kan avropas.
Krav på certifiering ställs inte och säkerhetskraven är inte frilagda på samma sätt som i SSC:s upphandling.
Likaså är många kraven av samma något diffusa karaktär som i SSC:s upphandling.
Det är därför svårt att på rimlig tid skapa en bild av hur den tänkta säkerhetsarkitekturen ser ut.
Jag tror dock att det varit enklare att hitta fram till ett samförstånd i denna upphandlingstyp än i den konkurrenspräglade dialogen som SSC valde som upphandlingsform.
Ett problem med båda upphandlingarna är att det är svårt att se vilka riskbedömningar som gjorts och det är även svårt att se något systematiskt arbete som föranlett de säkerhetskrav som faktiskt ställts.
Jag uppfattar det inte som att säkerhet varit en väl analyserad fråga i upphandlingarna även om SSC drämde i med storsläggan säkerhetsskydd.
Generellt skulle jag vilja hävda att kunden som använder SKI:s ramavtal har större möjlighet att påverka säkerheten i sin informationshantering än den tänkta kunden hos SSC.
Hur stora koncentrationer av information ska hanteras är en fråga på nationell nivå där jag inte tror att säkerhetsskydd är lösningen.
I båda fallen har (eller skulle ha haft) kunden ett drygt arbete att analysera sitt säkerhetsbehov innan en tjänst kan tas i drift.
En from förhoppning är fortfarande att ta fram gemensamma skyddsnivåer till gagn både för kunder och leverantörer.
Ytterligare en önskan skulle vara att tydligare utgå från de tilltänkta kundernas situation och möta dem där de är.
Om ett nationellt ”e-arkiv” ska byggas upp bör behov och lösningar analyseras mycket mer noggrant.
Det handlar om både organisation, tjänster och infrastruktur.
De utredande ansatser som gjort av SSC övertygar mig inte om att denna myndighet är rätt instans för detta uppdrag.
Under en övergångsperiod menar jag att den realistiska lösningen är att upphandla tjänster.
En observation som kan göras är att den organisation som har till uppgift att göra upphandlingar är den som lyckas.
En lärdom av detta kan vara att uppmärksamma hur komplicerad själva upphandlingsprocessen är och att den bäst sköts av en organisation med expertkompetens.
Att ha icke-koordinerade lösningar mellan stat och kommun/region är olyckligt.
Eftersom informationen flödar mellan arkivbildare bör det konceptuellt vara samma typ av lösningar.
Här finns även möjlighet att ge stöd för de privata utförarna av offentliga uppgifter – ett område som nu tycks bortglömt.
Slutligen vill jag, som så ofta, understryka betydelsen av att Riksarkivet tar ett betydligt större ansvar för e-arkivfrågan.
Det gäller både operativt i rena kravställningar men också strategiskt.
Redan nu görs enorma informationsförluster vilket borde sporra Riksarkivet till att göra det till sin huvudfråga.
Föreställningen om att e-arkiv handlar om att överföra information från ett system till ett annat måste överges och de stora informationsarkitekturerna prioriteras.
För att lyckas med krävs mycket stora insatser.
Två viktiga steg menar jag är att befria SSC från uppdrag inom e-arkivområdet och att inse att det som nu kallas e-arkiv egentligen är ett informationshanteringssystem som inte löser den långsiktiga arkivfrågan.
Därefter bör ett nytt uppdrag skapas.
Grunden för ett sådant uppdrag bör vara att staten nu (och sannolikt inte under överskådlig tid)inte har förutsättning att utveckla informationshanteringslösningar i den omfattningen själv.
Att omforma eller kopiera SKI:s ramavtal så att även statliga myndigheter kan använda det är ett sätt att skapa förutsättningar för en mogen marknad där leverantörer kan se en långsiktighet som gör att de vågar investera i utveckling.
Tillägg 2019-02-10: Uppmärksamma läsare har hört av sig och sagt Kammarkollegiets ramavtal innebär en möjlighet för alla aktörer inom offentliga sektor att upphandla e-arkivlösningar för installation i den egna miljön.
Definitionen av e-arkiv är på samma sätt som övriga sparsmakad och på samma gång förbryllande, arkivarie som jag är har jag svårt att uppfatta skillnaden mellan arkivering och långtidsarkivering: Anbudsgivare ska erbjuda minst en programvara för e-arkiv för installation i kunds it-miljö.
Med e-arkiv menas en programvara för arkivering och långtidsarkivering av handlingar för installation i kunds it-miljö Naturligtvis borde jag nämnt avtalets existens.
Jag har dock redan i ett tidigare inlägg beskrivit hur jag försökt få svar på vilken säkerhet dessa leverantörer kan erbjuda utan att lyckas (ingen svarade).
Dessutom går ramavtalet såvitt jag kan se ut den sista november i år.
Att avtalstiden snart går ut ökar möjligheterna för att ta ett större grepp om frågan.
I augusti 2014 fick den då relativt unga myndigheten Statens servicecenter ett uppdrag av regeringen att i samverkan med Riksarkivet samt sju pilotmyndigheter utveckla och använda en förvaltningsgemensam tjänst för e-arkiv.
Efter dryga fyra år avbryter man nu upphandlingen med hänvisning att det endast inkommit en kvalificerad sökande och att priset är för Detta är mycket bekymmersamt.
I en fråga som varit akut i ett par decennier, nämligen det långsiktiga bevarandet av den information som genereras i myndigheter, kommuner och landsting, har myndigheter blivit intalade att det snart kommer en lösning på deras .
Så sent som för en månad sedan deltog Statens servicecenter på Arkivforum och trumpetade ut att man nu var i mål och att myndigheter skulle kunna ansluta sig till tjänsten inom ett halvår.
Det skulle vara frestande att ropa ”skandal” men det är intressantare att försöka analysera vad misslyckandet beror på.
Själv har jag redan tidigare skrivit om att hela upplägget var märkligt i framförallt två hänseenden.
För det första har det hela tiden saknats en övergripande strategi för det långsiktiga bevarandet av digitala handlingar.Det som kallats e-arkiv hos Statens servicecenter är bara en del i en större helhet som ännu inte finns beskriven.
Eftersom tjänsten enbart är ett mellanarkiv återstår fortfarande att skapa ett slutarkiv och min obesvarade fråga har varit varför ett mellanarkiv över huvud taget skulle vara intressant i ett digitalt perspektiv.
Om information ska överföras från arkivbildaren till en annan myndighet borde det rimligen ske på ett sätt där även slutarkivering ingår eller åtminstone är tydligt planerad.
Så är nu inte fallet och för mig förefaller detta bara vara ett prokrastinerande av en oundviklig uppgift.
Den andra frågan är sammanhängande med detta och handlar om Riksarkivets roll och varför information som ska långtidsbevaras först ska mellanlanda hos en annan myndighet.
Jag menar att Riksarkivet borde ta ansvaret för denna kärnuppgift i det egna området och beskriva hur ett digitalt mellanarkiv borde utformas för att passa in i en större helhet av bevarande.
Att överlåta detta uppdrag till en myndighet utan expertkompetens känns både ologiskt och som ett stort risktagande.
Det som upphandlingen slutligen fallit på är dock den bristande informationssäkerheten hos leverantörerna vilket framgår tydligt i det beslut som Statens servicecenter tagit angående att avbryta .
Av de åtta anbudsgivarna föll sex bort på grund av de inte uppfyllde kraven på informationssäkerhet, en drog sig ur frivilligt och den enda kvarvarande blev för dyr.
Att informationssäkerheten varit en, med ett understatement, underordnad fråga i e-arkivsammanhang är för mig uppenbart både utifrån den enkät jag gjorde i våras och ännu tydligare i de frågor jag ställt till leverantörer.
De leverantörer jag frågat och där det finns en stark korrelation med de som lämnat anbud till Statens servicecenter har inte kunnat svara på en enda fråga gällande säkerhet alternativt har aktivt beslutat att inte svara.
Detta förhållande borde blivit känt även för Statens servicecenter.
Jag har vid förfrågan inte fått ta del av de säkerhetskrav som Statens servicecenter ställt men i dokumentet som offentliggjorts om upphandlingen visar att flertalet leverantörer som lämnat anbud inte kan visa upp ens den mest elementära styrning av säkerhet i sina tjänster.
För mig är det mest förvånande att Statens servicecenter under fyra år drivit ett projekt med syfte att tillgodose myndigheterna med en e-arkivtjänst inte under denna tid vare sig lyckats med att genomföra en relevant marknadsanalys eller med att förmedla information till leverantörerna om informationssäkerhetens betydelse.
Har man verkligen trott att leverantörerna jobbar med informationssäkerhet utan att man behöver betona det eller har man bara kört på trots indikationer på att det inte fungerar?
Och detta efter Transportstyrelsen och alla de diskussioner som förts om molntjänster och outsourcing?
Nu kan en kritisk läsare tänka att utfallet beror på att Statens servicecenter ställt alldeles orimligt höga säkerhetskrav.
Min bedömning är den motsatta.
De fallerande anbudsgivarna uppfyller inte ens elementära säkerhetskrav som till exempel att ha en informationssäkerhetspolicy eller kunna visa vilka säkerhetskontroller man genomför.
Som sagt; jag har ingen aning om hur säkerhetskraven formulerats i upphandling eftersom det sekretessbelagts.
Men om leverantörerna inte ens har ett LIS eller kan beskriva hur det egna säkerhetsarbetet är organiserat måste dialogen mellan upphandlande myndighet och leverantörer gått allvarligt fel.
Detta är dessutom en upphandling som skett med så kallat förhandlat förfarande där den upphandlande myndigheten inbjuder utvalda leverantörer och förhandlar om kontraktsvillkoren med en eller flera av dem.
Dialogen har syftat till att utforma krav och villkor för om hur en förvaltningsgemensam tjänst för e-arkiv på bästa sätt kan utformas.Under dialogen har sökande presenterat och preciserat sin lösning i enlighet med inbjudan till respektive dialogomgång.
Sammanlagt har sex (6) dialogomgångar .
Projektet har alltså pågått i fyra år med dialoger med hugade leverantörer.
Ändå har man inte fått leverantörerna att inse att de åtminstone måste ha en basal informationssäkerhet för att kunna bli aktuella.
För mig bekräftar det mitt intryck av att e-arkivfrågan på alla nivåer varit tämligen konsekvent isolerad frånt.
I den aktuella upphandlingen har det lett till ett ofruktbart resultat för kunder och leverantörer trots nedlagda resurser.
Vad värre är – att arbetet med att ta fram andra lösningar för e-arkiv avstannat hos myndigheterna och därmed en stor förlust av tid.
I sin till regeringen förklarar Statens servicecenter att man inte lyckats upphandla en tjänst som är ekonomiskt försvarbar i förhållande till investeringen.
Man menar sig dock ha vunnit så viktiga erfarenheter av sina fyra projektår att man vill att regeringen ska ge ett nytt uppdrag till myndigheten för att utreda en lösning där Statens servicecenter upphandlar licenser för drift och lagring hos en annan myndighet.
Jag menar att denna tummetott i form av någon typ av erfarenhet inte bör motivera regeringen att ge Statens servicecenter ett fortsatt uppdrag.
Istället bör Riksarkivet få ett uppdrag att ta fram en strategi för långtidslagring av digital information, d.v.s.
omfatta både mellan- och slutarkiv.
Detta ingår inte specifikt i den pågående arkivutredningens trots att det ändå måste uppfattas vara arkivsektorns kärnuppdrag.
Därför bör ett separat uppdrag om detta formuleras som inkluderar arkivteoretiska, informatiska, tekniska, juridiska och organisatoriska aspekter men även på ett djupare plan den informationssäkerhet som måste inarbetas i lösningen.
En mycket omfattande men oundgänglig uppgift för utredningen är också att ta fram strategier för att lagra de allt mer komplexa informationsinfrastrukturer som byggs upp med både offentliga och privata aktörer.
I dag tycks fortfarande e-arkiv ofta handla om att ”arkivera” enskilda system trots att det inte är så verkligheten ser ut.
Man kan tycka att detta i onödan drar ut på tiden men för mig är detta en nödvändig grund för det digitala långtidsbevarandet och i förlängningen det digitala samhället.
När utredningen är klar och beslut fattats om inriktning bör expertmyndigheten Riksarkivet vara beställare av de tekniska lösningarna där mellanarkivet kanske kan vara förlagt hos Försäkringskassan.
Slutarkivet måste dock, anser jag, finnas hos Riksarkivet.
I detta kan jag inte se att Statens servicecenter kan spela någon väsentlig roll.
Och återigen är mitt credo: är det någonstans informationssäkerhet behövs så är det i e-arkiv!
För mig är informationsförvaltning och informationssäkerhet nära sammanhängande frågor med många gemensamma förutsättningar och problem.
Det största gemensamma problemet är kanske att de sällan integreras sinsemellan och inte heller med det som kallas digitalisering.
Eftersom jag fått uppdrag att skriva en bok om dessa frågor började jag fundera på hur jag skulle få en bättre bild av hur sambanden ser ut i praktiken.
En fråga som utkristalliserade sig var e-arkiv som en del av informationsförvaltningen.
För att kunna förstå frågan på rätt sätt är det viktigt att först analysera betydelsen av ”arkiv” och därmed av ”e-arkiv”.
Trots att det både säljs och köps s.k.
e-arkivlösningar finns det ingen definition av vad detta skulle kunna vara.
Jag kommer att återkomma till denna fråga i ett senare inlägg men här nöjer jag mig med att utgå från att e-arkiv är en process för att långsiktigt bevara digital information med autenticitet, spårbarhet, konfidentialitet, sökbarhet samt med processuella värden i behåll.
Samtliga dessa krav kan finnas i olika grad beroende på den information som ska bevaras.
Den som delar min bedömning om vad ska ses som ett e-arkiv är sannolikt beredd på att acceptera att informationssäkerhet och e-arkiv har starkt inbördes beroende.
Min utgångspunkt är också att en stor del av allmänna handlingar ska bevaras över tid liksom en inte obetydlig del av den information som produceras i privata verksamheter.
Även om kraven på konfidentialitet och tillgänglighet i de flesta fall klingar av så är ändå slutsatsen att e-arkivlösningar måste kunna erbjuda minst lika bra informationssäkerhet som de digitala lösningar som hanterar informationens mer aktiva skeden.
För e-arkivet ökar istället kraven på autenticitet som kan sägas vara en kombination av spårbarhet och riktighet.
Genom den aggregering av information som planeras i många e-arkivlösningar ökar också kraven på att skydda mot obehörig åtkomst.
Utan att utveckla detta ytterligare så måste med dessa förutsättningar ett mycket aktivtomge e-arkiven med riskanalyser och informationsklassning m.m.
på minst samma nivå som för andra digitala lösningar.
I en allt mer digital värld är jag också mycket nyfiken på hur dessa frågor ska lösas nationellt och om vi inte måste tänka på ett annat sätt när det gäller det långsiktiga bevarandet än vad vi gjort när det gäller pappershandlingar.
För den oinvigde har Riksarkivet varit slutarkivet för de allmänna handlingar som produceras i statliga myndigheter som i långsam process likt sedimentering vandrar från aktivt skede via mellanarkiv till slutlagring.
Digitaliseringen gör hela denna process onödig, de digitala handlingar som ska bevaras för eftervärlden skulle kunna överföras till slutarkiv i samma ögonblick som de skapas och en kopia hanteras i verksamheten.
Ändå tycks tankegången fortfarande var densamma i praktiken och någon slags mellanarkiv för digital information byggas upp av Statens Servicecenter som outsourcar tjänsten till något av de stora leverantörerna.
Jag ställer mig frågande till hela tanken i detta, att tjänsten byggs upp inte av den myndighet med ansvar och kompetens inom arkivområdet utan en annan, men också inför hur erbjudandet eller påbudet uppfattas av de myndigheter som förväntas delta.
Detta är bakgrunden till att jag i början av 2018 skickade ut en enkät till samtliga myndigheter, regioner/landsting och kommuner med följande frågor: Har ni tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1?
Om ja skulle jag, om möjligt, vilja ta del av den.
Har ni en egen e-arkivlösning eller planerar ni att köpa en tjänst för det eller på annat sätt anlita utomstående?
Om ni planerar att köpa en tjänst eller anlita utomstående: ser ni det som ett mellanarkiv?
Vilken tidshorisont har ni för nyttjandet av tjänsten?
Har ni en Plan för informationssäkerhet enligt 6 kap RA-FS 2009:1?
Om ja skulle jag, om möjligt, vilja ta del av den.
Om/när ni tagit fram en egen e-arkivlösning alternativt anlitat utomstående för tjänsten, har detta då föregåtts av en riskanalys och informationsklassning?
Vilka är, som ni ser det, de viktigaste kraven på informationssäkerhet när det gäller e-arkiv?
Ur offentlighetsperspektivet är svarsfrekvensen dyster för detta är hur många som svarat till dags dato trots att förfrågan även innehöll en begäran om att få ta del av allmän handling: 62 kommuner (21 % av samtliga tillfrågade) 8 regioner/landsting (40 %) 86 myndigheter (24 %) Några noteringar kan göras rörande de svarande.
Bland kommuner är det påfallande att det snarare är de små kommunerna som ansträngt sig för att svara än de medelstora eller stora.
Bland myndigheterna har universitet och högskolor varit exceptionellt bra på att svara (75 %).
Av de myndigheter som ingår i eSam som är ”ett medlemsdrivet program för samverkan mellan 24 myndigheter och SKL.
Samarbetet syftar till att underlätta och påskynda digitaliseringen av det offentliga Sverige.” och som bland annat drivit på frågan om öppna data är det knappt hälften av de ingående myndigheterna som svarat på enkäten.
Här skulle man kanske kunna önska litet mer av att leva som man lär och en vilja att förmedla information även i praktiken.
Hela tanken så som den formuleras idag är att ett ”e-arkiv” på något sätt är en applikation i egen regi, i samverkan, hos en myndighet eller i form av en molntjänst.
Därför tyckte jag också att det var intressant att ställa frågor till olika typer av leverantörer hur de formulerat säkerhetskraven på sina lösningar.
Här var svarsfrekvensen extremt låg när jag ställde dessa frågor: Kan ni redovisa på vilket sätt ni arbetat med informationssäkerhet i tjänsten?
Vilka ser ni som de främsta informationssäkerhetsriskerna kopplade till tjänsten?
Kan ni erbjuda tjänsten på olika skyddsnivåer?
Är alla typer av information möjlig att hantera i dem?
Vilka krav ställer ni på eventuella underleverantörer?
Hur ser ni på ert ansvar i förhållande till användarna av tjänsten då det gäller att uppnå tillräcklig informationssäkerhet?
Har ni ett eget internt ledningssystem för informationssäkerhet (LIS)?
Har ni en utpekad informationssäkerhetsansvarig i er organisation?
Har ni ett eget standardförslag på personuppgiftsbiträdesavtal och är det i så fall möjligt för mig att få ta del av?
Är tjänsten planerad för att klara NIS-direktivet och civilt försvar?
Jag har på dessa frågor inte fått ett enda svar som inte varit av typen ”varför ställer du de frågorna” eller ”kan vi ta det per telefon istället”.
Statens Servicecenter var dock mycket snabba och tillmötesgående och skickade över kravspecifikationen de använt när de försökt upphandla tjänsten e-arkiv.
Min slutsats är att leverantörerna: Inte fått tydligt formulerade säkerhetskrav på sina tjänster Inte har tagit fram ett generellt presentationsmaterial som redovisar vilken säkerhet som deras tjänster erbjuder.
Att säkerhet i tjänsten inte är självklara frågor ser jag som mycket bekymmersamt och som en klar brist på mognad hos dessa tjänster vilket också komplicerar situationen för särskilt mindre organisationer som planerar att upphandla ett ”e-arkiv”.
I nästa blogginlägg kommer jag att redovisa de svar som inkommit från kommuner, landsting/regioner och myndigheter.

juridiska, organisatoriska arkivteoretiska, tekniska Om vi särskiljer lagring och arkiv innebär arkiv den slutliga förvaringen av information som ska bevaras i hundra-, ja tusentals år.
Att införa e-arkiv är alltså inte något som kan vidtas med en händelsehorisont på tio år.
I den svenska myndighetsvärlden råder en viss begreppsanarki där ”arkiv” kan betyda olika saker som en lokal, en institution och en myndighets bestånd av allmänna handlingar vilket jag skrivit om bland annat En myndighet (inklusive kommuner och regioner) skapar och tar emot stora mängder information av vilka en del utgör allmänna handlingar som enligt huvudregeln ska bevaras för framtiden såvida inte ett formellt gallringsbeslut upprättas som sätter en gallringsfrist.
Gallring kan alltså ske efter olika lång tid vilket gör att viss information ska sparas för all framtid medan annan kan gallras efter viss tid.
För pappersbunden information har man därför ofta skapat för att avställa inaktuell information i väntan på långtidsbevarande respektive gallring.
Det är arkivmyndigheten som i huvudsak ska fatta gallringsbeslut.
Här finns dock en mycket stor skillnad mellan statliga myndigheter och kommuner/regioner.
För statliga myndigheter är Riksarkivet arkivmyndigheter medan i kommuner och regioner är deras egna styrelser som utgör arkivmyndigheter En arkivmyndighet har inte bara uppgiften att fatta gallringsbeslut utan även ansvaret för bland annat arkivvård och tillsyn.
I det nu aktuella sammanhanget är det en central förutsättning att när en arkivmyndighet tar hand om ett arkiv så är det också arkivmyndigheten som ”äger” arkivet.
Arkivmyndigheten ansvarar för utlämnande av allmänna handlingar och den ursprungliga arkivbildaren (d.v.s.
myndigheten som lämnat in) kan inte hålla på att rumstera om i informationen.
Trots att arkivredovisningen ska vara processorienterad och att vi idag har stora sammanhängande informationsinfrastrukturer med ett otal antal bärare är e-arkivfrågan fortfarande inriktad på att överföra informationsmängder från enskilda system för arkivering.
I den enkät jag gjorde 2018 bland myndigheter, kommuner och regioner var ett starkt intryck att e-arkivfrågan inte i någon högre grad kopplats samman med informationssäkerhet.
Få att de tillfrågade hade gjort informationsklassningar och riskanalyser, ännu färre kunde redovisa säkerhetskrav att ställa på e-arkiv.

mellanarkiv en

Meny E-arkiv

Den långsiktiga hanteringen av information Den nya informationsinfrastrukturen Den krympande andelen allmänna handlingar Information som samhällsresurs Bristande relation till näraliggande områden En strategi för den svenska arkivverksamheten Bakgrund Vad skulle då upphandlas?
SKI Slutsatser

MENU MENU Postat av Postad i , , Tagged , , , Postat av Postad i , , , Tagged , , , , , , Postat av Postad i , , Tagged , , , Postat av Postad i , , , Tagged , , , , , , Sök efter:

En myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap.
12 § tryckfrihetsförordningen och som myndigheten beslutar ska tas om hand för arkivering.

Efter långt om länge släppte nu äntligen Datainspektionen (snart Integritetsskyddsmyndigheten) sina av åtta vårdgivare.
Även om jag var väl förberedd på innehållet så är det en chockerande dyster läsning när den fulla konsekvensen av vad jag redan visste blev förtydligad på detta sätt.
Låt mig först understryka att det Datainspektionen ställer krav på inte är några nya krav för vården utan de har funnits sedan länge bland annat i Socialstyrelsens och i PuL.
De brister som framkommer i granskningar har inte heller de nyhetens behag utan är de samma som i de granskningar av vården som Socialstyrelsen respektive Datainspektionen gjorde typ 2012.
Det är alltså inte så att vårdgivarna är tagna på sängen med helt ny rafflande krav utan det är väl kända försummelser som regioner och vårdgivare medvetet underlåtit att rätta till.
Egentligen räcker det att läsa följande stycke i granskningen gällande Capio S:t Görans Sjukhus AB för att se vidden av hur undermålig säkerheten och skyddet för integriteten är: Ytterligare försvårande omständigheter är att behandlingen av uppgifter om patienter i huvudjournalsystemet hör till kärnan i en vårdgivares verksamhet, att behandlingen omfattar många patienter och möjligheten till åtkomst avser en stor andel av de anställda.
Inom ramen för den inre sekretessen har mer än 2700 medarbetare åtkomst till uppgifter som rör närmare 490 000 patienter.
Utöver det har mer än 600 medarbetare, inom ramen för den sammanhållna journalföringen, åtkomstmöjligheten till uppgifter rörande cirka 3 patienter i TakeCare.
För att strö ytterligare salt i såret kan man läsa om Aleris sjukvård AB: Aleris har ett dokument som benämns ”Behovs-och riskanalys-TakeCare”.
Dokumentet har sett ut som det gör idag sedan den 28 maj 2012 då Take Care infördes och gäller både för den inre sekretessen och inom ramen för den sammanhållna journalföringen.
Av dokumentet framgår de olika profilerna, så kallade behörighetsgrupper.
Dokumentet visar bland annat läsrättigheterna samt skrivrättigheterna för respektive behörighetsgrupp.
Alla profiler förutom tekniker har tilldelats läsbehörighet till uppgifterna i TakeCare.
Då ska noteras att man hade 796 350 unika patienter i maj 2019 och 1058 aktiva användarkonton av vilket det absoluta flertalet alltså har läsrättigheter till samtliga patienter oavsett om de har en vårdrelation eller inte.
Att Aleris slänger fram en oförändrad riskanalys från 2012 säger nog det mesta om nivån på säkerhetsarbetet liksom när Capio hävdar att de visst har en behov- och riskanalys men att den av okänd anledning är borttappad.
Capio St Göran fick 30 miljoner i sanktionsavgift och Aleris Sjukvårds AB 15 miljoner (plus ytterligare 12 miljoner från sitt andra bolag Aleris Närsjukvård AB) men de är långt ifrån unika.
Bristerna hos övriga granskade vårdgivare (granskningen av Kry ännu ej beslutad) bekräftar det vi redan vet bland annat från tidigare granskningar.
Säkerheten i den svenska sjukvården är helt undermålig och det gäller inte bara vad gäller integritetsrelaterade frågor som de Datainspektionen granskat utan generellt.
Jag har begärt en större del av underlagen från Datainspektionens granskningar och ska fördjupa mig ytterligare i dem.
I detta blogginlägg ska jag ta upp några fenomen som aktualiseras i de granskningsfynd som presenteras i de offentliggjorda rapporterna.
Utgångspunkten är att den usla säkerhet som indikeras genom granskningarna är en följdriktig konsekvens av ett konsekvent förhållningssätt till integritet och säkerhet i vården från olika aktörer.
För att förstå hur samtliga granskade vårdgivare (Kry inte inräknade än så länge) så flagrant bryter mot lagstiftningen måsta man känna till att lagtrots när det gäller integritet och säkerhet i digitala lösningar är normen i den svenska vården – inte undantaget.
Att endast medarbetare med vårdrelation eller något annat mycket tydligt definierat skäl ska ha åtkomst till patientuppgifter är ett krav som har kommit med dataskyddsförordningen utan har funnits i princip sedan journalerna övergick från att vara räkenskapsmaterial till att vara vårddokumentation.
Vi rör oss alltså någonstans i början av förra seklet (hur gärna skulle jag inte vilja gå in på detaljerna i denna historia men inser att alla kan inte vara totala journalnördar – skulle någon vilja veta mer så får ni skicka ett mail).
På den tiden pappersjournalerna gällde fanns de inlåsta i journalarkiv med strikta regler för vem som fick ta del av dem.
Det kan sägas att ha rått en minimalistisk åtkomstprincip innan begreppet var uppfunnet.
Återkommande klagomål fanns på att det var för många som ändå kunde slinka in och läsa det de inte fick men möjligheten får ändå säga vara mikroskopisk jämfört med det som skildras i de aktuella granskningsrapporterna.
När de tidiga journalsystemen introducerades på slutet av 1980-talet hade de inte funktionalitet för en effektiv behörighetsstyrning på individ- och rollnivå vilket var ett första steg på färden mot dagens situation.
Istället för att tvinga leverantörerna tillbaka till ritbordet för att konstruera system som följde lagstiftningen började man (med ”man” avses i det följande den grupp av leverantörer, it-chefer, byråkrater, politiker och andra makthavare inom vården som ansvarat för digitaliseringen) tänja på normerna och hävda att det gick lika bra att styra med logguppföljning som med behörigheter.
Istället för att organisatoriskt och tekniskt begränsa åtkomsten hävdade man att logguppföljning var en jämförbar säkerhetsåtgärd (!).
Denna för svensk sjukvård unika bedömning var ett fatalt vägval ligger bakom en stor del av de säkerhetsproblem som finns i vården idag.
De negativa konsekvenserna begränsas inte enbart till att det på dryga tjugo år utvecklats de organisatoriska och tekniska lösningar som är nödvändiga för följa lagen och ha ens ett basalt skydd för patientuppgifterna.
Det har även lett till att man för att motivera det stora felsteget gjort dygd av nödvändigheten genom att hävda att ALLA inom sjukvården behöver tillgång till ALLA patientuppgifter hela tiden – allt annat vore en risk för patientsäkerheten.
I målande ordalag beskrevs hur nödvändig patientinformation inte skulle finnas tillgänglig för vårdpersonalen vid behandlingar olika slag vilket skrämde upp en hel del läkare och sköterskor som därmed köpte den konstruerade motsättningen mellan patientsäkerhet och integritet.
Det ledde till en ond spiral där krav på korrekt behörighetshanteringen inte ens ställts vid upphandlingar och stora utvecklingsprojekt trots att lagstiftningen är tydlig på denna punkt vilket i sin tur knappast motiverat leverantörer av vårdinformationssystem att utveckla sådan funktionalitet.
Det är därför en särskild glädje att Datainspektionen i granskningen av Capio S:t Göran slår fast att loggning kan ersätta att begränsa åtkomst via behörighetshantering: Capio S:t Görans anger att de använder systematisk logguppföljning för att reducera risken för att medarbetare otillbörligen tar del av patientuppgifter.
Datainspektionen konstaterar att patientdatalagen inte lämnar något utrymme förvårdgivare att kompensera frånvaron av behovs-och riskanalys, eller en allt för bred tilldelning av behörighet tillåtkomst, med en omfattande logguppföljning.
Inte heller fiktiva åtkomsthinder som ”journalfilter” eller ”aktiva val” godkänns av Datainspektionen som tillräckligt för att begränsa åtkomsten vilket kan vara en bra tumregel att ha med sig in framtida projekt.
Det känns också bra att Datainspektionen drar undan mattan för det i digitala sammanhanget urgamla svepskälet för att ha lagstridig hantering av personuppgifter, nämligen att hävda att man har en akutverksamhet.
Ytterligare en konsekvens är att den lättsinniga hållningen till lagstiftning sedan dess blivit en tradition inom vård-it.
Ett aktuellt exempel är när Region Skåne först beslutat att medvetet gå emot bättre vetande och upphandla en som går emot dataskyddslagstiftningen och sedan i sista minuten sig.
Hur mycket denna utsvävning kostat i pengar och förlorad tid är oklart.
Argumentationsfelen för att använda exempelvis molntjänster är desamma som medvetet praktiserats under par decennier i vården: ”ja men det blir ju bättre än det vi har” och så bygger man fast sig i bristfällig lösning som det tar åratal att ta sig ur istället för att ställa rätt säkerhetskrav från början och se till att de levereras.
Själv kan jag inte räkna alla gånger som jag, när jag påpekat brister i tänkta lösningar, fått kommentarer som ”ja men det är ju bättre än det som finns idag”, d.v.s.
att legitimera kända risker i nya lösningar med den falska jämförelsen med dagsläget.
Detta är ytterligare en väsentlig bakgrund till dagens situation och som bygger på samma knäppa riskhantering som är den andra återkommande bristen i Datainspektionens aktuella granskningar, nämligen risk- och sårbarhetsanalyser där vårdgivarna återkommande endast analyserar och inte risker.
För en sansad människa framstår det kanske som obegripligt varför man över huvud taget bryr sig om att göra riskanalyser om man inte är intresserad av att identifiera och reducera risker.
Jag ser det mer som en del i den svenska digitaliseringskulturen där det inte får finnas problem utan vi ständigt är glittrande glada.
Och har vi inte identifierat några risker så behöver vi ju inte några säkerhetsåtgärder och då är ”utmaningen” (inte problemet) obefintlig.
Tydliga ansvarsförhållanden är grunden för all fungerande säkerhet.
Saknas denna förutsättningen kommer säkerheten oundvikligen att bli lidande och det går inte heller att genomföra ett ansvarsutkrävande.
I den trassliga spaghettistruktur som är svensk vård-it blir detta synligt även i Datainspektionens granskningar.
En konstruktion som skulle behöva synas beskrivs i rapporten om Aleris Sjukvård AB: Federation Samverkan TakeCare (FSTC) är beställare av journalsystemet Take Care och Compu Group Medical (CGM) är leverantör av journalsystemet och ansvarar för de funktioner som systemet har för att styra behörigheter.
Alla funktioner i journalsystemet är skapade av CGM, men det är Aleris som väljer vilka funktioner som en viss personalkategori ska ha tillgång till bland de funktioner som finns inlagda.
Aleris har inga tekniska möjligheter att göra ändringar i Take Care eftersom Aleris inte har någon rådighet över journalsystemet.
Aleris är endast användare av systemet.
Aleris har inte kunnat ställa några krav på CGM vid upphandlingen av journalsystemet.
Bolaget har till exempel påpekat att det funnits problem med journalsystemet bestående i, så vitt avser behörighetstilldelningen, att systemet inte kan separera läs-och utskriftbehörigheter för en läsfunktion.
CGM har inte varit intresserade av att ändra detta trots synpunkter från Aleris.
Det är FSTC som kan beställa ändringar av funktionerna och det är sedan upp till CGM om de vill utföra ändringarna eller inte.
Aleris har en representant i FSTC som kan framföra Aleris önskemål.
Aleris har dock inte fått något gehör för bolagets synpunkter.
Här förefaller det alltså omöjligt för vårdgivaren som även är personuppgiftsansvarig att genomdriva sina säkerhetskrav eftersom en organisation utan formellt ansvar förhindrar det.
Om vi nu hypotetiskt litar blint på att Aleris verkligen ställt rätt säkerhetskrav är det alltså FSTC som drivs av Region Stockholm som inte bara förorsakat kränkningar av ett mycket stort antal patienters integritet utan också ”användarna” Aleris sanktionsavgifter.
Det borde finnas ett intresse åtminstone från ”användarna” att reda ut ansvarsförhållandena och skapa garantier för att man kan få påverkansmöjlighet på de gemensamma it-systemen så at de följer lagstiftningen även om regionen inte prioriterar den frågan.
Trots att det i övrigt finns en mycket god säkerhetskultur i vården har man alltså inte lyckats inympa informationssäkerhet i den.
Det huvudsakliga ansvaret för detta ligger naturligtvis hos regionerna som sjukvårdshuvudmän tillsammans med SKR som sedan mitten av 90-talet utlovat gemensamma regler för informationssäkerhet men hittills inte lyckats uppvisa något som ens liknar det.
Är det någonstans där Datainspektionen bör göra nästa granskning så är det hos SKR:s it-bolag Inera.
Detta är särskilt angeläget eftersom lösningar som NPÖ som tillhandahålls av Inera saknar adekvat behörighetshantering (se ovan) som inte bara drabbar den enskilde vårdgivare utan samtliga vårdgivare som använder.
En annan aktör som väcker viss tveksamhet är IVO vars granskningar hittills inte alls verkar ha genomförts på samma grundliga nivå som Datainspektionen.
Några granskade verksamheter hänvisar till granskningar som IVO gjort och som på något sätt skulle gett klartecken för den säkerhetsnivå som de nu ligger på.
Förhoppningsvis kan tillsynsansvaret i och med NIS-direktivet leda till att IVO utvecklar sina granskningsmetoder.
Jag tror att det är centralt att myndigheterna samverkar här och ser informationssäkerheten i ett helhetsperspektiv och förstår att det är en sammanhängande säkerhetsarkitektur där brister i ett hänseende skapar risker på flera olika sätt.
Det skulle även vara en fördel att ha gemensamma granskningsmetoder och kanske t.o.m.
genomföra granskningar tillsammans.
Många tillsynsmyndigheter kan lära sig mycket genom att studera med vilken noggrannhet och stringens Datainspektionens granskningar genomförts.
I rättvisans namn ska sägas att vården inte fått särskilt mycket hjälp från myndighetshåll att utveckla sin säkerhet.
Jag har tidigare om att MSB:s knytning till ISO 27000 och det metodstöd som utvecklats i denna anda knappast är till hjälp för vårdens infrastruktur och jag kan inte heller se andra satsningar som tagits fram för att stödja denna i sanning samhällsviktiga verksamhet.
Datainspektionens granskningar som endast rör ett par aspekter av säkerheten borde ge upphov till ett större samordnande projekt lett av myndigheter för att långsiktigt höja vården säkerhet eftersom detta är en fråga som regionerna med all önskvärd tydlighet visat att de inte klarar av.
En helt nödvändig insats är att tvinga regioners och SKR:s makthavare att erkänna att det finns ett mycket stort säkerhetsunderskott i vården och istället för att stoppa huvudet i ta sitt ansvar och börja bygga för framtiden.
Häromveckan kom en OECD-rapport där det framkom att Sverige enligt de måttstockar som användes inte var så bra på digitalisering.
Rapporten väckte förvåning och upprördhet i vissa kretsar.
Jag kan på sätt och vis förstå att det kan upplevas som en kalldusch med tanke på hur mycket offentlig ”digitalisering” haussas och sponsras.
Samtidigt får jag litet drygt medge att jag inte är såååå häpen.
Den svenska digitaliseringen har under decennier fört en haltande tillvaro trots att den ständigt varit omgiven av jublande kaskader av pepp.
Under dessa år har olika mystiska nationella organisationer skapats, marknadsförts och sedan dött utan att lämna några imponerande spår efter sig.
Ur minnet kan jag rada upp följande: Utöver detta har diverse ännu mer kortlivade initiativ tagits av regeringar i form av råd och kanske den mest luftiga av alla: en nationell CIO, en funktion som lyckligtvis evaporerade efter mindre än ett år.
Av allt detta finns idag bara DIGG kvar – en myndighet med oklart ansvar och mandat.
Efter att ha rört mig i både närmare centrum och och för det mesta i periferin av dessa cirklar så finns det vissa genomgående drag som jag tycker mig kunnat notera.
Bara uppräkningen av alla flyktiga organisationer som haft en förväntan på sig att samordna den svenska digitaliseringen visar på det kanske främsta problemet: bristen på kontinuitet.
Det har aldrig funnits en långsiktig plan med prioriteringar för hur den offentliga digitaliseringen ska rullas ut.
Bristen på strategisk inriktning skulle i sig kunna vara en strategi, att den svenska staten gjort en välavvägd bedömning att en organisk framväxt utan styrning av digitala lösningar på sikt skulle gynna samhället bäst.
Om detta har varit planen har den dock hållits väl dold.
Verkligheten tyder på, i alla fall för mig, att planering och tydlig inriktning hade varit mycket önskvärt för att skapa en fungerande digital infrastruktur.
Kanske var vi närmare en möjlighet att skapa en infrastruktur på slutet av 90-talet än idag.
Då fanns en medvetenhet om att Sverige hade unika möjligheter bland annat genom denna snabba spridningen av hemdatorer som skett då anställda fick möjlighet att med förmånliga villkor skaffa sig en egen dator via arbetsgivaren.
Då diskuterades hur en statlig e-legitimation skulle kunna införas som en central infrastrukturkomponent.
Själv tyckte jag att det var en rimlig förlängning av ett statlig åtagande: folkbokföring, personnummer och sedan e-legitimation skulle fullfölja en lång linje i svensk förvaltningshistoria som skulle kunna vara byggstenen för många andra lösningar.
Men sedan hände ingenting, varje år sas det att i september – då kommer den att komma!
Vet ej varför just september var en så bra månad för att lansera e-leg men i min något osäkra minnesbild var det så.
En myndighet (E-nämnden) bildades 2003 för att leva i två somrar med uppdrag att stödja utvecklingen av ett säkert effektivt elektroniskt informationsutbyte mellan myndigheter och mellan myndigheter och enskilda genom att beslut om vilka standarder för informationsutbyte myndigheter under regeringen skulle använda sig av.
Detta inkluderade även e-legfrågan.
Men som sagt någon statlig e-legitimation blev det inte då vilket jag är ganska övertygad berodde på ideologiska skäl.
Politiker av olika schatteringar gick all in för nyliberalism och ville hellre att ”marknaden” skulle hantera e-legitimationerna vilket säkert påverkade införande och fördröjde en säker infrastruktur-utveckling.
Att jag tagit upp denna gamla historia är mest för att peka på ett annat återkommande tema i den svenska digitaliseringen, nämligen att det saknats öppna och tydliga diskussioner om hur staten och marknaden ska samverka på bästa sätt för gynna samhället.
Istället har framtagandet av digitala lösningar skett i en ideologisk blindhet som lett mycket stora kostnader (tänk bara Hälsa för mig) utan att det lett till de resultat som eftersträvats.
Och vad är det då för resultat som eftersträvas?
Man skulle tycka att med den stora förväntan på digitalisering och AI som lösningen på alla problem liksom de miljarder som pytsats in att även utan plan så skulle det vara nödvändigt att ha någon slags tydliga mål som går att följa upp.
Så är dock inte fallet om man inte räknar det outsägligt fåniga målet att ”Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter” som tydligt.
Istället vimlar det av fluffiga utsägelser som digitaliseringen ska rädda allt från äldreomsorgen till exportindustrin och självklart skolan.
Exakt hur det här ska gå till beskrivs vad jag kan se varken av , eller digitaliseringsevangelisterna trots att man skrivit vad man kallar mål och strategier.
Det förväntas bara ske.
Det ligger något av en paradox i att digitaliseringslösningar idag så ofta används för att mäta som en del i det rådande NPM-paradigmet när det samtidigt sker så litet av formell utvärdering av vad digitaliseringen faktiskt leder till.
Om man går in de traditionella utvärderarna av ”vad f-n får vi för pengarna?” som Riksrevisionen, Statskontoret och, när det gäller e-hälsa, Myndigheten för vårdanalys finns påfallande få granskningar och rapporter skrivna just om digitalisering.
Riksrevisionen publicerade 2016 en som knappast är en av dem som länder revisionen till heder med tanken på kvaliteteten som kontrollerar om myndigheter digitaliserat tillräckligt mycket – inte vad digitaliseringen lett till.
Detta är i sig en generell tendens, att se digitaliseringen i sig som något ”gott” samtidigt som man i nästa andetag säger att digitaliseringen inte är självändamål.
Men vad kan vara mer självändamål än att ha som mål att ”Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter”?
Däremot kom 2019 en om digitalisering och nyföretagande som faktiskt sätter nyföretagandet i centrum – inte digitaliseringen.
Utöver detta finns det inte mycket att hämta om digitalisering hos Riksrevisionen om man är intresserad av resultatet av statens insatser på området.
Statskontoret har skrivit myndighetsanalyser av bl.a.
E-delegationen, Digisam och Digitaliseringsrådet (spoiler alert: de har inte lyckats så bra) men egentligen inget vad jag kan se om digitaliseringen i sig.
Riksrevisionens och Statskontorets uppdrag kan möjligen göra dem något begränsade i sina granskningar men att Myndigheten för vårdanalys inte haft detta som ett starkt granskningsområde förvånar mig starkt.
Med tanke på hur e-hälsa, välfärdsteknologi, AI och digitalisering lyfts fram som vårdens frälsare borde utfallet av detta vara mycket angeläget att kontinuerligt följa.
Som det nu är hittar jag egentligen bara en som handlar om cancervården specifik.
Ett om äldreomsorgens digitalisering ska slutlevereras 2023 och inriktningen ”Myndigheten ska bedöma hur digitaliseringen av äldreomsorgen bidrar till verksamhetsutveckling, med särskilt fokus på kostnadseffektivitet.” – alltså hur ska digitaliseringen ”effektivisera” äldreomsorgens.
Sammanfattande kan jag förstå om det är svårt att göra granskningar med så fluffiga mål för vad är det egentligen som ska följas upp?
Min egen anekdotiska upplevelse är att den svenska digitaliseringen lider svårt av ett marshmallowssyndrom.
Ni vet det där gamla experimentet om uppskjuten tillfredställelse som sedan har ifrågasatts men som jag ändå använder här som bild.
På Stanford university erbjöds fyraåring att marshmallows med förutsättningen att om de kunde motstå att genast sluka den godbit de fick och kunde vänta några minuter kunde de istället få två.
Tanken var att de som kunde planera och motstå frestelsen blev framgångsrika längre fram i livet.
Den svenska digitaliseringen tyckte jag ofta har liknat barnen som inte kunde låta bli att genast tillfredsställa sitt sötsug.
De politiker, tjänstemän och företag som drivit på digitaliseringen har dock styrts av starkare tobak än marshmallows men kontentan blir att det idag saknas en plan.
Det tycks som man ofta gör saker för att man inte för att man analyserat och kommit fram till att det är rätt steg i en bestämd riktning.
Detta leder också till den intressanta frågan vems intressen tjänar den nuvarande digitaliseringen.
Som redan nämnts är äldreomsorgen ett frestande område att digitalisera, mindre så digitaliseringsbyråkraternas egna jobb.
Jag ska inte ge mig in på David Graebers tankar om Bullshit jobs (läs gärna själva!)
men tanken på de undersköterskor som flänger omkring som torra skinn i äldreomsorgen är de som ska effektiviseras och inte de som har bullshit jobs är djupt störande.
Jag tänker också på vad en äldre människa tjänar på att inte få en människa som kommer och hjälper till med matning utan en robot.
Detta borde vi prata mycket mer om.
För att ingen ska missförstå ovanstående: jag vet och uppskattar den ständigt puttrande digitaliseringen men skulle uppskatta en plan.
I mitt förra inlägg hävdade jag att arbetet med informationssäkerhet alltför ofta kännetecknas av byråkratiska aktiviteter utan reell säkerhetshöjande effekt men däremot med ett anspråkstagande av verksamheters resurser på ett orimligt sätt.
Det är ju inte heller enbart kärnverksamhetens resurser som används på ett sätt som kan etiskt ifrågasättas.
Att säkerhetsarbetet bedrivs utan hänsyn till hur effektiv användningen av resurser är samtidigt som den oavlåtliga klagovisan ljuder att säkerhetsarbetet får för litet resurser, ständigt för litet resurser, är paradoxalt.
För den som arbetar med säkerhet borde det ha högsta prioritet att få fram arbetssätt som ger största möjliga utdelning av säkerhetshöjande effekter i förhållanden till insatta resurser.
Tyvärr har jag sett mycket litet av den typen av analyser och jag kan t.o.m.
tycka att säkerhetsområdet får rejält med pengar sammantaget utan det riktigt framgår vad som kommit ut av det.
Rubriken på blogginlägget är aningen ironisk eftersom det väl nu är allmänt känt att effektiviseringar sällan leder till bättre verksamhet.
Jag tycker ändå att det är klädsamt om vi som jobbar informationssäkerhet, som är en stödfunktion, håller upp spegeln och ser vad vi kan göra när kärnverksamheten i många organisationer är hårt pressad av krav på besparingar.
Att försöka göra saker bättre och mer kostnadseffektiva behöver inte heller vara till nackdel för metodutveckling, jag dristar mig att anse att det skulle vara en fördel om det fanns ROI-perspektiv på både planerade och genomförda säkerhetsåtgärder.
Jag tror det skulle vara ett stort stöd för många informationssäkerhetsansvariga som nu ibland verkar beta av ett antal aktiviteter utan att kunna bedöma vad det egentligen leder till.
Vissa aktiviteter kan vara stora och dyrbara men det handlar också om annat där kostnaden kanske inte är så stor men effekten ännu mindre.
Att genomföra generiska e-utbildningar är enligt min erfarenhet tämligen bortkastat mensom initierat dem kan bocka av en ruta.
För mig betyder detta mekaniska tillvägagångssätt, förutom pengar och medarbetares tid i sjön, att organisationen invaggas i en vilseledande och farlig falsk trygghet.
Det tämligen obefintliga effektivitetspressen inom säkerhetsområdet, som är så kännbar i andra sektorer, tycker jag mig se leda till en lättja i tanke och i handling.
Det är lätt att glömma bort men informationssäkerhet handlar i grunden om att .
Har man inte det så har man inte en fungerande informationssäkerhet.
Med detta i bakhuvudet så kan den seriösa informationssäkerhetsarbetaren inte leva efter bekvämlighetsprincipen och hela tiden göra det som känns enklast.
Att enbart identifiera information som råkar finnas i system som man redan känner till är som, för att använda en mycket uttjatad bild, att leta efter den borttappade nyckeln under gatlyktan eftersom det är enklast.
Tyvärr är det så jag uppfattar rätt mycket av de insatser som går under beteckningen ”informationsklassning” som inte leder till kontroll över den information som är viktig för verksamheten utan den som redan finns bekvämt paketerad i en behållare a.k.a ett ”system”.
Ibland när jag får ”verktyg” för informationsklassning som är obegripligt efterfrågade presenterade för mig kan jag inte låta bli att fnissa till och tänka på min bekant som var kommunal it-chef på 1990-talet.
Hen hävdade att det var en underbar tillvaro där hen sågs som en wizzard som på vilken fråga som helst (i princip) från verksamheten kunde hacka ihop ett it-verktyg för att lösa en uppgift.
”Stöd” sågs helt enkelt som synonymt med någon slags programvara.
Tyvärr tycks denna uppfattning leva kvar bland många i informationssäkerhetsbranschen trots att det ofta är de icke-digitala delarna i en aktivitet som är svåra.
I informationsklassning (se nedan) är den stora frågan exempelvis att göra rätt analyser, inte att hålla reda på genomförda klassningar.
Innehåller verktygen dessutom generiska skyddsåtgärder uppstår en annan problematik: vem tar då egentligen ansvar för att det är korrekta skyddsåtgärder i förhållande till risken?
Efter denna salva känner jag mig förpliktigad att ge exempel på alternativ.
Här kommer därför ett förslag på arbetssätt motsvarande informationssäkerhetens kinderägg.
De tre fördelarna med mitt förslag är att man faktiskt arbetar med information – inte system, att man kan bygga upp en likvärdig säkerhet i likartade verksamheter och att kostnader i form av pengar och tid radikalt skulle kunna minskas samtidigt som får ökad kvalitet/säkerhet.
Med avsikt har jag valt en mycket säkerhetskänslig funktion som även är mycket vanligt förekommande: processen för läkemedelshantering i äldreomsorgen.
För att ge en kort bakgrund så ombesörjs äldreomsorgen med de 290 kommunerna som huvudman.
Kommunerna kan bedriva omsorgen själva eller anlita underleverantörer som privata vårdföretag.
Oavsett vilket så är det kommunen som har ansvar som sjukvårdshuvudman och ska därmed säkerställa att omsorgen bedrivs på ett säkert och likvärdigt sätt oavsett utförare.
En central del i omsorgen av äldre är läkemedelshanteringen.
Äldre som inte får rätt läkemedel i rätt dos vid rätt tidpunkt löper en avsevärd hälsorisk, i värsta fall med döden som utgång.
Omsorgen sker dygnet runt av ett antal medarbetare som vid varje givet tillfälle måste ha korrekt och spårbar information tillgänglig.
Samtidigt berör uppgifterna om läkemedel omsorgstagarens hälsotillstånd vilket gör dem till känsliga personuppgifter som måste omges med ett mycket starkt skydd mot obehörig åtkomst.
Utöver detta finns en särskild risk i läkemedelshanteringen, narkotiska preparat och även andra är mycket stöldbegärliga.
Även detta stärker det utpräglade behovet av spårbarhet där varje händelse kan följas och och kopplas till person som i en lång verifikationskedja.
En generisk processbeskrivning på övergripande nivå skulle kunna se ut så här.
Inga konstigheter i det men man kan gå ett fördjupande steg till utan att beskrivningen skulle tappa särskilt mycket i allmängiltighet med däremot fånga upp vilken information som hanteras, se detta utsnitt ur processen: Processen startar med att en av regionens läkare gör en läkemedelsordination vilket dokumenteras i regionens vårdsystem samt i den nationella läkemedelslistan.
Dessa moment ligger utanför processbeskrivningen ovan som startar med att information om ordination överförs till kommunen som en pappersutskrift vilket startar processen.
Den intresserade kan notera följande: Detta är inte på något sätt unikt för den här processen utan gäller för många andra.
Slutsatsen man kan dra är att om man seriöst så räcker det sannerligen inte med att ”klassa” ett enskilt system utan måste få kontroll över hela informationshanteringen.
Inte heller att enbart titta på digital information utan det är just helheten som måste fångas för att rätt åtgärder ska kunna vidtas.
Även för dataskyddet är detta en självklarhet – man kan liksom inte bara skydda personuppgifter i digital form.
I den ovan beskrivna processen finns t.o.m.
bärare som apodos-påsar som måste omhändertas på ett korrekt sätt.
Det kan tyckas ansträngande att inte bara få ägna sig åt färdigpaketerad information prydligt avgränsad i system men här finns istället stora effektivitetsvinster att göra.
Det går att klassa informationsmängden ”ordination” och så vidare så att det går att använda som en i samtliga kommuner oavsett vilka bärare man för tillfället råkar använda.
Dagens rekommendation från myndigheter och SKR är att 290 kommuner med vissa fall flera förvaltningar som bedriver äldreomsorg ska klassa system i varje förvaltning.
Dessutom måste samma manöver upprepas av de privata vårdgivare som anlitas av kommunerna.
Enligt beräkningar fanns 2019 14900 företag som ägnade sig åt vård och omsorg.
Jag har inte riktigt tid att fördjupa mig i exakt hur många av dessa som bedriver äldreomsorg men för saken skull så utgår jag från att det åtminstone finns 500 privata äldreboenden.
Sammantaget kanske det då behöver göras 850 klassningar av olika vårdgivare.
Låt oss höfta och säga att resursåtgången per klassning är minst 100 timmar inklusive förberedelser och dokumentation (detta är extremt lågt räknat med tanke på att det ofta är ett flertal deltagare på klassningarna) för att klassa ett system som stödjer en liten del av ordinationsprocessen.
Lustigt nog kommer det också att bli samma system som klassas gång på gång med varierande resultat.
Kontentan blir alltså bristande kontroll över informationen och bristande likvärdighet mellan olika äldreomsorgsverksamheter till en sammantagen resursåtgång av 85 000 timmar.
Betänk också att detta bara är en av flera processer bara i äldreomsorgen.
Mitt förslag är att man istället slår ihop sina påsar, tar fram gemensamma normerande klassningar skyddsnivåer.
Skyddsnivåerna måste då tas fram i stor öppenhet där det redovisas hur man ser på olika risker och hur de föreslagna skyddsåtgärderna avses reducera dessa.
Koppling till krav i föreskrifter med mera bör även finnas.
Skyddsnivåerna måste även innefatta skydd av andra bärare än system och molntjänster, t.ex.
fysiskt skydd av papper.
En jätteuppgift är att hålla skyddsnivåerna uppdaterade så att de inte ger förlegade rekommendationer.
Då ska vi komma ihåg att detta ändå skulle kräva en bråkdel av de resurser som skulle gå åt om varje vårdgivare skulle genomföra alla moment själv.
Jag kan mycket väl tänka mig att man i många fall även kan ge förslag på arbetsrutiner.
Vad skull då detta kunna innebära i praktiken?
Naturligtvis skulle ansvaret för säkerheten aldrig kunna delegeras men exempelvis en vårdgivare skulle kunna gå i ett bibliotek av olika verksamhetsprocesser, välja ut den aktuella och få fram en bild av generisk process samt en normerande klassning av typen nedan (fast ifylld): Därefter jämför vårdgivaren med sin egen verksamhet hur väl det presenterade materialet stämmer överens.
Gör det det i stora drag, kanske med litet annorlunda benämningar, så skulle vårdgivaren med detta stöd kunna ta sig ner till nivå att kunna köpa rätt skåp att förvara den enskilde vårdtagarens medicin i. Att krav på digitala lösningar ingår är naturligtvis självklart.
Som en bonus kan även krav på bevarande och gallring läggas in.
Det kan kännas som en överväldigande uppgift att ta itu med men minns då att den redan är överväldigande och idag tynger kärnverksamheten på ett orimligt sätt.
Kan vi åtminstone ta fram normerande klassningar för generiska processer i samhällsviktig verksamhet skulle vi ge möjlighet att höja samhällssäkerheten högst väsentligt och dessutom kunna reducera resursåtgången.
Eftersom myndigheterna med särskilt ansvar för informationssäkerhet förefaller skeptiska till den här typen av stöd finns det utrymme för andra aktörer att träda fram.
1910 blev Karlstads lasarett det andra i Sverige som blev s.k.
delat lasarett (efter Falun).
Att ett lasarett blev delat betydde att det fanns både en medicinsk och en kirurgisk verksamhet.
I korthet var detta första steget på den snabba utveckling pådriven av en framgångsrik forskning där ögon, öron, ortopedi, röntgen, BB, barn, gynekologi o.s.v, o.s.v.
, blev egna specialiteter och subspecialiteter i ett allt finmaskigare nät.
Till detta kommer allmänmedicin och annan öppenvårdsverksamhet för att inte glömma psykiatrin i olika former.
Alla dessa med tiden hundratals olika kompetensområden måste organiseras i avdelningar, kliniker, mottagningar m.m.
för att få bästa möjliga vård för patienten till en för samhället rimlig kostnad.
Det räcker dock inte med att organisera vårdens olika verksamhet i förhållande till varandra utan vården måste styckevis och delt även passas in i samhällets generella styrning som i sin tur består av förvaltning respektive den politiska styrningen.
För Sveriges del har det i huvudsak inneburit inpassning i kommun, landsting/region och stat eftersom vården varit offentligt finansierad (även detta i huvudsak) sedan lång tid tillbaka.
Historiskt har vårdverksamheten i delar vandrat mellan huvudmännen.
Att allmänmedicin och psykiatri var ett statligt ansvar fram till 1960-talet och äldrevård en landstingsangelägenhet fram till ÄDEL-reformen då den överfördes till primärkommunerna är bara två exempel.
Vad jag vill säga med denna skamligt korta sammanfattning är att sjukvård är EXTREMT svårt att styra med en fullständigt oöverblickbar komplexitet i tre dimensioner: den interna styrningen av vårdarbetet och förvaltningsstyrningen samt den politiska styrningen.
Fram till 1970-talet var inriktningen för att hantera denna komplexitet bland annat att försöka skapa mer enhetliga huvudmannaskap vilket var en av orsakerna till att exempelvis allmänmedicin och psykiatri överfördes till landstingen från staten.
Denna trend avlöstes av den glada NPM-eran när styrningen av offentlig verksamhet fragmentiserades bland annat för att underlätta för privata alternativ.
Det var då äldreomsorgen och den social omsorgen fördes till den kommunala sektorn vilket bland annat har lett till bollandet av gamla multisjuka mellan två huvudmän – något vi sett de avskräckande konsekvenserna av nu efter covid-19.
Det är ett ganska väl beforskat hur organisatorisk komplexitet leder till det som slarvigt brukar kallas byråkrati men som jag hellre skulle benämna administration som inte är direkt kopplad till kärnverksamhetens uppgifter.
Ju större antal aktörer som ska förmås att röra sig i samma riktning eller åtminstone samspela, desto fler samordnade aktiviteter krävs för att hålla ihop helheten.
Det blir strategier, policies, planer, möten, kontroller och rapporteringar i olika riktningar.
Genom privatiseringen av offentlig verksamhet har dessutom ytterligare behov av upphandlingar, kravställningar, regelverk, beställningar och uppföljningar tillkommit.
Detta skapar kohorter av nya typer av administratörer, alltså inte den gamla typen som skötte budget, bokföring och löneutbetalningar.
Istället har kvalitetsutvecklare, upphandlingsspecialister, digitaliseringsstrateger, e-hälsosamordnare och (visst, jag kackar i eget bo) informationssäkerhetsansvariga tillkommit.
Och så naturligtvis kommunikatörer, kommunikatörer och åter kommunikatörer.
Utan jämförelser i övrigt kommer jag osökt att tänka på den här gamla klassiska bilden där jag föreställer mig vårdpersonalen dignar under hela lasset av administration upp till sjukvårdspolitiker och vårdbolagschefer.
Det är med detta i bakhuvudet jag läser i DN som drar en lans för förstatligande av sjukvården.
För mig framstår det som ett relevant förslag.
1962 gav de flesta landsting ut historiker över sina första hundra år.
Dessa historiker rymmer en fascinerande motsättning mellan beständighet och föränderlighet.
Landstingen hade funnits i respektingivande hundra år men vad ett landsting var och skulle syssla med hade ständigt förändrats under dessa är.
Vad detta lär oss är att hur samhällets basala funktioner ska organiseras ständigt måste omprövas för att institutionerna ska vara ändamålsenliga och anpassade till rådande behov.
Historiskt har detta skett kontinuerligt som jag snabbskissat ovan och det finns ingen anledning att tro att just den organisation av sjukvården har idag är den enda möjliga oavsett vad som händer i samhället i övrigt.
Själv hyser jag inte någon ohejdad tilltro till att ett förstatligande av sjukvården skulle lösa alla eller ens merparten av problem som vården har att leva med men i all enkelhet skulle åtminstone ett lager i pyramiden försvinna.
Förhoppningsvis skulle grundläggande mål som likvärdig vård vara enklare att uppnå.
En annan effekt är att den samordnade byråkratin internt mellan de idag 21 regioner skulle kunna plockas bort (även om den säkert delvis skulle komma tillbaka i en annan form).
Att inte bara DN utan även andra med viss energi börjar ifrågasätta regionernas roll väcker oro i regionsleden, inte minst hos särintressets främsta företrädare SKR vars ordförande Anders Knape som skrev ett kanske aningen sentimentalt på DN:s ledare.
Han, liksom regionala företrädare, lobbar ivrigt för att regionernas USP är den politiska styrningen av regionerna som hypotetiskt skulle göra sjukvården regionalt anpassad och därmed ”bättre”.
Med viss bombasm skriver Knape: den lokala och regionala nivåns omkring 40.000 förtroendevalda utifrån kunskap om invånarna lokalt och regionalt.
Deras kraft är oslagbar.
För den som något fördjupat sig i landstingens/regionernas historia väcker denna beskrivning antagligen skuggan av ett leende.
Inga sjukvårdsstrider har varit så infekterade som de enskilda landsting där sedan åtminstone 1920-talet omfattande manifestationer skett för att sjukstugor skulle placeras i ”rätt” samhälle eller rörande nedläggningar av sjukhus.
Knapes uttalande pekar snarare på en klassisk problemställning inom svensk sjukvård: den potentiella motsättningen mellan regional särart å ena sidan och likvärdighet nationellt å andra.
För mig framstår denna argumentationslinje också som alltmer paradoxal då SKR själva så intensivt försöker samla nationell styrning hos sig själva.
Som jag tidigare skrivit om har alltfler frågor börjat samordnas via SKR och därmed flyttats från den regionala nivån till en nationell.
Om SKR starkaste argument mot ett förstatligande är det demokratiska värde som finns i den regionala politiska styrningen verkar det ju vara att såga av sin egen viktigaste sittgren om makten förs från dessa demokratiska församlingar in i det mörker som föreningen SKR utgör.
Själv skulle jag alla dagar i veckan föredra en normal svensk myndighet framför SKR som nationellt samordnande.
Ibland dristar jag mig till och med till att tycka att det kanske är en demokratisk fördel om sjukvården lyfts bort från bypolitiken.
Knape har förstås en poäng när han lyfter fram mindre lyckade statliga experiment och då även inom digitaliseringsområdet.
Tyvärr måste jag dock säga att det är en boll som är svår att inte smasha tillbaka för den som strävar mot förstatligande av sjukvården.
INGEN fråga har engagerat SKR så mycket som digitalisering som lösning på all och jag misstänker att man har en gemensam morgonbön i SKR-palatset som går ungefär så här: Digitalisering, låt ditt namn bli helgat Låt ditt rike komma.
Ge oss i dag vårt dagliga bröd .
Och glöm våra misslyckade projekt, så som vi glömmer dem själva.
Och för oss inte in i verkligheten, utan fräls oss från ansvar.
Förlåt, det är semester… Min poäng är att trots den närmast religiösa inställning som SKR har till digitalisering i teorin så ser i praktiken digitaliseringen av den svenska sjukvården som ett härke trots de enorma resurser som tillförts.
Jag sitter mycket tungt på mina händer för att inte skriva något om den totala frånvaron av samordning av informationssäkerhet och det provocerande ointresset för integritetsfrågor där SKR knappast agerat som insiktsfull vägledare för sina medlemmar.
Om verkligheten ska användas som betygssättare för regionernas och SKR:s förmåga att skapa en nationellt sammanhållande och långsiktigt fungerande vård så ser det rätt illa ut för Knapes linje.
För att komma vidare vore det önskvärt med en hederlig gammaldags utredning som inte helt styrdes av särintressen inom vården.
Personligen lutar jag svagt åt att behovet av nationell samordning av sjukvården bäst hanteras genom ett förstatligande åtminstone av delar av vården.
Det kommer visserligen att skapa nya gränslinjer – hur ska exempelvis äldreomsorgen hanteras med större medicinsk kompetens – men jag tror verkligen det är dags att ompröva dagens situation.
Jag ska nu kort återkomma med en uppdatering gällande SKR och överföring av känslig information till denna intresseförening, för bakgrund se .
För att sammanfatta frågan så har SKR växt som en gökunge i den svenska förvaltningen och fått/tagit allt fler myndighetsliknande uppgifter trots att man, som SKR själva ivrigt hävdar, inte är en myndighet utan en arbetsgivare- och intresseförening.
Därav följer att SKR inte har det ansvar och den insyn som en myndighet och vi som medborgare egentligen saknar möjlighet att kontrollera och utkräva ansvar av föreningen.
SKR ligger helt enkelt utanför den styrning som den svenska förvaltningen bygger på och det är svårt att ens se vilken lagstiftning som är tillämplig.
Detta förhindrar den kritiska granskning som offentlighetsprincipen möjliggör för myndigheter även om SKR ibland försöker vilseleda genom att hävda att de handlingar som hanteras inom föreningen blir offentliga när de inkommer till medlemmarna.
Häromdagen fick jag detta l mig tillsänt där Marie Morell (m), ordförande för sjukvårdsdelegationen på SKR, hävdar just detta i en fråga som har en ekonomisk betydelse för enskilda: – Vi har kontaktat dem och skickat ut material till dem vid ett flertal tillfällen.
Det är viktigt att de skapar någon form av branschråd så att vi har en motpart att arbeta med.
Vi är en ideell förening och som sådan lyder vi inte under offentlighetsprincipen.
Men handlingarna blir offentliga så fort de inkommer till respektive region eller kommun, säger Marie Morell.
Det finns alltså ingen insyn i själva processen och som jag tidigare visat är det högst tveksamt vilka av SKR:s många ”interna” dokument som verkligen ses som inkomna till medlemmarna.
Att inte ens handlingar i beredande organ hos SKR blir allmänna handlingar hos de regioner/kommuner som har representanter i dessa organ är för mig tämligen hårresande och jag försöker förstå vem en sådan representant tror sig vara.
En privatperson som blivit invald i hembygdsföreningens styrelse (inget ont om hembygdsföreningar)?
Nu när offentlighetsprincipen är hotad från olika håll känns det extra angeläget att slå vakt av denna för Sverige (och Finland) unika medborgerliga rättighet.
I mitt framförde jag dock att det är likaledes viktigt att se vilka risker det innebär att kommunicera känslig information med en aktör där OSL inte kan tillämpas.
Grunden för att kunna skydda känslig information när den utbyts med utomstående parter är att reglera hur informationen får hanteras.
När det gäller utbyte mellan myndigheter finns denna reglering i huvudsak redan på plats genom lagstiftningen (även om jag tycker att det ofta finns anledning att förtydliga relationen myndigheter emellan).
Här intresserar jag mig inte för säkerhetsskyddsområdet utan framför allt den lagstiftning som gäller normala verksamhetsförhållande men där mycket starkt krav på konfidentialitet finns t.ex.
gällande samhällsviktig verksamhet.
Notera att det där även finns annan lagstiftning som är ytterst relevant som exempelvis Krisberedskapsförordningen.
Denna reglering saknas då information ska utbytas med privata aktörer som företag och, som i det aktuella fallet, föreningar.
Då måste menar jag ett avtal slutas som beskriver villkoren för att informationen ska kunna lämnas ut, åtgärder som ska vidtas och ansvarsförhållanden.
För att reducera att konfidentiell information kommer i orätta händer bör man även minimera informationen som utlämnas till det absolut nödvändiga samt ålägga motparten att säkerställa att endast de som verkligen behöver informationen kan ta del av den.
Enligt mitt resonemang är det alltså en självklarhet att myndigheter måste använda sekretessavtal eller motsvarande när de tänker utbyta information med företag och föreningar.
Därför frågade jag två myndigheter som på olika sätt har ett ansvar för samhällsviktig verksamhet om de slutit sekretessavtal med SKR.
Först gick frågan till MSB som ju har ett mycket omfattande ansvar i dessa frågor: Hej!
MSB har ett omfattande samarbete med SKR i olika frågor.
Vissa av dessa frågor kan vara av känslig karaktär som kommuner/regionens insatser i det civila försvaret, samhällsviktig verksamhet, informations- och cybersäkerhet osv.
I dessa frågor utbyts rimligen känslig information.
SKR är en intresseförening som inte omfattas av OSL på samma sätt som en kommun/region, ett kommunalförbund eller ett kommunalt bolag.
Jag är därför intresserad av att ta del av det samarbetsavtal med vidhängande sekretessregler eller motsvarande som utgör reglering av dessa frågor i relationen mellan SKR och MSB.
Efter tämligen lång tid och en påstötning fick jag följande svar: Jag måste först beklaga att du fått vänta på ett besked men på grund av olyckliga omständigheter har beskedet fördröjts.
Genom en sökning i vårt diarium har vi hittat två avtal med SKR: Du har rätt att begära ett skriftligt beslut som går att överklaga.
Skriv till .
För ögonblicket är jag inte så intresserad av det civila försvaret som ju knappt kommit igång så därför gick jag in på .
Det är upp till varje läsare att ta ställning men jag kan inte se att detta dokument på något sätt reglerar sekretessen i förhållande till SKR.
Detta kan synas extra anmärkningsvärt i dessa coronaapokalysens tidevarv när Socialstyrelsen sekretessbelägger information för media om vårdens p medan intresseföreningen SKR sitter med på MSB:s samordningskonferens i samma fråga.
Visserligen togs sannolikt inga känsliga frågor upp då SKR var med men det visar den vinglighet som finns då det gäller just SKR .
Jag ställde samma fråga till eHälsomyndigheten som tillsammans med bland annat SKR arbetar med den nya in (återkommer inom kort angående detta alster) och där man får gissa att det för en del diskussioner om kritiskt infrastruktur osv.
Från denna myndighet fick jag bara ett kort nej på frågan.
Detta är förstås bara två stickprov men ändå från myndigheter som är vana att hantera sekretess.
Det kan tyckas litet märkligt efter allt som hänt med Transportstyrelsen och andra incidenter där information överförts på oklara grunder.
Mitt intryck (bekräftat av ett antal tjänstepersoner på andra myndigheter) är att myndigheterna helt enkelt inte tänker på att SKR inte är en myndighet utan utgår från att föreningen är som vilken deltagare som helst i myndighetssamarbetena.
Inte heller kommuner och regioner verkar reflektera särskilt över detta utan överför utan förbehåll känslig information till det de i vissa fall verkar se som en ”överordnad” aktör.
Detta även då det gäller informationssäkerhet.
Nyligen skickades ett mail ut från SKR: Klassa 4.0 har varit efterfrågat länge och nu finns finansiering för ett projekt som inleds i nästa vecka.
Det blir flera förändringar i den nya versionen, bland annat förbättringar av befintlig funktionalitet, bland annat uppdateringar av kravkataloger som genererar uppgifter till handlingsplanen och en nödvändig översyn av upphandlingskraven.
Dessutom blir det en hel del ny funktionalitet, t.ex.
: – En ny modul för att mäta organisationens mognad, – Möjlighet till uppföljning och att ta ut nyckelvärden för organisationen och anpassat till målgrupp, – Möjlighet för SKR att ta ut nationell uppföljning på aggregerad nivå, – Stöd för CISO i det systematiska arbetet och – Modul för riskanalys.
Dessutom kommer SKR att förstärka sin organisation för att kunna avsätta mer resurser till förvaltning av Klassa.
Det kommer att öppnas en möjlighet för statliga myndigheter att använda Klassa.
Verktyget kommer dock fortsatt att ägas av SKR med kommuner och regioner som primär målgrupp.
Detta menar jag är ett projekt som bör utsättas för en mycket grundlig riskanalys!
Dessutom kan det verkligen ifrågasättas varför denna nationellt intressanta information ska ägas av en förening utan insyn och där det inte heller går att bedöma säkerhetsriskerna.
Det är dags för en mer omfattande diskussion om SKR:s roll.
Myndigheterna bör också ha en konsekvent linje i förhållande till ”förvaltningsskvadern” – antingen är man en myndighet med det fulla ansvar som en sådan har eller så få man återgå till att vara en arbetsgivarorganisation en arbetsgivarorganisation som i huvudsak ägnar sig åt sina medlemmars avtalsfrågor.
Sekretessavtal bör i dagsläget vara ett minimikrav för alla myndigheter, inklusive kommuner och regioner, som utbyter känslig information med SKR på samma sätt som man reglerar relationen med vilken privat aktör som helst.
Ett obligatoriskt men till intet förpliktigande uttryck sedan länge är ”transparens”, ibland så flitigt använt att man riskerar att glömma bort hur viktigt det faktiskt är med öppenhet.
Öppenheten är central för samhällsklimatet och delaktigheten men också för att kunna tillvarata den samlade kompetensen.
I Sverige har vi varit gynnade av den unika institution som offentlighetsprincipen utgjort sedan 1700-talet och som visserligen på många sätt hotas men som fortfarande är ett omhuldat ideal.
Att få insyn i och i förlängningen möjlighet att påverka de stora samhällsfrågorna är det stora värdet med öppenhet för de offentliga verksamheter där offentlighetsprincipen ska tillämpas.
Öppenhet är av samma skäl obekvämt för makthavare, det är liksom bekvämare om man får arbeta ostört och göra som man vill.
Misstag behöver heller inte upptäckas och att slippa stå till svars för det ena och det andra är naturligtvis behagligt.
Sjukvård rankas som den viktigaste frågan av väljarna.
I Sverige är sjukvården offentligt finansierad.
Dessa två premisser sammantaget ger att ett stort mått av öppenhet i hanteringen av sjukvårdsfrågor borde vara en självklarhet.
Tyvärr är inte så fallet när det gäller e-hälsa.
Även för en som tämligen noggrant följt utvecklingen inom området i 25 år är det mycket svårt att få en överblick ens över hur området styrs.
Då menar jag i form institutioner och presenterade inriktningar som rör sig på en konkret nivå.
Under de senaste tio åren har jag sett en rörelse där allt större inflyttande över e-hälsan flyttats över från staten och regionerna till SKL.
Jag har tidigare skrivit om Inera som ändå fattat beslut om att följa offentlighetsprincipen trots att man inte är skyldig att göra det.
Värre är det med SKL som är en arbetsgivarorganisation för regioner och kommuner.
Trots den litet udda konstruktionen att man som intresseorganisation tillskjuts mycket stora offentliga medel från staten och man styrs av folkvalda politiker så har inte kravet på öppenhet följt med.
Bristen på insyn blir mycket påtaglig när man ser på den för digitalisering som tillsattes efter valet och består av politiker från regioner och kommuner.
Det är alltså ett indirekt valt politiskt organ.
Uppdraget är stort och spännande för den som är intresserad av e-hälsa: Beredningen hanterar strategiska frågor om grundläggande gemensamma förutsätt­ning­ar för digital utveckling, exempelvis fråge­ställ­ningar kopplat till effektivisering genom digitalisering, automation och artificiell intelligens (AI), inno­vations- och förändringsledning, data som strategisk resurs, säker informations­hante­ring och nationell digital infrastruktur.
Vidare ska beredningen hantera rättsliga för­utsättningar för en digital samverkande förvaltning.
I uppdraget ingår också att följa SKL-koncernens samverkan för att gemensamt stötta med­lem­marna i deras verk­sam­hetsutveckling med stöd av digitalisering.
Inte minst blir man ju sugen på att läsa mer om hur beredningen ska hantera de rättsliga förutsättningar efter SKL kanske inte helt klargörande angående molntjänster häromveckan där man inte ens nämner eSams rättsliga uttalande där man avråder från att använda molntjänster.
Detta trots att SKL själva uppger följande i sin rapport: Undersökningen från Radar visar att cirka 50 procent av kommunerna använder Microsoft Office 365 (MS O365) och att 100 procent av de större kommunerna använder denna tjänst.
Hur som helst blev jag intresserad av att ta del av beredningen för digitalisering har för arbete på gång, vilka frågor man ventilerade och vilka insatser som planerades.
Detta visade sig vara en stängd dörr för när jag skickade dessa frågor till SKL:s presstjänst (de har ju inget diarium): Jag skulle vilja veta: – vilka handlingar som finns relaterade till Beredningen för digitalisering – vilka av dessa handlingar som jag kan få ta del av fick jag följande, kanske väntade svar: Tack för att du kontaktar oss.
SKL är en intresse- och arbetsgivarorganisation och omfattas inte av skyldigheten att lämna ut allmänna handlingar enligt offentlighetsprincipen.
Vi kan därmed inte hjälpa dig med din förfrågan.
Du kan läsa mer om SKL och vår organisation på .
Jag gjorde ett par försökt med kommuner och regioner, varav ett par med representanter i beredningen, om de fått in några handlingar men helt utan resultat.
Ofrivilligt parafraserar jag Tom Waits gamla låt i huvudet och får en öronmask: what are they building in there?
Men det är inte bara att man faktiskt inte lämnar ut handlingar som är utestängande.
När jag läser programmet till den med underrubriken En dag.
Oändliga möjligheter.
känner jag en lätt yrsel.
Där kommer de usual suspects att prata om ungefär samma saker som vanligt på de otaliga konferenser som går av stapeln (även om jag känner ett visst intresse för den handlingsplan för 2020-2022 som ska diskuteras) medan många av oss andra känner en mycket stor oro för de många alarmerande händelser som tydligt visar att kostnaderna skenar för för e-hälsan och att nya mycket allvarliga säkerhetsbrister hela tiden avslöjas.
Nu senast var det av ett nytt vårdinformationssystem där det avslöjas att det finns stora risker för både patientsäkerhet och integritet: I rapporten pekas på att rutinerna för riskanalys i arbetet med Skånes digitala vårdsystem, SDV, är för dåliga – informationsklassificeringen görs för sent och avklarade riskanalyser sammanställs inte centralt så att de kan följas upp.
Riskanalysverktyget anses dessutom vara svårt att hantera.
Organisationskulturen i sig finns också med bland de identifierade bristerna.
Det finns helt enkelt ingen kommunicerad agenda för informationssäkerhet med verktyg för att rapportera brister i arbetet med den nya vårdinformationsplattformen.
Det gör att brister riskerar att förbises och att ”medarbetare genom uppgivenhet både upplever och bidrar till en tystnadskultur”.
I sin tur leder det till att oro ventileras i korridorerna vilket leder till ytterligare risker.
Naturligtvis fick jag inte ut någon rapport från Region Skåne när jag efterfrågade den utan ett listigt svar att någon sådan rapport inte fanns diarieförd.
Min fråga: Jag undrar då om en sådan rapport inte finns utan att CS blivit vilseförda eller om den finns men man valt eller missat att diarieföra den?
besvarades med att den sannolikt var ett internt arbetsmaterial.
Det mest deprimerande i detta är att upprepningstvånget.
Trots att svenska sjukvården gång på gång råkar ut för stora säkerhetsproblem, trots ett antal liknande projekt i bland annat och med miljardinvesteringar inte fungerar på ett säkert sätt så är det som denna information inte tränger i genom väggarna på den svenska e-hälsans fort.
Att dessa fullkomligt vitala frågor inte tas upp på en konferens om framtidens e-hälsa gör att verkar som vi lever i två olika världar: verkligheten respektive e-hälsans utopia.
Detta är inte en bra grund för ett mycket komplicerat samhällsutvecklingsarbete!
Den tystnadskultur som den interna rapporten som CS tagit del av pekar på en mycket central risk, nämligen tystnadskulturen som gör det omöjligt att föra fram risker eftersom man då avfärdas som negativ.
För den som arbetar med säkerhet och vet hur betydelsefull en positiv säkerhetskultur är för ett fungerande säkerhetsarbete förstår på djupet hur destruktivt det här förhållningssättet är.
Tyvärr praktiseras samma förhållningssätt även på nationell nivå t.ex.
konferensprogram av typen Nationella e-hälsodagen och när en företrädare för SKL på en konferens säger att ”det är mycket enklare att vara emot”, underförstått att resa rationella frågor uppfattas som fientligt.
Jag kan möjligen förstå att SKL som lobbyorganisation jobbar med ensidiga marknadsföringsknep även om jag som skattebetalare inte skulle vilja se pengar som så väl behövs i vården gå till detta.
Däremot tycker jag att myndigheterna borde nyktra till och kunna föra en diskussion där även nyanser är tillåtna.
Jag tror alla kan stå ut med litet av den dåliga stämning som uppstår när folk visar sig ha olika åsikter.
För säkerheten i framtidens e-hälsa är det nödvändigt att kunna prata om risker och reducera dem innan de lett till ett nytt och ett nytt och ett nytt haveri.
Efter Kammarrättens utslag dröjde det bara några dagar innan jag fick ut de dokument som jag började jaga med en fråga den 6 augusti.
Samtliga tre dokument har mycket marginella maskningar vilket jag återkommer till men som läsaren själv har möjlighet att bedöma eftersom jag lägger ut dem i sin helhet.
Låt oss då se på dokumenten och då först till det mest övergripande: Riktlinje för informationssäkerhet.
Detta dokument tycks ha ganska litet att göra med den policy som beslutades i och därts övergripande syfte anges vara att främja digitalisering samtidigt som tillit till informationshanteringen upprätthålls.
De flesta skulle kanske anse att informationssäkerheten ska stödja kärnverksamhetens uppdrag, i det här fallet egentligen kundernas uppdrag, men Inera är sannolikt i detta fall ett offer för SKL:s överideologi där digitalisering är ett dominerande egenvärde.Inte ett ord om patientsäkerhet för att bara ta en sak som jag personligen anser aningen viktigare än att ”främja digitalisering”.
Den sällsynt korta policyn innehåller ingenting om ansvarsförhållanden eller vem som egentligen ska styra säkerheten, däremot är ett mål att säkerhetsarbetet ska grundas på ”gemensamma regelverk, referensarkitekturer och styrande principer”.
Gemensamma för vem och framtagna av vem kan man undra.
Policyn ska tillämpas enbart internt och det saknas relation till kunderna trots att Ineras roll som leverantör: Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering.
Den ska också tillämpas i projekt och på förvaltningsobjekt.
Policyn ger som jag ser det inte någon verksam strategisk ledning för Ineras säkerhetsarbete i rollen som tjänsteleverantör eftersom ansvar och relationer helt saknas.
Hela upplägget med denna helt urvattnade policy känns litet märkligt när Inera dessutom arbetar baklänges och lägger den som olja på vattnet på redan framtagna underliggande dokument.
Kanske har det funnits en annan policy tidigare som fadat bort utan kommentar.
Låt oss lämna policyn och istället titta på riktlinjen som av naturliga skäl saknar den kopplingar till den beslutade policyn.
En första observation som reser den alltid lika spännande frågan om kausalitet och korrelation.
Av en händelse sammanfaller att jag efterfrågade riktlinjen den 6 augusti med en massiv uppdatering som skedde den 9 augusti när en mängd basala säkerhetsaspekter fördes in i riktlinjen (se revisionshistoriken).
Detta var också första gången på tre och ett halvt år som en uppdatering skedde.
Nog om detta lustiga sammanträffande.
Inera är är ju en tjänsteleverantör av känsliga informationstjänster till vården och det som först slår mig då jag läser riktlinjen är att detta förhållande är i det närmaste osynligt i riktlinjen på samma sätt som i policyn.
Riktlinjen gör ingen distinktion mellan Ineras interna informationssäkerhet och den säkerhet som ska finnas i de tjänster som levereras.
Kundernas frånvaro i hanteringen blir närmast självlysande i definitionen av informationsägaren: För varje viktig informationsmängd ska det utses en informationsägare med uppdrag att hantera alla delar av informationssäkerheten som är relaterade till denna informationsmängd.
För de tjänster som Inera tillhandahåller är detta normalt rollen Tjänsteansvarig.
Här man alltså kortslutit systemet så kunderna är inte informationsägare och ska inte heller hantera exempelvis informationsklassning och riskanalys av den information som de faktiskt är ansvariga för.
För att göra det extrem tydligt: Inera är inte en vårdgivare utan hanterar andra vårdgivares information i ett antal gemensamma tjänster.
Vårdgivarna (offentliga och privata) är enligt lag och föreskrift ansvariga för sin information och att den hanteras på ett säkert sätt – det är bara att läsa HSLF-FS 2016:40 för att få en samlad bild av kraven.
Samtidigt skriver man t.ex.
under 15.3.1. om en informationsägare som sannolikt är kunden.
Roller och begrepp är alltså inte konsistenta.
Ytterligare ett tecken på att riktlinje inte tjänar Ineras verksamhet särskilt väl är att de ytterst knapphändiga beskrivningar av utveckling som finns i kapitlen 15.1 och 15.2.
Detta är alltså riktlinjen där ansvar, principer och arbetssätt bör framgå.
Som jag uppfattar det är Ineras huvudsakliga uppdrag att utveckla olika it-lösningar för vården vilket skulle föranleda att ett verksamhetsanpassat säkerhetsarbete skulle ha en tyngdpunkt just i utvecklings- och förvaltningsprocessen av erbjudna lösningar.
I Ineras riktlinje är det dock inte så utan det känns snarare som en ytlig genomgång av kraven i ISO 27001 med mycket små modifikationer.
Dessutom ingår den i det jag brukar tänka på som ”de öde regelverken” eftersom det inte bara kunderna som saknas utan även i hög grad andra aktörer.
Istället upprepas riktlinjen igenom ”Inera ska…” utan att närmare definiera vilken roll inom Inera som ska utföra säkerhetsarbetet.
Igenkänningsfaktorn är hög.
Jag har sett denna typ av regelverk ett otal antal gånger och ett genomgående drag är att när regelverk är så här diffusa så får de ingen eller ringa säkerhetshöjande effekt.
Har ledningen inte pekat ut ansvar (vilket man här inte har i policyn och mycket litet i riktlinjen) så finns inget maskineri som drar runt säkerhetsarbetet.
Att något i denna anonyma text skulle befinnas vara av den art att det går att sekretesslägga med hänvisning till OSL 18 kap.
8 §: Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser byggnader eller andra anläggningar, lokaler eller inventarier, tillverkning, förvaring, utlämning eller transport av pengar eller andra värdeföremål samt transport eller förvaring av vapen, ammunition, sprängämnen, klyvbart material eller radioaktiva ämnen, telekommunikation eller system för automatiserad behandling av information, behörighet att få tillgång till upptagning för automatiserad behandling eller annan handling, den civila luftfarten eller den civila sjöfarten, transporter på land av farligt gods, eller hamnskydd.
kändes märkligt.
Än mer så Ineras ursprungliga beslut att hela dokumentet skulle utgöra risk om det spreds.
På ett sätt skulle jag ironiskt kunna hålla med: kvaliteten på dokumentet indikerar en klar brist på styrning av säkerhetsarbetet vilket kan naturligtvis är en stor risk om det framkommer.
Men det som nu maskats i dokumentet är endast sex passager där man mitt i den i övrigt så generella beskrivningen av allmänna säkerhetsåtgärder tydligen placerat in var datalagring sker samt tekniska beskrivningar av bland annat segmentering.
Om dessa uppgifter är på detaljnivå har de knappast i riktlinjen att göra eftersom den då inte går att sprida i en vidare krets internt.
Även detta är att starkt skäl att se över regelverket och styrningen i stort.
Om vi sedan tittar på de två övriga dokument jag fått ta del av: så går maskningarna i dessa sammantaget att räkna på ena handens fingrar.
Förutom att även dessa i huvudsak saknar anpassning till Ineras egentliga behov av styrning och även till SKL:s flaggskepp KLASSA är det svårt att se vad som föranlett Ineras rädsla för att sprida dem.
Hela hanteringen av min begäran utlämnande av handlingar framstår som fånig och okunnig i mina ögon men har det goda med sig att det kanske hindrar andra från det överutnyttjande av 18.8 som jag tycker mig sett tecken på.
Min sammantagna bild är att Inera saknar ett sammanhängande systematisktoch att den styrning som finns inte är är inriktad på rätt målbild som till exempel att ge kunderna möjlighet att styra sin egen säkerhet eller på patientsäkerhet.
Ingenstans framgår att den informationsklassning som kunderna gör av sin information ger utslag i Ineras leverans, inte heller att Inera har ett kunderbjudande som är transparent och flexibelt.
Jag är den första att erkänna att Ineras uppdrag är mycket komplicerat men just därför skulle det kännas betydligt tryggare om det gick att urskilja ett stort engagemang för säkerhetsfrågor som skulle ge både kunder och allmänheten i stort en anledning att hysa en stor tillit till Inera.
Särskilt tänker jag på detta när nu Inera satt igång ett nytt projekt om säker digital .
Visserligen står det ”säker” i rubriken men vilket stöd har projektet i Ineras LIS för att uppnås denna säkerhet?
Finns det en risk att detta projekt hamnar i samma situation som den som kritiserades så hårt av MSB när det gäller säkerhetsaspekterna (trots att det är se att MSB bidrog på ett så särskilt strukturerat sätt)?
Hälso- och sjukvård är ju i högsta grad en samhällsviktig verksamhet som borde få MSB:s mest djuplodande intresse när en ny nationell lösning ska tas fram.
Möjligen har jag helt fel.
Kanske är säkerheten i Ineras verksamhet mycket bättre än vad de styrande dokumenten ger intryck av.
Men samtidigt är det svårt att föreställa sig edär det inte finns en tydlig dokumenterad styrning.
Självklart borde denna styrning omfatta mer än Inera – jag ska väl inte tjata om en nationell styrmodell á la Normen en gång till… Däremot vore det mycket önskvärt med en större granskning av samtliga större aktörer inom hälso- och sjukvård både för att bedöma den reella säkerheten och för att se vilka samordningsbehov som finns.
Med detta som utgångspunkt går det sedan att börja skissa på den gemensamma styrmodellen.
I väntan på detta mitt utopiska tillstånd är en rimlig inriktning att IVO koncentrerar sin tillsyn utifrån NIS-direktivet främst på dessa stora aktörer eftersom de har den största påverkan på vår gemensamma säkerhet.
Den minnesgode kommer ihåg att jag bett att få se Ineras ledningssystem för informationssäkerhet, blivit nekad och hänvisad till Kammarrätt för att framföra mina besvär över detta, förloppet finns beskrivet .
Själv måste jag medge att jag fann Ineras agerande aningen besynnerligt.
Om det nu finns styrande dokument för informationssäkerheten vid sidan om den A4 som utgör policy (vilket Inera hävdar) så förefaller det märkligt att varje ord i dessa dokument skulle utgöra en sådan betydande risk för Ineras säkerhet att de inte kan lämnas ut.
För den som jag som arbetat med utlämnande av allmänna handlingar är väl bekant med rutinen att maska dokumenten så att de delar som bedöms som sekretesskänsliga inte kan läsas – ytterst sällan är dokumenten i sin helhet känsligt.
Kanske har inte Inera upparbetat rutinen för maskning än men efter att ha läst Kammarrättens utslag så är det nog dags att komma igång med det nu.
Jag är naturligtvis nöjd med utslaget och väntar nu på mina handlingar.
Samtidigt väcker ju historien med Inera en hel del tankar.
En är att vi alla är betjänta av största möjliga öppenhet om de regler gällande säkerhet som finns olika organisationer.
Vi behöver lära av varandra och vi behöver närma oss mer av praxis både på branschnivå och i samhället i stort.
Ett överdrivet hemlighetsmakeri skapar en negativ säkerhetskultur och förhindrar processen mot en nödvändig samsyn om hur styrningen av säkerhet bör utformas.
Ineras förhållningssätt pekar också på ett annat mer praktiskt problem, nämligen vikten av att utforma sin hierarki av styrande dokument rätt.
Om man, som Inera tycks ha gjort, blandar principer,ansvarsfördelning och andra faktorer som bör kunna vara helt öppna i random organisation med detaljbeskrivningar av säkerhetslösningar, risker och sårbarheter har man ju skapat ett regelverk som knappast går att sprida ens internt och ännu mindre till externa parter som kunder.
En betydligt mer positiv erfarenhet var det att begära ut samma information hos eHälsomyndigheten där jag inte bara fick ta del av de handlingar som på ett övergripande sätt styr säkerhetsarbetet utan även en bild av de handlingar som är av mer känslig karaktär.
Tyvärr bekräftades dock min bild av bristande styrning av säkerheten inom vården då två av de stora aktörerna inom svensk e-hälsa inte har ett gemensamt regelverk.
Detta är en mycket stor fråga som måste lösas innan vi kan säga att vi är på väg mot en säker e-hälsa.
Ibland behöver vi ta ett steg tillbaka och betrakta en till synes fast definierad problemformulering på litet avstånd för att se om det är ett tillräckligt bra sätt att förstå en viktig fråga eller om det kanske finns andra sätt att betrakta den.
Jag ska nu göra ett försök att vidga frågan om integritet i förhållande till vårdinformation i synnerhet men även till den information som skapas och bearbetas i offentliga verksamhet i allmänhet.
När vi pratar om den personliga integriteten idag handlar det i de flesta sammanhang om teknik som åtkomst till personuppgifter i it-system eller övervakningskameror.
Jag tror att detta är en alldeles för begränsade problemformulering när vi ser hur personuppgifter är det högoktaniga bränslet för multinationella företag som jag skrivit om .
Samma fenomen beskrivs i den mycket välförtjänt hyllade och lästa Konsulterna av Anna Gustafsson och Lisa Röstlund.
Vår nuvarande inställning bygger på att obehörig åtkomst till uppgifterna skulle skada vårt anseende, att intima uppgifter om oss själva skulle bli kända för ”fel” personer.
Det är en rättighetstradition som bygger på tanken att vi har en rätt till en privat sfär och även till att kontrollera ”bilden” av oss själva.
Det är i min mening en alldeles rimlig uppfattning att känsliga uppgifter om oss endast ska vara åtkomliga för de som verkligen behöver dem, t.ex.
för att ge oss rätt vård.
Det är också en inriktning som fungerat i den svenska vården sedan patientjournalerna övergick från att vara räkenskapsmaterial till att bli stöd för vård och behandling.
En snabb och hårdragen exposé skulle kunna se ut som följer.
I och med att den svenska vården till sin absoluta merpart varit offentligt finansierad och offentligt utförd under i princip hela 1900-talet har vårdinformationen varit allmänna handlingar som ägts av vårdgivaren och i väsentliga delar bevarats i och med att sjukvårdshuvudmännen (landsting/regioner) har åtagit sig att bevara alla läkarförda journaler för all framtid.
Förutom att detta förhållande har gynnat patienterna som kunnat få vård grundad på vederhäftig information har det gett Sverige ett unikt forskningsläge med tillgång till en hel befolknings data om hälsa och vård i ett välordnat system.
Förutom att det är lätt glömma bort att vi faktiskt haft mycket väl utvecklad hantering av patientdata i över ett sekel är det också lätt att glömma bort att detta bygger på ett samhällskontrakt som kan ses som en del i den svenska välfärdsstaten.
Ungefär: högkvalitativ vård och en avancerad forskning finansieras via skatten och dina vårduppgifter används för att ge dig själv och andra patienter bättre vård.
Förutsättningen för kontraktet var 1) att patientuppgifterna användes för etiskt prövad akademisk forskning och 2) att patientuppgifterna omgavs med sekretess och att det fanns hög grad av spårbarhet i vilka som tagit del av dem.
Jag vet att så fort man säger eller skriver att patientuppgifterna omgavs med höga krav på sekretess så kommer det alltid ett antal människor rusande och återger hårresande berättelser från gamla journalarkiv.
Min utgångspunkt är vad lagstiftning i form av bland annat patientjournallagen betonade och studier som gjorts av journalhantering under 60-80-talet samt de mycket konkreta erfarenheter jag har av praktisk journalhantering samt sekretessmedvetande från ett antal år i olika typer av vårdverksamheter.
Personligen har jag tycket att detta varit ett bra samhällskontrakt som bygger på ett stort mått av tillit och har ofta argumenterat emot dem som menat att patienten själv ska äga sin journal eftersom det, enligt mig, skulle leda till stora nackdelar både för patienten och för samhället.
Tyvärr har jag varit tvungen att börja ompröva detta efter de senaste decenniernas digitalisering inom sjukvården.
Om vi tar det aktuella exemplet Region Stockholms för hälsodata liksom NKS intention att lämna ut stora mängder patientdata via BCG till amerikanska företag måste vi kanske övergå till ett annat sätt att se på integritet.
Kanske måste vi lämna den traditionella svenska uppfattning och se på integritet som en äganderätt vilket är ett synsätt som varit etablerat i mer konservativa tanketraditioner som exempelvis Nozick med efterföljare.
Det skulle i detta alltmer kommersialiserade sammanhang där personuppgifter blivit guldet eller kunna tolkas som att din äganderätt av dig själv också innebär att du också äger den eftertraktade resursen som dina personuppgifter utgör.
Om du äger uppgifterna måste också ha rätten att avgöra hur de får användas utöver exempelvis vad vården kräver.
Detta är ett synsätt som går emot den rådande trenden inom svensk sjukvård där inte ens tycker de mycket begränsade möjligheter till samtycken ska få finnas kvar utan hanteringen av personuppgifter ska ske långt över huvudet på patienterna.
En randanmärkning är att sjukvårdspolitiker och SKL inte riktigt tycks acceptera gällande lagstiftning som den gällande spärrar, integritet eller molntjänster.
Istället för att inrätta sina verksamheter så att de följer lagstiftningen lägger man all energi på att argumentera för att lagstiftningen ska ändras.
Det känns inte som allt igenom konstruktivt förhållningssätt och min uppfattning är att detta är en delförklaring till den haltande digitaliseringen av vården.
I ovan refererade debattartikel förefaller inriktningen vara att patientuppgifterna generellt liksom i centret för hälsodata få användas för random ändamål för var går gränserna för ändamål som exempelvis life science, kvalitetsutveckling och uppföljning?
Det är aningen förbryllande att de politiker som kallar sig liberala tycks minst intresserade av liberala värderingar och individers rättigheter utan har en närmast kinesiskt touch i synen på relationen mellan individ, kapital och staten.
När jag läser om Centrum för hälsodata tänker jag också hur Region Stockholm ständigt upprepade bristande affärssinne som i utförsäljningar av allmän egendom till totala underpriser.
Nu ska man sälja hälsodata till ”självkostnadspris”.
Varför ska kommersiella företag inte betala marknadspris för den råvara som personuppgifterna utgör?
Även om det i mina ögon är en olycklig utveckling inte minst för den medicinska forskningen vill jag ändå pröva tanken på hur det skulle se ut om vi ägde vår egen patientinformation.
Det finns liksom ingen fördel för svenska patienter att lämna data till amerikanska försäkringsbolag eller som stöd till företagen i det som Zuboff kallar den multinationella övervakningskapitalismen.
Om vi ska ersätta tillitsbaserade relationer med kommersiella måste detta ske på ett sätt som inte bara gynnar den ena parten.
Vi skulle kunna laborera med möjligheten till en digital valfrihet där man som patient fick en äganderätt till sina patientuppgifter och därmed kunna bestämma över hur de får hanteras.
Exempelvis kryssa i ett formulär med alternativ som Mina patientuppgifter får användas: Till detta kan läggas verklig anonymisering som alternativ på samtliga val.
Patienten kanske ska erbjudas möjligheten att få ta ut ersättning då personuppgifterna säljs till kommersiella aktörer och då inte ”självkostnadspris” utan ett reellt pris.
Detta tror jag vore ett bra sätt att återföra makten till patienten, sätta till press på sjukvårdshuvudmännen att ta frågan på allvar och att utveckla privacy by design vilket ju är ett lagkrav för de som glömt bort det.
Ett annat resultat vore möjligen också att patientföreningar som representerar patientens olika intressen kunde bildas och utgöra ett komplement till de patientföreningar vars oberoende kan . En ny sorts patientföreningar skulle kunna bli förhandlingspartners och förhandla fram bättre priser än självkostnadspris för råvaran.
Tanken svindlar för vilka möjligheter som skulle kunna öppnas.
Resonemanget om en digital valfrihet för individen kan med fördel även tas in i diskussionerna om öppna data.
Jag är inte säker på om jag håller med mig själv men jag tror vi som verkligen är intresserad av den personliga integriteten måste börja fundera på hur vi ska kunna hitta verktygen i en ny tid.
Efter diskussionerna om 1177-skandalen och andra händelser inom e-hälsoområdet har jag efterfrågat en nationell genomlysning av hur det egentligen står till med informationssäkerheten i den svenska vården.
I väntan på en större aktör som kan genomföra en omfattande analys av den i mitt tycke centrala frågan så tänkte jag börja dra några små strån till stacken och titta närmare på hur några viktiga aktörer inom e-hälsoområdet hanterar informationssäkerhetsfrågan.
Hälso- och sjukvården är också en av de utpekade branscher där aktörer åläggs att bedriva ei NIS-direktivet.
Att sanktionsavgifter kan utdömas från både dataskyddsmyndigheten och från IVO i det här fallet borde vara en starkt pådrivande faktor för att förbättra säkerheten.
En naturlig startpunkt är Inera som presenterar sig så här: Inera ägs av SKL Företag, regioner och kommuner.
Genom att erbjuda kompetens inom digitalisering stödjer Inera ägarnas verksamhetsutveckling.
Inera koordinerar och utvecklar gemensamma digitala lösningar till nytta för invånare, medarbetare och beslutsfattare.
och Inera utvecklar och förvaltar nationella tjänster inom e-hälsa och digitalisering på uppdrag av regioner och kommuner.
Ungefär 35 digitala tjänster drivs idag av Inera, bland annat 1177 Vårdguiden, Nationell patientöversikt och Journalen.
Vissa tjänster används av invånare, andra av vårdpersonal.
Arbete pågår med nuvarande tjänster och på vilket sätt de kan anpassas för kommunerna.
Inera ansvarar också för den gemensamma infrastruktur och it-arkitektur som ligger till grund för många av tjänsterna.
Därmed har Inera uppdraget från sjukvårdshuvudmännen att koordinera och utveckla gemensamma e-hälsolösningar – en supertungviktare inom e-hälsoområdet alltså.
Av detta följer att man har ett lika tungt ansvar när det gäller informationssäkerheten i de lösningar man erbjuder.
Detta faktum accentueras av att sjukvårdshuvudmän och vårdgivare i de flesta fall inte kan välja andra lösningar än de som Inera erbjuder eftersom de är nationella tjänster som det är nödvändigt att använda för att kunna bedriva vård.
Till skillnad mot om man skulle anlita kommersiell leverantör där man både kan styra med kravspecifikation och genom att byta leverantör om man inte är nöjd med säkerheten.
Dessutom ska Inera stödja digitalisering av regioners och kommuners verksamheter genom att tillhandahålla kompetens och material.
Bland annat säger man sig ta fram regelverk för informationssäkerhet, juridik och kvalitetssäkring.
Det vore konstigt om man inte skulle bli intresserad av hur Inera arbetar med informationssäkerhet då dessa olika uppdrag presenteras.
När man bedömer en organisations förutsättningar för att bedriva eär den vanliga metoden att utgå från vilka styrande dokument som tagits fram och beslutats.
Inte för att styrande dokument i sig med nödvändighet leder till bättre säkerhet men de ger ramarna för arbetet och beskriver förhoppningsvis det organisatoriska maskineri med bland annat ansvar och roller som förlängningen ska snurra igång det systematiska arbetet.
I korthet: regelverk är en nödvändig men absolut inte tillräcklig förutsättning för fungerande informationssäkerhet och det finns definitivt olika kvalitet på regelverk.
Dessutom innehåller regler på högre nivå mycket sällan någon som helst känslig information och skulle det återfinnas någon liten del som bedöms som känslig är den lätt att maskera vid ett utlämnande (tro mig – jag har begärt ut regler i stor omfattning från myndigheter, kommuner och regioner).
Innan vi går vidare ska jag för transparensens påpeka att jag för ett femtontal år sedan gjorde ett par konsultuppdrag för Ineras föregångare och jag hade även kontakt med Inera under den tid jag arbetade på MSB.
Mitt sammantagna intryck är att det varit motigt att införa ett systematisktt trots uppdraget Inera och dess föregångare haft.
Men åter till nuläget.
Med ovan beskrivna bakgrund var ett första steg för mig att be att få ta del av Ineras regelverk vilket jag gjorde den 6 augusti: Hej!
Jag skulle vilja ta del av: – Ineras interna ledningssystem för informationssäkerhet (LIS) som tillämpas i Ineras verksamhet – Aktuella regelverk och stödmaterial för informationssäkerhet som Inera tagit fram som stöd för sina kunder Jag skulle dessutom vilja veta när Inera senast genomförde en mer omfattande informationssäkerhetsrevision av den egna verksamheten.
Tack på förhand!
Jag fick snabbt ett automatsvar som kvitterade att mitt ärende tagits emot.
Sedan dröjde det och dröjde det.
Till slut kom ett svar den 22 augusti: Ni har begärt utlämnande av Ineras interna ledningssystem för informationssäkerhet (LIS), som tillämpas i Ineras verksamhet, samt vidare aktuella regelverk och stödmaterial för informationssäkerhet, som Inera tagit fram som stöd för sina kunder.
Ineras informationssäkerhetspolicy återfinns på .
Regelverk och stödmaterial inom informationssäkerhet och arkitektur, som delas med kunder, återfinns på .
Beträffande LIS gör Inera följande bedömning: Informationssäkerhet syftar till att hindra information från att läcka ut, förvanskas eller förstöras samt säkerställa att informationen finns tillgänglig för en legitim användare.
Ineras produkter och tjänster håller en sådan säkerhetsnivå att kunder kan känna förtroende för Inera som leverantör och uppnå en hög nivå av informationssäkerhet.
Inera har ett ledningssystem för informationssäkerhet, som är baserat på ISO 27001.
av regelverk som beskriver krypteringsnivåer, autentiserings-metoder, säkerhetsåtgärder i driftsmiljön m.m.
I systemet ingår vidare modeller förificering, incidenthantering, etc., liksom uppföljning i form av interna och externa revisioner samt säkerhetstester.
Sekretess gäller enligt 18 kap.
8 § 3 offentlighets- och sekretesslagen för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser telekommunikation eller system för automatiserad behandling av information.
LIS innehåller uppgifter av sådan art att ett utlämnande typiskt sett är ägnat att medföra skada för det intresse som skall skyddas genom den aktuella bestämmelsen.
Handlingarna kan därför inte lämnas ut.
Om ni inte är nöjd med sekretessbedömningen har ni rätt att begära ett formellt beslut.
Med vänlig hälsning Inera Detta var ett intressant svar av flera skäl.
För det första är den informationssäkerhetspolicy som bifogas och som också ligger ute på Ineras så sällsynt innehållslös och består enbart av det som i andra policys brukar ligga under rubriken ”mål”.
Bland annat saknas helt inriktning för ansvarsförhållanden vilket är av stor betydelse att definiera för en leverantör .
Att policyn är beslutad den 14 juni i år väcker även det en hel del tankar (mer om innehållet i de dokument jag fått ut längre ner).
Det riktigt förvånande är dock att Inera anser att övriga styrande dokument i sin helhet går att sekretesslägga och det med hänvisning till OSL trots att man inte tillhör de offentliga organisationer som faller under offentlighetslagstiftningen!
Detta sporrade min nyfikenhet och som den jobbiga människa jag är måste jag ställa ytterligare frågor med vändande post: Tack för svar!
En formfråga: har Inera fattat ett beslut att tillämpa OSL generellt för sin verksamhet?
Till svar fick jag följande: I Ineras bolagsordningen (från 2017) står följande: Allmänheten ska ha rätt att ta del av handlingar hos bolaget enligt de grunder som gäller för allmänna handlingars offentlighet i 2 kap.
tryckfrihetsförordningen och offentlighets- och sekretesslagen.
Här tätnade mystiken för mig.
2 kap TF och OSL handlar om hanteringen av allmänna handlingar.
Inera har per definition inte några allmänna handlingar och vad betyder då egentligen paragrafen i Ineras bolagsordning?
En generös tolkning är att man menar att Ineras handlingar ska hanteras som allmänna handlingar i myndigheter, regioner och landsting.
För att den handlingsoffentligheten ska fungera krävs bland annat diarieföring av handlingar där ärenden/handlingar får unika identiteter som går att söka fram och begära ut.
Om myndigheten, i det här fallet icke-myndigheten Inera, bedömer att det finns grund i OSL för sekretess för hela eller delar begärda handlingar ska ett sådant beslut lämnas skyndsamt med besvärshänvisning så begäran prövas i Kammarrätten.
Min nästa fråga blev därför: Tack!
Det innebär alltså att jag kan få ett formellt beslut med besvärshänvisning inom typ tre dagar?
Och svaret kom pronto: Ja, det stämmer.
Vill du alltså helst få ett formellt beslut?
Självklart vill jag ha ett formellt beslut men på vad?
Jag var tvungen att skriva tillbaka för klarläggande: Hej igen!
För att följa ert beslut om att efterleva OSL och TF bör jag få ta del av vilka handlingar och dess unika ID så att jag kan begära ut dem.
I policyn står inget om vilka övriga styrande dokument om ingår i ledningssystemet så därför behöver jag uppgifter om detta.
Exempel kan vara Riktlinje för åtkomst osv.
Dokumentnamnet kan inte falla under den sekretess ni hänvisar till.
Tyvärr har ni ju inget diarium på nätet så att jag själv kan söka reda på dessa uppgifter.
Jag skulle också vilja se beslut om till vilken instans ni skickar besvär i utlämnandefrågor.
När jag fått dessa uppgifter kan jag göra en formell begäran om utlämnande.
En vecka senare (30 augusti) kom svaret med en bilaga Hej Fia, Bifogad fil innehåller en beskrivning av Ineras ledningssystem och dess komponenter.
Den instans som är aktuell i besvärsfrågor är Kammarrätten.
Återkommer till innehållet i dokumentet senare men efter att ha läst beskrivningen skickade jag in följande begäran: Tack!
Jag har alltså fått en beskrivning av ert ledningssystem där ni bedömer att samtliga ingående dokument i sin helhet faller under OSL 18:8 § 3.
Förutom att jag tycker att det är tämligen unikt för Inera att se hela regelverket som fallande ur sekretess blir jag litet fundersam över vilka dokument i beskrivningen som är framtagna och beslutade.
Är beskrivningen en plan över vad som ska tas fram eller finns omnämnda dokument?
Och kommer Kammarrätten verkligen att anse att de är en instans för besvär gällande utbegäran om icke-allmänna handlingar (eftersom Inera inte är skyldiga att följa TF och OSL utan har det mer som en policyinriktning)?
Eftersom jag håller på att skriva om det just nu vill jag gärna pröva detta så jag begär ett formellt beslut angående utlämnande av följande dokument (eftersom de saknar unik identitet anger jag den beteckning som anges i beskrivningen): Jag förutsätter att ni gör en sekretessprövning som innebär att de delar av dokumenten som inte faller under reglerna för sekretess lämnas ut.
Förhoppningsvis håller ni också den praxis som gäller för skyndsam handläggning för denna typ av ärenden, d.v.s.
beslut inom tre arbetsdagar.
Idag den 3 september fick jag ett formell avslag med en besvärshänvisning där beslutet där samtliga handlingar i ledningssystemet förutom policyn i sin helhet bedöms i behov av sekretess.
Besvärshänvisningen är till Kammarrätten som kan göra en annan bedömning.
Själv är jag tveksam till om besvärshänvisningen verkligen fungerar eftersom Inera formellt inte faller under offentlighetsprincipen och de handlingar jag begärt ut därmed inte är att betrakta som allmänna vilket också fastslagits i ett liknande fall, då gällande (SKI).
Av rent intresse kommer jaag ändå att skicka in ett besvär.
Om vi ser till själva processen tycks Inera lägga betoningen på S snarare än O i OSL.
Det är tyvärr inte en ovanlig attityd bland myndigheter, det är klart att det är mycket bekvämare att arbeta bakom lyckta dörrar, men en mycket tråkig utveckling i ett samhälle där vi berömt oss för vår fina offentlighetsprincip.
Min fråga här blir hur syftet med informationsklassningen som säkerhetsåtgärd skulle kunna skadas om Inera lämnade ut beskrivningen av sin metod.
Eller hur riktlinjersin helhet skulle kunna vara känsliga.
För att undvika missförstånd: självklart finns det ingående beskrivningar av tekniska lösningar alternativt risker/sårbarheter som bör hållas skyddade för obehöriga (särskilt som Inera paradoxalt nog är frikostiga med tekniska beskrivningar .
Men styrande dokument på en högre nivå borde Inera ha all anledning att vilja sprida om man tar sitt uppdrag att ”koordinera och utveckla digitala lösningar” på allvar.
Eftersom vi vet att informationssäkerheten är så illa utvecklad inom sjukvården borde Inera föregå med gott exempel och visa upp vilken säkerhet man själv har i sin instans av 1177 till skillnad mot Medhelps hantering.
Vad skulle nyttan vara i att begränsa harmlös information om sitt säkerhetsarbete till sina ”kunder” om man hanterar personuppgifter för hela befolkningen och ett mycket stort antal aktörer är berörda av dessa regler på olika sätt?
En mer cynisk människa än jag skulle ifrågasätta att de dokument jag efterfrågar över huvudtaget finns annat än på ritbordet med tanke på att policyn antogs i mitten av juni i år och övriga dokument rimligen borde vara underdokument till den.
Jag väljer att tro att dokumenten i beskrivningen verkligen finns men det ledningssystem som framtonar liknar inget jag tidigare sett i en organisation med Ineras betydelse och ambition att följa ISO/IEC 27001/27002.
Policyn är som jag tidigare skrivit torftig och innehåller inte delar som ändå får uppfattas som praxis som exempelvis ansvar och roller, incident och kontinuitet vilket även är centrala aspekter för en tjänsteleverantör.
Dessa frågor återkommer inte heller på anvisningsnivå.
Inledningsvis sägs att: Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering.
Den ska också tillämpas i projekt och på förvaltningsobjekt.
Det är alltså en intern policy för bolaget Inera men vad säger det om informationssäkerheten i tjänsterna?
Och i relationen med kunderna?
När så basala frågor lämnas öppna är frågan vad policyn egentligen fyller för syfte.
Sammantaget är den bild jag får att detta inte ens om det blir genomfört skulle bli ett fungerande ledningssystem på det sätt som beskrivs i standarden.
Men då har jag som sagt inte sett själva dokumenten.
Kanske någon som är ”kund” i Ineras mening kan kolla på dessa dokument och återkomma med en beskrivning?
Ineras hemlighetsmakeri blir ännu mer märkligt med tanke på att ett flertal av de ägare som Inera kallar kunder villigt lämnat ut sina styrande dokument för informationssäkerhet när jag frågat.
Varför skulle större sekretess råda hos Inera?
Kanske är det ovanan att leva med en god offentlighetskultur som präglar Ineras synsätt.
På samhällsnivå är det i så fall ett stort problem om viktig information flyttas från öppna organisationer till slutna som Inera och SKL.
Jag tror att överdrivet sekretessläggande är till stor nackdel för säkerhetsarbete generellt men alldeles särskilt i sammanhang då en ett antal aktörer ska dela information, tjänster och infrastruktur.
Det måste finnas en grundlig kännedom och diskussion om gemensamma regler hos de som är aktörer i samarbetet men det måste också gå att presentera utanför den snävaste kretsen för att kunna skapa tillit.
Konsulter och leverantörer måste även de få inblick för att kunna utveckla sina tjänster så att de passar.
Detta gäller än mer om Inera ska axla rollen att stödja kommunerna i deras digitalisering.
Min förslag har sedan länge varit att ta fram gemensamma regelverk och skyddsnivåer för att skapa gemensam säkerhet och dessutom slippa de stora konverteringsproblem som uppstår då aktörer med olika regelverk ska samverka i samma infrastruktur.
Svensk digitalisering är i sig planlös men det skulle kunna gå att riva det Babels torn av språkförbistring som redan finns inom informationssäkerhetsområdet genom att skapa just gemensamma regelverk.
Jag gjorde ett försök 2014 när jag jobbade på MSB att få olika centrala aktörer att samverka men denna strategi har fallit i glömska trots ett flertal tunga undertecknare (bland annat SKL och Inera).
Idag är behovet av fungerande informationssäkerhet i vården större än någonsin finns det definitivt utrymme för Inera att kliva fram och göra mer av sitt uppdrag att ta fram regelverk för informationssäkerhet än det som nu finns presenterat på n, detta särskilt som SKL säger att man ska arbeta ”resolut” med att förbättra informationssäkerheten.
Ska man lyckas med det krävs dock öppenhet och dialog med de många aktörer som måste ingå i ett sådant förbättringsarbete.
Att hävda att sekretess råder för varje mening i styrande dokument på hög nivå är inte ett tecken på vilja till öppenhet och dialog.

Toppledarforum E-nämnden (Nämnden för elektronisk förvaltning) 24-timmarsmyndigheten Verva E-delegationen E-legitimationsnämnden Digitaliseringskommissionen Digitaliseringsrådet DIGG Merparten av informationsmängderna är även de att betrakta som tämligen generiska Merparten av informationen hanteras i pappersform, detta särskilt i kritiska aktiviteter i processen En stor del av informationen finns på flera bärare samtidigt I hela processen är spårbarheten är essentiell för patientsäkerheten Överenskommelse om kommunernas krisberedskap (dnr MSB 2018-09779) Överenskommelse om kommunernas arbete med civilt försvar (dnr MSB 2018-05681) Bilaga 1 omfattas av försvarssekretess (15 kap.
2 § offentlighets- och sekretesslagen (2009:400) och lämnas inte ut.
endast för min vård, den uppföljning är lagstadgad och tydligt definierad administrativ hantering utöver ovanstående även akademisk forskning där resultaten kommer samhället till del utöver ovanstående även akademiskt forskning i kommersiell regi för kommersiellt bruk oavsett bransch Riktlinje informationssäkerhet Anvisning för informationsklassicering Anvisning för informations- och it-säkerhet för medarbetare

inte inte behov kan, ha kontroll över sin information normerande klassning och Folkviljan utövas genom inom En av nätläkarna tycker att det verkar ha varit en bristfällig konsekvensanalys inför beslutet och att det är märkligt att SKL:s handlingar inte omfattas av offentlighetsprincipen.

Meny E-hälsa Inläggsnavigering

MENU MENU Postat av miljoner Postad i , , , , Tagged , , , , Postat av Postad i , Tagged , , , , Postat av Postad i , , , , Tagged , , , , , , , , , Postat av Postad i , , , , , Tagged , , , , , , Postat av Postad i , , , , Tagged , , , , , , , Postat av Hej!
Postad i , , , Tagged , , , , Postat av Postad i , , , , , , Tagged , , , , , Postat av Postad i , , , , , Tagged , , , , , Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , , , Tagged , , , , , ← Sök efter:

Tack Calle Lilius för bilderna!

Eftersom frågan om spårbarhetens vara eller icke vara som en självständig aspekt av informationssäkerhet är återkommande diskuterad ska jag här göra ett inlägg i frågan.
Bakgrunden är den så kallade CIA-triaden som kommer från engelskans Confidentiality, Integrity och Availability vilket ofta på svenska översatts till konfidentialitet, riktighet och tillgänglighet.
Detta är kanske inte en optimal översättning vilket möjligen är en delorsak till de olika uppfattningar som finns om hur detta ska tolkas.
Huvudorsaken skulle jag dock vilja hävda att det med förvånande kraft hävdas att det bara finns en möjlig beskrivning av vad arbetet med informationssäkerhet syftar till och att det fångas i den svenska definitionen.
Vi (inte så få) som vill problematisera begreppen för att få dem mer anpassade till de behov vi uppfattar finns möts av tystnad.
För att ge så gott underlag som möjligt för en diskussion ska jag försöka vara tydlig och transparent som möjligt i min argumentation och hoppas att få svar i samma anda.
Utgångspunkten för mitt resonemang är ett statement som jag mer uppfattar som en dogm och som ofta formuleras som kofindentialitet, riktighet och tillgänglighet är den verkliga kärnaspekterna i informationssäkerheten och att spårbarhet är en osjälvständig stödfunktion till de övriga tre.
Nyligen såg jag det formulerat som fast sats: konfidentialitet, riktighet och tillgänglighet är tillstånd, spårbarhet en förmåga.
Vare sig eller kan härledas ur ISO/IEC 27000:2018 (ordlistan för 27000-serien) som genomgående använder property som exempelvis: property of accuracy and completeness Property kan översättas som egenskap.
Inte heller i den terminologi som tagits fram av en arbetsgrupp i SIS: Teknisk Rapport SIS-TR 50:2015 (kan tyvärr inte länka eftersom den inte är fritt tillgänglig) återfinns tillstånd respektive förmåga i denna betydelse.
I rapportens inledning står det: Informationssäkerhet handlar därför om hur informationens konfidentialitet, riktighet och tillgänglighet ska bevaras så att organisationens krav kan uppfyllas.
Dessa egenskaper kompletteras ibland även med en eller flera andra egenskaper, såsom spårbarhet, oavvislighet, ansvarighet, autenticitet och auktorisation.
Här definieras alltså konfidentialitet, riktighet och tillgänglighet som men så även bland annat spårbarhet.
I övrigt förekommer begreppet tillstånd litet här och var men aldrig på det sätt som i satsen ovan.
Närmast kommer man i beskrivningen av informationssäkerhetsmodell: Enheterna i ett system indelas i logiska grupper av subjekt (användare och deras processer), objekt och resurser.
Egenskaper hos ett önskvärt, ”säkert” tillstånd definieras och det visas att varje tillståndsövergång bevarar säkerheten vid övergång från ett till-stånd till ett annat.
Ett säkert tillstånd kräver att samtliga tillåtna åtkomstfall överensstämmer med fastställda säkerhetsregler.
Jag tolkar denna beskrivning liksom de andra tillstånd som ändå förekommer i handboken (exempelvis av redundans, anonymitet m.m.)
som en sammansatt helhet som resulterar från flera/många säkerhetsaktiviteter.
Riktighet definieras exempelvis som endast: skydd mot oönskad förändring vilket jag gissar ska läsas med en koppling bakåt till inledningen; att det är en eller möjligen en funktion.
Synsättet att det finns etablerade definitioner som ”tillstånd” respektive ”förmåga” verkar vara en uppfattning som får anses begränsat till vissa företrädare i Sverige som inte har stöd i den terminologi som tagits fram.
Detta synsätt verkar inte hämtat från något internationellt etablerat sammanhang vilket det räcker att göra en slö koll på Wikipedia för att upptäcka.
I artikeln Informations security anges som key concepts som första punkt CIA- triaden med följande beskrivning The CIA triad of confidentiality, integrity, and availability is at the heart of information security.
Inte heller i den svenska akademiska diskussionen förefaller det finnas konsensus eller ens en särskilt omfattande diskussion om CIA-begreppen.
Det gör att jag särskilt höjer på ett ögonbryn då akademiker på högre nivå utan närmare förklaring anammar satser som den ovan beskrivna utan förtydliganden.
Jag är helt enig i att detta är ett key concept – då borde det förtjäna en behandling på akademisk nivå som motsvarar dess betydelse.
Fördelen med att det saknas etablerade och allmänt accepterade definitioner är att det skapar en frihet att undersöka vilket förhållningssätt som är mest ändamålsenligt och samtidigt logiskt konsistent åtminstone på en basal nivå.
Personligen finner jag inte begreppen tillstånd respektive förmåga som särskilt tydliggörande men möjligen kan en begreppsmodellering där tankarna om detta redovisas på ett öppet sätt uppenbara en logik som jag missat.
Om vi ändå i detta sammanhang kan utgå från att det finns ett antal egenskaper som är centrala för att skapa god informationssäkerhet så är nästa fråga vilka dessa är.
Inte heller här råder den fullständiga enighet om CIA-triaden vilket man ibland kan förledas att tro.
Parkerian Hexad konstruerades redan 1998 av som adderade tre aspekter till den ursprungliga triaden: Authenticity, Availability och Utility.
Även aktuella svenska exempel på kritisk diskussion om CIA triaden.
Det av MSB finansierade forskningsprojektet SECURIT landade bland annat i antologin där ett bidrag ( av Björn Lundgren) starkt ifrågasätter CIA-triaden.
Jag kanske inte är helt övertygad om den modell som forskaren anser borde ersätta CIA-triaden men i detta sammanhang är det ändå viktigt att poängtera att det är väl värt att diskutera frågan.
ISO 27000 öppnar ju också upp för att triaden kan kompletteras med ytterligare egenskaper vilket också sker exempelvis i själva standarden i avsnittet om kryptering.
Noterbart är att ISO-standarderna inte har en konsistent hantering av begreppen sinsemellan trots att de riktar sig mot samma objekt (i detta fall informationshantering).
I SS-ISO 30300 (hantering av verksamhetsinformation) anges målen vara vilket är snubblande nära ISO 27000 men med andra definitioner.
I SS-ISO 15489 (Dokumenthantering) är ett tillkommande mål autenticitet.
Här bör en begreppsmodellering göras, särskilt som SS-ISO 30300 börjat spridas främst genom SKL.
Även här finns alltså ett behov av att göra sig redo för att öppna upp och diskutera om och hur centrala begrepp ska användas.
Själv menar jag att det finns skäl för att se närmare även på autenticitet men här ska jag koncentrera mig på spårbarhet.
Istället för att som nu negligera spårbarhetsbegreppet finns det anledning att lyfta upp det och se hur dess betydelse ökat under de senaste årtiondena och detta i flera dimensioner.
För det första är det den mest självklara dimensionen att på ett säkert sätt kunna följa vad som hänt i informationshanteringen både som en följd av mänsklig aktivitet och som tekniska händelser.
I det allt mer transaktionstäta informationsflödena där en mängd aktörer är detta en alltmer central funktion.
Här gäller detta att även uppfatta egenskapen spårbarhet som en negation, det vill säga att undvika spårbarhet till exempel som skydd för den personliga integriteten.
För att bara räkna upp några krav som inte endast omfattar informationens konfidentialitet, riktighet eller tillgänglighet utan där det också ställer krav på en hög grad av spårbarhet: Kraven på spårbarhet har också en tydlig koppling till konkreta säkerhetsåtgärder där loggning är den främsta åtgärden för att skapa spårbarhet i it-tjänster.
Loggning sker även i ett antal andra typer som i inpasseringskontrollssystem, telefoni, chatt och andra kommunikationslösningar.
I den manuella informationshanteringen kan det behöva finnas rutinerna som bland annat kan omfatta signering, vidimering, kontrollerad versionshantering och kvittensförfarande.
Observera också att om dessa åtgärder inte kan matchas mot ett definierat krav på spårbarhet kan det innebära stora merkostnader, inkräktande på den personliga integriteten och ytterst leda till lagöverträdelser om det inte går att motivera åtgärden.
För att illustrera behovet inom den samhällsviktiga verksamheten sjukvård finns det gott stöd att hämta i det paper som presenterades av Ella Kolkowska, Karin Hedström och Fredrik Karlsson vid Örebro University på en konferens redan 2009: (tillgängligt via DIVA).
Spårbarheten är alltså direkt kopplad till målsättningen för kärnverksamheten och ytterst till patientsäkerheten.
Att då som SKL ta bort spårbarheten ur sitt klassningsverktyg förefaller inte direkt som att anpassa säkerheten efter verksamhetens behov och inte heller att värna sina medlemmars intressen.
Observera också att spårbarhet inte enbart handlar om att spåra användares aktiviteter utan själva informationen.
Här finns en naturlig övergång till de andra syften som spårbarheten kommer att behöva tjäna i allt högre grad.
Den första är för att skapa autenticitet, en kvalitet som blir allt mer uppenbart nödvändig.
Spårbarhet är en tydlig faktor för att kunna skapa autenticitet och oavvislighet vilket är ett krav från arkivsidan.
I den informationshantering som sker i offentlig sektor borde alltså rimligen spårbarhet upphöjas till triadnivå, särskilt sett till kravet på rättssäkerhet och att kunna tillhandahålla information för forskningsändamål.
Jag lämnar nu autenticiteten i förhoppningen att övertygelsen om betydelsen är väl känd.
Istället ska jag skriva om något som tilltar ännu mer i betydelse, nämligen möjligheten att reproducera information.
Idag sammanställs den information som visas på skärmen från ett växande antal källor, olika tjänster och applikationer.
För att kunna reproducera information såsom den såg ut vid ett visst givet tillfälle kommer att krävas allt mer avancerade funktioner av spårbarhet.
Den som har följt ett it-avbrott på närmare håll vet att den inte enbart leder till tillgänglighetsproblem utan även till en rad andra negativa konsekvenser.
En sådan är att man ofta får versionsproblem där blir svårt att säkerställa vilken den senaste versionen av olika informationstyper var.
När fel version av en delmängd körs kan det skapa mycket stora problem där hela tilltron till informationslösningen kan gå om intet.
En fatal variant är när information förlorats utan att det går att spåra att den försvunnit.
För att sammanfatta: jag kan inte se att det finns något stöd för att begreppen tillstånd respektive förmåga är etablerade som beskrivning för olika aspekter av informationssäkerhet utan snarare att skulle vara det mest använda internationellt begreppet vilket också används i ISO 27000.
Det görs heller ingen hierarkisk skillnad mellan egenskaper av den typ som framgår i uppdelningen tillstånd/förmåga.
För att försöka vara vitsig är det svårt att spåra var uppfattningen om tillstånd/förmåga har uppstått och på vilka grunder.
CIA-triadens uppräkning av egenskaper är återkommande diskuterad och kan kompletteras vid behov även enligt ISO 27000 med till exempel spårbarhet.
I detta sammanhang vill jag understryka att en portalprincip i ISO 27000en ska anpassas till verksamhetens behov, det är alltså inte standarden i sig som skapar låsningar.
Om en uppfattning är att standarden kan anpassas till verksamhetens/samhällets behov menar jag att det gör det omöjligt att använda standarden som stöd för nationell (eller lokal) styrning av informationssäkerhet.
Det finns ju liksom inget egenintresse i att följa en standard.
Det skulle behövas en riktigt djupborrande analys på flera nivåer av hanteringen av aspekten spårbarhet i Sverige.
Jag när fortfarande ett hopp om att de som ger uttryck för starka åsikter gällande spårbarhet kan ta sig tiden att utveckla hur de tänker och inte bara konstatera sin uppfattning.
Detta är inte bara en teoretisk tankelek utan frånvaron av spårbarhet eller motsvarande som styrmedel för informationssäkerheten får mycket allvarliga konsekvenser för bland annat hälso- och sjukvård men även för förmågan att upprätthålla kontinuitet, för dataskydd och för det långsiktiga bevarandet.
Ett särskilt problem ligger i att det inte går att ta del av vare sig de resonemang som ligger bakom olika ställningstaganden eller själva standardtexterna eftersom de inte fritt tillgängliga trots att de utgör underlag t.o.m.
för föreskrifter.
Denna bristande offentlighetsstruktur har jag skrivit ett annat blogginlägg om Ett typiskt tecken för en dogm är att bevarandet av dogmen är viktigare än de negativa konsekvenser dess tillämpning får.
Jämför exempelvis med katolska kyrkans dogm att preventivmedel inte är tillåtna.
Dogmen är orubbad trots de uppenbara negativa konsekvenser detta får i form av könssjukdomar och oönskade graviditeter vilket i sin tur leder till illegala aborter med oerhört lidande och död.
I fallet med katolska kyrkan går det ändå att se vem som har ansvar för dogmerna med de dödliga konsekvenserna men vem tar ansvar för dogmer inom informationssäkerhetsområdet och de eventuella konkreta följder de kan få?
Informationssäkerhet är inte en religion och vi har inget stöd av högra makter (tror jag).
Därför när jag en from förhoppning att vi gemensamt ska försöka eliminera de drag av dogmatism som ändå florerar.
För att hantera de enorma säkerhetsutmaningar vi står inför har vi inte råd att bygga säkerhetsåtgärder på resonemang som inte tål att prövas utan vi kommer istället att behöva pröva våra intellekt till det yttersta för att åter och åter hitta de bästa lösningarna.
Och vi måste inse att detta inte är teoretiska övningar utan de val vi gör leder till goda eller mindre goda resultat i praktiken och där det ligger ett stort ansvar på oss som arbetar med informationssäkerhet.
Slutligen kan jag inte undgå att tycka att myndigheter inom informationssäkerhetsområdet är de som tillsammans med akademin måste ta ett särskilt ansvar för bryta ner dogmer och bygga kunskap som samhället kan använda.
Nu ser jag fram emot en mängd kloka motargument!
Sedan jag skrev mitt förra blogginlägg där jag förordade att vi borde införa en starkare gemensam styrning av informationssäkerheten bland annat i form av gemensamma skyddsnivåer samt t.o.m.
ett gemensamt ledningssystem har jag flera gånger fått frågan ”har du kollat på KLASSA?”.
Svaret är ja, det har jag och till och med skrivit på bloggen .
Sedan dess har det skett en viss men som jag ser det så kvarstår de huvudproblem som jag skrev om i det tidigare inlägget.
Att man dessutom tagit bort spårbarhet som en bedömning i klassningen gör ju inte saken direkt bättre (vilket också ett antal personer verksamma i landsting och kommuner upprört framfört till mig).
De mest övergripande invändningarna jag hade var att verktyget bygger på att man klassar system, inte information, och att säkerhetskraven är alldeles för glesa.
Detta kan menar jag leda till att man snarast skapar säkerhetsproblem än förebygger dem eftersom en organisation kan bli invaggad i en falsk trygghet av att ha vidtagit åtgärder när de i själva verket är otillräckliga.
Dessutom stöds samma aktivitet ofta av samma eller snarlik information på olika bärare som i detta exempel från en tämligen harmlös anställningsaktivitet direkt hämtad från verkligheten: Om man då fragmentiserar klassandet till att endast omfatta informationen då den exempelvis befinner sig i rekryteringsverktyget missar man ju att skydda samma information då den förekommer i andra sammanhang.
Ju fler olika typer av tjänster och bärare som används desto viktigare blir det att ha kontroll över informationen oavsett var den befinner sig.
Med tanke på att verktyget är framtaget för kommunal verksamhet blir man litet brydd i detta hänseende när man tänker på vissa av de mest känsliga verksamheterna.
Ta till exempel överförmyndarna där konfidentialitet, riktighet och spårbarhet är oerhört viktiga för att verksamheten ska kunna bedrivas.
Överförmyndarnas informationshantering sker i en komplex mosaik av bland annat enskilda beslutssystem, lagringsytor, papper och mail.
I detta sammanhang är det självklart helt otillräckligt att bara genomföra en systemklassning av ett ärendehanteringssystem.
Man skulle kunna invända att överförmyndarna är en liten och unik verksamhet med specifika krav där man inte kan förvänta sig att generella metoder ska kunna fungera.
Visserligen svarar jag men i grunden gäller detta för de flesta verksamheter inom en kommun eller landsting eller t.o.m.
med en statlig verksamhet oavsett omfattning.
Kraven på säkerhet ligger på alla de bärare, inte bara det som en händelse definieras som ett ”system” (vilket dessutom är alltmer oklar definition sett till dagens tekniska utveckling).
Återigen vill jag propagera för att istället se det som att system och tjänster ska certifieras för att klara vissa skyddsnivåer – inte klassas.
Bortsett från kvaliteten på metoden för klassningen funderar jag över det i mitt tycke oproportionerliga intresse som finns för klassning och incidenthantering.
Samt att detta intresse tar sig uttryck i att klassning respektive incidenthantering ses som fristående aktiviteter och inte som delar i en större helhet.
Det fragmentiserade synsättet går igen i de metoder som presenteras.
Den bärande idéen är att varje organisation med egna resurser och egna värderingar ska styra informationssäkerheten i den egna verksamheten.
Detta menar jag är ett mer och mer verklighetsfrämmande paradigm i en värld där vi i allt högre grad delar information mellan organisationer samt mellan organisationer och individer.
I ett digitalt tjänstesamhälle är det inte den interna säkerheten i den enskilda organisationen som är det mest centrala utan den gemensamma infrastrukturens säkerhet.
Det är ungefär som att i vägtrafiken låta varje transportföretag men även varje individ ta fram sina egna regler och tillämpa dem på de gemensamma vägarna.
Det är klart att man genom frivilliga samordnande insatser och tillsyn skulle uppnå en viss effekt men jag tror de flesta skulle uppfatta det som ett absurt och närmast nihilistiskt trafikpolitiskt förslag.
När det gäller säkerheten i den digitala infrastrukturen är fortfarande en dominerande uppfattning.
I det tidigare blogginlägget om KLASSA ställde jag upp sex krav på en fungerande metod för informationsklassning.
Omättligt krävande som jag är vill jag nu lägga till två ytterligare.
För det första måste metoden vara tillämplig även i ett större sammanhang än i en enskild organisations användning av ett system.
För det andra ingå i en större helhet av systematiskt– att klassa information utan relation till det kretslopp av övriga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering, ansvarsfördelning och uppföljning är inte effektivt säkerhetshöjande.
Särskilt inte om skyddsnivåerna har stora brister.
Informationsklassning är helt enkelt inte sååå viktig i sig.
Men inte ens då tror jag att detta är en särskilt bra väg att gå.
Det inte alldeles enkelt att utföra klassning på ett välavvägt sätt ens med stöd av en bra metod.
Vad som krävs är erfarenhet och kompetens inom informationshantering och risker samt förståelse för hur organisationer fungerar.
Att klassa information är inte att som professor Balthazar stoppa in information i ett rör på en informationsklassningsmaskin och med automatik få ut en färdig klassning.
Därför är det inte en metod där olika organisationer förväntas göra sina egna klassningar en lösning på det mycket stora kompetensunderskottet – kompetensen behövs ändå.
Och om alla gör sina egna bedömningar i en gemensam struktur kan man fråga sig vad som blir resultatet.
En god gissning är att den lägsta nivån blir trendsättande inte minst eftersom om en part har en låg nivå på sina säkerhetsåtgärder riskerar det övriga aktörers säkerhet.
Den som har gjort en större investering riskerar att få denna investering underminerad av den som väljer en lägre nivå – ekonomin i att ändå välja den högre nivån kan starkt ifrågasättas.
Att klassa information är varken så enkelt eller så viktigt som enstaka aktivitet som man ibland vill ge sken av.
Sammantaget vill jag därmed propagera för en mycket starkare styrning av processer, informationshantering och informationssäkerhet där den gemensamma grunden inte är optional.
Vi måste lämna det föråldrade synsättet där ”system” sätts i centrum och istället inse att det är en informationsinfrastruktur som måste hanteras med vederbörlig respekt och med styrande säkerhetsregler.
Kanske har vi förlorat ett decennium av möjligheter att skapa en gemensam informationssäkerhet genom att låta en slavisk tolkning av ISO 27000 kombineras med en flummig samordningstanke.
Det räcker inte med lösryckta initiativ kring olika aktiviteter som klassning utan vi måste se att ebygger på en samverkande helhet av säkerhetsåtgärder.
Den minnesgode kommer ihåg att jag tyckte det saknades några frågor vid den öppna utfrågningen i riksdagens försvarsutskott om cybersäkerhet för ett par veckor sedan.
För att inte bara planlöst gnälla ska jag formulera några av de frågor jag själv skulle ställt i rollen som en hyfsat insatt folkvald ledamot i försvarsutskottet.
Rollen kräver ju en något mer nobel approach än den som småaktig bloggare.
Jag kommer därför naturligtvis inte att ställa tråkiga frågor som vad cybersäkerhet betyder eller vad det är för värden på axlarna på MSB:s bild över utvecklingen av digitalisering respektive cybersäkerhet även om jag grubblat över detta sedan jag såg den.
Jag ska heller inte göra banala zingers av typen ”här ser vi hur man försöker lösa morgondagens frågor med gårdagens lösningar.”.
Istället kommer jag att försöka ställa fem övergripande frågor som jag menar är av betydelse för samhället och inte bara för samhällets säkerhet.
– Herr ordförande, vi har nu fått en genomgång av ett statsråd och fyra myndighetsföreträdare.
Tyvärr kan inte genomgången ha lett till en bra helhetsbild av frågan.
Varje myndighetsrepresentant har presenterat sin myndighets perspektiv på ett sätt som får åhöraren att känna sig som på toppen av ett utsiktstorn där det bara är möjligt att beskåda utsikten genom fyra fastlåsta och begränsade kikare.
Själva vyn är osynlig genom dessa tunnlade perspektiv.
När vi som folkvalda får en presentation där cyberförsvar, säkerhetsskydd, samhällsviktig verksamhet, och den vardagliga informationssäkerheten presenterade som helt separerade spår är det lätt att förstå den vanmakt som många aktörer som förväntas göra något i praktiken känner.
I NISU-utredningen 2015 var det första åtgärdsförslaget för att förbättra informationssäkerheten att utveckla en nationell styrmodell för informationssäkerhet: En nationell styrmodell för informationssäkerhet består av ett antal komponenter som måste utvecklas och förvaltas över tid.
En del är ett sammanhållande regelverk som innehåller olika nivåer av reglering under föreskriftsnivån, det vill säga en regelhierarki som motsvarar ett ledningssystem inom en organisation.
Förutom de resurser som krävs för att utveckla och förvalta styrmodellen krävs en lösning för anslutning och efterlevnadskontroll som löpande samordnas med andra intressenter.
I detta ligger också omfattande utbildningsinsatser.
I styrmodellen är informationsklassning den mest omfattande aktiviteten som går från processorienterad informationskartläggning via själva klassningsmomentet till utvecklade gemensamma skyddsnivåer.
För att skyddsnivåerna ska kunna fylla sin funktion krävs omfattande insatser av både egen och extern kompetens inom områdena administrativ, fysisk och it-inriktad säkerhet.
Slutligen förutsätter en nationell styrmodell en väl utvecklad kunskapsstyrning.
Kunskap kan i detta sammanhang röra sig om kunskap om metoder men i ännu högre grad om att kunna ge ett vederhäftigt underlag för en styrning utifrån risk.
Det innebär att kunna förmedla en uppdaterad riskbild och att samtidigt kunna förmedla stöd för riskreducerande åtgärder.
Behovet av en nationell styrmodell förefaller större än någonsin, inte minst sett i perspektivet av att försöka samordna digitalisering och säkerhet.
Min fråga till statsrådet är därför var detta förslag hamnat.
En följdfråga till myndighetsföreträdarna är om det är omöjligt att utan ett formellt uppdrag från regeringen börja samarbeta på ett sätt som leder till konkreta samordnade stöd för – Herr ordförande, två konkreta frågor angående molntjänster.
I efterdyningarna av skandalen vid Transportstyrelsen har molntjänster blivit en huvudfråga för regeringen när det gäller säkerhet.
Samtidigt vet vi att molntjänster redan används i stor omfattning av svenska myndigheter, kommuner och regioner/landsting, att de ger effektiva lösningar och i många fall bättre säkerhet än om verksamheterna själva skulle drifta och förvalta i egen miljö.
Många av de tjänster som idag finns även som applikationer för egen förvaltning kommer snart enbart att finnas som molntjänster.
Samtidigt är det svårt för Söpple kommun att ställa krav på Microsoft och Google angående säkerhet och integritetsskydd.
En lösning som skulle kunna ge både bättre säkerhet och nödvändig effektivitet var om svenska staten på samma sätt som den tyska sluter ett gemensamt avtal med några av de stora jättarna.
Jag förstår problematiken när det gäller konkurrensfrågor m.m.
men vill ändå ställa frågan om detta är något regeringen överväger eller om varje kommun och myndighet även fortsättningsvis ska försöka lista ut om det är juridiskt korrekt att använda Office 365 samt ta fram sina egna avtal.
Jag skulle också vilja fråga om den ändring som redan skett, nämligen att SÄPO och Försvarsmakten tilldelats en vetorätt när det gäller utkontraktering av information från säkerhetskänslig verksamhet.
Detta ställer ju ansvarsprincipen på ända och jag funderar i detta sammanhang om regeringen ser framför sig även andra förändringar i denna grundpelare i svensk förvaltning.
Vem tar ansvar för verksamheten i det här fallet – SÄPO eller verksamhetsledningen?
-Herr ordförande, under dagens presentationer är det lätt att få föreställningen att säkerhet är ett enkelt och entydigt begrepp samt att säkerhetsåtgärder alltid är obestridligt ”goda”.
Den som ägnat minsta tanke åt detta och kanske dessutom kanske ändå studerat lite samhällsvetenskap, historia eller filosofi vet naturligtvis att så inte är fallet.
Säkerhet existerat alltid i en relation till andra värden.
En supersäker lösning som skulle förhindra alla brott vore att låsa in alla medborgare och slänga bort nyckeln för att dra frågan över det löjligas gräns.
Samtidigt måste jag som folkvald naturligtvis beakta de olika intressen som finns i samhället och som delvis står i konflikt med ”säkerhet”.
För mig framstår det som det finns tre värden som ständigt kommer i konflikt med den renodlade säkerheten; effektivitet, demokrati och individens integritet.
I digitaliseringssträvandena ligger önskan om effektivitet.
Demokrati i den form vi känner den är ett centralt element insyn och delaktighet.
Övervakning är per se en inskränkning i integritet.
Jag hörde ingen av talarna ta upp dessa konflikter och ställer därför frågan om myndighetsföreträdarna ser det som liggande utanför sitt uppdrag att även ta hänsyn till denna typ av aspekter.
Det är i så fall viktigt att veta eftersom utgångspunkten då måste vara att myndigheterna agerar som ”säkerhetsnördar” och de övriga perspektiven måste tillföras från annat håll innan beslut tas i viktiga frågor.
– Herr ordförande, jag tror vi alla är överens om att det finns ett stort behov av att utveckla informationssäkerheten i Sverige.
En absolut vital förutsättning för att kunna göra det är att det finns tillgänglig kunskap och kompetens på olika nivåer.
Min bedömning är att detta behov är skriande idag alltifrån den vetenskapliga nivån till att det saknas tusentals informationssäkerhetsansvariga företag, kommuner, landsting och myndigheter.
Detta leder till att vi inte vet vad vi ska göra för att faktiskt vara effektiva och att det saknas operativ förmåga att bedriva det säkerhetsarbete som åläggs olika aktörer.
Situationen kommer knappast att förbättras av sig själv eftersom det idag endast finns en handfull utbildningsplatser per år för att utbilda kompetenta informationssäkerhetsansvariga.
Många av de som idag är informationssäkerhetsansvariga (eller kallar sig certifierade och informationssäkerhetsexperter) saknar helt utbildning inom området.
Fortbildningsbehovet är därför oerhört stort.
Ytterligare en aspekt är att kunskapsuppbyggnad bygger på ett kritiskt tänkande och en öppen dialog.
Ett intryck från säkerhetsområdet är att det ofta präglas av en tystnadskultur och en anti-intellektualism.
Detta bygger, tror jag, på tradition, på att det saknas arenor för ett intellektuellt utbyte i säkerhetsfrågor och på att en osäker profession sluter sig inom sig själv i kotterier.
För att komma vidare och hitta den goda säkerhetskulturen som skapar kunskap och insikt även på den nationella nivån krävs insatser även från myndigheterna.
Min fråga är hur det stora kunskaps- och kompetensbehovet ska tillgodoses och hur myndigheterna kan verka för en god säkerhetskultur med kritiskt tänkande även i de nationella sammanhangen.
– Herr ordförande, en sista fråga.
I de presentationer vi tagit del av lyfts diverse försumligheter och bristande medvetande hos samhällets aktörer fram.
Däremot sägs mycket litet om och i så fall hur myndigheterna med särskilt ansvar för säkerhet bedriver en systematisk utvärdering av sina egna insatser.
Utvärdering är ju en grundläggande aktivitet i ett systematiskt arbetssätt och det finns därför anledning att anta att denna kvalitetshöjande mekanism måste vara inbyggd i myndigheternas verksamhet.
Detta framgår dock inte i de årsredovisningar jag tagit del av och inte heller i dagens presentationer.
Därför skulle jag vilja ställa frågan om den bristande säkerheten alltid är någon annans fel eller om det är möjligt att myndigheterna sett anledning att även förbättra sina egna insatser?
Ingen kan idag förneka vikten av att förbättra informationssäkerheten i de samhällsviktiga verksamheterna.
Ett antal utredningar har under de senaste tre åren utmynnat i olika förslag på hur detta ska ske.
Tyvärr har fokus legat allt för mycket på reaktiva åtgärder som incidentrapportering och allt för litet på det förebyggande arbetet, detta trots att det ofta påpekats att de stora säkerhetsvinsterna kan göras genom olika typer av incidenter och säkerhetsproblem motverkas innan de uppstår.
För mig framstår den i särklass viktigaste förebyggande åtgärden att tillräcklig kompetens finns för att hantera informationssäkerhetsrelaterade frågor på olika nivåer.
För att uppnå detta krävs både episteme, fronesis och techne.
Det vill säga det måste finnas en vetenskaplig grund för att de åtgärder som vidtas är effektiva i förhållande till de problem de avses att lösa, att det måste finnas en praktisk kunskap hur fungerandeska bedrivas och det måste finnas en djupare förståelse att nya situationer kan hanteras.
Jag skulle vilja hävda att detta idag i allt för hög grad saknas.
Konkret kommer ett stort antal organisationers ledningar behöver ett kompetent stöd för att styra sittså att det motsvarar de risker som verksamheten är utsatt för och för att kunna tillvarata alla nya möjligheter som den pågående digitaliseringen innebär.
Jag pratar alltså inte om it-säkerhet som är inriktad på tekniska åtgärder utan informationssäkerhet som handlar om verksamhetsstyrning och information.
Utöver befintliga krav kommer även nya från bland annat dataskyddsförordningen, NIS, civilt försvar och en ny säkerhetsskyddslag.
Det gäller c.a.
350 myndigheter, 290 kommuner, ett tjugotal landsting/regioner och ett okänt antal privata aktörer som medverkar till att upprätthålla samhällsviktiga verksamhet.
En av de vanligaste frågorna jag får när jag besöker kommuner, regioner och myndigheter är vilka utbildningsmöjligheter som finns.
Hos de som får allt tyngre ansvar för det faktiskat finns såvitt jag kan bedöma en allt större medvetenhet om kompetensbehovet.
Till viss del fanns denna insikt även i den strategi för samhällets som MSB tog fram tillsammans med andra myndigheter.
Tyvärr har inte insikten utmynnat i några konkreta satsningar för att stödja utvecklandet av professionsinriktade utbildningar.
Även om behovet av kompetens är känt anvisas få vägar för kompetensförsörjningen.
Vare sig i den nationella säkerhetsstrategin eller i digitaliseringsstrategin, båda presenterade av regeringen 2017, nämns något om kompetensförsörjning inom informationssäkerhetsområdet.
Utredningar som SOU 2015:23 , SOU 2017:36 SOU 2017:114 liksom lagrådsremissen om ny säkerhetsskyddslag är lika renons på förslag annat än de som gäller utpekade tillsynsmyndigheter.
Den nationella strategin för informations- och cyberssäkerhet (Skr.
2016/17:213) skulle kunna inge ett visst hopp eftersom den faktiskt innehåller ett avsnitt som heter Öka kunskapen och främja kompetensutvecklingen.
Hoppet om att finna ett mål att tillgodose behovet av professionell kompetens generellt avtar dock snabbt då det visar sig att det som avses är att informera organisationer om sårbarheter och behovet av säkerhetsåtgärder samt att höja den enskilda användarens kunskap.
Samtliga strategier och utredningar tycks dock förutsätta att den kompetens som behövs kommer att finnas utan vidare styrning.
Jag delar inte denna tilltro till den osynliga handen.
Istället ser jag att vi står inför ett mycket stort och komplicerat kompetensförsörjningsbehov.
Bara det ett nyrekryteringsbehov av något hundratal informationssäkerhetsspecialister årligen till kommuner och landsting/regioner som kanske har samhällets mest komplexa informationssäkerhetsbehov måste uppmärksammas.
Många av oss som idag är verksamma inom informationssäkerhetsområdet saknar formell utbildning för våra jobb eftersom utbildningar helt enkelt inte funnits i någon högre grad (jag jämställer inte olika certifieringar med högskoleutbildning även om de säkert är bra på sitt sätt).
Därav ett stort fortbildningsbehov.
De kurser på högskolenivå som erbjuds idag via en sökning på antagning.se för hösten 2018 är antingen korta kurser eller har en renodlad teknisk inriktning.
Undantagen är masterutbildningar i Örebro som har ett handfull platser samt i Luleå där ett organisatoriskt perspektiv tillförs en huvudsak it-inriktad utbildning.
Detta räcker naturligtvis inte långt.
Mitt förslag är därför att en utredning tillsätts som tillåts koncentrera sig på hur behovet av kunskap och kompetens inom informationssäkerhetsområdet ska tillgodoses under de närmaste åren.
Utgångspunkten är att staten måste ta ett betydligt större ansvar för kunskapsförsörjning på en vetenskaplig nivå och för att kunskapen omsätts till kompetenshöjande åtgärder för prioriterade målgrupper i samhället.
Målen bör vara att det gemensamma utbildningsplaner för en treårig högskoleutbildning som informationssäkerhetsspecialist med inriktning på organisation och information, att det utbildas 50 informationssäkerhetsspecialister per år samt att varje kommun har tillgång till minimum en halvtids informationssäkerhetsspecialist.
Inom detta fält kan även utbildningar av typen ”informationssäkerhetsspecialist kommunal verksamhet” och ”informationssäkerhetsspecialist hälso- och sjukvård” kunna finnas.
Även fortbildningar för redan yrkesverksamma bör ingå i ett kunskapslyft för informationssäkerhetsområdet.
Utan denna typ av insats har jag mycket svårt att se hur alla andra mål för att höja samhällets informationssäkerhet ska kunna realiseras.
För att förena episteme och techne (och förhoppningsvis uppnå fronesis) så behöver professionen sina metoder.
Metoderna är i kunskapssamhället professionens verktyg och det som utgör grunden för en intern gemenskap och en extern uppfattning om vad en medlem i professionen kan utföra.
I detta sammanhang kommer jag att använda begreppet ”metod” som ett systematiskt och enhetligt sätt att utföra en viss aktivitet med ett beskrivet önskat resultat.
I teorin finns också ett antal metoder inom informationssäkerhetsområdet som riskanalys, informationsklassning, incident- och kontinuitetshantering.
Ledningssystem a´ la ISO 27000 kan också ses som en metametod där ovanstående metoder ingår som komponenter.
Frågan är dock hur väl metoderna uppfyller kraven på att vara systematiska, enhetliga och ha beskrivet önskat resultat.
Att metoderna är utvärderade och därmed sägas vara effektiva sedda till sitt syfte bör vara ytterligare ett krav för att de ska sägas fungera.
Förutom införandet av ledningssystem är sannolikt informationsklassning den mest upplyfta metoden för att uppnå bättre informationssäkerhet.
För att göra en snabb bedömning av metoder känns det därför ganska rimligt att titta litet närmare på klassningen så som den beskrivs.
Här har jag ett underlag på divergerande åsikter som uppstod när jag arbetade på MSB och dristade mig till att fram ett förslag på vägledning för informationsklassning.
Den informella remissen ledde till att det ramlade in en mängd svar från informationssäkerhetsmänniskor i framför allt myndigheter.
Jag planerar att använda dessa svar för en litet utförligare analys vid ett senare tillfälle – nu räcker det att säga att synpunkterna gick i alla riktningar och att alla var lika övertygade om att det sättet de uppfattade saken var det enda rätta.
Inte ens var man överens om det skulle heta ”klassning” eller ”klassificering”, ännu mindre om huruvida det är information eller system som ska klassas.
En litet märklig upplevelse vid genomläsningen var att själva syftet med informationsklassningen framstod som så odefinierat i ett antal av svaren, framför allt då man hade invändningar mot att jag i vägledningen beskrivit att informationsklassningen som metod också måste innehålla skyddsnivåer.
Lika fången som andra av min egen tankegång så har jag alltid föreställt mig det som meningslöst att klassa information om det inte leder till konkreta skyddsåtgärder.
Detta var dock inte en uppfattning som delades av alla.
Jag svävar fortfarande i ovisshet om vad då klassningen tjänar till och det är en av de många frågor som jag tycker det vore ytterst intressant att diskutera.
I paradgrenen informationsklassning saknas det alltså enhetlighet samt systematik.
Den bristande systematiken ligger bland annat i att klassningen som aktivitet inte har ett givet samband med andra aktiviteter som exempelvis riskanalys och inte heller beskrivs som en process vars resultat regelbundet utvärderas.
I vägledningen skrev jag till exempel djärvt att klassning ska ses som en form av risk- alternativt konsekvensanalys men fick mycket starkt mothugg mot detta och hur då det systematiska sambandet mellan riskanalysen och klassningen ser ut för dessa skribenter är fortfarande oklart för mig.
Det mest slående i svaren var att ofta saknades argument eller teori för den åsikt man förfäktade.
Istället var det redovisande av hur man själv i praktiken genomför sina klassningar eller, mest återkommande, hänvisningar till hur man tolkat ISO 27000.
Här ligger en viss ironi eftersom en del svar rörande klassningen där man hänvisar till standarden faktiskt går emot vad standarden säger, som när man hävdar att det system som ska klassas samtidigt som standarden uttryckligen säger att det är information.
Mycket av det som kan sägas om informationsklassning kan sägas också om ledningssystem som metod.
Förutom att syftet och genomförandet saknar enhetlighet är båda metoderna synnerligen icke utvärderade.
Jag under senare tid plöjt en hel del av den litteratur som finns på området och har ännu inte hittat några studier som exempelvis utvärderar olika metoder för informationsklassning, ej heller av om ledningssystem på det sätt som standarden föreskriver är ett effektivt sätt att styra informationssäkerhet i en organisation.
Och här måste jag gå in på helig mark och framföra ståndpunkten att ISO 27000, som gett mig så mycket stöd genom åren som yrkesverksam, inte så sällan snarare är ett hinder än en hjälp.
Eller, rättare sagt, vårt användande av standarden som en ersättning för utvärderade metoder utgör ett hinder för oss att bli mer professionella.
ISO 27000 definierar ett område som jag skulle vilja kalla organisatorisk styrning men innehåller ingenting om hur olika aktiviteter ska utföras, och är alltså ingen metod.
Som jag skrev inledningsvis skulle man kunna sträcka det till att standarden översiktligt beskriver en metametod men överlämnar till oss praktiserande att ta fram de konkreta, enhetliga, systematiska och utvärderade metoderna.
Denna metametod börjar kanske också bli litet anfrätt av tiden med sin inriktning på styrning av informationssäkerhet i organisation när information i allt högre grad flödar över organisationsgränser.
ISO 27000 har i många fall blivit en ersättning för metoder vilket vi måste erkänna för att komma vidare.
Istället för att i övermåttan peka på standarden som en bibel måste vi ta uppgiften med metodutveckling på allvar och skapa en gemensam plattform som uppfyller kraven på enhetlighet och systematik.
I ett tidigare inlägg skrev jag om vad jag uppfattar som ett bristande vetenskapligt stöd för detsom bedrivs.
Att inte kunna bottna sitt arbete i etablerad kunskap skapar av naturliga skäl avgörande hinder i det kunskapssamhälle som numera är vårt.
Men om vi kontrafaktiskt skulle anta att det fanns en välutvecklad akademisk kunskap om informationssäkerhet skulle inte denna kunskap vara tillräcklig för att få en verkligt fungerande informationssäkerhet i organisationer och i samhället i stort.
Det behövs också aktörer som vet ”hur” man ska göra, det vill säga tillför techne och fronesis till episteme.
Vad jag avser är en profession av låt oss kalla det informationssäkerhetsspecialister.
Behovet av att skapa nya professioner följer med utvecklingen av det moderna samhället från skråväsendets tillkomst under medeltiden till dagens på olika sätt legitimerade eller auktoriserade yrken.
Professionen skapar legitimitet åt yrkesutövarna, ”paketerar” deras kompetens så att den blir hanterbar även för externa parter som är intresserade av att använda den och, inte minst, utgör en dialogpartner för den akademiska kunskapsutvecklingen.
Den fruktbara relationen mellan profession och akademin kan kanske mest arketypiskt ses inom det medicinska fältet där läkarna genomgått en professionaliseringsprocess under mycket lång tid.
Numera har även andra yrkesgrupper som sjuksköterskor och fysioterapeuter gjort samma resa men för enkelhetens skull ska jag fortsättningsvis hålla fast vid läkarna som exempel.
För den som läst något om medicinhistoria är det uppenbart att samspelet mellan de praktiserande läkarna och den akademiska forskningen varit nödvändigt för att nå fram till dagens möjligheter att faktiskt bota, förebygga och lindra allehanda sjukdomstillstånd.
Sextonhundratalets fältskärer skulle inte genom praktiskt karvande i sårade soldater kunnat generalisera sin kunskap så att den skulle kunna beskriva sårinfektioner på ett allmängiltigt sätt.
Lika litet skulle de medicinska forskarna som faktiskt fanns vid denna tid kunnat avvara den praktiska kunskapen hos dem som dagligdags mötte patienter, om än med bensågen i högsta hugg.
För att detta samspel skulle kunna utvecklas på det fruktbara sätt som faktiskt skett var en viktig faktor att de praktiserande läkarna kom att utgöra en alltmer skarpt avgränsad profession med bestämd kompetens och enhetliga metoder.
Jag gör analogin till informationssäkerhetsområdet där vi har samma behov av att förena teori och praktik.
En professionell yrkesutövning kan borga för den kvalitet som är nödvändig i den praktiskt utövande delen av kunskapsområdet och av denna anledning bör en profession av informationssäkerhetsspecialister skapas.
Utvecklandet av en profession är som sagt den normala gången inom olika kunskapsområden och det finns också en omfattande forskning på temat.
Både inom gruppen själv och för externa parter som arbetsgivare in spe måste det gå att beskriva vad professionens eller (USP) är och också skapa organisatoriska strukturer för att upprätthålla denna USP.
Några av de moment i professionsbildandet som brukar tas upp litteraturen är följande: En grund då en profession vill formalisera sig är att man annekterar ett kunskapsområde och hävdar att den egna gruppen är den främsta/enda som äger denna kunskap, jämför läkare och medicinen.
Förutsättningen är att det går att definiera kunskapsområdet på ett sätt som både gruppen internt och omvärlden kan vara eniga om.
Här finns ett problem för informationssäkerhetsspecialisterna om den beskrivningen av oklarheten i vad kunskapsområdet egentligen består i godtas.
Är det en organisatorisk eller teknisk kompetens som utgör kärnan för att bara ta en av de många frågor som kan ställas.
För att få tillhöra en profession måste det definieras vilken teoretisk och praktisk kunskap man måste besitta.
Det måste också finnas en procedur som är erkänd även av utomstående som garanterar att de som utger sig för att tillhöra professionen verkligen kan antas inneha den rätta kompetensen.
Det räcker alltså inte med att man själv kallar sig ”informationssäkerhetsexpert” eller att man har lösliga grupperingar av typen communities.
En ganska självklar del i detta är en vilket idag saknas inom informationssäkerhetsområdet.
De utbildningar som erbjuds på högskolenivå (vilket vi väl får anta är rimligt att kräva) har ett mycket spretigt innehåll från ”Internationella aktörer och regelverk” till ”It-forensik” för att bara ta ett par exempel från högskolekurser som beskriver sig som utbildning i informationssäkerhet.
Andra utbildningar går in på ren it-säkerhet eller på praktiska metoder men kunskapsområdets otydlighet avspeglar sig i utbildningsutbudet.
Om vi tittar på innehållet i olika populära certifieringar blir bilden än mer otydlig, i en CISSP-certifiering uppges bland annat telekommunikation och mjukvaruutveckling ingå.
Kravet på formaliserad utbildning blir därmed i dag svårt att uppfylla liksom två andra vanliga krav på en profession: inträdeskrav och avgränsning av de som inte hör dit.
För att sammanfatta så kan vem som helst oavsett utbildning, erfarenhet eller personlig lämplighet utge sig för att vara informationssäkerhetsspecialist utan att någon kan hävda motsatsen.
En profession definieras inte bara av kunskap utan också av de specifika normer och den kultur som dess medlemmar ansluter sig till.
Exempel på detta är, förutom läkaretiken, de normer som upprätthålls av advokatsamfundet.
Det innebär också en över de som yrkestitel som följer med professionen.
Detta förutsätter i sin tur någon form av kollegial organisation som kan utöva kontroll och utveckla en yrkesmässig kultur och etik.
Idag saknas flertalet av de förutsättningar som krävs för en professionalisering inom informationssäkerhetsområdet.
Behovet är av en sådan är dock stort och om man ska dra slutsatser av andra yrkesgruppers historia måste frågan drivas av de yrkesverksamma själva.
En svårighet är att det inte finns fackföreningar eller starka intresseföreningar inom området som skulle kunna inleda en sådan process.
Ett första steg är att börja diskutera framtiden på ett öppet sätt och försöka hitta vägar framåt.
Är lämpligt med ett brett anslag där hela den spännvidd som nu ryms under beteckningen informationssäkerhet men med en specialisering på samma sätt som läkarkåren?
Eller bör vi resonera oss fram till en tydligare avgränsning mot it-säkerhet och cybersäkerhet?
Frågorna är många men än saknas forat att diskutera dem i. Som redan framgått är det svårt att ens ge en enhetlig och allmänt accepterad definition av begreppet informationssäkerhet.
Att då kunna beskriva kunskapsområdet informationssäkerhet blir därför av naturliga skäl minst lika svårt.
Ändå menar jag att den enda verkliga legitimitet som informationssäkerhetsområdet kan uppnå måste gå genom att kunna motivera synsätt, metoder och investeringar med ett kunskapsunderlag.
Kunskapsunderlaget måste därför vara av en sådan karaktär att det kan accepteras av de aktörer som vi vill ska anamma synsätten, använda metoderna och göra investeringarna.
Om vi inte kan argumentera utifrån en rationell position återstår att försöka övertyga med känslor eller utifrån särintressen alternativt mycket smalt perspektiv som att exempelvis isolera risk och se den som helt dominerande.
Min uppfattning är att vi idag är ganska långt ifrån att ha ett gemensamt kunskapsunderlag.
Kvaliteten på kunskapsunderlaget kan också ifrågasättas av flera skäl, bland annat inte oväsentliga delar har sitt ursprung i rapporter från bolag som säljer säkerhetsprodukter.
Ett kanske ännu större problem är att det saknas arenor för kunskapsutveckling utanför akademin där en professionell diskussion kan föras.
Istället skulle jag vilja hävda att området präglas av ett anti-intellektuellt förhållningssätt som leder till en stagnation också när det gäller att ta fram praktiskt fungerande lösningar för att förbättra säkerheten.
Utan att gå tvärdjupt är en rimlig utgångspunkt för ett kunskapsområde att det har olika lager av kunskapsnivåer inklusive en teoretisk grund.
För att ett auktoritativt stöd i detta men också skapa en ganska enkel pedagogik tar jag hjälp av Aristoteles som delade upp kunskapen i fem former av vilka jag endast kommer att diskutera tre: (vetenskaplig kunskap, påståendekunskap, veta att) (praktisk-produktiv kunskap, färdighetskunskap, veta hur), (praktisk klokhet, det goda omdömet, veta när) För den som vill veta mer om detta på ett enkelt sätt rekommenderar jag denna .
Min känsla har länge varit att det som uppfattas som kunskap inom informationssäkerhetsområdet går att hänföra till techne med betoning på enkla tumregler och tekniska lösningar.
Många duktiga informationssäkerhetsmänniskor har haft rejäla mått av fronesis så att de kunnat tillämpa den fyrkantiga techne-kunskapen på ett bra sätt i sina organisationer.
Däremot så uppfattar jag att episteme, den vetenskapliga kunskapen med krav på generaliserbarhet och mätbarhet, i hög grad saknas inom informationssäkerhetens kärnområde.
Vad jag då avser är att exempelvis en övergripande teoribildning på det som är vanlig inom samhällsvetenskapliga områden inte riktigt går identifiera i många av de vetenskapliga texter som publiceras om informationssäkerhet.
Det har också ofta slagit mig att jag sällan sett att etablerade uppfattningar och metoder prövas på ett vetenskapligt sätt.
För att snabbtesta mina egna fördomar har gjorde jag en sökning i svenska databaser på aktuell forskning om informationssäkerhet och fick fram några hundra publikationer som jag granskade snabbt och översiktligt utan anspråk på någon som helst vetenskaplighet.
Den som själv gå igenom samma material kan följa den här och den .
I beskrivningarna har jag försökt utläsa om det finns en teoretisk utgångspunkt som på försöker beskriva ett ontologiskt perspektiv om hur informationshantering och informationssäkerhet samverkar och vad informationssäkerhet .
Jag har också försökt läsa ut huruvida författarna verkligen ifrågasatt de etablerade synsätten och metoderna samt prövat dess effektivitet och relevans på ett ”objektivt” sätt.
Slutligen har jag tittat på inom vilken disciplin texten är skriven och om den förefaller vara övervägande organisatorisk eller tekniskt orienterad.
Efter denna snabba och djupt orättvisa genomgång tycker jag mig ändå se vissa tendenser.
Oklarheten i begreppet informationssäkerhet som jag tidigare skrivit om gestaltas också i de vetenskapliga texterna och leder till en spretighet.
Begreppet tycks kunna stå för renodlat tekniska lösningar (som jag kanske hellre skulle kalla it-säkerhet) som organisatoriska.
I de fall där jag läst sammanfattningarna är denna begreppsförvirring och ontologiska brist inte något som författarna tycks uppfatta som ett problem.
Inte heller verkar ontologin i grundbegreppen konfidentialitet, riktighet, tillgänglighet, spårbarhet alternativt CIA-begreppen utgjort en frågeställning i området.
Flertalet texter är skrivna av forskare med teknisk eller systemvetenskaplig bakgrund.
Detta leder till två helt olika problem.
Det första är att fokus ofta kommer att ligga på tekniska lösningar istället för organisatorisk styrning trots att man säger sig skriva om informationssäkerhet.
Det andra är att det är forskare med teknisk eller systemvetenskaplig bakgrund som skriver om organisatoriska frågor vilket ligger utanför deras egentliga kompetensområde, något som kan leda till att de inte helt har de redskap som krävs för en organisatoriskt inriktad forskning.
Sammantaget leder det till att den organisatoriska styrningen bli styvmoderligt behandlad.
Ett genomgående drag är att etablerade synsätt och metoder förefaller förutsättas vara fungerande och effektiva.
Detta gäller i hög grad de mer organisatoriskt inriktade texterna som kan handla om mätning, compliance och säkerhetskultur för att ta några exempel.
Detta gäller även då man exempelvis tittar på mognadsmodeller där mognaden kan ses som en slags compliance till etablerade synsätt och metoder.
Förutom compliance är fenomenologi i en relativt vanlig form av studie.
Det kan handla om hur medarbetare, patienter eller någon annan grupp uppfattar säkerhetsåtgärder eller -behov.
Inte heller här tycks metoder egentligen ifrågasättas utan snarare är det uppfattningarna om dem som kan behöva ändras.
Trots inriktningen mot compliance är det få texter som undersöker värdet av de åtgärder som compliance-kravet gäller.
Att vara compliant till kravet att ha bland annat en incidenthantering följs inte av en undersökning av effektiviteten i olika metoder för incidenthantering för att ta ett hypotetiskt exempel.
Att studera metoder och delta i metodutveckling förekommer dock inom rent tekniska frågeställningar.
Forskning är naturligtvis inte den enda källan till kunskap men det finns frågeställningar inom informationssäkerhetsområdet där jag uppfattar att en vetenskaplig metod är lämplig för att skapa nödvändig kunskap.
Det gäller både en slags grundforskning på ontologisk nivå och för insatser för att på ett vetenskapligt sätt skapa en evidensbaserad kunskap kring effektiviteten i olika, framförallt organisatoriska, metoder.
Denna typ av frågeställningar kan svårligen hanteras av enskilda informationssäkerhetsansvariga eller av enskilda organisationer.
Informationssäkerhetsområdet har stort fokus på techne vilket sannolikt leder till ineffektiva och bakåtblickande metoder.
Det är svårt att föreställa sig samma lösliga relation till evidens inom andra områden som trafiksäkerhet eller medicin trots att dessa områden måste sägas ha likartade tekniska eller hantverksmässiga bakgrund som informationssäkerhet.
Min tes är ju informationssäkerheten inte tycks hålla måttet och följaktligen anser jag kan det finnas anledning att även inom detta område inta den förkättrade normkritiska positionen och ifrågasätta även de mest etablerade sanningarna.
Att forskningen går från att anti-intellektuellt handla om ett slags hantverk till att ge frågorna den analytiska och intellektuellt utmanande behandling som de i sanning kräver.
Att gå från ett förhållningssätt som är konserverande till att bli ett explorativt som ligger i linje med den snabba organisatoriska och tekniska utveckling som sker.
För detta krävs kreativa och odogmatiska forskare som banar väg, skapar ny kunskap och ger oss andra underlag för en förbättrad praktik.
För att ta emot den mer utmanande kunskapsproduktion som skulle bli resultatet krävs en profession som har samma förhållningssätt inom techne och fronesis samt plattformar att mötas på.
Som jag skrev inledningsvis är en av de stora bristerna att den typen av plattformar saknas idag och att ingen nationell aktör känner sig manad att ta på sig ett sådant ansvar.
I nästa inlägg ska jag skriva om professionen – kanske finns det i en stärkt professionalisering en möjlighet till ett mer professionellt kunskapsbygge?
Hunnen så långt i mitt funderande får jag tips om en som visserligen är från 2008 men som bekräftar att några av de intryck jag beskrivit är problem kända sedan tidigare som exempelvis bristen på empiri och, som i citatet nedan, på teoribildning: .
Det tycks alltså finnas fler som funderar över från vilken kunskapsgrund vi egentligen utgår.
I mitt förra inlägg hävdade jag att det är svårt att säga vad informationssäkerhet egentligen är.
En fråga som nära ansluter till detta är vad målet för arbetet med informationssäkerhet är.
Jag uppfattar den frågan som central att analysera både för informationssäkerhet som kunskapsområde och för den enskilda organisationen som inleder eller redan har ett fortlöpande arbete för att hantera den egna informationen på ett säkrare sätt.
Om målet inte är klarlagt är risken överhängande att informationssäkerhet blir ett självändamål.
Detta skulle strida mot en av mina mest grundläggande övertygelser;drig kan ha ett existensberättigande i sig själv utan måste se som en stödfunktion.
Då måste man dock veta vad det är som ska stödjas.
Informationssäkerheten så som vi känner den idag (om vi nu gör det) har en kort historia.
Med det menar jag inte bara begreppet informationssäkerhet vars tidigaste belägg tror jag finns på 1970-talet.
Däremot har vissa synsätt och metoder en betydligt längre historia.
Att skydda information mot obehörig åtkomst är något som skett med olika metoder är i princip lika gammalt som skrivkonsten i olika former.
Även metoder för spårbarhet som signering och för riktighet som vidimering blivit alltmer standardiserade i Europa sedan medeltiden och framåt, och då kanske främst som stöd i det alltmer intensiva ekonomiska livet.
Detta finns ganska väl beskrivet på annat håll men inom informationssäkerhetsområdet har traditionen ofta snarare hämtats från militär och polisiär verksamhet.
Målet för aktiviteterna har som en följd av detta formulerats utifrån militär/polisiära behov snarare än det från det civila samhällets behov av säkra ekonomiska transaktioner, rättssäkerhet för den enskilde och det enskilda företagets möjlighet att ha stöd för sina affärer.
I detta perspektiv är syftet med informationssäkerheten att framför allt skydda staten i någon mening, inte den enskilda verksamheten och allra minst den enskilda individen.
Den militär-polisiära bakgrunden påverkar fortfarande området starkt vilket gör målet för arbetet otydligt – är det nationens intresse som står i förgrunden eller är det vardagliga arbetet i en organisation som på bästa sätt försöker upprätthålla sin egen verksamhet med tillräcklig effektivitet och kvalitet?
Är det de externa kraven för att skydda statens intressen som ska vara det som ska lyftas fram som den främsta målbilden eller är det de interna behoven?
Innan någon börjar rasa ska jag vara tydlig: självklart menar jag inte att det går att enbart tillgodose externa krav eller enbart tillfredsställa interna behov – alla organisationer måste göra båda delar.
Vad jag menar är att det inte längre kan vara tillräckligt att se till externa krav i form av säkerhetsskyddslagen.
Inte heller går det enligt min erfarenhet att med någon större framgång att använda merparten av de informationssäkerhetsmetoder framtagna för militära eller polisiära syften i en tidspressad civil informationshantering.
Min slutsats är därmed att målet fört måste vara att stödja den enskilda organisationen, eller idag snarare informationssamverkande organisationer, att klarlägga sitt eget behov av informationssäkerhet inklusive olika typer av externa krav som riktas mot organisationen/organisationerna.
Föga revolutionerande slutsats kan tyckas, särskilt som den är i stark harmoni med ISO 27000 förutom i avseendet att standarden är helt inriktad på en autonom organisation och inte på e-samhällets allt tätare integration av informationshanteringen.
Om målet accepteras är dock konsekvenserna att ta på allvar.
Den viktigaste konsekvensen är informationssäkerhet som kunskapsområde måste kunna erbjuda effektiva sätt att avgöra vad som organisationens/organisationernas faktiska behov.
Det innebär också möjligheten att det måste finnas en öppenhet för att ledningen inte önskar särskilt mycket säkerhet utan är beredd att ta risken eftersom målet inte är så mycket säkerhet som möjligt.
När ledningen gör bedömningen kommer den att ta hänsyn till ett antal faktorer som den formulerar som verksamhetens behov inklusive att följa relevant lagstiftning.
Relevant lagstiftning är för de flesta civila organisationer i mindre grad säkerhetsskyddslagen medan alla organisationer som hanterar personuppgifter måste leva efter dataskyddsförordningen.
Myndigheter ska dessutom hantera sin information enligt offentlighetslagstiftningen vilket förutsätter god ordning på riktighet och spårbarhet.
Informationssäkerhet är alltså i sig inte ett mål utan ett medel som kan tjäna olika mål som exempelvis god integritet och god offentlighetsstruktur – vilket kan leda till intressanta intressekonflikter.
Detta ligger ganska långt ifrån det traditionella militära perspektivet att vissa handlingar som innehåller specifik information ska stämplas med sekretessmarkering och sedan hanteras enligt väl reglerade metoder.
Att kunna beskriva informationssäkerheten som ett medel är därför ett mål i sig.
Ett mål som ställer krav på kommunikation mellanoch verksamheten.
När verksamheten frågar ”vad ska informationssäkerheten egentligen vara bra för?” är detta en rimlig utgångspunkt och en bra prövosten förför att kunna motivera sitt arbete.
Jag tror vi idag är ganska långt ifrån denna typ av målformulering för vårt arbete.
Alltför ofta motiveras säkerhetsarbetet utifrån ett ganska alarmistiskt agiterande utifrån generella hot.
Verksamhetsanknytning i form av bedömning av de egna riskerna eller genom informationsklassning har ju i de genomförda undersökningarna inte visat sig förekomma i närheten av det som föreskrifter och annat stipulerar.
Den otydliga målbilden kan också göra det svårt att hitta en fungerande yrkesroll som ju snarast bör vara en konsultativ och stödjande funktion än en som söker sin legitimitet främst i externa krav som lagstiftning.
När omvärlden präglas inte bara av en stark teknikutveckling utan även en snabb organisatorisk förändring där offentliga och privata verksamheter delar informationshantering kan inte målet vara enbart att skydda statens intresse.
Istället måste målbilden vara tydlig men dynamisk och anpassad till den verksamhet som ska skyddas med hjälp av informationssäkerheten.
Först då kommer en verklig drivkraft att förbättra informationssäkerheten att komma inifrån verksamheterna själva.
Mitt eget utopiska mål är den osynliga informationssäkerheten, när den är så inarbetad i verksamhetens rutiner att ingen tänker på att den finns och risker ur säkerhetssynpunkt bedöms på samma sätt som andra risker utifrån hur de påverkar verksamhetens resultat.

Tillförlitlighet Äkthet Integritet (oförändrad) Användbarhet avtalshantering ansvarsutkrävande interna kontrollsystem upptäckt av avvikelser teknisk övervakning dataskydd patientsäkerhet medarbetares integritet medarbetares rättssäkerhet brottsutredning forensik fysiskt skydd

integrity inte en formaliserad utbildning kollegial kontroll attribut en episteme techne fronesis är

En profession behöver metoder

Behovet av en profession Krav på en profession Informationssäkerhetens professionalisering – hur ska vi gå vidare?
Kunskap och informationssäkerhet Episteme, Fronesis, Techne Intryck Och vad blir konsekvensen?

Definition av kunskapsområde Krav på teoretisk och praktisk kunskap som säkerställs genom etablerad procedur Normer och kultur

MENU MENU Postat av Postad i , , , Tagged , , , , , , Postat av Postad i , , , , Tagged , , , , , Postat av Postad i , , , , , Tagged , , , , , , Postat av Postad i , , , , , , , Tagged , , , , , , , postat av Postad i , , , , Tagged , , , , , , Postat av Postad i , , , Tagged , , , , Postat av Postad i , Tagged , , , , , Postat av Postad i , , Tagged , , , Sök efter:

tillstånd förmåga egenskaper egenskap Informationssäkerhet och organisationskultur Vad är säker kultur Information Security Goals in a Swedish Hospital egenskap Informations- och cybersäkerhet i Sverige Informationssäkerhet för samhällsviktiga och digitala tjänster, reboot – omstart för den digitala förvaltningen Unique Selling Proposition Unique Selling Point As can be seen, the use of theories in ISsec research is not equally common as it is in IS research.

Du ska jobba med informationssäkerhet…men vad är det?

Kurser om hur du skapar informationssäkerhet – på riktigt 22-23 september 2021 Sista anmälningsdag är 22 augusti 2021 9 – 10 november 2021 Att införa och förvalta eSista anmälningsdag 9 oktober 2021

Vi har tyvärr funnit oss tvungna att ställa in Praktis även under våren 2021 pga pandemin men räknar med bättre tider i höst.
Nedan finns nu höstens datum.

MENU MENU Det står att information ska klassas men hur gör jag det i praktiken?
Plötsligt är alla involverade – hur organiserar jag det och vem ska göra vad?
Känner du igen dig?
Kurse rna är för dig som har ett ansvar för informationssäkerheten i din organisation och känner att du behöver utveckla din kompetens!
Praktis -kurserna genomförs i underbar miljö på Djurönäset och handlar om hur man arbetar praktiskt med informationssäkerhet.
Vi som håller i kurse rna är två informationssäkerhetsexperter med omfattande erfarenhet från privat och offentlig sektor med ett särskilt intresse för att få det praktiskat att fungera i vardagen.
Det finns även gott om utrymme för kursdeltagarna att utbyta erfarenheter och kunskaper sinsemellan.
Sagt av tidigare kursdeltagare: – Bra!
Supernöjd.
– Tack för en alldeles utmärkt kurs.
Välavvägt och extremt informativt!
– Kompetenta och förtroendeingivande kursledare.
– Väldigt bra med praktiska moment och att man slussades genom de olika stegen för infoklassning, riskanalys, processkartläggning osv.
Jag är nöjd!
– Lätt att följa med trots lite förkunskap – Mycket kunniga o drivande – Bra pedagogiskt upplägg.
Äntligen har jag fått verktyg och metoder för uppgifter jag har haft svårt att lösa!
Allt var bra, mat, lokal etc – Mycket bra upplägg av utbildningen, alltifrån deltagarantal, schema och mixen av teori och praktik.
Bra nätverksskapande – Mkt bra upplägg, bra balans mellan teori o praktik och framförallt en bra nivå på det som förmedlas.
– Väldigt bra nivå på det teoretiska – blev precis lagom teoretiskt!!
– Fortsätt!
Vi som håller kurse rna : Fia Ewald Informationssäkerhetsexpert, tidigare bland annat chef för MSB:s enhet för s. Särskilt intresse för hur informationssäkerhet ska stödja verksamheten.
Fasth) Lång erfarenhet som informationssäkerhetsansvarig i offentlig verksamhet med specialintresse för utbildning och informationsklassning.
Informationssäkerhet – vad är det?
En grundkurs i informationssäkerhet som varvar informativa pass om informationssäkerhetens olika delar med praktiska övningar .
Kursen är lämplig för dig som vill ha en överblick över informationssäkerhetsområdet och få en känsla för hur arbetet med höja säkerheten går till i praktiken.
I programmet ingår bland annat : – definition av informationssäkerhet – vad styr informationssäkerhet sarbetet – hur sammanför du informationssäkerhet och dataskydd – roller och ansvar – hur får du en fungerande säkerhetskultur – struktur för styrande dokument – kommunikation med ledningen – praktiska övningar i processkartläggning riskanalys, informationsklassning och upphandling Kursavgift: 12 900 kr vid anmälan före 1 augusti 2021.
Därefter 13 900 kr.
I kursavgiften ingår en övernattning samt måltider.
Dessutom ingår boken Informationssäkerhet – hur gör man?
Anmälan sker via mail till: fia@fiaewald.se För ytterligare information, ring 0705-74 14 31 alt.
0704-10 45 60 eller maila fia@fiaewald.se alt.
Allt fler organisationer står inför uppgiften att införa och därefter förvalta ett systematiskt.
Men hur gör man i praktiken för att lyckas med detta?
Detta är kursen för dig som har uppdraget att få en organisation att långsiktigt förbättra sin informationssäkerhet men inte riktigt känner att du har verktygen för att lyckas med det.
Kursen är även för dig som vill få en överblick över vad einnebär utan att ännu ha ett uppdrag.
För dig som gått den första Praktis -kursen är detta en mycket bra uppföljning.
Vi fortsätter att ha en praktisk inriktning och på kursen kommer bland annat följande att tas upp: – Att bereda marken för det systematiskat – Att ta fram en plan för införande och hur lång tid tar det egentligen?
– Analys av behov och nuläge i den aktuella organisationen – Hur kan styrande dokument utformas och förvaltas?
– Riskanalyser och informationsklassningar – hur går du vidare till säkerhetshöjande åtgärder?
– Fördela ansvar och roller för att få ett fungerande maskineri – Säkerhetskultur och att hålla entusiasmen uppe – Ständig förbättring och att använda misstag till din fördel Kursavgift: 12 900 kr vid anmälan före 15 september 2021.
Därefter 13 900 kr.
I kursavgiften ingår en övernattning samt måltider.
Dessutom ingår boken Informationssäkerhet – hur gör man?
Anmälan sker via mail till: fia@fiaewald.se För ytterligare information, ring 0705-74 14 31 alt.
0704-10 45 60 eller maila fia@fiaewald.se alt.

Det är högintressanta tider då vissa frågor ställs på sin spets.
I min begränsade värld är en av dessa frågor det så kallade e-arkivet, denna företeelse så omgiven av förväntningar och föreställningar.
Under den senaste tiden har två stora händelser timat inom området: Statens servicecenter misslyckades med sin upphandling av e-arkiv och SKL Kommentus Inköpscentral (fortsättningsvis kallad SKI) lyckades med sin.
Det kan tyckas vara två mycket likartade händelser men ju mer man gräver så framstår skillnader allt tydligare.
Jag är ju en enkel konsult vars främsta uppgift är att försörja mig men eftersom jag misstänker att ingen annan bättre lämpad funktion tänker göra någon analys av varför det gick som det gick fattar jag ändå pennan/tangentbordet.
En brasklapp är naturligtvis att jag inte har den tid och de resurser som krävs för att göra en fullständig analys utan att jag enbart kommer att ta upp vissa aspekter som särskilt intresserar mig och då främst säkerhetskraven.
I ingetdera fallet kommer jag att kommentera de konsulttjänster som ingår i upphandlingarna utan endast upphandlingen av själva tjänsten eller applikationen.
För att förstå dessa upphandlingar behöver några basala förutsättningar slås fast.
Något som är självklart för den med litet insikt i arkivfrågor är att lagring av digital information inte täcker begreppet e-arkiv.
Här finns dock inte utrymme att gå igenom alla intrikata aspekter men låt mig poängtera vissa grundläggande frågor: Ovanstående punkter sammantaget med att Riksarkivet, för att uttrycka det milt, inte är direkt sugna på att ta emot digital arkivinformation och det inte heller finns en övergripande strategi för den långsiktiga nationella arkivverksamheten försätter myndigheterna i en svår situation.
Man har helt enkelt en exponentiellt växande digital informationsmängd att långsiktigt ta hand om utan det finns tydliga lösningar för hur det ska ske.
Förutom myndigheters, kommuner och regioners vånda så är vi nog en hel del som känner en stor oro på samhällsnivå för de stora informationsförluster vi riskerar att göra.
En informationsförlust som inte bara är ett stort hot mot dagens och framtida forskning utan också för vårt gemensamma minne.
Det finns naturligtvis enstaka ljus i mörkret som Sydarkivera som förtjänar att lyftas fram men som helhet ser det tämligen mörkt ut.
Det är alltså i denna kontext som de två upphandlingarna ska sättas in och som kanske kan ge en förklaring till varför de utfallit som de gjort.
Inledningsvis kan slås fast att de två upphandlingsprojekten knappast kan ha haft mycket samröre.
Olikheten i synsätt och begrepp är iögonfallande trots att det i båda fallen handlar om offentlig sektor och delvis överlappande verksamheter.
En sak är dock den samma för båda upphandlingarna: det handlar inte om att upphandla en lösning för det långsiktiga arkivbehovet.
I stället uppfattar jag det mer som att göra en quick fix i väntan på något mer bestående.
Det är alltså möjligen lösningar för mellanarkiv vi pratar om där information av olika karaktär (allmänna handlingar och annat) lagras under en i arkivperspektivet begränsad tid för att därefter gallras, rensas eller föras över till en slutförvaring.
Såvitt jag kan se handlar också lösningar om överföring från system till system eller från system till tjänst, ingen inriktning mot ett mer infrastrukturellt tänkande finns med.
Jag är inte förvånad över detta men vill ändå betona detta.
Trots likheten i behov har SSC och SKI hamnat i två helt olika upphandlingar.
SSC har sedan 2014 bedrivit sitt upphandlingsprojekt där också ett antal statliga myndigheter deltagit och varit utsedda som ”pilotmyndigheter” (bakgrunden finns ).
Utifrån regeringsuppdraget lämnades en första delrapport 2015 med ett förord signerat både av SSC:s GD och riksarkivarien.
Jag vill inte undanhålla läsaren sammanfattningen i rapporten som var följande (felstavning inkluderad): Det finns goda förutsättningar för att skapa en förvaltningsgemensam tjänst för e-arkiv.
· Det blir en minskad investeringskostnad och en besparing för staten som helhet.
· Bara genom att etablera ett gemensamt e-arkiv istället för sju separata för pilotmyndigheterna, sparar staten flera tiotals miljoner kronor.
· Det finns etablerade arbetsätt för e-arkivering · Marknaden är mogen och det finns system och leverantörer.
· Sju pilotmyndigheter har skrivit på en avsiktsförklaring om att ansluta sig till tjänsten.
Förutsättningar för fortsatt arbete: · Regeringen behöver undanröja de juridiska hindren genom en förordningsändring.
· Statens servicecenter (SSC) och Riksarkivet förordar att projektet går vidare till krav- och upphandlingsfas, under förutsättning att regeringen bidrar med tillräcklig finansiering.
Även den som är luttrad från digitaliseringsprojektens närmast obligatoriska glädjekalkyler kanske ändå hoppar till litet vid sådana diffusa fördelar som att staten ska ”spara flera tiotals miljoner kronor”.
Konstateranden som att det finns en mogen marknad för e-arkiv och dessutom etablerade arbetssätt för e-arkivering känns idag 2019 som önsketänkanden och var det ännu mer 2015.
Det var utgångspunkterna för projektet som visserligen har haft riksarkivarien som styrgruppens ordförande och en stilig projektdokumentation men som ändå slutade i att upphandlingen av en nationell molntjänst avbröts strax före jul 2018.
Vad SSC under fyra år försökt upphandla är alltså en molntjänst för ett stort antal myndigheters e-arkiv (om man ser till de tillväxtstaplar som presenterats i projektet): Den ”tjänst” som Statens servicecenter efterfrågar i denna upphandling är således att betrakta som en sammanhållen leverans och ska inte förväxlas med begreppet ”Software as a service” (SaaS).
Skillnaden är att den grundläggande arkivmjukvaran upphandlas i form av en programvarulicens medan de övriga delarna i leveransen upphandlas som en tjänst på månadsbasis.
Istället för en normal upphandling av molntjänsten valde SSC att göra en så kallad konkurrenspräglad dialog.
Statens servicecenter har valt konkurrenspräglad dialog som upphandlingsförfarande då det inte är möjligt att utforma samtliga krav på tjänsten i förväg.
Med tanke på komplexiteten i uppdraget och de rättsliga förutsättningarna krävs dialog med erfarna leverantörer för att slutgiltigt utforma kraven.
Detta är enligt mig en mycket svår upphandlingsform inte minst när det gäller applikationer och molntjänster.
För att kunna styra en sådan upphandling krävs en mycket fast hand från kunden för att inte hamna på olika typer av grynnor och skär.
När då kunden redan inledningsvis skriver att man inte kunnat utforma kraven på tjänsten känns den fasta handen rätt avlägsen.
Som säkerhetsintresserad börjar man skruva på sig; att upphandla en nationell molntjänst med en glidande kravspec känns…obehagligt.
Låt oss då se på säkerhetsinriktningen i SSC:s konkurrenspräglade dialog.
För det följande är det viktigt att ha i åtanke att syftet med processen att nå fram till leverantör av en molntjänst, d.v.s.
en tjänst där stora mängder offentlig ackumuleras.
Kravet på tjänsten har varit att den ska kunna hantera den information som kundmyndigheterna väljer att stoppa in, även sekretessreglerad information.
Däremot inte hemliga handlingar: den förvaltningsgemensamma tjänsten för e-arkiv ska inte dimensioneras för hantering och lagring av hemliga uppgifter och handlingar.
Hemliga uppgifter och handlingar ska därför fortsatt, och av kundmyndigheterna själva, förvaras på annat sätt e-arkivet som sådant bör betraktas som säkerhetskänslig verksamhet – av betydelse för rikets säkerhet.
Detta bland annat mot bakgrund av de stora informationsmängder, från många myndigheter, som ansamlas i lösningen och de konsekvenser som till exempel ett bortfall av tjänsten skulle kunna medföra för berörda verksamheter – och för samhället Redan här väcks många frågor.
Om man ser det potentiella e-arkivet som en säkerhetskänslig verksamhet enbart p.g.a av att det ansamlas stora informationsmängder varför då utan närmare argumentation välja en lösning som leder just till detta?
Följden av beslutet har blivit att man valt att göra en upphandling med krav på säkerhetsskyddsavtal på nivå 1, alltså den högsta nivån.
Detta ställer stora krav på leverantören som att införa en säkerhetsskyddsorganisation, att välja vissa specifika säkerhetslösningar och att införa utvidgade säkerhetskontroller av anställda.
Förutom att säkerhetsskyddsåtgärderna av naturliga skäl kan minska effektiviteten i lösningen innebär ökade kostnader och därmed ökat utpris för kunden.
Det innebär minskad integritet för anställda och i många fall även fördyrande krav i kundens egen verksamhet.
I detta fall ställer jag mig också tveksam till på vilket sätt e-arkivet om det inte upprätthåller tillgängligheten skulle utgöra ett hot mot Sveriges säkerhet liksom att antagonistiska hot skulle vara den primära risken (jag går inte djupare på den nya lagens syn på riktighet och tillgänglighet eftersom den är i bästa fall oklar).
Om detta synsätt sprids, d.v.s.
att det visserligen inte är säkerhetskänslig information som kommer att hanteras i lösningen men vi kommer ändå att använda SUA, så kommer i princip varenda molntjänst som används i offentliga uppdrag av privata och offentliga aktörer att falla under säkerhetsskyddslagen.
Om säkerhetsskyddslagens syfte är att skydda ”det mest skyddsvärda” så kan vi inte låta det gå inflation i tillämpningen så att den blir det nya normala.
Jag vill bara framföra ett milt: sansa er och försök tänk på konsekvenserna av detta (även om utredningen som ny säkerhetsskyddslag hade en ytterst sangvinisk konsekvensanalys, återkommer till det i ett senare inlägg).
Det kanske mest häpnadsväckande är att informationsklassning och skyddsnivåer inte nämns vare sig i inbjudan eller bilagan.
Utan kommentar förutsätts alla myndigheter ha samma behov av säkerhet och kravs ställs inte på leverantören att kunna leverera tjänsten på olika fastställda skyddsnivåer.
Min fundering blir då vem som blir riskägare i det här konceptet om kundmyndigheten inte kan påverka tjänsten.
Detta känns igen från SSC:s övriga tjänster vilket jag ser som ett grundproblem med hela konstruktionen.
Förutom detta ställde SSC även krav på certifiering mot ISO 27001 eller motsvarande icke-certifierat ledningssystem, SOA samt beskrivning av säkerhetskontroller.
Detta är ett krav som måste finnas med men som i praktiken, enligt min erfarenhet, inte utgör en garant för ett väl fungerande säkerhetsarbete.
Hunnen så här långt i genomgången av upphandlingen pockar två frågor på.
För det första har SSC begränsat antalet möjliga leverantörer mycket starkt.
Fyra års utredande borde ha gett en marknadsanalys som påvisat att det finns mycket få svenska leverantörer som kan eller vill leverera på dessa villkor.
Historien visar ju också att endast en leverantör återstod när upphandlingen avslutades.
Den andra frågan är varför denna upphandlingen sker över huvud taget.
Ett alternativ hade varit att gå ut i en vanlig ramavtalsupphandling där Riksarkivet kunnat bistå med expertkunskap på samma sätt som de nu gjort i SSC:s upphandling.
Vad exakt tillför SSC som inte myndigheterna skulle kunna få i en direktrelation med leverantörerna?
Eftersom man då skulle kunna få fler leverantörer skulle förhoppningsvis den koncentration som påkallat säkerhetsskydd kunnat undvikas (ja, här ligger en mycket, mycket större fråga om den totala mängden tjänster hos leverantörerna och ramavtalens oligopolskapande kraft men jag hinner inte ta den nu).
Till detta kommer en bilaga med ganska ordinära säkerhetskrav.
Några reflektioner kan dock göras.
Påfallande många av kraven är inexakta av typen att leverantören ska beskriva vilken säkerhetsfunktionalitet finns.
En förvånansvärt stor andel av det som kan kallas säkerhetskrav ägnas åt fysisk säkerhet.
Och som sagt: nivåer saknas.
Sammantaget skulle det skapa stora svårigheter för kundmyndigheten att bedöma vilken den faktiska säkerheten i leveransen blir.
Om man summerar SSC:s kravbild inklusive orimliga krav som att leverantören ska ha erfarenhet av att tillämpa Riksarkivets FGS i praktiska lösningar vilket i princip är en omöjlighet eftersom det knappt finns några FGS:er så undrar jag om SSC verkligen velat ha en leverantör.
I förtroende har leverantörer förmedlat att har saknats dialog trots den upphandlingsform som valt och som bygger på just dialog.
Trots att endast en leverantör återstått under det sista året har upphandlingen rullat på och därefter avslutats bland annat med motiveringen att det var för få leverantörer.
I upphandlingsunderlaget återkommer följande formulering: Under avtalstiden kan uppdraget komma att begränsas eller på annat sätt förändras med anledning av författningsändringar eller förändrade uppdrag för Statens servicecenter.
Bland annat kan det bli aktuellt för statliga myndigheter att ansluta till en så kallad statlig molntjänst.
Med tanke på att företrädare för SSC ofta vädrat en önskan om att få uppdraget att ta över statlig it-drift och skapa en statlig molntjänst så kan inte tanken att angelägenheten att få affären i hamn kanske inte var helt odelad helt viftas bort.
SKI:s upphandling är en förnyad sådan så man får anses ha mera erfarenhet på området än SSC.
Av teoretiska och praktiska orsaker är jag tilltalad av SKI:s inriktning att använda definitionen ”funktion för e-arkivering” även om det finns aningen av ironi i motstridigheten när funktionen beskrivs som I definitionen av funktionen för e-arkivering beskrivs e-arkiv i termer av vad e-arkivet ska klara av, vilka behov som ska tillgodoses, snarare än vilka funktioner som ska finnas.
Detta är en betydligt mer öppen upphandling i meningen att det finns möjlighet för kunderna att använda avtalet både för att kunna köpa en molntjänst och för att köpa en applikation för egen drift.
I alla fall hypotetiskt minskar det risken för den koncentration som föranledde kravet på SUA för SSC.
SKI har alltså valt att inte göra en SUA, helt korrekt enligt mig.
Det ger också kunden möjlighet att lägga till egna säkerhetsåtgärder i en applikationsdrift och anpassa applikationsdriften till egna skyddsnivåer.
Att flera leverantörer finns på ramavtalet minskar inte bara koncentrationen av information utan gör också lättare att välja en leverantör som motsvarar den egna kravbilden utöver det som står i ramavtalet.
Jag tror (med betoning på tror) att ramavtal är en bättre lösning även ur säkerhetssynpunkt om det är oklart vad en mellanliggande myndighet ska tillföra eftersom kunden då har möjlighet att ha direktkontakt med leverantören.
Applikationsdrift i all ära men för mindre verksamheter kan molntjänster innebära en mycket bättre säkerhet än vad man kan skapa själv (har redan skrivit om detta ett antal gånger så jag vevar inte argumentationen ytterligare en gång).
Inte heller i SKI:s upphandling finns skyddsnivåer definierade även om informationsklassning nämns som en del i de konsulttjänster som kan avropas.
Krav på certifiering ställs inte och säkerhetskraven är inte frilagda på samma sätt som i SSC:s upphandling.
Likaså är många kraven av samma något diffusa karaktär som i SSC:s upphandling.
Det är därför svårt att på rimlig tid skapa en bild av hur den tänkta säkerhetsarkitekturen ser ut.
Jag tror dock att det varit enklare att hitta fram till ett samförstånd i denna upphandlingstyp än i den konkurrenspräglade dialogen som SSC valde som upphandlingsform.
Ett problem med båda upphandlingarna är att det är svårt att se vilka riskbedömningar som gjorts och det är även svårt att se något systematiskt arbete som föranlett de säkerhetskrav som faktiskt ställts.
Jag uppfattar det inte som att säkerhet varit en väl analyserad fråga i upphandlingarna även om SSC drämde i med storsläggan säkerhetsskydd.
Generellt skulle jag vilja hävda att kunden som använder SKI:s ramavtal har större möjlighet att påverka säkerheten i sin informationshantering än den tänkta kunden hos SSC.
Hur stora koncentrationer av information ska hanteras är en fråga på nationell nivå där jag inte tror att säkerhetsskydd är lösningen.
I båda fallen har (eller skulle ha haft) kunden ett drygt arbete att analysera sitt säkerhetsbehov innan en tjänst kan tas i drift.
En from förhoppning är fortfarande att ta fram gemensamma skyddsnivåer till gagn både för kunder och leverantörer.
Ytterligare en önskan skulle vara att tydligare utgå från de tilltänkta kundernas situation och möta dem där de är.
Om ett nationellt ”e-arkiv” ska byggas upp bör behov och lösningar analyseras mycket mer noggrant.
Det handlar om både organisation, tjänster och infrastruktur.
De utredande ansatser som gjort av SSC övertygar mig inte om att denna myndighet är rätt instans för detta uppdrag.
Under en övergångsperiod menar jag att den realistiska lösningen är att upphandla tjänster.
En observation som kan göras är att den organisation som har till uppgift att göra upphandlingar är den som lyckas.
En lärdom av detta kan vara att uppmärksamma hur komplicerad själva upphandlingsprocessen är och att den bäst sköts av en organisation med expertkompetens.
Att ha icke-koordinerade lösningar mellan stat och kommun/region är olyckligt.
Eftersom informationen flödar mellan arkivbildare bör det konceptuellt vara samma typ av lösningar.
Här finns även möjlighet att ge stöd för de privata utförarna av offentliga uppgifter – ett område som nu tycks bortglömt.
Slutligen vill jag, som så ofta, understryka betydelsen av att Riksarkivet tar ett betydligt större ansvar för e-arkivfrågan.
Det gäller både operativt i rena kravställningar men också strategiskt.
Redan nu görs enorma informationsförluster vilket borde sporra Riksarkivet till att göra det till sin huvudfråga.
Föreställningen om att e-arkiv handlar om att överföra information från ett system till ett annat måste överges och de stora informationsarkitekturerna prioriteras.
För att lyckas med krävs mycket stora insatser.
Två viktiga steg menar jag är att befria SSC från uppdrag inom e-arkivområdet och att inse att det som nu kallas e-arkiv egentligen är ett informationshanteringssystem som inte löser den långsiktiga arkivfrågan.
Därefter bör ett nytt uppdrag skapas.
Grunden för ett sådant uppdrag bör vara att staten nu (och sannolikt inte under överskådlig tid)inte har förutsättning att utveckla informationshanteringslösningar i den omfattningen själv.
Att omforma eller kopiera SKI:s ramavtal så att även statliga myndigheter kan använda det är ett sätt att skapa förutsättningar för en mogen marknad där leverantörer kan se en långsiktighet som gör att de vågar investera i utveckling.
Tillägg 2019-02-10: Uppmärksamma läsare har hört av sig och sagt Kammarkollegiets ramavtal innebär en möjlighet för alla aktörer inom offentliga sektor att upphandla e-arkivlösningar för installation i den egna miljön.
Definitionen av e-arkiv är på samma sätt som övriga sparsmakad och på samma gång förbryllande, arkivarie som jag är har jag svårt att uppfatta skillnaden mellan arkivering och långtidsarkivering: Anbudsgivare ska erbjuda minst en programvara för e-arkiv för installation i kunds it-miljö.
Med e-arkiv menas en programvara för arkivering och långtidsarkivering av handlingar för installation i kunds it-miljö Naturligtvis borde jag nämnt avtalets existens.
Jag har dock redan i ett tidigare inlägg beskrivit hur jag försökt få svar på vilken säkerhet dessa leverantörer kan erbjuda utan att lyckas (ingen svarade).
Dessutom går ramavtalet såvitt jag kan se ut den sista november i år.
Att avtalstiden snart går ut ökar möjligheterna för att ta ett större grepp om frågan.
Det har knappast gått någon förbi att det under några år nu rasar in nya eller nygamla regleringar gäller olika aspekter av informationssäkerhet: dataskyddsförordningen, lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet), ny säkerhetsskyddslag och sedan litet civilt försvar på det.
Samtliga av ovanstående regleringar ”drabbar” primärkommunerna.
En egenhet för primärkommunerna generellt är att kravbördan inom alla områden drabbar samtliga kommuner lika hårt oavsett om de har 4000 invånare eller 900 000.
Detsamma gäller för ovan nämnda nya lagar.
Kommunerna har den, vid sidan om sjukvården, mest komplexa kravbilden på informationssäkerhet i samhället redan från början i kombination med att flertalet av små och medelstora kommuner alltför ofta helt eller delvis saknar den kompetens som behövs för att hantera situationen.
För att uppnå målbilden; ett säkrare Sverige, behöver de ansvariga myndigheterna därmed anstränga sig till det yttersta för att ge ett stöd som fungerar till kommunerna.
Att inta en hållning av typen ”det är deras eget ansvar” är helt meningslöst och kontraproduktivt eftersom det objektivt sett saknas förutsättningar för att de skulle kunna lyckas med det.
Ytterligare en aktör i detta är SKL som under senare påtagit sig ett allt större operativt ansvar i frågor bland annat av denna typ.
Nu är det alltså litet upp till bevis-läge.
Jag ska därför göra en liten kontrollrunda för att se vilken information och stöd Söpple kommun kan räkna med när det gäller NIS och därefter göra en sequel om säkerhetsskyddslagen.
Först en kort bakgrund.
NIS-direktivet antogs av Europaparlamentet 2016 och den svenska lag som följden av detta, lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, trädde med tillhörande förordning i kraft 1 augusti 2018.
Målsättningen med direktivet och följaktligen med lagen är att hög gemensam nivå på säkerhet i nätverk och informationssystem.
Lagstiftningen är inriktad på de nätverk och informationssystem som stödjer samhällsviktiga tjänster i sju sektorer (energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten, digital infrastruktur) samt i digitala tjänster.
Det är inte i en begreppsvärld klar som ett vårregn vi rör oss i här vilket gör att jag hänvisar den intresserade till definitionerna i lag och förordning för att själv bilda sig en uppfattning om den exakta betydelsen i begreppen.
Viktig avgränsning är att lagen inte gäller för verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen.
Däremot gäller den för både offentlig och privat verksamhet.
För att uppnå bättre säkerhet är de främst två krav lagen riktar in sig på.
För det första ska leverantörerna av samhällsviktiga tjänster bedriva einklusive riskanalyser och incidenthantering.
Av någon anledning betonas det särskilt att man också ska vidta åtgärder för att reducera de risker man upptäcker(!).
Man skulle kunna tycka att det är en ganska självklar del i emen lagstiftaren känner ändå att detta måste påpekas.
För det andra är det universalmedlet incidentrapportering som jag i förtroende vill meddela att jag tror är tecknet på att det offentliga säkerhetsarbetet har fastnat i en NPM-fälla.
Det vill säga att tvinga ett antal decentraliserade verksamheter att rapportera in uppgifter som man inte sedan vet vad man ska göra med.
Lagen innehåller också nyheten att leverantörerna av samhällsviktiga och digitala tjänster ska tillsynas vilket i sin tur bygger på att de som lagen berör själva ska anmäla sig till tillsynsmyndigheten.
Om så inte sker, om man inte vidtar korrekta säkerhetsåtgärder eller inte rapporterar incidenter kan en sanktionsavgift tas ut av tillsynsmyndigheten.
Efter dataskyddsförordningen kan ordet ”sanktionsavgift” väcka viss panik men i lagen om informationssäkerhet för samhällsviktiga och digitala tjänster sägs En sanktionsavgift ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor.
10 miljoner kan ju vara skrämmande för en liten kommun men för en större organisation kan det som en summa värd att gambla med.
Vad som är skrämmande är att det inte är en tillsynsmyndighet utan sex förutom MSB: Sammanfattningsvis är min bedömning att det är minst lika omfattande krav som ställs i den här lagen som i dataskyddsförordningen.
Att bedriva ett systematiskt och riskbaseratär en mycket komplex uppgift som de statliga myndigheterna inte lyckas leva upp på något särskilt övertygande sätt trots att kravet funnits i föreskrift i snart ett decennium.
Nu vidgas kretsen som skulle uppfylla den målbilden till även kommuner och landsting vilkas möjlighet att realisera den är långt, långt sämre än de statliga myndigheternas.
Och så till ett stort antal företag som kommer att ta in kravet i sin affärsplanering och vara extremt intresserade av att förstå exakt vad som krävs eftersom säkerhet kostar.
Missförstå mig rätt.
Jag är den första att hävda nödvändigheten av att bedriva eoch då särskilt i kommuner och landsting.
Hur starkt jag än uttrycker den övertygelsen framstår det som ett understatement.
Men för att uppnå detta måste man förstå förutsättningarna.
Jag ska därför här göra ett litet tankeexperiment för att försöka förstå hur den nya lagstiftningen landar i en medelstor kommun som vi kan kalla Söpple kommun.
En första observation är när vi tittar på de obligatoriska uppgifterna för en kommun är att Söpple kommun kommer att få fem tillsynsmyndigheter: Energimyndigheten eftersom man har ett kommunalt elbolag, Transportstyrelsen eftersom man har kommunal kollektivtrafik, IVO eftersom man bedriver hälso- och sjukvård bland annat inom äldrevården, Livsmedelsverket eftersom man producerar och levererar dricksvatten och PTS eftersom man har ett stadsnät (jag har inte här gjort någon skillnad på om det är kommunala bolag).
Söpple kommun måste alltså vara beredda på att dessa fem olika myndigheter kan komma på tillsynsbesök.
Vilka förutsättningar har då Söpple kommun som med sina 24 000 invånare kan sägas vara en normalstor kommun.
I kommunen finns ingen informationssäkerhetsansvarig utan frågan ligger under it vilket också är normalt men olyckligt.
Man har påbörjat en sondering med två grannkommuner för att gemensamt kunna inrätta en tjänst som informationssäkerhetssamordnare vilket suttit hårt åt eftersom varje utgift ställs mot personal i äldreomsorgen.
Tyvärr har man redan insett att även om man lyckas få beslut om medel för en sådan tjänst kommer det att bli extremt svårt att hitta en sökande som både har kompetens och är villig att flytta till Söpple.
Sannolikheten för att hitta någon i kommunen är mycket låg, det finns inga utbildningar för att snabbt utbilda en redan anställd och de som finns på marknaden kan definitivt få bättre betalt än i kommunal verksamhet.
Jag vill bara här återigen understryka att informationssäkerhet i en kommun är på en svårighetsgrad som få informationssäkerhetsansvariga i statlig verksamhet någonsin råkar ut för så är det någonstans kompetens verkligen behövs så är det i kommunerna.
Både tjänstemannaledningen och den politiska ledningen i Söpple kommun är yrvakna.
De har inte hört talas om något NIS-direktiv och har precis tagits sig igenom pärsen med dataskyddsförordningen.
Min hypotes om okunskapen i Söpple bygger jag på att det är just det förhållande som jag stött på när jag varit i kontakt med ett stort antal kommunala företrädare.
För att göra en bedömning om varför beredskapen inför NIS är så låg så gjorde jag i förra veckan en rundvandring på MSB:s och de övriga tillsynsmyndigheternas samt SKL:s webbplatser för att se vilken information som fanns om NIS där.
På MSB:s webbplats finns en sida med undersidor som i huvudsak bygger på vad som står i lag, förordning och MSB:s . Hur olika aktörer ska göra för att de ska kunna klara en tillsyn står det däremot mycket litet om, där hänvisar man till det så kallade Metodstödet som på en tämligen abstrakt nivå går igenom olika aktiviteter som kan ingå i ett systematiskt säkerhetsarbete.
Vällovligt men inte särskilt användbart för en kommun med de mycket konkreta frågor som måste lösas i detta sammanhang – bara en sådan sak som att hantera nämndorganisationen… Ytterligare en komplikation är att man tungt lutar sig mot en standard som inte är fritt tillgänglig, något som kan bli mycket besvärligt när tillsynsaktiviteterna sätter igång.
Det går liksom inte att kräva att varje organisation som ska tillsynas måste köpa standarderna för att veta vad de är tvungna att göra.
Skyldigheterna måste framgå av föreskriften och vara möjliga att granska även i ett offentlighetsperspektiv.
Övriga tillsynsmyndigheter har inte heller de såvitt jag kan se ingen information riktad till kommunerna specifikt.
I vissa fall tycker jag dock att den generella information de erbjuder är överlägsen den som finns på MSB:s webbplats som Energimyndighetens frågor och svar som ger rediga besked i en del kniviga .
Mest sparsmakad är kanske IVO som egentligen bara konstaterar att man är Inte heller SKL erbjuder sina uppdragsgivare något överflöd av information i . Webbplatserna gav alltså inte något bra stöd för Söpple kommun att ta tag i frågan men det är kanske inte den vägen som är den primära för att sprida information till kommunerna – för att börja söka där måste man ju först veta att det finns ett NIS-direktiv.
Jag skickade därför ett mail till MSB.
PTS, Livsmedelsverket, Energimyndigheten, IVO och Transportstyrelsen med följande lydelse: Hej!
Jag skulle vilja ta del av information angående lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet) som x (d.v.s.
den aktuella myndigheten) skickat direkt till kommuner.
Samma meddelande lade jag in i frågelåda på SKL:s webbplats och jag kan redan nu avslöja att jag inte fått något svar på detta.
När det gäller myndigheterna kan man sammanfattningsvis säga att det endast är MSB som skickat ut någon information direkt till kommunerna och då inte till kommunerna specifikt eftersom det handlar om missiven till föreskrifterna när de gått ut på remiss.
Detta skedde sista augusti.
MSB har deltagit i en träff i nätverketkommuner (KIS) och har en frågelåda på webbplatsen där man kan skicka in mail.
Dessa frågor är dock inte ännu synliga för någon annan än den som skickat frågan.
Livsmedelsverket har tagit fram en broschyr som man delat ut på en konferens om dricksvatten.
I övrigt säger sig tillsynsmyndigheterna invänta att MSB ska samordna dem.
Så här fyra månader efter att lagen trätt i kraft är det svårt att inte jämföra med hur vi blev fullständigt översköljda från olika håll med information om dataskyddsförordningen.
Datainspektionen måste faktiskt få en eloge för att man redan ett par år innan det äntligen blev 25 maj 2018 byggde upp informationskanaler både IRL och på sin webbplats.
Jag kommer med särskild glädje ihåg en realtidschatt för kanske två år sedan då det gick att ställa alla möjliga frågor till myndighetens kunniga jurister.
För aktiva personuppgiftsansvariga har det varit fullt möjligt att planera och bygga upp de nödvändiga funktionerna i sin organisation.
Att det sedan inte alltid blivit så är en annan fråga.
Att Datainspektionen bedrivit ett aktivt informationsarbete i god tid innan dataskyddsförordningen blev verklighet gör att de tillsyner man raskt kommit igång med känns rimliga.
Samma sak kan inte sägas i fallet med NIS-direktivet som trots att det varit känt på central nivå i flera år inte alls åtföljts av samma förberedelser.
Utifrån vad jag hittills sett kan mycket väl frågan fortfarande vara helt okänd i Söpple kommun men även hos andra både offentliga och privata aktörer.
Nu verkar ju inte tillsynsmyndigheterna kommit igång än vilket måste vara lika bra sett till det rådande läget när det gäller information och stöd.
Meningen med tillsyn är inte att skapa ett blame game och inte heller innebär tillsyn i sig några förbättringar om det inte tydligt framgår vad som ska göras (jag hävdar detta med viss emfas efter att ha jobbat med tillsyn ett antal år).
Tyvärr tycker jag mig spåra en omedveten trend inom både säkerhet och digitalisering att information från myndigheter främst sker muntligt på konferenser m.m.
Förutom den otydlighet och det breda tolkningsutrymme som övergivandet av skriftlig information innebär gör det att informationen inte når utanför de invigdas krets.
Det är inte heller möjligt att fördjupa sig, gå tillbaka, sprida vidare och att ha kontroll över att det är korrekt information som förmedlas.
Nu när olika lagstiftningar dessutom ska samexistera i en mängd organisationer krävs betydligt djupare resonemang än de som kan förmedlas via en power point-presentation.
För att göra en u-sväng i mitt argumenterande kanske det finns fördelar med att det ännu spridits information och stöd gällande lagen om informationssäkerhet för samhällsviktiga och digitala tjänster.
Nu kanske det finns möjlighet att ta ett nationellt ansvar och samordna de olika regleringarna så att inte varje kommun behöver sitta och försöka få ihop olika lagstiftningar och hur de ska uttolkas för den egna verksamheten?
Låt oss hoppas det.
För att de här nya regleringarna dels ska få genomslag, dels leda till säkerhetshöjande effekter krävs mycket tydlig information om som ska göras till som ska göra något samt stöd för det ska göras, d.v.s.
Dessutom, snälla, behövs samordning så att det blir en enhetlig kravbild.
Utan starkt stöd, gemensam prioritering och samordning kommer Söpple kommun vare sig att klara NIS-direktivet eller säkerhetsskyddslagen.
För kommuner som Söpple där egen kompetens i hög grad saknas tror jag att vi måste tänka mycket mer i fasta skyddsnivåer och ett mycket välutvecklat centralt stöd för att det inte bara ska bli både dålig säkerhet och dålig stämning.Men vem är det då som ska ta ansvar för helheten?
Kanske behövs det rent av en ny informationssäkerhetsutredning som utgår från verklighetens utförare av informationssäkerhet och vad de behöver för att klara uppgiften?
Jag tror helt enkelt vi har råd att leva i en drömvärld där olika aktörer oberoende av varandra pekar på vad de vill ha men ingen talar om för Söpple kommun få ihop det i den egna verksamheten.
Förtydligande: jag har efter jag publicerade detta fått ett påpekande att kommunens stadsnät sannolikt inte faller under NIS men däremot under lagen om elektronisk kommunikation (LEK) som har likartade krav som NIS.
Effekten för Söpple kommun blir alltså ungefär densamma i slutändan.
Om jag ser tillbaka och försöker se var jag fått vägledning i min roll som informationssäkerhetsansvarig så är det första jag kommer att tänka på den Handbok i it-säkerhet i tre delar som Statskontoret gav ut 1997.
Även om den angav att innehållet var it-säkerhet var det i realiteten informationssäkerhet den handlade om, det vill säga den organisatoriska styrningen med hjälp av ett antal aktiviteter.
När jag tittar tillbaka i den är det inte så mycket som förändrats vilket väl får sägas vara en ganska dyster insikt.
Trots att Statskontoret inte hade ett mer renodlat informationssäkerhetsuppdrag tog man även fram ett metodstöd och mallregelverk som skulle hjälpa myndigheter att införa ett ledningssystem för informationssäkerhet.
Stödet kallades OffLIS och kom 2003 som en del i arbetet med ”24-timmarsmyndigheten”.
Krisberedskapsmyndigheten (KBM), inrättades efter vissa förvecklingar 2002 och var en av de myndigheter som 2009 slogs samman till dagens MSB.
I KBM:s uppdrag fanns bland annat att ha det sammanhållande myndighetsansvaret för samhällets informationssäkerhet och att utforma en nationell handlingsplan för informationssäkerhet.
Som en del i detta uppdrag tog man fram metodstödet BITS (Basnivå för it-säkerhet) som var tänkt att fungera som en de facto-standard för offentlig sektor.
BITS introducerades kraftfullt av KBM inte minst i kommunerna och bistod även med en slags konsultstöd samt olika typer av bidrag för att exempelvis höja den fysiska säkerheten och förbättra tillgången till reservkraft till kommunala datorhallar.
OffLIS och BITS slogs ihop 2005 för att få en ökad enhetlighet.
Seklets första årtionde var rörligt när de gällde informationssäkerhet.
Vid sidan om KBM:s uppdrag pågick informationssäkerhetsutredningen, Verva skrev föreskrifter om säkert informationsutbyte och Nämnden för elektronisk förvaltning tillsattes 2003 med uppgiften: ” att stödja utvecklingen av ett säkert effektivt elektroniskt informationsutbyte mellan myndigheter och mellan myndigheter och enskilda genom att beslut om vilka standarder för informationsutbyte myndigheter under skulle använda sig av” vilket ju låter välbekant.
Trots att frestelsen är stark ska jag inte gå längre in detta just nu utan bara konstatera att BITS var synnerligen populärt inte minst hos kommuner och efterfrågades långt efter att MSB valt att avveckla stödet.
Ett antal kommuner hänvisar fortfarande i sina styrande dokument till BITS (det är bara att googla och kolla).
Vad var det då som gjorde BITS så populärt?
En vanlig uppfattning bland de kommunala företrädare jag diskuterat frågan med var att BITS gav dem enkla handfasta regler och en tydlig lägstanivå att förhålla sig till.
Utifrån de resurser som står till buds i en liten eller medelstor kommun har detta setts med viss tacksamhet, särskilt då stödet åtföljdes med ett visst konsultativt och ekonomiskt bistånd.
Själv har jag varit skeptisk.
Ett skäl var att BITS var så inriktat på it-säkerhet (även om man vid revideringen 2006 gjorde en strukturell anpassning till ISO 27000).
Ett annat att en tillämpning av BITS leder till en basnivå medan det verkliga behovet i en kommun (liksom i andra organisationer) är att kunna ha olika nivåer av skydd beroende på informationens och verksamhetens karaktär.
Framförallt har jag tyckt att man riskerar att missa den unika organisationens behov.
BITS övergavs också av KBM och sedermera MSB.
Idag är utgångspunkten för de stöd som tas fram att varje organisation ska starta från noll och ta fram sitt eget ledningssystem med alla delar.
Den enskilda organisationen erbjuds det som kallas metodstöd eller delmängder som stöd för att klassa system.
Bara i offentlig sektor innebär det att över 400 myndigheter, 290 kommuner och 21 regioner själva ska ta fram och förvalta respektive ledningssystem, metoder för risk-och kontinuitetshantering och skyddsnivåer.
Detta är en enorm arbetsinsats som dessutom kräver att varje myndighets/kommuns/landstings ledningssystem måste översättas vid samarbeten.
Till detta kommer alla andra nödvändiga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering,….
Objektivt sett kommer detta inte att vara möjligt att genomföra eftersom det inte finns tillgänglig kompetens i en omfattning som ens är i närheten av vad som skulle behövas.
Min uppfattning är att en dellösning på den annars omöjliga ekvationen med starkt ökande krav på systematiskti kombination med en mycket påtaglig brist på tillgänglig kompetens är en ökad standardisering.
Jag har därför börjat ompröva min tidigare inställning.
Som en följd av detta tror jag det dags att ta fram en ny inriktning där en omvärdering göras av de tankar som låg bakom BITS och även OffLIS kan ingå som ett första steg.
Då menar jag inte att en revision av BITS eller en återstart på OffLIS.
Snarare att seriöst analysera vilka delar av esom kan standardiseras i olika typer av organisationer.
Ett nytt koncept borde istället vara inriktat på s. Jag ska här bara skissa upp några punkter där en standardisering skulle kunna ske och ge mycket stora samordningsvinster.
För enkelhetens skull så kan vi ta kommunerna som exempel.
Det är också lämpligt eftersom kommunerna har mycket komplexa säkerhetsbehov som är mycket svåra att hantera för den enskilda kommunen, inte minst för de små och medelstora kommunerna.
De svenska kommunerna har tio obligatoriska uppgifter, det vill säga uppgifter som de enligt lag ska utföra oavsett kommunens storlek och resurser.
Dessa uppgifter genomförs på olika sätt i olika kommuner och i olika organisatoriska konstruktioner.
Men processens olika aktiviteter är i stort sett de samma i flera av dessa obligatoriska uppgifter.
Att söka plats på förskolan eller att administrera den politiska beslutsapparaten innehåller samma moment och i stort samma information om än med olika benämningar.
För att underlätta för kommunerna skulle följande kunna göras nationellt: Naturligtvis bör det framgå att organisationen måste göra egna riskbedömningar och att det enbart är förslag.
Ändå skulle detta vara en mycket värdefull hjälp för kommunerna som också skulle kunna tillämpa grundmodellen för informationsklassning med skyddsnivåer för den unika information som kan utöver de standardiserade förslagen.
Låter mycket att ta fram nationellt tänker ni kanske.
Betänk då att alternativet är att ta fram detta i 290 kommuner, i många fall utan tillräcklig kompetens och resurser, och då få fram inkompatibla lösningar.
Sannolikheten för att flertalet kommuner inte klarar uppgiften och istället får skämmas i rapporter från MSB och Riksrevisionen är inte direkt låg.
Jag menar därför att det är en mycket rimlig investering att skapa nationella lösningar där det faktiskt går.
Hur dessa lösningar ska tas fram och vem som ska ansvara för utveckling och förvaltning tål att diskuteras.
Kanske är en stiftelse där även privata aktörer skulle kunna ingå ett alternativ?
Efter mitt förra inlägg om e-hälsa har jag fått en del kommentarer som visar att sjukvårdens organisation och i ännu högre grad e-hälsoområdets styrning är en okänd värld för många.
Som en projektledare en gång sa till mig som en förebärare för Trump: ”Hur svårt kan det vara med sjukvård (och e-hälsa)?”.
Ganska svårt skulle jag vilja säga vilket även Trump .
Därför kommer här en inledning för att ytterligare förtydliga hur jag uppfattar organisationen idag (finns utrymme för osäkerhet i detta) samt ge ett praktiskt exempel på vad det leder till.
För att bara titta på den bristande styrningen har jag uppdaterat en gammal bild till hur jag tror det ser ut i dag (jag har inte tagit med finlir som kvalitetsregister och trygghetslarm m.m., m.m.).
Bilden är ett försök beskriva samspelet.
Som framgår är ett flertal myndigheter involverade i olika delar, det finns utförare och leverantörer.
Två saker är slående.
Den första är att det inte finns en överordnad myndighet med mandat att hålla ihop helheten och som kan vara kontaktpunkt för övriga aktörer.
Med tanke på hälso- och sjukvårdens betydelse för samhället i olika dimensioner, de mycket stora offentliga resurser som går till sjukvården och det stora antalet aktörer som deltar i det gemensamma vårdarbetet måste detta ses som ett icke-rationellt sätt att organisera det hela om man vill ha effektivitet, kvalitet och strategisk inriktning.
Det andra är SKL och sjukvårdshuvudmännens organisation som jag menar inte håller måttet för de uppgifter som man åtagit sig.
Sjukvårdshuvudmännen har en roll som offentliga organ som är reglerad i lagstiftningen.
Detsamma gäller för vårdgivare oavsett om de är privata eller offentliga.
Men i denna ordning har alltmer SKL glidit in, en intresseorganisation som inte är en myndighet, inte har en lagfäst roll och inte omfattas av offentlighetslagstiftningen.
Riksrevisionen har pekat på detta i en gällande den generella styrningen på vårdområdet.
Inom e-hälsoområdet är problemen med detta mycket tydligt.
En inte oviktig fråga i detta är att det öppenhetskrav som gäller för myndigheter som landsting, regioner och kommuner försvinner då de samarbetar i sin intresseorganisation.
Nu när aktiviteter som tidigare skedde i respektive huvudmans verksamhet flyttas in i SKL:s hägn (inklusive Inera) försvinner också insynen.
Detta kan jämföras med kommunalförbund där insynsmöjligheten fortfarande finns kvar.
Denna fråga verkar inte engagera SKL i någon högre grad, jag söker på hemsidan för att finna om man frivilligt erbjuder en likande insyn i beslutsunderlag och annat som skulle räknas som allmänna handlingar hos SKL:s medlemmar men ser inga sådana informationsinsatser.
Jag skickade även ett mail till SKL:s infoadress den 24 juli: Hej!
Jag vet att SKL inte är en myndighet och därmed inte omfattas av offentlighetslagstiftningen.
Däremot är SKL:s medlemmar det liksom medlemmarnas uppdragsgivare.
Min fråga är hur eftersträvar SKL att ändå kunna erbjuda motsvarande transparens som medlemmarna förutsätts ha?
Detta borde vara allt viktigare i och med att SKL har tagit på sig allt fler uppgifter av operativ karaktär och frågor som starkt påverkar medlemmarnas prioriteringar och finansiering.
Eller är SKL:s linje att allmänheten får tillräcklig insyn via det material som publiceras på den egna webbplatsen?
Detta mail är fortfarande obesvarat efter ett par veckor, kanske beroende på semestertider, vilket i sig är en intressant illustration av att SKL inte omfattas av kraven på myndigheter att snabbt besvara inkommande frågor.
I frågan om e-hälsa är det dock de bristande organisatoriska förutsättningarna som är mest värda att ifrågasätta.
SKL är i sig inte en organisation som är skapad för att bedriva operativ verksamhet utan för att driva förhandlingar i huvudmännens intresse mot arbetstagare och delvis även mot regeringen.
Nu har man omvandlat sig till något som varken är företag eller myndighet men har en horisontell integration där huvudmännen både är leverantörer och kunder, en typ av organisation som redan Vänerskogs jättelika konkurs 1981 visade problemen med.
Denna oreda av aktörer i en infrastruktur av mycket känslig information är detta, ja jag vågar klämma i med, katastrofalt.
Ett mycket stort antal stort antal aktörer är inne och rycker i den gemensamma informationsinfrastrukturen utan att det finns en konkret inriktning utom den som delas av regeringen och SKL.
Jag noterar att webbplatsen inte uppdaterats sedan oktober 2017 men att det kommit en som mest verkar vara ett underlag för förhandlingar samt ett antal fluffiga mål.
Det är långt till verkstaden om man säger så.
Vad leder detta till i praktiken?
Ett bra exempel är hur den ganska naturliga frågeställningen om att ge patienten tillgång till mer information om sin hälsa, behandlingar m.m har hanterats.
För att klargöra utgångsläget så har patienter haft rätt att ta del av sin journal sedan länge, se patientjournallagen (SFS 1985: 562).
En journalhandling inom enskild hälso- och sjukvård skall på begäran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller kopia, om inte annat följer av 2 kap.
8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.
E-hälsofrågan i det hela handlar mer om patienten kan del av journalen.
Personligen tycker jag att hela frågan är felformulerad – istället borde den ha varit: ”hur informerar vi patienten på bästa sätt?”.
Då hade vårdens arbetsverktyg knappast varit den bästa lösningen utan man skulle jobbat på att ge patienten information i den form och på det sätt som gör det enkelt att ta till sig.
Bortsett från detta så påbörjades under början av 2000-talet i landstingsvärlden projekt med målsättning att tillgängliggöra journalen via nätet.
Observera att detta endast handlar envägskommunikation – att patienten får möjlighet att journalen.
Trots att dessa initiativ pågick bland huvudmännen bestämde Göran Hägglund som socialminister att ett nationellt initiativ skulle inledas för att patientjournaler skulle göras tillgängliga i en tjänst där de kunde användas av tredjeparter efter patientens initiativ.
Jag ser det här som ett utslag av att både e-hälsa och e-förvaltning starkt präglades av att under åren runt decennieskiftet ses som en näringsfråga, d.v.s.
de personuppgifter som myndigheter samlar in ska ses som råvara för privata tjänsteleverantörer.
Do´nt get me started – utrymmer räcker inte till för dra upp alla negativa aspekter av detta… Låt mig istället nöja mig med att detta var en lösning med så många problem inte minst säkerhetsmässigt att den skulle ha lagt sig i byrålådan på ett mycket tidigt stadium.
Nu är det stoppat av Datainspektionen även om eHälsomyndigheten fortsätter att processa stödda av en landets mest exklusiva advokatbyråer till en kostnad på drygt 1,5 miljoner bara 2017 (jag har kollat).
För att summera: det har alltså pågått två parallella projekt utan samordning, så vitt jag kan se, för att överföra information från journal till patienter.
Man har inte i lösningarna tagit höjd för hur behovet att patienten med tillräcklig kvalitet och säkerhet ska kunna föra tillbaka uppgifter till vården – en fråga som i sig är en av grundvalarna i en utvecklad e-hälsa.
Exemplet visar mycket tydligt att det inte finns en gemensam plan, behovsanalys eller medvetenhet om att man bygger en gemensam infrastruktur.
Min erfarenhet från olika sammanhang inom området är det också ofta saknas vilja att ta vara på professionernas intresse av fungerande arbetsverktyg eller etiska krav.
Tråkigt nog tycker jag inte att arbetstagarorganisationerna varit särskilt skickliga på att samla och driva sina medlemmars olika behov, detta är dock bara mer än känslomässig upplevelse från konferensbord och från att ha tagit del av olika debattinlägg.
Trots att alla aktörer med emfas skulle säga att de starkt vurmar för patients intresse kan jag tycka att det är väl lätt att utan fog göra sig till patientens företrädare.
Framför allt är det svårt att hitta insikten i att patienter är vi alla och på samma sätt som vi har väldigt olika syn och intressen i andra frågor har vi det även som patienter.
Ett flagrant exempel på detta är de som ständigt ställer patientsäkerhet mot integritet.
Eller inte erkänner att om en välsituerad grupp använder kommersiella nätläkare för att lindra myggbett så kommer det att inkräkta på andra patienters intressen.
Även här måste finnas en mycket större helhetstanke där e-hälsan sätts i sitt rätta sammanhang.
Slutligen kan jag inte underlåta att gå in på integritetsfrågan och hur det gick när jag försökte begära ut mina personuppgifter från vården.
Även detta är en god illustration av läget.
Först till den juridiska historiken som går att scrolla förbi om man inte är intresserad men den har rätt stor betydelse för det praktiska utlämnandet av personuppgifter.
Enligt den gamla patientjournallagen hade varje vårdgivare ansvar för sin egen journal och om uppgifterna behövdes hos en annan vårdgivare måste vissa mått och steg vidtas.
En ansvarig läkare hos vårdgivare A måste göra en menprövning om det var till men eller gagn för patienten att uppgifterna lämnades ut.
Lämnades uppgifter ut skulle ett journalnotat göras om när, vad och till vem uppgifter lämnats ut och hos vårdgivare B fördes uppgifterna in som ”kopia”.
Hela förfarandet hade fördelar som att det gav mycket god spårbarhet, patienten kunde eventuellt förhindra att information lämnades vidare om man ville skydda sin integritet och det var inte hela journalen som lämnades vidare utan bara relevanta delar.
Jag vill bara påpeka dessa fördelar utan att för den delen behöva anklagas för att vara bakåtsträvare för naturligtvis är detta regler som är svåra att upprätthålla i ett digitalt flöde.
Och, ja, jag är väl medveten om att reglerna inte alltid efterlevdes.
Min poäng är att dessa säkerhetsåtgärder inte ersattes av motsvarande funktioner när patientdatalagen (PDL) infördes.
Mitt intryck efter att ha följt frågan om vårdinformation tämligen ingående sedan 1994 är att det inte ens fanns en ambition att göra det.
Denna min uppfattning stärks när jag läser förarbetena till lagstiftningen.
Jag ser patientdatalagen som ett resultat av mer än ett decenniums påverkanskampanj från olika aktörer med innebörden att säkerhet och integritet inte går att förena med digitaliseringen utan man måste välja.
Valet blev då tämligen enkelt eftersom den tekniska och organisatoriska förändringen redan genomförts.
Resultatet, förutom allt newspeak där dålig säkerhet var bra säkerhet o.s.v., var att i patientdatalagen infördes ”sammanhållen journalföring” som enligt lagens definition betyder: Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.
I och med patientdatalagen ändrades grundprincipen för hanteringen av journaluppgifter från att det tidigare defaultläget var att en vårdgivare inte kunde lämna ut uppgifter utan menprövning till nuvarande defaultläge: att information kan flöda mellan vårdgivare om inte patienten aktivt spärrar utlämnandet.
Ett villkor som satts upp för den sammanhållna journalföringen: Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att andra uppgifter än dem som anges i görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.
En sjuk patient ska alltså ta till sig information om hur informationen kommer att hanteras och dessutom ha kraft genomdriva en spärr om hen bedömer att överföringen olämplig.
Några saker bör särskilt noteras i detta redan orimliga scenario.
För det första innebär direktåtkomsten att vårdgivare 2 får tillgång till vårdinformation hos vårdgivare 1 istället för som tidigare ett journalutdrag över information som bedöms vara relevant för det aktuella sjukdomstillfället.
För det andra förutsätter det att vårdpersonalen hos vårdgivare 1 kan ge upplysningar om hur informationen kommer att hanteras i den sammanhållna journalföringen, vilka som kommer att få tillgång till den exempelvis.
Min visserligen anekdotiska men ändå uppfattning efter att ha frågat ett ganska stort antal anställda i vården finns inte en kunskap inom vården hur informationen hanteras och hur ska då personalen kunna upplysa patienten?
Detta är inte så konstigt för jag tror uppriktigt inte någon idag har kontroll över informationsflödena i vården.
För det tredje lyser ett decennium efter PDL:s ikraftträdande fortfarande möjligheten att faktiskt spärra sin journal med sin frånvaro hos ett stort antal vårdgivare.
I praktiken kan jag inte se att patienten har någon reell möjlighet att vare sig få veta hur den egna vårdinformationen hanteras eller att påverka åtkomsten till den.
Med stöd av den sammanhållna journalföringen har det vuxit fram en vårdinformationsspaghetti där det vad jag kunnat se inte finns vare sig överblick, tydlig styrning eller definierade ansvar.
Detta leder också till att när jag hos min vårdgivare frågar: ”Gör ni journalnotat om vilka samtycken till andra vårdgivare jag givit så att jag kan få en sammanställning över vilka som fått åtkomst till mina uppgifter?” får till svar ” Nej, det finns i dagsläget ingen sådan funktion i COSMIC men detta är under utveckling, det vill säga en samtyckestjänst.
Vi dokumenterar inte i x:s journal andra vårdgivares samtycken, detta är var och ens eget ansvar.
När någon inhämtar ett samtycke i COSMIC så genererar detta en logg samt en referens i journalen.”.
Det vill säga att den vårdgivare som lämnar ifrån sig informationen noterar inte detta utan patienten förväntas ansvara för spårbarheten.
Jag vände mig då till Inera som ansvarar för tjänsten Nationell Patientöversikt som är en slags växel då vårdinformation förs mellan olika vårdgivare.
På frågan om de kan redovisa vilka som eventuellt tagit del av min vårdinformation svarar de: ”Samtycke måste alltid inhämtas av den vårdgivare som ska ta del av din information i NPÖ.
Samtycket ska registreras i det lokala journalsystemet hos den aktuella vårdgivaren.
Det tekniska samtycket loggas i den nationella säkerhetstjänsten som förvaltas av Inera.
Det finns ingen dokumentation från journalinformation och inte heller någon information om varför samtycket har inhämtats.” Deras uppfattning är alltså att de endast har ”tekniska loggar” och att jag fortfarande själv måste hålla reda på mina samtycken trots digitaliseringen.
Det framgår också att de anser att de tekniska loggarna inte är att betrakta som personuppgifter.
Jag har valt att inte fördjupa mig ytterligare i detta men hoppas att andra tar upp den tråden.
Sammantaget skulle jag vilja säga att detta rimmar rätt illa med dataskyddsförordningens krav.
Min egentliga poäng med att försöka beskriva att oreda, de oklara ansvarsförhållandena och bristande överblick är att detta naturligtvis inte bara påverkar patientens möjlighet till personlig integritet.
I ännu högre grad påverkas effektivitet, patientsäkerheten och möjligheten att upprätthålla verksamheten vid större störningar.Särskilt bekymmersamt är det oklara ansvaret som även andra Vad blir då kontentan av allt detta?
Jag tror faktiskt inte huvudfrågan är huruvida sjukvården ska förstatligas utan hur den ska styras (även om jag i dagsläget har litet svårt att se exakt vilket värde den regionala politiska styrningen tillför).
Oavsett om det finns 2 eller 200 000 vårdgivare så måste det finnas en stark statlig styrning som då inte enbart omfattar den offentligt finansierade slutenvården som ett förstatligande skulle innebära.
Den nuvarande bristen på styrningen tjänar såvitt jag kan se enbart oseriösa leverantörer på och möjligen de offentliga företrädare som älskar att åka omkring på olika konferenser och framställa sig som visionära.
Situationen där myndigheter processar mot varandra vittnar väl om något om den rådande anarkin.
Om vi inte klarar av att styra digitaliseringen av vården idag så blir tanken på AI och IoT mardrömslik.
Mina förslag är därför att på äktsvenskt maner tillsätta flera rejäla utredningar men med skillnad från de tidigare inte bilägga facit från uppdragsgivaren.
Jag ser framför mig en handfull utredningar inom olika områden men som är starkt koordinerade så att resultaten går att använda.
Viktigt är att ta hänsyn till de mångskiftande intressen som hälso- och sjukvården ska tjäna, inklusive professionernas och forskningens behov på kort och lång sikt.
Inriktningen bör vara att på samma sätt som på 1940-talet bygga en långsiktigt fungerande infrastruktur i bred politisk enighet.
Några förslag (jag tar inte med komplicerade saker som prioriteringar i vården och patienters egentliga intressen): Puh!
Jag vill verkligen inte påstå att jag kommit med de definitiva sanningarna i dessa komplicerade frågor – det finns så många olika sätt att betrakta den svenska e-hälsan.
Säkert har jag missuppfattat eller vantolkat en massa saker.
Mitt enda försvar är att jag efter bästa förmåga försökt måla upp bild av e-hälsa.
Förhoppningsvis kan dessa långa inlägg stimulera andra att dela bild av samma frågor.
I maj när dataskyddsförordningen trädde i kraft inledde jag ett test: att genom att ställa frågor om hur mina personuppgifter hanterades i vården ville jag göra en temperaturmätning av den kontroll som vården generellt har över vårdinformationen.
För hälso- och sjukvård innebär (i princip) inte dataskyddsförordningen någon så stor skillnad eftersom både patientdatalagen och PuL redan gett patienten möjlighet att få tillgång till sin information och (i teorin) spärra åtkomsten till sin vårdinformation.
I verkligheten är det och har det sedan patientdatalagen varit svårt för att inte säga omöjligt att få veta hur patientuppgifter hanteras – det är i alla fall min uppfattning som jag ville pröva genom att begära upplysningar om mina egna vårduppgifter med stöd av dataskyddsförordningen.
Svaren på mina frågor var negativa (vilket jag kommer att återkomma till senare) men jag fick underlag rörande dagssituationen inom e-hälsoområdet.
Detta inlägg svävar ut in extremis och handlar om i vilket landskap som digitalisering av vårdinformationen sker.
Jag ska resonera om den bristande styrningen av e-hälsa samt pusta ut orosmoln om informationssäkerhet och det långsiktiga bevarandet av vårdinformationen.
I ett följande inlägg kommer jag att skriva mer om den bakomliggande juridiken.
Först till organisationen av den svenska sjukvården som förvånansvärt många som gör inlägg i e-hälsofrågor inte tycks bottna helt i. Tillåt mig att roa mig med en historisk utflykt.
Den svenska vården är i huvudsak offentligt finansierad via skattemedel.
Det regionala ansvarar för att erbjuda vård inom det egna upptagningsområdet enligt hälsosjukvårdslagen.
Men landstingen och regioner behöver inte själva vara utförare av all vård utan kan även vara privata.
Andelen privata vårdgivare har tillväxt mycket starkt under de senaste 20 åren men strukturen med självständiga landsting som sjukvårdshuvudmän har funnits sedan 1862 (med varierande uppdrag).
Redan här finns underlag för vanliga missuppfattningar om ansvar men också reella problem eftersom de flesta krav i föreskrifter m.m.
riktas mot vårdgivarna och inte sjukvårdshuvudmännen.
När det gäller säkerhet och integritet har dock vårdgivarna inte så stora möjligheter att påverka sin situation trots att de har ansvaret – de tvingas (formellt eller informellt) ofta av sjukvårdshuvudmän, SKL eller myndigheter att använda lösningar oavsett egna säkerhetskrav.
Landstingen är kommuner med en politisk ledning vilket gör att inriktningen för olika landsting och regioner kan variera.
För e-hälsan som av naturliga skäl blir allt mer nationell är detta en ansvarsfördelning som innebär stora problem, inte minst eftersom landstingspolitiker använt rollen för egna, i mitt tycke kortsiktiga, kampanjer.
En misstanke som gror är att e-hälsa används av politiker för att undkomma att diskutera den offentligt finansierade vårdens grundfråga: den nödvändiga prioriteringen.
Det är ett väl känt faktum att det inte finns någon bortre gräns för behovet av vård, det finns hela tiden nya sjukdomar och tillstånd som kan behandlas och definitionen av hälsa kan sättas så högt att inte minsta krämpa blir acceptabel.
Däremot är vårdens resurser begränsade – alltså måste prioriteringar ske.
Detta är den mest laddade av alla frågor för sjukvårdspolitiker eftersom prioriteringar ofelbart kommer att leda till att några patienter blir missnöjda.
Den som tillsattes i slutet av nittiotalet för att ge de lokala politikerna stöd i form av nationella prioriteringslistor släppte också snabbt den glödheta potatisen och lämnande ifrån sig litet allmänna rekommendationer om hur processen för prioriteringar skulle kunna ske .
Min teori är att politiker och högre tjänstemän i vården nu (omedvetet) använder e-hälsa som en dimridå för att undvika frågan om prioriteringar genom att hävda att e-hälsosatsningar skulle kunna leda till enorma effektivitetsvinster (som då underförstått skulle leda till att får den vård de vill ha).
I verkligheten sker en mycket negativ icke-styrd prioritering av sjukvårdsmedel genom bland annat kommersiella nätläkare där en ohelig allians mellan nätläkarnas ekonomiska intresse och människor med lättare krämpor prioriterar upp sig på bekostnad av andra med reella hälsoproblem.
En hårdvinklad beskrivning men ni förstår vad jag menar.
Detta sätter stark press på sjukvårdspolitiker som i vissa fall måste säga nej men hellre säger att e-hälsa kommer att lösa problemen.
Själv är jag positiv till de former av e-hälsa som leder till reella förbättringar men att tro att den ska kunna upphäva den omöjliga ekvationen mellan outtömliga behov och begränsade resurser är en vanföreställning som ansvarsfulla politiker borde göra upp med.
En annan viktig negativ faktor är SKL:s förändrade roll.
SKL driver sina medlemsorganisationers intressen i förhållande gentemot uppdragsgivaren staten, d.v.s.
att man vill att staten ska styra så litet som möjligt (även om det inte uttrycks preeeecis så) vilket ökar på fragmentiseringen ytterligare.
Den tidigare sammanhållande myndigheten Socialstyrelsen som var en beredande motpart för SKL blev sönderslagen för några år sedan.
Uppgifterna är nu fördelade på fyra myndigheter som tillsammans med Läkemedelsverket tycks ha ett tämligen lågintensivt samarbete.
SKL och sjukvårdshuvudmännen agerar som månghövdad maktfaktor utan eget ansvar i det tomrum som skapades när Socialstyrelsen nedmonterades.
Dessutom står e-hälsoområdet under ett starkt kommersiellt intresse, inte bara genom nätläkarna.
Den nära alliansen mellan känns inte helt betryggande för det kommande.
I den tidigare regeringen var två av hälso- och sjukvårdsministerns statssekreterare hämtade från it-leverantörer vilket Dagens samhälle skrev om förra året.
Förväntan på stora vinster inom vården och en kanske alltför nära relation är knappast positiva nyheter för patienter och skattebetalare.
Eftersom jag intresserat mig en hel del för den svenska sjukvårdens historia kan jag inte undgå att fundera över att maktbalansen mellan staten som är uppdragsgivaren och utförarna, d.v.s.
sjukvårdshuvudmännen (regioner och landsting) samt numera SKL, har förskjutits.
Att göra historiska jämförelser är alltid vanskligt men för mig går det inte att motstå frestelsen att försöka analysera varför e-hälsa och digitalisering relativt sett varit så litet framgångsrika samhällsprojekt i förhållande till de resurser som satsat.
Hade det gått att prata fram e-hälsa och digitalisering hade det svenska samhället genomgått ett Civilization-moment där den framgångsrike spelaren lyckas uppfinna elektricitet på 1100-talet.
Men tyvärr räcker det inte med miljontals power point bilder, konferensinlägg, möten, testbäddar och avgränsade dellösningar för att skapa infrastruktur.
I detta delar jag uppfattningen i om floden av åsikter.
Jag tror mig att se några orsaker till det haltande genomförandet av något som trots allt alla varit överens om ska genomföras.
Detta är en situation som i mycket liknar den som rådde från slutet av fyrtiotalet och i ett par decennier framåt då det skedde en så här i efterhand nästan ofattbar mobilisering och utbyggnad av den svenska hälso- och sjukvården.
När jag skrev en historik om den värmländska sjukvården häpnade jag över att landstinget under en tioårsperiod byggde inte mindre än fyra nya sjukhus!
Även om jag är starkt lockad ska jag inte gräva ner mig ytterligare i detta utan bara tacksamt konstatera att den samhälleliga kraftsamling är något som vi nu fortsätter att skörda frukterna av.
Hur kunde man lyckas med denna infrastrukturella revolution?
En första förutsättning var att det fanns en stark politisk enighet om att detta skulle genomföras även från de borgerliga partierna som annars kampanjade för skattesänkningar.
Men till skillnad mot e-hälsoutvecklingen (liksom digitaliseringen i övrigt) nöjde man sig inte med den politiska enigheten utan skapade även de institutionella förutsättningarna (för den som vill läsa mer om institutionella förutsättningar rekommenderar jag verkligen att läsa litet Lennart Lundqvist eller Bo Rothstein) för utbyggnad.
En viktig sådan var att skapa ett mycket genomarbetat kunskapsunderlag att ta ut riktningen ifrån.
I detta var utredningsväsendet mycket betydelsefullt, de utredningsinsatser som gjordes var av mycket hög kvalitet.
Häri ligger en väsentlig skillnad mot de utredningar och kommittéer som levererat förslag inom digitalisering och e-hälsa, jag nöjer mig med att instämma i de synpunkter som framförs i den här .
I utvecklingen fanns en mycket kraftfull och sammanhållande motor i Medicinalstyrelsen, sedermera Socialstyrelsen.
Det är idag nästan svårt att förstå hur inflytelserik myndigheten var och på vilken detaljnivå man styrde sjukvården.
Om vi bara ser till vårdbyggnader fanns det ett regelverk som ner till hur många luftkubik per vårdplats definierade hur sjukhusen skulle byggas.
Varje ritning på ny- eller ombyggnad måste skickas in för godkännande och stränga inspektörer åkte ut och kontrollerade att det som byggts höll måttet.
Landstingen var byggherrar och hade det praktiska ansvaret för byggande och vård men deras intressen samlade ingen front i Landstingsförbundet (en del av SKL:s föregångare tillsammans med Kommunförbundet) utan gick huvudsakligen via riksdagen.
Där fanns det som kallades ”landstingspartiet” eller ”landstingsbänken” där landstingsordförande som nästan undantagslöst även vara riksdagsmän kunde driva sina frågor – ofta i gott samförstånd oavsett partipolitisk tillhörighet.
Även detta var en viktig institutionell förutsättning eftersom det då fanns etablerade och lagfästa former för att lösa intressemotsättningar.
Idag är situationen radikalt annorlunda.
En viktig skillnad är förstås att det kommit in så många privata aktörer men också att när de gamla institutionerna revs ner ersattes de inte av nya som skulle varit verkningsfulla då man anammade new public management som grundfilosofi för den svenska vården.
Jag är för tillfället inne på att försöken att uppnå effektiv digitalisering och e-hälsa är bland de bästa exemplen på hur new public management på ett negativt sätt präglat svensk offentlig sektor.
Resultatet har bland annat blivit att Socialstyrelsen i accelererande takt fråntagits mandat och att sammanhållen utveckling ersatts med fragmentisering.
Intresseorganisationen SKL tycks inte heller längre gå via en beredning på myndighetsnivå utan direkt på regeringen och jag har t.o.m.
läst meningar som att ”regeringen bör SKL i uppdrag …”.
Den geografiska uppdelningen av ansvar var under perioden mindre problematisk än idag eftersom större delen av vårdens uppgifter kunde lösas inom varje landstings hank och stör.
När digitaliseringen tog fart i början av nittiotalet skapades överbryggande strukturer som exempelvis Sjunet och sedermera Carelink.
Nu finns både eHälsomyndigheten och Inera m.fl.
som utan tydlig gemensam strategi eller regelverk grejar i infrastrukturen.
Bortsett från det negativa i att sakna gemensam styrning ser jag det inte heller som problemfritt när digitalisering och e-hälsa blir frikopplade från den kärnverksamhet de ska utgöra stödfunktion för.
En annan aspekt som tycks ha glömts bort är vårdinformationens långsiktiga betydelse både för den enskilda patienten och för forskningen.
För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård.
Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades).
Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman.
Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän.
Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring.
Alla sjukvårdshuvudmän (alltså landsting/regioner) utom en om jag kommer ihåg rätt hade åtagit sig att bevara alla läkarförda journaler för all framtid.
Bakgrunden till detta var den enorma betydelse som den vårdinformation som arkiverats från sjuttonhundratalet och framåt haft för den svenska forskningen.
I PDL är kravet att en journal ska bevaras i minst tio är efter att sista anteckningen förts in i handlingen samt att journaler som allmänna handlingar ska hanteras som sådana.
Det är ungefär vad som stod i patientjournallagen också men nu är kontexten radikalt annorlunda och även innebörden av begreppen – vad är ens en ”handling” i dagens vårdinformation?
Bara den förändringen att betydligt mindre andel av vårdinformationen är allmänna handlingar och därmed kan gallras av den enskilda vårdgivaren är en stor risk.
Vissa sjukvårdshuvudmän har försökt reglera arkivfrågan i avtal med de privata vårdgivarna men detta är knappast tillräckligt.
Redan idag är det som presenteras på skärmen hos en vårdgivare en sammanställning av information ur en rad system och tjänster som kan finnas både inom och utom vårdgivarens organisation.
Detta är bara inledning av en utveckling där informationshanteringen kommer att bli organisatoriskt och tekniskt allt mer komplex.
För att bevara denna gigantiska informationsmassa för framtiden för att kunna serva patienter som envisas med att leva i bortåt ett sekel och för att kunna ge underlag för livsviktig forskning räcker det inte med att litet svävande beskriva ”e-arkiv”.
För mig är detta en mycket bekymmersam fråga och det förvånar mig att varken Riksarkivet eller de utredningar som genomförts gällande registerforskningen intresserat sig för detta.
Så här i slutet av litanian vill jag inte på något sätt hävda att vi kan använda gårdagens lösningar idag.
Däremot tror jag att det finns mycket att vinna på att ha ett historiskt perspektiv.
I detta fall vill jag lyfta fram behovet av kvalitativa kunskapsunderlag som är parlamentariskt förankrade, en långsiktig väl definierad inriktning, institutionella förutsättningar anpassade efter aktuell situation och en sammanhållande kraft med mandat att genomdriva beslutade lösningar.
Framför allt tror jag att vi måste erkänna att det finns intressemotsättningar och lyfta fram dem i ljuset för att kunna diskutera hur de ska lösas.
Ofta framhålls svårigheten med den geografiska uppdelningen, minst lika stor är den som handlar om de inte helt kompatibla intressena privata utförare och den offentliga finansieringen.
Hur dessa intressen ska balanseras mot varandra har hittills varit en icke-fråga i e-hälsosammanhang.
Det har vi inte råd att låta den fortsätta vara.
Om vi ska klara upprätthålla den väsentliga del i välfärdssamhället som den offentligt finansierade sjukvården utgör och dessutom införa dataskyddsförordning, NIS-direktiv, civil beredskap och allt annat så måste vi ändra bilden av e-hälsa.
Det handlar inte om att släppa ner litet slumpmässiga tekniska lösningar (gärna efter påtryckning av olika leverantörer) utan att se att det kräver samma mobilisering, organisation och koordinering som då sjukvården byggdes ut under efterkrigstiden.
Och glöm inte forskningen!
Den första frågan i min enkät var huruvida myndigheten, landstinget respektive kommunen tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1.
Det var en klumpigt formulerad fråga eftersom RA-FS naturligtvis bara gäller statliga myndigheter.
Min tanke var dock i all enkelhet att även om det inte finns en föreskrift om att planera sitt långsiktiga bevarande av digital information direkt riktad till den egna verksamheten så borde det ändå vara nödvändigt att ha en strategi för att kunna efterleva alla andra krav som finns på att informationen bevaras i exempelvis vårddokumentation.
För en arkivarie borde detta också vara kärnuppdraget: att ta fram en inriktning för det långsiktiga bevarandet.
För att friska upp minnet på de enstaka människor som inte har alla sina RA-FS:ar färskt i minnet så är kravet i 3 kap 1 § i RA-FS 2009:1 formulerat så här: 1 § Myndigheten ska upprätta en strategi för bevarande av elektroniska handlingar.
Av strategin ska framgå vilka åtgärder myndigheten avser att vidta för att säkerställa ett bevarande av handlingarna.
Åtgärderna ska dokumenteras i enlighet med 2 §.
Strategin ska fortlöpande kompletteras och hållas aktuell. . Med åtgärder avses hur elektroniska handlingar ska framställas, överföras, hanteras, förvaras och vårdas under den tid som de ska bevaras.
Myndigheten bör vid planeringen av system och rutiner, i enlighet med bestämmelserna i 6 § arkivförordningen (1991:446), samråda med arkivmyndigheten.
Därefter följer mer detaljerade krav på vad strategin ska innehålla men i min enkät nöjde jag mig att efterfråga själva befintligheten av en strategi.
Innan jag går vidare gör jag här en liten utvikning om förutsättningarna för ett långsiktigt bevarande.
En reflektion jag gör när jag läser Riksarkivets krav är inriktningen på system, teknik och handlingar.
Detta rimmar, menar jag, inte helt med kravet på en processorienterad arkivredovisning som finns i RA-FS 2008:4.
Till detta kommer de förvaltningsgemensamma specifikationerna som inte heller är processinriktade.
De e-arkivlösningar som presenteras som verkar vara helt inriktade på att lyfta över information från ett system till ett annat utan någon koppling till process såvitt jag kunnat utröna.
Jag är dessutom osäker på hur OAIS-modellen ska tillämpas i relation till processer.
Det framstår som det finns ett antal komponenter som det långsiktiga bevarandet ska bygga på men att dessa inte är helt koordinerade.
När jag läser de kravspecifikationer som tagits fram för e-arkiv verkar det vara de tekniska kraven som kommit i förgrunden och tyvärr på ett ganska daterat sätt.
Att prata om system i en tid då allt mer information hanteras i molntjänster kan få ganska ödesdigra konsekvenser för arkivbildnigen.
Det är synd för jag tror inte att de tekniska aspekterna är det som främst utgör ett hinder för att lyckas med ett långsiktigt bevarande.
Den här frågan går inte heller att hantera i bitar utan måste ses som en sammanfogad helhet som vilar på en solid teoretisk grund, och det är den grunden som jag uppfatta är undflyende i de resonemang som förs.
För mig som arkivteoretisk nörd skulle det optimala vara det processorienterade perspektivet var genomgående som strukturerande princip för att knyta ihop verksamhet och information, självklart ända in i det digitala långtidsbevarandet.
Konkret skulle vi kunna försöka utveckla proveniensbegreppet till att förutom den inre och yttre proveniensen även omfatta en processproveniens.
Proveniensen har ett antal funktioner för arkivbildningen som att ge informationen ett mervärde då den sätts i organisatoriska kontext, att skapa autenticitet och att ge oss de bästa möjligheterna för att kunna återsöka information.
Dessutom som redan den store Nils Nilsson underströk: de processuella värdena.
Om vi nu tar tanken med de processuella värdena och sammanför det med ett proveniensbegrepp i det långsiktiga bevarandet skulle vi kunna utveckla helt nya lösningar.
Det känns aningen pinsamt att dra upp gamla texter stup i kvarten men faktiskt skrev jag i Arkiv, samhälle och forskning redan 1997 en artikel, (AFS 1997:3 – det går tyvärr inte att länka till den) som försöker resonera om hur nya tekniska lösningar ändrar förutsättningarna för arkivteorins grundpelare.
Mycket i texten är kanske passerat men något som jag ändå tycker fortfarande förtjänar att poängteras är skillnaden mellan Müller, Feith och Fruins öppna förhållningssätt till vad som avgränsar den yttre proveniensen där de om och helhet.
I Sverige, till skillnad mot i andra länder, har arkivbildarbegreppet blivit manifest och alltid kopplat till en enskild organisation.
Om vi nu tittar på världen såsom den ser ut med snabba omorganisationer och en alltmer gemensam informationsinfrastruktur – borde vi inte då skruva upp processbegreppets betydelse och samtidigt något tona ner arkivbildarbegreppet för att uppnå det vi ska proveniensprincipen till?
Med dagens tekniska lösningar menar jag att detta vore fullt möjligt att både hitta lösningar som ger en bättre proveniens samtidigt som de skulle ge effektivitet och minskade kostnader.
För att ta ett enkelt exempel skulle det menar jag var betydligt bättre att identifiera ett antal större samhällsprocesser som varat över tid i olika former och redovisa informationen per process som första steg och därefter arkivbildare.
Ta exempelvis folkskolan som fram till 1930-talet hade kyrkan som huvudman, därefter staten och nu kommunerna medan verksamheten i huvudsak varit densamma.
För att ge bättre överblick och även proveniens skulle informationen kunna vara sökbar både per process och per arkivbildare.
Jag vill bara hinta med vad detta skulle innebära när det gäller vårdinformation där det idag är stora problem att avgöra vilken information som finns var och vem som är ansvarig för den.
Med en processorientering vid en omorganisation skulle det också vara möjligt att låta den digitala informationen vara tillgänglig både i den avslutade arkivbildningen och som överförd i den nya (ja, jag vet att man måste lösa utnämningsfrågan men det känns som ett mindre aber).
För det långsiktiga bevarandet menar jag att dessa frågeställningar har stor betydelse eftersom de både avgör arkivbildningens värde, möjligheten till återsökbarhet och inte minst ansvarsfördelningen.
Men låt oss lämna mina tankar i frågan och istället se hur de myndigheter, kommuner och landsting som svarat på enkät hanterat frågan.
Av de kommuner som svarat är det bara två som säger ett tydligt ”ja” på frågan om de tagit fram en strategi i linje RA-FS.
En handfull svarar att de gjort det som medlemmar i Sydarkivera, ytterligare några säger att de är på gång eller har strategisk inriktning i andra dokument men det absoluta flertalet uppger sig inte ha någon strategi.
Bland landstingen är det ingen av de svarande utom en region som anser sig ha en strategi motsvarande kravställningen i RA-FS 2009:1 men några har reglerat delelement i ett långtidslagrande som format.
Det man kan se i svaren är att många kommuner, landsting och regioner har försökt hitta olika typer av samarbetsformer för att gemensamt ta fram en inriktning där den mest framgångsrika tycks vara Sydarkivera.
Många respondenter uttrycker att frågan är svår att hantera autonomt eftersom man inte har kompetens eller resurser att ens utreda hur långtidsbevarandet skulle kunna gå till.
Och som någon påpekar ”Vi kommuner har ju ett speciellt förhållande till Riksarkivets föreskrifter.”, det vill säga att man kan välja att efterleva dem men det är inget tungt argument eftersom man inte är skyldig att följa dem.
är en imponerande ansats men inte heller den ger de svar som behövs.
Från myndigheterna har jag fått in svar där c.a.
50 myndigheter säger sig ha en strategi av vilka flertalet även bifogat strategin.
Det förekommer en hel del disclaimers av typen ”den har några år på nacken” eller ”vi håller på att omarbeta den”.
Ett antal myndigheter skriver också att de håller på att ta fram en strategi.
Det är ett rätt omfattande material att tränga igenom men det finns ändå några gemensamma drag som jag här ska sammanfatta i några punkter (observera att detta är generaliseringar – undantag finns).
Jag är också angelägen om att återigen understryka att frågans komplexitet som ställer nästintill orimliga krav de enskilda myndigheterna.
Först en glädjande observation: få myndigheter har idag som uttalad strategi att ta ut digital information i pappersformat för arkivering.
Visserligen förekommer detta fortfarande i verkligheten trots de mycket stora informationsförluster som detta leder till men nu är ambitionen åtminstone att komma vidare med ett kvalitativt bevarande av digital information.
De flesta strategier följer, föga förvånande, RA-FS:ens krav.
Efterlevnaden kan uppfattas som litet väl hörsam eftersom det i vissa fall blir en upprepning av vad som står i RA-FS med tillägget att ”det ska vi göra”.
Men det finns också många som gjort stora insatser för att beskriva hur den digitala informationen ska omhändertas konkret och i detalj.
Det gör att vissa av dokumenten kanske inte egentligen är strategier utan mer av riktlinjer eller instruktioner.
Genomgående är att myndigheterna har avgränsat scoopet för strategin till den egna verksamhetens verksamhetssystem eller förvaltningsobjekt trots att dagens e-förvaltning i allt högre grad innebär integrerade informationshanteringslösningar.
I de fall där det av strategierna ändå framgår att myndigheten ingår i myndighetsövergripande informationshantering nämns inte vad jag kunnat upptäcka hur detta ska hanteras arkivbildningsmässigt.
Jag kan inte se att eSam (en efterföljare till E-delegationen) ger någon vägledning i hur frågan ska omhändertas vare sig strategiskt eller operativt, teoretiskt eller .
Om jag ska utnämna en fråga som särskilt oroande är det just denna – att det skapas allt större allmänna handlingar där ansvaret för den långsiktiga hanteringen är till synes oklart.
Att för den enskilda myndigheten göra de utredningsinsatser som krävs för att lösa frågeställningen och därefter få accept på detta i ett större sammanhang framstår inte som en optimal inriktning.
Föreskriften är från 2009 och är som jag tidigare redovisat inriktad på system och elektroniska handlingar.
Det är sannolikt bakgrunden till att de strategier som jag tagit del av också är det.
Det handlar om verksamhetssystem, inte tjänster och inte heller processer, samt är i hel del fall länkade till myndighetens systemförvaltningsmodell.
Vissa formuleringar skulle kunna tolkas som att strategierna är tillämpbara även på tjänster.
Elektroniska handlingar kan förekomma även i tjänster och tjänster skulle kunna vara förvaltningsobjekt.
Sådana möjliga tolkningar verifieras dock inte i de mer instruktionslika tillvägagångssätt som ingår i strategierna.
Koppling till processorienterad arkivredovisning saknas ofta men man ser ansträngningar för att integrera arkivredovisning och bevarandeplaner (möjligen även klassificeringsstrukturer) på ett bra sätt men det framgår inte hur.
Trots det tekniska perspektivet är det svårt att se en verkligt strategisk inriktning i strategierna.
Man pekar ibland på att man valt en viss programvara eller en viss tjänst för lagring men inte för hur länge.
Ibland omnämns att överlämning till arkivmyndigheten inte är aktuellt, ibland berörs inte slutarkivering alls.
Sammantaget är jag imponerad av den kompetens som arkivarier lagt in i sina strategier.
Även om jag inte sett en strategi som jag tycker uppfyller alla krav så finns det en stor gemensam resurs i de många strategierna att crowd-sourca ur för att kanske skapa en gemensam linje.
Ur ett forsknings- och kulturarvsperspektiv finns det dock anledning att vara bekymrad.
Det finns en inte oväsentlig risk inte bara för att information inte arkiveras utan också för att den information som verkligen tas om hand kommer att sakna tillräcklig proveniens, kontext och återsökningsmöjligheter.
För mig är informationsförvaltning och informationssäkerhet nära sammanhängande frågor med många gemensamma förutsättningar och problem.
Det största gemensamma problemet är kanske att de sällan integreras sinsemellan och inte heller med det som kallas digitalisering.
Eftersom jag fått uppdrag att skriva en bok om dessa frågor började jag fundera på hur jag skulle få en bättre bild av hur sambanden ser ut i praktiken.
En fråga som utkristalliserade sig var e-arkiv som en del av informationsförvaltningen.
För att kunna förstå frågan på rätt sätt är det viktigt att först analysera betydelsen av ”arkiv” och därmed av ”e-arkiv”.
Trots att det både säljs och köps s.k.
e-arkivlösningar finns det ingen definition av vad detta skulle kunna vara.
Jag kommer att återkomma till denna fråga i ett senare inlägg men här nöjer jag mig med att utgå från att e-arkiv är en process för att långsiktigt bevara digital information med autenticitet, spårbarhet, konfidentialitet, sökbarhet samt med processuella värden i behåll.
Samtliga dessa krav kan finnas i olika grad beroende på den information som ska bevaras.
Den som delar min bedömning om vad ska ses som ett e-arkiv är sannolikt beredd på att acceptera att informationssäkerhet och e-arkiv har starkt inbördes beroende.
Min utgångspunkt är också att en stor del av allmänna handlingar ska bevaras över tid liksom en inte obetydlig del av den information som produceras i privata verksamheter.
Även om kraven på konfidentialitet och tillgänglighet i de flesta fall klingar av så är ändå slutsatsen att e-arkivlösningar måste kunna erbjuda minst lika bra informationssäkerhet som de digitala lösningar som hanterar informationens mer aktiva skeden.
För e-arkivet ökar istället kraven på autenticitet som kan sägas vara en kombination av spårbarhet och riktighet.
Genom den aggregering av information som planeras i många e-arkivlösningar ökar också kraven på att skydda mot obehörig åtkomst.
Utan att utveckla detta ytterligare så måste med dessa förutsättningar ett mycket aktivtomge e-arkiven med riskanalyser och informationsklassning m.m.
på minst samma nivå som för andra digitala lösningar.
I en allt mer digital värld är jag också mycket nyfiken på hur dessa frågor ska lösas nationellt och om vi inte måste tänka på ett annat sätt när det gäller det långsiktiga bevarandet än vad vi gjort när det gäller pappershandlingar.
För den oinvigde har Riksarkivet varit slutarkivet för de allmänna handlingar som produceras i statliga myndigheter som i långsam process likt sedimentering vandrar från aktivt skede via mellanarkiv till slutlagring.
Digitaliseringen gör hela denna process onödig, de digitala handlingar som ska bevaras för eftervärlden skulle kunna överföras till slutarkiv i samma ögonblick som de skapas och en kopia hanteras i verksamheten.
Ändå tycks tankegången fortfarande var densamma i praktiken och någon slags mellanarkiv för digital information byggas upp av Statens Servicecenter som outsourcar tjänsten till något av de stora leverantörerna.
Jag ställer mig frågande till hela tanken i detta, att tjänsten byggs upp inte av den myndighet med ansvar och kompetens inom arkivområdet utan en annan, men också inför hur erbjudandet eller påbudet uppfattas av de myndigheter som förväntas delta.
Detta är bakgrunden till att jag i början av 2018 skickade ut en enkät till samtliga myndigheter, regioner/landsting och kommuner med följande frågor: Har ni tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1?
Om ja skulle jag, om möjligt, vilja ta del av den.
Har ni en egen e-arkivlösning eller planerar ni att köpa en tjänst för det eller på annat sätt anlita utomstående?
Om ni planerar att köpa en tjänst eller anlita utomstående: ser ni det som ett mellanarkiv?
Vilken tidshorisont har ni för nyttjandet av tjänsten?
Har ni en Plan för informationssäkerhet enligt 6 kap RA-FS 2009:1?
Om ja skulle jag, om möjligt, vilja ta del av den.
Om/när ni tagit fram en egen e-arkivlösning alternativt anlitat utomstående för tjänsten, har detta då föregåtts av en riskanalys och informationsklassning?
Vilka är, som ni ser det, de viktigaste kraven på informationssäkerhet när det gäller e-arkiv?
Ur offentlighetsperspektivet är svarsfrekvensen dyster för detta är hur många som svarat till dags dato trots att förfrågan även innehöll en begäran om att få ta del av allmän handling: 62 kommuner (21 % av samtliga tillfrågade) 8 regioner/landsting (40 %) 86 myndigheter (24 %) Några noteringar kan göras rörande de svarande.
Bland kommuner är det påfallande att det snarare är de små kommunerna som ansträngt sig för att svara än de medelstora eller stora.
Bland myndigheterna har universitet och högskolor varit exceptionellt bra på att svara (75 %).
Av de myndigheter som ingår i eSam som är ”ett medlemsdrivet program för samverkan mellan 24 myndigheter och SKL.
Samarbetet syftar till att underlätta och påskynda digitaliseringen av det offentliga Sverige.” och som bland annat drivit på frågan om öppna data är det knappt hälften av de ingående myndigheterna som svarat på enkäten.
Här skulle man kanske kunna önska litet mer av att leva som man lär och en vilja att förmedla information även i praktiken.
Hela tanken så som den formuleras idag är att ett ”e-arkiv” på något sätt är en applikation i egen regi, i samverkan, hos en myndighet eller i form av en molntjänst.
Därför tyckte jag också att det var intressant att ställa frågor till olika typer av leverantörer hur de formulerat säkerhetskraven på sina lösningar.
Här var svarsfrekvensen extremt låg när jag ställde dessa frågor: Kan ni redovisa på vilket sätt ni arbetat med informationssäkerhet i tjänsten?
Vilka ser ni som de främsta informationssäkerhetsriskerna kopplade till tjänsten?
Kan ni erbjuda tjänsten på olika skyddsnivåer?
Är alla typer av information möjlig att hantera i dem?
Vilka krav ställer ni på eventuella underleverantörer?
Hur ser ni på ert ansvar i förhållande till användarna av tjänsten då det gäller att uppnå tillräcklig informationssäkerhet?
Har ni ett eget internt ledningssystem för informationssäkerhet (LIS)?
Har ni en utpekad informationssäkerhetsansvarig i er organisation?
Har ni ett eget standardförslag på personuppgiftsbiträdesavtal och är det i så fall möjligt för mig att få ta del av?
Är tjänsten planerad för att klara NIS-direktivet och civilt försvar?
Jag har på dessa frågor inte fått ett enda svar som inte varit av typen ”varför ställer du de frågorna” eller ”kan vi ta det per telefon istället”.
Statens Servicecenter var dock mycket snabba och tillmötesgående och skickade över kravspecifikationen de använt när de försökt upphandla tjänsten e-arkiv.
Min slutsats är att leverantörerna: Inte fått tydligt formulerade säkerhetskrav på sina tjänster Inte har tagit fram ett generellt presentationsmaterial som redovisar vilken säkerhet som deras tjänster erbjuder.
Att säkerhet i tjänsten inte är självklara frågor ser jag som mycket bekymmersamt och som en klar brist på mognad hos dessa tjänster vilket också komplicerar situationen för särskilt mindre organisationer som planerar att upphandla ett ”e-arkiv”.
I nästa blogginlägg kommer jag att redovisa de svar som inkommit från kommuner, landsting/regioner och myndigheter.
”Inget är så starkt som en idé, vars tid har kommit” skrev Victor Hugo.
Egentligen tycker jag att den nu inte längre så nya verksamhetsbaserade arkivredovisningen (RA-FS 2008:4) borde ha fått större genomslag i kommunsverige vid det här laget.
Visst, det är många kommuner som infört verksamhetsbaserad arkivredovisning och även börjat skruva till sina dokumenthanteringsplaner (a k a informationsförvaltningsplaner), men därifrån till att arkivredovisningen verkligen implementeras såväl tekniskt som verksamhetsmässigt känns vägen lång.
Kanske ligger en del av förklaringen i att arkivvärlden tidigare in behövt förklara saker för verksamheten på samma sätt tidigare.
I den gamla pappersbaserade världen (och den hängde med längre än många tror i den kommunala världen) skötte arkivarien eventuella sökningar efter avställda handlingar.
Hän behövde inte förklara så mycket för verksamheten och verksamheten behövde heller inte veta så mycket om hur söket faktiskt gick till.
I och med RA-FS 2008:4 tvingas arkivvärlden och resten av verksamheten mötas på ett helt annat sätt än tidigare.
Intentionerna med RA-FS 2008:4 är ju, vilket framgår tydligt av vägledningen ”Redovisa verksamhetsinformation”, att arkivredovisningen (och då främst klassificeringsstrukturen) ska styra informationshantering i såväl diarium som verksamhetssystem.
Denna intention stöder jag för övrigt till fullo!
Men…som säkert många av er som läser Fias blogg vet så är det lättare sagt än gjort att skapa dylika styrningar.
Förutom det hästjobb som många av er lagt ned på att beskriva verksamhetsprocesser, uppdatera dokumenthanteringsplaner, eventuellt försöka väva in informationssäkerhetsperspektivet (inklusive dataskydd) så ska ni dessutom lyckas få femtioelva systemägare, chefer m fl att förstå vikten av att detta arbete genomförs samt implementeras i diverse system/tjänster.
Jag är själv ingen ”äkta” arkivarie, utan har närmat mig disciplinen via diverse jobb inom informationshantering och verksamhetsutveckling.
Jag vill ändå tro att jag har lyckats förstå ganska mycket av RA-FS 2008:4 och vägledningen som nämndes ovan.
Jag var bland annat med och startade upp arbetet med att införa den nya arkivredovisningen hos Myndigheten för samhällsskydd och beredskap (MSB).
Redan då, 2011, kände jag att det var tufft att förklara det värde den skulle kunna tillföra verksamheten.
Det var snarare än fråga om att uppfylla Riksarkivets krav på myndigheten.
Eftersom det pågick ett arbete med att införa ett ledningssystem för informationssäkerhet (LIS) på MSB så väcktes idén att försöka slå två flugor i en smäll.
Tanken var att en dokumenthanteringsplan rimligen borde kunna beskriva hanteringsregler utifrån såväl ett arkivperspektiv som ett informationssäkerhetsperspektiv.
Många av de krav som ställs från respektive håll är trots allt överlappande.
Eftersom jag jobbat en tid på ett bolag som hette Astrakan och därför arbetet en del med processmodellering kändes det naturligt att försöka beskriva sambanden med hjälp av grafiska processer I och med Riksarkivets föreskrift (RA-FS) 2008:4 ska myndigheter i Sverige redovisa sina handlingar utifrån verksamhetens processer istället för enligt det gamla klassificeringsschemat från 1903.
Denna omvälvning har också på allvar börjat slå igenom i kommunsverige, vilket på många sätt är bra och egentligen bara en återspegling av den verkliga informationshanteringen.Dock upplever jag fortfarande, och jag tror att jag är i relativt stort sällskap, att det är svårt att pedagogiskt förklara för kommunens verksamheter hur arkivredovisningen kan hjälpa till att styra upp informationshanteringen annat än i själva arkivet.
Därför har jag tagit fram följande grafiska presentation.
Ingen kan idag förneka vikten av att förbättra informationssäkerheten i de samhällsviktiga verksamheterna.
Ett antal utredningar har under de senaste tre åren utmynnat i olika förslag på hur detta ska ske.
Tyvärr har fokus legat allt för mycket på reaktiva åtgärder som incidentrapportering och allt för litet på det förebyggande arbetet, detta trots att det ofta påpekats att de stora säkerhetsvinsterna kan göras genom olika typer av incidenter och säkerhetsproblem motverkas innan de uppstår.
För mig framstår den i särklass viktigaste förebyggande åtgärden att tillräcklig kompetens finns för att hantera informationssäkerhetsrelaterade frågor på olika nivåer.
För att uppnå detta krävs både episteme, fronesis och techne.
Det vill säga det måste finnas en vetenskaplig grund för att de åtgärder som vidtas är effektiva i förhållande till de problem de avses att lösa, att det måste finnas en praktisk kunskap hur fungerandeska bedrivas och det måste finnas en djupare förståelse att nya situationer kan hanteras.
Jag skulle vilja hävda att detta idag i allt för hög grad saknas.
Konkret kommer ett stort antal organisationers ledningar behöver ett kompetent stöd för att styra sittså att det motsvarar de risker som verksamheten är utsatt för och för att kunna tillvarata alla nya möjligheter som den pågående digitaliseringen innebär.
Jag pratar alltså inte om it-säkerhet som är inriktad på tekniska åtgärder utan informationssäkerhet som handlar om verksamhetsstyrning och information.
Utöver befintliga krav kommer även nya från bland annat dataskyddsförordningen, NIS, civilt försvar och en ny säkerhetsskyddslag.
Det gäller c.a.
350 myndigheter, 290 kommuner, ett tjugotal landsting/regioner och ett okänt antal privata aktörer som medverkar till att upprätthålla samhällsviktiga verksamhet.
En av de vanligaste frågorna jag får när jag besöker kommuner, regioner och myndigheter är vilka utbildningsmöjligheter som finns.
Hos de som får allt tyngre ansvar för det faktiskat finns såvitt jag kan bedöma en allt större medvetenhet om kompetensbehovet.
Till viss del fanns denna insikt även i den strategi för samhällets som MSB tog fram tillsammans med andra myndigheter.
Tyvärr har inte insikten utmynnat i några konkreta satsningar för att stödja utvecklandet av professionsinriktade utbildningar.
Även om behovet av kompetens är känt anvisas få vägar för kompetensförsörjningen.
Vare sig i den nationella säkerhetsstrategin eller i digitaliseringsstrategin, båda presenterade av regeringen 2017, nämns något om kompetensförsörjning inom informationssäkerhetsområdet.
Utredningar som SOU 2015:23 , SOU 2017:36 SOU 2017:114 liksom lagrådsremissen om ny säkerhetsskyddslag är lika renons på förslag annat än de som gäller utpekade tillsynsmyndigheter.
Den nationella strategin för informations- och cyberssäkerhet (Skr.
2016/17:213) skulle kunna inge ett visst hopp eftersom den faktiskt innehåller ett avsnitt som heter Öka kunskapen och främja kompetensutvecklingen.
Hoppet om att finna ett mål att tillgodose behovet av professionell kompetens generellt avtar dock snabbt då det visar sig att det som avses är att informera organisationer om sårbarheter och behovet av säkerhetsåtgärder samt att höja den enskilda användarens kunskap.
Samtliga strategier och utredningar tycks dock förutsätta att den kompetens som behövs kommer att finnas utan vidare styrning.
Jag delar inte denna tilltro till den osynliga handen.
Istället ser jag att vi står inför ett mycket stort och komplicerat kompetensförsörjningsbehov.
Bara det ett nyrekryteringsbehov av något hundratal informationssäkerhetsspecialister årligen till kommuner och landsting/regioner som kanske har samhällets mest komplexa informationssäkerhetsbehov måste uppmärksammas.
Många av oss som idag är verksamma inom informationssäkerhetsområdet saknar formell utbildning för våra jobb eftersom utbildningar helt enkelt inte funnits i någon högre grad (jag jämställer inte olika certifieringar med högskoleutbildning även om de säkert är bra på sitt sätt).
Därav ett stort fortbildningsbehov.
De kurser på högskolenivå som erbjuds idag via en sökning på antagning.se för hösten 2018 är antingen korta kurser eller har en renodlad teknisk inriktning.
Undantagen är masterutbildningar i Örebro som har ett handfull platser samt i Luleå där ett organisatoriskt perspektiv tillförs en huvudsak it-inriktad utbildning.
Detta räcker naturligtvis inte långt.
Mitt förslag är därför att en utredning tillsätts som tillåts koncentrera sig på hur behovet av kunskap och kompetens inom informationssäkerhetsområdet ska tillgodoses under de närmaste åren.
Utgångspunkten är att staten måste ta ett betydligt större ansvar för kunskapsförsörjning på en vetenskaplig nivå och för att kunskapen omsätts till kompetenshöjande åtgärder för prioriterade målgrupper i samhället.
Målen bör vara att det gemensamma utbildningsplaner för en treårig högskoleutbildning som informationssäkerhetsspecialist med inriktning på organisation och information, att det utbildas 50 informationssäkerhetsspecialister per år samt att varje kommun har tillgång till minimum en halvtids informationssäkerhetsspecialist.
Inom detta fält kan även utbildningar av typen ”informationssäkerhetsspecialist kommunal verksamhet” och ”informationssäkerhetsspecialist hälso- och sjukvård” kunna finnas.
Även fortbildningar för redan yrkesverksamma bör ingå i ett kunskapslyft för informationssäkerhetsområdet.
Utan denna typ av insats har jag mycket svårt att se hur alla andra mål för att höja samhällets informationssäkerhet ska kunna realiseras.
Efter att ha spekulerat om varfört inte funkar har jag nu tänkt skriva några inlägg om vad som bör göras för att det ska fungera bättre.
Detta sammanfaller med att regeringen överlämnar en skrivelse till riksdagen angående Riksrevisionens om informationssäkerheten vid nio myndigheter.
Riksrevisionen bedömer att ” Regeringen instämmer i denna bedömning, som ju knappast kan komma som någon överraskning efter Riksrevisionens tidigare rapporter m.m., men avser bland annat att .
Det känns därför ganska självklart att detta första inlägg om konstruktiva åtgärder får handla om förutsättningar för en sådan strategi.
Att ta fram en strategi är inte något särskilt rafflande grepp, 2009 togs en sådan fram liksom en efterföljande handlingsplan några år senare.
Varken i regeringens skrivelse eller i Riksrevisionens rapport görs någon egentlig analys av varför de tidigare strategiska samordningsförsöken trots avsevärda resurser och mandat misslyckats.
En grundläggande utgångspunkt för mig har varit att det inte är särskilt meningsfullt att göra mer av samma sak om man märker att något inte fungerar.
Istället är det viktigt att ta ett steg tillbaka och analysera och göra nya problemformuleringar.
Detta tror jag i hög grad gäller om man ska ta ut strategiska riktpunkter.
En ny strategi bör därför föregås av ett mer omfattande förarbete och inte bestå av inskickade, icke samordnade önskelistor från myndigheter som har ansvar för olika säkerhetsområden.
I fallet med informationssäkerhet har jag försökt påvisa den stora oklarhet som råder om vad informationssäkerhet egentligen är och hur det försvårar för den enskilda organisationen, för de yrkesutövande och för samordning på nationell nivå.
Detta blir än tydligare om man läser regeringens något desorienterade skrivelse där det är svårt att greppa vad det egentligen är som ska samordnas.
Om vi tittar på den nationella spelplanen och bortser från de oklarheter som råder om informationssäkerhet är i första hand organisatorisk eller teknisk fråga så går det att urskilja en rad olika syften som staten länkar till ”informationssäkerhet” vad det nu än är.
För att övergripande beskriva de huvudsakliga syften som sällan definieras i förhållande till varandra kan jag räkna upp: Till detta kommer exempelvis de starka kraven från bland annat dataskyddsförordningen som i praktiken innebär högre nivå på spårbarhet, riktighet och konfidentialitet.
Dessa olika syften ska utan närmare inriktning från staten tillgodoses i de enskilda organisationerna.
Jag tror att det är här vi måste stanna till och inse att det inte är informationssäkerhet som det ställs krav på i de olika sammanhangen.
En enskild organisation har i de flesta fall i normalläget inget internt behov av den informationssäkerhet som staten ställer krav på exempelvis rörande det civila försvaret i höjd beredskap.
Att införa säkerhetsskyddsåtgärder är inte heller något som befrämjar andra säkerhetskrav som kan finnas i en löpande verksamhet som exempelvis hög tillgänglighet.
Statliga certifieringskrav på tekniska komponenter i e-förvaltning är knappast heller något som gynnar regeringens inriktning på att Sverige ska bli bäst i världen på att ta till vara digitaliseringens .
Jag behöver kanske inte fortsätta med exempel för att slå in min poäng – det finns tydliga intressekonflikter mellan olika typer av informationssäkerhet som staten ställer krav på.
Det finns också aktiviteter som starkt påverkar säkerhetsarbetet där det egentligen inte finns någon intressekonflikt men som ändå inte är samordnade.
Ett påtagligt exempel är att rapporteringskravet för it-incidenter till MSB inte är samordnat med i det tunga krav på incidentrapportering som följer av dataskyddsförordningen.
Ett förarbete till en strategi måste, menar jag, måla upp hela informationssäkerhetslandskapet för att kunna ta ut riktningen framåt.
Ironin i att NISU och utredningen om ny säkerhetsskyddslag lägger fram sina resultat samtidigt som två helt parallella spår som aldrig mötts kommer att upprepas i nya former om inte den nödvändiga överblicken skapas.
Överblicken över syften, förutsättningar och aktörer ger också en grundval för den styrmodell som rimligen måste finnas med som ett strategiskt verktyg för att nå målen.
En gemensam styrmodell innebär inte att samma styrmedel används överallt.
Jag föreställer mig att regelstyrning är nödvändig ur det civila försvarets perspektiv medan incitaments- och kunskapsstyrning blir centrala för regeringens digitaliseringssatsningar.
Men eftersom det är Söpple kommun som kommer att bli utsatt för de olika styrmedlen måste de integreras i en gemensam modell som också hanterar organisatoriska och ekonomiska förutsättningar.
Förutsägbarhet gällande krav och ekonomiska förutsättningar är nödvändigt då allt större del av den tidigare offentliga utförda verksamheten ombesörjs av privata aktörer.
Även detta förhållande måste avspeglas i den strategiska inriktningen.
Jag tror att en strategi måste vila på noggranna överväganden av hur staten ska organisera sin styrning och sitt stöd.
När civilt försvar alltmer blir MSB:s huvudfråga och myndighetens uppgift är mer att jämföra med den som Överstyrelsen för civil beredskap (ÖCB) hade fram till 2002 är det sannolikt mer lämpligt att detsom bedrivs i normalläget integreras med statens digitaliseringssatsning.
Analysen av vad som kan tänkas fungera bäst måste vara förutsättningslös och inte utgå från olika organisatoriska särintressen.
För mig är det en viktig princip attt måste styras av behov, inte av utbud.
Det gäller i den enskilda organisationen, och det bör gälla även på det nationella planet.
När en strategi ska tas fram bör det därför ske tillsammans med de som äger verksamheterna vars information skyddas, inte enbart av de aktörer som levererar säkerhetslösningar.
Min förhoppning är att strategin inte stressas fram på departementet av någon ensam handläggare utan att det sker i ett brett samarbete med kommuner, landsting, företag och myndigheter samt viktiga kravställare som Datainspektionen, E-hälsomyndigheten och eSam.

Om vi särskiljer lagring och arkiv innebär arkiv den slutliga förvaringen av information som ska bevaras i hundra-, ja tusentals år.
Att införa e-arkiv är alltså inte något som kan vidtas med en händelsehorisont på tio år.
I den svenska myndighetsvärlden råder en viss begreppsanarki där ”arkiv” kan betyda olika saker som en lokal, en institution och en myndighets bestånd av allmänna handlingar vilket jag skrivit om bland annat En myndighet (inklusive kommuner och regioner) skapar och tar emot stora mängder information av vilka en del utgör allmänna handlingar som enligt huvudregeln ska bevaras för framtiden såvida inte ett formellt gallringsbeslut upprättas som sätter en gallringsfrist.
Gallring kan alltså ske efter olika lång tid vilket gör att viss information ska sparas för all framtid medan annan kan gallras efter viss tid.
För pappersbunden information har man därför ofta skapat för att avställa inaktuell information i väntan på långtidsbevarande respektive gallring.
Det är arkivmyndigheten som i huvudsak ska fatta gallringsbeslut.
Här finns dock en mycket stor skillnad mellan statliga myndigheter och kommuner/regioner.
För statliga myndigheter är Riksarkivet arkivmyndigheter medan i kommuner och regioner är deras egna styrelser som utgör arkivmyndigheter En arkivmyndighet har inte bara uppgiften att fatta gallringsbeslut utan även ansvaret för bland annat arkivvård och tillsyn.
I det nu aktuella sammanhanget är det en central förutsättning att när en arkivmyndighet tar hand om ett arkiv så är det också arkivmyndigheten som ”äger” arkivet.
Arkivmyndigheten ansvarar för utlämnande av allmänna handlingar och den ursprungliga arkivbildaren (d.v.s.
myndigheten som lämnat in) kan inte hålla på att rumstera om i informationen.
Trots att arkivredovisningen ska vara processorienterad och att vi idag har stora sammanhängande informationsinfrastrukturer med ett otal antal bärare är e-arkivfrågan fortfarande inriktad på att överföra informationsmängder från enskilda system för arkivering.
I den enkät jag gjorde 2018 bland myndigheter, kommuner och regioner var ett starkt intryck att e-arkivfrågan inte i någon högre grad kopplats samman med informationssäkerhet.
Få att de tillfrågade hade gjort informationsklassningar och riskanalyser, ännu färre kunde redovisa säkerhetskrav att ställa på e-arkiv.
Ta fram en grundmodell för informationsklassning inklusive skyddsnivåer.
Observera att skyddsnivåerna är den stora tunga uppgiften som kommer att kräva långsiktig förvaltning men som kan användas även andra organisationer t.ex.
som stöd för att efterleva NIS-direktivet.
Ta fram en certifieringsinstitution där leverantörer kan certifiera sina tjänster och system på olika skyddsnivåer.
Ta fram ett antal standardprocesser utifrån de obligatoriska uppdragen Identifiera informationen i dessa processer.
Ge stöd för att kartlägga vilka bärare som används för att hantera informationen.
Observera att det inte enbart gäller system och tjänster utan även andra bärare.
Ge förslag på en standardklassning av informationsmängderna.
Med detta som utgångspunkt kan ut skyddsnivåerna plockas fram krav både på den egna verksamheten, egen it och på externa leverantörer av tjänster.
Stärkt samordning av de frågor som påverkar vården i regeringskansliet och en stärkt roll för Socialstyrelsen som sammanhållande kraft i vården och beställare av it-lösningar hos e-Hälsomyndigheten, SKL m.fl.
Hur en gemensam infrastruktur ska kunna byggas upp i konkreta termer och ansvarsförhållandena för detta En ny patientdatalag som lever upp till dagens många olika behov och som inte genar när det blir svårt.
En arkivlag som kan tillgodse kravet på att bevara den gemensamma informationsinfrastruktur som uppstår inom bland annat e-hälsa.
I en ny arkivlag bör finnas utrymme för att fatta beslut om bevaranderegler även för andra än statliga myndigheter, t.ex.
ett krav på att viss vårdinformation ska bevaras för all framtid oavsett vårdgivare.
SKL:s roll med övervägande om liknande krav på öppenhet som gäller de ingående sjukvårdshuvudmännen.
Frågan bör ställas om SKL över huvud taget har de institutionella förutsättningarna att leverera gemensamma e-tjänster eller om detta istället bör ske av myndigheter Utred möjligheten att införa en lösning liknande den norska Normenden svenska vården.
Detta drev jag med klent gehör när jag jobbade på MSB men det är aldrig fel att vädra gamla käpphästar.
MSB måste våga överge sin beröringsskräck för verkligheten och kunna ge faktiskt stöd till bland annat vården.
Hur e-hälsan systematiskt ska utvärderas och vem som ska utföra det.
Försvarsmaktens insatser Det civila säkerhetsskyddet av rikets säkerhet samt mot terrorism Det civila försvaret Samhällets krisberedskap Stöd till myndigheter, kommuner, företag m.m.
för deras egen verksamhet och i samverkan för e-förvaltning, e-hälsa m.m.

mellanarkiv en vad de hur sina sina sina 16 § på vilket sätt läsa alla all en sina sjukvårdsvårdshuvudmännen vårdgivare alla

Bakgrund Vad skulle då upphandlas?
SKI Slutsatser

MENU MENU Postat av Postad i , , , Tagged , , , , , , Postat av Postad i , , , , Tagged , , , , , Postat av Postad i , , , , Tagged , , , , , , Postat av Postad i , , , , , , , , Tagged , , , , , , , , , , Postat av Postad i , , , , , , , , Tagged , , , , , , , Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , Tagged , , , , , , Postat av → Postad i , , Tagged , , , , Postat av Postad i , , , , , , , Tagged , , , , , , , Postat av Postad i , , , , , , , , Tagged , , , , , Sök efter:

Allmänna råd Arkivbildarbegreppet och proveniensprincipen under press?
adminstrative bodies Göteborgs Stads föreskrifter och riktlinjer om arkiv- och informationshantering Detta är ett gästinlägg av Fredrik Granholm, verksamhetsarkitekt i Sollefteå kommun. . Informations- och cybersäkerhet i Sverige Informationssäkerhet för samhällsviktiga och digitala tjänster, reboot – omstart för den digitala förvaltningen de granskade myndigheterna ligger på en nivå som är märkbart under vad som är tillräckligt ”.
”därför ta fram en nationell strategi för samhällets informations- och cybersäkerhet.” samma

Som en inledning på höstens äventyr tänkte jag bara göra några kompletterande anmärkningar till en debatt i Dagens samhälle.
Den inleddes med där jag ventilerade min oro efter vad som framkommit om Region Stockholms informationssäkerhet i den granskningsrapport som initierades av 1177-skandalen.
På inlägget följde två svar.
Det kom från ett par tjänstemän från SKL där man hävdade att regionerna arbetar resolut med informationssäkerhet.
I svaret är man tillämpar man ad hominem-argumentet att ett flertal gånger understryka att jag är ”konsulten”.
Det är ju förståeligt med tanke på NKS och i vilket vanrykte konsulter hamnat i efter den hanteringen men det som bekymrar mig är snarare att baktanken sannolikt är att göra mina argument ointressanta på grund av att jag inte representerar någon organisation.
Detta riktar i och för sig ljuset på ett tråkigt fenomen, att inträdesbiljetten i samtalet om samhällets gemensamma frågor förutsätter att deltagaren representerar ett särintresse.
Personligen tycker jag i stället att det demokratiska samtalet skulle tjäna på att många fler deltog, även de som inte har något annat intresse än att de är engagerade i att försöka förbättra samhället precis som när jag ställer upp som blodgivare.
Detta tillsammans med debattörernas åsikt att öppenhet om inträffade incidenter i offentlig verksamhet på något sätt skulle vara optional tycker jag också visar på det problematiska i SKL:s alltmer utvidgade roll.
Allt mer beslutsfattande och operativ verksamhet för in i en organisation där offentlighetsprincipen inte gäller och insynen, precis som debattörerna antyder, inte är en rättighet utan något som kan ges på nåder.
Att en arbetsgivarorganisation kan överta all fler uppgifter från demokratiskt valda organisationer och dessutom emellanåt kalla sig saker som ”koncernen SKL” (litet som om Almega skulle kalla sig koncernen Almega där alla tjänsteföretag skulle vara underordnade föreningen) leder till ett demokratiskt underskott som borde bekymra fler än mig.
För att inte falla i samma fälla och bara diskutera SKL:s svar utifrån vilka de är och inte utifrån deras argument ska jag här gå något djupare än jag kunde göra i mitt .
Företrädarna hävdar att regionerna arbetar resolut med informationssäkerhet men de exempel som ges på vad man gör tyder snarare på att man fortfarande är kvar i huvudsak teoretiska aktiviteter som möjligen kan få en säkerhetshöjande effekt längre fram.
Det skulle kunna tyckas vara gott nog om informationssäkerhet vore en helt ny fråga.
Det är det inte – behovet av informationssäkerhet i vården har lyfts fram som en kritisk fråga i flera decennier, det har funnits lagstiftning och föreskrifter som ställt krav på sjukvårdshuvudmän och vårdgivare ungefär lika länge.
Problemet är bara att frågan inte prioriterats och nödvändiga åtgärder inte vidtagits.
Att då litet förnärmat när vi närmar oss år 2020 hävda att man nu minsann är på gång med att ta fram mognadsmodeller och skrivit in i en egenstrategi att man anslutit sig till den nationella för informations- och cybersäkerhet känns inte, mja, som något som kommer att hindra incidenter och höja säkerhetsnivån inom den närmaste tiden.
Man säger också att SKL erbjuder sina medlemmar konkret stöd men där är problemet att det stöd som erbjuds t.ex.
i form av informationsklassningsverktyget KLASSA inte skulle ha utgjort ett stöd när det gäller upphandlingen av 1177 eftersom det är ett verktyg för att klassa system, inte informationen i processer.
SKL menar att jag bara gnäller utan konstruktiva lösningar.
Själv tycker jag att jag verkligen anstränger mig för att komma med förslag på förbättringar som att göra en gemensam analys för att kunna prioritera rätt åtgärder o.s.v.
men att vara konstruktiv innebär inte att man bortser från problemen.
Kanske har SKL fastnat i en föreställning att man ska verka som ett företag och att endast positiva marknadsbudskap ska förmedlas vilket följande ger intrycket av.
Jag tycker istället att ett rationellt hanterande av offentliga medel måste bygga på tydliga och ansvarsfulla problemformuleringar.
Sjukvården är i en ständig förändring där numera digitaliseringen spelar en avgörande roll.
Min enda önskaen tas på samma allvar som säkerheten i andra aspekter.
Ett läkemedel skulle aldrig introduceras utan noggranna tester, däremot är det fortfarande comme il faut att föra in nya digitala lösningar i skarp drift utan närmare tester.
Även Daniel Forslund (L), digitaliseringslandstingsråd i Region Stockholm och tycket att jag ensidigt fokuserat på revisionsrapporten när jag bedömde som regionens informationssäkerhet var undermålig.
Jag håller inte med.
Även om det var en kortfattad rapport pekade den på mycket basala systemfel som påverkar hela regionens säkerhetsarbete.
Men eftersom jag försöker ha någorlunda torrt på fötterna innan jag uttalar mig så har jag skrivit till regionen och bett att få ta del av regionens styrande dokument inom informationssäkerhetsområdet.
Utan att förhäva mig utan bara för att skapa kontext i frågan kan jag säga att jag genom åren som konsult och i andra roller sett ett mycket stort antal ledningssystem och också arbetat med att mäta befintlig informationssäkerhet i olika typer av organisationer.
Det är med denna bakgrund som jag bedömer att Region Stockholm saknar rimliga förutsättningar för att bedriva ett systematiskt.
Att regionen på hösten 2018 upphandlar en så känslig tjänst så sent som hösten 2018 utan att ställa relevanta säkerhetskrav är en bekräftelse på ett systemfel och inte en incident som inte kunnat undvikas.
Den som är intresserad får gärna ta del av de dokument jag fått från Region Stockholm för att göra en egen och möjligen annan bedömning.
Jag har tagit del av den granskningsrapport som KPMG genomfört på uppdrag av Region Stockholm efter 1177-skandalen och som av en händelse (?)
publicerades dagen för midsommarafton.
Rapportens omfång motsvarar på intet sätt skandalens omfång utan är ett luftigt dokument på 14 sidor inklusive bilagor.
Att rapporten är tunn räknat i sidor behöver naturligtvis inte påverka skärpan i analysen men som rätt luttrad granskare av informationssäkerhet känns de 14 sidorna som rätt kraftigt i obalans med uppdragets genomförande och omfattning: Granskningen har omfattat en kombination av IT-revision, inhämtning av information från tillgänglig dokumentation av karaktären styr- och stöddokument, uppföljningsrapporter samt intervjuer med nyckelpersoner.
Granskningen har utgått från vedertagna granskningsmetoder inom området informationssäkerhet, vilket omfattat såväl Vårdgivaren och dennes underleverantörer som Region Stockholm genom HSF.
En lista över de personer som intervjuats återfinns i bilaga 2.
Granskningen har genomförts under maj-juni 2019.
Vidare är rapportens utformning i avvikelseformat där endast väsentliga iakttagelser har lyfts fram med förslag på förbättringsåtgärder, inklusive eventuella behov att förtydliga avtal, uppföljningsrutiner och processer för att minimera att motsvarande inträffar igen.
Att på så få sidor beskriva Region Stockholms, Medhelps och ett antal underleverantörers styrning av sin informationssäkerhet, vad som gått fel och vad som bör göras för att undvika att systemfel som det inträffade upprepas känns inte riktigt seriöst.
Den sammanfattande bedömningen är dock på allvar oroande: Vår övergripande bedömning är att HSF bör se över kravställningen på informationssäkerheten i samband med upphandlingar samt att uppföljningsprocessen behöver struktureras och formaliseras för icke funktionella krav, däribland informationssäkerhet.
I allt väsentligt behöver kravställningen preciseras för att säkerställa att leverantörerna är införstådda i HSF:s förväntningar, men även för att öka den interna förståelsen för hur kraven ska följas upp.
Att avtalskraven beträffande informationssäkerhet är allmänt hållna, samtidigt som standarden inom området inte är fullt integrerad i HSF:s verksamhet, innebär i praktiken att Vårdgivarens hantering av informationssäkerhet endast har följts upp i begränsad omfattning.
Vad gäller Vårdgivaren kan vi konstatera att det inte finns något dokumenterat ledningssystem för informationssäkerhet samt att det förekommit brister i rutinen för utvärdering och uppföljning av underleverantörer till vårdtjänsten.
Vi noterar dock att Vårdgivaren, sedan incidenten, arbetar med en åtgärdsplan för att förbättra informationssäkerheten, rutiner beträffande kontroll av leverantörer samt planerar för en certifiering inom ISO 27001.
Vi noterar att de akuta bristerna hänförliga till incidenten har hanterats, bland annat genom den skyndsamma nedstängningen av den felkonfigurerade servern, uppsägningen av avtalet med underleverantören som givit upphov till incidenten samt inhämtandet av all patientinformation till Vårdgivarens egen tekniska lösning.
Vi har dock identifierat ett antal framåtblickande förbättringsområden som rör HSF:s övergripande arbetssätt beträffande informationssäkerhet, fördelningen av roller och ansvar samt metoden för hantering och uppföljning av leverantörer.
Vidare har vi även identifierat åtgärder hänförliga till Vårdgivarens arbete med informationssäkerhet och den planerade ISO-certifieringen samt sättet till vilket Vårdgivaren arbetar med att vidareförmedla HSF:s avtalskrav beträffande informationssäkerhet.
HSF är alltså Hälso- och sjukvårdsförvaltningen i Region Stockholm och vårdgivaren Medhelp.
Att Region Stockholm inte lyckas formulera tydliga säkerhetskrav i upphandlingar i en så central tjänst som 1177 är i sig skandalöst.
Att sedan Medhelp som vårdgivare helt saknar ledningssystem för informationssäkerhet och att Region Stockholm inte ens ställt krav på en så grundläggande nivå är information som bekräftar min bild att den svenska sjukvården fortfarande ignorerar behovet av informationssäkerhet.
1177-skandalen var trots allt bara sten som vändes, om än stor.
Det som verkligen oroar är de brister i Region Stockholm säkerhetsarbete som avslöjas indirekt i rapporten.
Dessa brister gör det mycket sannolikt att 1177 bara är en del i större systemfel där patienters hälsa och integritet är i en ständig riskzon om rapportens uppgifter stämmer.
Ta till exempel följande iakttagelse från granskarna: HSF saknar ett fullständigt ledningssystem för informationssäkerhet (LIS).
Enligt den regionsövergripande informationssäkerhetspolicyn ska varje nämnd införa ett lokalt ledningssystem för informationssäkerhet.
I förekommande fall har HSF tagit fram lokala styrande dokument för informationssäkerhet, men dessa återspeglar i allt väsentligt de styrdokument som finns på regional nivå.
Graden av verksamhetsanpassning är relativt låg och förvaltningen har inte tagit fram några instruktioner eller utvecklat processer för hanteringen av informationssäkerhet.
Vi noterar att instruktioner håller på att arbetas fram, men dessa berör hanteringen av portabel IT-utrustning och syftar således inte till att tydliggöra riktlinjerna för hur förvaltningen.
Region Stockholm har alltså inte tagit fram säkerhetsregler för avpassade för sjukvården utan i huvudsak nöjt sig med de generella för regionen (trots att det funnits en föreskrift att så ska göras sedan 2008 SOSFS 2008:14) och att man inte heller är på väg att göra det för mer än för bärbar utrustning.
Jag tror redan den som rent tillfälligt jobbat med informationssäkerhet i vården förstår hur mycket arbete och eftertanke som krävs för att anpassa generella regler så att de fungerar i vården, t.ex.
bara att ge en uttolkning av ansvasförhållandena för informationshanteringen är en mycket komplex fråga.
Situationen i Region Stockholm gäller även hos Medhelp som inte heller har förmåga att ställa relevanta krav på sina underleverantörer: Processer och rutiner ska finnas för att säkerställa uppfyllandet av Socialstyrelsens krav på informationssäkerhet.
Vårdgivaren har inget dokumenterat LIS och det är vår bedömning att vissa processer saknas för att kunna försäkra att kraven uppfylls.
Vi noterar exempelvis att Vårdgivaren, i enlighet med vedertagna standarder och god praxis, inte har ställt ändamålsenliga krav på samt följt upp leverantörers hantering av informationssäkerhet.
Vidare anger Socialstyrelsen att vårdgivare ska ha en informationssäkerhetspolicy som anger mål och inriktning på verksamhetens arbete med informationssäkerhet.
Vi har identifierat att Vårdgivaren har antagit en informationssäkerhetspolicy i maj 2019.
Vi noterar i sammanhanget att Vårdgivaren planerar för en certifiering inom ISO 27001 till kvartal 2, 2020 samt har ett ledningssystem för GDPR.
Den här råttan-på-repet situationen illustrerar väl varför startpunkten för att förbättra säkerheten i vården på måste ligga på sjukvårdshuvudmännen eftersom det är huvudmännen som utformar förutsättningarna för de övriga aktörerna.
Tyvärr har ju lagstiftning och föreskrifter i huvudsak varit inriktade på vårdgivarna vilka i praktiken numera har svårt att ens den egna informationssäkerheten eftersom informationen hanteras i gemensamma lösningar.
Det är därför extra nedslående när sjukvårdshuvudmännen väljer att inte driva frågan ens i den egna verksamheten och inte heller att respektera de föreskrifter som finns.
Framför allt är det en fråga där det inte skulle behövas en föreskrift för att få de styrande i Sveriges största sjukvårdshuvudman att inse behovet av att styra informationshanteringen så att patienterna kan lita på att få god och säker vård.
I den kommentar som regionens ansvariga för vård upprepar man att man ska införa emen fokuserar i åtgärderna huvudsakligen på underleverantörerna.
Men att styra underleverantörerna utan ett eget fungerande regelverk är ett moment 22 som även granskarna noterar: HSF ställer inte tillräckligt tydliga krav på sina privata vårdgivare vad gäller deras informationssäkerhet.
Kravställningen på informationssäkerhet sker genom tillämpningen av en standardbilaga, vilken anger att leverantörer/vårdgivare ska följa regionövergripande styrande dokument för informationssäkerhet.
Vi noterar att de styrande dokumenten, i sin tur, anger att informationssäkerheten hos de som arbetar på uppdrag av Region Stockholm ska regleras genom avtal.
Vår bedömning är att dessa hänvisningar kan ge upphov till skiljande uppfattningar gällande kravbilden på informationssäkerheten.
Med hänsyn till att Socialstyrelsen anger som krav att vissa kontrollmål ska uppfyllas beträffande informationssäkerheten, företrädesvis med stöd av ett LIS enligt standarder i ISO 27000-serien, är det även vår bedömning att HSF:s tillkommande avtalskrav endast ger en begränsad effekt vad gäller att tydliggöra förväntningarna på de privata vårdgivarna.
Jag ska inte tjata mer om hur uppseendeväckande det är att Region Stockholm trots föreskrifter, alla incidenter och trots alla granskningar genom åren ändå inte prioriterar att införa ens ett regelverk för vården att utgå ifrån.
Det gör att man vare sig kan ha ett internt systematiskteller ställa relevanta krav på underleverantörer, det senare framgår på ett nästan tragikomiskt sätt i relationen med Medhelp.
Informationssäkerheten i vården är ingen ny fråga utan har varit uppmärksammad sedan åtminstone första hälften av nittiotalet.
Den stora frågan är Region Stockholm (och övriga sjukvårdshuvudmän) år efter år undviker att komma till rätta med bristerna.
Varför tycker man att det är rimligt att utsätta verksamheten och patienterna för de stora risker som den bristande säkerheten leder till samtidigt som man är beredd att investera ofattbara resurser i experiment som NKS?
Och nej, det går inte att säga att 1177 var ett undantag från en i övrigt fungerande situation.
KPMG:s rapport är den senaste i en rad av rapporter som visar att den bristande säkerheten är ett systemfel som genomsyrar hela den svenska vården – har man inte styrning av informationssäkerheten så finns den inte mer än fläckvis och utan möjlighet att reducera riskerna.
En relaterad fråga är om NIS-direktivet kommer att ha någon positiv inverkan över huvud taget eller om även denna styrning mot ekommer att ignoreras.
Om läsaren tycker att jag ger en alltför mörk bild av Region Stockholms informationssäkerhet rekommenderar jag att ni läser KPMG:s knapphändiga rapport som ändå ger en antydan om regionens förmåga rörande informationssäkerhet.
Tillägg 2019-06-24: Lägger ut rapporten som pdf här: Även för den som är relativt insatt i svensk hälso- och sjukvård och dessutom fortlöpande läst DN:s långa rapportering om alla turer i NKS:s skandalen är ”Kampen om Karolinska.
Konsulterna” av journalisterna Anna Gustafsson och Lisa Röstlund en upprörande och i vissa stycken hjärtslitande läsning.
Sammanställningen av en lång rad av medvetna beslut av den politiska majoriteten under ett antal år som lett till en alltmer katastrofal situation är skakande och i förstone närmast obegriplig.
Att denna politiska revolution av den stockholmska sjukvården kunnat genomföras trots att den kantats av ekonomiska haverier i en hittills okänd skala, personal som flyr eller är helt uppgivna samt i sin yttersta konsekvens patienter som faktiskt dör på grund av omorganisationen.
Boken ger en mycket grundlig och researchad beskrivning av förloppet, dessutom välskriven.
Jag kommer inte här att gå in på djupet i boken utan rekommenderar den som sommarläsning för alla.
Som konsult kan jag särskilt uppmuntra andra konsulter läsning och därefter visst begrundade av vilken skada man kan göra om man som konsult driver sin egen agenda i kundens organisation.
Det är inte en särskilt hårfin skillnad mellan att ha integritet och att driva sina egna intressen hos kunden.
Efter att ha arbetat i offentlig sektor är det vissa drag i historien obehagligt välbekanta som övertron på att gigantiska omorganisationer löser problem och managementkonsulter som löper amok och kör över alla som har någon slags kompetens, d.v.s.
Den tystnadskultur som drivits fram vid NKS där enbart lovprisning av den värdebaserade vården tolererats är inte heller den ett unikt fenomen utan en sjuka som enligt min uppfattning äter sig allt djupare in i den offentliga sektorn generellt.
Det till synes oreflekterade upphöjandet av nya organisationsteorier som frälsningslära är inte heller unikt för NKS med sin värdebaserade vård.
Själv har jag varit med om allt från LOTS till Lean via lärande organisation, det sistnämnda något ironiskt eftersom varken landstingspolitiker eller myndighetschefer verkar lära sig något av de misslyckade organisationsexperimenten – snabbt är man på nästa modeteori.
Själv har jag mycket liten tilltro till att omorganisationer löser större problem, och för detta finns det heller föga stöd i forskningen.
Men för den ledare som vill sätta sitt märke på kommunen, regionen eller myndigheten kan en stor omorganisation vara det som skapar synlighet och inge en känsla av handlingskraft.
Region Stockholm har dock tagit vissa fenomen till en ny nivå.
Varför den borgerliga majoriteten med m och kd i spetsen valde en ekonomisk driftform (OPS) som blivit många gånger dyrare än att bygga och drifta det nya sjukhuset i egen regi saknar fortfarande rimliga svar förutom att de drevs av en nyliberal överideologi.
För den intresserade som vill djupdyka i denna del finns SvD-journalisterna Henrik Ennart och Fredrik Mellgrens bok ”Sjukt hus: om Nya Karolinska – svindlerierna, skandalerna och sjukvårdskrisen i Stockholm”, också den mycket läsvärd.
Stockholmare kommer att dras med effekterna av denna mycket dåliga affär i decennier framåt.
Att man dessutom låtit konsulter från BCG skicka in juniora konsulter, fakturera vilt samt anställa sina gamla kollegor är även det ganska många snäpp mer än vad som brukar förekomma.
Lägg därtill alla turer där anställda på KI även driver företag tillsammans med amerikanska intressen och försöker påverka utvecklingen av den stockholmska sjukvården så det gynnar de egna företagen snarare än patienterna och vi har en soppa som inte skådats i Sverige i modern tid.
Särskilt oroande blir detta med tanke på att hälso- och sjukvård är en av de sektorer som är mest utsatta för korruption vilket det finns ett aktuellt Konflikt om .Det tål att påminnas om den gamla sanningen att Sverige löper en stor risk för korruption eftersom vår självbild är att vårt samhälle är immunt mot korruption.
För mig har det dock varit av särskilt intresse att ta några steg tillbaka och sätta den värdebaserade vården och den informationshantering som följt med den i ett större historiskt och politiskt perspektiv.
Jag pratar då inte om de ”normala” it-haveriförloppen inom den svenska sjukvården och framför allt Region Stockholm där först politiker går ut med löften om fantastiska nya som sedan .
Därefter glöm, få andra att glömma och upprepa.
Nu pratar vi om en informationshantering med risker på en hel annan nivå och inbyggda i själva styrningen av sjukvården.
Den värdebaserade vårdens ledande företrädare Michael Porter (forskare i management och strategi, inte medicin) brukar enligt författarna av sammanfatta sin teori i ekvationen .
Resultatet mäts i hög grad utifrån patientens upplevelse, inte ett faktiskt mätbart resultat vilket känns fascinerande paradoxalt eftersom modellen i övrigt bygger på att mäta, mäta och åter mäta.
Observera att jag inte på något sätt ifrågasätta patientens rätt att känna sig nöjd med och delaktighet i sin vård utan invändningen ligger i att det finns få så luriga mått som upplevd nöjdhet samt att detta är ett mått är skräddarsytt för en konkurrensstyrd kommersiell verksamhet.
Redan här kan man se hur valet av vårdmodell klickar i den ideologiska revolutionen av den stockholmska sjukvården.
Den värdebaserade vården satt i system förutsätter en gigantisk datainsamling för att verkligen kunna bedöma vilken aktör som vid varje tillfälle lyckas lösa Porters ekvation bäst.
Förutom att i sig skapar det NPM-inferno som även känns igen från den svenska skolan med överdokumentation och rapportering med efterföljande stress är detta en modell som illa överensstämmer med en offentligt finansierad vård.
Istället för att ta det ansvar som krävs för bland annat multisjuka äldre maximeras istället vinsten i modellen för de vårdgivare som avverkar enskilda vårdepisoder snabbast.
Som så ofta i den moderna vårdens historia har frälsare av Porters typ fått dominera och hävda att sjukvård kan ses på precis samma sätt som bilfabriker.
Och varje gång havererar de löpande bandsprinciperna utom i vissa specifika operationstyper eftersom människor envisas med att ha kroppar och sinnen som är så mycket mer unika och komplexa än nyproducerade bilar.
Skandalen på NKS gör dock att jag (och förhoppningsvis andra) får upp ögonen för hur det ekonomiska skede vi lever i fungerar.
Sedan åtminstone 70-talet har vi vetat att vi lever i ett informationssamhälle men vad betyder egentligen det?
Inte bara att vi får en massa nya coola prylar och kan kommunicera via the world wide ( wild) webb utan att vi faktiskt gått in i en ekonomi som har information som sin huvudsakliga råvara.
Den amerikanska professorn i social psykologi Shoshana Zuboff har i sin mycket omskriva beskrivit framväxten av hur det ekonomiska systemet byggt på information som råvara fungerar.
Ofta tolkas hennes teorier endast i förhållande till Google, Facebook och liknande plattformar som .
Att se Zuboffs bok snävt som en beskrivning av hur Google och Facebook fungerar är fel menar jag.
Bland annat den globala hälso- och sjukvårdsmarknaden fungerar idag enligt samma grundprinciper.
I fallet med NKS, BCG och den värdebaserade vården blir det uppenbart hur ekonomiska intressen utanför NKS, Region Stockholm och Sverige ser den svenska sjukvården som en naturresurs att utvinna.
Zuboff är inte ensam i sitt uppsåt att skildra den digitala ekonomins framväxt men hon gör det på ett sammanfattande och övertygande sätt (och med en titel som för tankarna till favoriten bland författare till breda historiska exposéer Hobsbawm).
Mycket grovt förenklat kan Zuboffs skildring av övervakningskapitalismens era ses som ett skede där teknisk innovation korrelerar med framför allt två huvudsakliga faktorer: att det från 70-talet växer fram en nyliberal hegemoni i västvärlden och efter 11 september 2001 ett samhällsklimat som präglas av en allt starkare befogad eller obefogad känsla av otrygghet.
Nyliberalismens huvudkonflikt kan, även detta starkt förenklat, ses som en maktkamp mellan statlig/samhällelig reglering och de fria marknadskrafterna.
Under de senare decennierna av förra århundradet och de två i vårt nuvarande har en systemförändrande avreglering skett och ersatts av metoder som compliance och standarder där marknaden påstår sig kunna reglera sig själv.
Kombinerad med den konsekventa nedmonteringen av rätten till integritet som motiverats av att kunna förhindra terrorism och andra brott har kapat både samhällets och individens förmåga att på ett effektivt sätt skydda sig, eller ens vilja skydda sig, mot att personlig information utan insyn och kontroll används som råvara.
När informationen blivit råvara förflyttas äganderätten av uppgifterna från individen till det företag som kan hävda sig ha ”förädlat” den (här finns en intressant koppling till Nozick som jag inte hinner utveckla närmare men låt mig ändå säga att jag ser Nozick som själva gudfadern till berättigandet av utvecklingen).
I denna historiska korsväg utvecklar först Google och därefter bl.a.
Facebook sina tjänster.
I lika hög grad som att erbjuda användarna möjlighet att utbyta information sinsemellan börjar företagen exponentiellt samla allt mer information om användarnas beteende.
I förstone motiveras detta med att det ska ge underlag för att ge användarna allt bättre tjänster för att sedan allt mer tydligt ge stöd för riktad marknadsföring.
Med den fullständigt enorma informationsbas av överskottsinformation som Google byggde upp kunde de göra så annonsörerna kunde få stor träffsäkerhet i sin annonsering.
Steget efter att ge sökvägar till annonsörerna var det som Zuboff menar är det verkligt revolutionerande: ett överskott av information rörande användarnas beteende som med algoritmernas hjälp går att användarnas behov: Instead, we are the objects from which raw materials are extracted and expropriated for Google’s prediction factories.
Förutsägelserna berör inte bara den enskilda användarna utan, viktigare, på gruppnivå.
Ett positivt exempel är när det genom användares sökningar på Internet går att förutse influensaepidemier.
Obehagligare när en kvinna börjar få annonser om mammakläder i sitt flöde redan innan hon själv vet att hon är gravid… Den verkliga vinsten i att inte bara veta hur folk/kunder beter sig när de får hålla på som de vill utan när tjänsteleverantörerna påverkar kunderna att agera på ett sätt som gynnar leverantören utan att ens fatta det.
Tjänste- och plattformsleverantörer har, som Zuboff visar, ända sedan början haft ett gemensamt intresse och samarbete med statliga myndigheter i USA och annorstädes vilket inte gör osynliga men obetvingliga styrningen mycket skrämmande.
Den generellt positiva syn som många säkerhetsmänniskor har till övervakning blir satt i detta sammanhang oroande naiv.
Marknadspotentialen i att ha tillgång till oceaner av information om beteenden är omätbar inte bara i första läget för det egna företaget utan framför allt som en förpackad kommoditet som kan säljas vidare.
Sätt då detta i korrelation med en bransch som omsätter mellan 10 och 20 % av BNP i västvärldens länder, är i snabb global tillväxt och dessutom samlar in och bearbetar känslig personlig information om alla invånare.
Landskapet som NKS och den värdebaserade vården sätts i kan liknas vid det El dorado som conquistadorerna drömde om, med skillnaden att Sverige verkligen finns och har kvalitetsregister och patientjournaler för hela befolkningen.
Det vill säga ett verkligt El dorado för inte bara vård- och läkemedelsföretag utan även försäkringsbranschen.
Cyberrymden är en ny jättekontinent som exploatörerna vill hålla så fri från reglering som möjligt.
De fantastiska marknadsmöjligheter som ligger i att kunna prognosticera patienter och försäkringstagarnas utveckling är oöverblickbara.
Denna sanning uttrycks explicit i ett citat av en högt uppsatt tjänsteman på Karolinska som inleder avsnittet som är mycket lämpligt benämnt ”Guldet” i DN-journalisternas bok: Det är en sak som BCG och bolagen de jobbar med främst vill åt.
Det är patientdata som är deras bitcoins.
Däri ligger den stora affären i värdebaserad vård.
Vi måste lära oss att leva med att Sverige med sin långtgående nyliberalism i kombination med de kvalitetsregister som på frivillig basis byggts upp under mycket lång tid tillsammans alla övriga patientdata kommer att ha ofattbar dragningskraft på internationella företag.
Det gäller på samma sätt för all annan information inklusive personuppgifter som sammanställs av svenska myndigheter.
Det viktiga är att detta hanteras på ett öppet sätt där inte bara företagen blir nöjda utan att även kärnverksamheten och dess avnämare som patienter och medborgare.
När man ser mekanismerna som varit i kraft vid NKS kan jag inte låta bli att undra över exempelvis satsningen på När satsningen presenterades av Göran Hägglund (numera tryggt förankrad i privata vårdföretag) framställdes som en särskild USP att app-leverantörer och andra entreprenörer skulle kunna bygga tjänster på de datamängder som insamlades.
Vad var egentligen hönan och vad var ägget i Hälsa för mig?
kan ses i full careta när det gäller även härvan på NKS och den värdebaserade vården.
Lobbyismen, parasiterandet på akademin och de vilseledande budskapen om vem som gynnades.
Utan att ta partipolitisk ställning tycks för närvarande samhällets förmåga att hantera en skandal som den vid NKS undermålig.
Inget ansvarsutkrävande av de verkligt ansvariga, d.v.s.
de politiker som fattat samtliga beslut både när det gäller byggnation, värdebaserad vård, konsultanvändande och it-system, har skett.
Fristående och seriös journalistik förefaller vara det enda sättet för att skapa den insyn och kontroll som de offentliga institutionerna inte är intresserade av att själva bygga upp vilket i sig är en dyster insikt.
I detta sammanhang är en stilla önskan att hela e-hälsoområdet kommer att locka till sig lika envetna, seriösa och välskrivande journalister som de som nu skrivit ”Konsulterna”.
Ett helt ofarligt löfte att ge är att det finns lika mycket att gräva fram om e-hälsa som om NKS!
Det är lätt att hamna i en politisk depression när man funderar över hur digitaliseringens starka krafter ska kunna tyglas för att dra åt ett håll som gynnar hela samhället och så att individen har en basal möjlighet att upprätthålla sin integritet.
Att krafterna som motverkar integritet är mycket kraftfulla är uppenbart och argumentationen från de kommersiella aktörerna mot integritet som hindrar affären dominerar även i ett stort antal myndighetsutredningar har jag länge observerat.
Den sittande majoriteten i Region Stockholm gjorde det till och med till ett vallöfte att göra stockholmarnas patientdata tillgängligt för industrin.
Trots detta drabbades jag litet av en chock när jag i slutet av ”Konsulterna” får läsa att OECD antagit värdebaserad vård som strategisk inriktning och kräver att medlemsländerna, däribland Sverige, ska dela patientdata via en jättelik gemensam databas, ”Parisdatabasen” där OECD är ägare till uppgifterna.
Detta sker i samarbete med – BCG… Databasen vars nytta bedöms oklar av Socialstyrelsen och vars syfte inte klart har definierats anses ändå oumbärlig.
Särskilt upprörande är att det inte går att avtala vem som ska få tillgång till informationen utan har beskrivits som ”OECD och framtida samarbetspartners”.
Ganska långt från dataskyddsförordningens regler är väl ett understatement.
Jag uppmanar alla intresserade att hålla ögonen på detta projekt, särskilt som det verkar som att OECD i aggressiva ordalag kräver in uppgifter trots svenska myndigheters tveksamhet.
Landsting och regioner är däremot föga förvånande positiva, en nödvändig levnadsregel är nog: lita aldrig på en region i integritetsfrågor.
Vad kan då göras?
Jag menar att vi måste kunna införa ett slags samhälleligt marshmallows-test där vi vågar utreda vår nya situation och skaffa oss nödvändiga redskap för att styra utvecklingen åt ett håll som gynnar flertalet och inte bara viljelöst följa med.
Oavsett politisk uppfattning bör vi kunna komma överens om att de intressekonflikter som finns i den digitala utvecklingen måste lyftas fram och diskuteras så att åtminstone invånare i demokratier har möjlighet att ställning till hur de vill ha framtiden.
Ett konkret förslag är att tillsätta en etisk kommitté med uppdrag att fortlöpande utvärdera och ta ställning till större initiativ inom digitaliseringsområdet.
DIGG kan vara sammankallande och sköta kansliet för kommittén men ett antal mycket fristående och erkänt motspänstiga ledamöter av typen filosofer bör ingå.
Otillräckligt men kanske ett första steg på att erkänna att varje mynt har åtminstone två sidor, så även digitaliseringen.
Slutligen måste jag understryka att jag inte ger någon av de nämnda böckerna rättvisa utan uppmanar alla att själva läsa dem och bilda sig en egen uppfattning.
Själv fick jag min nya Fitbit igår… Tillägg 2019-06-18: Ett visst hopp angående möjligheten att OECD:s planer kan ändå skönjas i och med regeringens beslut att inte delta i uppbyggnaden av .
Det är högintressanta tider då vissa frågor ställs på sin spets.
I min begränsade värld är en av dessa frågor det så kallade e-arkivet, denna företeelse så omgiven av förväntningar och föreställningar.
Under den senaste tiden har två stora händelser timat inom området: Statens servicecenter misslyckades med sin upphandling av e-arkiv och SKL Kommentus Inköpscentral (fortsättningsvis kallad SKI) lyckades med sin.
Det kan tyckas vara två mycket likartade händelser men ju mer man gräver så framstår skillnader allt tydligare.
Jag är ju en enkel konsult vars främsta uppgift är att försörja mig men eftersom jag misstänker att ingen annan bättre lämpad funktion tänker göra någon analys av varför det gick som det gick fattar jag ändå pennan/tangentbordet.
En brasklapp är naturligtvis att jag inte har den tid och de resurser som krävs för att göra en fullständig analys utan att jag enbart kommer att ta upp vissa aspekter som särskilt intresserar mig och då främst säkerhetskraven.
I ingetdera fallet kommer jag att kommentera de konsulttjänster som ingår i upphandlingarna utan endast upphandlingen av själva tjänsten eller applikationen.
För att förstå dessa upphandlingar behöver några basala förutsättningar slås fast.
Något som är självklart för den med litet insikt i arkivfrågor är att lagring av digital information inte täcker begreppet e-arkiv.
Här finns dock inte utrymme att gå igenom alla intrikata aspekter men låt mig poängtera vissa grundläggande frågor: Ovanstående punkter sammantaget med att Riksarkivet, för att uttrycka det milt, inte är direkt sugna på att ta emot digital arkivinformation och det inte heller finns en övergripande strategi för den långsiktiga nationella arkivverksamheten försätter myndigheterna i en svår situation.
Man har helt enkelt en exponentiellt växande digital informationsmängd att långsiktigt ta hand om utan det finns tydliga lösningar för hur det ska ske.
Förutom myndigheters, kommuner och regioners vånda så är vi nog en hel del som känner en stor oro på samhällsnivå för de stora informationsförluster vi riskerar att göra.
En informationsförlust som inte bara är ett stort hot mot dagens och framtida forskning utan också för vårt gemensamma minne.
Det finns naturligtvis enstaka ljus i mörkret som Sydarkivera som förtjänar att lyftas fram men som helhet ser det tämligen mörkt ut.
Det är alltså i denna kontext som de två upphandlingarna ska sättas in och som kanske kan ge en förklaring till varför de utfallit som de gjort.
Inledningsvis kan slås fast att de två upphandlingsprojekten knappast kan ha haft mycket samröre.
Olikheten i synsätt och begrepp är iögonfallande trots att det i båda fallen handlar om offentlig sektor och delvis överlappande verksamheter.
En sak är dock den samma för båda upphandlingarna: det handlar inte om att upphandla en lösning för det långsiktiga arkivbehovet.
I stället uppfattar jag det mer som att göra en quick fix i väntan på något mer bestående.
Det är alltså möjligen lösningar för mellanarkiv vi pratar om där information av olika karaktär (allmänna handlingar och annat) lagras under en i arkivperspektivet begränsad tid för att därefter gallras, rensas eller föras över till en slutförvaring.
Såvitt jag kan se handlar också lösningar om överföring från system till system eller från system till tjänst, ingen inriktning mot ett mer infrastrukturellt tänkande finns med.
Jag är inte förvånad över detta men vill ändå betona detta.
Trots likheten i behov har SSC och SKI hamnat i två helt olika upphandlingar.
SSC har sedan 2014 bedrivit sitt upphandlingsprojekt där också ett antal statliga myndigheter deltagit och varit utsedda som ”pilotmyndigheter” (bakgrunden finns ).
Utifrån regeringsuppdraget lämnades en första delrapport 2015 med ett förord signerat både av SSC:s GD och riksarkivarien.
Jag vill inte undanhålla läsaren sammanfattningen i rapporten som var följande (felstavning inkluderad): Det finns goda förutsättningar för att skapa en förvaltningsgemensam tjänst för e-arkiv.
· Det blir en minskad investeringskostnad och en besparing för staten som helhet.
· Bara genom att etablera ett gemensamt e-arkiv istället för sju separata för pilotmyndigheterna, sparar staten flera tiotals miljoner kronor.
· Det finns etablerade arbetsätt för e-arkivering · Marknaden är mogen och det finns system och leverantörer.
· Sju pilotmyndigheter har skrivit på en avsiktsförklaring om att ansluta sig till tjänsten.
Förutsättningar för fortsatt arbete: · Regeringen behöver undanröja de juridiska hindren genom en förordningsändring.
· Statens servicecenter (SSC) och Riksarkivet förordar att projektet går vidare till krav- och upphandlingsfas, under förutsättning att regeringen bidrar med tillräcklig finansiering.
Även den som är luttrad från digitaliseringsprojektens närmast obligatoriska glädjekalkyler kanske ändå hoppar till litet vid sådana diffusa fördelar som att staten ska ”spara flera tiotals miljoner kronor”.
Konstateranden som att det finns en mogen marknad för e-arkiv och dessutom etablerade arbetssätt för e-arkivering känns idag 2019 som önsketänkanden och var det ännu mer 2015.
Det var utgångspunkterna för projektet som visserligen har haft riksarkivarien som styrgruppens ordförande och en stilig projektdokumentation men som ändå slutade i att upphandlingen av en nationell molntjänst avbröts strax före jul 2018.
Vad SSC under fyra år försökt upphandla är alltså en molntjänst för ett stort antal myndigheters e-arkiv (om man ser till de tillväxtstaplar som presenterats i projektet): Den ”tjänst” som Statens servicecenter efterfrågar i denna upphandling är således att betrakta som en sammanhållen leverans och ska inte förväxlas med begreppet ”Software as a service” (SaaS).
Skillnaden är att den grundläggande arkivmjukvaran upphandlas i form av en programvarulicens medan de övriga delarna i leveransen upphandlas som en tjänst på månadsbasis.
Istället för en normal upphandling av molntjänsten valde SSC att göra en så kallad konkurrenspräglad dialog.
Statens servicecenter har valt konkurrenspräglad dialog som upphandlingsförfarande då det inte är möjligt att utforma samtliga krav på tjänsten i förväg.
Med tanke på komplexiteten i uppdraget och de rättsliga förutsättningarna krävs dialog med erfarna leverantörer för att slutgiltigt utforma kraven.
Detta är enligt mig en mycket svår upphandlingsform inte minst när det gäller applikationer och molntjänster.
För att kunna styra en sådan upphandling krävs en mycket fast hand från kunden för att inte hamna på olika typer av grynnor och skär.
När då kunden redan inledningsvis skriver att man inte kunnat utforma kraven på tjänsten känns den fasta handen rätt avlägsen.
Som säkerhetsintresserad börjar man skruva på sig; att upphandla en nationell molntjänst med en glidande kravspec känns…obehagligt.
Låt oss då se på säkerhetsinriktningen i SSC:s konkurrenspräglade dialog.
För det följande är det viktigt att ha i åtanke att syftet med processen att nå fram till leverantör av en molntjänst, d.v.s.
en tjänst där stora mängder offentlig ackumuleras.
Kravet på tjänsten har varit att den ska kunna hantera den information som kundmyndigheterna väljer att stoppa in, även sekretessreglerad information.
Däremot inte hemliga handlingar: den förvaltningsgemensamma tjänsten för e-arkiv ska inte dimensioneras för hantering och lagring av hemliga uppgifter och handlingar.
Hemliga uppgifter och handlingar ska därför fortsatt, och av kundmyndigheterna själva, förvaras på annat sätt e-arkivet som sådant bör betraktas som säkerhetskänslig verksamhet – av betydelse för rikets säkerhet.
Detta bland annat mot bakgrund av de stora informationsmängder, från många myndigheter, som ansamlas i lösningen och de konsekvenser som till exempel ett bortfall av tjänsten skulle kunna medföra för berörda verksamheter – och för samhället Redan här väcks många frågor.
Om man ser det potentiella e-arkivet som en säkerhetskänslig verksamhet enbart p.g.a av att det ansamlas stora informationsmängder varför då utan närmare argumentation välja en lösning som leder just till detta?
Följden av beslutet har blivit att man valt att göra en upphandling med krav på säkerhetsskyddsavtal på nivå 1, alltså den högsta nivån.
Detta ställer stora krav på leverantören som att införa en säkerhetsskyddsorganisation, att välja vissa specifika säkerhetslösningar och att införa utvidgade säkerhetskontroller av anställda.
Förutom att säkerhetsskyddsåtgärderna av naturliga skäl kan minska effektiviteten i lösningen innebär ökade kostnader och därmed ökat utpris för kunden.
Det innebär minskad integritet för anställda och i många fall även fördyrande krav i kundens egen verksamhet.
I detta fall ställer jag mig också tveksam till på vilket sätt e-arkivet om det inte upprätthåller tillgängligheten skulle utgöra ett hot mot Sveriges säkerhet liksom att antagonistiska hot skulle vara den primära risken (jag går inte djupare på den nya lagens syn på riktighet och tillgänglighet eftersom den är i bästa fall oklar).
Om detta synsätt sprids, d.v.s.
att det visserligen inte är säkerhetskänslig information som kommer att hanteras i lösningen men vi kommer ändå att använda SUA, så kommer i princip varenda molntjänst som används i offentliga uppdrag av privata och offentliga aktörer att falla under säkerhetsskyddslagen.
Om säkerhetsskyddslagens syfte är att skydda ”det mest skyddsvärda” så kan vi inte låta det gå inflation i tillämpningen så att den blir det nya normala.
Jag vill bara framföra ett milt: sansa er och försök tänk på konsekvenserna av detta (även om utredningen som ny säkerhetsskyddslag hade en ytterst sangvinisk konsekvensanalys, återkommer till det i ett senare inlägg).
Det kanske mest häpnadsväckande är att informationsklassning och skyddsnivåer inte nämns vare sig i inbjudan eller bilagan.
Utan kommentar förutsätts alla myndigheter ha samma behov av säkerhet och kravs ställs inte på leverantören att kunna leverera tjänsten på olika fastställda skyddsnivåer.
Min fundering blir då vem som blir riskägare i det här konceptet om kundmyndigheten inte kan påverka tjänsten.
Detta känns igen från SSC:s övriga tjänster vilket jag ser som ett grundproblem med hela konstruktionen.
Förutom detta ställde SSC även krav på certifiering mot ISO 27001 eller motsvarande icke-certifierat ledningssystem, SOA samt beskrivning av säkerhetskontroller.
Detta är ett krav som måste finnas med men som i praktiken, enligt min erfarenhet, inte utgör en garant för ett väl fungerande säkerhetsarbete.
Hunnen så här långt i genomgången av upphandlingen pockar två frågor på.
För det första har SSC begränsat antalet möjliga leverantörer mycket starkt.
Fyra års utredande borde ha gett en marknadsanalys som påvisat att det finns mycket få svenska leverantörer som kan eller vill leverera på dessa villkor.
Historien visar ju också att endast en leverantör återstod när upphandlingen avslutades.
Den andra frågan är varför denna upphandlingen sker över huvud taget.
Ett alternativ hade varit att gå ut i en vanlig ramavtalsupphandling där Riksarkivet kunnat bistå med expertkunskap på samma sätt som de nu gjort i SSC:s upphandling.
Vad exakt tillför SSC som inte myndigheterna skulle kunna få i en direktrelation med leverantörerna?
Eftersom man då skulle kunna få fler leverantörer skulle förhoppningsvis den koncentration som påkallat säkerhetsskydd kunnat undvikas (ja, här ligger en mycket, mycket större fråga om den totala mängden tjänster hos leverantörerna och ramavtalens oligopolskapande kraft men jag hinner inte ta den nu).
Till detta kommer en bilaga med ganska ordinära säkerhetskrav.
Några reflektioner kan dock göras.
Påfallande många av kraven är inexakta av typen att leverantören ska beskriva vilken säkerhetsfunktionalitet finns.
En förvånansvärt stor andel av det som kan kallas säkerhetskrav ägnas åt fysisk säkerhet.
Och som sagt: nivåer saknas.
Sammantaget skulle det skapa stora svårigheter för kundmyndigheten att bedöma vilken den faktiska säkerheten i leveransen blir.
Om man summerar SSC:s kravbild inklusive orimliga krav som att leverantören ska ha erfarenhet av att tillämpa Riksarkivets FGS i praktiska lösningar vilket i princip är en omöjlighet eftersom det knappt finns några FGS:er så undrar jag om SSC verkligen velat ha en leverantör.
I förtroende har leverantörer förmedlat att har saknats dialog trots den upphandlingsform som valt och som bygger på just dialog.
Trots att endast en leverantör återstått under det sista året har upphandlingen rullat på och därefter avslutats bland annat med motiveringen att det var för få leverantörer.
I upphandlingsunderlaget återkommer följande formulering: Under avtalstiden kan uppdraget komma att begränsas eller på annat sätt förändras med anledning av författningsändringar eller förändrade uppdrag för Statens servicecenter.
Bland annat kan det bli aktuellt för statliga myndigheter att ansluta till en så kallad statlig molntjänst.
Med tanke på att företrädare för SSC ofta vädrat en önskan om att få uppdraget att ta över statlig it-drift och skapa en statlig molntjänst så kan inte tanken att angelägenheten att få affären i hamn kanske inte var helt odelad helt viftas bort.
SKI:s upphandling är en förnyad sådan så man får anses ha mera erfarenhet på området än SSC.
Av teoretiska och praktiska orsaker är jag tilltalad av SKI:s inriktning att använda definitionen ”funktion för e-arkivering” även om det finns aningen av ironi i motstridigheten när funktionen beskrivs som I definitionen av funktionen för e-arkivering beskrivs e-arkiv i termer av vad e-arkivet ska klara av, vilka behov som ska tillgodoses, snarare än vilka funktioner som ska finnas.
Detta är en betydligt mer öppen upphandling i meningen att det finns möjlighet för kunderna att använda avtalet både för att kunna köpa en molntjänst och för att köpa en applikation för egen drift.
I alla fall hypotetiskt minskar det risken för den koncentration som föranledde kravet på SUA för SSC.
SKI har alltså valt att inte göra en SUA, helt korrekt enligt mig.
Det ger också kunden möjlighet att lägga till egna säkerhetsåtgärder i en applikationsdrift och anpassa applikationsdriften till egna skyddsnivåer.
Att flera leverantörer finns på ramavtalet minskar inte bara koncentrationen av information utan gör också lättare att välja en leverantör som motsvarar den egna kravbilden utöver det som står i ramavtalet.
Jag tror (med betoning på tror) att ramavtal är en bättre lösning även ur säkerhetssynpunkt om det är oklart vad en mellanliggande myndighet ska tillföra eftersom kunden då har möjlighet att ha direktkontakt med leverantören.
Applikationsdrift i all ära men för mindre verksamheter kan molntjänster innebära en mycket bättre säkerhet än vad man kan skapa själv (har redan skrivit om detta ett antal gånger så jag vevar inte argumentationen ytterligare en gång).
Inte heller i SKI:s upphandling finns skyddsnivåer definierade även om informationsklassning nämns som en del i de konsulttjänster som kan avropas.
Krav på certifiering ställs inte och säkerhetskraven är inte frilagda på samma sätt som i SSC:s upphandling.
Likaså är många kraven av samma något diffusa karaktär som i SSC:s upphandling.
Det är därför svårt att på rimlig tid skapa en bild av hur den tänkta säkerhetsarkitekturen ser ut.
Jag tror dock att det varit enklare att hitta fram till ett samförstånd i denna upphandlingstyp än i den konkurrenspräglade dialogen som SSC valde som upphandlingsform.
Ett problem med båda upphandlingarna är att det är svårt att se vilka riskbedömningar som gjorts och det är även svårt att se något systematiskt arbete som föranlett de säkerhetskrav som faktiskt ställts.
Jag uppfattar det inte som att säkerhet varit en väl analyserad fråga i upphandlingarna även om SSC drämde i med storsläggan säkerhetsskydd.
Generellt skulle jag vilja hävda att kunden som använder SKI:s ramavtal har större möjlighet att påverka säkerheten i sin informationshantering än den tänkta kunden hos SSC.
Hur stora koncentrationer av information ska hanteras är en fråga på nationell nivå där jag inte tror att säkerhetsskydd är lösningen.
I båda fallen har (eller skulle ha haft) kunden ett drygt arbete att analysera sitt säkerhetsbehov innan en tjänst kan tas i drift.
En from förhoppning är fortfarande att ta fram gemensamma skyddsnivåer till gagn både för kunder och leverantörer.
Ytterligare en önskan skulle vara att tydligare utgå från de tilltänkta kundernas situation och möta dem där de är.
Om ett nationellt ”e-arkiv” ska byggas upp bör behov och lösningar analyseras mycket mer noggrant.
Det handlar om både organisation, tjänster och infrastruktur.
De utredande ansatser som gjort av SSC övertygar mig inte om att denna myndighet är rätt instans för detta uppdrag.
Under en övergångsperiod menar jag att den realistiska lösningen är att upphandla tjänster.
En observation som kan göras är att den organisation som har till uppgift att göra upphandlingar är den som lyckas.
En lärdom av detta kan vara att uppmärksamma hur komplicerad själva upphandlingsprocessen är och att den bäst sköts av en organisation med expertkompetens.
Att ha icke-koordinerade lösningar mellan stat och kommun/region är olyckligt.
Eftersom informationen flödar mellan arkivbildare bör det konceptuellt vara samma typ av lösningar.
Här finns även möjlighet att ge stöd för de privata utförarna av offentliga uppgifter – ett område som nu tycks bortglömt.
Slutligen vill jag, som så ofta, understryka betydelsen av att Riksarkivet tar ett betydligt större ansvar för e-arkivfrågan.
Det gäller både operativt i rena kravställningar men också strategiskt.
Redan nu görs enorma informationsförluster vilket borde sporra Riksarkivet till att göra det till sin huvudfråga.
Föreställningen om att e-arkiv handlar om att överföra information från ett system till ett annat måste överges och de stora informationsarkitekturerna prioriteras.
För att lyckas med krävs mycket stora insatser.
Två viktiga steg menar jag är att befria SSC från uppdrag inom e-arkivområdet och att inse att det som nu kallas e-arkiv egentligen är ett informationshanteringssystem som inte löser den långsiktiga arkivfrågan.
Därefter bör ett nytt uppdrag skapas.
Grunden för ett sådant uppdrag bör vara att staten nu (och sannolikt inte under överskådlig tid)inte har förutsättning att utveckla informationshanteringslösningar i den omfattningen själv.
Att omforma eller kopiera SKI:s ramavtal så att även statliga myndigheter kan använda det är ett sätt att skapa förutsättningar för en mogen marknad där leverantörer kan se en långsiktighet som gör att de vågar investera i utveckling.
Tillägg 2019-02-10: Uppmärksamma läsare har hört av sig och sagt Kammarkollegiets ramavtal innebär en möjlighet för alla aktörer inom offentliga sektor att upphandla e-arkivlösningar för installation i den egna miljön.
Definitionen av e-arkiv är på samma sätt som övriga sparsmakad och på samma gång förbryllande, arkivarie som jag är har jag svårt att uppfatta skillnaden mellan arkivering och långtidsarkivering: Anbudsgivare ska erbjuda minst en programvara för e-arkiv för installation i kunds it-miljö.
Med e-arkiv menas en programvara för arkivering och långtidsarkivering av handlingar för installation i kunds it-miljö Naturligtvis borde jag nämnt avtalets existens.
Jag har dock redan i ett tidigare inlägg beskrivit hur jag försökt få svar på vilken säkerhet dessa leverantörer kan erbjuda utan att lyckas (ingen svarade).
Dessutom går ramavtalet såvitt jag kan se ut den sista november i år.
Att avtalstiden snart går ut ökar möjligheterna för att ta ett större grepp om frågan.
Om jag ser tillbaka och försöker se var jag fått vägledning i min roll som informationssäkerhetsansvarig så är det första jag kommer att tänka på den Handbok i it-säkerhet i tre delar som Statskontoret gav ut 1997.
Även om den angav att innehållet var it-säkerhet var det i realiteten informationssäkerhet den handlade om, det vill säga den organisatoriska styrningen med hjälp av ett antal aktiviteter.
När jag tittar tillbaka i den är det inte så mycket som förändrats vilket väl får sägas vara en ganska dyster insikt.
Trots att Statskontoret inte hade ett mer renodlat informationssäkerhetsuppdrag tog man även fram ett metodstöd och mallregelverk som skulle hjälpa myndigheter att införa ett ledningssystem för informationssäkerhet.
Stödet kallades OffLIS och kom 2003 som en del i arbetet med ”24-timmarsmyndigheten”.
Krisberedskapsmyndigheten (KBM), inrättades efter vissa förvecklingar 2002 och var en av de myndigheter som 2009 slogs samman till dagens MSB.
I KBM:s uppdrag fanns bland annat att ha det sammanhållande myndighetsansvaret för samhällets informationssäkerhet och att utforma en nationell handlingsplan för informationssäkerhet.
Som en del i detta uppdrag tog man fram metodstödet BITS (Basnivå för it-säkerhet) som var tänkt att fungera som en de facto-standard för offentlig sektor.
BITS introducerades kraftfullt av KBM inte minst i kommunerna och bistod även med en slags konsultstöd samt olika typer av bidrag för att exempelvis höja den fysiska säkerheten och förbättra tillgången till reservkraft till kommunala datorhallar.
OffLIS och BITS slogs ihop 2005 för att få en ökad enhetlighet.
Seklets första årtionde var rörligt när de gällde informationssäkerhet.
Vid sidan om KBM:s uppdrag pågick informationssäkerhetsutredningen, Verva skrev föreskrifter om säkert informationsutbyte och Nämnden för elektronisk förvaltning tillsattes 2003 med uppgiften: ” att stödja utvecklingen av ett säkert effektivt elektroniskt informationsutbyte mellan myndigheter och mellan myndigheter och enskilda genom att beslut om vilka standarder för informationsutbyte myndigheter under skulle använda sig av” vilket ju låter välbekant.
Trots att frestelsen är stark ska jag inte gå längre in detta just nu utan bara konstatera att BITS var synnerligen populärt inte minst hos kommuner och efterfrågades långt efter att MSB valt att avveckla stödet.
Ett antal kommuner hänvisar fortfarande i sina styrande dokument till BITS (det är bara att googla och kolla).
Vad var det då som gjorde BITS så populärt?
En vanlig uppfattning bland de kommunala företrädare jag diskuterat frågan med var att BITS gav dem enkla handfasta regler och en tydlig lägstanivå att förhålla sig till.
Utifrån de resurser som står till buds i en liten eller medelstor kommun har detta setts med viss tacksamhet, särskilt då stödet åtföljdes med ett visst konsultativt och ekonomiskt bistånd.
Själv har jag varit skeptisk.
Ett skäl var att BITS var så inriktat på it-säkerhet (även om man vid revideringen 2006 gjorde en strukturell anpassning till ISO 27000).
Ett annat att en tillämpning av BITS leder till en basnivå medan det verkliga behovet i en kommun (liksom i andra organisationer) är att kunna ha olika nivåer av skydd beroende på informationens och verksamhetens karaktär.
Framförallt har jag tyckt att man riskerar att missa den unika organisationens behov.
BITS övergavs också av KBM och sedermera MSB.
Idag är utgångspunkten för de stöd som tas fram att varje organisation ska starta från noll och ta fram sitt eget ledningssystem med alla delar.
Den enskilda organisationen erbjuds det som kallas metodstöd eller delmängder som stöd för att klassa system.
Bara i offentlig sektor innebär det att över 400 myndigheter, 290 kommuner och 21 regioner själva ska ta fram och förvalta respektive ledningssystem, metoder för risk-och kontinuitetshantering och skyddsnivåer.
Detta är en enorm arbetsinsats som dessutom kräver att varje myndighets/kommuns/landstings ledningssystem måste översättas vid samarbeten.
Till detta kommer alla andra nödvändiga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering,….
Objektivt sett kommer detta inte att vara möjligt att genomföra eftersom det inte finns tillgänglig kompetens i en omfattning som ens är i närheten av vad som skulle behövas.
Min uppfattning är att en dellösning på den annars omöjliga ekvationen med starkt ökande krav på systematiskti kombination med en mycket påtaglig brist på tillgänglig kompetens är en ökad standardisering.
Jag har därför börjat ompröva min tidigare inställning.
Som en följd av detta tror jag det dags att ta fram en ny inriktning där en omvärdering göras av de tankar som låg bakom BITS och även OffLIS kan ingå som ett första steg.
Då menar jag inte att en revision av BITS eller en återstart på OffLIS.
Snarare att seriöst analysera vilka delar av esom kan standardiseras i olika typer av organisationer.
Ett nytt koncept borde istället vara inriktat på s. Jag ska här bara skissa upp några punkter där en standardisering skulle kunna ske och ge mycket stora samordningsvinster.
För enkelhetens skull så kan vi ta kommunerna som exempel.
Det är också lämpligt eftersom kommunerna har mycket komplexa säkerhetsbehov som är mycket svåra att hantera för den enskilda kommunen, inte minst för de små och medelstora kommunerna.
De svenska kommunerna har tio obligatoriska uppgifter, det vill säga uppgifter som de enligt lag ska utföra oavsett kommunens storlek och resurser.
Dessa uppgifter genomförs på olika sätt i olika kommuner och i olika organisatoriska konstruktioner.
Men processens olika aktiviteter är i stort sett de samma i flera av dessa obligatoriska uppgifter.
Att söka plats på förskolan eller att administrera den politiska beslutsapparaten innehåller samma moment och i stort samma information om än med olika benämningar.
För att underlätta för kommunerna skulle följande kunna göras nationellt: Naturligtvis bör det framgå att organisationen måste göra egna riskbedömningar och att det enbart är förslag.
Ändå skulle detta vara en mycket värdefull hjälp för kommunerna som också skulle kunna tillämpa grundmodellen för informationsklassning med skyddsnivåer för den unika information som kan utöver de standardiserade förslagen.
Låter mycket att ta fram nationellt tänker ni kanske.
Betänk då att alternativet är att ta fram detta i 290 kommuner, i många fall utan tillräcklig kompetens och resurser, och då få fram inkompatibla lösningar.
Sannolikheten för att flertalet kommuner inte klarar uppgiften och istället får skämmas i rapporter från MSB och Riksrevisionen är inte direkt låg.
Jag menar därför att det är en mycket rimlig investering att skapa nationella lösningar där det faktiskt går.
Hur dessa lösningar ska tas fram och vem som ska ansvara för utveckling och förvaltning tål att diskuteras.
Kanske är en stiftelse där även privata aktörer skulle kunna ingå ett alternativ?
Efter mitt förra inlägg om e-hälsa har jag fått en del kommentarer som visar att sjukvårdens organisation och i ännu högre grad e-hälsoområdets styrning är en okänd värld för många.
Som en projektledare en gång sa till mig som en förebärare för Trump: ”Hur svårt kan det vara med sjukvård (och e-hälsa)?”.
Ganska svårt skulle jag vilja säga vilket även Trump .
Därför kommer här en inledning för att ytterligare förtydliga hur jag uppfattar organisationen idag (finns utrymme för osäkerhet i detta) samt ge ett praktiskt exempel på vad det leder till.
För att bara titta på den bristande styrningen har jag uppdaterat en gammal bild till hur jag tror det ser ut i dag (jag har inte tagit med finlir som kvalitetsregister och trygghetslarm m.m., m.m.).
Bilden är ett försök beskriva samspelet.
Som framgår är ett flertal myndigheter involverade i olika delar, det finns utförare och leverantörer.
Två saker är slående.
Den första är att det inte finns en överordnad myndighet med mandat att hålla ihop helheten och som kan vara kontaktpunkt för övriga aktörer.
Med tanke på hälso- och sjukvårdens betydelse för samhället i olika dimensioner, de mycket stora offentliga resurser som går till sjukvården och det stora antalet aktörer som deltar i det gemensamma vårdarbetet måste detta ses som ett icke-rationellt sätt att organisera det hela om man vill ha effektivitet, kvalitet och strategisk inriktning.
Det andra är SKL och sjukvårdshuvudmännens organisation som jag menar inte håller måttet för de uppgifter som man åtagit sig.
Sjukvårdshuvudmännen har en roll som offentliga organ som är reglerad i lagstiftningen.
Detsamma gäller för vårdgivare oavsett om de är privata eller offentliga.
Men i denna ordning har alltmer SKL glidit in, en intresseorganisation som inte är en myndighet, inte har en lagfäst roll och inte omfattas av offentlighetslagstiftningen.
Riksrevisionen har pekat på detta i en gällande den generella styrningen på vårdområdet.
Inom e-hälsoområdet är problemen med detta mycket tydligt.
En inte oviktig fråga i detta är att det öppenhetskrav som gäller för myndigheter som landsting, regioner och kommuner försvinner då de samarbetar i sin intresseorganisation.
Nu när aktiviteter som tidigare skedde i respektive huvudmans verksamhet flyttas in i SKL:s hägn (inklusive Inera) försvinner också insynen.
Detta kan jämföras med kommunalförbund där insynsmöjligheten fortfarande finns kvar.
Denna fråga verkar inte engagera SKL i någon högre grad, jag söker på hemsidan för att finna om man frivilligt erbjuder en likande insyn i beslutsunderlag och annat som skulle räknas som allmänna handlingar hos SKL:s medlemmar men ser inga sådana informationsinsatser.
Jag skickade även ett mail till SKL:s infoadress den 24 juli: Hej!
Jag vet att SKL inte är en myndighet och därmed inte omfattas av offentlighetslagstiftningen.
Däremot är SKL:s medlemmar det liksom medlemmarnas uppdragsgivare.
Min fråga är hur eftersträvar SKL att ändå kunna erbjuda motsvarande transparens som medlemmarna förutsätts ha?
Detta borde vara allt viktigare i och med att SKL har tagit på sig allt fler uppgifter av operativ karaktär och frågor som starkt påverkar medlemmarnas prioriteringar och finansiering.
Eller är SKL:s linje att allmänheten får tillräcklig insyn via det material som publiceras på den egna webbplatsen?
Detta mail är fortfarande obesvarat efter ett par veckor, kanske beroende på semestertider, vilket i sig är en intressant illustration av att SKL inte omfattas av kraven på myndigheter att snabbt besvara inkommande frågor.
I frågan om e-hälsa är det dock de bristande organisatoriska förutsättningarna som är mest värda att ifrågasätta.
SKL är i sig inte en organisation som är skapad för att bedriva operativ verksamhet utan för att driva förhandlingar i huvudmännens intresse mot arbetstagare och delvis även mot regeringen.
Nu har man omvandlat sig till något som varken är företag eller myndighet men har en horisontell integration där huvudmännen både är leverantörer och kunder, en typ av organisation som redan Vänerskogs jättelika konkurs 1981 visade problemen med.
Denna oreda av aktörer i en infrastruktur av mycket känslig information är detta, ja jag vågar klämma i med, katastrofalt.
Ett mycket stort antal stort antal aktörer är inne och rycker i den gemensamma informationsinfrastrukturen utan att det finns en konkret inriktning utom den som delas av regeringen och SKL.
Jag noterar att webbplatsen inte uppdaterats sedan oktober 2017 men att det kommit en som mest verkar vara ett underlag för förhandlingar samt ett antal fluffiga mål.
Det är långt till verkstaden om man säger så.
Vad leder detta till i praktiken?
Ett bra exempel är hur den ganska naturliga frågeställningen om att ge patienten tillgång till mer information om sin hälsa, behandlingar m.m har hanterats.
För att klargöra utgångsläget så har patienter haft rätt att ta del av sin journal sedan länge, se patientjournallagen (SFS 1985: 562).
En journalhandling inom enskild hälso- och sjukvård skall på begäran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller kopia, om inte annat följer av 2 kap.
8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.
E-hälsofrågan i det hela handlar mer om patienten kan del av journalen.
Personligen tycker jag att hela frågan är felformulerad – istället borde den ha varit: ”hur informerar vi patienten på bästa sätt?”.
Då hade vårdens arbetsverktyg knappast varit den bästa lösningen utan man skulle jobbat på att ge patienten information i den form och på det sätt som gör det enkelt att ta till sig.
Bortsett från detta så påbörjades under början av 2000-talet i landstingsvärlden projekt med målsättning att tillgängliggöra journalen via nätet.
Observera att detta endast handlar envägskommunikation – att patienten får möjlighet att journalen.
Trots att dessa initiativ pågick bland huvudmännen bestämde Göran Hägglund som socialminister att ett nationellt initiativ skulle inledas för att patientjournaler skulle göras tillgängliga i en tjänst där de kunde användas av tredjeparter efter patientens initiativ.
Jag ser det här som ett utslag av att både e-hälsa och e-förvaltning starkt präglades av att under åren runt decennieskiftet ses som en näringsfråga, d.v.s.
de personuppgifter som myndigheter samlar in ska ses som råvara för privata tjänsteleverantörer.
Do´nt get me started – utrymmer räcker inte till för dra upp alla negativa aspekter av detta… Låt mig istället nöja mig med att detta var en lösning med så många problem inte minst säkerhetsmässigt att den skulle ha lagt sig i byrålådan på ett mycket tidigt stadium.
Nu är det stoppat av Datainspektionen även om eHälsomyndigheten fortsätter att processa stödda av en landets mest exklusiva advokatbyråer till en kostnad på drygt 1,5 miljoner bara 2017 (jag har kollat).
För att summera: det har alltså pågått två parallella projekt utan samordning, så vitt jag kan se, för att överföra information från journal till patienter.
Man har inte i lösningarna tagit höjd för hur behovet att patienten med tillräcklig kvalitet och säkerhet ska kunna föra tillbaka uppgifter till vården – en fråga som i sig är en av grundvalarna i en utvecklad e-hälsa.
Exemplet visar mycket tydligt att det inte finns en gemensam plan, behovsanalys eller medvetenhet om att man bygger en gemensam infrastruktur.
Min erfarenhet från olika sammanhang inom området är det också ofta saknas vilja att ta vara på professionernas intresse av fungerande arbetsverktyg eller etiska krav.
Tråkigt nog tycker jag inte att arbetstagarorganisationerna varit särskilt skickliga på att samla och driva sina medlemmars olika behov, detta är dock bara mer än känslomässig upplevelse från konferensbord och från att ha tagit del av olika debattinlägg.
Trots att alla aktörer med emfas skulle säga att de starkt vurmar för patients intresse kan jag tycka att det är väl lätt att utan fog göra sig till patientens företrädare.
Framför allt är det svårt att hitta insikten i att patienter är vi alla och på samma sätt som vi har väldigt olika syn och intressen i andra frågor har vi det även som patienter.
Ett flagrant exempel på detta är de som ständigt ställer patientsäkerhet mot integritet.
Eller inte erkänner att om en välsituerad grupp använder kommersiella nätläkare för att lindra myggbett så kommer det att inkräkta på andra patienters intressen.
Även här måste finnas en mycket större helhetstanke där e-hälsan sätts i sitt rätta sammanhang.
Slutligen kan jag inte underlåta att gå in på integritetsfrågan och hur det gick när jag försökte begära ut mina personuppgifter från vården.
Även detta är en god illustration av läget.
Först till den juridiska historiken som går att scrolla förbi om man inte är intresserad men den har rätt stor betydelse för det praktiska utlämnandet av personuppgifter.
Enligt den gamla patientjournallagen hade varje vårdgivare ansvar för sin egen journal och om uppgifterna behövdes hos en annan vårdgivare måste vissa mått och steg vidtas.
En ansvarig läkare hos vårdgivare A måste göra en menprövning om det var till men eller gagn för patienten att uppgifterna lämnades ut.
Lämnades uppgifter ut skulle ett journalnotat göras om när, vad och till vem uppgifter lämnats ut och hos vårdgivare B fördes uppgifterna in som ”kopia”.
Hela förfarandet hade fördelar som att det gav mycket god spårbarhet, patienten kunde eventuellt förhindra att information lämnades vidare om man ville skydda sin integritet och det var inte hela journalen som lämnades vidare utan bara relevanta delar.
Jag vill bara påpeka dessa fördelar utan att för den delen behöva anklagas för att vara bakåtsträvare för naturligtvis är detta regler som är svåra att upprätthålla i ett digitalt flöde.
Och, ja, jag är väl medveten om att reglerna inte alltid efterlevdes.
Min poäng är att dessa säkerhetsåtgärder inte ersattes av motsvarande funktioner när patientdatalagen (PDL) infördes.
Mitt intryck efter att ha följt frågan om vårdinformation tämligen ingående sedan 1994 är att det inte ens fanns en ambition att göra det.
Denna min uppfattning stärks när jag läser förarbetena till lagstiftningen.
Jag ser patientdatalagen som ett resultat av mer än ett decenniums påverkanskampanj från olika aktörer med innebörden att säkerhet och integritet inte går att förena med digitaliseringen utan man måste välja.
Valet blev då tämligen enkelt eftersom den tekniska och organisatoriska förändringen redan genomförts.
Resultatet, förutom allt newspeak där dålig säkerhet var bra säkerhet o.s.v., var att i patientdatalagen infördes ”sammanhållen journalföring” som enligt lagens definition betyder: Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.
I och med patientdatalagen ändrades grundprincipen för hanteringen av journaluppgifter från att det tidigare defaultläget var att en vårdgivare inte kunde lämna ut uppgifter utan menprövning till nuvarande defaultläge: att information kan flöda mellan vårdgivare om inte patienten aktivt spärrar utlämnandet.
Ett villkor som satts upp för den sammanhållna journalföringen: Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att andra uppgifter än dem som anges i görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.
En sjuk patient ska alltså ta till sig information om hur informationen kommer att hanteras och dessutom ha kraft genomdriva en spärr om hen bedömer att överföringen olämplig.
Några saker bör särskilt noteras i detta redan orimliga scenario.
För det första innebär direktåtkomsten att vårdgivare 2 får tillgång till vårdinformation hos vårdgivare 1 istället för som tidigare ett journalutdrag över information som bedöms vara relevant för det aktuella sjukdomstillfället.
För det andra förutsätter det att vårdpersonalen hos vårdgivare 1 kan ge upplysningar om hur informationen kommer att hanteras i den sammanhållna journalföringen, vilka som kommer att få tillgång till den exempelvis.
Min visserligen anekdotiska men ändå uppfattning efter att ha frågat ett ganska stort antal anställda i vården finns inte en kunskap inom vården hur informationen hanteras och hur ska då personalen kunna upplysa patienten?
Detta är inte så konstigt för jag tror uppriktigt inte någon idag har kontroll över informationsflödena i vården.
För det tredje lyser ett decennium efter PDL:s ikraftträdande fortfarande möjligheten att faktiskt spärra sin journal med sin frånvaro hos ett stort antal vårdgivare.
I praktiken kan jag inte se att patienten har någon reell möjlighet att vare sig få veta hur den egna vårdinformationen hanteras eller att påverka åtkomsten till den.
Med stöd av den sammanhållna journalföringen har det vuxit fram en vårdinformationsspaghetti där det vad jag kunnat se inte finns vare sig överblick, tydlig styrning eller definierade ansvar.
Detta leder också till att när jag hos min vårdgivare frågar: ”Gör ni journalnotat om vilka samtycken till andra vårdgivare jag givit så att jag kan få en sammanställning över vilka som fått åtkomst till mina uppgifter?” får till svar ” Nej, det finns i dagsläget ingen sådan funktion i COSMIC men detta är under utveckling, det vill säga en samtyckestjänst.
Vi dokumenterar inte i x:s journal andra vårdgivares samtycken, detta är var och ens eget ansvar.
När någon inhämtar ett samtycke i COSMIC så genererar detta en logg samt en referens i journalen.”.
Det vill säga att den vårdgivare som lämnar ifrån sig informationen noterar inte detta utan patienten förväntas ansvara för spårbarheten.
Jag vände mig då till Inera som ansvarar för tjänsten Nationell Patientöversikt som är en slags växel då vårdinformation förs mellan olika vårdgivare.
På frågan om de kan redovisa vilka som eventuellt tagit del av min vårdinformation svarar de: ”Samtycke måste alltid inhämtas av den vårdgivare som ska ta del av din information i NPÖ.
Samtycket ska registreras i det lokala journalsystemet hos den aktuella vårdgivaren.
Det tekniska samtycket loggas i den nationella säkerhetstjänsten som förvaltas av Inera.
Det finns ingen dokumentation från journalinformation och inte heller någon information om varför samtycket har inhämtats.” Deras uppfattning är alltså att de endast har ”tekniska loggar” och att jag fortfarande själv måste hålla reda på mina samtycken trots digitaliseringen.
Det framgår också att de anser att de tekniska loggarna inte är att betrakta som personuppgifter.
Jag har valt att inte fördjupa mig ytterligare i detta men hoppas att andra tar upp den tråden.
Sammantaget skulle jag vilja säga att detta rimmar rätt illa med dataskyddsförordningens krav.
Min egentliga poäng med att försöka beskriva att oreda, de oklara ansvarsförhållandena och bristande överblick är att detta naturligtvis inte bara påverkar patientens möjlighet till personlig integritet.
I ännu högre grad påverkas effektivitet, patientsäkerheten och möjligheten att upprätthålla verksamheten vid större störningar.Särskilt bekymmersamt är det oklara ansvaret som även andra Vad blir då kontentan av allt detta?
Jag tror faktiskt inte huvudfrågan är huruvida sjukvården ska förstatligas utan hur den ska styras (även om jag i dagsläget har litet svårt att se exakt vilket värde den regionala politiska styrningen tillför).
Oavsett om det finns 2 eller 200 000 vårdgivare så måste det finnas en stark statlig styrning som då inte enbart omfattar den offentligt finansierade slutenvården som ett förstatligande skulle innebära.
Den nuvarande bristen på styrningen tjänar såvitt jag kan se enbart oseriösa leverantörer på och möjligen de offentliga företrädare som älskar att åka omkring på olika konferenser och framställa sig som visionära.
Situationen där myndigheter processar mot varandra vittnar väl om något om den rådande anarkin.
Om vi inte klarar av att styra digitaliseringen av vården idag så blir tanken på AI och IoT mardrömslik.
Mina förslag är därför att på äktsvenskt maner tillsätta flera rejäla utredningar men med skillnad från de tidigare inte bilägga facit från uppdragsgivaren.
Jag ser framför mig en handfull utredningar inom olika områden men som är starkt koordinerade så att resultaten går att använda.
Viktigt är att ta hänsyn till de mångskiftande intressen som hälso- och sjukvården ska tjäna, inklusive professionernas och forskningens behov på kort och lång sikt.
Inriktningen bör vara att på samma sätt som på 1940-talet bygga en långsiktigt fungerande infrastruktur i bred politisk enighet.
Några förslag (jag tar inte med komplicerade saker som prioriteringar i vården och patienters egentliga intressen): Puh!
Jag vill verkligen inte påstå att jag kommit med de definitiva sanningarna i dessa komplicerade frågor – det finns så många olika sätt att betrakta den svenska e-hälsan.
Säkert har jag missuppfattat eller vantolkat en massa saker.
Mitt enda försvar är att jag efter bästa förmåga försökt måla upp bild av e-hälsa.
Förhoppningsvis kan dessa långa inlägg stimulera andra att dela bild av samma frågor.
I maj när dataskyddsförordningen trädde i kraft inledde jag ett test: att genom att ställa frågor om hur mina personuppgifter hanterades i vården ville jag göra en temperaturmätning av den kontroll som vården generellt har över vårdinformationen.
För hälso- och sjukvård innebär (i princip) inte dataskyddsförordningen någon så stor skillnad eftersom både patientdatalagen och PuL redan gett patienten möjlighet att få tillgång till sin information och (i teorin) spärra åtkomsten till sin vårdinformation.
I verkligheten är det och har det sedan patientdatalagen varit svårt för att inte säga omöjligt att få veta hur patientuppgifter hanteras – det är i alla fall min uppfattning som jag ville pröva genom att begära upplysningar om mina egna vårduppgifter med stöd av dataskyddsförordningen.
Svaren på mina frågor var negativa (vilket jag kommer att återkomma till senare) men jag fick underlag rörande dagssituationen inom e-hälsoområdet.
Detta inlägg svävar ut in extremis och handlar om i vilket landskap som digitalisering av vårdinformationen sker.
Jag ska resonera om den bristande styrningen av e-hälsa samt pusta ut orosmoln om informationssäkerhet och det långsiktiga bevarandet av vårdinformationen.
I ett följande inlägg kommer jag att skriva mer om den bakomliggande juridiken.
Först till organisationen av den svenska sjukvården som förvånansvärt många som gör inlägg i e-hälsofrågor inte tycks bottna helt i. Tillåt mig att roa mig med en historisk utflykt.
Den svenska vården är i huvudsak offentligt finansierad via skattemedel.
Det regionala ansvarar för att erbjuda vård inom det egna upptagningsområdet enligt hälsosjukvårdslagen.
Men landstingen och regioner behöver inte själva vara utförare av all vård utan kan även vara privata.
Andelen privata vårdgivare har tillväxt mycket starkt under de senaste 20 åren men strukturen med självständiga landsting som sjukvårdshuvudmän har funnits sedan 1862 (med varierande uppdrag).
Redan här finns underlag för vanliga missuppfattningar om ansvar men också reella problem eftersom de flesta krav i föreskrifter m.m.
riktas mot vårdgivarna och inte sjukvårdshuvudmännen.
När det gäller säkerhet och integritet har dock vårdgivarna inte så stora möjligheter att påverka sin situation trots att de har ansvaret – de tvingas (formellt eller informellt) ofta av sjukvårdshuvudmän, SKL eller myndigheter att använda lösningar oavsett egna säkerhetskrav.
Landstingen är kommuner med en politisk ledning vilket gör att inriktningen för olika landsting och regioner kan variera.
För e-hälsan som av naturliga skäl blir allt mer nationell är detta en ansvarsfördelning som innebär stora problem, inte minst eftersom landstingspolitiker använt rollen för egna, i mitt tycke kortsiktiga, kampanjer.
En misstanke som gror är att e-hälsa används av politiker för att undkomma att diskutera den offentligt finansierade vårdens grundfråga: den nödvändiga prioriteringen.
Det är ett väl känt faktum att det inte finns någon bortre gräns för behovet av vård, det finns hela tiden nya sjukdomar och tillstånd som kan behandlas och definitionen av hälsa kan sättas så högt att inte minsta krämpa blir acceptabel.
Däremot är vårdens resurser begränsade – alltså måste prioriteringar ske.
Detta är den mest laddade av alla frågor för sjukvårdspolitiker eftersom prioriteringar ofelbart kommer att leda till att några patienter blir missnöjda.
Den som tillsattes i slutet av nittiotalet för att ge de lokala politikerna stöd i form av nationella prioriteringslistor släppte också snabbt den glödheta potatisen och lämnande ifrån sig litet allmänna rekommendationer om hur processen för prioriteringar skulle kunna ske .
Min teori är att politiker och högre tjänstemän i vården nu (omedvetet) använder e-hälsa som en dimridå för att undvika frågan om prioriteringar genom att hävda att e-hälsosatsningar skulle kunna leda till enorma effektivitetsvinster (som då underförstått skulle leda till att får den vård de vill ha).
I verkligheten sker en mycket negativ icke-styrd prioritering av sjukvårdsmedel genom bland annat kommersiella nätläkare där en ohelig allians mellan nätläkarnas ekonomiska intresse och människor med lättare krämpor prioriterar upp sig på bekostnad av andra med reella hälsoproblem.
En hårdvinklad beskrivning men ni förstår vad jag menar.
Detta sätter stark press på sjukvårdspolitiker som i vissa fall måste säga nej men hellre säger att e-hälsa kommer att lösa problemen.
Själv är jag positiv till de former av e-hälsa som leder till reella förbättringar men att tro att den ska kunna upphäva den omöjliga ekvationen mellan outtömliga behov och begränsade resurser är en vanföreställning som ansvarsfulla politiker borde göra upp med.
En annan viktig negativ faktor är SKL:s förändrade roll.
SKL driver sina medlemsorganisationers intressen i förhållande gentemot uppdragsgivaren staten, d.v.s.
att man vill att staten ska styra så litet som möjligt (även om det inte uttrycks preeeecis så) vilket ökar på fragmentiseringen ytterligare.
Den tidigare sammanhållande myndigheten Socialstyrelsen som var en beredande motpart för SKL blev sönderslagen för några år sedan.
Uppgifterna är nu fördelade på fyra myndigheter som tillsammans med Läkemedelsverket tycks ha ett tämligen lågintensivt samarbete.
SKL och sjukvårdshuvudmännen agerar som månghövdad maktfaktor utan eget ansvar i det tomrum som skapades när Socialstyrelsen nedmonterades.
Dessutom står e-hälsoområdet under ett starkt kommersiellt intresse, inte bara genom nätläkarna.
Den nära alliansen mellan känns inte helt betryggande för det kommande.
I den tidigare regeringen var två av hälso- och sjukvårdsministerns statssekreterare hämtade från it-leverantörer vilket Dagens samhälle skrev om förra året.
Förväntan på stora vinster inom vården och en kanske alltför nära relation är knappast positiva nyheter för patienter och skattebetalare.
Eftersom jag intresserat mig en hel del för den svenska sjukvårdens historia kan jag inte undgå att fundera över att maktbalansen mellan staten som är uppdragsgivaren och utförarna, d.v.s.
sjukvårdshuvudmännen (regioner och landsting) samt numera SKL, har förskjutits.
Att göra historiska jämförelser är alltid vanskligt men för mig går det inte att motstå frestelsen att försöka analysera varför e-hälsa och digitalisering relativt sett varit så litet framgångsrika samhällsprojekt i förhållande till de resurser som satsat.
Hade det gått att prata fram e-hälsa och digitalisering hade det svenska samhället genomgått ett Civilization-moment där den framgångsrike spelaren lyckas uppfinna elektricitet på 1100-talet.
Men tyvärr räcker det inte med miljontals power point bilder, konferensinlägg, möten, testbäddar och avgränsade dellösningar för att skapa infrastruktur.
I detta delar jag uppfattningen i om floden av åsikter.
Jag tror mig att se några orsaker till det haltande genomförandet av något som trots allt alla varit överens om ska genomföras.
Detta är en situation som i mycket liknar den som rådde från slutet av fyrtiotalet och i ett par decennier framåt då det skedde en så här i efterhand nästan ofattbar mobilisering och utbyggnad av den svenska hälso- och sjukvården.
När jag skrev en historik om den värmländska sjukvården häpnade jag över att landstinget under en tioårsperiod byggde inte mindre än fyra nya sjukhus!
Även om jag är starkt lockad ska jag inte gräva ner mig ytterligare i detta utan bara tacksamt konstatera att den samhälleliga kraftsamling är något som vi nu fortsätter att skörda frukterna av.
Hur kunde man lyckas med denna infrastrukturella revolution?
En första förutsättning var att det fanns en stark politisk enighet om att detta skulle genomföras även från de borgerliga partierna som annars kampanjade för skattesänkningar.
Men till skillnad mot e-hälsoutvecklingen (liksom digitaliseringen i övrigt) nöjde man sig inte med den politiska enigheten utan skapade även de institutionella förutsättningarna (för den som vill läsa mer om institutionella förutsättningar rekommenderar jag verkligen att läsa litet Lennart Lundqvist eller Bo Rothstein) för utbyggnad.
En viktig sådan var att skapa ett mycket genomarbetat kunskapsunderlag att ta ut riktningen ifrån.
I detta var utredningsväsendet mycket betydelsefullt, de utredningsinsatser som gjordes var av mycket hög kvalitet.
Häri ligger en väsentlig skillnad mot de utredningar och kommittéer som levererat förslag inom digitalisering och e-hälsa, jag nöjer mig med att instämma i de synpunkter som framförs i den här .
I utvecklingen fanns en mycket kraftfull och sammanhållande motor i Medicinalstyrelsen, sedermera Socialstyrelsen.
Det är idag nästan svårt att förstå hur inflytelserik myndigheten var och på vilken detaljnivå man styrde sjukvården.
Om vi bara ser till vårdbyggnader fanns det ett regelverk som ner till hur många luftkubik per vårdplats definierade hur sjukhusen skulle byggas.
Varje ritning på ny- eller ombyggnad måste skickas in för godkännande och stränga inspektörer åkte ut och kontrollerade att det som byggts höll måttet.
Landstingen var byggherrar och hade det praktiska ansvaret för byggande och vård men deras intressen samlade ingen front i Landstingsförbundet (en del av SKL:s föregångare tillsammans med Kommunförbundet) utan gick huvudsakligen via riksdagen.
Där fanns det som kallades ”landstingspartiet” eller ”landstingsbänken” där landstingsordförande som nästan undantagslöst även vara riksdagsmän kunde driva sina frågor – ofta i gott samförstånd oavsett partipolitisk tillhörighet.
Även detta var en viktig institutionell förutsättning eftersom det då fanns etablerade och lagfästa former för att lösa intressemotsättningar.
Idag är situationen radikalt annorlunda.
En viktig skillnad är förstås att det kommit in så många privata aktörer men också att när de gamla institutionerna revs ner ersattes de inte av nya som skulle varit verkningsfulla då man anammade new public management som grundfilosofi för den svenska vården.
Jag är för tillfället inne på att försöken att uppnå effektiv digitalisering och e-hälsa är bland de bästa exemplen på hur new public management på ett negativt sätt präglat svensk offentlig sektor.
Resultatet har bland annat blivit att Socialstyrelsen i accelererande takt fråntagits mandat och att sammanhållen utveckling ersatts med fragmentisering.
Intresseorganisationen SKL tycks inte heller längre gå via en beredning på myndighetsnivå utan direkt på regeringen och jag har t.o.m.
läst meningar som att ”regeringen bör SKL i uppdrag …”.
Den geografiska uppdelningen av ansvar var under perioden mindre problematisk än idag eftersom större delen av vårdens uppgifter kunde lösas inom varje landstings hank och stör.
När digitaliseringen tog fart i början av nittiotalet skapades överbryggande strukturer som exempelvis Sjunet och sedermera Carelink.
Nu finns både eHälsomyndigheten och Inera m.fl.
som utan tydlig gemensam strategi eller regelverk grejar i infrastrukturen.
Bortsett från det negativa i att sakna gemensam styrning ser jag det inte heller som problemfritt när digitalisering och e-hälsa blir frikopplade från den kärnverksamhet de ska utgöra stödfunktion för.
En annan aspekt som tycks ha glömts bort är vårdinformationens långsiktiga betydelse både för den enskilda patienten och för forskningen.
För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård.
Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades).
Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman.
Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän.
Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring.
Alla sjukvårdshuvudmän (alltså landsting/regioner) utom en om jag kommer ihåg rätt hade åtagit sig att bevara alla läkarförda journaler för all framtid.
Bakgrunden till detta var den enorma betydelse som den vårdinformation som arkiverats från sjuttonhundratalet och framåt haft för den svenska forskningen.
I PDL är kravet att en journal ska bevaras i minst tio är efter att sista anteckningen förts in i handlingen samt att journaler som allmänna handlingar ska hanteras som sådana.
Det är ungefär vad som stod i patientjournallagen också men nu är kontexten radikalt annorlunda och även innebörden av begreppen – vad är ens en ”handling” i dagens vårdinformation?
Bara den förändringen att betydligt mindre andel av vårdinformationen är allmänna handlingar och därmed kan gallras av den enskilda vårdgivaren är en stor risk.
Vissa sjukvårdshuvudmän har försökt reglera arkivfrågan i avtal med de privata vårdgivarna men detta är knappast tillräckligt.
Redan idag är det som presenteras på skärmen hos en vårdgivare en sammanställning av information ur en rad system och tjänster som kan finnas både inom och utom vårdgivarens organisation.
Detta är bara inledning av en utveckling där informationshanteringen kommer att bli organisatoriskt och tekniskt allt mer komplex.
För att bevara denna gigantiska informationsmassa för framtiden för att kunna serva patienter som envisas med att leva i bortåt ett sekel och för att kunna ge underlag för livsviktig forskning räcker det inte med att litet svävande beskriva ”e-arkiv”.
För mig är detta en mycket bekymmersam fråga och det förvånar mig att varken Riksarkivet eller de utredningar som genomförts gällande registerforskningen intresserat sig för detta.
Så här i slutet av litanian vill jag inte på något sätt hävda att vi kan använda gårdagens lösningar idag.
Däremot tror jag att det finns mycket att vinna på att ha ett historiskt perspektiv.
I detta fall vill jag lyfta fram behovet av kvalitativa kunskapsunderlag som är parlamentariskt förankrade, en långsiktig väl definierad inriktning, institutionella förutsättningar anpassade efter aktuell situation och en sammanhållande kraft med mandat att genomdriva beslutade lösningar.
Framför allt tror jag att vi måste erkänna att det finns intressemotsättningar och lyfta fram dem i ljuset för att kunna diskutera hur de ska lösas.
Ofta framhålls svårigheten med den geografiska uppdelningen, minst lika stor är den som handlar om de inte helt kompatibla intressena privata utförare och den offentliga finansieringen.
Hur dessa intressen ska balanseras mot varandra har hittills varit en icke-fråga i e-hälsosammanhang.
Det har vi inte råd att låta den fortsätta vara.
Om vi ska klara upprätthålla den väsentliga del i välfärdssamhället som den offentligt finansierade sjukvården utgör och dessutom införa dataskyddsförordning, NIS-direktiv, civil beredskap och allt annat så måste vi ändra bilden av e-hälsa.
Det handlar inte om att släppa ner litet slumpmässiga tekniska lösningar (gärna efter påtryckning av olika leverantörer) utan att se att det kräver samma mobilisering, organisation och koordinering som då sjukvården byggdes ut under efterkrigstiden.
Och glöm inte forskningen!
Den första frågan i min enkät var huruvida myndigheten, landstinget respektive kommunen tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1.
Det var en klumpigt formulerad fråga eftersom RA-FS naturligtvis bara gäller statliga myndigheter.
Min tanke var dock i all enkelhet att även om det inte finns en föreskrift om att planera sitt långsiktiga bevarande av digital information direkt riktad till den egna verksamheten så borde det ändå vara nödvändigt att ha en strategi för att kunna efterleva alla andra krav som finns på att informationen bevaras i exempelvis vårddokumentation.
För en arkivarie borde detta också vara kärnuppdraget: att ta fram en inriktning för det långsiktiga bevarandet.
För att friska upp minnet på de enstaka människor som inte har alla sina RA-FS:ar färskt i minnet så är kravet i 3 kap 1 § i RA-FS 2009:1 formulerat så här: 1 § Myndigheten ska upprätta en strategi för bevarande av elektroniska handlingar.
Av strategin ska framgå vilka åtgärder myndigheten avser att vidta för att säkerställa ett bevarande av handlingarna.
Åtgärderna ska dokumenteras i enlighet med 2 §.
Strategin ska fortlöpande kompletteras och hållas aktuell. . Med åtgärder avses hur elektroniska handlingar ska framställas, överföras, hanteras, förvaras och vårdas under den tid som de ska bevaras.
Myndigheten bör vid planeringen av system och rutiner, i enlighet med bestämmelserna i 6 § arkivförordningen (1991:446), samråda med arkivmyndigheten.
Därefter följer mer detaljerade krav på vad strategin ska innehålla men i min enkät nöjde jag mig att efterfråga själva befintligheten av en strategi.
Innan jag går vidare gör jag här en liten utvikning om förutsättningarna för ett långsiktigt bevarande.
En reflektion jag gör när jag läser Riksarkivets krav är inriktningen på system, teknik och handlingar.
Detta rimmar, menar jag, inte helt med kravet på en processorienterad arkivredovisning som finns i RA-FS 2008:4.
Till detta kommer de förvaltningsgemensamma specifikationerna som inte heller är processinriktade.
De e-arkivlösningar som presenteras som verkar vara helt inriktade på att lyfta över information från ett system till ett annat utan någon koppling till process såvitt jag kunnat utröna.
Jag är dessutom osäker på hur OAIS-modellen ska tillämpas i relation till processer.
Det framstår som det finns ett antal komponenter som det långsiktiga bevarandet ska bygga på men att dessa inte är helt koordinerade.
När jag läser de kravspecifikationer som tagits fram för e-arkiv verkar det vara de tekniska kraven som kommit i förgrunden och tyvärr på ett ganska daterat sätt.
Att prata om system i en tid då allt mer information hanteras i molntjänster kan få ganska ödesdigra konsekvenser för arkivbildnigen.
Det är synd för jag tror inte att de tekniska aspekterna är det som främst utgör ett hinder för att lyckas med ett långsiktigt bevarande.
Den här frågan går inte heller att hantera i bitar utan måste ses som en sammanfogad helhet som vilar på en solid teoretisk grund, och det är den grunden som jag uppfatta är undflyende i de resonemang som förs.
För mig som arkivteoretisk nörd skulle det optimala vara det processorienterade perspektivet var genomgående som strukturerande princip för att knyta ihop verksamhet och information, självklart ända in i det digitala långtidsbevarandet.
Konkret skulle vi kunna försöka utveckla proveniensbegreppet till att förutom den inre och yttre proveniensen även omfatta en processproveniens.
Proveniensen har ett antal funktioner för arkivbildningen som att ge informationen ett mervärde då den sätts i organisatoriska kontext, att skapa autenticitet och att ge oss de bästa möjligheterna för att kunna återsöka information.
Dessutom som redan den store Nils Nilsson underströk: de processuella värdena.
Om vi nu tar tanken med de processuella värdena och sammanför det med ett proveniensbegrepp i det långsiktiga bevarandet skulle vi kunna utveckla helt nya lösningar.
Det känns aningen pinsamt att dra upp gamla texter stup i kvarten men faktiskt skrev jag i Arkiv, samhälle och forskning redan 1997 en artikel, (AFS 1997:3 – det går tyvärr inte att länka till den) som försöker resonera om hur nya tekniska lösningar ändrar förutsättningarna för arkivteorins grundpelare.
Mycket i texten är kanske passerat men något som jag ändå tycker fortfarande förtjänar att poängteras är skillnaden mellan Müller, Feith och Fruins öppna förhållningssätt till vad som avgränsar den yttre proveniensen där de om och helhet.
I Sverige, till skillnad mot i andra länder, har arkivbildarbegreppet blivit manifest och alltid kopplat till en enskild organisation.
Om vi nu tittar på världen såsom den ser ut med snabba omorganisationer och en alltmer gemensam informationsinfrastruktur – borde vi inte då skruva upp processbegreppets betydelse och samtidigt något tona ner arkivbildarbegreppet för att uppnå det vi ska proveniensprincipen till?
Med dagens tekniska lösningar menar jag att detta vore fullt möjligt att både hitta lösningar som ger en bättre proveniens samtidigt som de skulle ge effektivitet och minskade kostnader.
För att ta ett enkelt exempel skulle det menar jag var betydligt bättre att identifiera ett antal större samhällsprocesser som varat över tid i olika former och redovisa informationen per process som första steg och därefter arkivbildare.
Ta exempelvis folkskolan som fram till 1930-talet hade kyrkan som huvudman, därefter staten och nu kommunerna medan verksamheten i huvudsak varit densamma.
För att ge bättre överblick och även proveniens skulle informationen kunna vara sökbar både per process och per arkivbildare.
Jag vill bara hinta med vad detta skulle innebära när det gäller vårdinformation där det idag är stora problem att avgöra vilken information som finns var och vem som är ansvarig för den.
Med en processorientering vid en omorganisation skulle det också vara möjligt att låta den digitala informationen vara tillgänglig både i den avslutade arkivbildningen och som överförd i den nya (ja, jag vet att man måste lösa utnämningsfrågan men det känns som ett mindre aber).
För det långsiktiga bevarandet menar jag att dessa frågeställningar har stor betydelse eftersom de både avgör arkivbildningens värde, möjligheten till återsökbarhet och inte minst ansvarsfördelningen.
Men låt oss lämna mina tankar i frågan och istället se hur de myndigheter, kommuner och landsting som svarat på enkät hanterat frågan.
Av de kommuner som svarat är det bara två som säger ett tydligt ”ja” på frågan om de tagit fram en strategi i linje RA-FS.
En handfull svarar att de gjort det som medlemmar i Sydarkivera, ytterligare några säger att de är på gång eller har strategisk inriktning i andra dokument men det absoluta flertalet uppger sig inte ha någon strategi.
Bland landstingen är det ingen av de svarande utom en region som anser sig ha en strategi motsvarande kravställningen i RA-FS 2009:1 men några har reglerat delelement i ett långtidslagrande som format.
Det man kan se i svaren är att många kommuner, landsting och regioner har försökt hitta olika typer av samarbetsformer för att gemensamt ta fram en inriktning där den mest framgångsrika tycks vara Sydarkivera.
Många respondenter uttrycker att frågan är svår att hantera autonomt eftersom man inte har kompetens eller resurser att ens utreda hur långtidsbevarandet skulle kunna gå till.
Och som någon påpekar ”Vi kommuner har ju ett speciellt förhållande till Riksarkivets föreskrifter.”, det vill säga att man kan välja att efterleva dem men det är inget tungt argument eftersom man inte är skyldig att följa dem.
är en imponerande ansats men inte heller den ger de svar som behövs.
Från myndigheterna har jag fått in svar där c.a.
50 myndigheter säger sig ha en strategi av vilka flertalet även bifogat strategin.
Det förekommer en hel del disclaimers av typen ”den har några år på nacken” eller ”vi håller på att omarbeta den”.
Ett antal myndigheter skriver också att de håller på att ta fram en strategi.
Det är ett rätt omfattande material att tränga igenom men det finns ändå några gemensamma drag som jag här ska sammanfatta i några punkter (observera att detta är generaliseringar – undantag finns).
Jag är också angelägen om att återigen understryka att frågans komplexitet som ställer nästintill orimliga krav de enskilda myndigheterna.
Först en glädjande observation: få myndigheter har idag som uttalad strategi att ta ut digital information i pappersformat för arkivering.
Visserligen förekommer detta fortfarande i verkligheten trots de mycket stora informationsförluster som detta leder till men nu är ambitionen åtminstone att komma vidare med ett kvalitativt bevarande av digital information.
De flesta strategier följer, föga förvånande, RA-FS:ens krav.
Efterlevnaden kan uppfattas som litet väl hörsam eftersom det i vissa fall blir en upprepning av vad som står i RA-FS med tillägget att ”det ska vi göra”.
Men det finns också många som gjort stora insatser för att beskriva hur den digitala informationen ska omhändertas konkret och i detalj.
Det gör att vissa av dokumenten kanske inte egentligen är strategier utan mer av riktlinjer eller instruktioner.
Genomgående är att myndigheterna har avgränsat scoopet för strategin till den egna verksamhetens verksamhetssystem eller förvaltningsobjekt trots att dagens e-förvaltning i allt högre grad innebär integrerade informationshanteringslösningar.
I de fall där det av strategierna ändå framgår att myndigheten ingår i myndighetsövergripande informationshantering nämns inte vad jag kunnat upptäcka hur detta ska hanteras arkivbildningsmässigt.
Jag kan inte se att eSam (en efterföljare till E-delegationen) ger någon vägledning i hur frågan ska omhändertas vare sig strategiskt eller operativt, teoretiskt eller .
Om jag ska utnämna en fråga som särskilt oroande är det just denna – att det skapas allt större allmänna handlingar där ansvaret för den långsiktiga hanteringen är till synes oklart.
Att för den enskilda myndigheten göra de utredningsinsatser som krävs för att lösa frågeställningen och därefter få accept på detta i ett större sammanhang framstår inte som en optimal inriktning.
Föreskriften är från 2009 och är som jag tidigare redovisat inriktad på system och elektroniska handlingar.
Det är sannolikt bakgrunden till att de strategier som jag tagit del av också är det.
Det handlar om verksamhetssystem, inte tjänster och inte heller processer, samt är i hel del fall länkade till myndighetens systemförvaltningsmodell.
Vissa formuleringar skulle kunna tolkas som att strategierna är tillämpbara även på tjänster.
Elektroniska handlingar kan förekomma även i tjänster och tjänster skulle kunna vara förvaltningsobjekt.
Sådana möjliga tolkningar verifieras dock inte i de mer instruktionslika tillvägagångssätt som ingår i strategierna.
Koppling till processorienterad arkivredovisning saknas ofta men man ser ansträngningar för att integrera arkivredovisning och bevarandeplaner (möjligen även klassificeringsstrukturer) på ett bra sätt men det framgår inte hur.
Trots det tekniska perspektivet är det svårt att se en verkligt strategisk inriktning i strategierna.
Man pekar ibland på att man valt en viss programvara eller en viss tjänst för lagring men inte för hur länge.
Ibland omnämns att överlämning till arkivmyndigheten inte är aktuellt, ibland berörs inte slutarkivering alls.
Sammantaget är jag imponerad av den kompetens som arkivarier lagt in i sina strategier.
Även om jag inte sett en strategi som jag tycker uppfyller alla krav så finns det en stor gemensam resurs i de många strategierna att crowd-sourca ur för att kanske skapa en gemensam linje.
Ur ett forsknings- och kulturarvsperspektiv finns det dock anledning att vara bekymrad.
Det finns en inte oväsentlig risk inte bara för att information inte arkiveras utan också för att den information som verkligen tas om hand kommer att sakna tillräcklig proveniens, kontext och återsökningsmöjligheter.
För mig är informationsförvaltning och informationssäkerhet nära sammanhängande frågor med många gemensamma förutsättningar och problem.
Det största gemensamma problemet är kanske att de sällan integreras sinsemellan och inte heller med det som kallas digitalisering.
Eftersom jag fått uppdrag att skriva en bok om dessa frågor började jag fundera på hur jag skulle få en bättre bild av hur sambanden ser ut i praktiken.
En fråga som utkristalliserade sig var e-arkiv som en del av informationsförvaltningen.
För att kunna förstå frågan på rätt sätt är det viktigt att först analysera betydelsen av ”arkiv” och därmed av ”e-arkiv”.
Trots att det både säljs och köps s.k.
e-arkivlösningar finns det ingen definition av vad detta skulle kunna vara.
Jag kommer att återkomma till denna fråga i ett senare inlägg men här nöjer jag mig med att utgå från att e-arkiv är en process för att långsiktigt bevara digital information med autenticitet, spårbarhet, konfidentialitet, sökbarhet samt med processuella värden i behåll.
Samtliga dessa krav kan finnas i olika grad beroende på den information som ska bevaras.
Den som delar min bedömning om vad ska ses som ett e-arkiv är sannolikt beredd på att acceptera att informationssäkerhet och e-arkiv har starkt inbördes beroende.
Min utgångspunkt är också att en stor del av allmänna handlingar ska bevaras över tid liksom en inte obetydlig del av den information som produceras i privata verksamheter.
Även om kraven på konfidentialitet och tillgänglighet i de flesta fall klingar av så är ändå slutsatsen att e-arkivlösningar måste kunna erbjuda minst lika bra informationssäkerhet som de digitala lösningar som hanterar informationens mer aktiva skeden.
För e-arkivet ökar istället kraven på autenticitet som kan sägas vara en kombination av spårbarhet och riktighet.
Genom den aggregering av information som planeras i många e-arkivlösningar ökar också kraven på att skydda mot obehörig åtkomst.
Utan att utveckla detta ytterligare så måste med dessa förutsättningar ett mycket aktivtomge e-arkiven med riskanalyser och informationsklassning m.m.
på minst samma nivå som för andra digitala lösningar.
I en allt mer digital värld är jag också mycket nyfiken på hur dessa frågor ska lösas nationellt och om vi inte måste tänka på ett annat sätt när det gäller det långsiktiga bevarandet än vad vi gjort när det gäller pappershandlingar.
För den oinvigde har Riksarkivet varit slutarkivet för de allmänna handlingar som produceras i statliga myndigheter som i långsam process likt sedimentering vandrar från aktivt skede via mellanarkiv till slutlagring.
Digitaliseringen gör hela denna process onödig, de digitala handlingar som ska bevaras för eftervärlden skulle kunna överföras till slutarkiv i samma ögonblick som de skapas och en kopia hanteras i verksamheten.
Ändå tycks tankegången fortfarande var densamma i praktiken och någon slags mellanarkiv för digital information byggas upp av Statens Servicecenter som outsourcar tjänsten till något av de stora leverantörerna.
Jag ställer mig frågande till hela tanken i detta, att tjänsten byggs upp inte av den myndighet med ansvar och kompetens inom arkivområdet utan en annan, men också inför hur erbjudandet eller påbudet uppfattas av de myndigheter som förväntas delta.
Detta är bakgrunden till att jag i början av 2018 skickade ut en enkät till samtliga myndigheter, regioner/landsting och kommuner med följande frågor: Har ni tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1?
Om ja skulle jag, om möjligt, vilja ta del av den.
Har ni en egen e-arkivlösning eller planerar ni att köpa en tjänst för det eller på annat sätt anlita utomstående?
Om ni planerar att köpa en tjänst eller anlita utomstående: ser ni det som ett mellanarkiv?
Vilken tidshorisont har ni för nyttjandet av tjänsten?
Har ni en Plan för informationssäkerhet enligt 6 kap RA-FS 2009:1?
Om ja skulle jag, om möjligt, vilja ta del av den.
Om/när ni tagit fram en egen e-arkivlösning alternativt anlitat utomstående för tjänsten, har detta då föregåtts av en riskanalys och informationsklassning?
Vilka är, som ni ser det, de viktigaste kraven på informationssäkerhet när det gäller e-arkiv?
Ur offentlighetsperspektivet är svarsfrekvensen dyster för detta är hur många som svarat till dags dato trots att förfrågan även innehöll en begäran om att få ta del av allmän handling: 62 kommuner (21 % av samtliga tillfrågade) 8 regioner/landsting (40 %) 86 myndigheter (24 %) Några noteringar kan göras rörande de svarande.
Bland kommuner är det påfallande att det snarare är de små kommunerna som ansträngt sig för att svara än de medelstora eller stora.
Bland myndigheterna har universitet och högskolor varit exceptionellt bra på att svara (75 %).
Av de myndigheter som ingår i eSam som är ”ett medlemsdrivet program för samverkan mellan 24 myndigheter och SKL.
Samarbetet syftar till att underlätta och påskynda digitaliseringen av det offentliga Sverige.” och som bland annat drivit på frågan om öppna data är det knappt hälften av de ingående myndigheterna som svarat på enkäten.
Här skulle man kanske kunna önska litet mer av att leva som man lär och en vilja att förmedla information även i praktiken.
Hela tanken så som den formuleras idag är att ett ”e-arkiv” på något sätt är en applikation i egen regi, i samverkan, hos en myndighet eller i form av en molntjänst.
Därför tyckte jag också att det var intressant att ställa frågor till olika typer av leverantörer hur de formulerat säkerhetskraven på sina lösningar.
Här var svarsfrekvensen extremt låg när jag ställde dessa frågor: Kan ni redovisa på vilket sätt ni arbetat med informationssäkerhet i tjänsten?
Vilka ser ni som de främsta informationssäkerhetsriskerna kopplade till tjänsten?
Kan ni erbjuda tjänsten på olika skyddsnivåer?
Är alla typer av information möjlig att hantera i dem?
Vilka krav ställer ni på eventuella underleverantörer?
Hur ser ni på ert ansvar i förhållande till användarna av tjänsten då det gäller att uppnå tillräcklig informationssäkerhet?
Har ni ett eget internt ledningssystem för informationssäkerhet (LIS)?
Har ni en utpekad informationssäkerhetsansvarig i er organisation?
Har ni ett eget standardförslag på personuppgiftsbiträdesavtal och är det i så fall möjligt för mig att få ta del av?
Är tjänsten planerad för att klara NIS-direktivet och civilt försvar?
Jag har på dessa frågor inte fått ett enda svar som inte varit av typen ”varför ställer du de frågorna” eller ”kan vi ta det per telefon istället”.
Statens Servicecenter var dock mycket snabba och tillmötesgående och skickade över kravspecifikationen de använt när de försökt upphandla tjänsten e-arkiv.
Min slutsats är att leverantörerna: Inte fått tydligt formulerade säkerhetskrav på sina tjänster Inte har tagit fram ett generellt presentationsmaterial som redovisar vilken säkerhet som deras tjänster erbjuder.
Att säkerhet i tjänsten inte är självklara frågor ser jag som mycket bekymmersamt och som en klar brist på mognad hos dessa tjänster vilket också komplicerar situationen för särskilt mindre organisationer som planerar att upphandla ett ”e-arkiv”.
I nästa blogginlägg kommer jag att redovisa de svar som inkommit från kommuner, landsting/regioner och myndigheter.
Efter att ha spekulerat om varfört inte funkar har jag nu tänkt skriva några inlägg om vad som bör göras för att det ska fungera bättre.
Detta sammanfaller med att regeringen överlämnar en skrivelse till riksdagen angående Riksrevisionens om informationssäkerheten vid nio myndigheter.
Riksrevisionen bedömer att ” Regeringen instämmer i denna bedömning, som ju knappast kan komma som någon överraskning efter Riksrevisionens tidigare rapporter m.m., men avser bland annat att .
Det känns därför ganska självklart att detta första inlägg om konstruktiva åtgärder får handla om förutsättningar för en sådan strategi.
Att ta fram en strategi är inte något särskilt rafflande grepp, 2009 togs en sådan fram liksom en efterföljande handlingsplan några år senare.
Varken i regeringens skrivelse eller i Riksrevisionens rapport görs någon egentlig analys av varför de tidigare strategiska samordningsförsöken trots avsevärda resurser och mandat misslyckats.
En grundläggande utgångspunkt för mig har varit att det inte är särskilt meningsfullt att göra mer av samma sak om man märker att något inte fungerar.
Istället är det viktigt att ta ett steg tillbaka och analysera och göra nya problemformuleringar.
Detta tror jag i hög grad gäller om man ska ta ut strategiska riktpunkter.
En ny strategi bör därför föregås av ett mer omfattande förarbete och inte bestå av inskickade, icke samordnade önskelistor från myndigheter som har ansvar för olika säkerhetsområden.
I fallet med informationssäkerhet har jag försökt påvisa den stora oklarhet som råder om vad informationssäkerhet egentligen är och hur det försvårar för den enskilda organisationen, för de yrkesutövande och för samordning på nationell nivå.
Detta blir än tydligare om man läser regeringens något desorienterade skrivelse där det är svårt att greppa vad det egentligen är som ska samordnas.
Om vi tittar på den nationella spelplanen och bortser från de oklarheter som råder om informationssäkerhet är i första hand organisatorisk eller teknisk fråga så går det att urskilja en rad olika syften som staten länkar till ”informationssäkerhet” vad det nu än är.
För att övergripande beskriva de huvudsakliga syften som sällan definieras i förhållande till varandra kan jag räkna upp: Till detta kommer exempelvis de starka kraven från bland annat dataskyddsförordningen som i praktiken innebär högre nivå på spårbarhet, riktighet och konfidentialitet.
Dessa olika syften ska utan närmare inriktning från staten tillgodoses i de enskilda organisationerna.
Jag tror att det är här vi måste stanna till och inse att det inte är informationssäkerhet som det ställs krav på i de olika sammanhangen.
En enskild organisation har i de flesta fall i normalläget inget internt behov av den informationssäkerhet som staten ställer krav på exempelvis rörande det civila försvaret i höjd beredskap.
Att införa säkerhetsskyddsåtgärder är inte heller något som befrämjar andra säkerhetskrav som kan finnas i en löpande verksamhet som exempelvis hög tillgänglighet.
Statliga certifieringskrav på tekniska komponenter i e-förvaltning är knappast heller något som gynnar regeringens inriktning på att Sverige ska bli bäst i världen på att ta till vara digitaliseringens .
Jag behöver kanske inte fortsätta med exempel för att slå in min poäng – det finns tydliga intressekonflikter mellan olika typer av informationssäkerhet som staten ställer krav på.
Det finns också aktiviteter som starkt påverkar säkerhetsarbetet där det egentligen inte finns någon intressekonflikt men som ändå inte är samordnade.
Ett påtagligt exempel är att rapporteringskravet för it-incidenter till MSB inte är samordnat med i det tunga krav på incidentrapportering som följer av dataskyddsförordningen.
Ett förarbete till en strategi måste, menar jag, måla upp hela informationssäkerhetslandskapet för att kunna ta ut riktningen framåt.
Ironin i att NISU och utredningen om ny säkerhetsskyddslag lägger fram sina resultat samtidigt som två helt parallella spår som aldrig mötts kommer att upprepas i nya former om inte den nödvändiga överblicken skapas.
Överblicken över syften, förutsättningar och aktörer ger också en grundval för den styrmodell som rimligen måste finnas med som ett strategiskt verktyg för att nå målen.
En gemensam styrmodell innebär inte att samma styrmedel används överallt.
Jag föreställer mig att regelstyrning är nödvändig ur det civila försvarets perspektiv medan incitaments- och kunskapsstyrning blir centrala för regeringens digitaliseringssatsningar.
Men eftersom det är Söpple kommun som kommer att bli utsatt för de olika styrmedlen måste de integreras i en gemensam modell som också hanterar organisatoriska och ekonomiska förutsättningar.
Förutsägbarhet gällande krav och ekonomiska förutsättningar är nödvändigt då allt större del av den tidigare offentliga utförda verksamheten ombesörjs av privata aktörer.
Även detta förhållande måste avspeglas i den strategiska inriktningen.
Jag tror att en strategi måste vila på noggranna överväganden av hur staten ska organisera sin styrning och sitt stöd.
När civilt försvar alltmer blir MSB:s huvudfråga och myndighetens uppgift är mer att jämföra med den som Överstyrelsen för civil beredskap (ÖCB) hade fram till 2002 är det sannolikt mer lämpligt att detsom bedrivs i normalläget integreras med statens digitaliseringssatsning.
Analysen av vad som kan tänkas fungera bäst måste vara förutsättningslös och inte utgå från olika organisatoriska särintressen.
För mig är det en viktig princip attt måste styras av behov, inte av utbud.
Det gäller i den enskilda organisationen, och det bör gälla även på det nationella planet.
När en strategi ska tas fram bör det därför ske tillsammans med de som äger verksamheterna vars information skyddas, inte enbart av de aktörer som levererar säkerhetslösningar.
Min förhoppning är att strategin inte stressas fram på departementet av någon ensam handläggare utan att det sker i ett brett samarbete med kommuner, landsting, företag och myndigheter samt viktiga kravställare som Datainspektionen, E-hälsomyndigheten och eSam.

Om vi särskiljer lagring och arkiv innebär arkiv den slutliga förvaringen av information som ska bevaras i hundra-, ja tusentals år.
Att införa e-arkiv är alltså inte något som kan vidtas med en händelsehorisont på tio år.
I den svenska myndighetsvärlden råder en viss begreppsanarki där ”arkiv” kan betyda olika saker som en lokal, en institution och en myndighets bestånd av allmänna handlingar vilket jag skrivit om bland annat En myndighet (inklusive kommuner och regioner) skapar och tar emot stora mängder information av vilka en del utgör allmänna handlingar som enligt huvudregeln ska bevaras för framtiden såvida inte ett formellt gallringsbeslut upprättas som sätter en gallringsfrist.
Gallring kan alltså ske efter olika lång tid vilket gör att viss information ska sparas för all framtid medan annan kan gallras efter viss tid.
För pappersbunden information har man därför ofta skapat för att avställa inaktuell information i väntan på långtidsbevarande respektive gallring.
Det är arkivmyndigheten som i huvudsak ska fatta gallringsbeslut.
Här finns dock en mycket stor skillnad mellan statliga myndigheter och kommuner/regioner.
För statliga myndigheter är Riksarkivet arkivmyndigheter medan i kommuner och regioner är deras egna styrelser som utgör arkivmyndigheter En arkivmyndighet har inte bara uppgiften att fatta gallringsbeslut utan även ansvaret för bland annat arkivvård och tillsyn.
I det nu aktuella sammanhanget är det en central förutsättning att när en arkivmyndighet tar hand om ett arkiv så är det också arkivmyndigheten som ”äger” arkivet.
Arkivmyndigheten ansvarar för utlämnande av allmänna handlingar och den ursprungliga arkivbildaren (d.v.s.
myndigheten som lämnat in) kan inte hålla på att rumstera om i informationen.
Trots att arkivredovisningen ska vara processorienterad och att vi idag har stora sammanhängande informationsinfrastrukturer med ett otal antal bärare är e-arkivfrågan fortfarande inriktad på att överföra informationsmängder från enskilda system för arkivering.
I den enkät jag gjorde 2018 bland myndigheter, kommuner och regioner var ett starkt intryck att e-arkivfrågan inte i någon högre grad kopplats samman med informationssäkerhet.
Få att de tillfrågade hade gjort informationsklassningar och riskanalyser, ännu färre kunde redovisa säkerhetskrav att ställa på e-arkiv.
Ta fram en grundmodell för informationsklassning inklusive skyddsnivåer.
Observera att skyddsnivåerna är den stora tunga uppgiften som kommer att kräva långsiktig förvaltning men som kan användas även andra organisationer t.ex.
som stöd för att efterleva NIS-direktivet.
Ta fram en certifieringsinstitution där leverantörer kan certifiera sina tjänster och system på olika skyddsnivåer.
Ta fram ett antal standardprocesser utifrån de obligatoriska uppdragen Identifiera informationen i dessa processer.
Ge stöd för att kartlägga vilka bärare som används för att hantera informationen.
Observera att det inte enbart gäller system och tjänster utan även andra bärare.
Ge förslag på en standardklassning av informationsmängderna.
Med detta som utgångspunkt kan ut skyddsnivåerna plockas fram krav både på den egna verksamheten, egen it och på externa leverantörer av tjänster.
Stärkt samordning av de frågor som påverkar vården i regeringskansliet och en stärkt roll för Socialstyrelsen som sammanhållande kraft i vården och beställare av it-lösningar hos e-Hälsomyndigheten, SKL m.fl.
Hur en gemensam infrastruktur ska kunna byggas upp i konkreta termer och ansvarsförhållandena för detta En ny patientdatalag som lever upp till dagens många olika behov och som inte genar när det blir svårt.
En arkivlag som kan tillgodse kravet på att bevara den gemensamma informationsinfrastruktur som uppstår inom bland annat e-hälsa.
I en ny arkivlag bör finnas utrymme för att fatta beslut om bevaranderegler även för andra än statliga myndigheter, t.ex.
ett krav på att viss vårdinformation ska bevaras för all framtid oavsett vårdgivare.
SKL:s roll med övervägande om liknande krav på öppenhet som gäller de ingående sjukvårdshuvudmännen.
Frågan bör ställas om SKL över huvud taget har de institutionella förutsättningarna att leverera gemensamma e-tjänster eller om detta istället bör ske av myndigheter Utred möjligheten att införa en lösning liknande den norska Normenden svenska vården.
Detta drev jag med klent gehör när jag jobbade på MSB men det är aldrig fel att vädra gamla käpphästar.
MSB måste våga överge sin beröringsskräck för verkligheten och kunna ge faktiskt stöd till bland annat vården.
Hur e-hälsan systematiskt ska utvärderas och vem som ska utföra det.
Försvarsmaktens insatser Det civila säkerhetsskyddet av rikets säkerhet samt mot terrorism Det civila försvaret Samhällets krisberedskap Stöd till myndigheter, kommuner, företag m.m.
för deras egen verksamhet och i samverkan för e-förvaltning, e-hälsa m.m.

en varför förutse mellanarkiv en sina sina sina 16 § på vilket sätt läsa alla all en sina sjukvårdsvårdshuvudmännen vårdgivare alla

Meny Regioner Inläggsnavigering

Bakgrund Vad skulle då upphandlas?
SKI Slutsatser

MENU MENU Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , , Tagged , , , , , , Postat av Postad i , , , , , Tagged , , , , , Postat av Postad i , , , Tagged , , , , , , Postat av Postad i , , , , Tagged , , , , , , Postat av Postad i , , , , , , , , Tagged , , , , , , , , , , Postat av Postad i , , , , , , , , Tagged , , , , , , , Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , Tagged , , , , , , Postat av Postad i , , , , , , , , Tagged , , , , , ← Sök efter:

Konsulterna vårdresultat/kostnad=värde The Age of Surveillance Capitalism Allmänna råd Arkivbildarbegreppet och proveniensprincipen under press?
adminstrative bodies Göteborgs Stads föreskrifter och riktlinjer om arkiv- och informationshantering de granskade myndigheterna ligger på en nivå som är märkbart under vad som är tillräckligt ”.
”därför ta fram en nationell strategi för samhällets informations- och cybersäkerhet.” samma

Efter långt om länge släppte nu äntligen Datainspektionen (snart Integritetsskyddsmyndigheten) sina av åtta vårdgivare.
Även om jag var väl förberedd på innehållet så är det en chockerande dyster läsning när den fulla konsekvensen av vad jag redan visste blev förtydligad på detta sätt.
Låt mig först understryka att det Datainspektionen ställer krav på inte är några nya krav för vården utan de har funnits sedan länge bland annat i Socialstyrelsens och i PuL.
De brister som framkommer i granskningar har inte heller de nyhetens behag utan är de samma som i de granskningar av vården som Socialstyrelsen respektive Datainspektionen gjorde typ 2012.
Det är alltså inte så att vårdgivarna är tagna på sängen med helt ny rafflande krav utan det är väl kända försummelser som regioner och vårdgivare medvetet underlåtit att rätta till.
Egentligen räcker det att läsa följande stycke i granskningen gällande Capio S:t Görans Sjukhus AB för att se vidden av hur undermålig säkerheten och skyddet för integriteten är: Ytterligare försvårande omständigheter är att behandlingen av uppgifter om patienter i huvudjournalsystemet hör till kärnan i en vårdgivares verksamhet, att behandlingen omfattar många patienter och möjligheten till åtkomst avser en stor andel av de anställda.
Inom ramen för den inre sekretessen har mer än 2700 medarbetare åtkomst till uppgifter som rör närmare 490 000 patienter.
Utöver det har mer än 600 medarbetare, inom ramen för den sammanhållna journalföringen, åtkomstmöjligheten till uppgifter rörande cirka 3 patienter i TakeCare.
För att strö ytterligare salt i såret kan man läsa om Aleris sjukvård AB: Aleris har ett dokument som benämns ”Behovs-och riskanalys-TakeCare”.
Dokumentet har sett ut som det gör idag sedan den 28 maj 2012 då Take Care infördes och gäller både för den inre sekretessen och inom ramen för den sammanhållna journalföringen.
Av dokumentet framgår de olika profilerna, så kallade behörighetsgrupper.
Dokumentet visar bland annat läsrättigheterna samt skrivrättigheterna för respektive behörighetsgrupp.
Alla profiler förutom tekniker har tilldelats läsbehörighet till uppgifterna i TakeCare.
Då ska noteras att man hade 796 350 unika patienter i maj 2019 och 1058 aktiva användarkonton av vilket det absoluta flertalet alltså har läsrättigheter till samtliga patienter oavsett om de har en vårdrelation eller inte.
Att Aleris slänger fram en oförändrad riskanalys från 2012 säger nog det mesta om nivån på säkerhetsarbetet liksom när Capio hävdar att de visst har en behov- och riskanalys men att den av okänd anledning är borttappad.
Capio St Göran fick 30 miljoner i sanktionsavgift och Aleris Sjukvårds AB 15 miljoner (plus ytterligare 12 miljoner från sitt andra bolag Aleris Närsjukvård AB) men de är långt ifrån unika.
Bristerna hos övriga granskade vårdgivare (granskningen av Kry ännu ej beslutad) bekräftar det vi redan vet bland annat från tidigare granskningar.
Säkerheten i den svenska sjukvården är helt undermålig och det gäller inte bara vad gäller integritetsrelaterade frågor som de Datainspektionen granskat utan generellt.
Jag har begärt en större del av underlagen från Datainspektionens granskningar och ska fördjupa mig ytterligare i dem.
I detta blogginlägg ska jag ta upp några fenomen som aktualiseras i de granskningsfynd som presenteras i de offentliggjorda rapporterna.
Utgångspunkten är att den usla säkerhet som indikeras genom granskningarna är en följdriktig konsekvens av ett konsekvent förhållningssätt till integritet och säkerhet i vården från olika aktörer.
För att förstå hur samtliga granskade vårdgivare (Kry inte inräknade än så länge) så flagrant bryter mot lagstiftningen måsta man känna till att lagtrots när det gäller integritet och säkerhet i digitala lösningar är normen i den svenska vården – inte undantaget.
Att endast medarbetare med vårdrelation eller något annat mycket tydligt definierat skäl ska ha åtkomst till patientuppgifter är ett krav som har kommit med dataskyddsförordningen utan har funnits i princip sedan journalerna övergick från att vara räkenskapsmaterial till att vara vårddokumentation.
Vi rör oss alltså någonstans i början av förra seklet (hur gärna skulle jag inte vilja gå in på detaljerna i denna historia men inser att alla kan inte vara totala journalnördar – skulle någon vilja veta mer så får ni skicka ett mail).
På den tiden pappersjournalerna gällde fanns de inlåsta i journalarkiv med strikta regler för vem som fick ta del av dem.
Det kan sägas att ha rått en minimalistisk åtkomstprincip innan begreppet var uppfunnet.
Återkommande klagomål fanns på att det var för många som ändå kunde slinka in och läsa det de inte fick men möjligheten får ändå säga vara mikroskopisk jämfört med det som skildras i de aktuella granskningsrapporterna.
När de tidiga journalsystemen introducerades på slutet av 1980-talet hade de inte funktionalitet för en effektiv behörighetsstyrning på individ- och rollnivå vilket var ett första steg på färden mot dagens situation.
Istället för att tvinga leverantörerna tillbaka till ritbordet för att konstruera system som följde lagstiftningen började man (med ”man” avses i det följande den grupp av leverantörer, it-chefer, byråkrater, politiker och andra makthavare inom vården som ansvarat för digitaliseringen) tänja på normerna och hävda att det gick lika bra att styra med logguppföljning som med behörigheter.
Istället för att organisatoriskt och tekniskt begränsa åtkomsten hävdade man att logguppföljning var en jämförbar säkerhetsåtgärd (!).
Denna för svensk sjukvård unika bedömning var ett fatalt vägval ligger bakom en stor del av de säkerhetsproblem som finns i vården idag.
De negativa konsekvenserna begränsas inte enbart till att det på dryga tjugo år utvecklats de organisatoriska och tekniska lösningar som är nödvändiga för följa lagen och ha ens ett basalt skydd för patientuppgifterna.
Det har även lett till att man för att motivera det stora felsteget gjort dygd av nödvändigheten genom att hävda att ALLA inom sjukvården behöver tillgång till ALLA patientuppgifter hela tiden – allt annat vore en risk för patientsäkerheten.
I målande ordalag beskrevs hur nödvändig patientinformation inte skulle finnas tillgänglig för vårdpersonalen vid behandlingar olika slag vilket skrämde upp en hel del läkare och sköterskor som därmed köpte den konstruerade motsättningen mellan patientsäkerhet och integritet.
Det ledde till en ond spiral där krav på korrekt behörighetshanteringen inte ens ställts vid upphandlingar och stora utvecklingsprojekt trots att lagstiftningen är tydlig på denna punkt vilket i sin tur knappast motiverat leverantörer av vårdinformationssystem att utveckla sådan funktionalitet.
Det är därför en särskild glädje att Datainspektionen i granskningen av Capio S:t Göran slår fast att loggning kan ersätta att begränsa åtkomst via behörighetshantering: Capio S:t Görans anger att de använder systematisk logguppföljning för att reducera risken för att medarbetare otillbörligen tar del av patientuppgifter.
Datainspektionen konstaterar att patientdatalagen inte lämnar något utrymme förvårdgivare att kompensera frånvaron av behovs-och riskanalys, eller en allt för bred tilldelning av behörighet tillåtkomst, med en omfattande logguppföljning.
Inte heller fiktiva åtkomsthinder som ”journalfilter” eller ”aktiva val” godkänns av Datainspektionen som tillräckligt för att begränsa åtkomsten vilket kan vara en bra tumregel att ha med sig in framtida projekt.
Det känns också bra att Datainspektionen drar undan mattan för det i digitala sammanhanget urgamla svepskälet för att ha lagstridig hantering av personuppgifter, nämligen att hävda att man har en akutverksamhet.
Ytterligare en konsekvens är att den lättsinniga hållningen till lagstiftning sedan dess blivit en tradition inom vård-it.
Ett aktuellt exempel är när Region Skåne först beslutat att medvetet gå emot bättre vetande och upphandla en som går emot dataskyddslagstiftningen och sedan i sista minuten sig.
Hur mycket denna utsvävning kostat i pengar och förlorad tid är oklart.
Argumentationsfelen för att använda exempelvis molntjänster är desamma som medvetet praktiserats under par decennier i vården: ”ja men det blir ju bättre än det vi har” och så bygger man fast sig i bristfällig lösning som det tar åratal att ta sig ur istället för att ställa rätt säkerhetskrav från början och se till att de levereras.
Själv kan jag inte räkna alla gånger som jag, när jag påpekat brister i tänkta lösningar, fått kommentarer som ”ja men det är ju bättre än det som finns idag”, d.v.s.
att legitimera kända risker i nya lösningar med den falska jämförelsen med dagsläget.
Detta är ytterligare en väsentlig bakgrund till dagens situation och som bygger på samma knäppa riskhantering som är den andra återkommande bristen i Datainspektionens aktuella granskningar, nämligen risk- och sårbarhetsanalyser där vårdgivarna återkommande endast analyserar och inte risker.
För en sansad människa framstår det kanske som obegripligt varför man över huvud taget bryr sig om att göra riskanalyser om man inte är intresserad av att identifiera och reducera risker.
Jag ser det mer som en del i den svenska digitaliseringskulturen där det inte får finnas problem utan vi ständigt är glittrande glada.
Och har vi inte identifierat några risker så behöver vi ju inte några säkerhetsåtgärder och då är ”utmaningen” (inte problemet) obefintlig.
Tydliga ansvarsförhållanden är grunden för all fungerande säkerhet.
Saknas denna förutsättningen kommer säkerheten oundvikligen att bli lidande och det går inte heller att genomföra ett ansvarsutkrävande.
I den trassliga spaghettistruktur som är svensk vård-it blir detta synligt även i Datainspektionens granskningar.
En konstruktion som skulle behöva synas beskrivs i rapporten om Aleris Sjukvård AB: Federation Samverkan TakeCare (FSTC) är beställare av journalsystemet Take Care och Compu Group Medical (CGM) är leverantör av journalsystemet och ansvarar för de funktioner som systemet har för att styra behörigheter.
Alla funktioner i journalsystemet är skapade av CGM, men det är Aleris som väljer vilka funktioner som en viss personalkategori ska ha tillgång till bland de funktioner som finns inlagda.
Aleris har inga tekniska möjligheter att göra ändringar i Take Care eftersom Aleris inte har någon rådighet över journalsystemet.
Aleris är endast användare av systemet.
Aleris har inte kunnat ställa några krav på CGM vid upphandlingen av journalsystemet.
Bolaget har till exempel påpekat att det funnits problem med journalsystemet bestående i, så vitt avser behörighetstilldelningen, att systemet inte kan separera läs-och utskriftbehörigheter för en läsfunktion.
CGM har inte varit intresserade av att ändra detta trots synpunkter från Aleris.
Det är FSTC som kan beställa ändringar av funktionerna och det är sedan upp till CGM om de vill utföra ändringarna eller inte.
Aleris har en representant i FSTC som kan framföra Aleris önskemål.
Aleris har dock inte fått något gehör för bolagets synpunkter.
Här förefaller det alltså omöjligt för vårdgivaren som även är personuppgiftsansvarig att genomdriva sina säkerhetskrav eftersom en organisation utan formellt ansvar förhindrar det.
Om vi nu hypotetiskt litar blint på att Aleris verkligen ställt rätt säkerhetskrav är det alltså FSTC som drivs av Region Stockholm som inte bara förorsakat kränkningar av ett mycket stort antal patienters integritet utan också ”användarna” Aleris sanktionsavgifter.
Det borde finnas ett intresse åtminstone från ”användarna” att reda ut ansvarsförhållandena och skapa garantier för att man kan få påverkansmöjlighet på de gemensamma it-systemen så at de följer lagstiftningen även om regionen inte prioriterar den frågan.
Trots att det i övrigt finns en mycket god säkerhetskultur i vården har man alltså inte lyckats inympa informationssäkerhet i den.
Det huvudsakliga ansvaret för detta ligger naturligtvis hos regionerna som sjukvårdshuvudmän tillsammans med SKR som sedan mitten av 90-talet utlovat gemensamma regler för informationssäkerhet men hittills inte lyckats uppvisa något som ens liknar det.
Är det någonstans där Datainspektionen bör göra nästa granskning så är det hos SKR:s it-bolag Inera.
Detta är särskilt angeläget eftersom lösningar som NPÖ som tillhandahålls av Inera saknar adekvat behörighetshantering (se ovan) som inte bara drabbar den enskilde vårdgivare utan samtliga vårdgivare som använder.
En annan aktör som väcker viss tveksamhet är IVO vars granskningar hittills inte alls verkar ha genomförts på samma grundliga nivå som Datainspektionen.
Några granskade verksamheter hänvisar till granskningar som IVO gjort och som på något sätt skulle gett klartecken för den säkerhetsnivå som de nu ligger på.
Förhoppningsvis kan tillsynsansvaret i och med NIS-direktivet leda till att IVO utvecklar sina granskningsmetoder.
Jag tror att det är centralt att myndigheterna samverkar här och ser informationssäkerheten i ett helhetsperspektiv och förstår att det är en sammanhängande säkerhetsarkitektur där brister i ett hänseende skapar risker på flera olika sätt.
Det skulle även vara en fördel att ha gemensamma granskningsmetoder och kanske t.o.m.
genomföra granskningar tillsammans.
Många tillsynsmyndigheter kan lära sig mycket genom att studera med vilken noggrannhet och stringens Datainspektionens granskningar genomförts.
I rättvisans namn ska sägas att vården inte fått särskilt mycket hjälp från myndighetshåll att utveckla sin säkerhet.
Jag har tidigare om att MSB:s knytning till ISO 27000 och det metodstöd som utvecklats i denna anda knappast är till hjälp för vårdens infrastruktur och jag kan inte heller se andra satsningar som tagits fram för att stödja denna i sanning samhällsviktiga verksamhet.
Datainspektionens granskningar som endast rör ett par aspekter av säkerheten borde ge upphov till ett större samordnande projekt lett av myndigheter för att långsiktigt höja vården säkerhet eftersom detta är en fråga som regionerna med all önskvärd tydlighet visat att de inte klarar av.
En helt nödvändig insats är att tvinga regioners och SKR:s makthavare att erkänna att det finns ett mycket stort säkerhetsunderskott i vården och istället för att stoppa huvudet i ta sitt ansvar och börja bygga för framtiden.
Häromveckan kom en OECD-rapport där det framkom att Sverige enligt de måttstockar som användes inte var så bra på digitalisering.
Rapporten väckte förvåning och upprördhet i vissa kretsar.
Jag kan på sätt och vis förstå att det kan upplevas som en kalldusch med tanke på hur mycket offentlig ”digitalisering” haussas och sponsras.
Samtidigt får jag litet drygt medge att jag inte är såååå häpen.
Den svenska digitaliseringen har under decennier fört en haltande tillvaro trots att den ständigt varit omgiven av jublande kaskader av pepp.
Under dessa år har olika mystiska nationella organisationer skapats, marknadsförts och sedan dött utan att lämna några imponerande spår efter sig.
Ur minnet kan jag rada upp följande: Utöver detta har diverse ännu mer kortlivade initiativ tagits av regeringar i form av råd och kanske den mest luftiga av alla: en nationell CIO, en funktion som lyckligtvis evaporerade efter mindre än ett år.
Av allt detta finns idag bara DIGG kvar – en myndighet med oklart ansvar och mandat.
Efter att ha rört mig i både närmare centrum och och för det mesta i periferin av dessa cirklar så finns det vissa genomgående drag som jag tycker mig kunnat notera.
Bara uppräkningen av alla flyktiga organisationer som haft en förväntan på sig att samordna den svenska digitaliseringen visar på det kanske främsta problemet: bristen på kontinuitet.
Det har aldrig funnits en långsiktig plan med prioriteringar för hur den offentliga digitaliseringen ska rullas ut.
Bristen på strategisk inriktning skulle i sig kunna vara en strategi, att den svenska staten gjort en välavvägd bedömning att en organisk framväxt utan styrning av digitala lösningar på sikt skulle gynna samhället bäst.
Om detta har varit planen har den dock hållits väl dold.
Verkligheten tyder på, i alla fall för mig, att planering och tydlig inriktning hade varit mycket önskvärt för att skapa en fungerande digital infrastruktur.
Kanske var vi närmare en möjlighet att skapa en infrastruktur på slutet av 90-talet än idag.
Då fanns en medvetenhet om att Sverige hade unika möjligheter bland annat genom denna snabba spridningen av hemdatorer som skett då anställda fick möjlighet att med förmånliga villkor skaffa sig en egen dator via arbetsgivaren.
Då diskuterades hur en statlig e-legitimation skulle kunna införas som en central infrastrukturkomponent.
Själv tyckte jag att det var en rimlig förlängning av ett statlig åtagande: folkbokföring, personnummer och sedan e-legitimation skulle fullfölja en lång linje i svensk förvaltningshistoria som skulle kunna vara byggstenen för många andra lösningar.
Men sedan hände ingenting, varje år sas det att i september – då kommer den att komma!
Vet ej varför just september var en så bra månad för att lansera e-leg men i min något osäkra minnesbild var det så.
En myndighet (E-nämnden) bildades 2003 för att leva i två somrar med uppdrag att stödja utvecklingen av ett säkert effektivt elektroniskt informationsutbyte mellan myndigheter och mellan myndigheter och enskilda genom att beslut om vilka standarder för informationsutbyte myndigheter under regeringen skulle använda sig av.
Detta inkluderade även e-legfrågan.
Men som sagt någon statlig e-legitimation blev det inte då vilket jag är ganska övertygad berodde på ideologiska skäl.
Politiker av olika schatteringar gick all in för nyliberalism och ville hellre att ”marknaden” skulle hantera e-legitimationerna vilket säkert påverkade införande och fördröjde en säker infrastruktur-utveckling.
Att jag tagit upp denna gamla historia är mest för att peka på ett annat återkommande tema i den svenska digitaliseringen, nämligen att det saknats öppna och tydliga diskussioner om hur staten och marknaden ska samverka på bästa sätt för gynna samhället.
Istället har framtagandet av digitala lösningar skett i en ideologisk blindhet som lett mycket stora kostnader (tänk bara Hälsa för mig) utan att det lett till de resultat som eftersträvats.
Och vad är det då för resultat som eftersträvas?
Man skulle tycka att med den stora förväntan på digitalisering och AI som lösningen på alla problem liksom de miljarder som pytsats in att även utan plan så skulle det vara nödvändigt att ha någon slags tydliga mål som går att följa upp.
Så är dock inte fallet om man inte räknar det outsägligt fåniga målet att ”Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter” som tydligt.
Istället vimlar det av fluffiga utsägelser som digitaliseringen ska rädda allt från äldreomsorgen till exportindustrin och självklart skolan.
Exakt hur det här ska gå till beskrivs vad jag kan se varken av , eller digitaliseringsevangelisterna trots att man skrivit vad man kallar mål och strategier.
Det förväntas bara ske.
Det ligger något av en paradox i att digitaliseringslösningar idag så ofta används för att mäta som en del i det rådande NPM-paradigmet när det samtidigt sker så litet av formell utvärdering av vad digitaliseringen faktiskt leder till.
Om man går in de traditionella utvärderarna av ”vad f-n får vi för pengarna?” som Riksrevisionen, Statskontoret och, när det gäller e-hälsa, Myndigheten för vårdanalys finns påfallande få granskningar och rapporter skrivna just om digitalisering.
Riksrevisionen publicerade 2016 en som knappast är en av dem som länder revisionen till heder med tanken på kvaliteteten som kontrollerar om myndigheter digitaliserat tillräckligt mycket – inte vad digitaliseringen lett till.
Detta är i sig en generell tendens, att se digitaliseringen i sig som något ”gott” samtidigt som man i nästa andetag säger att digitaliseringen inte är självändamål.
Men vad kan vara mer självändamål än att ha som mål att ”Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter”?
Däremot kom 2019 en om digitalisering och nyföretagande som faktiskt sätter nyföretagandet i centrum – inte digitaliseringen.
Utöver detta finns det inte mycket att hämta om digitalisering hos Riksrevisionen om man är intresserad av resultatet av statens insatser på området.
Statskontoret har skrivit myndighetsanalyser av bl.a.
E-delegationen, Digisam och Digitaliseringsrådet (spoiler alert: de har inte lyckats så bra) men egentligen inget vad jag kan se om digitaliseringen i sig.
Riksrevisionens och Statskontorets uppdrag kan möjligen göra dem något begränsade i sina granskningar men att Myndigheten för vårdanalys inte haft detta som ett starkt granskningsområde förvånar mig starkt.
Med tanke på hur e-hälsa, välfärdsteknologi, AI och digitalisering lyfts fram som vårdens frälsare borde utfallet av detta vara mycket angeläget att kontinuerligt följa.
Som det nu är hittar jag egentligen bara en som handlar om cancervården specifik.
Ett om äldreomsorgens digitalisering ska slutlevereras 2023 och inriktningen ”Myndigheten ska bedöma hur digitaliseringen av äldreomsorgen bidrar till verksamhetsutveckling, med särskilt fokus på kostnadseffektivitet.” – alltså hur ska digitaliseringen ”effektivisera” äldreomsorgens.
Sammanfattande kan jag förstå om det är svårt att göra granskningar med så fluffiga mål för vad är det egentligen som ska följas upp?
Min egen anekdotiska upplevelse är att den svenska digitaliseringen lider svårt av ett marshmallowssyndrom.
Ni vet det där gamla experimentet om uppskjuten tillfredställelse som sedan har ifrågasatts men som jag ändå använder här som bild.
På Stanford university erbjöds fyraåring att marshmallows med förutsättningen att om de kunde motstå att genast sluka den godbit de fick och kunde vänta några minuter kunde de istället få två.
Tanken var att de som kunde planera och motstå frestelsen blev framgångsrika längre fram i livet.
Den svenska digitaliseringen tyckte jag ofta har liknat barnen som inte kunde låta bli att genast tillfredsställa sitt sötsug.
De politiker, tjänstemän och företag som drivit på digitaliseringen har dock styrts av starkare tobak än marshmallows men kontentan blir att det idag saknas en plan.
Det tycks som man ofta gör saker för att man inte för att man analyserat och kommit fram till att det är rätt steg i en bestämd riktning.
Detta leder också till den intressanta frågan vems intressen tjänar den nuvarande digitaliseringen.
Som redan nämnts är äldreomsorgen ett frestande område att digitalisera, mindre så digitaliseringsbyråkraternas egna jobb.
Jag ska inte ge mig in på David Graebers tankar om Bullshit jobs (läs gärna själva!)
men tanken på de undersköterskor som flänger omkring som torra skinn i äldreomsorgen är de som ska effektiviseras och inte de som har bullshit jobs är djupt störande.
Jag tänker också på vad en äldre människa tjänar på att inte få en människa som kommer och hjälper till med matning utan en robot.
Detta borde vi prata mycket mer om.
För att ingen ska missförstå ovanstående: jag vet och uppskattar den ständigt puttrande digitaliseringen men skulle uppskatta en plan.
1910 blev Karlstads lasarett det andra i Sverige som blev s.k.
delat lasarett (efter Falun).
Att ett lasarett blev delat betydde att det fanns både en medicinsk och en kirurgisk verksamhet.
I korthet var detta första steget på den snabba utveckling pådriven av en framgångsrik forskning där ögon, öron, ortopedi, röntgen, BB, barn, gynekologi o.s.v, o.s.v.
, blev egna specialiteter och subspecialiteter i ett allt finmaskigare nät.
Till detta kommer allmänmedicin och annan öppenvårdsverksamhet för att inte glömma psykiatrin i olika former.
Alla dessa med tiden hundratals olika kompetensområden måste organiseras i avdelningar, kliniker, mottagningar m.m.
för att få bästa möjliga vård för patienten till en för samhället rimlig kostnad.
Det räcker dock inte med att organisera vårdens olika verksamhet i förhållande till varandra utan vården måste styckevis och delt även passas in i samhällets generella styrning som i sin tur består av förvaltning respektive den politiska styrningen.
För Sveriges del har det i huvudsak inneburit inpassning i kommun, landsting/region och stat eftersom vården varit offentligt finansierad (även detta i huvudsak) sedan lång tid tillbaka.
Historiskt har vårdverksamheten i delar vandrat mellan huvudmännen.
Att allmänmedicin och psykiatri var ett statligt ansvar fram till 1960-talet och äldrevård en landstingsangelägenhet fram till ÄDEL-reformen då den överfördes till primärkommunerna är bara två exempel.
Vad jag vill säga med denna skamligt korta sammanfattning är att sjukvård är EXTREMT svårt att styra med en fullständigt oöverblickbar komplexitet i tre dimensioner: den interna styrningen av vårdarbetet och förvaltningsstyrningen samt den politiska styrningen.
Fram till 1970-talet var inriktningen för att hantera denna komplexitet bland annat att försöka skapa mer enhetliga huvudmannaskap vilket var en av orsakerna till att exempelvis allmänmedicin och psykiatri överfördes till landstingen från staten.
Denna trend avlöstes av den glada NPM-eran när styrningen av offentlig verksamhet fragmentiserades bland annat för att underlätta för privata alternativ.
Det var då äldreomsorgen och den social omsorgen fördes till den kommunala sektorn vilket bland annat har lett till bollandet av gamla multisjuka mellan två huvudmän – något vi sett de avskräckande konsekvenserna av nu efter covid-19.
Det är ett ganska väl beforskat hur organisatorisk komplexitet leder till det som slarvigt brukar kallas byråkrati men som jag hellre skulle benämna administration som inte är direkt kopplad till kärnverksamhetens uppgifter.
Ju större antal aktörer som ska förmås att röra sig i samma riktning eller åtminstone samspela, desto fler samordnade aktiviteter krävs för att hålla ihop helheten.
Det blir strategier, policies, planer, möten, kontroller och rapporteringar i olika riktningar.
Genom privatiseringen av offentlig verksamhet har dessutom ytterligare behov av upphandlingar, kravställningar, regelverk, beställningar och uppföljningar tillkommit.
Detta skapar kohorter av nya typer av administratörer, alltså inte den gamla typen som skötte budget, bokföring och löneutbetalningar.
Istället har kvalitetsutvecklare, upphandlingsspecialister, digitaliseringsstrateger, e-hälsosamordnare och (visst, jag kackar i eget bo) informationssäkerhetsansvariga tillkommit.
Och så naturligtvis kommunikatörer, kommunikatörer och åter kommunikatörer.
Utan jämförelser i övrigt kommer jag osökt att tänka på den här gamla klassiska bilden där jag föreställer mig vårdpersonalen dignar under hela lasset av administration upp till sjukvårdspolitiker och vårdbolagschefer.
Det är med detta i bakhuvudet jag läser i DN som drar en lans för förstatligande av sjukvården.
För mig framstår det som ett relevant förslag.
1962 gav de flesta landsting ut historiker över sina första hundra år.
Dessa historiker rymmer en fascinerande motsättning mellan beständighet och föränderlighet.
Landstingen hade funnits i respektingivande hundra år men vad ett landsting var och skulle syssla med hade ständigt förändrats under dessa är.
Vad detta lär oss är att hur samhällets basala funktioner ska organiseras ständigt måste omprövas för att institutionerna ska vara ändamålsenliga och anpassade till rådande behov.
Historiskt har detta skett kontinuerligt som jag snabbskissat ovan och det finns ingen anledning att tro att just den organisation av sjukvården har idag är den enda möjliga oavsett vad som händer i samhället i övrigt.
Själv hyser jag inte någon ohejdad tilltro till att ett förstatligande av sjukvården skulle lösa alla eller ens merparten av problem som vården har att leva med men i all enkelhet skulle åtminstone ett lager i pyramiden försvinna.
Förhoppningsvis skulle grundläggande mål som likvärdig vård vara enklare att uppnå.
En annan effekt är att den samordnade byråkratin internt mellan de idag 21 regioner skulle kunna plockas bort (även om den säkert delvis skulle komma tillbaka i en annan form).
Att inte bara DN utan även andra med viss energi börjar ifrågasätta regionernas roll väcker oro i regionsleden, inte minst hos särintressets främsta företrädare SKR vars ordförande Anders Knape som skrev ett kanske aningen sentimentalt på DN:s ledare.
Han, liksom regionala företrädare, lobbar ivrigt för att regionernas USP är den politiska styrningen av regionerna som hypotetiskt skulle göra sjukvården regionalt anpassad och därmed ”bättre”.
Med viss bombasm skriver Knape: den lokala och regionala nivåns omkring 40.000 förtroendevalda utifrån kunskap om invånarna lokalt och regionalt.
Deras kraft är oslagbar.
För den som något fördjupat sig i landstingens/regionernas historia väcker denna beskrivning antagligen skuggan av ett leende.
Inga sjukvårdsstrider har varit så infekterade som de enskilda landsting där sedan åtminstone 1920-talet omfattande manifestationer skett för att sjukstugor skulle placeras i ”rätt” samhälle eller rörande nedläggningar av sjukhus.
Knapes uttalande pekar snarare på en klassisk problemställning inom svensk sjukvård: den potentiella motsättningen mellan regional särart å ena sidan och likvärdighet nationellt å andra.
För mig framstår denna argumentationslinje också som alltmer paradoxal då SKR själva så intensivt försöker samla nationell styrning hos sig själva.
Som jag tidigare skrivit om har alltfler frågor börjat samordnas via SKR och därmed flyttats från den regionala nivån till en nationell.
Om SKR starkaste argument mot ett förstatligande är det demokratiska värde som finns i den regionala politiska styrningen verkar det ju vara att såga av sin egen viktigaste sittgren om makten förs från dessa demokratiska församlingar in i det mörker som föreningen SKR utgör.
Själv skulle jag alla dagar i veckan föredra en normal svensk myndighet framför SKR som nationellt samordnande.
Ibland dristar jag mig till och med till att tycka att det kanske är en demokratisk fördel om sjukvården lyfts bort från bypolitiken.
Knape har förstås en poäng när han lyfter fram mindre lyckade statliga experiment och då även inom digitaliseringsområdet.
Tyvärr måste jag dock säga att det är en boll som är svår att inte smasha tillbaka för den som strävar mot förstatligande av sjukvården.
INGEN fråga har engagerat SKR så mycket som digitalisering som lösning på all och jag misstänker att man har en gemensam morgonbön i SKR-palatset som går ungefär så här: Digitalisering, låt ditt namn bli helgat Låt ditt rike komma.
Ge oss i dag vårt dagliga bröd .
Och glöm våra misslyckade projekt, så som vi glömmer dem själva.
Och för oss inte in i verkligheten, utan fräls oss från ansvar.
Förlåt, det är semester… Min poäng är att trots den närmast religiösa inställning som SKR har till digitalisering i teorin så ser i praktiken digitaliseringen av den svenska sjukvården som ett härke trots de enorma resurser som tillförts.
Jag sitter mycket tungt på mina händer för att inte skriva något om den totala frånvaron av samordning av informationssäkerhet och det provocerande ointresset för integritetsfrågor där SKR knappast agerat som insiktsfull vägledare för sina medlemmar.
Om verkligheten ska användas som betygssättare för regionernas och SKR:s förmåga att skapa en nationellt sammanhållande och långsiktigt fungerande vård så ser det rätt illa ut för Knapes linje.
För att komma vidare vore det önskvärt med en hederlig gammaldags utredning som inte helt styrdes av särintressen inom vården.
Personligen lutar jag svagt åt att behovet av nationell samordning av sjukvården bäst hanteras genom ett förstatligande åtminstone av delar av vården.
Det kommer visserligen att skapa nya gränslinjer – hur ska exempelvis äldreomsorgen hanteras med större medicinsk kompetens – men jag tror verkligen det är dags att ompröva dagens situation.
Efter att till största delen fåfängligt tröskat runt om SKL/SKR:s (hädanefter benämner jag organisationen SKR trots att den hetat SKL) hittar jag plötsligt en från Riksrevisionen som tar upp EXAKT samma saker som jag skrivit om!
Hur har jag kunnat missa det – det var ju inte längre än sedan 2017 den skrevs?
Jag rekommenderar alla intresserade av offentlig styrning att läsa rapporten eftersom här summeras en rad väsentliga frågor.
Rapporten handlar framför allt om hälso- och sjukvård men kan även läsas som en mer generell beskrivning av hur SKR fungerar.
Som jag i tidigare inlägg försökt återge har styrningen inom den offentligt finansierade sjukvården helt förskjutits i och med att Socialstyrelsen slagits i bitar.
Den svenska förvaltningen bygger på att det finns beredande myndigheter som fungerar som ett mellanled mellan olika intressenter och regeringen.
I detta fall har denna mekanism upphört att verka och SKR har istället kunnat förhandla direkt med regeringen och i vissa fall t.o.m.
haft en dubbelroll där man kunnat ge sig själv uppdrag.
I huvudsak har det handlat om att förmedla statsbidrag som (rapportens beteckning) vilket paradoxalt gett SKR en roll de facto överordnad sina medlemmar.
Just detta har ibland framskymtat i samtal med representanter för vården, att gäller att hålla sig väl med SKR eftersom det i annat fall kan påverka den ekonomiska fördelningen.
Sant eller inte, denna roll har inte enbart varit till godo för SKR, särskilt som det inte är små summor man har fått både för att fördela till sjukvårdshuvudmännen och till sin egen organisation.
SKR:s mycket stärkta roll har flera orsaker men en viktig sådan är just de otraditionella styrmedel som regeringen under ett drygt decennium (över-?)
använt särskilt i vården där regeringen velat höja ambitionsnivån men varit delvis förhindrad att styra genom det kommunala självstyret.
Lösningen har varit olika typer av riktade bidrag och överenskommelser som SKR fått i uppdrag att förmedla: Överenskommelserna har inte ingåtts med enskilda landsting utan med SKL för samtliga landsting.
Det har praktiska orsaker.
Det var enligt dåvarande socialministern helt enkelt enklare att teckna överenskommelser med SKL än med 21 — Inom ramen för utvecklingsarbetet framkom också en del kritiska synpunkter från enskilda tjänstemän när det gäller SKL:s roll i överenskommelserna.
Ett exempel är att några tjänstemän ställde sig frågande till SKL:s kapacitet att hantera långsiktighet och mer förvaltande uppgifter i samband med överenskommelserna.
Flera pekade på att SKL i sin roll har att hantera konflikten i att vara en del i en statlig satsning och samtidigt värna medlemmarnas intressen.
Några enskilda tjänstemän tyckte att överenskommelser kan ses som ett slags symptom på att myndigheterna inte fungerar bra; att regeringen i brist på välfungerande myndigheter väljer att vända sig till SKL.
Detta har skapat det SKR som vi känner idag: Regeringen har använt sig av otraditionell styrning som i stor utsträckning involverat SKL, vilket gjort SKL till en central aktör i styrningen.
Riksrevisionens bedömning är att detta skett utan att regeringen aktivt tagit ställning till vilken roll SKL ska ha i styrningen av vården.
Att SKL fått stort inflytande kan snarare ses som ett resultat av att regeringen allt oftare valt att ingå överenskommelser som vid varje enskilt tillfälle gett SKL lite mer att säga till om.
Att SKL påverkar villkoren för kommuner och landsting är naturligt.
(min kursivering) Givet de begränsningar som finns för regeringen att direkt styra vården är det begripligt att regeringen valt att använda sig av SKL.
Mycket talar för att regeringen helt enkelt ansåg att det inte var möjligt att få samma effekt med hjälp av de statliga myndigheterna på vårdområdet.
I praktiken har det emellertid inneburit att regeringen har gett SKL en myndighetsliknande roll.
Riksrevisionen kan konstatera att det saknas normativa principer för när, och i så fall hur, regeringen kan använda icke-offentliga aktörer för att genomföra sin politik.
Det finns fördelar men också nackdelar med att använda SKL i styrningen av vården.
SKL har naturligt närmare till landstingens verksamhet och kan därmed fungera som en viktig länk mellan staten och landstingen.
Det har också framkommit att det ur regeringens perspektiv kan upplevas som en snabb och flexibel väg för att nå ut till vårdens huvudmän.
(min kursivering) Riksrevisionen noterar även att SKR fått uppdrag gällande kunskapsstyrning vilket bland annat handlar om att ta fram kunskapsunderlag på ungefär samma sätt som Socialstyrelsen: I och med att regeringen har involverat SKL i styrningen av vården har det uppstått något som kan liknas vid en konkurrenssituation mellan den centrala förvaltningsmyndigheten och huvudmännens medlemsorganisation.
Båda organisationerna arbetar med kunskapsstöd till kommuner och landsting.
Vidare arbetar både SKL och Socialstyrelsen med att ta fram kunskap om hur vården fungerar.
Socialstyrelsen arbetar alltid på uppdrag av regeringen, och SKL på uppdrag av medlemmarna.
Inom ramen för överenskommelserna agerar SKL även som genomförare av regeringens politik.
Det är svårt att dra gränsen för vad som är SKL:s respektive Socialstyrelsens roll eftersom uppgifterna överlappar varandra.
Vidare har det framkommit i våra intervjuer, även med SKL, att det är vanligt att SKL uppfattas som en myndighet.
Ett sådant kunskapsunderlag som tas upp är väntetidsdatabasen som infördes i samband med vårdgarantin: Som en följd av vårdgarantin infördes en skyldighet för landstingen att lämna uppgifter om väntetider till en nationell databas.
Regeringen har i författningar reglerat att landstingen ska lämna uppgifterna ”till den nationella väntetidsdatabas som förs av Sveriges kommuner och landsting”.
Databasen förvaltas av SKL men har finansierats av staten.
Detta udda arrangemang lyfts fram av Riksrevisionen eftersom de bara kunnat hitta ett annat liknande fall: Att databasen hanteras av en intresseorganisation är en ovanlig lösning.
Riksrevisionen har endast funnit ett delvis liknande exempel inom svensk förvaltning: ett jaktregister som tidigare fördes av Svenska Jägarförbundet, och som nu hanteras av Naturvårdsverket.
I fallet med väntetidsdatabasen tillkommer även komplikationen att staten är beställare av vård av SKR:s medlemmar – att då leverantörernas intresseorganisation kontrollerar möjligheten för beställaren att bedöma i vilken grad ”beställningen” uppförts.
(min kursivering) Att regeringen inte tagit ställning i ägarskapsfrågan innebär i praktiken att det som tagits fram på SKL stannar på SKL.
Det är Riksrevisionens uppfattning att regeringen behöver utvärdera samarbetet med SKL för att på ett principiellt plan ta ställning till formerna för samverkan.
Regeringen har en ambition att minska detaljstyrningen på vårdområdet, men utvecklingen går långsamt.
Regeringen har uttryckt att antalet överenskommelser ska minska.
Trots detta har antalet överenskommelser på vårdområdet inte förändrats, och den ordning som har uppstått där SKL har en mycket central roll i regeringens styrning av vården tycks vara svår för regeringen att ta sig ur.
Om det nära samarbetet med SKL, i form av t.ex.
överenskommelser, ska fortsätta behöver regeringen säkra tillgången till det som tas fram med statliga medel.
Det kan t.ex.
handla om att reglera insyn och förvaltning under och efter en satsning. . (min kursivering) Den omfattande styrningen genom SKL har också lett till att rollfördelningen mellan SKL och Socialstyrelsen uppfattas som otydlig.
(min kursivering) SKR har alltså suttit på dubbla stolar: dels företrätt sina medlemmars intresse, dels agerat som statens förlängda arm och att det dessutom är svårt att avgöra på vems initiativ olika aktiviteter genomförs: Det har framkommit i flera intervjuer att SKL har stor initiativmakt när det gäller statens styrning av vården.
Enligt såväl Socialstyrelsens före detta som den nuvarande generaldirektören har regeringen ett nära samarbete med SKL: ”Regeringen beslutar, men [SKL] har stor möjlighet att föreslå.
Detta bidrar också till finansiering från staten i många fall.” I intervjuer med både SKL och dåvarande socialministern har det framkommit att överenskommelser ibland uppstått på initiativ från SKL och ibland från regeringen.
SKL är involverade både i att generera ämnen för överenskommelser och innehåll, t.ex.
Men SKR har inte bara fått maktmedlet att fördela avsevärda resurser, man har även fått pengar från staten direkt till den egna organisationen.
Totalt för perioden 2009−2016 har staten utbetalt 1 078 miljoner kronor till SKL centralt för hälso- och sjukvård.
finansierat utvecklingsarbete, nationell samordning och uppföljning av landstingens arbete.131 SKL har därmed kunnat bygga upp betydande kompetens och förvaltning med hjälp av de statliga medlen.
Enligt Socialdepartementet kan SKL:s arbete konkret handla om it-stöd, metod- och implementeringsstöd, kommunikationsinsatser, resurser för samordning centralt, regionalt och lokalt etc.
Eftersom Riksrevisionen påpekar att det varit svårt att få en samlad bild av hur staten finansierar SKR:s interna verksamhet har jag inte ens gjort något försök att se vad som hänt efter 2016 men en rimlig gissning är väl att kostnaderna för staten inte på något remarkabelt sätt minskat.
Utöver detta tillkommer de medel som medlemsorganisationerna tillför.
Sammantaget kan det tyckas som SKR lever ganska gott vilket väl faktumet att man har anställda och ett kontor i Bryssel i sin kansliorganisation.
Litet spydigt så skulle man kunna tycka att SKR skulle använda sin universalmedicin ”effektivisering genom digitalisering” på sin egen organisation – kanske skulle en AI-lösning kunna framställa peppiga digitaliseringskampanjer utan mänsklig handpåläggning?
Riksrevisionen jämför i sin rapport de statliga anslagen gällande vårdområdet (för SKR tillkommer ju även andra statliga medel eftersom man inte enbart hanterar vård) och det visar ganska tydligt att SKR får ett rejält tillskott även jämfört med myndigheterna.
Relationen mellan framförallt Socialstyrelsen och SKR är komplicerad på flera sätt: I samtliga intervjuer med chefer och medarbetare på Socialstyrelsen har det framkommit att man betraktar SKL som en stark aktör.
I flera intervjuer har chefer och utredare på Socialstyrelsen beskrivit att de upplever att myndigheten urholkats eller ”hamnat i bakvattnet” i jämförelse med SKL.
Företrädare för SKL har i våra intervjuer varit noga med att betona att deras roll är att ta till vara medlemmarnas intressen och att SKL inte kan bestämma över landstingen.
Samtidigt har chefer på SKL gett uttryck för att organisationen kan och bör vara något mer än en intresseorganisation: ”Utan att vara en formell myndighet kan vi i vissa stycken ha en funktion som stödjer och utvecklar t.ex.
kunskapsstyrning genom vårt arbete.”När det gäller statens roll har företrädare för SKL uttryckt en uppfattning om att staten inte ska vara inne i det verksamhetsnära och att statens uppgift är att göra det som ”ingen annan kan”.
En sammanfattande bedömning från Riksrevisionen är: Riksrevisionens bedömning är att regeringen har låtit samarbetet med SKL − och därmed SKL:s inflytande över styrningen av vården – växa i alltför stor omfattning.
Riksrevisionen noterar att medlen till SKL ökar.
Enligt Riksrevisionens mening vore det rimligt att riksdagen informerades om omfattningen och utvecklingen av medlen till SKL.
Anledningen är att de medel som tilldelats SKL centralt är i nivå med förvaltningsanslagen på vårdområdet som riksdagen beslutar om samtidigt som SKL är en intresseorganisation.
Det är Riksrevisionens uppfattning att regeringen behöver utvärdera samarbetet med SKL för att på ett principiellt plan ta ställning till formerna för samverkan.
Detta var skrivet 2017 och tyvärr har regeringen hittills inte, vad jag kan se, följt Riksrevisionen när man säger att regeringen behöver bland annat utvärdera samarbetet med SKR och reglera insyn, förvaltning och ägande när SKR används.
Det otydliga samarbetet mellan staten och SKR är inte isolerat till vårdområdet.
De negativa konsekvenserna av att använda en intresseorganisation för myndighetsuppdrag gäller inte heller bara bortfall av offentlighetsprincipen, bristande möjlighet till ansvarsutkrävande, snurrig styrning och oklar uppföljning av hur ekonomiska medel fördelas och används.
Många andra myndigheter samarbetar med SKR och jag har blivit nyfiken på hur man reglerar säkerheten i informationsutbytet eftersom t.ex.
inte OSL gäller för en intresseförening.
I min värld borde det slutas samma typ av avtal med en förening som med ett kommersiellt bolag innan känslig information kan utbytas.
Även mellan myndigheter kan överenskommelser behövas slutas men den stora skillnaden är att alla myndigheter måste följa sekretessreglerna i OSL även om inte avtal sluts.
Av ren bekvämlighet valde jag MSB, en myndighet som jag ju vet hanterar känslig information, och skickade för drygt två veckor sedan en fråga: Hej!
MSB har ett omfattande samarbete med SKR i olika frågor.
Vissa av dessa frågor kan vara av känslig karaktär som kommuner/regionens insatser i det civila försvaret, samhällsviktig verksamhet, informations- och cybersäkerhet osv.
I dessa frågor utbyts rimligen känslig information.
SKR är en intresseförening som inte omfattas av OSL på samma sätt som en kommun/region, ett kommunalförbund eller ett kommunalt bolag.
Jag är därför intresserad av att ta del av det samarbetsavtal med vidhängande sekretessregler eller motsvarande som utgör reglering av dessa frågor i relationen mellan SKR och MSB.
Hittills har jag trots en vänlig påminnelse inte fått något svar.
Personligen tycker jag inte denna märkliga hybridform av offentlig aktör som växt fram hör hemma i svensk förvaltning där offentlig verksamhet och offentliga medel flyttas över till en oreglerad och ogenomtränglig sfär.
Jag har svårt att tro att SKR självmant kommer att vilja lämna denna softa tillvaro som skapats.
Det är därför hög tid att regeringen följer Riksrevisionens råd och utvärderar sitt samröre med SKR.
För den som vill läsa regeringens något svala reaktion på Riksrevisionens granskningsrapport finns en länk Här kommer en summering av min diskussion med SKR angående ett eventuellt tillämpande av offentlighetsprincipen även inom SKR.
Jag inledde med ett i Dagens samhälle där jag försökte resonera angående varför det vore lämpligt att SKR skulle omfattas av offentlighetsprincipen.
De 3500 tecken som står till buds för en debattartikel omöjliggör naturligtvis en rättvis behandling av de frågeställningar som skulle behövas för en så komplicerad fråga som den jag lyfte.
Ändå tyckte jag än då att det tydligt i min artikel framgick att det finns ett antal skäl till varför SKR:s ställning som ”ideell förening” borde omprövas.
En resonerande inställning där olika argument prövas är dock inget som intresserar SKR.
Istället skickades föreningens VD för att ge ett .
Kanske det ändå inte blev så dräpande som önskat eftersom en hel del läsare (t.ex.
och och ) reagerade på SKR:s icke-svar och den attityd varmed det förmedlades.
Litet orolig blir man ju med tanke på att Isling rekryterats till SKR för .” Själv tycker jag att SKR ofta verkar lida av ett attitydproblem där tjänstemännen antingen uttrycker sig med viss arrogans eller inte alls då motiverade frågor ställs.
Isling är i detta fall inget undantag och är hans förhållningssätt ett exempel på den nya inriktningen för SKR bör man kanske sätta sig och titta litet på på kartan för att ta ut en annan riktning.
I min försökte jag visa att SKR har stora möjligheter att uppnå den öppenhet som Isling menar att man vill men inte kan (enligt honom) ha.
Jag pekar på paradoxen att Inera valt att frivilligt tillämpa öppenhet men inte SKR men det vilar en kanske en ännu större paradox i att SKR ska ge för att utveckla demokratin kommuner och regioner.
Den som ska ge stöd i demokratiutvecklingen borde rimligen vinna på att vara ett föredöme.
För att förstå SKR:s ställning måste man förstå kommunernas (inklusive landstingskommuners även om de kallar sig regioner) ställning i det svenska styrelseskicket.
Även om man ofta pratar om det kommunala självstyret är alla den makt och det inflytande som kommuner har en delegation från den centrala statsmakten.
Kommuners existensberättigande ligger framför allt i att de har en territoriell förankring, d.v.s.
de har en delegation för styrning av vissa frågor inom ett avgränsat geografiskt område samt beskattningsrätt för samma område.
Kommunerna ska alltså kunna utgöra en motpol till den nationella styrningen och tillgodose lokalsamhällets interna behov utan att först behöva passera den nationella nivån (mycket förenklat uttryckt).
Även i detta perspektiv är SKR något av en paradox.
Genom sin ständiga tillväxt och överförande av allt fler kommunala frågor till en nationell nivå så blir legitimiteten hos det kommunala självstyret i samma takt naggat i kanten.
Mitt intresse i debattartikeln var dock främst inriktat på informationshanteringen där information som i kommunerna hanteras enligt TF och OSL blir utslussad till en ideell förening som inte alls har samma krav på sin hantering av samma information.
Det gäller öppenheten där t.ex.
stora framtidsfrågor som digitalisering och e-hälsa beslutas helt utan insyn och medborgardialog.
Men det gäller även skyddet för känslig information som i ursprungskommunerna styrs av OSL.
Jag tänkte på det när jag läste om SKR gjort en stor enkätundersökning om informationssäkerhet i alla kommuner och började då fundera på hur denna känsliga information hanterades inom SKR.
Har de deltagande kommunerna slutit sekretessavtal med SKR och vilken information har de fått om hur informationen hanteras?
Jag läser också om SKR:s där det inte står ett ord om statistiksekretess.
Ytterligare en fråga där sekretessen är av central betydelse är civilt försvar där ett alltmer aktivt deltagande kommer att krävas av kommunerna.
Vilken information i dessa frågor är möjlig att lämna till SKR?
Det är möjligt att dessa frågor hanteras på ett utmärkt sätt men just i och med avsaknaden av tillämplig lagstiftning föreställer jag mig att behovet av avtal blir stort och något krångligt att administrera liksom att ansvarsförhållanden ständigt måste redas ut.
Jag ser en risk för något jag skulle vilja kalla ”trust by proxy”, d.v.s.
att man förutsätter att SKR har samma styrning som de ingående medlemmarna och därmed inte vidtar de skyddsåtgärder som är nödvändiga.
Om jag låter omotiverat misstänksam ber jag om ursäkt men bakgrunden är delvis att det är mycket svårt att få uppgifter om säkerheten inom SKR.
När jag exempelvis ställde en fråga för ett tag sedan om föreningen har en säkerhetsskyddschef fick jag till svar att de behövde man inte svara på eftersom man inte är en myndighet… Sammantaget tror jag man skulle ha mycket att vinna på att vara tydligare i dessa frågor och då inte bara visavi medlemmar.
Alla dessa viktiga välfärdsfrågor som SKR i allt högre grad hanterar så att de därmed försvinner från offentligheten är inte bara viktiga i nuet utan också för framtiden.
Tanken att framtida forskning inte kommer att ha ett grundmaterial att utgår från för att kunna förstå hur vitala offentliga frågor beslutats svider verkligen.
Att SKR inte har ett krav på sig att bevara och tillhandahålla denna information är en förlust för hela samhällsutvecklingen!
Som en liten julklapp till SKR kommer jag här med ett förslag på lösning på problemet så att SKR också kan bedriva verksamheten med den öppenhet man säger sig vilja ha.
Idag är man alltså en ”ideell förening” vilket känns aningen märkligt med tanke på verksamhet och finansiering.
Det gör att det i finns mycket litet av som påverkar hur verksamheten ska bedrivas vilket i och för sig gör det fullt möjligt att tillämpa TF och OSL på samma sätt som Inera beslutat göra.
Å andra sidan finns det en i mitt tycke betydligt mer stabil lösning, nämligen att SKR omvandlas till ett kommunalförbund som det beskrivs i . På det sättet skulle man både få en verksamhet som är effektiv, har reglerade styrformer och de krav på informationshantering som finns i medlemsorganisationerna.
Det skulle bryta den nuvarande rörelsen där delaktighet och insyn försvinner när betydelsen av frågorna ökar men också ge betydligt bättre grund för samarbete mellan stat och kommuner.
I annat fall undrar jag var gränsen för SKR som ideell förening går – hur mycket kommunala uppgifter kan en förening egentligen ta över?
Mottar tacksamt motargument mot omvandlingen till kommunalförbund eftersom för mig känns den lösningen ganska praktisk men säkert har jag förbisett några för andra självklara förutsättningar som talar emot en sådan lösning.
Trots min julklapp tror jag ärligt talat att intresset för att ens överväga övergång från förening till kommunalförbund är mycket svalt inom SKR, det är sällan de som har privilegier som arbetar för att ta bort dem.
Däremot är det en idé att försöka få igång en debatt i riksdagen vilket kan vara en målsättning för 2020.
Den minnesgode kommer ihåg att jag bett att få se Ineras ledningssystem för informationssäkerhet, blivit nekad och hänvisad till Kammarrätt för att framföra mina besvär över detta, förloppet finns beskrivet .
Själv måste jag medge att jag fann Ineras agerande aningen besynnerligt.
Om det nu finns styrande dokument för informationssäkerheten vid sidan om den A4 som utgör policy (vilket Inera hävdar) så förefaller det märkligt att varje ord i dessa dokument skulle utgöra en sådan betydande risk för Ineras säkerhet att de inte kan lämnas ut.
För den som jag som arbetat med utlämnande av allmänna handlingar är väl bekant med rutinen att maska dokumenten så att de delar som bedöms som sekretesskänsliga inte kan läsas – ytterst sällan är dokumenten i sin helhet känsligt.
Kanske har inte Inera upparbetat rutinen för maskning än men efter att ha läst Kammarrättens utslag så är det nog dags att komma igång med det nu.
Jag är naturligtvis nöjd med utslaget och väntar nu på mina handlingar.
Samtidigt väcker ju historien med Inera en hel del tankar.
En är att vi alla är betjänta av största möjliga öppenhet om de regler gällande säkerhet som finns olika organisationer.
Vi behöver lära av varandra och vi behöver närma oss mer av praxis både på branschnivå och i samhället i stort.
Ett överdrivet hemlighetsmakeri skapar en negativ säkerhetskultur och förhindrar processen mot en nödvändig samsyn om hur styrningen av säkerhet bör utformas.
Ineras förhållningssätt pekar också på ett annat mer praktiskt problem, nämligen vikten av att utforma sin hierarki av styrande dokument rätt.
Om man, som Inera tycks ha gjort, blandar principer,ansvarsfördelning och andra faktorer som bör kunna vara helt öppna i random organisation med detaljbeskrivningar av säkerhetslösningar, risker och sårbarheter har man ju skapat ett regelverk som knappast går att sprida ens internt och ännu mindre till externa parter som kunder.
En betydligt mer positiv erfarenhet var det att begära ut samma information hos eHälsomyndigheten där jag inte bara fick ta del av de handlingar som på ett övergripande sätt styr säkerhetsarbetet utan även en bild av de handlingar som är av mer känslig karaktär.
Tyvärr bekräftades dock min bild av bristande styrning av säkerheten inom vården då två av de stora aktörerna inom svensk e-hälsa inte har ett gemensamt regelverk.
Detta är en mycket stor fråga som måste lösas innan vi kan säga att vi är på väg mot en säker e-hälsa.
Ibland behöver vi ta ett steg tillbaka och betrakta en till synes fast definierad problemformulering på litet avstånd för att se om det är ett tillräckligt bra sätt att förstå en viktig fråga eller om det kanske finns andra sätt att betrakta den.
Jag ska nu göra ett försök att vidga frågan om integritet i förhållande till vårdinformation i synnerhet men även till den information som skapas och bearbetas i offentliga verksamhet i allmänhet.
När vi pratar om den personliga integriteten idag handlar det i de flesta sammanhang om teknik som åtkomst till personuppgifter i it-system eller övervakningskameror.
Jag tror att detta är en alldeles för begränsade problemformulering när vi ser hur personuppgifter är det högoktaniga bränslet för multinationella företag som jag skrivit om .
Samma fenomen beskrivs i den mycket välförtjänt hyllade och lästa Konsulterna av Anna Gustafsson och Lisa Röstlund.
Vår nuvarande inställning bygger på att obehörig åtkomst till uppgifterna skulle skada vårt anseende, att intima uppgifter om oss själva skulle bli kända för ”fel” personer.
Det är en rättighetstradition som bygger på tanken att vi har en rätt till en privat sfär och även till att kontrollera ”bilden” av oss själva.
Det är i min mening en alldeles rimlig uppfattning att känsliga uppgifter om oss endast ska vara åtkomliga för de som verkligen behöver dem, t.ex.
för att ge oss rätt vård.
Det är också en inriktning som fungerat i den svenska vården sedan patientjournalerna övergick från att vara räkenskapsmaterial till att bli stöd för vård och behandling.
En snabb och hårdragen exposé skulle kunna se ut som följer.
I och med att den svenska vården till sin absoluta merpart varit offentligt finansierad och offentligt utförd under i princip hela 1900-talet har vårdinformationen varit allmänna handlingar som ägts av vårdgivaren och i väsentliga delar bevarats i och med att sjukvårdshuvudmännen (landsting/regioner) har åtagit sig att bevara alla läkarförda journaler för all framtid.
Förutom att detta förhållande har gynnat patienterna som kunnat få vård grundad på vederhäftig information har det gett Sverige ett unikt forskningsläge med tillgång till en hel befolknings data om hälsa och vård i ett välordnat system.
Förutom att det är lätt glömma bort att vi faktiskt haft mycket väl utvecklad hantering av patientdata i över ett sekel är det också lätt att glömma bort att detta bygger på ett samhällskontrakt som kan ses som en del i den svenska välfärdsstaten.
Ungefär: högkvalitativ vård och en avancerad forskning finansieras via skatten och dina vårduppgifter används för att ge dig själv och andra patienter bättre vård.
Förutsättningen för kontraktet var 1) att patientuppgifterna användes för etiskt prövad akademisk forskning och 2) att patientuppgifterna omgavs med sekretess och att det fanns hög grad av spårbarhet i vilka som tagit del av dem.
Jag vet att så fort man säger eller skriver att patientuppgifterna omgavs med höga krav på sekretess så kommer det alltid ett antal människor rusande och återger hårresande berättelser från gamla journalarkiv.
Min utgångspunkt är vad lagstiftning i form av bland annat patientjournallagen betonade och studier som gjorts av journalhantering under 60-80-talet samt de mycket konkreta erfarenheter jag har av praktisk journalhantering samt sekretessmedvetande från ett antal år i olika typer av vårdverksamheter.
Personligen har jag tycket att detta varit ett bra samhällskontrakt som bygger på ett stort mått av tillit och har ofta argumenterat emot dem som menat att patienten själv ska äga sin journal eftersom det, enligt mig, skulle leda till stora nackdelar både för patienten och för samhället.
Tyvärr har jag varit tvungen att börja ompröva detta efter de senaste decenniernas digitalisering inom sjukvården.
Om vi tar det aktuella exemplet Region Stockholms för hälsodata liksom NKS intention att lämna ut stora mängder patientdata via BCG till amerikanska företag måste vi kanske övergå till ett annat sätt att se på integritet.
Kanske måste vi lämna den traditionella svenska uppfattning och se på integritet som en äganderätt vilket är ett synsätt som varit etablerat i mer konservativa tanketraditioner som exempelvis Nozick med efterföljare.
Det skulle i detta alltmer kommersialiserade sammanhang där personuppgifter blivit guldet eller kunna tolkas som att din äganderätt av dig själv också innebär att du också äger den eftertraktade resursen som dina personuppgifter utgör.
Om du äger uppgifterna måste också ha rätten att avgöra hur de får användas utöver exempelvis vad vården kräver.
Detta är ett synsätt som går emot den rådande trenden inom svensk sjukvård där inte ens tycker de mycket begränsade möjligheter till samtycken ska få finnas kvar utan hanteringen av personuppgifter ska ske långt över huvudet på patienterna.
En randanmärkning är att sjukvårdspolitiker och SKL inte riktigt tycks acceptera gällande lagstiftning som den gällande spärrar, integritet eller molntjänster.
Istället för att inrätta sina verksamheter så att de följer lagstiftningen lägger man all energi på att argumentera för att lagstiftningen ska ändras.
Det känns inte som allt igenom konstruktivt förhållningssätt och min uppfattning är att detta är en delförklaring till den haltande digitaliseringen av vården.
I ovan refererade debattartikel förefaller inriktningen vara att patientuppgifterna generellt liksom i centret för hälsodata få användas för random ändamål för var går gränserna för ändamål som exempelvis life science, kvalitetsutveckling och uppföljning?
Det är aningen förbryllande att de politiker som kallar sig liberala tycks minst intresserade av liberala värderingar och individers rättigheter utan har en närmast kinesiskt touch i synen på relationen mellan individ, kapital och staten.
När jag läser om Centrum för hälsodata tänker jag också hur Region Stockholm ständigt upprepade bristande affärssinne som i utförsäljningar av allmän egendom till totala underpriser.
Nu ska man sälja hälsodata till ”självkostnadspris”.
Varför ska kommersiella företag inte betala marknadspris för den råvara som personuppgifterna utgör?
Även om det i mina ögon är en olycklig utveckling inte minst för den medicinska forskningen vill jag ändå pröva tanken på hur det skulle se ut om vi ägde vår egen patientinformation.
Det finns liksom ingen fördel för svenska patienter att lämna data till amerikanska försäkringsbolag eller som stöd till företagen i det som Zuboff kallar den multinationella övervakningskapitalismen.
Om vi ska ersätta tillitsbaserade relationer med kommersiella måste detta ske på ett sätt som inte bara gynnar den ena parten.
Vi skulle kunna laborera med möjligheten till en digital valfrihet där man som patient fick en äganderätt till sina patientuppgifter och därmed kunna bestämma över hur de får hanteras.
Exempelvis kryssa i ett formulär med alternativ som Mina patientuppgifter får användas: Till detta kan läggas verklig anonymisering som alternativ på samtliga val.
Patienten kanske ska erbjudas möjligheten att få ta ut ersättning då personuppgifterna säljs till kommersiella aktörer och då inte ”självkostnadspris” utan ett reellt pris.
Detta tror jag vore ett bra sätt att återföra makten till patienten, sätta till press på sjukvårdshuvudmännen att ta frågan på allvar och att utveckla privacy by design vilket ju är ett lagkrav för de som glömt bort det.
Ett annat resultat vore möjligen också att patientföreningar som representerar patientens olika intressen kunde bildas och utgöra ett komplement till de patientföreningar vars oberoende kan . En ny sorts patientföreningar skulle kunna bli förhandlingspartners och förhandla fram bättre priser än självkostnadspris för råvaran.
Tanken svindlar för vilka möjligheter som skulle kunna öppnas.
Resonemanget om en digital valfrihet för individen kan med fördel även tas in i diskussionerna om öppna data.
Jag är inte säker på om jag håller med mig själv men jag tror vi som verkligen är intresserad av den personliga integriteten måste börja fundera på hur vi ska kunna hitta verktygen i en ny tid.
Som en inledning på höstens äventyr tänkte jag bara göra några kompletterande anmärkningar till en debatt i Dagens samhälle.
Den inleddes med där jag ventilerade min oro efter vad som framkommit om Region Stockholms informationssäkerhet i den granskningsrapport som initierades av 1177-skandalen.
På inlägget följde två svar.
Det kom från ett par tjänstemän från SKL där man hävdade att regionerna arbetar resolut med informationssäkerhet.
I svaret är man tillämpar man ad hominem-argumentet att ett flertal gånger understryka att jag är ”konsulten”.
Det är ju förståeligt med tanke på NKS och i vilket vanrykte konsulter hamnat i efter den hanteringen men det som bekymrar mig är snarare att baktanken sannolikt är att göra mina argument ointressanta på grund av att jag inte representerar någon organisation.
Detta riktar i och för sig ljuset på ett tråkigt fenomen, att inträdesbiljetten i samtalet om samhällets gemensamma frågor förutsätter att deltagaren representerar ett särintresse.
Personligen tycker jag i stället att det demokratiska samtalet skulle tjäna på att många fler deltog, även de som inte har något annat intresse än att de är engagerade i att försöka förbättra samhället precis som när jag ställer upp som blodgivare.
Detta tillsammans med debattörernas åsikt att öppenhet om inträffade incidenter i offentlig verksamhet på något sätt skulle vara optional tycker jag också visar på det problematiska i SKL:s alltmer utvidgade roll.
Allt mer beslutsfattande och operativ verksamhet för in i en organisation där offentlighetsprincipen inte gäller och insynen, precis som debattörerna antyder, inte är en rättighet utan något som kan ges på nåder.
Att en arbetsgivarorganisation kan överta all fler uppgifter från demokratiskt valda organisationer och dessutom emellanåt kalla sig saker som ”koncernen SKL” (litet som om Almega skulle kalla sig koncernen Almega där alla tjänsteföretag skulle vara underordnade föreningen) leder till ett demokratiskt underskott som borde bekymra fler än mig.
För att inte falla i samma fälla och bara diskutera SKL:s svar utifrån vilka de är och inte utifrån deras argument ska jag här gå något djupare än jag kunde göra i mitt .
Företrädarna hävdar att regionerna arbetar resolut med informationssäkerhet men de exempel som ges på vad man gör tyder snarare på att man fortfarande är kvar i huvudsak teoretiska aktiviteter som möjligen kan få en säkerhetshöjande effekt längre fram.
Det skulle kunna tyckas vara gott nog om informationssäkerhet vore en helt ny fråga.
Det är det inte – behovet av informationssäkerhet i vården har lyfts fram som en kritisk fråga i flera decennier, det har funnits lagstiftning och föreskrifter som ställt krav på sjukvårdshuvudmän och vårdgivare ungefär lika länge.
Problemet är bara att frågan inte prioriterats och nödvändiga åtgärder inte vidtagits.
Att då litet förnärmat när vi närmar oss år 2020 hävda att man nu minsann är på gång med att ta fram mognadsmodeller och skrivit in i en egenstrategi att man anslutit sig till den nationella för informations- och cybersäkerhet känns inte, mja, som något som kommer att hindra incidenter och höja säkerhetsnivån inom den närmaste tiden.
Man säger också att SKL erbjuder sina medlemmar konkret stöd men där är problemet att det stöd som erbjuds t.ex.
i form av informationsklassningsverktyget KLASSA inte skulle ha utgjort ett stöd när det gäller upphandlingen av 1177 eftersom det är ett verktyg för att klassa system, inte informationen i processer.
SKL menar att jag bara gnäller utan konstruktiva lösningar.
Själv tycker jag att jag verkligen anstränger mig för att komma med förslag på förbättringar som att göra en gemensam analys för att kunna prioritera rätt åtgärder o.s.v.
men att vara konstruktiv innebär inte att man bortser från problemen.
Kanske har SKL fastnat i en föreställning att man ska verka som ett företag och att endast positiva marknadsbudskap ska förmedlas vilket följande ger intrycket av.
Jag tycker istället att ett rationellt hanterande av offentliga medel måste bygga på tydliga och ansvarsfulla problemformuleringar.
Sjukvården är i en ständig förändring där numera digitaliseringen spelar en avgörande roll.
Min enda önskaen tas på samma allvar som säkerheten i andra aspekter.
Ett läkemedel skulle aldrig introduceras utan noggranna tester, däremot är det fortfarande comme il faut att föra in nya digitala lösningar i skarp drift utan närmare tester.
Även Daniel Forslund (L), digitaliseringslandstingsråd i Region Stockholm och tycket att jag ensidigt fokuserat på revisionsrapporten när jag bedömde som regionens informationssäkerhet var undermålig.
Jag håller inte med.
Även om det var en kortfattad rapport pekade den på mycket basala systemfel som påverkar hela regionens säkerhetsarbete.
Men eftersom jag försöker ha någorlunda torrt på fötterna innan jag uttalar mig så har jag skrivit till regionen och bett att få ta del av regionens styrande dokument inom informationssäkerhetsområdet.
Utan att förhäva mig utan bara för att skapa kontext i frågan kan jag säga att jag genom åren som konsult och i andra roller sett ett mycket stort antal ledningssystem och också arbetat med att mäta befintlig informationssäkerhet i olika typer av organisationer.
Det är med denna bakgrund som jag bedömer att Region Stockholm saknar rimliga förutsättningar för att bedriva ett systematiskt.
Att regionen på hösten 2018 upphandlar en så känslig tjänst så sent som hösten 2018 utan att ställa relevanta säkerhetskrav är en bekräftelse på ett systemfel och inte en incident som inte kunnat undvikas.
Den som är intresserad får gärna ta del av de dokument jag fått från Region Stockholm för att göra en egen och möjligen annan bedömning.
Jag har tagit del av den granskningsrapport som KPMG genomfört på uppdrag av Region Stockholm efter 1177-skandalen och som av en händelse (?)
publicerades dagen för midsommarafton.
Rapportens omfång motsvarar på intet sätt skandalens omfång utan är ett luftigt dokument på 14 sidor inklusive bilagor.
Att rapporten är tunn räknat i sidor behöver naturligtvis inte påverka skärpan i analysen men som rätt luttrad granskare av informationssäkerhet känns de 14 sidorna som rätt kraftigt i obalans med uppdragets genomförande och omfattning: Granskningen har omfattat en kombination av IT-revision, inhämtning av information från tillgänglig dokumentation av karaktären styr- och stöddokument, uppföljningsrapporter samt intervjuer med nyckelpersoner.
Granskningen har utgått från vedertagna granskningsmetoder inom området informationssäkerhet, vilket omfattat såväl Vårdgivaren och dennes underleverantörer som Region Stockholm genom HSF.
En lista över de personer som intervjuats återfinns i bilaga 2.
Granskningen har genomförts under maj-juni 2019.
Vidare är rapportens utformning i avvikelseformat där endast väsentliga iakttagelser har lyfts fram med förslag på förbättringsåtgärder, inklusive eventuella behov att förtydliga avtal, uppföljningsrutiner och processer för att minimera att motsvarande inträffar igen.
Att på så få sidor beskriva Region Stockholms, Medhelps och ett antal underleverantörers styrning av sin informationssäkerhet, vad som gått fel och vad som bör göras för att undvika att systemfel som det inträffade upprepas känns inte riktigt seriöst.
Den sammanfattande bedömningen är dock på allvar oroande: Vår övergripande bedömning är att HSF bör se över kravställningen på informationssäkerheten i samband med upphandlingar samt att uppföljningsprocessen behöver struktureras och formaliseras för icke funktionella krav, däribland informationssäkerhet.
I allt väsentligt behöver kravställningen preciseras för att säkerställa att leverantörerna är införstådda i HSF:s förväntningar, men även för att öka den interna förståelsen för hur kraven ska följas upp.
Att avtalskraven beträffande informationssäkerhet är allmänt hållna, samtidigt som standarden inom området inte är fullt integrerad i HSF:s verksamhet, innebär i praktiken att Vårdgivarens hantering av informationssäkerhet endast har följts upp i begränsad omfattning.
Vad gäller Vårdgivaren kan vi konstatera att det inte finns något dokumenterat ledningssystem för informationssäkerhet samt att det förekommit brister i rutinen för utvärdering och uppföljning av underleverantörer till vårdtjänsten.
Vi noterar dock att Vårdgivaren, sedan incidenten, arbetar med en åtgärdsplan för att förbättra informationssäkerheten, rutiner beträffande kontroll av leverantörer samt planerar för en certifiering inom ISO 27001.
Vi noterar att de akuta bristerna hänförliga till incidenten har hanterats, bland annat genom den skyndsamma nedstängningen av den felkonfigurerade servern, uppsägningen av avtalet med underleverantören som givit upphov till incidenten samt inhämtandet av all patientinformation till Vårdgivarens egen tekniska lösning.
Vi har dock identifierat ett antal framåtblickande förbättringsområden som rör HSF:s övergripande arbetssätt beträffande informationssäkerhet, fördelningen av roller och ansvar samt metoden för hantering och uppföljning av leverantörer.
Vidare har vi även identifierat åtgärder hänförliga till Vårdgivarens arbete med informationssäkerhet och den planerade ISO-certifieringen samt sättet till vilket Vårdgivaren arbetar med att vidareförmedla HSF:s avtalskrav beträffande informationssäkerhet.
HSF är alltså Hälso- och sjukvårdsförvaltningen i Region Stockholm och vårdgivaren Medhelp.
Att Region Stockholm inte lyckas formulera tydliga säkerhetskrav i upphandlingar i en så central tjänst som 1177 är i sig skandalöst.
Att sedan Medhelp som vårdgivare helt saknar ledningssystem för informationssäkerhet och att Region Stockholm inte ens ställt krav på en så grundläggande nivå är information som bekräftar min bild att den svenska sjukvården fortfarande ignorerar behovet av informationssäkerhet.
1177-skandalen var trots allt bara sten som vändes, om än stor.
Det som verkligen oroar är de brister i Region Stockholm säkerhetsarbete som avslöjas indirekt i rapporten.
Dessa brister gör det mycket sannolikt att 1177 bara är en del i större systemfel där patienters hälsa och integritet är i en ständig riskzon om rapportens uppgifter stämmer.
Ta till exempel följande iakttagelse från granskarna: HSF saknar ett fullständigt ledningssystem för informationssäkerhet (LIS).
Enligt den regionsövergripande informationssäkerhetspolicyn ska varje nämnd införa ett lokalt ledningssystem för informationssäkerhet.
I förekommande fall har HSF tagit fram lokala styrande dokument för informationssäkerhet, men dessa återspeglar i allt väsentligt de styrdokument som finns på regional nivå.
Graden av verksamhetsanpassning är relativt låg och förvaltningen har inte tagit fram några instruktioner eller utvecklat processer för hanteringen av informationssäkerhet.
Vi noterar att instruktioner håller på att arbetas fram, men dessa berör hanteringen av portabel IT-utrustning och syftar således inte till att tydliggöra riktlinjerna för hur förvaltningen.
Region Stockholm har alltså inte tagit fram säkerhetsregler för avpassade för sjukvården utan i huvudsak nöjt sig med de generella för regionen (trots att det funnits en föreskrift att så ska göras sedan 2008 SOSFS 2008:14) och att man inte heller är på väg att göra det för mer än för bärbar utrustning.
Jag tror redan den som rent tillfälligt jobbat med informationssäkerhet i vården förstår hur mycket arbete och eftertanke som krävs för att anpassa generella regler så att de fungerar i vården, t.ex.
bara att ge en uttolkning av ansvasförhållandena för informationshanteringen är en mycket komplex fråga.
Situationen i Region Stockholm gäller även hos Medhelp som inte heller har förmåga att ställa relevanta krav på sina underleverantörer: Processer och rutiner ska finnas för att säkerställa uppfyllandet av Socialstyrelsens krav på informationssäkerhet.
Vårdgivaren har inget dokumenterat LIS och det är vår bedömning att vissa processer saknas för att kunna försäkra att kraven uppfylls.
Vi noterar exempelvis att Vårdgivaren, i enlighet med vedertagna standarder och god praxis, inte har ställt ändamålsenliga krav på samt följt upp leverantörers hantering av informationssäkerhet.
Vidare anger Socialstyrelsen att vårdgivare ska ha en informationssäkerhetspolicy som anger mål och inriktning på verksamhetens arbete med informationssäkerhet.
Vi har identifierat att Vårdgivaren har antagit en informationssäkerhetspolicy i maj 2019.
Vi noterar i sammanhanget att Vårdgivaren planerar för en certifiering inom ISO 27001 till kvartal 2, 2020 samt har ett ledningssystem för GDPR.
Den här råttan-på-repet situationen illustrerar väl varför startpunkten för att förbättra säkerheten i vården på måste ligga på sjukvårdshuvudmännen eftersom det är huvudmännen som utformar förutsättningarna för de övriga aktörerna.
Tyvärr har ju lagstiftning och föreskrifter i huvudsak varit inriktade på vårdgivarna vilka i praktiken numera har svårt att ens den egna informationssäkerheten eftersom informationen hanteras i gemensamma lösningar.
Det är därför extra nedslående när sjukvårdshuvudmännen väljer att inte driva frågan ens i den egna verksamheten och inte heller att respektera de föreskrifter som finns.
Framför allt är det en fråga där det inte skulle behövas en föreskrift för att få de styrande i Sveriges största sjukvårdshuvudman att inse behovet av att styra informationshanteringen så att patienterna kan lita på att få god och säker vård.
I den kommentar som regionens ansvariga för vård upprepar man att man ska införa emen fokuserar i åtgärderna huvudsakligen på underleverantörerna.
Men att styra underleverantörerna utan ett eget fungerande regelverk är ett moment 22 som även granskarna noterar: HSF ställer inte tillräckligt tydliga krav på sina privata vårdgivare vad gäller deras informationssäkerhet.
Kravställningen på informationssäkerhet sker genom tillämpningen av en standardbilaga, vilken anger att leverantörer/vårdgivare ska följa regionövergripande styrande dokument för informationssäkerhet.
Vi noterar att de styrande dokumenten, i sin tur, anger att informationssäkerheten hos de som arbetar på uppdrag av Region Stockholm ska regleras genom avtal.
Vår bedömning är att dessa hänvisningar kan ge upphov till skiljande uppfattningar gällande kravbilden på informationssäkerheten.
Med hänsyn till att Socialstyrelsen anger som krav att vissa kontrollmål ska uppfyllas beträffande informationssäkerheten, företrädesvis med stöd av ett LIS enligt standarder i ISO 27000-serien, är det även vår bedömning att HSF:s tillkommande avtalskrav endast ger en begränsad effekt vad gäller att tydliggöra förväntningarna på de privata vårdgivarna.
Jag ska inte tjata mer om hur uppseendeväckande det är att Region Stockholm trots föreskrifter, alla incidenter och trots alla granskningar genom åren ändå inte prioriterar att införa ens ett regelverk för vården att utgå ifrån.
Det gör att man vare sig kan ha ett internt systematiskteller ställa relevanta krav på underleverantörer, det senare framgår på ett nästan tragikomiskt sätt i relationen med Medhelp.
Informationssäkerheten i vården är ingen ny fråga utan har varit uppmärksammad sedan åtminstone första hälften av nittiotalet.
Den stora frågan är Region Stockholm (och övriga sjukvårdshuvudmän) år efter år undviker att komma till rätta med bristerna.
Varför tycker man att det är rimligt att utsätta verksamheten och patienterna för de stora risker som den bristande säkerheten leder till samtidigt som man är beredd att investera ofattbara resurser i experiment som NKS?
Och nej, det går inte att säga att 1177 var ett undantag från en i övrigt fungerande situation.
KPMG:s rapport är den senaste i en rad av rapporter som visar att den bristande säkerheten är ett systemfel som genomsyrar hela den svenska vården – har man inte styrning av informationssäkerheten så finns den inte mer än fläckvis och utan möjlighet att reducera riskerna.
En relaterad fråga är om NIS-direktivet kommer att ha någon positiv inverkan över huvud taget eller om även denna styrning mot ekommer att ignoreras.
Om läsaren tycker att jag ger en alltför mörk bild av Region Stockholms informationssäkerhet rekommenderar jag att ni läser KPMG:s knapphändiga rapport som ändå ger en antydan om regionens förmåga rörande informationssäkerhet.
Tillägg 2019-06-24: Lägger ut rapporten som pdf här: Först en disclaimer.
Denna text är skriven med ett visst undertryckt ursinne.
Under 7-8 år under mina vittflygande studier jobbade jag samtidigt på ett boende för psykiskt funktionsnedsatta barm och ungdomar.
Den erfarenheten gör att jag framförallt tänker på de patienter och anhöriga som drabbats av 1177-skandalen men också på den vårdpersonal som till skillnad från digitaliseringsbyråkrater, ”visionärer” och ”evangelister” möter patienter.
De ska nu leva i oro över hur deras arbetsgivare hanterar den information som de i förtroende tar emot och där samtal från hjälpsökande patienter studsar vidare för hantering i Thailand.
Jag jobbade också i ett landsting under 90-talet då politiker, it-leverantörer och byråkrater gick in i en lustiger dans om digitalisering som var mycket lösligt kopplad till verksamhetsbehov.
Att försöka skjuta in frågor om informationssäkerhet eller kvalitet i informationshanteringen stämplades som närmast illojalt eller i bästa fall som tugg som man måste genomlida innan man gick vidare precis som förut.
Filifjonkan på bilden har inte bara med ångestridna patienter att göra utan också känslan av den annalkande katastrofen som hon symboliserar.
Det finns inget som är så lätt som att förutspå framtiden i efterhand.
Många är nu chockade och totalt överraskade över vad som framkommit om 1177 och dess underleverantörer.
Att försöka påpeka vikten av god informationssäkerhet vid digitaliseringen har som sagt varit ett arbete i stark motvind för att inte säga full stormstyrka i 25 år.
Ofta har den berättigade oron för den alltmer bristande säkerheten inom vård-it utmålats som ett Filifjonka-aktigt beteende och att varningarna för riskerna skulle ha lika litet med vår verklighet att göra som Filifjonkans permanenta ängslighet i Mumindalens idyll.
När det nu exempelvis framkommer att Region Värmland har anlitat en underleverantör för att hantera den extremt känsliga informationen i telefonrådgivning endast med dessa säkerhetskrav: Leverantören ska skydda sin information mot otillbörlig åtkomst och förstörelse i enlighet med gällande lagar, förordningar och föreskrifter.
Hur skyddet genomförs ska dokumenteras.
Leverantören ska på begäran kunna uppvisa denna dokumentation för landstinget.
Leverantören ska följa landstingets vid var tid gällande riktlinjer för informationssäkerhet.
ger det en indikation om hur relevant oron faktiskt var/är.
Observera att inga ytterligare krav ställts till exempel i form av en säkerhetsbilaga som förtydligar vad det är man vill ha, inte ens ett personuppgiftsbiträdesavtal i någondera riktningen finns.
Otroligt nog verkar hela den massiva hypen kring dataskyddsförordningen gått regionen förbi.
Med tanke på att hela härvan ännu inte är utredd ska jag, för att undvika förhastade slutsatser, inte kommentera alla juridiska och tekniska detaljer.
Enkla lösningar är det redan alltför många som kommer med.
Inte heller finner jag det meningsfullt att ägna mer tid åt den lyteskomik som svaren från de olika leden i leverans av telefontjänsten i 1177 gett utrymme för.
Istället ska jag försöka ringa något av det systemfel som ligger som grund för den uppkomna situationen.
Grundproblemet ligger i att vård-it i Sverige under trettio år har fått växa fram inte som en sammanhängande infrastruktur utan som en brädhög där olika aktörer kunnat lägga på sin egen bräda utan att behöva ta hänsyn till någon gemensam plan.
Detta skapar naturligtvis en låg grad av funktionalitet trots de enorma resurser som lagts på digitaliseringen men dessutom har det också skapar de oöverblickbara säkerhetsrisker som 1177-skandalen är ett av de mest flagranta exemplen på.
Den främsta säkerhetsrisken är att det i många fall är omöjligt att klarlägga ansvaret för säkerheten vilket med all önskvärd tydlighet framgår i fallet med 1177.
Intuitivt skulle nog de flesta säga att det största ansvaret ligger hos sjukvårdshuvudmännen, det vill säga främst regionerna/landstingen som i den svenska förvaltningsmodellen delegerats ansvaret för och där ansvaret definieras i hälso- och sjukvårdslagen: Med huvudman avses i denna lag det landsting eller den kommun som enligt lagen ansvarar för att erbjuda hälso- och sjukvård.
Inom en huvudmans geografiska område kan en eller flera vårdgivare bedriva verksamhet.
När det gällde hanteringen av information inklusive säkerhet var detta ansvar inte särskilt besvärligt att definiera på den tiden då landstingen också utförde den absoluta merparten av vården.
Då var journalerna allmänna handlingar som tillhörde landstinget och det också ställdes tydliga krav på hanteringen (ja, jag vet att det inte alltid funkade jättebra i verkligheten men jag rör mig nu på systemnivå).
I och med kommunalisering (ÄDEL) och privatiseringsvågen blev ansvaret otydligare.
Som en andra skänkel i saxen som klippte av tydligheten i ansvarsfördelningen fungerade rörelsen mot alltfler samarbeten mellan landsting som exempelvis Sjunet och de nationella tjänsterna.
Det är här jag menar att juridiken inte hängt med, inte genom att ställa krav på integritet i det nya landskapet.
Det juridiska ansvaret läggs nämligen främst på vårdgivaren: Med vårdgivare avses i denna lag statlig myndighet, landsting, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet.
Vårdgivaren kan vara vilken aktör som helst som bedriver någon form av vård, till exempel Medhelp.
Denne har också ansvaret för informationssäkerheten vilket mycket specifikt beskrivs i Socialstyrelsens föreskrift med regler för vårdens Problemet är bara att den mest säkerhetsmedvetne vårdgivaren ändå inte kan hålla sig för sig själv utan måste fungera i brädhögen av oklara ansvar eftersom man till exempel med nödvändighet måste använda bland annat nationella tjänster.
I och med detta faller alla de många goda råd som även säkerhetsexperter av olika dignitet framfört de senaste dagarna om att det bara är att ha tydliga upphandlingsrutiner, följa upp krav o.s.v.
Inte ens dataskyddet faller ut som man skulle kunna tro när man läser i avtalet mellan Region Stockholm och Medhelp och ser att regionen är personuppgiftsbiträde åt Medhelp och inte tvärtom….
Det som måste understrykas är att den digitala världen inte bygger på bilaterala relationer utan på multilaterala och att vi saknar verktyg att hantera den nya situationen.
Även trogna gamla kämpar som tillsynsvapnet riskerar att bli tandlöst eftersom tillsynen gäller enskilda organisationer.
Att skapa ansvarsförhållanden och möjlighet till ansvarsutkrävande avpassade för multilaterala infrastrukturer bedömer jag som den mest fundamentala säkerhetsåtgärden för vård-it.
Detta är inte något som en enskild vårdgivare kan ta ansvar för utan måste byggas upp på nationell nivå.
Tyvärr har denna grundläggande förutsättning totalt negligerats i de utredningar om e-hälsa som genomfört under senare år.
Mer om de moderna strukturerna finns att läsa i den nyligen utkomna antologin .
Ansvaret är alltså idag osynkroniserat med den nationella informationsinfrastrukturen och även med den tekniska infrastrukturen.
Ändå tror jag det är viktigt med ett ansvarsutkrävande.
Tyvärr kommer nog inte Region Stockholms innovationsregionråd ta sitt ansvar och avgå, inte heller hans motsvarigheter i Region Värmland och Sörmland.
SKL:s programansvarige för e-hälsa kommer att på motsvarande sätt skjuta ansvaret ifrån sig och Inera har snabbt varit ute och sagt att de går skuldfria ur denna förödande situation.
Tyvärr, inte för att vi behöver ett melodramatiskt utspel som när Toyota-chefen gråtande bad om ursäkt för sina fel eller syndabockar, men för att ge en reboot för vård-it.
Om ett antal digitaliseringspotentater inom vården åtminstone hade omdömet att säga: ”jag har villigt tagit emot all cred för att framstå som nyskapande och innovativ, nu tar jag lika villigt mitt ansvar när det visar sig att vi kört totalt fel inom e-hälsoområdet.”.
Detta vore en mycket viktig signal att vi nu inte ska fortsätta som förut utan gå in i en ny tid.
Det jag skriver ovan kan nog de flesta hålla med om på någon nivå men varför ser det då ut som det gör?
Jag skulle vilja hävda att det inte enbart beror på inkompetens utan i lika hög grad på attityd, möjligen arrogans.
Detta är en något nedslående tanke för sannolikheten för att kunna omvandla inkompetens till kompetens är större en att rå på decennier av negativ säkerhetskultur.
Jag förstår att det är mycket behagligare att ständigt mana framåt och inte hänga upp sig på problem och hinder.
I 1177-skandalen är patientens integritet som allvarligt skadats vilket är ett värde som talföra debattörer inom digitaliseringen och e-hälsa till och med i många sammanhang förnekat.
Den bristande samordningen kan också ses som ett resultat av SKL:s framgångsrika arbete som lobbyorganisation.
SKL är en intresseorganisation för regioner och kommuner som arbetsgivare och har med stor frenesi hävdat det kommunala självstyret inom hälso- och sjukvård.
Varje försök till styrning från staten nagelfars och min bedömning är att staten efter nedmonteringen av Socialstyrelsen inte ens har möjlighet till en effektiv myndighetsstyrning vilket lämnat fältet ännu mer fritt för SKL.
Ur ett samhällsperspektiv har det även lett till en starkt minskad insyn eftersom SKL, trots att man är helt finansierad av offentliga medel, inte lyder under offentlighetsprincipen.
Vad som pågår inom SKL och vilken agenda som drivs är därför svårgenomträngligt.
Under den tid jag jobbade på MSB och, bland annat inspirerad av den norska lösningen Normen, försökte få till en styrning bättre avpassad till de multilaterala relationerna fick jag ofta känna av SKL:s maktanspråk.
Ärligt talat så var intresset inte särskilt stort ens i min egen myndighet och inte heller i de andra myndigheter som hade uppdrag i någon form som påverkade säkerhetsaspekterna i vården.
Men var det ett svalt umgänge i myndighetssfären så var SKL:s engagemang i frågan på nollpunkten.
Mitt käcka erbjudande om att MSB skulle kunna samordna och tillföra väsentliga resurser och kompetens för att göra den så skakiga informationssäkerheten i vården bättre möttes mycket kallsinnigt.
Budskapet var att detta var en uppgift som regionerna kunde klara själva (med SKL:s hjälp) och att myndigheter inte hade i territoriet att göra.
Själv kände jag mig som en ovälkommen budbärare från de många medlemsorganisationer som satt med sin usla säkerhetssituation utan reell möjlighet att göra något åt den.
Med ett avancerat tjat lyckades det till slut att få SKL att skriva under den gemensamma strategi som jag tagit fram som underlag och som nu litet patetiskt ligger kvar på MSB .
Någon gemensam styrning á la Normen är lika fjärran som då strategin skrevs.
SKL har alltså haft alla möjligheter att själva ta fram de stöd som så väl skulle behövas i deras medlemsorganisationer.
Så har inte skett förutom det tveksamma verktyget för informationsklassning som jag skrivit om Något gemensamt regelverk för att hantera den multilaterala ansvarssituationen inom vården kan jag fortfarande inte hitta på SKL: s webbsida.
Intressant nog har ju inte SKL något formellt ansvar för informationssäkerheten i vården eftersom man är en intresseorganisation och kommer säkerligen inte att påta sig något sådant nu heller.
När nu nästa trend är AI i vården blir man inte direkt lugnare, särskilt inte när SKL:s programansvarige för e-hälsa ifrågasätter lagstiftningen snarare än ansvarskänslan hos införarna som .
I mina dystrare stunder tror jag vi nått vår kollektiva inkompetensnivå där vi ska skapat ett it-monster som ingen längre kan styra.
Vi har en situation med i princip outtömliga tekniska möjligheter promotas av aggressiva leverantörer.
Tekniken möter en omogen organisationsstruktur där verklig styrning ersatts av fritt spelrum för särintressen.
Till detta kommer den bristande självinsikten om att det är så här det ser ut och den negativa säkerhetskulturen inom vården.
Och slutligen juridik och företrädare för informationssäkerhet som fortsätter att leverera lösningar gjorda för enstaka organisationer eller möjligen bilaterala relationer vilken inte är till någon större hjälp i den dagens multilaterala arkitekturer.
Självklart kan vi inte ge upp utan istället ställa oss frågan hur vi kan genomföra de absolut nödvändiga förändringar som skulle göra vård-it till en seriös verksamhet.
Här vill jag anslå en ny ton för att markera att detta är mycket komplexa frågor som vi idag i huvudsak saknar svar på.
Det är inte enkla förbättringar av upphandlingsrutiner som kan leda framåt utan förändringar av en helt annan dimension som är nödvändiga.
Det är inte beställningar mellan kund och leverantör som är det verkliga problemet utan beställningen från regeringen till sjukvårdshuvudmännen som inte fungerar där sjukvårdshuvudmännen som leverantörer inte klarar av att skapa en säker vård-it.
Mina förslag, som jag inte när något större hopp om att de kommer att anammas, är att likna vid ett undantagstillstånd.
Det kan tyckas dramatiskt men allvaret i situationen kräver extraordinära åtgärder .
Parallellt med åtgärderna bör även en attitydförskjutning initieras där vi slutar se digitalisering som ett självändamål utan blir förmögna att ta in olika perspektiv som till exempel säkerhet.
Utgångspunkten bör också att det är en nationell struktur som ska byggas och förvaltas där de gamla organisationsgränserna inte längre får sätta käppar i hjulet.
Här kan man ana att en del integritetsnihilister vädrar morgonluft men bedra er inte; målet är att stärka integriteten, inte nedmontera den ytterligare!

Toppledarforum E-nämnden (Nämnden för elektronisk förvaltning) 24-timmarsmyndigheten Verva E-delegationen E-legitimationsnämnden Digitaliseringskommissionen Digitaliseringsrådet DIGG endast för min vård, den uppföljning är lagstadgad och tydligt definierad administrativ hantering utöver ovanstående även akademisk forskning där resultaten kommer samhället till del utöver ovanstående även akademiskt forskning i kommersiell regi för kommersiellt bruk oavsett bransch Inför ett moratorium inom vård-it och inför inte några nya lösningar som inte är absolut nödvändiga.
Gör en heltäckande genomgång av säkerhetsbristerna inom den svenska vård-it.
Stärk Socialstyrelsens roll i förhållande till sjukvårdshuvudmän vårdgivare när det gäller vårdens informationshantering.
Detta bör även gälla myndigheter som främst ska leverera e-tjänster som E-hälsomyndigheten.
Utred hur ansvarsförhållandena för informationshanteringen i vården ser ut och hur de borde se ut.
En central fråga är det reella ansvarsutkrävandet.
Säkerställ att även det långsiktiga behovet av vårdinformationen beaktas, både den enskilda patientens behov och samhällets behov av informationen för forskningsändamål.
Ta fram en strategi och en arkitektur för den nationella nivån som inte bara är fluff.
Ta fram en gemensam styrmodellvården och låt den förvaltas av myndigheter – inte av intresseorganisationer eller utförare i första hand.
Skapa ett ackrediteringssystem för anslutning till den nationella arkitekturen.
Skapa verktyg för systematisk uppföljning av informationssäkerheten inom vård-it och lita inte på att tillsyn av enskilda organisationer skapar säkerhet.
Utveckla utbildningar för de somen i vården.
Utveckla ett forskningsprogram för informationssäkerhetsstyrning i miljöer med multilaterala ansvarsförhållanden.

inte inte behov kan, Folkviljan utövas genom inom en varför

Meny Sjukvård Inläggsnavigering

MENU MENU Postat av miljoner Postad i , , , , Tagged , , , , Postat av Postad i , Tagged , , , , Postat av Postad i , , , , , Tagged , , , , , , Postat av Postad i , , Tagged , , , Postat av Postad i , , , Tagged , , , Postat av Postad i , , , , , Tagged , , , , , Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , , Tagged , , , , , , Postat av Postad i , , , , , Tagged , , , , , , ← Sök efter:

ett otraditionellt styrmedel I Riksrevisionens granskningar har det dock framkommit att SKL kommit att få ett stort inflytande även över den statliga styrningen av vården .
Det är Riksrevisionens bedömning att regeringen inte i tillräcklig utsträckning har tagit hänsyn till konsekvenserna av att använda en intresseorganisation som en del av förvaltningen Eftersom SKL inte är en myndighet lyder organisationen inte under förvaltningslagen eller regeringsformen.
Möjligheterna till ansvarsutkrävande är inte heller samma som om SKL hade varit en myndighet.
SKL företräder offentliga organ, men är i sig själv inte ett sådant.
Därmed kan varken regeringen, andra myndigheter eller medborgarna ställa samma krav på objektivitet och trans-parens på SKL som på Socialstyrelsen.
SKL är en organisation som ska bevaka sina medlemmars intressen och det är därför naturligt för SKL att slå vakt om det kommunala självstyret.
Det gör att man inte kan förvänta sig samma objektivitet från SKL som från en statlig myndighet.
SKL kan dessutom ha ett intresse av att hålla nere kostnader för sina medlemmar .
regeringens utredning Jaktens villkor konstaterades att förvaltningsuppgifter på jaktens och viltvårdens område som innebär myndighetsutövning inte annat än i undantagsfall borde fullgöras av intresseorganisationer.
Såväl in-formations-, rättssäkerhets-, som konkurrenssynpunkter talade för att en myndighet skulle ta över ansvaret för registret Det är Riksrevisionens bedömning att det i praktiken är oklart vem som egentligen äger den kunskap och de databaser som tas fram inom ramen för överenskommelserna.
Regeringen har därmed inte säkrat tillgången till den kompetens som byggts upp med statliga medel.
Riksrevisionen kan konstatera att det inte finns någon diskussion inom Socialdepartementet om att överföra databaser från SKL till Socialstyrelsen .
Riksrevisionens bedömning är att regeringen har låtit samarbetet med SKL − och därmed SKL:s inflytande över styrningen av vården – växa i alltför stor omfattning.
Granskningen visar att de medel som tilldelas SKL utan krav på att fördelas vidare till landstingen beloppsmässigt kan jämföras med förvaltningsanslagen till de större vårdmyndigheterna.
Departementet har inte heller haft en samlad bild av hur de medel som har gått till SKL centralt har utvecklats över tid Riksrevisionen noterar att medlen till SKL ökar.
Riksdagen har inte informerats om omfattningen och utvecklingen av dessa medel.
Enligt Riksrevisionens mening vore det rimligt att riksdagen informerades om medlen till SKL.
Anledningen är att de medel som tilldelats SKL centralt är i nivå med förvaltningsanslagen på vårdområdet som riksdagen beslutar om, samtidigt som SKL är en intresseorganisation .
Varken företrädare för Socialdepartementet, SKL eller Socialstyrelsen kan beskriva vilken typ av uppgifter regeringen ger till respektive aktör.
Riksrevisionen bedömer att en förklaring till detta är att det inte har funnits någon sådan logik i styrningen .
Tillägg 2020-02-20:

Jag har alltid haft svårt för den oreflekterade gruppkänslan, när tillhörigheten till en grupp blir så viktig för ens (yrkes)identitet att det skuggar tankens klarhet.
Tyvärr tycker jag att säkerhetsbranschen ofta drabbas en överdriven gruppkänsla som leder till ett grupptänk och inte minst av en oförståelse för hur det ser ut i ”verkligheten”.
Att predika för kören, d.v.s.
för andra säkerhetsmänniskor, är enklare än att öppet diskutera säkerhetsfrågor med människor som har andra och kanske viktigare prioriteringar än säkerhet.
Själv måste jag erkänna att jag grips av en skamkänsla över att erbjuda lösningar som tar så mycket tid från kärnverksamheten, dessutom med oklart resultat.
Trots att säkerhetsbranschen av tradition är högerlutande, vilket i normala fall skulle leda till ett ifrågasättande av byråkrati, krångel, förmynderi och slöseri med skattemedel, så godtas orimligt insatskrävande säkerhetsåtgärder i just skattefinansierade verksamheter.
Ganska hemmablint kan man tycka.
Låt mig bara ta några exempel.
I Sverige finns runt grundskolor.
Såsom praxis och stöd är utformade ska då informationsklassning genomföras om inte i samtliga grundskolor så åtminstone per förvaltning eller grundskoleområde, gärna med stöd av SKR:s KLASSA.
Många kommuner väljer dessutom att ta in konsulter för att genomföra klassningarna med KLASSA för dyra pengar och utan att den så viktiga dialogen uppstår mellan verksamhet och informationssäkerhetsansvarig.
Åtgärderna som levereras ur KLASSA är inte i de flesta fall konkreta utan snarare på en nivå som kräver en egen utredning för framtagning av åtgärder hos kommunen som använder verktyget.
För mig känns det som en mycket dyrbar metod som ger ett resultat som i bästa fall är tveksamt.
Som jag tidigare betraktar jag inte det som ett sätt att effektivisera säkerhetsarbetet och föreslår andra möjligheter.
Några andra som inte är så ängsliga för att ta säkerhetsresurser i anspråk är MSB.
Myndigheten har nu tagit fram en egen som såvitt jag kan se inte har något vetenskapligt stöd (däremot en närmast rörande metodbeskrivning med formel och allt).
Det framgår inte heller varför man inte tydligare anslutit till ISO 27004 som visserligen nämns men lämnar få spår i utformningen.
MSB har gått så långt att man skrivit in ISO 27001/27002 i sin föreskrift för statliga myndigheter så det skulle känts rätt logiskt att man då gått all in i standardfamiljen även då det gäller uppföljning.
Rapporten är ett svar på ett regeringsuppdrag: Detta skulle kunna tolkas som något som liknar frivillig tillsyn eller revision men istället har MSB knåpat ihop något som enligt min bedömning (jag har ändå rätt många år i mätbranschen) kommer att ta avsevärd tid att hantera för de organisationer som väljer att delta utan egentlig nytta.
Ja, visst får ledningen en överblick men även den som är mest besatt av mantrat ”ledningens genomgång” måste någon gång landa i att det är praktiska åtgärder som måste vidtas för att förbättra säkerheten – det räcker inte att rapportera aldrig så mycket.
Jag vet hur betvingande det är med spindeldiagram, jag har stått inför otaliga ledningsgrupper och showat med gott resultat, men det som gav verklig nytta var något annat.
Det var de insatser vi lade ner på att skriva detaljerade rekommendationer noggrant anpassade efter den specifika organisationens förutsättningar och risker.
Efter att ha läst MSB:s rapport kan jag inte förstå hur denna typ av frågeställningar öht ska kunna besvaras och vad eventuella svar skulle kunna ha för kvalitet: Hur räknar man ens procent på åtgärder?
Är åtgärden att sätt lås på ett dokumentskåp lika mycket värd som att ändra backup-rutiner liksom?
Måste åtgärderna att ha varit fullständigt genomförda för att räknas eller räcker det att de är påbörjade?
Om det endast fullständigt genomförda åtgärder som ingår kommer då organisationen att prioritera kortsiktiga åtgärder och välja bort de som tar lång tid men som kanske har större betydelse för säkerheten?
Att med så många grundläggande osäkerhet försöka tillämpa en formel som denna ger mig ett intryck av ett helt verklighetsfrämmande projekt.
Ett tredje ack så resurskrävande villospår är de externa revisioner som många organisationer väljer att göra.
Det är ett enkelt men kostsamt beslut att ta för ledningen.
Och när man ser på leveranserna från inte minst större välrenommerade företag blir man ofta beklämd.
Rapporterna, som inte sällan kommer i power point-format, är så uppenbart standardrekommendationer som av juniora konsulter klippts samman till något som inte är anpassat till kundens verksamhet och i vissa fall inte ens till svensk kontext.
Hur svårtolkade (en eufemism) rapporterna kan vara tyder den absurda upplevelse som jag stött på när ett revisionsbolag anlitas för att uttolka ett annat revisionsbolags rapport och försöka göra om den till något som liknar förslag på begripliga åtgärder.
Och nej, det blev inte så mycket begripligare i nästa led.
Trots den bristande kvaliteten i många revisionsrapporter får de orimligt stor betydelse i många organisationer.
Ledningar tar dem på stort allvar och tycker sig ha fått ett underlag både för den så omtalade ”benchmarketingen” och för att att kunna vidta rätt säkerhetsåtgärder.
Det är inte så konstigt; ledningen tycker sig ha betalat dyrt för att få en professionell genomgång av ett område som man själv i de flesta fall är dåligt insatt i. Att ställa kritiska frågor är inte aktuellt, särskilt om det skulle kunna avslöja ens egen bristande kunskap.
Vid ett inte oväsentligt antal tillfällen har jag tyckt när jag läst rapporterna att de varit mer eller mindre vilseledande när det gäller vilka åtgärder som rekommenderas.
Eftersom de som utfört revisionen på ett industriellt sätt inte haft möjlighet att sätta sig in i kundens förutsättningar kan fokuseringen på de prefabricerade åtgärderna leda till både dubbelarbete när vissa element faktiskt redan finns på plats men under annan benämning än revisionsbolagets och till att väsentliga risker missas.
Dessutom är hänsyn sällan tagen till beroendeförhållandet mellan olika åtgärder, något som kan göra att kundens åtgärdsarbete blir alldeles i onödan ineffektivt.
Ibland betonar revisorerna väldigt specifika åtgärder som den som arbetar med säkerhet i organisationen vet att man redan klarat av på annat sätt eller att avsaknaden av åtgärden innebär en mycket liten risk.
Detta går dock inte fram till ledningen som sätter en större tillit till den ytliga granskningen än till den egna personalens bedömningar – onödig kraft läggs då på att checka av åtgärdsförslagen istället för på att reducera verkliga risker.
Säkerhetsarbetet kan därmed snedvridas på avgörande sätt för lång tid fram över.
Detta är bara tre exempel, det finns många fler metoder och krav som kan ses som på det hela taget tämligen improduktiva.
Det är naturligtvis inte en slump att compliance och rapportering är så populärt.
Det är betydligt lättare att ”granska” än att skapa fungerande säkerhetsåtgärder – tro mig, jag har varit på båda sidorna.
Ibland skulle jag vilja gå så långt som att det borde vara förbjudet föreslå metoder och åtgärder för den som inte själv stått i det praktiska slitet att försöka förbättra säkerheten i en faktiskt existerande organisation.
Det är först då en djupare förståelse för hur komplicerat det är att förbättra den verkliga säkerheten, inte bara den som finns i kolumner och poängsättning.
Säkerhetsbranschen har anammat synsätten som leder till största nackdelen med NPM med oklara rambeskrivningar, mätningar och rapporteringar en masse.
Trots att aktörerna i branschen som sagt ofta i andra sammanhang klagar på administration tycks man blind för den negativa byråkrati man själv skapar och som äter upp resurserna som skulle gjort så mycket större nytta i kärnverksamheten.
Informationssäkerhetskraven såsom de ser ut idag trängs med likartade strukturer för hållbarhet, miljö, jämställdhet, ekonomi m.m.
som alla är viktiga men samtidigt tar kraft från det egentliga uppdraget.
Det är tyvärr inte så stor risk att vi råkar ut för något ansvarsutkrävande men vi borde verkligen se oss i spegeln och ställa frågan om vi är närande eller tärande.
Sannolikt mest det senare vilket borde sporra oss till att tänka på att varje timme vi tvingar alternativt uppmuntrar andra till att lägga på att svara på frågor och rapportera tas från en sjuksköterska eller lärare eller någon som producerar något vettigt.
Tre rapporter rörande obligatorisk incidentrapportering har kommit sedan årsskiftet: två från MSB och en från IMY (Integritetsskyddsmyndigheten).
Spännande läsning men säger rapporterna något väsentligt som jag kan dra nytta av i mitt säkerhetsarbete?
Under senare år har det nationella och även europeiska säkerhetsarbetet präglats av en klockarkärlek till obligatorisk inrapportering av incidenter.
Själv känner jag mig mer ambivalent.
Å ena sidan kan det tyckas som en självklarhet att det ska finnas en nationell lägesbild över vad som händer både för det akuta läget men även för att dra nytta av erfarenheterna som det brukar heta.
Å andra sidan är incidentrapportering en aktivitet som rusar i komplexitet när man bara börjar skrapa på ytan, det räcker att försöka rigga en fungerande process i den egna organisationen för att inse det.
Se bara den enkla processbeskrivning jag tagit fram som stöd för den enskilda organsiationer: Tyvärr måste jag medge att jag inte är alldeles övertygad om att kvantitativa insamlingar av något så komplext som incidenter är det bästa sättet att bringa klarhet i vilka verksamhetsstörningar och andra typer av realiserade hot som kan kopplas till it-incidenter (vilket är det som MSB och NIS-direktivet fokuserar på).
Förutom att det tynger de inrapporterande verksamheterna i kritiska faser undrar jag generellt om kvaliteten på rapporteringen och vilken säkerhetshöjande effekt den har.
Generellt är det ett problem att det saknas systematik i det nationella säkerhetsarbetet.
I myndigheter, kommuner, regioner och företag försöker vi få till en PDCA-snurra med ett tydligt C men i de nationella satsningarna för att stödja säkerhetsarbetet tycks inte utvärdering ses som ett nödvändigt steg.
För att ta ett par exempel så har jag frågat MSB om vilken utvärdering som skett av det s.k.
Metodstödet som ligger ute Informationssäkerhet.se och vilken säkerhetshöjande effekt det haft samt ställt samma typ av fråga till SKR angående KLASSA.
I båda fallen var svaret att man inte genomfört någon utvärdering och några planer i den riktningen nämndes inte heller.
Det finns en risk att mycket blir vad jag brukar kalla ”religiös säkerhet”, d.v.s.
åtgärder som vidtas i god tro men där det krävs just tro istället för evidens för att se resultaten.
Ofta handlar det om det som jag redan skrivit om som Graeberskt: när arbetet stannar vid dokument som skrivs, mallar som fylls i, enkäter som besvaras och engångsutbildningar som inte leder till någon djupare kunskap.
När en kommun glatt skriver om att deras styrande dokument blivit ”godkända” av tillsynsmyndigheten men att man inte tittat på hur det faktiskt ser ut i verkligheten tycker jag mig leva i Graebers värld av BS jobs.
Det finns en risk att nationell incidentrapportering blivit så populär just för att den kan röra sig i denna värld.
Vad kommer man då fram till i rapporterna?
För att få litet grepp om frågan har jag gjort en sammanställning av 2020 års inrapporterade incidenter: Under de (alltför) många år jag arbetat med informationssäkerhet har ingen företeelse varit mer omhuldad än de standarder som använts som stöd i arbetet.
När jag började var det BS 77 99 och nu har vi en hel 27000-familj.
Även om jag under alla år har haft en god hjälp av standarderna har jag aldrig riktigt kunna gripas av samma entusiasm som de många, inklusive utgivare av myndigheters föreskrifter, som sett standarderna som ett magiskt spö som det i princip räcker att hänvisa till så försvinner säkerhetsproblemen.
Jag har redan skrivit ett antal inlägg, bl a och berör den ganska problematiska övertro som finns i Sverige till standardens kraft att skapa bättre informationssäkerhet.
Med tiden har jag kommit att fråga mig om sättet att se på framför allt ISO 27000 kanske snarare stjälpt än hjälptt.
En rejäl tankeställare fick jag när jag hade uppdraget att försöka få in säkerhetsperspektivet i en utredning om e-hälsa.
Få saker har jag misslyckats så kapitalt med och en av orsakerna, förutom mina egna brister, var att både utredaren och utredningens sekretariat så fort frågan kom upp smashade bort den som en irriterande fluga med: vi gör en hänvisning till att standarder ska användas.
Eftersom jag inte förstår en vink när jag får den eller snarare bryr mig om den så fortsatte jag och försökte även få ett förtydligande vilka standarder som skulle användas och hur.
Som ni säkert förstår fick jag aldrig några svar på mina frågor utan det ansågs helt tillfyllest att säkerhetsproblem skulle hanteras via ”standarder”.
Självklart förstår jag lockelsen i att det skulle kunna fungera så.
Problemet är att det inte gör det.
Om man tittar bakåt så var standarder i industrisamhällets begynnelse en typ av nationella och internationella överenskommelser om framför allt utformningen av tekniska produkter och mått.
En av mina favoriter är standarden för avstånd mellan hålen för .
Det är ju ett sant kaos som väntar om hålslagen utformas hur som helst och ingen vet vilka pärmar som kan användas för vilka papper.
Men vad händer egentligen när man flyttar över standardiseringsidéen från vidden för järnvägsspår till hur organisationer ska styra olika verksamhetsområden?
När standarder som framtagits utan kontroll från lagstiftare och den egna förvaltningen ska leva sida vid sida med den ordinarie styrningen?
I en mycket intressant från Örebros universitet har författarna (Andersson, Karlsson och Hedström) genom diskursanalys försökt förstå hur framtagandet av standarder i 27000-serien egentligen går till.
Som en bakgrund gör de en åtskillnad mellan s.k.
de facto-standarder som ta fram av ett företag eller flera företag tillsammans som har ett konkret behov av standardisering.
Den andra typen av standarder benämns de jure-standarder som kan utvecklas av olika lagstiftande organ alternativt myndigheter eller av oberoende standardorganisationer som ISO.
27000-serien är alltså en de jure-standard men ligger utanför det lagstiftande området.
Artikeln lyfter också fram att denna typ av standarder strävar efter att skapa en konsensus av vad som bland experter inom området anses vara ”best practice” vilket även framgår tydligt i arbetet med informationssäkerhetsstandarden: De jure standards play a central role in information security, and organizations are increasingly required to demonstrate compliance with them ( ; ).
Det kan alltså ifrågasättas vad standardens ställningstagande egentligen bygger, om dess anspråk på att vila på ”best practice” uppfylls.
Eftersom den inte bygger på evidens skulle dess USP bestå just i en erfarenhetsbaserad kunskap.
Om inte denna grund finns påverkas naturligtvis standardens legitimitet.
Senare i artikeln framgår på ett litet roande och samtidigt avslöjande sätt hur ytterst få som deltar i standardarbetet även om man tågat omkring på standardiseringsmötena som en fåmansprocession under beteckningen ”Sweden”.
Artikelförfattarna gör en maktanalys av själva arbetet med framtagandet av standarder men jag tycker att en vidare maktanalys av hur en mycket liten krets knutna till standardarbetet har haft ett helt dominerande inflytande över svensk förvaltnings arbete med informationssäkerhet.
Resultatet har blivit en hegemonisk doktrin om att ISO 27000 är den enda framkomliga vägen att arbeta med informationssäkerhet i svensk förvaltning trots att denna doktrin vare sig bygger på evidens eller ”best practice”.
Så här 11 år efter att ISO 27000 pekades ut som vägledande för svenska myndigheters arbete med informationssäkerhet i MSB:s föreskrift MSBFS 2009:10 (ytterligare markerat i de följande föreskrifterna fram till den nu gällande MSBFS 2020:6) så tycker jag inte det är uppenbart att det var ett helt lyckat vägval.
Detta bygger jag på attt knappast kan ses som särdeles framgångsrikt mätt med tillgängliga måttstockar, d.v.s.
de granskningar som gjorts både generellt och de som gjorts med inriktning på samhällsviktiga sektorer som exempelvis sjukvård.
Låt oss komma ihåg att detta inte är den enda möjliga vägen att välja.
I Finland antogs i år en av informationshanteringsnämnden under finansministeriet som explicit undviker att hänvisa till någon standard: referensramar och ger inga anvisningar om tekniska lösningar, som kan förändras till och med snabbt.
Utifrån en riskbedömning som görs från fall till fall ska varje myndighet välja tillräckligt säkra tekniska lösningar som är lämpliga i den aktuella situationen.
Jag kommer ihåg att ansvariga för Normen i Norge förde samma resonemang i sina reglervården, man ville inte referera till någon särskild standard.
Uppfattningen var att det var möjligt att plocka ut det man ville ha ur standarder utan att behöva ansluta sig till en helhet som inte kunde kontrolleras av norsk sjukvård.
När standarder lämnar tekniska specifikationer och övergår till organisatorisk styrning uppstår paradoxala effekter.
Jag tänker nu på att ISO 27000 innehåller mycket allmänna krav, att det ska finnas informationsklassning men inte hur den ska utföras eller vilken normskala som ska tillämpas.
Varje organisation ska själv ta fram sitt eget komplexa ledningssystem med de komponenter som anvisas i standarden men utformningen och tillämpningen kommer att se väldigt olika ut, det tror jag varje erfaren konsult kan intyga.
Istället för centrala regler som specificerar olika lösningar får vi alltså en mängd olika regelverk som ska användas i samma infrastruktur.
Standarden leder alltså sannolikt till mindre standardisering på grund av sin inriktning på enskilda organisationer istället för på helhet.
Bräckligheten i kunskapsunderlaget och det fragmentiserade resultatet är två orsaker att ompröva ISO 27000 ställning i den offentliga verksamhetensi Sverige.
Vi behöver inte kasta ut barnet med badvattnet men vi måste våga ifrågasätta doktrinen även om de som har byggt upp en stark ställning med hjälp av standarden riskerar att ta illa upp.
Informationssäkerhet är en för viktig fråga för att vi ska ha råd med heliga principer som inte tål att diskuteras.
Statskontorets publikationer är en underskattad men ständig källa om inte till glädje så till mycket nyttig kunskap.
Under sommaren har jag en forskningsantologi kallad .
Min bedömning är att denna antologi är ett måste för den som arbetar med informationshantering eller informationssäkerhet i offentlig sektor.
Här får man så mycket sammanhang och tankar att man går ur boken som en tjänsteperson eller konsult stärkt och betydligt bättre rustad att hantera sitt uppdrag.
Ur en informationssäkerhetskonsults vinkel är det framför allt avsnitten om hur förpappring, managementbyråkrati, användning av standarder och konsulter riskerar leda inte bara till onödig administration utan också till bristande styrförmåga.
Tyvärr är det mycket som känns obehagligt välbekant.
Det är dystert att blir varse om hur det område man själv jobbar inom liksom man själv kanske är en förgiftad gåva till uppdragsgivaren, att det kostar mer än det smakar.
Vi kanske ödmjukt borde inseltför ofta ger upphov till mer byråkrati än nytta, till mer krångel än säkerhet.
En ständigt närvarande fråga borde vara hur kan vi skapa bättre säkerhet utan att tynga våra uppdragsgivare och utan att ta kraft från organisationernas verkliga uppgifter.
Hur mycket har alla de icke-fungerande ledningssystem inte kostat i pengar, incidenter och en falsk trygghet som hindrat att man vidtagit reella säkerhetsåtgärder.
Slutligen är det för mig oetiskt att ta mer resurser från kärnverksamheten till säkerhet om det inte går att påvisa att det är nödvändigt.
Givna frågor borde vara: Varför fungerar då så mycket avt så dåligt trots de avsevärda resurser som läggs på det från olika håll?
Efter att ha begrundat Statskontorets antologi vill jag på prov lansera hypotesen att många av informationssäkerhetens tillkortakommande beror på att arbetet bedrivits som en del i den new public management-trend som varit rådande i svensk förvaltning de senaste decennierna.
NPM diskuteras frekvent i antologin och många av dessa resonemang kan med lätthet översättas till informationssäkerhetsområdet.
Kännetecknande för NPM är bland annat en strävan att styrformerna i offentlig förvaltning ska likna de i privata företag.
Konsekvenserna blir i korthet decentralisering, ram/mål-styrning, standarder och en massa mätande.
Det som regleras är som ska göras men inte Ansvaret för hur åtgärder ska genomföras trycks ner i den decentraliserade strukturen.
Någon som kommer att tänka på den så omtalade ansvarsprincipen kanske?
NPM kan låta lockande men jag skulle säga att informationssäkerheten nationellt och i de enskilda organisationerna lidit stor skada av att det inte funnits en inriktning att ge tydliga direktiv om olika säkerhetsåtgärder ska utföras.
Det är en närmast kuslig suboptimering att varje organisation ska räkna ut allt själva.
Kravet på kortsiktig leverans och mätbarhet gör att det strategiska arbetet försummas.
Dessutom leder till en bristande samordning i en alltmer integrerad informationsinfrastruktur där en parts investering i säkerhet görs helt urarva genom att andra aktörer har gjort andra bedömningar och därmed inte infört samma skydd.
Fokus ligger också på dokument, standarder och rapportering, allt i enlighet med NPM:s styrfilosofi.
Jag tror inte att motståndet mot att få en konkretare styrning i säkerhetsfrågor ligger hos enskilda myndigheter, kommuner eller regioner, tvärtom är en vanlig utgångspunkt i diskussioner att man vill ha tydlighet och stöd i att veta vilka säkerhetsåtgärder som är adekvata och uppdaterade.
Snarare uppfattar jag att myndigheterna med föreskriftsrätt duckar och inte vill ta det ansvar som det innebär att peka med hela handen.
Det är liksom lättare att klaga på den bristande säkerheten i förvaltningen än att ge ett ändamålsenligt stöd.
Jag vill lansera ett förslag som jag haft sedan jag jobbade på MSB som exempel på hur vi skulle kunna bryta med ovanstående ineffektiva styrning och få en bättre och billigare säkerhet.
Mitt förslag är och har varit att erbjuda stöd i form av standardiserade skyddsnivåer och det jag kallar normerande klassningar.
Skyddsnivåer har jag skrivit om tidigare så därför koncentrerar jag mig på de normerande klassningarna.
Det mest uppenbara exemplet på hur det skulle kunna fungera gäller kommunal verksamhet.
Tänk er att det finns 290 kommuner med samma tio obligatoriska uppgifter.
Det leder till att man har i grunden har mycket likartade processer även om man ofta har egna beteckningar på förvaltningar, processer och informationsmängder.
I större kommuner kan det vara så att flera organisatoriska enheter ägnar sig åt samma slags verksamhet, exempelvis förskola eller äldreomsorg.
Man kan också anlita utomstående leverantörer för att driva verksamhet som till exempel ett äldreboende.
En viktig grundprincip för kommunal verksamhet är likvärdighet, dvs.
att invånare har rätt att förvänta sig samma kommunala service oavsett var man bor eller vem som är utförare.
I det här sammanhanget bör det tolkas som att invånare har rätt till samma säkerhet och integritet.
Detta uppnås dock knappast om informationsklassningar genomförs på tusentals olika sätt med helt olika resultat (jag kommer inte att ta upp SKR:s KLASSA här eftersom jag gjort det på annat ställe och kommit fram till att det inte är ett verktyg för informationsklassning utan möjligen för att ställa baskrav på enskilda system och som dessutom ger precis samma risk för olikartade bedömningar som om man inte använde verktyget).
Vad som skulle leda till både ensartade bedömningar och dramatiskt minskad resursåtgång är att göra normerande klassningar på prioriterade processer i kommunal verksamhet.
Man skulle då gå igenom en generisk process, exempelvis utbetalning av försörjningsstöd, se vilka informationsmängder som stödjer och skapas i de olika aktiviteterna i processen.
Därefter kan informationsmängderna klassas och den normerande klassningen användas av samtliga som utbetalar försörjningsstöd.
I och med att aktiviteter och informationsmängder är förvånansvärt konstanta över tid i många processer (tro mig, jag har gått igenom ett stort antal processer även i ett ”historiskt” perspektiv) så skulle denna grund kunna användas under lång tid.
Uppdateringar måste göras då exempelvis lagstiftning eller andra nya förutsättningar leder till att en förändrad bedömning blir nödvändig.
Även denna förvaltningsinsats har allt att vinna på att genomföras kollektivt och inte av varje informationsägare.
Och, observera, den normerande klassningen är bara ett stöd.
Det står varje informationsägare fritt att välja en annan nivå eftersom ansvaret för säkerheten kvarstår hos hen.
Ytterligare en poäng är att det här finns mycket stora samordningsvinster att göra även med dataskydd och arkiv.
Jamen systemen och it-tjänsterna säger ni uppbragt – varför finns inte de med i konceptet???
Det gör de faktiskt eftersom it-säkerheten hanteras i de standardiserade skyddsnivåerna och gör man sin processorienterade informationskartläggning rätt så identifierar man inte bara de digitala lösningar som används som bärare utan även de andra medier som faktiskt används.
Dessutom förekommer idag information i många fall i flera versioner på olika bärare så därför kan man inte gå nerifrån och upp.
Slutligen är bärarna inte alls lika konstanta som aktiviteter och informationsmängder så att ha dem som utgångspunkt för strategiskt styrning skulle vara göra sig själv en stor otjänst.
En passant kan sägas att samma synsätt sannolikt skulle kunna användas av SÄPO till allas nytta.
Att göra generiska säkerhetsskyddsanalyser för exempelvis kommuner och regioner skulle avlasta dessa aktörer och ge ett mer likvärdigt skydd.
(Jag flyr nu eftersom jag vet att detta är en helig ko som absolut inte får besudlas….).
Min förutsägelse är att det inte finns något ljus som automatiskt kommer att slås på i denna mörka byråkratiska tunnel utan det är vi själva genom att tänka fritt och nytt som måste skapa det.
Det är inte i mängden dokument säkerheten sitter.
Det är lätt att bli tidsblind men jag tror att vi även efterhand kommer att uppfatta våren 2020 som den värsta krisperioden i Sverige sedan andra världskriget.
Skadad av historiska studier är jag väl medveten om hur svårt det är att bedöma nutiden medan den pågår men har ändå blivit fascinerad av hur den nationella beredskapen fungerar när det som alla pratar om men ingen sett inträffar.
Det vill säga den stora samhällskrisen.
En termometer på hur väl det svenska krissystemet mår är den centrala myndigheten för dessa frågor Myndigheten för samhällsskydd och beredskap, MSB.
Jag hade egentligen, efter att ha studerat ett ganska stort antal allmänna handlingar, tänkt skriva om hur myndigheten hanterat det beryktade enkätverktyget.
Det är i sig en intressant historia som i delar redan skildrats av flera medier, kanske mest heltäckande av Arbetaren bland annat .
När man läser handlingarna är det så många överraskande steg allt sedan regeringen den 19 mars ger MSB ett uppdrag (Ju2020/01165/SSK) : Regeringen uppdrar åt Myndigheten för samhällsskydd och beredskap (MSB) att säkerställa att myndigheternas information med anledning av utbrottet av det nya coronaviruset är samordnad och tydlig samt att det finns effektiva kanaler för att föra ut informationen.
I uppdraget ingår att skyndsamt utarbeta ett nationellt informationsmaterial som på ett effektivt sätt ska kommuniceras till så många som möjligt.
MSB får 75 miljoner (!)
för att genomföra uppdraget under 2020, ett uppdrag som till synes inte på något sätt innehåller smittspårning eller insamlande av uppgifter.
Kanske är det de 75 miljonerna som snedvrider uppdraget från början, kanske lockar de 75 miljonerna till sig aktörer som ger myndigheten tips om vad de skulle kunna hitta på för att sätta sprätt på pengarna.
I vilket fall så är det inte MSB:s professionella kommunikatörer som får lead i detta jättelika kommunikationsuppdrag utan Avdelningen för cybersäkerhet och säkra kommunikationer.
Det formella beslutet på denna interna delning kommer den 26 mars, dagen efter att MSB bjudit in Folkhälsomyndigheten till ett möte där den förra myndigheten erbjuder den senare ett digitalt verktyg, allt enligt minnesanteckning från mötet: Kort möte med GD Folkhälsomyndigheten (FHM) sen em 25/3.
MSB tar upp initiativ kring digitalt verktyg för digital självskattning.
GD FHM positiv, betonar att ett sådant här verktyg inte ska driva fysisk testning i fel riktning.
Viktigt att anpassa svar på självskattning så respondenten inte förväntar sig att bara för att man gör digitalt test så får man fysiskt test.
Vad som händer under veckan där MSB:s samordningsuppdrag för myndigheters kommunikation angående corona övergår till att handla om ett digitalt verktyg för självskattning av smitta är för mig okänt men det är uppenbart att det är MSB som vill ha verktyget.
Litet småaktigt vill jag poängtera det eftersom jag själv blivit åthutad på sociala medier av en i utvecklingsarbetet involverad konsult när jag hävdade att det var så det låg till.
Några dagar efter åthutningen gick MSB officiellt ut och sa att det var på deras initiativ som verktyget .
Note to self som konsult: undvik att agera som dina kunders talesperson om du inte formellt blivit ombedd.
Enligt den juridiska utredning som MSB låter en extern byrå genomföra framgår det att det inte ingår i MSB:s uppdrag att bedriva smittspårning.
Därför måste man ha med sig expertmyndigheten FHM för att kunna genomföra projektet med digital självskattning.
Redan här går det se de problem som snart kommer att göra att projektet blir en återvändsgränd.
Rollen som samordnande myndighet kräver respekt för olika aktörers uppdrag och mandat och detta särskilt i trängda lägen, inte att man försöker ta över andra myndigheters uppgifter.
Sedan följer en närmast smärtsam historia fram till slutlig nedläggning via ett antal anhalter där det blir allt tydligare att ingen utom MSB (och leverantör samt konsulter) är intresserade av verktyget.
Kontentan blir x antal miljoner i sjön (konsultkostnaderna är inte medräknade i de 6,4 miljoner som MSB ska betala till leverantören), en granskning av Konkurrensverket och ett rejält tapp i anseende när MSB som bäst skulle behöva det.
Sannolikt har MSB tappat i förmåga att genomföra det egentliga uppdraget från regeringen: att samordna myndigheters information angående corona vilket knappast kan glädja uppdragsgivaren.
Det går att föreställa sig mindre trivsamma samtal på regeringskansliet.
Som en slutkommentar till Arbetaren säger MSB:s pressekreterare: Vi tar hellre kritik för att vi skyndar på att ta fram en lösning som på något sätt kan vara till hjälp när människor dör, än att få kritik för att vi sitter på händerna och inte gör något.
Vi ansåg att vi var, och är, i ett läge där det var viktigt att agera när det handlar om människoliv.
MSB reagerar alltså exakt på det sätt som jag skrivit om i ett tidigare , att göra NÅGOT känns alltid bättre även om detta något är inte leder framåt eller förbättrar situationen.
I krissituation är det viktiga tillit och att alla vet vem som ska göra vad.
I bakhuvudet gnager en liten olustig känsla av att myndigheten kan ha reagerat på yttre påverkan vilket lett fram till haveriet.
Det är lätt att glömma bort att de vanligaste påverkanskampanjerna är de ekonomiska.
Det skulle vara lätt att göra sig lustig över denna tragikomiska historia.
Det är inte min intention.
Istället får den mig, liksom många andra i dessa dagar, att reflektera över den svenska beredskapen och myndigheters förmåga.
Framförallt funderar jag på hur MSB (och andra myndigheter) förefaller så synnerligen oförberedda på en pandemi att man är tvungen att kasta sig in i så äventyrliga och ofruktbara aktiviteter som webenkäten.
Pandemi är verkligen inte en svart svan i ett riskperspektiv utan snarare vad Michele Wucker kallar en ”grå noshörning”: A “gray rhino” is a highly probable, high impact yet neglected threat: kin to both the elephant in the room and the improbable and unforeseeable black swan.
Pandemier har redan inträffat och har varit på MSB:s short list över samhällsrisker ända sedan myndigheten startade.
Ändå tycks inte nödvändiga förberedelser för samordning i en pandemisituation ha gjorts.
Detta ska inte MSB lastas för utan snarare de regeringar som styrt under perioden.
Kanske måste djurmetaforerna gå vidare till svarta strutsar (ja, jag vet att det inte är så i verkligheten att strutsar gräver ner huvudet vid annalkande fara men det är en bra metafor).
Nu pratas det i alla politiska läger om vikten av att förbättra den civila beredskapen och kanske till och med snegla tillbaka till beredskapens guldålder i Sverige: .
Problemet med detta är att det innebär att ett antal av dagens heliga kor måste slaktas om det ska fungera.
Det är inte bara mycket stora ekonomiska resurser som behövs.
Vi har under närmare 40 år demonterat den starka staten som är en förutsättning för en sammanhållen nationell beredskap och istället privatiserat och fragmentiserat ansvaret utan tanke på hur alla skärvor ska kunna skapa en helhet då det behövs.
Typexemplet på detta är ansvarsprincipen som inte är inskriven i någon lag men som har haft en förödande inverkan på den gemensamma styrningen av krisberedskapen.
Fragmentiseringen har inte kompenserats med en stark myndighet som nationellt nav.
MSB:s roll är istället att försöka samordna utan sammanhållen nationell planering och i stort utan mandat att faktiskt styra samhällsviktiga aktörer.
Fallet med webenkäten får tolkas som ett utslag av MSB:s omöjliga roll och borde vara ett exempel av många som bör leda till att ansvarsprincipen omprövas och att en verklig krisberedskapsmyndighet med fullt mandat skapas.
Kriser har den fördelen att de oftast tar slut.
Att framgångsrikt hantera kriser bygger därför på att man inte bara hanterar nuet utan även framtiden.
Folkhälsomyndigheten har varit beundransvärda i att de lyckats hålla blicken uppe och fått allt fler att förstå att bekämpningen av coronaviruset inte bara handlar om drastiska åtgärder här och nu utan att vi både måste tänka på nästa virusvåg som kanske kommer redan i höst.
Ett annat budskap är att vad som ska värnas är folkhälsa där virusbekämpningen inte får överskuggande sekundäreffekter som i skapar större ohälsa och död än själva viruset.
Däremot når nu MSB:s insatser en sådan nivå att de t.o.m.
får vara med i satirinslaget i P1, en ynnest som är få myndigheter förunnad.
Inslaget handlar förstås om den famösa enkätappen som jag omnämnde i mitt förra och som nu även tagits upp i MSB har hintat om lanseringen av appen med en näraliggande men okänd startpunkt.
Tyvärr har myndigheten inte någon kommunikationslinje i frågan, vid konkreta frågor som i Eko-inslaget kommer endast undflyende svar.
Jag kan förstå det.
Det är svårt att sälja in en lagring av personuppgifter på befolkningsnivå i en amerikansk molntjänst.
Eftersom jag själv varit engagerad i svagheterna i projektet Hälsa för mig så har jag svårt att känna stark tilltro till att det snabbt går att vispa ihop en dylik tjänst med tillräcklig säkerhet och med tillräcklig respekt för dataskyddsförordningen.
Det är ju liksom ingen slump att eSam gjort ett om det olämpliga i att använda molntjänster när personuppgifter eller annan känslig information förekommer.
Vid sidan om själva enkätappen är MSB:s kommunikation den lika märklig.
Grunden för fungerande kriskommunikation är att inte skapa mer oro än nödvändigt utan delge de fakta som finns och som är relevanta i den aktuella situationen.
MSB har nu haft några olyckliga veckor trots att de ska vara samhällets experter på kriskommunikation.
Kanske tröttnade man att vara transportsträckan i dagliga presskonferensen på Folkhälsomyndigheten och att det var orsaken till att man helt plötsligt spicade upp sin monotona redogörelse om samordningsmöten med länsstyrelserna med att föranstalta en möjlig vattenbrist.
En signal som ledde till att redan hårt tyngda kommuner fick svara på helt irrelevanta frågor om icke-existerande vattenbrister från oroliga medborgare och medier.
Sedan detta smyglanserande av enkätappen som skapar frågor som inte besvaras utan skjuts till en obestämd framtid.
Detta leder inte till en större tillit i krisen.
Någon skulle kunna invända att nu när vi står inför en så stor kris som denna blir frågor som säkerhet och integritet underordnade.
Jag håller inte med om detta utan som jag skrev i mitt tidigare inlägg så är det när vi är som mest pressade som vi måste försöka tänka klart och följa de rutiner vi satt i normalläget, t.ex.
gällande riskbedömningar.
Vi ser nu hur det runt om i världen sker överträdelser mot grundläggande rättigheter och att auktoritära medel som inkräktar på individens sfär alltför villigt vidtas.
I Sverige har vi en lång stabil tradition av tillit och respekt men det finns ingen garanti att vi klarar att bevara detta.
Att myndigheterna sköter sig, inte genar eller agerar impulsivt är också grunden för den tillit som krävs för krisbekämpningen – inklusive att genomföra smittspårning m.m.
Efterklokt skulle man möjligen kunna kritisera myndigheterna för att de inte tagit fram ett smittspårningsverktyg i mellantiden sedan svininfluensan för ett decennium sedan utan börja ad hoca nu för då skulle säkerhetsfrågorna sannolikt kunnat hanteras på ett systematiskt sätt men det båtar föga.
Naturligtvis skulle man kunna säga att det är dumt att spekulera när så litet är känt och allt det jag skriver nu står på en mycket vacklande grund.
Ändå är detta en så viktig fråga att det är svårt att låta bli och spekulationernas kvalitet blir även den ett resultat av MSB:s kommunikationsplan.
För mig är det svårt att förstå hur en kombination av inloggning med BankID, amerikansk molntjänst och och känsliga personuppgifter inte skulle leda till mycket stora risker och att dataskyddsförordningen inte kan efterlevas.
MSB:s gedigna juridiska kompetens har möjligen gjort en annan bedömning men det är just den man skulle vilja ta del av, särskilt som den rimligen redan är färdigställd om breddlanseringen ska ske i dagarna.
Med den som underlag skulle kriskommunikationen kunna ske utan att orimliga spekulationer och onödig oro uppstår.
Mitt förslag är att, särskilt efter medieuppmärksamheten, MSB omedelbart presenterar den som är av stort intresse särskilt för oss som följt diskussionerna efter eSams uttalande.
Har MSB lyckats knäcka den nöten så är det stora nyheter för både Eller så har jag och en hel del andra missuppfattat upplägget (inte alls otroligt) och då vore det ju bra om MSB gick ut och beskrev hur det egentligen ser ut.
Är det så att MSB inte har ett vattentätt underlag så kommer man att underminera det mycket mödosamma arbete som bedrivs i många, om inte de flesta, organisationer, idag för att nå fram till ett ansvarsfull sätt att hantera molntjänster.
Detta menar jag vore förödande för MSB som den myndighet som ska samordna samhälletsslarvar med säkerheten.
Det skulle leda till att det svenska samhället skulle få ännu svårare att bemästra de mycket utmanande uppgifter vi redan står inför.
MSB:s egen verksamhet är ett show room för hur det är tänkt att andra myndigheter ska agera och förutom legitimitet finns det också mycket reell säkerhet att förlora om inte MSB klarar sin roll att leda genom sitt exempel.
MSB:s skrift Om krisen eller kriget kommer har en aningen märklig titel som om det finns ett krisfritt alternativ.
Jag tror både myndigheten och vi andra skulle tjäna på att ”när” snarare än om, i alla fall när det gäller kriser.
När krisen verkligen kommer skapas ett skilje där organisationer och individer ofrivilligt visar sitt virke, om man klarar att fungera rationellt även under press.
Planering för vad som ska göras när allt står på ända är ett bra sätt att stärka sitt virke.
Så än mer att kunna upprätthålla sina principer och sin planering när krisen väl inträffar.
Länge fanns en syn att säkerhet var ett hinder för en fungerande verksamhet.
Långsamt har vi tagit oss till en situation där allt fler ser att säkerhet inte är hinder för verksamheten utan en förutsättning, och då alldeles särskilt i svåra situationer.
Vi kan inte gå tillbaka till ett antingen det ena eller det andra, vi måste fortsätta kämpa för både effektivitet och säkerhet.
Det är bra om MSB befinner sig på rätt sida i det arbetet så att inte nya stora problem har skapats som ger utslag när krisen väl är över.
Jag läste en så fantastisk metafor i Jennifer Clements roman Gun love.
Romanen handlar Pearl och hennes mamma Margot som bor i baksätet i en bil.
Miljön är den där sortens misär som bara finns i USA med hemlösa människor som helt saknar riktning i sitt liv.
Redan tidigt i boken finns följande passus: Mamma och jag flyttade in i Mercuryn när hon var sjutton och jag var nyfödd.
Så den bilen, som stod i utkanten av en trailerpark mitt i Florida, var det enda hem jag kände till.
Livet var en prick-till-prick-teckning och vi bekymrade oss inte stort om framtiden.
Bilden av prick-till-prick-teckningen hakade fast i mig och jag fick en stark känsla av hur de här romanfigurerna levde sitt liv.
Så är det ju ofta med god litteratur, den lever vidare inom en.
Men hjärnan är en märklig sak och vips började jag associera metaforen med hur jag uppfattar digitalisering och informationssäkerhet på samhällsnivå, som prickar till synes utan samband.
Finns det en dold teckning under prickarna så kan i alla fall inte jag se den.
Att jag började tänka på det berodde på den nya rapport som regeringens uppdrag tagits fram av sju myndigheter om säkert och effektivt informationsutbyte i offentlig .
Lustigt nog var varken MSB eller någon annan myndighet med säkerhetsprofil bland de sju myndigheterna trots att uppdraget rörde just säkert informationsutbyte.
Detta var säkert en bakgrund till de slängar som slungades från MSB på sociala medier men efter en genomläsning av rapporten får det sägas att de avsnitt som skrivits om säkerhet knappast skrivits av någon med erfarenhet från detta område.
Att Försäkringskassan är en av de myndigheter som ingått i arbetet med att ta fram rapporten känns aningen illavarslande när man läser budgetproppen där det står om Försäkringskassans allt större roll som intern it-leverantör i staten: Förhoppningsvis är det andra som ska stå för den leveransen än de som skrivit om säkerhet i rapporten.
Ändå är rapporten positiv i andra avseende, främst genom att man pratar om en gemensam digital infrastruktur.
Detta är något jag försökt driva i olika sammanhang utan påtaglig effekt.
Jag vill självklart inte framhäva min egen roll utan bara säga att detta är en inriktning som tidigare saknats på ett mer uttalat sätt och som jag tror i sig har en tydligt säkerhetshöjande effekt.
Att notera detta positiva anslag känns viktigt även om den stora bilden av infrastrukturen inte kan anas och på sin höjd tre prickar sammanfogats.
Problemet är inte endast att det tycks sakna en ritning för utveckling av digitaliseringen utan även för samhällets informationssäkerhet.
MSB:s handläggare (ja, jag vet att hen liksom många andra tjänstemän friskriver sig på sociala medier genom att hävda att de ”twittrar som privatperson” – ett oskick jag beskrivit ) ansåg att rapporten var ett ”hafsverk” och att rapportförfattarna inte tagit till sig MSB:s synpunkter.
Nyfiken som jag efterfrågade jag då de diarieföra synpunkter som det hänvisades till och fick ut detta mail: Det avslöjar inte mycket av ett eventuellt infrastrukturellt synsätt.
Informationssäkerhetsområdet tycks alltså ha sin egen mycket ofullständiga prick-till-prick-teckning.
Liksom arkivväsendet som även det har en stor betydelse för den offentliga informationshanteringen.
Sammantaget så är planeringen av vår gemensamma informationshanteringsinfrastruktur uppenbart fragmentiserad och där olika myndigheter ritar sina prickar oberoende av varandra trots att de åtminstone borde vara i samma teckning.
I detta dystra scenario är det inspirerande att snegla österut.
I Finland har nämligen antagits en ny lag med om informationshantering inom den offentliga förvaltning.
I som låg till grund för lagen ges inriktningen: Det är fråga om en allmän lag som ska reglera informationshanteringen inom den offentliga sektorn.
Lagen avses gälla all informationshantering som sker inom myndigheternas verksamhet.
Genom lagen säkerställs en enhetlig förvaltning och en informationssäker behandling av myndigheternas informationsmaterial i syfte att genomföra offentlighetsprincipen.
Dessutom har lagen bestämmelser om elektronisk överföring av information mellan olika myndigheters informationssystem.
Genom regleringen effektiveras myndigheternas informationshantering så att myndigheterna kan tillhandahålla förvaltningskunderna sina tjänster på ett kvalitativt sätt som är förenligt med god förvaltning och kan sköta sina uppgifter på ett resultatgivande sätt.
Syftet med lagen är att främja också interoperabiliteten mellan informationssystemen och informationslagren.
träder i kraft vid årsskiftet och innebär också att en informationshanteringsnämnd ska säkerställa samordningen mellan informationshantering (inklusive arkiv), digitalisering och informationssäkerhet.
I dagarna har även en ny cyberstrategi antagits.
För mig förefaller denna ordning mycket ändamålsenlig särskilt om det även blir ett gemensamt myndighetsansvar.
I Sverige skulle det kunna kopieras så att DIGG får skärpa till sig och samtidigt överta ansvaret för samhällets informationssäkerhet och se till att det blir integrerat i hela digitaliseringensprocessen.
De myndigheter som redan idag framför allt är intresserade av internationella antagonistiska hot och cyberkrig kan fortsätta med detta med gott samvete.
På detta sätt skulle prickarna åtminstone fyllas i på samma teckning.
Jag vet att detta är en överdriven förenkling och att det inte går att dra snörräta linjer mellan olika säkerhetsområden men jag tror vi måste komma tillbaka till en situation där normallägets funktionalitet respekteras och där bygget av en gemensam infrastruktur kan ske med god säkerhet.
Först en disclaimer.
Denna text är skriven med ett visst undertryckt ursinne.
Under 7-8 år under mina vittflygande studier jobbade jag samtidigt på ett boende för psykiskt funktionsnedsatta barm och ungdomar.
Den erfarenheten gör att jag framförallt tänker på de patienter och anhöriga som drabbats av 1177-skandalen men också på den vårdpersonal som till skillnad från digitaliseringsbyråkrater, ”visionärer” och ”evangelister” möter patienter.
De ska nu leva i oro över hur deras arbetsgivare hanterar den information som de i förtroende tar emot och där samtal från hjälpsökande patienter studsar vidare för hantering i Thailand.
Jag jobbade också i ett landsting under 90-talet då politiker, it-leverantörer och byråkrater gick in i en lustiger dans om digitalisering som var mycket lösligt kopplad till verksamhetsbehov.
Att försöka skjuta in frågor om informationssäkerhet eller kvalitet i informationshanteringen stämplades som närmast illojalt eller i bästa fall som tugg som man måste genomlida innan man gick vidare precis som förut.
Filifjonkan på bilden har inte bara med ångestridna patienter att göra utan också känslan av den annalkande katastrofen som hon symboliserar.
Det finns inget som är så lätt som att förutspå framtiden i efterhand.
Många är nu chockade och totalt överraskade över vad som framkommit om 1177 och dess underleverantörer.
Att försöka påpeka vikten av god informationssäkerhet vid digitaliseringen har som sagt varit ett arbete i stark motvind för att inte säga full stormstyrka i 25 år.
Ofta har den berättigade oron för den alltmer bristande säkerheten inom vård-it utmålats som ett Filifjonka-aktigt beteende och att varningarna för riskerna skulle ha lika litet med vår verklighet att göra som Filifjonkans permanenta ängslighet i Mumindalens idyll.
När det nu exempelvis framkommer att Region Värmland har anlitat en underleverantör för att hantera den extremt känsliga informationen i telefonrådgivning endast med dessa säkerhetskrav: Leverantören ska skydda sin information mot otillbörlig åtkomst och förstörelse i enlighet med gällande lagar, förordningar och föreskrifter.
Hur skyddet genomförs ska dokumenteras.
Leverantören ska på begäran kunna uppvisa denna dokumentation för landstinget.
Leverantören ska följa landstingets vid var tid gällande riktlinjer för informationssäkerhet.
ger det en indikation om hur relevant oron faktiskt var/är.
Observera att inga ytterligare krav ställts till exempel i form av en säkerhetsbilaga som förtydligar vad det är man vill ha, inte ens ett personuppgiftsbiträdesavtal i någondera riktningen finns.
Otroligt nog verkar hela den massiva hypen kring dataskyddsförordningen gått regionen förbi.
Med tanke på att hela härvan ännu inte är utredd ska jag, för att undvika förhastade slutsatser, inte kommentera alla juridiska och tekniska detaljer.
Enkla lösningar är det redan alltför många som kommer med.
Inte heller finner jag det meningsfullt att ägna mer tid åt den lyteskomik som svaren från de olika leden i leverans av telefontjänsten i 1177 gett utrymme för.
Istället ska jag försöka ringa något av det systemfel som ligger som grund för den uppkomna situationen.
Grundproblemet ligger i att vård-it i Sverige under trettio år har fått växa fram inte som en sammanhängande infrastruktur utan som en brädhög där olika aktörer kunnat lägga på sin egen bräda utan att behöva ta hänsyn till någon gemensam plan.
Detta skapar naturligtvis en låg grad av funktionalitet trots de enorma resurser som lagts på digitaliseringen men dessutom har det också skapar de oöverblickbara säkerhetsrisker som 1177-skandalen är ett av de mest flagranta exemplen på.
Den främsta säkerhetsrisken är att det i många fall är omöjligt att klarlägga ansvaret för säkerheten vilket med all önskvärd tydlighet framgår i fallet med 1177.
Intuitivt skulle nog de flesta säga att det största ansvaret ligger hos sjukvårdshuvudmännen, det vill säga främst regionerna/landstingen som i den svenska förvaltningsmodellen delegerats ansvaret för och där ansvaret definieras i hälso- och sjukvårdslagen: Med huvudman avses i denna lag det landsting eller den kommun som enligt lagen ansvarar för att erbjuda hälso- och sjukvård.
Inom en huvudmans geografiska område kan en eller flera vårdgivare bedriva verksamhet.
När det gällde hanteringen av information inklusive säkerhet var detta ansvar inte särskilt besvärligt att definiera på den tiden då landstingen också utförde den absoluta merparten av vården.
Då var journalerna allmänna handlingar som tillhörde landstinget och det också ställdes tydliga krav på hanteringen (ja, jag vet att det inte alltid funkade jättebra i verkligheten men jag rör mig nu på systemnivå).
I och med kommunalisering (ÄDEL) och privatiseringsvågen blev ansvaret otydligare.
Som en andra skänkel i saxen som klippte av tydligheten i ansvarsfördelningen fungerade rörelsen mot alltfler samarbeten mellan landsting som exempelvis Sjunet och de nationella tjänsterna.
Det är här jag menar att juridiken inte hängt med, inte genom att ställa krav på integritet i det nya landskapet.
Det juridiska ansvaret läggs nämligen främst på vårdgivaren: Med vårdgivare avses i denna lag statlig myndighet, landsting, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet.
Vårdgivaren kan vara vilken aktör som helst som bedriver någon form av vård, till exempel Medhelp.
Denne har också ansvaret för informationssäkerheten vilket mycket specifikt beskrivs i Socialstyrelsens föreskrift med regler för vårdens Problemet är bara att den mest säkerhetsmedvetne vårdgivaren ändå inte kan hålla sig för sig själv utan måste fungera i brädhögen av oklara ansvar eftersom man till exempel med nödvändighet måste använda bland annat nationella tjänster.
I och med detta faller alla de många goda råd som även säkerhetsexperter av olika dignitet framfört de senaste dagarna om att det bara är att ha tydliga upphandlingsrutiner, följa upp krav o.s.v.
Inte ens dataskyddet faller ut som man skulle kunna tro när man läser i avtalet mellan Region Stockholm och Medhelp och ser att regionen är personuppgiftsbiträde åt Medhelp och inte tvärtom….
Det som måste understrykas är att den digitala världen inte bygger på bilaterala relationer utan på multilaterala och att vi saknar verktyg att hantera den nya situationen.
Även trogna gamla kämpar som tillsynsvapnet riskerar att bli tandlöst eftersom tillsynen gäller enskilda organisationer.
Att skapa ansvarsförhållanden och möjlighet till ansvarsutkrävande avpassade för multilaterala infrastrukturer bedömer jag som den mest fundamentala säkerhetsåtgärden för vård-it.
Detta är inte något som en enskild vårdgivare kan ta ansvar för utan måste byggas upp på nationell nivå.
Tyvärr har denna grundläggande förutsättning totalt negligerats i de utredningar om e-hälsa som genomfört under senare år.
Mer om de moderna strukturerna finns att läsa i den nyligen utkomna antologin .
Ansvaret är alltså idag osynkroniserat med den nationella informationsinfrastrukturen och även med den tekniska infrastrukturen.
Ändå tror jag det är viktigt med ett ansvarsutkrävande.
Tyvärr kommer nog inte Region Stockholms innovationsregionråd ta sitt ansvar och avgå, inte heller hans motsvarigheter i Region Värmland och Sörmland.
SKL:s programansvarige för e-hälsa kommer att på motsvarande sätt skjuta ansvaret ifrån sig och Inera har snabbt varit ute och sagt att de går skuldfria ur denna förödande situation.
Tyvärr, inte för att vi behöver ett melodramatiskt utspel som när Toyota-chefen gråtande bad om ursäkt för sina fel eller syndabockar, men för att ge en reboot för vård-it.
Om ett antal digitaliseringspotentater inom vården åtminstone hade omdömet att säga: ”jag har villigt tagit emot all cred för att framstå som nyskapande och innovativ, nu tar jag lika villigt mitt ansvar när det visar sig att vi kört totalt fel inom e-hälsoområdet.”.
Detta vore en mycket viktig signal att vi nu inte ska fortsätta som förut utan gå in i en ny tid.
Det jag skriver ovan kan nog de flesta hålla med om på någon nivå men varför ser det då ut som det gör?
Jag skulle vilja hävda att det inte enbart beror på inkompetens utan i lika hög grad på attityd, möjligen arrogans.
Detta är en något nedslående tanke för sannolikheten för att kunna omvandla inkompetens till kompetens är större en att rå på decennier av negativ säkerhetskultur.
Jag förstår att det är mycket behagligare att ständigt mana framåt och inte hänga upp sig på problem och hinder.
I 1177-skandalen är patientens integritet som allvarligt skadats vilket är ett värde som talföra debattörer inom digitaliseringen och e-hälsa till och med i många sammanhang förnekat.
Den bristande samordningen kan också ses som ett resultat av SKL:s framgångsrika arbete som lobbyorganisation.
SKL är en intresseorganisation för regioner och kommuner som arbetsgivare och har med stor frenesi hävdat det kommunala självstyret inom hälso- och sjukvård.
Varje försök till styrning från staten nagelfars och min bedömning är att staten efter nedmonteringen av Socialstyrelsen inte ens har möjlighet till en effektiv myndighetsstyrning vilket lämnat fältet ännu mer fritt för SKL.
Ur ett samhällsperspektiv har det även lett till en starkt minskad insyn eftersom SKL, trots att man är helt finansierad av offentliga medel, inte lyder under offentlighetsprincipen.
Vad som pågår inom SKL och vilken agenda som drivs är därför svårgenomträngligt.
Under den tid jag jobbade på MSB och, bland annat inspirerad av den norska lösningen Normen, försökte få till en styrning bättre avpassad till de multilaterala relationerna fick jag ofta känna av SKL:s maktanspråk.
Ärligt talat så var intresset inte särskilt stort ens i min egen myndighet och inte heller i de andra myndigheter som hade uppdrag i någon form som påverkade säkerhetsaspekterna i vården.
Men var det ett svalt umgänge i myndighetssfären så var SKL:s engagemang i frågan på nollpunkten.
Mitt käcka erbjudande om att MSB skulle kunna samordna och tillföra väsentliga resurser och kompetens för att göra den så skakiga informationssäkerheten i vården bättre möttes mycket kallsinnigt.
Budskapet var att detta var en uppgift som regionerna kunde klara själva (med SKL:s hjälp) och att myndigheter inte hade i territoriet att göra.
Själv kände jag mig som en ovälkommen budbärare från de många medlemsorganisationer som satt med sin usla säkerhetssituation utan reell möjlighet att göra något åt den.
Med ett avancerat tjat lyckades det till slut att få SKL att skriva under den gemensamma strategi som jag tagit fram som underlag och som nu litet patetiskt ligger kvar på MSB .
Någon gemensam styrning á la Normen är lika fjärran som då strategin skrevs.
SKL har alltså haft alla möjligheter att själva ta fram de stöd som så väl skulle behövas i deras medlemsorganisationer.
Så har inte skett förutom det tveksamma verktyget för informationsklassning som jag skrivit om Något gemensamt regelverk för att hantera den multilaterala ansvarssituationen inom vården kan jag fortfarande inte hitta på SKL: s webbsida.
Intressant nog har ju inte SKL något formellt ansvar för informationssäkerheten i vården eftersom man är en intresseorganisation och kommer säkerligen inte att påta sig något sådant nu heller.
När nu nästa trend är AI i vården blir man inte direkt lugnare, särskilt inte när SKL:s programansvarige för e-hälsa ifrågasätter lagstiftningen snarare än ansvarskänslan hos införarna som .
I mina dystrare stunder tror jag vi nått vår kollektiva inkompetensnivå där vi ska skapat ett it-monster som ingen längre kan styra.
Vi har en situation med i princip outtömliga tekniska möjligheter promotas av aggressiva leverantörer.
Tekniken möter en omogen organisationsstruktur där verklig styrning ersatts av fritt spelrum för särintressen.
Till detta kommer den bristande självinsikten om att det är så här det ser ut och den negativa säkerhetskulturen inom vården.
Och slutligen juridik och företrädare för informationssäkerhet som fortsätter att leverera lösningar gjorda för enstaka organisationer eller möjligen bilaterala relationer vilken inte är till någon större hjälp i den dagens multilaterala arkitekturer.
Självklart kan vi inte ge upp utan istället ställa oss frågan hur vi kan genomföra de absolut nödvändiga förändringar som skulle göra vård-it till en seriös verksamhet.
Här vill jag anslå en ny ton för att markera att detta är mycket komplexa frågor som vi idag i huvudsak saknar svar på.
Det är inte enkla förbättringar av upphandlingsrutiner som kan leda framåt utan förändringar av en helt annan dimension som är nödvändiga.
Det är inte beställningar mellan kund och leverantör som är det verkliga problemet utan beställningen från regeringen till sjukvårdshuvudmännen som inte fungerar där sjukvårdshuvudmännen som leverantörer inte klarar av att skapa en säker vård-it.
Mina förslag, som jag inte när något större hopp om att de kommer att anammas, är att likna vid ett undantagstillstånd.
Det kan tyckas dramatiskt men allvaret i situationen kräver extraordinära åtgärder .
Parallellt med åtgärderna bör även en attitydförskjutning initieras där vi slutar se digitalisering som ett självändamål utan blir förmögna att ta in olika perspektiv som till exempel säkerhet.
Utgångspunkten bör också att det är en nationell struktur som ska byggas och förvaltas där de gamla organisationsgränserna inte längre får sätta käppar i hjulet.
Här kan man ana att en del integritetsnihilister vädrar morgonluft men bedra er inte; målet är att stärka integriteten, inte nedmontera den ytterligare!
Det har knappast gått någon förbi att det under några år nu rasar in nya eller nygamla regleringar gäller olika aspekter av informationssäkerhet: dataskyddsförordningen, lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet), ny säkerhetsskyddslag och sedan litet civilt försvar på det.
Samtliga av ovanstående regleringar ”drabbar” primärkommunerna.
En egenhet för primärkommunerna generellt är att kravbördan inom alla områden drabbar samtliga kommuner lika hårt oavsett om de har 4000 invånare eller 900 000.
Detsamma gäller för ovan nämnda nya lagar.
Kommunerna har den, vid sidan om sjukvården, mest komplexa kravbilden på informationssäkerhet i samhället redan från början i kombination med att flertalet av små och medelstora kommuner alltför ofta helt eller delvis saknar den kompetens som behövs för att hantera situationen.
För att uppnå målbilden; ett säkrare Sverige, behöver de ansvariga myndigheterna därmed anstränga sig till det yttersta för att ge ett stöd som fungerar till kommunerna.
Att inta en hållning av typen ”det är deras eget ansvar” är helt meningslöst och kontraproduktivt eftersom det objektivt sett saknas förutsättningar för att de skulle kunna lyckas med det.
Ytterligare en aktör i detta är SKL som under senare påtagit sig ett allt större operativt ansvar i frågor bland annat av denna typ.
Nu är det alltså litet upp till bevis-läge.
Jag ska därför göra en liten kontrollrunda för att se vilken information och stöd Söpple kommun kan räkna med när det gäller NIS och därefter göra en sequel om säkerhetsskyddslagen.
Först en kort bakgrund.
NIS-direktivet antogs av Europaparlamentet 2016 och den svenska lag som följden av detta, lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, trädde med tillhörande förordning i kraft 1 augusti 2018.
Målsättningen med direktivet och följaktligen med lagen är att hög gemensam nivå på säkerhet i nätverk och informationssystem.
Lagstiftningen är inriktad på de nätverk och informationssystem som stödjer samhällsviktiga tjänster i sju sektorer (energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten, digital infrastruktur) samt i digitala tjänster.
Det är inte i en begreppsvärld klar som ett vårregn vi rör oss i här vilket gör att jag hänvisar den intresserade till definitionerna i lag och förordning för att själv bilda sig en uppfattning om den exakta betydelsen i begreppen.
Viktig avgränsning är att lagen inte gäller för verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen.
Däremot gäller den för både offentlig och privat verksamhet.
För att uppnå bättre säkerhet är de främst två krav lagen riktar in sig på.
För det första ska leverantörerna av samhällsviktiga tjänster bedriva einklusive riskanalyser och incidenthantering.
Av någon anledning betonas det särskilt att man också ska vidta åtgärder för att reducera de risker man upptäcker(!).
Man skulle kunna tycka att det är en ganska självklar del i emen lagstiftaren känner ändå att detta måste påpekas.
För det andra är det universalmedlet incidentrapportering som jag i förtroende vill meddela att jag tror är tecknet på att det offentliga säkerhetsarbetet har fastnat i en NPM-fälla.
Det vill säga att tvinga ett antal decentraliserade verksamheter att rapportera in uppgifter som man inte sedan vet vad man ska göra med.
Lagen innehåller också nyheten att leverantörerna av samhällsviktiga och digitala tjänster ska tillsynas vilket i sin tur bygger på att de som lagen berör själva ska anmäla sig till tillsynsmyndigheten.
Om så inte sker, om man inte vidtar korrekta säkerhetsåtgärder eller inte rapporterar incidenter kan en sanktionsavgift tas ut av tillsynsmyndigheten.
Efter dataskyddsförordningen kan ordet ”sanktionsavgift” väcka viss panik men i lagen om informationssäkerhet för samhällsviktiga och digitala tjänster sägs En sanktionsavgift ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor.
10 miljoner kan ju vara skrämmande för en liten kommun men för en större organisation kan det som en summa värd att gambla med.
Vad som är skrämmande är att det inte är en tillsynsmyndighet utan sex förutom MSB: Sammanfattningsvis är min bedömning att det är minst lika omfattande krav som ställs i den här lagen som i dataskyddsförordningen.
Att bedriva ett systematiskt och riskbaseratär en mycket komplex uppgift som de statliga myndigheterna inte lyckas leva upp på något särskilt övertygande sätt trots att kravet funnits i föreskrift i snart ett decennium.
Nu vidgas kretsen som skulle uppfylla den målbilden till även kommuner och landsting vilkas möjlighet att realisera den är långt, långt sämre än de statliga myndigheternas.
Och så till ett stort antal företag som kommer att ta in kravet i sin affärsplanering och vara extremt intresserade av att förstå exakt vad som krävs eftersom säkerhet kostar.
Missförstå mig rätt.
Jag är den första att hävda nödvändigheten av att bedriva eoch då särskilt i kommuner och landsting.
Hur starkt jag än uttrycker den övertygelsen framstår det som ett understatement.
Men för att uppnå detta måste man förstå förutsättningarna.
Jag ska därför här göra ett litet tankeexperiment för att försöka förstå hur den nya lagstiftningen landar i en medelstor kommun som vi kan kalla Söpple kommun.
En första observation är när vi tittar på de obligatoriska uppgifterna för en kommun är att Söpple kommun kommer att få fem tillsynsmyndigheter: Energimyndigheten eftersom man har ett kommunalt elbolag, Transportstyrelsen eftersom man har kommunal kollektivtrafik, IVO eftersom man bedriver hälso- och sjukvård bland annat inom äldrevården, Livsmedelsverket eftersom man producerar och levererar dricksvatten och PTS eftersom man har ett stadsnät (jag har inte här gjort någon skillnad på om det är kommunala bolag).
Söpple kommun måste alltså vara beredda på att dessa fem olika myndigheter kan komma på tillsynsbesök.
Vilka förutsättningar har då Söpple kommun som med sina 24 000 invånare kan sägas vara en normalstor kommun.
I kommunen finns ingen informationssäkerhetsansvarig utan frågan ligger under it vilket också är normalt men olyckligt.
Man har påbörjat en sondering med två grannkommuner för att gemensamt kunna inrätta en tjänst som informationssäkerhetssamordnare vilket suttit hårt åt eftersom varje utgift ställs mot personal i äldreomsorgen.
Tyvärr har man redan insett att även om man lyckas få beslut om medel för en sådan tjänst kommer det att bli extremt svårt att hitta en sökande som både har kompetens och är villig att flytta till Söpple.
Sannolikheten för att hitta någon i kommunen är mycket låg, det finns inga utbildningar för att snabbt utbilda en redan anställd och de som finns på marknaden kan definitivt få bättre betalt än i kommunal verksamhet.
Jag vill bara här återigen understryka att informationssäkerhet i en kommun är på en svårighetsgrad som få informationssäkerhetsansvariga i statlig verksamhet någonsin råkar ut för så är det någonstans kompetens verkligen behövs så är det i kommunerna.
Både tjänstemannaledningen och den politiska ledningen i Söpple kommun är yrvakna.
De har inte hört talas om något NIS-direktiv och har precis tagits sig igenom pärsen med dataskyddsförordningen.
Min hypotes om okunskapen i Söpple bygger jag på att det är just det förhållande som jag stött på när jag varit i kontakt med ett stort antal kommunala företrädare.
För att göra en bedömning om varför beredskapen inför NIS är så låg så gjorde jag i förra veckan en rundvandring på MSB:s och de övriga tillsynsmyndigheternas samt SKL:s webbplatser för att se vilken information som fanns om NIS där.
På MSB:s webbplats finns en sida med undersidor som i huvudsak bygger på vad som står i lag, förordning och MSB:s . Hur olika aktörer ska göra för att de ska kunna klara en tillsyn står det däremot mycket litet om, där hänvisar man till det så kallade Metodstödet som på en tämligen abstrakt nivå går igenom olika aktiviteter som kan ingå i ett systematiskt säkerhetsarbete.
Vällovligt men inte särskilt användbart för en kommun med de mycket konkreta frågor som måste lösas i detta sammanhang – bara en sådan sak som att hantera nämndorganisationen… Ytterligare en komplikation är att man tungt lutar sig mot en standard som inte är fritt tillgänglig, något som kan bli mycket besvärligt när tillsynsaktiviteterna sätter igång.
Det går liksom inte att kräva att varje organisation som ska tillsynas måste köpa standarderna för att veta vad de är tvungna att göra.
Skyldigheterna måste framgå av föreskriften och vara möjliga att granska även i ett offentlighetsperspektiv.
Övriga tillsynsmyndigheter har inte heller de såvitt jag kan se ingen information riktad till kommunerna specifikt.
I vissa fall tycker jag dock att den generella information de erbjuder är överlägsen den som finns på MSB:s webbplats som Energimyndighetens frågor och svar som ger rediga besked i en del kniviga .
Mest sparsmakad är kanske IVO som egentligen bara konstaterar att man är Inte heller SKL erbjuder sina uppdragsgivare något överflöd av information i . Webbplatserna gav alltså inte något bra stöd för Söpple kommun att ta tag i frågan men det är kanske inte den vägen som är den primära för att sprida information till kommunerna – för att börja söka där måste man ju först veta att det finns ett NIS-direktiv.
Jag skickade därför ett mail till MSB.
PTS, Livsmedelsverket, Energimyndigheten, IVO och Transportstyrelsen med följande lydelse: Hej!
Jag skulle vilja ta del av information angående lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet) som x (d.v.s.
den aktuella myndigheten) skickat direkt till kommuner.
Samma meddelande lade jag in i frågelåda på SKL:s webbplats och jag kan redan nu avslöja att jag inte fått något svar på detta.
När det gäller myndigheterna kan man sammanfattningsvis säga att det endast är MSB som skickat ut någon information direkt till kommunerna och då inte till kommunerna specifikt eftersom det handlar om missiven till föreskrifterna när de gått ut på remiss.
Detta skedde sista augusti.
MSB har deltagit i en träff i nätverketkommuner (KIS) och har en frågelåda på webbplatsen där man kan skicka in mail.
Dessa frågor är dock inte ännu synliga för någon annan än den som skickat frågan.
Livsmedelsverket har tagit fram en broschyr som man delat ut på en konferens om dricksvatten.
I övrigt säger sig tillsynsmyndigheterna invänta att MSB ska samordna dem.
Så här fyra månader efter att lagen trätt i kraft är det svårt att inte jämföra med hur vi blev fullständigt översköljda från olika håll med information om dataskyddsförordningen.
Datainspektionen måste faktiskt få en eloge för att man redan ett par år innan det äntligen blev 25 maj 2018 byggde upp informationskanaler både IRL och på sin webbplats.
Jag kommer med särskild glädje ihåg en realtidschatt för kanske två år sedan då det gick att ställa alla möjliga frågor till myndighetens kunniga jurister.
För aktiva personuppgiftsansvariga har det varit fullt möjligt att planera och bygga upp de nödvändiga funktionerna i sin organisation.
Att det sedan inte alltid blivit så är en annan fråga.
Att Datainspektionen bedrivit ett aktivt informationsarbete i god tid innan dataskyddsförordningen blev verklighet gör att de tillsyner man raskt kommit igång med känns rimliga.
Samma sak kan inte sägas i fallet med NIS-direktivet som trots att det varit känt på central nivå i flera år inte alls åtföljts av samma förberedelser.
Utifrån vad jag hittills sett kan mycket väl frågan fortfarande vara helt okänd i Söpple kommun men även hos andra både offentliga och privata aktörer.
Nu verkar ju inte tillsynsmyndigheterna kommit igång än vilket måste vara lika bra sett till det rådande läget när det gäller information och stöd.
Meningen med tillsyn är inte att skapa ett blame game och inte heller innebär tillsyn i sig några förbättringar om det inte tydligt framgår vad som ska göras (jag hävdar detta med viss emfas efter att ha jobbat med tillsyn ett antal år).
Tyvärr tycker jag mig spåra en omedveten trend inom både säkerhet och digitalisering att information från myndigheter främst sker muntligt på konferenser m.m.
Förutom den otydlighet och det breda tolkningsutrymme som övergivandet av skriftlig information innebär gör det att informationen inte når utanför de invigdas krets.
Det är inte heller möjligt att fördjupa sig, gå tillbaka, sprida vidare och att ha kontroll över att det är korrekt information som förmedlas.
Nu när olika lagstiftningar dessutom ska samexistera i en mängd organisationer krävs betydligt djupare resonemang än de som kan förmedlas via en power point-presentation.
För att göra en u-sväng i mitt argumenterande kanske det finns fördelar med att det ännu spridits information och stöd gällande lagen om informationssäkerhet för samhällsviktiga och digitala tjänster.
Nu kanske det finns möjlighet att ta ett nationellt ansvar och samordna de olika regleringarna så att inte varje kommun behöver sitta och försöka få ihop olika lagstiftningar och hur de ska uttolkas för den egna verksamheten?
Låt oss hoppas det.
För att de här nya regleringarna dels ska få genomslag, dels leda till säkerhetshöjande effekter krävs mycket tydlig information om som ska göras till som ska göra något samt stöd för det ska göras, d.v.s.
Dessutom, snälla, behövs samordning så att det blir en enhetlig kravbild.
Utan starkt stöd, gemensam prioritering och samordning kommer Söpple kommun vare sig att klara NIS-direktivet eller säkerhetsskyddslagen.
För kommuner som Söpple där egen kompetens i hög grad saknas tror jag att vi måste tänka mycket mer i fasta skyddsnivåer och ett mycket välutvecklat centralt stöd för att det inte bara ska bli både dålig säkerhet och dålig stämning.Men vem är det då som ska ta ansvar för helheten?
Kanske behövs det rent av en ny informationssäkerhetsutredning som utgår från verklighetens utförare av informationssäkerhet och vad de behöver för att klara uppgiften?
Jag tror helt enkelt vi har råd att leva i en drömvärld där olika aktörer oberoende av varandra pekar på vad de vill ha men ingen talar om för Söpple kommun få ihop det i den egna verksamheten.
Förtydligande: jag har efter jag publicerade detta fått ett påpekande att kommunens stadsnät sannolikt inte faller under NIS men däremot under lagen om elektronisk kommunikation (LEK) som har likartade krav som NIS.
Effekten för Söpple kommun blir alltså ungefär densamma i slutändan.
Den minnesgode kommer ihåg att jag tyckte det saknades några frågor vid den öppna utfrågningen i riksdagens försvarsutskott om cybersäkerhet för ett par veckor sedan.
För att inte bara planlöst gnälla ska jag formulera några av de frågor jag själv skulle ställt i rollen som en hyfsat insatt folkvald ledamot i försvarsutskottet.
Rollen kräver ju en något mer nobel approach än den som småaktig bloggare.
Jag kommer därför naturligtvis inte att ställa tråkiga frågor som vad cybersäkerhet betyder eller vad det är för värden på axlarna på MSB:s bild över utvecklingen av digitalisering respektive cybersäkerhet även om jag grubblat över detta sedan jag såg den.
Jag ska heller inte göra banala zingers av typen ”här ser vi hur man försöker lösa morgondagens frågor med gårdagens lösningar.”.
Istället kommer jag att försöka ställa fem övergripande frågor som jag menar är av betydelse för samhället och inte bara för samhällets säkerhet.
– Herr ordförande, vi har nu fått en genomgång av ett statsråd och fyra myndighetsföreträdare.
Tyvärr kan inte genomgången ha lett till en bra helhetsbild av frågan.
Varje myndighetsrepresentant har presenterat sin myndighets perspektiv på ett sätt som får åhöraren att känna sig som på toppen av ett utsiktstorn där det bara är möjligt att beskåda utsikten genom fyra fastlåsta och begränsade kikare.
Själva vyn är osynlig genom dessa tunnlade perspektiv.
När vi som folkvalda får en presentation där cyberförsvar, säkerhetsskydd, samhällsviktig verksamhet, och den vardagliga informationssäkerheten presenterade som helt separerade spår är det lätt att förstå den vanmakt som många aktörer som förväntas göra något i praktiken känner.
I NISU-utredningen 2015 var det första åtgärdsförslaget för att förbättra informationssäkerheten att utveckla en nationell styrmodell för informationssäkerhet: En nationell styrmodell för informationssäkerhet består av ett antal komponenter som måste utvecklas och förvaltas över tid.
En del är ett sammanhållande regelverk som innehåller olika nivåer av reglering under föreskriftsnivån, det vill säga en regelhierarki som motsvarar ett ledningssystem inom en organisation.
Förutom de resurser som krävs för att utveckla och förvalta styrmodellen krävs en lösning för anslutning och efterlevnadskontroll som löpande samordnas med andra intressenter.
I detta ligger också omfattande utbildningsinsatser.
I styrmodellen är informationsklassning den mest omfattande aktiviteten som går från processorienterad informationskartläggning via själva klassningsmomentet till utvecklade gemensamma skyddsnivåer.
För att skyddsnivåerna ska kunna fylla sin funktion krävs omfattande insatser av både egen och extern kompetens inom områdena administrativ, fysisk och it-inriktad säkerhet.
Slutligen förutsätter en nationell styrmodell en väl utvecklad kunskapsstyrning.
Kunskap kan i detta sammanhang röra sig om kunskap om metoder men i ännu högre grad om att kunna ge ett vederhäftigt underlag för en styrning utifrån risk.
Det innebär att kunna förmedla en uppdaterad riskbild och att samtidigt kunna förmedla stöd för riskreducerande åtgärder.
Behovet av en nationell styrmodell förefaller större än någonsin, inte minst sett i perspektivet av att försöka samordna digitalisering och säkerhet.
Min fråga till statsrådet är därför var detta förslag hamnat.
En följdfråga till myndighetsföreträdarna är om det är omöjligt att utan ett formellt uppdrag från regeringen börja samarbeta på ett sätt som leder till konkreta samordnade stöd för – Herr ordförande, två konkreta frågor angående molntjänster.
I efterdyningarna av skandalen vid Transportstyrelsen har molntjänster blivit en huvudfråga för regeringen när det gäller säkerhet.
Samtidigt vet vi att molntjänster redan används i stor omfattning av svenska myndigheter, kommuner och regioner/landsting, att de ger effektiva lösningar och i många fall bättre säkerhet än om verksamheterna själva skulle drifta och förvalta i egen miljö.
Många av de tjänster som idag finns även som applikationer för egen förvaltning kommer snart enbart att finnas som molntjänster.
Samtidigt är det svårt för Söpple kommun att ställa krav på Microsoft och Google angående säkerhet och integritetsskydd.
En lösning som skulle kunna ge både bättre säkerhet och nödvändig effektivitet var om svenska staten på samma sätt som den tyska sluter ett gemensamt avtal med några av de stora jättarna.
Jag förstår problematiken när det gäller konkurrensfrågor m.m.
men vill ändå ställa frågan om detta är något regeringen överväger eller om varje kommun och myndighet även fortsättningsvis ska försöka lista ut om det är juridiskt korrekt att använda Office 365 samt ta fram sina egna avtal.
Jag skulle också vilja fråga om den ändring som redan skett, nämligen att SÄPO och Försvarsmakten tilldelats en vetorätt när det gäller utkontraktering av information från säkerhetskänslig verksamhet.
Detta ställer ju ansvarsprincipen på ända och jag funderar i detta sammanhang om regeringen ser framför sig även andra förändringar i denna grundpelare i svensk förvaltning.
Vem tar ansvar för verksamheten i det här fallet – SÄPO eller verksamhetsledningen?
-Herr ordförande, under dagens presentationer är det lätt att få föreställningen att säkerhet är ett enkelt och entydigt begrepp samt att säkerhetsåtgärder alltid är obestridligt ”goda”.
Den som ägnat minsta tanke åt detta och kanske dessutom kanske ändå studerat lite samhällsvetenskap, historia eller filosofi vet naturligtvis att så inte är fallet.
Säkerhet existerat alltid i en relation till andra värden.
En supersäker lösning som skulle förhindra alla brott vore att låsa in alla medborgare och slänga bort nyckeln för att dra frågan över det löjligas gräns.
Samtidigt måste jag som folkvald naturligtvis beakta de olika intressen som finns i samhället och som delvis står i konflikt med ”säkerhet”.
För mig framstår det som det finns tre värden som ständigt kommer i konflikt med den renodlade säkerheten; effektivitet, demokrati och individens integritet.
I digitaliseringssträvandena ligger önskan om effektivitet.
Demokrati i den form vi känner den är ett centralt element insyn och delaktighet.
Övervakning är per se en inskränkning i integritet.
Jag hörde ingen av talarna ta upp dessa konflikter och ställer därför frågan om myndighetsföreträdarna ser det som liggande utanför sitt uppdrag att även ta hänsyn till denna typ av aspekter.
Det är i så fall viktigt att veta eftersom utgångspunkten då måste vara att myndigheterna agerar som ”säkerhetsnördar” och de övriga perspektiven måste tillföras från annat håll innan beslut tas i viktiga frågor.
– Herr ordförande, jag tror vi alla är överens om att det finns ett stort behov av att utveckla informationssäkerheten i Sverige.
En absolut vital förutsättning för att kunna göra det är att det finns tillgänglig kunskap och kompetens på olika nivåer.
Min bedömning är att detta behov är skriande idag alltifrån den vetenskapliga nivån till att det saknas tusentals informationssäkerhetsansvariga företag, kommuner, landsting och myndigheter.
Detta leder till att vi inte vet vad vi ska göra för att faktiskt vara effektiva och att det saknas operativ förmåga att bedriva det säkerhetsarbete som åläggs olika aktörer.
Situationen kommer knappast att förbättras av sig själv eftersom det idag endast finns en handfull utbildningsplatser per år för att utbilda kompetenta informationssäkerhetsansvariga.
Många av de som idag är informationssäkerhetsansvariga (eller kallar sig certifierade och informationssäkerhetsexperter) saknar helt utbildning inom området.
Fortbildningsbehovet är därför oerhört stort.
Ytterligare en aspekt är att kunskapsuppbyggnad bygger på ett kritiskt tänkande och en öppen dialog.
Ett intryck från säkerhetsområdet är att det ofta präglas av en tystnadskultur och en anti-intellektualism.
Detta bygger, tror jag, på tradition, på att det saknas arenor för ett intellektuellt utbyte i säkerhetsfrågor och på att en osäker profession sluter sig inom sig själv i kotterier.
För att komma vidare och hitta den goda säkerhetskulturen som skapar kunskap och insikt även på den nationella nivån krävs insatser även från myndigheterna.
Min fråga är hur det stora kunskaps- och kompetensbehovet ska tillgodoses och hur myndigheterna kan verka för en god säkerhetskultur med kritiskt tänkande även i de nationella sammanhangen.
– Herr ordförande, en sista fråga.
I de presentationer vi tagit del av lyfts diverse försumligheter och bristande medvetande hos samhällets aktörer fram.
Däremot sägs mycket litet om och i så fall hur myndigheterna med särskilt ansvar för säkerhet bedriver en systematisk utvärdering av sina egna insatser.
Utvärdering är ju en grundläggande aktivitet i ett systematiskt arbetssätt och det finns därför anledning att anta att denna kvalitetshöjande mekanism måste vara inbyggd i myndigheternas verksamhet.
Detta framgår dock inte i de årsredovisningar jag tagit del av och inte heller i dagens presentationer.
Därför skulle jag vilja ställa frågan om den bristande säkerheten alltid är någon annans fel eller om det är möjligt att myndigheterna sett anledning att även förbättra sina egna insatser?

Har den här åtgärden en säkerhetshöjande effekt som står i paritet med den kostnad och krångel som den orsakar verksamheten?
Är den här åtgärden verkligen avpassad till och tar hänsyn till verksamhetens egentliga behov av säkerhet?
Indirekt: vet jag som vill lansera den tillräckligt mycket om verksamhetens behov för att kunna avgöra det?
Kommer den här åtgärden verkligen att fungera i praktiken eller är den en ren pappersprodukt?
Och kommer den även att fungera över tid, t.ex.
när konsulten lämnat skeppet?
Finns det verkligen inte ett effektivare sätt att reducera risken till en acceptabel nivå?
Inför ett moratorium inom vård-it och inför inte några nya lösningar som inte är absolut nödvändiga.
Gör en heltäckande genomgång av säkerhetsbristerna inom den svenska vård-it.
Stärk Socialstyrelsens roll i förhållande till sjukvårdshuvudmän vårdgivare när det gäller vårdens informationshantering.
Detta bör även gälla myndigheter som främst ska leverera e-tjänster som E-hälsomyndigheten.
Utred hur ansvarsförhållandena för informationshanteringen i vården ser ut och hur de borde se ut.
En central fråga är det reella ansvarsutkrävandet.
Säkerställ att även det långsiktiga behovet av vårdinformationen beaktas, både den enskilda patientens behov och samhällets behov av informationen för forskningsändamål.
Ta fram en strategi och en arkitektur för den nationella nivån som inte bara är fluff.
Ta fram en gemensam styrmodellvården och låt den förvaltas av myndigheter – inte av intresseorganisationer eller utförare i första hand.
Skapa ett ackrediteringssystem för anslutning till den nationella arkitekturen.
Skapa verktyg för systematisk uppföljning av informationssäkerheten inom vård-it och lita inte på att tillsyn av enskilda organisationer skapar säkerhet.
Utveckla utbildningar för de somen i vården.
Utveckla ett forskningsprogram för informationssäkerhetsstyrning i miljöer med multilaterala ansvarsförhållanden.

bred vad hur.
hur om vad de hur

Meny MSB Inläggsnavigering

MENU MENU Postat av MSB fick den 19 september 2019 i uppdrag av regeringen att ta fram en struktur för uppföljning av det systematiskat i den offentliga förvaltningen.
Uppföljningsstrukturen ska syfta till att aktörer i offentlig förvaltning regelbundet ska erbjud as att medverka i uppföljningen och få återkoppling som omfattar en bedömning om vilken nivå derasbefinner sig på samt förslag på åtgärder som bör vidtas för att uppnå en högre nivå påt.
Uppföljnings strukturen ska även syfta till att MSB regelbundet ger regeringen en samlad bedömning om nivån på det systematiskat i den offentliga förvaltningen.
Postad i , , , , Tagged , , , , Postat av → Postad i , , , , , , , Tagged , , , , , , , Postat av Rekommendationerna hänvisar inte till några allmänna standard er eller Postad i , , , Tagged , , , , , , , Postat av Postad i , , , Tagged , , , , , , , Postat av Postad i , , , Tagged , , Postat av Postad i , , , , , Tagged , , , Postat av Säker och samordnad it-drift Försäkringskassan har påbörjat anslutning av sex myndigheter inom regeringsuppdraget att er- bjuda samordnad och säker statlig it-drift (Fi2017/03257/DF).
Intresset är stort och flera statliga myndigheter har inlett dialog med Försäkringskassan med avsikt att ansluta sin it- drift.
Postad i , , , , , Tagged , , Postat av Postad i , , , , , Tagged , , , , , , Postat av Postad i , , , , Tagged , , , , , Postat av Postad i , , , , , Tagged , , , , , , ← Sök efter:

Statlig förvaltningspolitik för 2020-talet

Efter långt om länge släppte nu äntligen Datainspektionen (snart Integritetsskyddsmyndigheten) sina av åtta vårdgivare.
Även om jag var väl förberedd på innehållet så är det en chockerande dyster läsning när den fulla konsekvensen av vad jag redan visste blev förtydligad på detta sätt.
Låt mig först understryka att det Datainspektionen ställer krav på inte är några nya krav för vården utan de har funnits sedan länge bland annat i Socialstyrelsens och i PuL.
De brister som framkommer i granskningar har inte heller de nyhetens behag utan är de samma som i de granskningar av vården som Socialstyrelsen respektive Datainspektionen gjorde typ 2012.
Det är alltså inte så att vårdgivarna är tagna på sängen med helt ny rafflande krav utan det är väl kända försummelser som regioner och vårdgivare medvetet underlåtit att rätta till.
Egentligen räcker det att läsa följande stycke i granskningen gällande Capio S:t Görans Sjukhus AB för att se vidden av hur undermålig säkerheten och skyddet för integriteten är: Ytterligare försvårande omständigheter är att behandlingen av uppgifter om patienter i huvudjournalsystemet hör till kärnan i en vårdgivares verksamhet, att behandlingen omfattar många patienter och möjligheten till åtkomst avser en stor andel av de anställda.
Inom ramen för den inre sekretessen har mer än 2700 medarbetare åtkomst till uppgifter som rör närmare 490 000 patienter.
Utöver det har mer än 600 medarbetare, inom ramen för den sammanhållna journalföringen, åtkomstmöjligheten till uppgifter rörande cirka 3 patienter i TakeCare.
För att strö ytterligare salt i såret kan man läsa om Aleris sjukvård AB: Aleris har ett dokument som benämns ”Behovs-och riskanalys-TakeCare”.
Dokumentet har sett ut som det gör idag sedan den 28 maj 2012 då Take Care infördes och gäller både för den inre sekretessen och inom ramen för den sammanhållna journalföringen.
Av dokumentet framgår de olika profilerna, så kallade behörighetsgrupper.
Dokumentet visar bland annat läsrättigheterna samt skrivrättigheterna för respektive behörighetsgrupp.
Alla profiler förutom tekniker har tilldelats läsbehörighet till uppgifterna i TakeCare.
Då ska noteras att man hade 796 350 unika patienter i maj 2019 och 1058 aktiva användarkonton av vilket det absoluta flertalet alltså har läsrättigheter till samtliga patienter oavsett om de har en vårdrelation eller inte.
Att Aleris slänger fram en oförändrad riskanalys från 2012 säger nog det mesta om nivån på säkerhetsarbetet liksom när Capio hävdar att de visst har en behov- och riskanalys men att den av okänd anledning är borttappad.
Capio St Göran fick 30 miljoner i sanktionsavgift och Aleris Sjukvårds AB 15 miljoner (plus ytterligare 12 miljoner från sitt andra bolag Aleris Närsjukvård AB) men de är långt ifrån unika.
Bristerna hos övriga granskade vårdgivare (granskningen av Kry ännu ej beslutad) bekräftar det vi redan vet bland annat från tidigare granskningar.
Säkerheten i den svenska sjukvården är helt undermålig och det gäller inte bara vad gäller integritetsrelaterade frågor som de Datainspektionen granskat utan generellt.
Jag har begärt en större del av underlagen från Datainspektionens granskningar och ska fördjupa mig ytterligare i dem.
I detta blogginlägg ska jag ta upp några fenomen som aktualiseras i de granskningsfynd som presenteras i de offentliggjorda rapporterna.
Utgångspunkten är att den usla säkerhet som indikeras genom granskningarna är en följdriktig konsekvens av ett konsekvent förhållningssätt till integritet och säkerhet i vården från olika aktörer.
För att förstå hur samtliga granskade vårdgivare (Kry inte inräknade än så länge) så flagrant bryter mot lagstiftningen måsta man känna till att lagtrots när det gäller integritet och säkerhet i digitala lösningar är normen i den svenska vården – inte undantaget.
Att endast medarbetare med vårdrelation eller något annat mycket tydligt definierat skäl ska ha åtkomst till patientuppgifter är ett krav som har kommit med dataskyddsförordningen utan har funnits i princip sedan journalerna övergick från att vara räkenskapsmaterial till att vara vårddokumentation.
Vi rör oss alltså någonstans i början av förra seklet (hur gärna skulle jag inte vilja gå in på detaljerna i denna historia men inser att alla kan inte vara totala journalnördar – skulle någon vilja veta mer så får ni skicka ett mail).
På den tiden pappersjournalerna gällde fanns de inlåsta i journalarkiv med strikta regler för vem som fick ta del av dem.
Det kan sägas att ha rått en minimalistisk åtkomstprincip innan begreppet var uppfunnet.
Återkommande klagomål fanns på att det var för många som ändå kunde slinka in och läsa det de inte fick men möjligheten får ändå säga vara mikroskopisk jämfört med det som skildras i de aktuella granskningsrapporterna.
När de tidiga journalsystemen introducerades på slutet av 1980-talet hade de inte funktionalitet för en effektiv behörighetsstyrning på individ- och rollnivå vilket var ett första steg på färden mot dagens situation.
Istället för att tvinga leverantörerna tillbaka till ritbordet för att konstruera system som följde lagstiftningen började man (med ”man” avses i det följande den grupp av leverantörer, it-chefer, byråkrater, politiker och andra makthavare inom vården som ansvarat för digitaliseringen) tänja på normerna och hävda att det gick lika bra att styra med logguppföljning som med behörigheter.
Istället för att organisatoriskt och tekniskt begränsa åtkomsten hävdade man att logguppföljning var en jämförbar säkerhetsåtgärd (!).
Denna för svensk sjukvård unika bedömning var ett fatalt vägval ligger bakom en stor del av de säkerhetsproblem som finns i vården idag.
De negativa konsekvenserna begränsas inte enbart till att det på dryga tjugo år utvecklats de organisatoriska och tekniska lösningar som är nödvändiga för följa lagen och ha ens ett basalt skydd för patientuppgifterna.
Det har även lett till att man för att motivera det stora felsteget gjort dygd av nödvändigheten genom att hävda att ALLA inom sjukvården behöver tillgång till ALLA patientuppgifter hela tiden – allt annat vore en risk för patientsäkerheten.
I målande ordalag beskrevs hur nödvändig patientinformation inte skulle finnas tillgänglig för vårdpersonalen vid behandlingar olika slag vilket skrämde upp en hel del läkare och sköterskor som därmed köpte den konstruerade motsättningen mellan patientsäkerhet och integritet.
Det ledde till en ond spiral där krav på korrekt behörighetshanteringen inte ens ställts vid upphandlingar och stora utvecklingsprojekt trots att lagstiftningen är tydlig på denna punkt vilket i sin tur knappast motiverat leverantörer av vårdinformationssystem att utveckla sådan funktionalitet.
Det är därför en särskild glädje att Datainspektionen i granskningen av Capio S:t Göran slår fast att loggning kan ersätta att begränsa åtkomst via behörighetshantering: Capio S:t Görans anger att de använder systematisk logguppföljning för att reducera risken för att medarbetare otillbörligen tar del av patientuppgifter.
Datainspektionen konstaterar att patientdatalagen inte lämnar något utrymme förvårdgivare att kompensera frånvaron av behovs-och riskanalys, eller en allt för bred tilldelning av behörighet tillåtkomst, med en omfattande logguppföljning.
Inte heller fiktiva åtkomsthinder som ”journalfilter” eller ”aktiva val” godkänns av Datainspektionen som tillräckligt för att begränsa åtkomsten vilket kan vara en bra tumregel att ha med sig in framtida projekt.
Det känns också bra att Datainspektionen drar undan mattan för det i digitala sammanhanget urgamla svepskälet för att ha lagstridig hantering av personuppgifter, nämligen att hävda att man har en akutverksamhet.
Ytterligare en konsekvens är att den lättsinniga hållningen till lagstiftning sedan dess blivit en tradition inom vård-it.
Ett aktuellt exempel är när Region Skåne först beslutat att medvetet gå emot bättre vetande och upphandla en som går emot dataskyddslagstiftningen och sedan i sista minuten sig.
Hur mycket denna utsvävning kostat i pengar och förlorad tid är oklart.
Argumentationsfelen för att använda exempelvis molntjänster är desamma som medvetet praktiserats under par decennier i vården: ”ja men det blir ju bättre än det vi har” och så bygger man fast sig i bristfällig lösning som det tar åratal att ta sig ur istället för att ställa rätt säkerhetskrav från början och se till att de levereras.
Själv kan jag inte räkna alla gånger som jag, när jag påpekat brister i tänkta lösningar, fått kommentarer som ”ja men det är ju bättre än det som finns idag”, d.v.s.
att legitimera kända risker i nya lösningar med den falska jämförelsen med dagsläget.
Detta är ytterligare en väsentlig bakgrund till dagens situation och som bygger på samma knäppa riskhantering som är den andra återkommande bristen i Datainspektionens aktuella granskningar, nämligen risk- och sårbarhetsanalyser där vårdgivarna återkommande endast analyserar och inte risker.
För en sansad människa framstår det kanske som obegripligt varför man över huvud taget bryr sig om att göra riskanalyser om man inte är intresserad av att identifiera och reducera risker.
Jag ser det mer som en del i den svenska digitaliseringskulturen där det inte får finnas problem utan vi ständigt är glittrande glada.
Och har vi inte identifierat några risker så behöver vi ju inte några säkerhetsåtgärder och då är ”utmaningen” (inte problemet) obefintlig.
Tydliga ansvarsförhållanden är grunden för all fungerande säkerhet.
Saknas denna förutsättningen kommer säkerheten oundvikligen att bli lidande och det går inte heller att genomföra ett ansvarsutkrävande.
I den trassliga spaghettistruktur som är svensk vård-it blir detta synligt även i Datainspektionens granskningar.
En konstruktion som skulle behöva synas beskrivs i rapporten om Aleris Sjukvård AB: Federation Samverkan TakeCare (FSTC) är beställare av journalsystemet Take Care och Compu Group Medical (CGM) är leverantör av journalsystemet och ansvarar för de funktioner som systemet har för att styra behörigheter.
Alla funktioner i journalsystemet är skapade av CGM, men det är Aleris som väljer vilka funktioner som en viss personalkategori ska ha tillgång till bland de funktioner som finns inlagda.
Aleris har inga tekniska möjligheter att göra ändringar i Take Care eftersom Aleris inte har någon rådighet över journalsystemet.
Aleris är endast användare av systemet.
Aleris har inte kunnat ställa några krav på CGM vid upphandlingen av journalsystemet.
Bolaget har till exempel påpekat att det funnits problem med journalsystemet bestående i, så vitt avser behörighetstilldelningen, att systemet inte kan separera läs-och utskriftbehörigheter för en läsfunktion.
CGM har inte varit intresserade av att ändra detta trots synpunkter från Aleris.
Det är FSTC som kan beställa ändringar av funktionerna och det är sedan upp till CGM om de vill utföra ändringarna eller inte.
Aleris har en representant i FSTC som kan framföra Aleris önskemål.
Aleris har dock inte fått något gehör för bolagets synpunkter.
Här förefaller det alltså omöjligt för vårdgivaren som även är personuppgiftsansvarig att genomdriva sina säkerhetskrav eftersom en organisation utan formellt ansvar förhindrar det.
Om vi nu hypotetiskt litar blint på att Aleris verkligen ställt rätt säkerhetskrav är det alltså FSTC som drivs av Region Stockholm som inte bara förorsakat kränkningar av ett mycket stort antal patienters integritet utan också ”användarna” Aleris sanktionsavgifter.
Det borde finnas ett intresse åtminstone från ”användarna” att reda ut ansvarsförhållandena och skapa garantier för att man kan få påverkansmöjlighet på de gemensamma it-systemen så at de följer lagstiftningen även om regionen inte prioriterar den frågan.
Trots att det i övrigt finns en mycket god säkerhetskultur i vården har man alltså inte lyckats inympa informationssäkerhet i den.
Det huvudsakliga ansvaret för detta ligger naturligtvis hos regionerna som sjukvårdshuvudmän tillsammans med SKR som sedan mitten av 90-talet utlovat gemensamma regler för informationssäkerhet men hittills inte lyckats uppvisa något som ens liknar det.
Är det någonstans där Datainspektionen bör göra nästa granskning så är det hos SKR:s it-bolag Inera.
Detta är särskilt angeläget eftersom lösningar som NPÖ som tillhandahålls av Inera saknar adekvat behörighetshantering (se ovan) som inte bara drabbar den enskilde vårdgivare utan samtliga vårdgivare som använder.
En annan aktör som väcker viss tveksamhet är IVO vars granskningar hittills inte alls verkar ha genomförts på samma grundliga nivå som Datainspektionen.
Några granskade verksamheter hänvisar till granskningar som IVO gjort och som på något sätt skulle gett klartecken för den säkerhetsnivå som de nu ligger på.
Förhoppningsvis kan tillsynsansvaret i och med NIS-direktivet leda till att IVO utvecklar sina granskningsmetoder.
Jag tror att det är centralt att myndigheterna samverkar här och ser informationssäkerheten i ett helhetsperspektiv och förstår att det är en sammanhängande säkerhetsarkitektur där brister i ett hänseende skapar risker på flera olika sätt.
Det skulle även vara en fördel att ha gemensamma granskningsmetoder och kanske t.o.m.
genomföra granskningar tillsammans.
Många tillsynsmyndigheter kan lära sig mycket genom att studera med vilken noggrannhet och stringens Datainspektionens granskningar genomförts.
I rättvisans namn ska sägas att vården inte fått särskilt mycket hjälp från myndighetshåll att utveckla sin säkerhet.
Jag har tidigare om att MSB:s knytning till ISO 27000 och det metodstöd som utvecklats i denna anda knappast är till hjälp för vårdens infrastruktur och jag kan inte heller se andra satsningar som tagits fram för att stödja denna i sanning samhällsviktiga verksamhet.
Datainspektionens granskningar som endast rör ett par aspekter av säkerheten borde ge upphov till ett större samordnande projekt lett av myndigheter för att långsiktigt höja vården säkerhet eftersom detta är en fråga som regionerna med all önskvärd tydlighet visat att de inte klarar av.
En helt nödvändig insats är att tvinga regioners och SKR:s makthavare att erkänna att det finns ett mycket stort säkerhetsunderskott i vården och istället för att stoppa huvudet i ta sitt ansvar och börja bygga för framtiden.
1910 blev Karlstads lasarett det andra i Sverige som blev s.k.
delat lasarett (efter Falun).
Att ett lasarett blev delat betydde att det fanns både en medicinsk och en kirurgisk verksamhet.
I korthet var detta första steget på den snabba utveckling pådriven av en framgångsrik forskning där ögon, öron, ortopedi, röntgen, BB, barn, gynekologi o.s.v, o.s.v.
, blev egna specialiteter och subspecialiteter i ett allt finmaskigare nät.
Till detta kommer allmänmedicin och annan öppenvårdsverksamhet för att inte glömma psykiatrin i olika former.
Alla dessa med tiden hundratals olika kompetensområden måste organiseras i avdelningar, kliniker, mottagningar m.m.
för att få bästa möjliga vård för patienten till en för samhället rimlig kostnad.
Det räcker dock inte med att organisera vårdens olika verksamhet i förhållande till varandra utan vården måste styckevis och delt även passas in i samhällets generella styrning som i sin tur består av förvaltning respektive den politiska styrningen.
För Sveriges del har det i huvudsak inneburit inpassning i kommun, landsting/region och stat eftersom vården varit offentligt finansierad (även detta i huvudsak) sedan lång tid tillbaka.
Historiskt har vårdverksamheten i delar vandrat mellan huvudmännen.
Att allmänmedicin och psykiatri var ett statligt ansvar fram till 1960-talet och äldrevård en landstingsangelägenhet fram till ÄDEL-reformen då den överfördes till primärkommunerna är bara två exempel.
Vad jag vill säga med denna skamligt korta sammanfattning är att sjukvård är EXTREMT svårt att styra med en fullständigt oöverblickbar komplexitet i tre dimensioner: den interna styrningen av vårdarbetet och förvaltningsstyrningen samt den politiska styrningen.
Fram till 1970-talet var inriktningen för att hantera denna komplexitet bland annat att försöka skapa mer enhetliga huvudmannaskap vilket var en av orsakerna till att exempelvis allmänmedicin och psykiatri överfördes till landstingen från staten.
Denna trend avlöstes av den glada NPM-eran när styrningen av offentlig verksamhet fragmentiserades bland annat för att underlätta för privata alternativ.
Det var då äldreomsorgen och den social omsorgen fördes till den kommunala sektorn vilket bland annat har lett till bollandet av gamla multisjuka mellan två huvudmän – något vi sett de avskräckande konsekvenserna av nu efter covid-19.
Det är ett ganska väl beforskat hur organisatorisk komplexitet leder till det som slarvigt brukar kallas byråkrati men som jag hellre skulle benämna administration som inte är direkt kopplad till kärnverksamhetens uppgifter.
Ju större antal aktörer som ska förmås att röra sig i samma riktning eller åtminstone samspela, desto fler samordnade aktiviteter krävs för att hålla ihop helheten.
Det blir strategier, policies, planer, möten, kontroller och rapporteringar i olika riktningar.
Genom privatiseringen av offentlig verksamhet har dessutom ytterligare behov av upphandlingar, kravställningar, regelverk, beställningar och uppföljningar tillkommit.
Detta skapar kohorter av nya typer av administratörer, alltså inte den gamla typen som skötte budget, bokföring och löneutbetalningar.
Istället har kvalitetsutvecklare, upphandlingsspecialister, digitaliseringsstrateger, e-hälsosamordnare och (visst, jag kackar i eget bo) informationssäkerhetsansvariga tillkommit.
Och så naturligtvis kommunikatörer, kommunikatörer och åter kommunikatörer.
Utan jämförelser i övrigt kommer jag osökt att tänka på den här gamla klassiska bilden där jag föreställer mig vårdpersonalen dignar under hela lasset av administration upp till sjukvårdspolitiker och vårdbolagschefer.
Det är med detta i bakhuvudet jag läser i DN som drar en lans för förstatligande av sjukvården.
För mig framstår det som ett relevant förslag.
1962 gav de flesta landsting ut historiker över sina första hundra år.
Dessa historiker rymmer en fascinerande motsättning mellan beständighet och föränderlighet.
Landstingen hade funnits i respektingivande hundra år men vad ett landsting var och skulle syssla med hade ständigt förändrats under dessa är.
Vad detta lär oss är att hur samhällets basala funktioner ska organiseras ständigt måste omprövas för att institutionerna ska vara ändamålsenliga och anpassade till rådande behov.
Historiskt har detta skett kontinuerligt som jag snabbskissat ovan och det finns ingen anledning att tro att just den organisation av sjukvården har idag är den enda möjliga oavsett vad som händer i samhället i övrigt.
Själv hyser jag inte någon ohejdad tilltro till att ett förstatligande av sjukvården skulle lösa alla eller ens merparten av problem som vården har att leva med men i all enkelhet skulle åtminstone ett lager i pyramiden försvinna.
Förhoppningsvis skulle grundläggande mål som likvärdig vård vara enklare att uppnå.
En annan effekt är att den samordnade byråkratin internt mellan de idag 21 regioner skulle kunna plockas bort (även om den säkert delvis skulle komma tillbaka i en annan form).
Att inte bara DN utan även andra med viss energi börjar ifrågasätta regionernas roll väcker oro i regionsleden, inte minst hos särintressets främsta företrädare SKR vars ordförande Anders Knape som skrev ett kanske aningen sentimentalt på DN:s ledare.
Han, liksom regionala företrädare, lobbar ivrigt för att regionernas USP är den politiska styrningen av regionerna som hypotetiskt skulle göra sjukvården regionalt anpassad och därmed ”bättre”.
Med viss bombasm skriver Knape: den lokala och regionala nivåns omkring 40.000 förtroendevalda utifrån kunskap om invånarna lokalt och regionalt.
Deras kraft är oslagbar.
För den som något fördjupat sig i landstingens/regionernas historia väcker denna beskrivning antagligen skuggan av ett leende.
Inga sjukvårdsstrider har varit så infekterade som de enskilda landsting där sedan åtminstone 1920-talet omfattande manifestationer skett för att sjukstugor skulle placeras i ”rätt” samhälle eller rörande nedläggningar av sjukhus.
Knapes uttalande pekar snarare på en klassisk problemställning inom svensk sjukvård: den potentiella motsättningen mellan regional särart å ena sidan och likvärdighet nationellt å andra.
För mig framstår denna argumentationslinje också som alltmer paradoxal då SKR själva så intensivt försöker samla nationell styrning hos sig själva.
Som jag tidigare skrivit om har alltfler frågor börjat samordnas via SKR och därmed flyttats från den regionala nivån till en nationell.
Om SKR starkaste argument mot ett förstatligande är det demokratiska värde som finns i den regionala politiska styrningen verkar det ju vara att såga av sin egen viktigaste sittgren om makten förs från dessa demokratiska församlingar in i det mörker som föreningen SKR utgör.
Själv skulle jag alla dagar i veckan föredra en normal svensk myndighet framför SKR som nationellt samordnande.
Ibland dristar jag mig till och med till att tycka att det kanske är en demokratisk fördel om sjukvården lyfts bort från bypolitiken.
Knape har förstås en poäng när han lyfter fram mindre lyckade statliga experiment och då även inom digitaliseringsområdet.
Tyvärr måste jag dock säga att det är en boll som är svår att inte smasha tillbaka för den som strävar mot förstatligande av sjukvården.
INGEN fråga har engagerat SKR så mycket som digitalisering som lösning på all och jag misstänker att man har en gemensam morgonbön i SKR-palatset som går ungefär så här: Digitalisering, låt ditt namn bli helgat Låt ditt rike komma.
Ge oss i dag vårt dagliga bröd .
Och glöm våra misslyckade projekt, så som vi glömmer dem själva.
Och för oss inte in i verkligheten, utan fräls oss från ansvar.
Förlåt, det är semester… Min poäng är att trots den närmast religiösa inställning som SKR har till digitalisering i teorin så ser i praktiken digitaliseringen av den svenska sjukvården som ett härke trots de enorma resurser som tillförts.
Jag sitter mycket tungt på mina händer för att inte skriva något om den totala frånvaron av samordning av informationssäkerhet och det provocerande ointresset för integritetsfrågor där SKR knappast agerat som insiktsfull vägledare för sina medlemmar.
Om verkligheten ska användas som betygssättare för regionernas och SKR:s förmåga att skapa en nationellt sammanhållande och långsiktigt fungerande vård så ser det rätt illa ut för Knapes linje.
För att komma vidare vore det önskvärt med en hederlig gammaldags utredning som inte helt styrdes av särintressen inom vården.
Personligen lutar jag svagt åt att behovet av nationell samordning av sjukvården bäst hanteras genom ett förstatligande åtminstone av delar av vården.
Det kommer visserligen att skapa nya gränslinjer – hur ska exempelvis äldreomsorgen hanteras med större medicinsk kompetens – men jag tror verkligen det är dags att ompröva dagens situation.
Jag ska nu kort återkomma med en uppdatering gällande SKR och överföring av känslig information till denna intresseförening, för bakgrund se .
För att sammanfatta frågan så har SKR växt som en gökunge i den svenska förvaltningen och fått/tagit allt fler myndighetsliknande uppgifter trots att man, som SKR själva ivrigt hävdar, inte är en myndighet utan en arbetsgivare- och intresseförening.
Därav följer att SKR inte har det ansvar och den insyn som en myndighet och vi som medborgare egentligen saknar möjlighet att kontrollera och utkräva ansvar av föreningen.
SKR ligger helt enkelt utanför den styrning som den svenska förvaltningen bygger på och det är svårt att ens se vilken lagstiftning som är tillämplig.
Detta förhindrar den kritiska granskning som offentlighetsprincipen möjliggör för myndigheter även om SKR ibland försöker vilseleda genom att hävda att de handlingar som hanteras inom föreningen blir offentliga när de inkommer till medlemmarna.
Häromdagen fick jag detta l mig tillsänt där Marie Morell (m), ordförande för sjukvårdsdelegationen på SKR, hävdar just detta i en fråga som har en ekonomisk betydelse för enskilda: – Vi har kontaktat dem och skickat ut material till dem vid ett flertal tillfällen.
Det är viktigt att de skapar någon form av branschråd så att vi har en motpart att arbeta med.
Vi är en ideell förening och som sådan lyder vi inte under offentlighetsprincipen.
Men handlingarna blir offentliga så fort de inkommer till respektive region eller kommun, säger Marie Morell.
Det finns alltså ingen insyn i själva processen och som jag tidigare visat är det högst tveksamt vilka av SKR:s många ”interna” dokument som verkligen ses som inkomna till medlemmarna.
Att inte ens handlingar i beredande organ hos SKR blir allmänna handlingar hos de regioner/kommuner som har representanter i dessa organ är för mig tämligen hårresande och jag försöker förstå vem en sådan representant tror sig vara.
En privatperson som blivit invald i hembygdsföreningens styrelse (inget ont om hembygdsföreningar)?
Nu när offentlighetsprincipen är hotad från olika håll känns det extra angeläget att slå vakt av denna för Sverige (och Finland) unika medborgerliga rättighet.
I mitt framförde jag dock att det är likaledes viktigt att se vilka risker det innebär att kommunicera känslig information med en aktör där OSL inte kan tillämpas.
Grunden för att kunna skydda känslig information när den utbyts med utomstående parter är att reglera hur informationen får hanteras.
När det gäller utbyte mellan myndigheter finns denna reglering i huvudsak redan på plats genom lagstiftningen (även om jag tycker att det ofta finns anledning att förtydliga relationen myndigheter emellan).
Här intresserar jag mig inte för säkerhetsskyddsområdet utan framför allt den lagstiftning som gäller normala verksamhetsförhållande men där mycket starkt krav på konfidentialitet finns t.ex.
gällande samhällsviktig verksamhet.
Notera att det där även finns annan lagstiftning som är ytterst relevant som exempelvis Krisberedskapsförordningen.
Denna reglering saknas då information ska utbytas med privata aktörer som företag och, som i det aktuella fallet, föreningar.
Då måste menar jag ett avtal slutas som beskriver villkoren för att informationen ska kunna lämnas ut, åtgärder som ska vidtas och ansvarsförhållanden.
För att reducera att konfidentiell information kommer i orätta händer bör man även minimera informationen som utlämnas till det absolut nödvändiga samt ålägga motparten att säkerställa att endast de som verkligen behöver informationen kan ta del av den.
Enligt mitt resonemang är det alltså en självklarhet att myndigheter måste använda sekretessavtal eller motsvarande när de tänker utbyta information med företag och föreningar.
Därför frågade jag två myndigheter som på olika sätt har ett ansvar för samhällsviktig verksamhet om de slutit sekretessavtal med SKR.
Först gick frågan till MSB som ju har ett mycket omfattande ansvar i dessa frågor: Hej!
MSB har ett omfattande samarbete med SKR i olika frågor.
Vissa av dessa frågor kan vara av känslig karaktär som kommuner/regionens insatser i det civila försvaret, samhällsviktig verksamhet, informations- och cybersäkerhet osv.
I dessa frågor utbyts rimligen känslig information.
SKR är en intresseförening som inte omfattas av OSL på samma sätt som en kommun/region, ett kommunalförbund eller ett kommunalt bolag.
Jag är därför intresserad av att ta del av det samarbetsavtal med vidhängande sekretessregler eller motsvarande som utgör reglering av dessa frågor i relationen mellan SKR och MSB.
Efter tämligen lång tid och en påstötning fick jag följande svar: Jag måste först beklaga att du fått vänta på ett besked men på grund av olyckliga omständigheter har beskedet fördröjts.
Genom en sökning i vårt diarium har vi hittat två avtal med SKR: Du har rätt att begära ett skriftligt beslut som går att överklaga.
Skriv till .
För ögonblicket är jag inte så intresserad av det civila försvaret som ju knappt kommit igång så därför gick jag in på .
Det är upp till varje läsare att ta ställning men jag kan inte se att detta dokument på något sätt reglerar sekretessen i förhållande till SKR.
Detta kan synas extra anmärkningsvärt i dessa coronaapokalysens tidevarv när Socialstyrelsen sekretessbelägger information för media om vårdens p medan intresseföreningen SKR sitter med på MSB:s samordningskonferens i samma fråga.
Visserligen togs sannolikt inga känsliga frågor upp då SKR var med men det visar den vinglighet som finns då det gäller just SKR .
Jag ställde samma fråga till eHälsomyndigheten som tillsammans med bland annat SKR arbetar med den nya in (återkommer inom kort angående detta alster) och där man får gissa att det för en del diskussioner om kritiskt infrastruktur osv.
Från denna myndighet fick jag bara ett kort nej på frågan.
Detta är förstås bara två stickprov men ändå från myndigheter som är vana att hantera sekretess.
Det kan tyckas litet märkligt efter allt som hänt med Transportstyrelsen och andra incidenter där information överförts på oklara grunder.
Mitt intryck (bekräftat av ett antal tjänstepersoner på andra myndigheter) är att myndigheterna helt enkelt inte tänker på att SKR inte är en myndighet utan utgår från att föreningen är som vilken deltagare som helst i myndighetssamarbetena.
Inte heller kommuner och regioner verkar reflektera särskilt över detta utan överför utan förbehåll känslig information till det de i vissa fall verkar se som en ”överordnad” aktör.
Detta även då det gäller informationssäkerhet.
Nyligen skickades ett mail ut från SKR: Klassa 4.0 har varit efterfrågat länge och nu finns finansiering för ett projekt som inleds i nästa vecka.
Det blir flera förändringar i den nya versionen, bland annat förbättringar av befintlig funktionalitet, bland annat uppdateringar av kravkataloger som genererar uppgifter till handlingsplanen och en nödvändig översyn av upphandlingskraven.
Dessutom blir det en hel del ny funktionalitet, t.ex.
: – En ny modul för att mäta organisationens mognad, – Möjlighet till uppföljning och att ta ut nyckelvärden för organisationen och anpassat till målgrupp, – Möjlighet för SKR att ta ut nationell uppföljning på aggregerad nivå, – Stöd för CISO i det systematiska arbetet och – Modul för riskanalys.
Dessutom kommer SKR att förstärka sin organisation för att kunna avsätta mer resurser till förvaltning av Klassa.
Det kommer att öppnas en möjlighet för statliga myndigheter att använda Klassa.
Verktyget kommer dock fortsatt att ägas av SKR med kommuner och regioner som primär målgrupp.
Detta menar jag är ett projekt som bör utsättas för en mycket grundlig riskanalys!
Dessutom kan det verkligen ifrågasättas varför denna nationellt intressanta information ska ägas av en förening utan insyn och där det inte heller går att bedöma säkerhetsriskerna.
Det är dags för en mer omfattande diskussion om SKR:s roll.
Myndigheterna bör också ha en konsekvent linje i förhållande till ”förvaltningsskvadern” – antingen är man en myndighet med det fulla ansvar som en sådan har eller så få man återgå till att vara en arbetsgivarorganisation en arbetsgivarorganisation som i huvudsak ägnar sig åt sina medlemmars avtalsfrågor.
Sekretessavtal bör i dagsläget vara ett minimikrav för alla myndigheter, inklusive kommuner och regioner, som utbyter känslig information med SKR på samma sätt som man reglerar relationen med vilken privat aktör som helst.
Här kommer en summering av min diskussion med SKR angående ett eventuellt tillämpande av offentlighetsprincipen även inom SKR.
Jag inledde med ett i Dagens samhälle där jag försökte resonera angående varför det vore lämpligt att SKR skulle omfattas av offentlighetsprincipen.
De 3500 tecken som står till buds för en debattartikel omöjliggör naturligtvis en rättvis behandling av de frågeställningar som skulle behövas för en så komplicerad fråga som den jag lyfte.
Ändå tyckte jag än då att det tydligt i min artikel framgick att det finns ett antal skäl till varför SKR:s ställning som ”ideell förening” borde omprövas.
En resonerande inställning där olika argument prövas är dock inget som intresserar SKR.
Istället skickades föreningens VD för att ge ett .
Kanske det ändå inte blev så dräpande som önskat eftersom en hel del läsare (t.ex.
och och ) reagerade på SKR:s icke-svar och den attityd varmed det förmedlades.
Litet orolig blir man ju med tanke på att Isling rekryterats till SKR för .” Själv tycker jag att SKR ofta verkar lida av ett attitydproblem där tjänstemännen antingen uttrycker sig med viss arrogans eller inte alls då motiverade frågor ställs.
Isling är i detta fall inget undantag och är hans förhållningssätt ett exempel på den nya inriktningen för SKR bör man kanske sätta sig och titta litet på på kartan för att ta ut en annan riktning.
I min försökte jag visa att SKR har stora möjligheter att uppnå den öppenhet som Isling menar att man vill men inte kan (enligt honom) ha.
Jag pekar på paradoxen att Inera valt att frivilligt tillämpa öppenhet men inte SKR men det vilar en kanske en ännu större paradox i att SKR ska ge för att utveckla demokratin kommuner och regioner.
Den som ska ge stöd i demokratiutvecklingen borde rimligen vinna på att vara ett föredöme.
För att förstå SKR:s ställning måste man förstå kommunernas (inklusive landstingskommuners även om de kallar sig regioner) ställning i det svenska styrelseskicket.
Även om man ofta pratar om det kommunala självstyret är alla den makt och det inflytande som kommuner har en delegation från den centrala statsmakten.
Kommuners existensberättigande ligger framför allt i att de har en territoriell förankring, d.v.s.
de har en delegation för styrning av vissa frågor inom ett avgränsat geografiskt område samt beskattningsrätt för samma område.
Kommunerna ska alltså kunna utgöra en motpol till den nationella styrningen och tillgodose lokalsamhällets interna behov utan att först behöva passera den nationella nivån (mycket förenklat uttryckt).
Även i detta perspektiv är SKR något av en paradox.
Genom sin ständiga tillväxt och överförande av allt fler kommunala frågor till en nationell nivå så blir legitimiteten hos det kommunala självstyret i samma takt naggat i kanten.
Mitt intresse i debattartikeln var dock främst inriktat på informationshanteringen där information som i kommunerna hanteras enligt TF och OSL blir utslussad till en ideell förening som inte alls har samma krav på sin hantering av samma information.
Det gäller öppenheten där t.ex.
stora framtidsfrågor som digitalisering och e-hälsa beslutas helt utan insyn och medborgardialog.
Men det gäller även skyddet för känslig information som i ursprungskommunerna styrs av OSL.
Jag tänkte på det när jag läste om SKR gjort en stor enkätundersökning om informationssäkerhet i alla kommuner och började då fundera på hur denna känsliga information hanterades inom SKR.
Har de deltagande kommunerna slutit sekretessavtal med SKR och vilken information har de fått om hur informationen hanteras?
Jag läser också om SKR:s där det inte står ett ord om statistiksekretess.
Ytterligare en fråga där sekretessen är av central betydelse är civilt försvar där ett alltmer aktivt deltagande kommer att krävas av kommunerna.
Vilken information i dessa frågor är möjlig att lämna till SKR?
Det är möjligt att dessa frågor hanteras på ett utmärkt sätt men just i och med avsaknaden av tillämplig lagstiftning föreställer jag mig att behovet av avtal blir stort och något krångligt att administrera liksom att ansvarsförhållanden ständigt måste redas ut.
Jag ser en risk för något jag skulle vilja kalla ”trust by proxy”, d.v.s.
att man förutsätter att SKR har samma styrning som de ingående medlemmarna och därmed inte vidtar de skyddsåtgärder som är nödvändiga.
Om jag låter omotiverat misstänksam ber jag om ursäkt men bakgrunden är delvis att det är mycket svårt att få uppgifter om säkerheten inom SKR.
När jag exempelvis ställde en fråga för ett tag sedan om föreningen har en säkerhetsskyddschef fick jag till svar att de behövde man inte svara på eftersom man inte är en myndighet… Sammantaget tror jag man skulle ha mycket att vinna på att vara tydligare i dessa frågor och då inte bara visavi medlemmar.
Alla dessa viktiga välfärdsfrågor som SKR i allt högre grad hanterar så att de därmed försvinner från offentligheten är inte bara viktiga i nuet utan också för framtiden.
Tanken att framtida forskning inte kommer att ha ett grundmaterial att utgår från för att kunna förstå hur vitala offentliga frågor beslutats svider verkligen.
Att SKR inte har ett krav på sig att bevara och tillhandahålla denna information är en förlust för hela samhällsutvecklingen!
Som en liten julklapp till SKR kommer jag här med ett förslag på lösning på problemet så att SKR också kan bedriva verksamheten med den öppenhet man säger sig vilja ha.
Idag är man alltså en ”ideell förening” vilket känns aningen märkligt med tanke på verksamhet och finansiering.
Det gör att det i finns mycket litet av som påverkar hur verksamheten ska bedrivas vilket i och för sig gör det fullt möjligt att tillämpa TF och OSL på samma sätt som Inera beslutat göra.
Å andra sidan finns det en i mitt tycke betydligt mer stabil lösning, nämligen att SKR omvandlas till ett kommunalförbund som det beskrivs i . På det sättet skulle man både få en verksamhet som är effektiv, har reglerade styrformer och de krav på informationshantering som finns i medlemsorganisationerna.
Det skulle bryta den nuvarande rörelsen där delaktighet och insyn försvinner när betydelsen av frågorna ökar men också ge betydligt bättre grund för samarbete mellan stat och kommuner.
I annat fall undrar jag var gränsen för SKR som ideell förening går – hur mycket kommunala uppgifter kan en förening egentligen ta över?
Mottar tacksamt motargument mot omvandlingen till kommunalförbund eftersom för mig känns den lösningen ganska praktisk men säkert har jag förbisett några för andra självklara förutsättningar som talar emot en sådan lösning.
Trots min julklapp tror jag ärligt talat att intresset för att ens överväga övergång från förening till kommunalförbund är mycket svalt inom SKR, det är sällan de som har privilegier som arbetar för att ta bort dem.
Däremot är det en idé att försöka få igång en debatt i riksdagen vilket kan vara en målsättning för 2020.
Ibland är man tvungen att återvända till gamla jaktmarker.
Där är jag nu.
Efter en sensommar och höst då jag funderat en hel över Inera och i förlängningen SKR blev frestelsen för stor och jag började plocka fram gamla luntor ur bokhyllan.
Luntor som jag framför allt samlat på mig när jag började forskarutbildningen i ekonomisk historia med ambitionen att skriva en avhandling om landstingens roll i den svenska modellen.
Sedan kom barn och livet emellan så det blev aldrig mer än en ambition.
Däremot ledde det till ett fortfarande pågående stort intresse för den regionala styrningen och sjukvård samt, som sagt, till en inte obetydlig samling litteratur i frågan.
Livet är cirkulärt och nu gläds jag över att återigen ha anledning att dyka in mina gamla böcker (verkligen gamla).
Jag läser om hur Svenska Landskommuners Förbund, Svenska Landstingsförbundet och Svenska Stadsförbundet via Landstings- respektive Kommunförbundet utvecklats till SKR.
Från att ha varit renodlade arbetsgivarorganisationer med uppgift att ge medlemmarna stöd i förhandlingarna med de anställdas organisationer har SKR nu utvecklats till en organisation med ständigt växande antal anställda och som lika kontinuerligt påtar sig nya operativa uppgifter.
Mycket stora skattemedel fördelas via SKR och en inte på alldeles anspråkslös summa (understatement) går till SKR:s egen interna organisation, se budgeten på sida 49 i denna redovisning jag fått ut från SKR.
per medborgare och år enligt SKR själva.
Slutligen leds SKR av indirekt valda politiker som även har kontroll över de bolag som ingår i SKR-sfären.
Enligt svensk lagstiftning ska offentlighetsprincipen tillämpas i alla myndigheter (inklusive kommuner och regioner) samt kommunala bolag m.m..
I OSL 2 kap står det följande: Vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter ska i tillämpliga delar gälla också handlingar hos aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande.
Sådana bolag, föreningar och stiftelser ska vid tillämpningen av denna lag jämställas med myndigheter.
Kommuner och landsting ska anses utöva ett rättsligt bestämmande inflytande om de ensamma eller tillsammans 1. äger aktier i ett aktiebolag eller andelar i en ekonomisk förening med mer än hälften av samtliga röster i bolaget eller föreningen eller på något annat sätt förfogar över så många röster i bolaget eller föreningen, 2. har rätt att utse eller avsätta mer än hälften av ledamöterna i styrelsen för ett aktiebolag, en ekonomisk förening eller en stiftelse, eller 3. utgör samtliga obegränsat ansvariga bolagsmän i ett handelsbolag.
Vid tillämpningen av andra stycket 1-3 ska inflytande som utövas av en juridisk person över vilken en kommun eller ett landsting bestämmer på det sätt som anges i de nämnda punkterna anses utövat av kommunen eller landstinget.
Första stycket gäller också för handlingar som efter medgivande av en kommun eller ett landsting för viss bestämd tid förvaras hos aktiebolag, handelsbolag, ekonomiska föreningar eller stiftelser där kommuner eller landsting tidigare har utövat ett rättsligt bestämmande inflytande.
Vad som föreskrivs om kommuner och landsting i första-tredje styckena tillämpas också på kommunalförbund.
För en ytlig betraktare förefaller SKR uppfylla alla kriterier som t.ex.
att kommuner/regioner utövar ett rättsligt bestämmande inflytande.
Ändå omfattas inte SKR av offentlighetsprincipen, ett förhållande som är allt mer förvånande ju mer man tänker på det.
Bristen på insyn i en politiskt styrd organisation med den makt SKR har är en anomali i det svenska systemet som sannolikt har sin upprinnelse i de ursprungliga förhandlingsorganisationernas uppgifter.
I arbetsgivarorganisationer med enda syfte att förhandla arbetsvillkor kan möjligen hemlighetsmakeriet accepteras – i en organisation som för kommuners och regioners talan i en mängd frågor, opinionsbildar på ett inte helt okontroversiellt sätt och dessutom leder allt fler operativa verksamheter kan det det inte.
Inte minst att det inte går att utkräva ansvar borde ses som en mycket missklädande fläck i det offentliga Sverige.
Att slutna sällskap inte är nyttiga ens för sig själva är en ganska uppenbar slutsats efter i Svenska Akademien.
Samma faror av vänskapskorruption lurar i SKR, dessutom är man utsatta för ett starkt kommersiellt tryck i exempelvis digitaliseringsfrågorna.
Vad synen att digitalisering är lösningen på i princip alla samhällsfrågor bygger på när inga seriösa siffror som underbygger detta väcker frågan vems intressen som egentligen tjänas av SKR.
Ökad öppenhet i denna och andra frågor skulle ställa krav på samma typ av underlag och ansvar som i de kommuner och regioner som skickat delegater till SKR.
Istället urlakas den demokratiska processen markant i och med överförandet av frågor till SKR.
Det finns även andra skäl att göra en reglering i OSL så att även SKR omfattas av kraven på offentlighet och sekretess.
Ett starkt sådant är att SKR allt mer fungerar som en mellanstation mellan statliga och kommunala myndigheter också kan komma att hantera känslig information som rör exempelvis informationssäkerhet.
Eftersom OSL inte gäller kan det vara svårt för myndigheterna att reglera eller överblicka hur informationen hanteras i föreningen SKR.
Samtidigt är det svårt för kommuner och regioner att ifrågasätta att lämna ut information om sina förhållanden till SKR.
Ytterligare ett skäl är kopplingen till arkivlagen som ställer krav på att allmänna handlingar ska bevaras inte bara av insynsskäl utan även för att garantera rättssäkerhet och möjlighet till forskning.
Risken för att den helt offentligt finansierade verksamheten SKR med sin allt tyngre samhällsroll inte lämnar ett bra forskningsmaterial efter sig är överhängande.
Min enkla poäng är att om SKR agerar som en myndighet ska man behandlas som en myndighet.
Det är dags för SKR att inte bara byta namn utan även vara beredda att ta ansvar i förhållande till sitt inflytande.
Hur OSL och kanske TF behöver förändras och kompletteras med en rad som inkluderar SKR i dess räckvidd bör vara en ganska enkel juridisk manöver (jag är ju inte jurist så jag kan ju unna mig att ta lätt på frågan).
Sannolikt är det en betydligt svårare politisk process att tvinga ut SKR:s makthavare ur den så behagliga hemliga stugvärmen men icke förty är detta vad demokratisk anständighet kräver.
Ett obligatoriskt men till intet förpliktigande uttryck sedan länge är ”transparens”, ibland så flitigt använt att man riskerar att glömma bort hur viktigt det faktiskt är med öppenhet.
Öppenheten är central för samhällsklimatet och delaktigheten men också för att kunna tillvarata den samlade kompetensen.
I Sverige har vi varit gynnade av den unika institution som offentlighetsprincipen utgjort sedan 1700-talet och som visserligen på många sätt hotas men som fortfarande är ett omhuldat ideal.
Att få insyn i och i förlängningen möjlighet att påverka de stora samhällsfrågorna är det stora värdet med öppenhet för de offentliga verksamheter där offentlighetsprincipen ska tillämpas.
Öppenhet är av samma skäl obekvämt för makthavare, det är liksom bekvämare om man får arbeta ostört och göra som man vill.
Misstag behöver heller inte upptäckas och att slippa stå till svars för det ena och det andra är naturligtvis behagligt.
Sjukvård rankas som den viktigaste frågan av väljarna.
I Sverige är sjukvården offentligt finansierad.
Dessa två premisser sammantaget ger att ett stort mått av öppenhet i hanteringen av sjukvårdsfrågor borde vara en självklarhet.
Tyvärr är inte så fallet när det gäller e-hälsa.
Även för en som tämligen noggrant följt utvecklingen inom området i 25 år är det mycket svårt att få en överblick ens över hur området styrs.
Då menar jag i form institutioner och presenterade inriktningar som rör sig på en konkret nivå.
Under de senaste tio åren har jag sett en rörelse där allt större inflyttande över e-hälsan flyttats över från staten och regionerna till SKL.
Jag har tidigare skrivit om Inera som ändå fattat beslut om att följa offentlighetsprincipen trots att man inte är skyldig att göra det.
Värre är det med SKL som är en arbetsgivarorganisation för regioner och kommuner.
Trots den litet udda konstruktionen att man som intresseorganisation tillskjuts mycket stora offentliga medel från staten och man styrs av folkvalda politiker så har inte kravet på öppenhet följt med.
Bristen på insyn blir mycket påtaglig när man ser på den för digitalisering som tillsattes efter valet och består av politiker från regioner och kommuner.
Det är alltså ett indirekt valt politiskt organ.
Uppdraget är stort och spännande för den som är intresserad av e-hälsa: Beredningen hanterar strategiska frågor om grundläggande gemensamma förutsätt­ning­ar för digital utveckling, exempelvis fråge­ställ­ningar kopplat till effektivisering genom digitalisering, automation och artificiell intelligens (AI), inno­vations- och förändringsledning, data som strategisk resurs, säker informations­hante­ring och nationell digital infrastruktur.
Vidare ska beredningen hantera rättsliga för­utsättningar för en digital samverkande förvaltning.
I uppdraget ingår också att följa SKL-koncernens samverkan för att gemensamt stötta med­lem­marna i deras verk­sam­hetsutveckling med stöd av digitalisering.
Inte minst blir man ju sugen på att läsa mer om hur beredningen ska hantera de rättsliga förutsättningar efter SKL kanske inte helt klargörande angående molntjänster häromveckan där man inte ens nämner eSams rättsliga uttalande där man avråder från att använda molntjänster.
Detta trots att SKL själva uppger följande i sin rapport: Undersökningen från Radar visar att cirka 50 procent av kommunerna använder Microsoft Office 365 (MS O365) och att 100 procent av de större kommunerna använder denna tjänst.
Hur som helst blev jag intresserad av att ta del av beredningen för digitalisering har för arbete på gång, vilka frågor man ventilerade och vilka insatser som planerades.
Detta visade sig vara en stängd dörr för när jag skickade dessa frågor till SKL:s presstjänst (de har ju inget diarium): Jag skulle vilja veta: – vilka handlingar som finns relaterade till Beredningen för digitalisering – vilka av dessa handlingar som jag kan få ta del av fick jag följande, kanske väntade svar: Tack för att du kontaktar oss.
SKL är en intresse- och arbetsgivarorganisation och omfattas inte av skyldigheten att lämna ut allmänna handlingar enligt offentlighetsprincipen.
Vi kan därmed inte hjälpa dig med din förfrågan.
Du kan läsa mer om SKL och vår organisation på .
Jag gjorde ett par försökt med kommuner och regioner, varav ett par med representanter i beredningen, om de fått in några handlingar men helt utan resultat.
Ofrivilligt parafraserar jag Tom Waits gamla låt i huvudet och får en öronmask: what are they building in there?
Men det är inte bara att man faktiskt inte lämnar ut handlingar som är utestängande.
När jag läser programmet till den med underrubriken En dag.
Oändliga möjligheter.
känner jag en lätt yrsel.
Där kommer de usual suspects att prata om ungefär samma saker som vanligt på de otaliga konferenser som går av stapeln (även om jag känner ett visst intresse för den handlingsplan för 2020-2022 som ska diskuteras) medan många av oss andra känner en mycket stor oro för de många alarmerande händelser som tydligt visar att kostnaderna skenar för för e-hälsan och att nya mycket allvarliga säkerhetsbrister hela tiden avslöjas.
Nu senast var det av ett nytt vårdinformationssystem där det avslöjas att det finns stora risker för både patientsäkerhet och integritet: I rapporten pekas på att rutinerna för riskanalys i arbetet med Skånes digitala vårdsystem, SDV, är för dåliga – informationsklassificeringen görs för sent och avklarade riskanalyser sammanställs inte centralt så att de kan följas upp.
Riskanalysverktyget anses dessutom vara svårt att hantera.
Organisationskulturen i sig finns också med bland de identifierade bristerna.
Det finns helt enkelt ingen kommunicerad agenda för informationssäkerhet med verktyg för att rapportera brister i arbetet med den nya vårdinformationsplattformen.
Det gör att brister riskerar att förbises och att ”medarbetare genom uppgivenhet både upplever och bidrar till en tystnadskultur”.
I sin tur leder det till att oro ventileras i korridorerna vilket leder till ytterligare risker.
Naturligtvis fick jag inte ut någon rapport från Region Skåne när jag efterfrågade den utan ett listigt svar att någon sådan rapport inte fanns diarieförd.
Min fråga: Jag undrar då om en sådan rapport inte finns utan att CS blivit vilseförda eller om den finns men man valt eller missat att diarieföra den?
besvarades med att den sannolikt var ett internt arbetsmaterial.
Det mest deprimerande i detta är att upprepningstvånget.
Trots att svenska sjukvården gång på gång råkar ut för stora säkerhetsproblem, trots ett antal liknande projekt i bland annat och med miljardinvesteringar inte fungerar på ett säkert sätt så är det som denna information inte tränger i genom väggarna på den svenska e-hälsans fort.
Att dessa fullkomligt vitala frågor inte tas upp på en konferens om framtidens e-hälsa gör att verkar som vi lever i två olika världar: verkligheten respektive e-hälsans utopia.
Detta är inte en bra grund för ett mycket komplicerat samhällsutvecklingsarbete!
Den tystnadskultur som den interna rapporten som CS tagit del av pekar på en mycket central risk, nämligen tystnadskulturen som gör det omöjligt att föra fram risker eftersom man då avfärdas som negativ.
För den som arbetar med säkerhet och vet hur betydelsefull en positiv säkerhetskultur är för ett fungerande säkerhetsarbete förstår på djupet hur destruktivt det här förhållningssättet är.
Tyvärr praktiseras samma förhållningssätt även på nationell nivå t.ex.
konferensprogram av typen Nationella e-hälsodagen och när en företrädare för SKL på en konferens säger att ”det är mycket enklare att vara emot”, underförstått att resa rationella frågor uppfattas som fientligt.
Jag kan möjligen förstå att SKL som lobbyorganisation jobbar med ensidiga marknadsföringsknep även om jag som skattebetalare inte skulle vilja se pengar som så väl behövs i vården gå till detta.
Däremot tycker jag att myndigheterna borde nyktra till och kunna föra en diskussion där även nyanser är tillåtna.
Jag tror alla kan stå ut med litet av den dåliga stämning som uppstår när folk visar sig ha olika åsikter.
För säkerheten i framtidens e-hälsa är det nödvändigt att kunna prata om risker och reducera dem innan de lett till ett nytt och ett nytt och ett nytt haveri.
Efter Kammarrättens utslag dröjde det bara några dagar innan jag fick ut de dokument som jag började jaga med en fråga den 6 augusti.
Samtliga tre dokument har mycket marginella maskningar vilket jag återkommer till men som läsaren själv har möjlighet att bedöma eftersom jag lägger ut dem i sin helhet.
Låt oss då se på dokumenten och då först till det mest övergripande: Riktlinje för informationssäkerhet.
Detta dokument tycks ha ganska litet att göra med den policy som beslutades i och därts övergripande syfte anges vara att främja digitalisering samtidigt som tillit till informationshanteringen upprätthålls.
De flesta skulle kanske anse att informationssäkerheten ska stödja kärnverksamhetens uppdrag, i det här fallet egentligen kundernas uppdrag, men Inera är sannolikt i detta fall ett offer för SKL:s överideologi där digitalisering är ett dominerande egenvärde.Inte ett ord om patientsäkerhet för att bara ta en sak som jag personligen anser aningen viktigare än att ”främja digitalisering”.
Den sällsynt korta policyn innehåller ingenting om ansvarsförhållanden eller vem som egentligen ska styra säkerheten, däremot är ett mål att säkerhetsarbetet ska grundas på ”gemensamma regelverk, referensarkitekturer och styrande principer”.
Gemensamma för vem och framtagna av vem kan man undra.
Policyn ska tillämpas enbart internt och det saknas relation till kunderna trots att Ineras roll som leverantör: Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering.
Den ska också tillämpas i projekt och på förvaltningsobjekt.
Policyn ger som jag ser det inte någon verksam strategisk ledning för Ineras säkerhetsarbete i rollen som tjänsteleverantör eftersom ansvar och relationer helt saknas.
Hela upplägget med denna helt urvattnade policy känns litet märkligt när Inera dessutom arbetar baklänges och lägger den som olja på vattnet på redan framtagna underliggande dokument.
Kanske har det funnits en annan policy tidigare som fadat bort utan kommentar.
Låt oss lämna policyn och istället titta på riktlinjen som av naturliga skäl saknar den kopplingar till den beslutade policyn.
En första observation som reser den alltid lika spännande frågan om kausalitet och korrelation.
Av en händelse sammanfaller att jag efterfrågade riktlinjen den 6 augusti med en massiv uppdatering som skedde den 9 augusti när en mängd basala säkerhetsaspekter fördes in i riktlinjen (se revisionshistoriken).
Detta var också första gången på tre och ett halvt år som en uppdatering skedde.
Nog om detta lustiga sammanträffande.
Inera är är ju en tjänsteleverantör av känsliga informationstjänster till vården och det som först slår mig då jag läser riktlinjen är att detta förhållande är i det närmaste osynligt i riktlinjen på samma sätt som i policyn.
Riktlinjen gör ingen distinktion mellan Ineras interna informationssäkerhet och den säkerhet som ska finnas i de tjänster som levereras.
Kundernas frånvaro i hanteringen blir närmast självlysande i definitionen av informationsägaren: För varje viktig informationsmängd ska det utses en informationsägare med uppdrag att hantera alla delar av informationssäkerheten som är relaterade till denna informationsmängd.
För de tjänster som Inera tillhandahåller är detta normalt rollen Tjänsteansvarig.
Här man alltså kortslutit systemet så kunderna är inte informationsägare och ska inte heller hantera exempelvis informationsklassning och riskanalys av den information som de faktiskt är ansvariga för.
För att göra det extrem tydligt: Inera är inte en vårdgivare utan hanterar andra vårdgivares information i ett antal gemensamma tjänster.
Vårdgivarna (offentliga och privata) är enligt lag och föreskrift ansvariga för sin information och att den hanteras på ett säkert sätt – det är bara att läsa HSLF-FS 2016:40 för att få en samlad bild av kraven.
Samtidigt skriver man t.ex.
under 15.3.1. om en informationsägare som sannolikt är kunden.
Roller och begrepp är alltså inte konsistenta.
Ytterligare ett tecken på att riktlinje inte tjänar Ineras verksamhet särskilt väl är att de ytterst knapphändiga beskrivningar av utveckling som finns i kapitlen 15.1 och 15.2.
Detta är alltså riktlinjen där ansvar, principer och arbetssätt bör framgå.
Som jag uppfattar det är Ineras huvudsakliga uppdrag att utveckla olika it-lösningar för vården vilket skulle föranleda att ett verksamhetsanpassat säkerhetsarbete skulle ha en tyngdpunkt just i utvecklings- och förvaltningsprocessen av erbjudna lösningar.
I Ineras riktlinje är det dock inte så utan det känns snarare som en ytlig genomgång av kraven i ISO 27001 med mycket små modifikationer.
Dessutom ingår den i det jag brukar tänka på som ”de öde regelverken” eftersom det inte bara kunderna som saknas utan även i hög grad andra aktörer.
Istället upprepas riktlinjen igenom ”Inera ska…” utan att närmare definiera vilken roll inom Inera som ska utföra säkerhetsarbetet.
Igenkänningsfaktorn är hög.
Jag har sett denna typ av regelverk ett otal antal gånger och ett genomgående drag är att när regelverk är så här diffusa så får de ingen eller ringa säkerhetshöjande effekt.
Har ledningen inte pekat ut ansvar (vilket man här inte har i policyn och mycket litet i riktlinjen) så finns inget maskineri som drar runt säkerhetsarbetet.
Att något i denna anonyma text skulle befinnas vara av den art att det går att sekretesslägga med hänvisning till OSL 18 kap.
8 §: Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser byggnader eller andra anläggningar, lokaler eller inventarier, tillverkning, förvaring, utlämning eller transport av pengar eller andra värdeföremål samt transport eller förvaring av vapen, ammunition, sprängämnen, klyvbart material eller radioaktiva ämnen, telekommunikation eller system för automatiserad behandling av information, behörighet att få tillgång till upptagning för automatiserad behandling eller annan handling, den civila luftfarten eller den civila sjöfarten, transporter på land av farligt gods, eller hamnskydd.
kändes märkligt.
Än mer så Ineras ursprungliga beslut att hela dokumentet skulle utgöra risk om det spreds.
På ett sätt skulle jag ironiskt kunna hålla med: kvaliteten på dokumentet indikerar en klar brist på styrning av säkerhetsarbetet vilket kan naturligtvis är en stor risk om det framkommer.
Men det som nu maskats i dokumentet är endast sex passager där man mitt i den i övrigt så generella beskrivningen av allmänna säkerhetsåtgärder tydligen placerat in var datalagring sker samt tekniska beskrivningar av bland annat segmentering.
Om dessa uppgifter är på detaljnivå har de knappast i riktlinjen att göra eftersom den då inte går att sprida i en vidare krets internt.
Även detta är att starkt skäl att se över regelverket och styrningen i stort.
Om vi sedan tittar på de två övriga dokument jag fått ta del av: så går maskningarna i dessa sammantaget att räkna på ena handens fingrar.
Förutom att även dessa i huvudsak saknar anpassning till Ineras egentliga behov av styrning och även till SKL:s flaggskepp KLASSA är det svårt att se vad som föranlett Ineras rädsla för att sprida dem.
Hela hanteringen av min begäran utlämnande av handlingar framstår som fånig och okunnig i mina ögon men har det goda med sig att det kanske hindrar andra från det överutnyttjande av 18.8 som jag tycker mig sett tecken på.
Min sammantagna bild är att Inera saknar ett sammanhängande systematisktoch att den styrning som finns inte är är inriktad på rätt målbild som till exempel att ge kunderna möjlighet att styra sin egen säkerhet eller på patientsäkerhet.
Ingenstans framgår att den informationsklassning som kunderna gör av sin information ger utslag i Ineras leverans, inte heller att Inera har ett kunderbjudande som är transparent och flexibelt.
Jag är den första att erkänna att Ineras uppdrag är mycket komplicerat men just därför skulle det kännas betydligt tryggare om det gick att urskilja ett stort engagemang för säkerhetsfrågor som skulle ge både kunder och allmänheten i stort en anledning att hysa en stor tillit till Inera.
Särskilt tänker jag på detta när nu Inera satt igång ett nytt projekt om säker digital .
Visserligen står det ”säker” i rubriken men vilket stöd har projektet i Ineras LIS för att uppnås denna säkerhet?
Finns det en risk att detta projekt hamnar i samma situation som den som kritiserades så hårt av MSB när det gäller säkerhetsaspekterna (trots att det är se att MSB bidrog på ett så särskilt strukturerat sätt)?
Hälso- och sjukvård är ju i högsta grad en samhällsviktig verksamhet som borde få MSB:s mest djuplodande intresse när en ny nationell lösning ska tas fram.
Möjligen har jag helt fel.
Kanske är säkerheten i Ineras verksamhet mycket bättre än vad de styrande dokumenten ger intryck av.
Men samtidigt är det svårt att föreställa sig edär det inte finns en tydlig dokumenterad styrning.
Självklart borde denna styrning omfatta mer än Inera – jag ska väl inte tjata om en nationell styrmodell á la Normen en gång till… Däremot vore det mycket önskvärt med en större granskning av samtliga större aktörer inom hälso- och sjukvård både för att bedöma den reella säkerheten och för att se vilka samordningsbehov som finns.
Med detta som utgångspunkt går det sedan att börja skissa på den gemensamma styrmodellen.
I väntan på detta mitt utopiska tillstånd är en rimlig inriktning att IVO koncentrerar sin tillsyn utifrån NIS-direktivet främst på dessa stora aktörer eftersom de har den största påverkan på vår gemensamma säkerhet.
Den minnesgode kommer ihåg att jag bett att få se Ineras ledningssystem för informationssäkerhet, blivit nekad och hänvisad till Kammarrätt för att framföra mina besvär över detta, förloppet finns beskrivet .
Själv måste jag medge att jag fann Ineras agerande aningen besynnerligt.
Om det nu finns styrande dokument för informationssäkerheten vid sidan om den A4 som utgör policy (vilket Inera hävdar) så förefaller det märkligt att varje ord i dessa dokument skulle utgöra en sådan betydande risk för Ineras säkerhet att de inte kan lämnas ut.
För den som jag som arbetat med utlämnande av allmänna handlingar är väl bekant med rutinen att maska dokumenten så att de delar som bedöms som sekretesskänsliga inte kan läsas – ytterst sällan är dokumenten i sin helhet känsligt.
Kanske har inte Inera upparbetat rutinen för maskning än men efter att ha läst Kammarrättens utslag så är det nog dags att komma igång med det nu.
Jag är naturligtvis nöjd med utslaget och väntar nu på mina handlingar.
Samtidigt väcker ju historien med Inera en hel del tankar.
En är att vi alla är betjänta av största möjliga öppenhet om de regler gällande säkerhet som finns olika organisationer.
Vi behöver lära av varandra och vi behöver närma oss mer av praxis både på branschnivå och i samhället i stort.
Ett överdrivet hemlighetsmakeri skapar en negativ säkerhetskultur och förhindrar processen mot en nödvändig samsyn om hur styrningen av säkerhet bör utformas.
Ineras förhållningssätt pekar också på ett annat mer praktiskt problem, nämligen vikten av att utforma sin hierarki av styrande dokument rätt.
Om man, som Inera tycks ha gjort, blandar principer,ansvarsfördelning och andra faktorer som bör kunna vara helt öppna i random organisation med detaljbeskrivningar av säkerhetslösningar, risker och sårbarheter har man ju skapat ett regelverk som knappast går att sprida ens internt och ännu mindre till externa parter som kunder.
En betydligt mer positiv erfarenhet var det att begära ut samma information hos eHälsomyndigheten där jag inte bara fick ta del av de handlingar som på ett övergripande sätt styr säkerhetsarbetet utan även en bild av de handlingar som är av mer känslig karaktär.
Tyvärr bekräftades dock min bild av bristande styrning av säkerheten inom vården då två av de stora aktörerna inom svensk e-hälsa inte har ett gemensamt regelverk.
Detta är en mycket stor fråga som måste lösas innan vi kan säga att vi är på väg mot en säker e-hälsa.
Teknikhistoria är ett fascinerande ämne som jag ägnat mycket intresse genom åren och då alldeles särskilt samspelet mellan teknik, samhällsutveckling och ekonomi.
Frågor som varför vissa tekniska uppfinningar blir innovationer medan andra inte gör det och de institutionella förutsättningar som gör att teknik leder till positiv samhällsutveckling är ganska grundligt beforskade.
En underbar populärvetenskaplig bok på detta tema är Wolfgang Schivelbuschs som jag rekommenderar alla som vill skapa sig en hälsosam distans till det utmattande nuet.
Det är med denna bakgrund som den svenska förvaltningens digitalisering ständigt förvånar mig eftersom dess genomförande tycks strida mot det som framkommit som framgångsfaktorer för införande av ny teknik.
Istället för att bygga gemensam infrastruktur och institutionella förutsättningar har svenska myndigheter och regioner/landsting ägnat sin energi åt någon slags känslomässig påverkan.
Vad är då budskapet i denna känslomässiga kommunikation?
Så här ser de mest förekommande implicita och explicita budskap ut.
Det övergripande budskapet att det finns ett stort antal ludditer som är passionerat motverkar digitalisering och som måste övertygas om att digitalisering är BRA.
Efter noggrant begrundande kan jag inte erinra mig en enda person som varit emot digitalisering, däremot många som varit emot dålig digitalisering.
Det hindrar inte att det förekommer en ständig underström av halmdockor (läs mer om det klassiska fula argumentationsfelet ) när digitalisering diskuteras.
Dessa figurer som med lock och pock måste forceras att överge papper och penna är del i en ganska bra härskarteknik eftersom den som låtsas som att dessa finns då själv framstår som en ljusbringare som står för det ”moderna”.
Och det är något som i svenska sammanhang vördas så är det det moderna, så har det varit sedan 1800-talet, oavsett vad moderniteten stått för.
Det uppenbart ologiska i att hävda att populasen är teknikfientliga bakåtsträvare på jobbet eller när de ska använda offentliga e-tjänster när de samtidigt på sin fritid har olika kommersiella e-tjänster som sina närmaste livskamrater tycks inte störa.
Nästa centrala budskap är att digitalisering per definition är bra vilket leder till den underförstådda tesen att digitalisering är bra.
Som följd av detta görs ingen skillnad mellan bra och dålig digitalisering trots att alla känner till minst fem misslyckade digitaliseringsprojekt i sin närhet.
Att det inte får finnas dåliga digitaliseringsprojekt till en dubbelriktad kultur av icke-existerande uppföljning och erfarenhetsåtervinning; eftersom det inte görs någon uppföljning kan dålig digitalisering inte påvisas.
Jag tittar in på webbplatserna för två centrala aktörer för den offentliga sektorns digitalisering, eSam och SKL, för att se hur man hanterar utvärderingsfrågan.
eSam har gett ut ett antal vägledningar och metodbeskrivningar för digital samverkan (a.k.a.
ta fram digitala lösningar) i alla möjliga skärningar men vad jag kan se har inte uppföljning och utvärdering förlänats något eget metodstöd.
I den 84-sidiga för behovsdriven utveckling finns visserligen dessa rader med: Efter varje införande bör det genomföras en utvärdering för att ta vara på erfarenheter om vad som gick bra respektive mindre bra i behovsinsamling, planering, metodval, samarbete samt hur resultaten mottogs.
Infriade tjänsten de förhoppningar verksamheten och målgruppen tänkt sig?
men i ett systematiskt arbete förväntar man sig ett något större intresse för frågan.
SKL, som får ses som ett epicentrum för den vingliga offentliga digitaliseringen, förvånar mig positivt genom att erbjuda verktyg för uppföljning exempelvis och så kallade LIKA-värderingar som den för socialtjänst.
Tyvärr visar sig dessa undersökningar vara mognadsundersökningar av i vilken omfattning man lyckats digitalisera, d.v.s.
det handlar inte om att utvärdera hur väl digitaliseringen fungerar.
Ointresset för utvärdering är paradoxalt sett i ljuset av att digilisatörerna gärna vill tala om digitalt ledarskap och vikten av styrning samt nyttorealisering (nej, det är ingen idé ni går till den vägledningen för nyttorealisering för den innehåller inget substantiellt om uppföljning).
För att kunna leda, styra och nyttorealisera i verklig bemärkelse måste man arbeta systematiskt med att utvärdera gjorda satsningar ur ett antal aspekter som ekonomi och effektivitet.
Förhållningssättet att arbeta utan systematik är menar jag en av de mest grundläggande orsakerna till att det offentliga Sveriges digitalisering inte alls når den nivå som skulle kunna förväntas med tanke på de investeringar som gjorts.
Att den svenska digitaliseringen kraftigt underpresterar är ett faktum som det nu tycks råda konsensus om även från internationella bedömare som OECD.
Orsakerna till detta borde vara synnerligen intressanta att identifiera och då inte bara genom att komma dragande med gamla kära bortförklaringar som att juridiken inte är anpassad till digitaliseringen.
Kraften i det argumentet är ju inte heller så övertygande då till exempelvis sjukvårdshuvudmän och vårdgivare högaktningsfullt struntar i viss lagstiftning som man finner obekväm.
Det går inte att argumentera för digitalisering med rationella argument, tråkiga och genomarbetade analyser eller krassa ekonomiska beräkningar.
Istället sker kommunikationen med ett överflöd av uttalande av den här typen: Eftersom dessa uttalande inte går att vare sig be- eller vederlägga befinner vi oss i en situation där ledande aktörer inom digitaliseringsetablissemanget ständigt vädjar till våra känslor istället för att föra en dialog grundad i sakfrågor.
Här uppstår tror jag den olyckliga pepp-cirkelargumentationen där utomstående inte kan delta eftersom ramen för deltagandet är satt; bara de som accepterar pepp-läget kan ingå, de som efterfrågar rationalitet, siffror och nytta uppfattas som fientligt inställda och görs mer eller mindre förfinat till icke-deltagare och i värsta fall till halmdockan ”motståndare till digitalisering”.
Att det finns ett digitaliseringsetablissemang (precis som det finns ett informationssäkerhetsetablissemang) som har mycket att försvara blir ganska uppenbart vid minsta lilla glutt in på LinkedIn.
Det vore kul att se ett sociogram över det ganska begränsade antal människor som genom åren konfererat med varandra, gett varandra komplimanger, titlar, priser och positioner.
Man har skapar myndigheter, kommittéer, kommissioner och råd för att underlätta digitaliseringen, oundgängliga roller som regeringens CDO och kommunala digitaliseringsstrateger och peppat varandra på karnevaler och festivaler (det sista var kanske en liten överdrift…).
Digitaliseringen har beskrivits som det största tekniksprånget i historien (jag skulle nog snarare hävda ångmaskinen eller elektriciteten) och som lösningen på flertalet svåra samhällsproblem.
Den arma fackutbildade personalen i välfärdssektorn har fått finna sig att bli mästrade av allehanda ”evangelister” utan definierad kompetens givits utrymme att predika.
Helt olika räknesätt har tillämpats i de kommunala ekonomierna där lärplattformar för bortåt en halv miljard kunnat prioriteras samtidigt med kraftiga nedskärningar på personalen.
Under senare tid har jag alltmer kommit att grubbla över hur den privata sektorn kunnat genomföra sin digitalisering utan detta etablissemang och överbyggnad.
Jag tror att det är dags för ett paradigmskifte inom den offentliga digitaliseringen i Sverige.
Det är inte fel på förutsättningar, ekonomi eller teknik i första hand utan på den metafysik som omger digitaliseringssträvandena, alltså de föreställningar som finns om digitaliseringen och det sammanhang som de digitala lösningarna ska fungera i. Som samhällsmedborgare skulle jag önska att digitaliseringsetablissemanget tar ett steg tillbaka och med viss självkritik granskar sina argument för att kunna börja tillämpa mer kvalitativ och effektiva arbetssätt.
Det vill säga mindre marknadsföring och mera hantverk, mindre känslor och mera strukturellt tänkande, färre halmdockor och fler verkliga läkare och lärare, färre evangelister och flera ingenjörer i vid bemärkelse, mindre digitala lösningar i sig och mer intresse för de resultat som digitaliseringen ger.
Framför allt önskar jag viljan och förmågan till ett normalt kritiskt förhållningssätt till digitalisering.
Ett stöd för denna typ av reflektioner kan vara följande över vanliga villfarelser.
Särskilt rekommenderar jag närstudier av följande bias: sunk cost fallacy, dunning kruger effect, back fire effect, self serving bias och group think.
Först en disclaimer.
Denna text är skriven med ett visst undertryckt ursinne.
Under 7-8 år under mina vittflygande studier jobbade jag samtidigt på ett boende för psykiskt funktionsnedsatta barm och ungdomar.
Den erfarenheten gör att jag framförallt tänker på de patienter och anhöriga som drabbats av 1177-skandalen men också på den vårdpersonal som till skillnad från digitaliseringsbyråkrater, ”visionärer” och ”evangelister” möter patienter.
De ska nu leva i oro över hur deras arbetsgivare hanterar den information som de i förtroende tar emot och där samtal från hjälpsökande patienter studsar vidare för hantering i Thailand.
Jag jobbade också i ett landsting under 90-talet då politiker, it-leverantörer och byråkrater gick in i en lustiger dans om digitalisering som var mycket lösligt kopplad till verksamhetsbehov.
Att försöka skjuta in frågor om informationssäkerhet eller kvalitet i informationshanteringen stämplades som närmast illojalt eller i bästa fall som tugg som man måste genomlida innan man gick vidare precis som förut.
Filifjonkan på bilden har inte bara med ångestridna patienter att göra utan också känslan av den annalkande katastrofen som hon symboliserar.
Det finns inget som är så lätt som att förutspå framtiden i efterhand.
Många är nu chockade och totalt överraskade över vad som framkommit om 1177 och dess underleverantörer.
Att försöka påpeka vikten av god informationssäkerhet vid digitaliseringen har som sagt varit ett arbete i stark motvind för att inte säga full stormstyrka i 25 år.
Ofta har den berättigade oron för den alltmer bristande säkerheten inom vård-it utmålats som ett Filifjonka-aktigt beteende och att varningarna för riskerna skulle ha lika litet med vår verklighet att göra som Filifjonkans permanenta ängslighet i Mumindalens idyll.
När det nu exempelvis framkommer att Region Värmland har anlitat en underleverantör för att hantera den extremt känsliga informationen i telefonrådgivning endast med dessa säkerhetskrav: Leverantören ska skydda sin information mot otillbörlig åtkomst och förstörelse i enlighet med gällande lagar, förordningar och föreskrifter.
Hur skyddet genomförs ska dokumenteras.
Leverantören ska på begäran kunna uppvisa denna dokumentation för landstinget.
Leverantören ska följa landstingets vid var tid gällande riktlinjer för informationssäkerhet.
ger det en indikation om hur relevant oron faktiskt var/är.
Observera att inga ytterligare krav ställts till exempel i form av en säkerhetsbilaga som förtydligar vad det är man vill ha, inte ens ett personuppgiftsbiträdesavtal i någondera riktningen finns.
Otroligt nog verkar hela den massiva hypen kring dataskyddsförordningen gått regionen förbi.
Med tanke på att hela härvan ännu inte är utredd ska jag, för att undvika förhastade slutsatser, inte kommentera alla juridiska och tekniska detaljer.
Enkla lösningar är det redan alltför många som kommer med.
Inte heller finner jag det meningsfullt att ägna mer tid åt den lyteskomik som svaren från de olika leden i leverans av telefontjänsten i 1177 gett utrymme för.
Istället ska jag försöka ringa något av det systemfel som ligger som grund för den uppkomna situationen.
Grundproblemet ligger i att vård-it i Sverige under trettio år har fått växa fram inte som en sammanhängande infrastruktur utan som en brädhög där olika aktörer kunnat lägga på sin egen bräda utan att behöva ta hänsyn till någon gemensam plan.
Detta skapar naturligtvis en låg grad av funktionalitet trots de enorma resurser som lagts på digitaliseringen men dessutom har det också skapar de oöverblickbara säkerhetsrisker som 1177-skandalen är ett av de mest flagranta exemplen på.
Den främsta säkerhetsrisken är att det i många fall är omöjligt att klarlägga ansvaret för säkerheten vilket med all önskvärd tydlighet framgår i fallet med 1177.
Intuitivt skulle nog de flesta säga att det största ansvaret ligger hos sjukvårdshuvudmännen, det vill säga främst regionerna/landstingen som i den svenska förvaltningsmodellen delegerats ansvaret för och där ansvaret definieras i hälso- och sjukvårdslagen: Med huvudman avses i denna lag det landsting eller den kommun som enligt lagen ansvarar för att erbjuda hälso- och sjukvård.
Inom en huvudmans geografiska område kan en eller flera vårdgivare bedriva verksamhet.
När det gällde hanteringen av information inklusive säkerhet var detta ansvar inte särskilt besvärligt att definiera på den tiden då landstingen också utförde den absoluta merparten av vården.
Då var journalerna allmänna handlingar som tillhörde landstinget och det också ställdes tydliga krav på hanteringen (ja, jag vet att det inte alltid funkade jättebra i verkligheten men jag rör mig nu på systemnivå).
I och med kommunalisering (ÄDEL) och privatiseringsvågen blev ansvaret otydligare.
Som en andra skänkel i saxen som klippte av tydligheten i ansvarsfördelningen fungerade rörelsen mot alltfler samarbeten mellan landsting som exempelvis Sjunet och de nationella tjänsterna.
Det är här jag menar att juridiken inte hängt med, inte genom att ställa krav på integritet i det nya landskapet.
Det juridiska ansvaret läggs nämligen främst på vårdgivaren: Med vårdgivare avses i denna lag statlig myndighet, landsting, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet.
Vårdgivaren kan vara vilken aktör som helst som bedriver någon form av vård, till exempel Medhelp.
Denne har också ansvaret för informationssäkerheten vilket mycket specifikt beskrivs i Socialstyrelsens föreskrift med regler för vårdens Problemet är bara att den mest säkerhetsmedvetne vårdgivaren ändå inte kan hålla sig för sig själv utan måste fungera i brädhögen av oklara ansvar eftersom man till exempel med nödvändighet måste använda bland annat nationella tjänster.
I och med detta faller alla de många goda råd som även säkerhetsexperter av olika dignitet framfört de senaste dagarna om att det bara är att ha tydliga upphandlingsrutiner, följa upp krav o.s.v.
Inte ens dataskyddet faller ut som man skulle kunna tro när man läser i avtalet mellan Region Stockholm och Medhelp och ser att regionen är personuppgiftsbiträde åt Medhelp och inte tvärtom….
Det som måste understrykas är att den digitala världen inte bygger på bilaterala relationer utan på multilaterala och att vi saknar verktyg att hantera den nya situationen.
Även trogna gamla kämpar som tillsynsvapnet riskerar att bli tandlöst eftersom tillsynen gäller enskilda organisationer.
Att skapa ansvarsförhållanden och möjlighet till ansvarsutkrävande avpassade för multilaterala infrastrukturer bedömer jag som den mest fundamentala säkerhetsåtgärden för vård-it.
Detta är inte något som en enskild vårdgivare kan ta ansvar för utan måste byggas upp på nationell nivå.
Tyvärr har denna grundläggande förutsättning totalt negligerats i de utredningar om e-hälsa som genomfört under senare år.
Mer om de moderna strukturerna finns att läsa i den nyligen utkomna antologin .
Ansvaret är alltså idag osynkroniserat med den nationella informationsinfrastrukturen och även med den tekniska infrastrukturen.
Ändå tror jag det är viktigt med ett ansvarsutkrävande.
Tyvärr kommer nog inte Region Stockholms innovationsregionråd ta sitt ansvar och avgå, inte heller hans motsvarigheter i Region Värmland och Sörmland.
SKL:s programansvarige för e-hälsa kommer att på motsvarande sätt skjuta ansvaret ifrån sig och Inera har snabbt varit ute och sagt att de går skuldfria ur denna förödande situation.
Tyvärr, inte för att vi behöver ett melodramatiskt utspel som när Toyota-chefen gråtande bad om ursäkt för sina fel eller syndabockar, men för att ge en reboot för vård-it.
Om ett antal digitaliseringspotentater inom vården åtminstone hade omdömet att säga: ”jag har villigt tagit emot all cred för att framstå som nyskapande och innovativ, nu tar jag lika villigt mitt ansvar när det visar sig att vi kört totalt fel inom e-hälsoområdet.”.
Detta vore en mycket viktig signal att vi nu inte ska fortsätta som förut utan gå in i en ny tid.
Det jag skriver ovan kan nog de flesta hålla med om på någon nivå men varför ser det då ut som det gör?
Jag skulle vilja hävda att det inte enbart beror på inkompetens utan i lika hög grad på attityd, möjligen arrogans.
Detta är en något nedslående tanke för sannolikheten för att kunna omvandla inkompetens till kompetens är större en att rå på decennier av negativ säkerhetskultur.
Jag förstår att det är mycket behagligare att ständigt mana framåt och inte hänga upp sig på problem och hinder.
I 1177-skandalen är patientens integritet som allvarligt skadats vilket är ett värde som talföra debattörer inom digitaliseringen och e-hälsa till och med i många sammanhang förnekat.
Den bristande samordningen kan också ses som ett resultat av SKL:s framgångsrika arbete som lobbyorganisation.
SKL är en intresseorganisation för regioner och kommuner som arbetsgivare och har med stor frenesi hävdat det kommunala självstyret inom hälso- och sjukvård.
Varje försök till styrning från staten nagelfars och min bedömning är att staten efter nedmonteringen av Socialstyrelsen inte ens har möjlighet till en effektiv myndighetsstyrning vilket lämnat fältet ännu mer fritt för SKL.
Ur ett samhällsperspektiv har det även lett till en starkt minskad insyn eftersom SKL, trots att man är helt finansierad av offentliga medel, inte lyder under offentlighetsprincipen.
Vad som pågår inom SKL och vilken agenda som drivs är därför svårgenomträngligt.
Under den tid jag jobbade på MSB och, bland annat inspirerad av den norska lösningen Normen, försökte få till en styrning bättre avpassad till de multilaterala relationerna fick jag ofta känna av SKL:s maktanspråk.
Ärligt talat så var intresset inte särskilt stort ens i min egen myndighet och inte heller i de andra myndigheter som hade uppdrag i någon form som påverkade säkerhetsaspekterna i vården.
Men var det ett svalt umgänge i myndighetssfären så var SKL:s engagemang i frågan på nollpunkten.
Mitt käcka erbjudande om att MSB skulle kunna samordna och tillföra väsentliga resurser och kompetens för att göra den så skakiga informationssäkerheten i vården bättre möttes mycket kallsinnigt.
Budskapet var att detta var en uppgift som regionerna kunde klara själva (med SKL:s hjälp) och att myndigheter inte hade i territoriet att göra.
Själv kände jag mig som en ovälkommen budbärare från de många medlemsorganisationer som satt med sin usla säkerhetssituation utan reell möjlighet att göra något åt den.
Med ett avancerat tjat lyckades det till slut att få SKL att skriva under den gemensamma strategi som jag tagit fram som underlag och som nu litet patetiskt ligger kvar på MSB .
Någon gemensam styrning á la Normen är lika fjärran som då strategin skrevs.
SKL har alltså haft alla möjligheter att själva ta fram de stöd som så väl skulle behövas i deras medlemsorganisationer.
Så har inte skett förutom det tveksamma verktyget för informationsklassning som jag skrivit om Något gemensamt regelverk för att hantera den multilaterala ansvarssituationen inom vården kan jag fortfarande inte hitta på SKL: s webbsida.
Intressant nog har ju inte SKL något formellt ansvar för informationssäkerheten i vården eftersom man är en intresseorganisation och kommer säkerligen inte att påta sig något sådant nu heller.
När nu nästa trend är AI i vården blir man inte direkt lugnare, särskilt inte när SKL:s programansvarige för e-hälsa ifrågasätter lagstiftningen snarare än ansvarskänslan hos införarna som .
I mina dystrare stunder tror jag vi nått vår kollektiva inkompetensnivå där vi ska skapat ett it-monster som ingen längre kan styra.
Vi har en situation med i princip outtömliga tekniska möjligheter promotas av aggressiva leverantörer.
Tekniken möter en omogen organisationsstruktur där verklig styrning ersatts av fritt spelrum för särintressen.
Till detta kommer den bristande självinsikten om att det är så här det ser ut och den negativa säkerhetskulturen inom vården.
Och slutligen juridik och företrädare för informationssäkerhet som fortsätter att leverera lösningar gjorda för enstaka organisationer eller möjligen bilaterala relationer vilken inte är till någon större hjälp i den dagens multilaterala arkitekturer.
Självklart kan vi inte ge upp utan istället ställa oss frågan hur vi kan genomföra de absolut nödvändiga förändringar som skulle göra vård-it till en seriös verksamhet.
Här vill jag anslå en ny ton för att markera att detta är mycket komplexa frågor som vi idag i huvudsak saknar svar på.
Det är inte enkla förbättringar av upphandlingsrutiner som kan leda framåt utan förändringar av en helt annan dimension som är nödvändiga.
Det är inte beställningar mellan kund och leverantör som är det verkliga problemet utan beställningen från regeringen till sjukvårdshuvudmännen som inte fungerar där sjukvårdshuvudmännen som leverantörer inte klarar av att skapa en säker vård-it.
Mina förslag, som jag inte när något större hopp om att de kommer att anammas, är att likna vid ett undantagstillstånd.
Det kan tyckas dramatiskt men allvaret i situationen kräver extraordinära åtgärder .
Parallellt med åtgärderna bör även en attitydförskjutning initieras där vi slutar se digitalisering som ett självändamål utan blir förmögna att ta in olika perspektiv som till exempel säkerhet.
Utgångspunkten bör också att det är en nationell struktur som ska byggas och förvaltas där de gamla organisationsgränserna inte längre får sätta käppar i hjulet.
Här kan man ana att en del integritetsnihilister vädrar morgonluft men bedra er inte; målet är att stärka integriteten, inte nedmontera den ytterligare!

Överenskommelse om kommunernas krisberedskap (dnr MSB 2018-09779) Överenskommelse om kommunernas arbete med civilt försvar (dnr MSB 2018-05681) Bilaga 1 omfattas av försvarssekretess (15 kap.
2 § offentlighets- och sekretesslagen (2009:400) och lämnas inte ut.
Sverige måste förstå att digitalisering inte är en lyxprodukt utan en kärnverksamhet.
En strategisk fråga blir att lyfta fram de förändringsagenter som finns ute i verksamheterna och helt enkelt vända på bevisbördan.
Det ska inte längre vara så att det är den som vill förändra som måste förklara sig utan snarare den som vill bevara det gamla.
Hur många av er upplever att juridiken stimulerar och möjliggör digitaliseringsresan inom hälso- och sjukvården?
Digitalisering skapar mervärde Man behöver förändra helheten – inte bara småändra i marginalen.
Då är risken att man lägger all kraft på en enskild lösning och inte på att förändra det som verkligen ger effekt Möt innevånaren/patienten tidigt genom digitala arbetsmetoder Inför ett moratorium inom vård-it och inför inte några nya lösningar som inte är absolut nödvändiga.
Gör en heltäckande genomgång av säkerhetsbristerna inom den svenska vård-it.
Stärk Socialstyrelsens roll i förhållande till sjukvårdshuvudmän vårdgivare när det gäller vårdens informationshantering.
Detta bör även gälla myndigheter som främst ska leverera e-tjänster som E-hälsomyndigheten.
Utred hur ansvarsförhållandena för informationshanteringen i vården ser ut och hur de borde se ut.
En central fråga är det reella ansvarsutkrävandet.
Säkerställ att även det långsiktiga behovet av vårdinformationen beaktas, både den enskilda patientens behov och samhällets behov av informationen för forskningsändamål.
Ta fram en strategi och en arkitektur för den nationella nivån som inte bara är fluff.
Ta fram en gemensam styrmodellvården och låt den förvaltas av myndigheter – inte av intresseorganisationer eller utförare i första hand.
Skapa ett ackrediteringssystem för anslutning till den nationella arkitekturen.
Skapa verktyg för systematisk uppföljning av informationssäkerheten inom vård-it och lita inte på att tillsyn av enskilda organisationer skapar säkerhet.
Utveckla utbildningar för de somen i vården.
Utveckla ett forskningsprogram för informationssäkerhetsstyrning i miljöer med multilaterala ansvarsförhållanden.

inte inte behov Folkviljan utövas genom inom En av nätläkarna tycker att det verkar ha varit en bristfällig konsekvensanalys inför beslutet och att det är märkligt att SKL:s handlingar inte omfattas av offentlighetsprincipen.

Meny SKR Inläggsnavigering

MENU MENU Postat av miljoner Postad i , , , , Tagged , , , , Postat av Postad i , , , , , Tagged , , , , , , Postat av Postad i , , , , Tagged , , , , , , , Postat av Postad i , , , Tagged , , , Postat av Postad i , , , , Tagged , , , Postat av Hej!
Postad i , , , Tagged , , , , Postat av Postad i , , , , , , Tagged , , , , , Postat av Postad i , , , , , Tagged , , , , , Postat av Postad i , , , , , Tagged , , , , Postat av Postad i , , , , , Tagged , , , , , , ← Sök efter:

Järnvägsresandets historia

1910 blev Karlstads lasarett det andra i Sverige som blev s.k.
delat lasarett (efter Falun).
Att ett lasarett blev delat betydde att det fanns både en medicinsk och en kirurgisk verksamhet.
I korthet var detta första steget på den snabba utveckling pådriven av en framgångsrik forskning där ögon, öron, ortopedi, röntgen, BB, barn, gynekologi o.s.v, o.s.v.
, blev egna specialiteter och subspecialiteter i ett allt finmaskigare nät.
Till detta kommer allmänmedicin och annan öppenvårdsverksamhet för att inte glömma psykiatrin i olika former.
Alla dessa med tiden hundratals olika kompetensområden måste organiseras i avdelningar, kliniker, mottagningar m.m.
för att få bästa möjliga vård för patienten till en för samhället rimlig kostnad.
Det räcker dock inte med att organisera vårdens olika verksamhet i förhållande till varandra utan vården måste styckevis och delt även passas in i samhällets generella styrning som i sin tur består av förvaltning respektive den politiska styrningen.
För Sveriges del har det i huvudsak inneburit inpassning i kommun, landsting/region och stat eftersom vården varit offentligt finansierad (även detta i huvudsak) sedan lång tid tillbaka.
Historiskt har vårdverksamheten i delar vandrat mellan huvudmännen.
Att allmänmedicin och psykiatri var ett statligt ansvar fram till 1960-talet och äldrevård en landstingsangelägenhet fram till ÄDEL-reformen då den överfördes till primärkommunerna är bara två exempel.
Vad jag vill säga med denna skamligt korta sammanfattning är att sjukvård är EXTREMT svårt att styra med en fullständigt oöverblickbar komplexitet i tre dimensioner: den interna styrningen av vårdarbetet och förvaltningsstyrningen samt den politiska styrningen.
Fram till 1970-talet var inriktningen för att hantera denna komplexitet bland annat att försöka skapa mer enhetliga huvudmannaskap vilket var en av orsakerna till att exempelvis allmänmedicin och psykiatri överfördes till landstingen från staten.
Denna trend avlöstes av den glada NPM-eran när styrningen av offentlig verksamhet fragmentiserades bland annat för att underlätta för privata alternativ.
Det var då äldreomsorgen och den social omsorgen fördes till den kommunala sektorn vilket bland annat har lett till bollandet av gamla multisjuka mellan två huvudmän – något vi sett de avskräckande konsekvenserna av nu efter covid-19.
Det är ett ganska väl beforskat hur organisatorisk komplexitet leder till det som slarvigt brukar kallas byråkrati men som jag hellre skulle benämna administration som inte är direkt kopplad till kärnverksamhetens uppgifter.
Ju större antal aktörer som ska förmås att röra sig i samma riktning eller åtminstone samspela, desto fler samordnade aktiviteter krävs för att hålla ihop helheten.
Det blir strategier, policies, planer, möten, kontroller och rapporteringar i olika riktningar.
Genom privatiseringen av offentlig verksamhet har dessutom ytterligare behov av upphandlingar, kravställningar, regelverk, beställningar och uppföljningar tillkommit.
Detta skapar kohorter av nya typer av administratörer, alltså inte den gamla typen som skötte budget, bokföring och löneutbetalningar.
Istället har kvalitetsutvecklare, upphandlingsspecialister, digitaliseringsstrateger, e-hälsosamordnare och (visst, jag kackar i eget bo) informationssäkerhetsansvariga tillkommit.
Och så naturligtvis kommunikatörer, kommunikatörer och åter kommunikatörer.
Utan jämförelser i övrigt kommer jag osökt att tänka på den här gamla klassiska bilden där jag föreställer mig vårdpersonalen dignar under hela lasset av administration upp till sjukvårdspolitiker och vårdbolagschefer.
Det är med detta i bakhuvudet jag läser i DN som drar en lans för förstatligande av sjukvården.
För mig framstår det som ett relevant förslag.
1962 gav de flesta landsting ut historiker över sina första hundra år.
Dessa historiker rymmer en fascinerande motsättning mellan beständighet och föränderlighet.
Landstingen hade funnits i respektingivande hundra år men vad ett landsting var och skulle syssla med hade ständigt förändrats under dessa är.
Vad detta lär oss är att hur samhällets basala funktioner ska organiseras ständigt måste omprövas för att institutionerna ska vara ändamålsenliga och anpassade till rådande behov.
Historiskt har detta skett kontinuerligt som jag snabbskissat ovan och det finns ingen anledning att tro att just den organisation av sjukvården har idag är den enda möjliga oavsett vad som händer i samhället i övrigt.
Själv hyser jag inte någon ohejdad tilltro till att ett förstatligande av sjukvården skulle lösa alla eller ens merparten av problem som vården har att leva med men i all enkelhet skulle åtminstone ett lager i pyramiden försvinna.
Förhoppningsvis skulle grundläggande mål som likvärdig vård vara enklare att uppnå.
En annan effekt är att den samordnade byråkratin internt mellan de idag 21 regioner skulle kunna plockas bort (även om den säkert delvis skulle komma tillbaka i en annan form).
Att inte bara DN utan även andra med viss energi börjar ifrågasätta regionernas roll väcker oro i regionsleden, inte minst hos särintressets främsta företrädare SKR vars ordförande Anders Knape som skrev ett kanske aningen sentimentalt på DN:s ledare.
Han, liksom regionala företrädare, lobbar ivrigt för att regionernas USP är den politiska styrningen av regionerna som hypotetiskt skulle göra sjukvården regionalt anpassad och därmed ”bättre”.
Med viss bombasm skriver Knape: den lokala och regionala nivåns omkring 40.000 förtroendevalda utifrån kunskap om invånarna lokalt och regionalt.
Deras kraft är oslagbar.
För den som något fördjupat sig i landstingens/regionernas historia väcker denna beskrivning antagligen skuggan av ett leende.
Inga sjukvårdsstrider har varit så infekterade som de enskilda landsting där sedan åtminstone 1920-talet omfattande manifestationer skett för att sjukstugor skulle placeras i ”rätt” samhälle eller rörande nedläggningar av sjukhus.
Knapes uttalande pekar snarare på en klassisk problemställning inom svensk sjukvård: den potentiella motsättningen mellan regional särart å ena sidan och likvärdighet nationellt å andra.
För mig framstår denna argumentationslinje också som alltmer paradoxal då SKR själva så intensivt försöker samla nationell styrning hos sig själva.
Som jag tidigare skrivit om har alltfler frågor börjat samordnas via SKR och därmed flyttats från den regionala nivån till en nationell.
Om SKR starkaste argument mot ett förstatligande är det demokratiska värde som finns i den regionala politiska styrningen verkar det ju vara att såga av sin egen viktigaste sittgren om makten förs från dessa demokratiska församlingar in i det mörker som föreningen SKR utgör.
Själv skulle jag alla dagar i veckan föredra en normal svensk myndighet framför SKR som nationellt samordnande.
Ibland dristar jag mig till och med till att tycka att det kanske är en demokratisk fördel om sjukvården lyfts bort från bypolitiken.
Knape har förstås en poäng när han lyfter fram mindre lyckade statliga experiment och då även inom digitaliseringsområdet.
Tyvärr måste jag dock säga att det är en boll som är svår att inte smasha tillbaka för den som strävar mot förstatligande av sjukvården.
INGEN fråga har engagerat SKR så mycket som digitalisering som lösning på all och jag misstänker att man har en gemensam morgonbön i SKR-palatset som går ungefär så här: Digitalisering, låt ditt namn bli helgat Låt ditt rike komma.
Ge oss i dag vårt dagliga bröd .
Och glöm våra misslyckade projekt, så som vi glömmer dem själva.
Och för oss inte in i verkligheten, utan fräls oss från ansvar.
Förlåt, det är semester… Min poäng är att trots den närmast religiösa inställning som SKR har till digitalisering i teorin så ser i praktiken digitaliseringen av den svenska sjukvården som ett härke trots de enorma resurser som tillförts.
Jag sitter mycket tungt på mina händer för att inte skriva något om den totala frånvaron av samordning av informationssäkerhet och det provocerande ointresset för integritetsfrågor där SKR knappast agerat som insiktsfull vägledare för sina medlemmar.
Om verkligheten ska användas som betygssättare för regionernas och SKR:s förmåga att skapa en nationellt sammanhållande och långsiktigt fungerande vård så ser det rätt illa ut för Knapes linje.
För att komma vidare vore det önskvärt med en hederlig gammaldags utredning som inte helt styrdes av särintressen inom vården.
Personligen lutar jag svagt åt att behovet av nationell samordning av sjukvården bäst hanteras genom ett förstatligande åtminstone av delar av vården.
Det kommer visserligen att skapa nya gränslinjer – hur ska exempelvis äldreomsorgen hanteras med större medicinsk kompetens – men jag tror verkligen det är dags att ompröva dagens situation.
Att lyckas med sitthandlar i hög grad om att kommunicera.
Att kommunicera handlar i sin tur i hög grad om att skapa förståelse och samsyn.
Detta är nödvändigt för att få människor och organisationer att agera.
Banala sanningar kan tyckas men tyvärr är dålig kommunikation en ständig ledsagare för de som arbetar med informationssäkerhet.
Själva begreppet informationssäkerhet saknar en tydlig och accepterad .
Detta leder till problem både för dem som anser sig arbeta med ”informationssäkerhet” och för dem som avser att anställa eller anlita vad de tror är en definierad kompetens.
Det blir inte enklare då man slänger in nya spännande beteckningar som ” ”.
Jag tror att det finns en olycklig tendens att de som arbetar med informationssäkerhet (i någon form) är mer intresserade av att bekräfta varandra i gruppen än att skapa en relation med omvärlden, d.v.s.
en relation byggd på ömsesidig förståelse.
Ta exemplet med titeln ”CISO” som fått en snabb spridning i svenska myndigheter inklusive regioner och kommuner.
Uttytt står CISO för vilket låter flott men titeln leder enligt min mening till mer oförståelse och förvirring än klarhet.
När informationssäkerhet i sig ännu inte är ett hushållsbegrepp så min fråga är varför man i Söpple kommun väljer att höja svårighetsnivån ytterligare och införa en titel som är helt ogenomtränglig för alla utanför skrået.Vad man chiefar över är även det höljt i dunkel.
Särskilt märkligt blir detta titulerande sett i ljuset av den svenska språklagen som uttryckligen skriver: Språket i domstolar, förvaltningsmyndigheter och andra organ som fullgör uppgifter i offentlig verksamhet är svenska.
I annan lag finns särskilda bestämmelser om rätt att använda nationella minoritetsspråk och annat nordiskt språk.
När det gäller skyldigheten för domstolar och förvaltningsmyndigheter att anlita tolk och att översätta handlingar finns det särskilda bestämmelser.
Språket i offentlig verksamhet ska vara vårdat, enkelt och begripligt.
Myndigheter har ett särskilt ansvar för att svensk terminologi inom deras olika fackområden finns tillgänglig, används och utvecklas.
Detta har alltså svenska myndigheter att följa vilket jag finner som ett rimligt krav.
Jag har funderat över varför så många väljer att bryta mot detta när det gäller CISO-begreppet, vad vill man uppnå på bekostnad av att varken den egna organisationen eller de invånare man är satt att tjäna begriper vad man sysslar med?
CISO är ju inte heller på något sätt en skyddad yrkestitel eller resultatet av en specifik utbildning utan kan stå för litet vad som helst.
Jag är den första att förespråka en klassisk professionalisering av vår yrkesgrupp, vilket jag skrivit om bland annat , men då är det helt andra och mer seriösa åtgärder som krävs än en flashig titel.
Vi borde vilja nå ut, inte spinna in oss i en allt tätare skråkokong.
Återigen; CISO-begreppet är bara ett exempel men jag tycker det är signifikativt för en attityd som jag menar är till nackdel både för professionen och för uppdragsgivare.
En episod som ofta återkommer i mitt minne är när en medarbetare för ett antal år sedan argumenterade för sin linje (som inte var min) med fritt citerat:” well, det är så vi i communitiet ser det.”.
Tyvärr fann jag mig inte tillräckligt snabbt för att fråga exakt vad ”communitiet” egentligen var och vilka som ingick i det men jag misstänker att det var någon slags informell och självutnämnd kommitté av människor som såg sig som ägare av informationssäkerhetsfrågan i Sverige.
Eftersom jag själv alltid skytt den här typen av gemenskaper är jag partisk.
Ändå vill jag säga jag uppfattar den här kårandan som ett problem som gestaltas bland annat genom lanserandet av CISO-titeln.
Istället för att rikta blicken på den egentliga målgruppen, det vill säga de som inte arbetar med informationssäkerhet, spelar vi för vårt eget galleri.
Den skapar också osunda lojalitetsband eftersom det saknas objektiva och accepterade krav på den som ska ses som en kompetent yrkesutövare.
Låt oss skingra dimman och inrikta oss på att nå ut till de som vi egentligen ska tjäna och skapa förutsättningarna för en seriös utveckling mot en profession.
Detta kan också en etablerad titel med ett tydligt kompetenskrav som på sikt till och med skulle kunna bli en skyddad.
Det är lätt att bli tidsblind men jag tror att vi även efterhand kommer att uppfatta våren 2020 som den värsta krisperioden i Sverige sedan andra världskriget.
Skadad av historiska studier är jag väl medveten om hur svårt det är att bedöma nutiden medan den pågår men har ändå blivit fascinerad av hur den nationella beredskapen fungerar när det som alla pratar om men ingen sett inträffar.
Det vill säga den stora samhällskrisen.
En termometer på hur väl det svenska krissystemet mår är den centrala myndigheten för dessa frågor Myndigheten för samhällsskydd och beredskap, MSB.
Jag hade egentligen, efter att ha studerat ett ganska stort antal allmänna handlingar, tänkt skriva om hur myndigheten hanterat det beryktade enkätverktyget.
Det är i sig en intressant historia som i delar redan skildrats av flera medier, kanske mest heltäckande av Arbetaren bland annat .
När man läser handlingarna är det så många överraskande steg allt sedan regeringen den 19 mars ger MSB ett uppdrag (Ju2020/01165/SSK) : Regeringen uppdrar åt Myndigheten för samhällsskydd och beredskap (MSB) att säkerställa att myndigheternas information med anledning av utbrottet av det nya coronaviruset är samordnad och tydlig samt att det finns effektiva kanaler för att föra ut informationen.
I uppdraget ingår att skyndsamt utarbeta ett nationellt informationsmaterial som på ett effektivt sätt ska kommuniceras till så många som möjligt.
MSB får 75 miljoner (!)
för att genomföra uppdraget under 2020, ett uppdrag som till synes inte på något sätt innehåller smittspårning eller insamlande av uppgifter.
Kanske är det de 75 miljonerna som snedvrider uppdraget från början, kanske lockar de 75 miljonerna till sig aktörer som ger myndigheten tips om vad de skulle kunna hitta på för att sätta sprätt på pengarna.
I vilket fall så är det inte MSB:s professionella kommunikatörer som får lead i detta jättelika kommunikationsuppdrag utan Avdelningen för cybersäkerhet och säkra kommunikationer.
Det formella beslutet på denna interna delning kommer den 26 mars, dagen efter att MSB bjudit in Folkhälsomyndigheten till ett möte där den förra myndigheten erbjuder den senare ett digitalt verktyg, allt enligt minnesanteckning från mötet: Kort möte med GD Folkhälsomyndigheten (FHM) sen em 25/3.
MSB tar upp initiativ kring digitalt verktyg för digital självskattning.
GD FHM positiv, betonar att ett sådant här verktyg inte ska driva fysisk testning i fel riktning.
Viktigt att anpassa svar på självskattning så respondenten inte förväntar sig att bara för att man gör digitalt test så får man fysiskt test.
Vad som händer under veckan där MSB:s samordningsuppdrag för myndigheters kommunikation angående corona övergår till att handla om ett digitalt verktyg för självskattning av smitta är för mig okänt men det är uppenbart att det är MSB som vill ha verktyget.
Litet småaktigt vill jag poängtera det eftersom jag själv blivit åthutad på sociala medier av en i utvecklingsarbetet involverad konsult när jag hävdade att det var så det låg till.
Några dagar efter åthutningen gick MSB officiellt ut och sa att det var på deras initiativ som verktyget .
Note to self som konsult: undvik att agera som dina kunders talesperson om du inte formellt blivit ombedd.
Enligt den juridiska utredning som MSB låter en extern byrå genomföra framgår det att det inte ingår i MSB:s uppdrag att bedriva smittspårning.
Därför måste man ha med sig expertmyndigheten FHM för att kunna genomföra projektet med digital självskattning.
Redan här går det se de problem som snart kommer att göra att projektet blir en återvändsgränd.
Rollen som samordnande myndighet kräver respekt för olika aktörers uppdrag och mandat och detta särskilt i trängda lägen, inte att man försöker ta över andra myndigheters uppgifter.
Sedan följer en närmast smärtsam historia fram till slutlig nedläggning via ett antal anhalter där det blir allt tydligare att ingen utom MSB (och leverantör samt konsulter) är intresserade av verktyget.
Kontentan blir x antal miljoner i sjön (konsultkostnaderna är inte medräknade i de 6,4 miljoner som MSB ska betala till leverantören), en granskning av Konkurrensverket och ett rejält tapp i anseende när MSB som bäst skulle behöva det.
Sannolikt har MSB tappat i förmåga att genomföra det egentliga uppdraget från regeringen: att samordna myndigheters information angående corona vilket knappast kan glädja uppdragsgivaren.
Det går att föreställa sig mindre trivsamma samtal på regeringskansliet.
Som en slutkommentar till Arbetaren säger MSB:s pressekreterare: Vi tar hellre kritik för att vi skyndar på att ta fram en lösning som på något sätt kan vara till hjälp när människor dör, än att få kritik för att vi sitter på händerna och inte gör något.
Vi ansåg att vi var, och är, i ett läge där det var viktigt att agera när det handlar om människoliv.
MSB reagerar alltså exakt på det sätt som jag skrivit om i ett tidigare , att göra NÅGOT känns alltid bättre även om detta något är inte leder framåt eller förbättrar situationen.
I krissituation är det viktiga tillit och att alla vet vem som ska göra vad.
I bakhuvudet gnager en liten olustig känsla av att myndigheten kan ha reagerat på yttre påverkan vilket lett fram till haveriet.
Det är lätt att glömma bort att de vanligaste påverkanskampanjerna är de ekonomiska.
Det skulle vara lätt att göra sig lustig över denna tragikomiska historia.
Det är inte min intention.
Istället får den mig, liksom många andra i dessa dagar, att reflektera över den svenska beredskapen och myndigheters förmåga.
Framförallt funderar jag på hur MSB (och andra myndigheter) förefaller så synnerligen oförberedda på en pandemi att man är tvungen att kasta sig in i så äventyrliga och ofruktbara aktiviteter som webenkäten.
Pandemi är verkligen inte en svart svan i ett riskperspektiv utan snarare vad Michele Wucker kallar en ”grå noshörning”: A “gray rhino” is a highly probable, high impact yet neglected threat: kin to both the elephant in the room and the improbable and unforeseeable black swan.
Pandemier har redan inträffat och har varit på MSB:s short list över samhällsrisker ända sedan myndigheten startade.
Ändå tycks inte nödvändiga förberedelser för samordning i en pandemisituation ha gjorts.
Detta ska inte MSB lastas för utan snarare de regeringar som styrt under perioden.
Kanske måste djurmetaforerna gå vidare till svarta strutsar (ja, jag vet att det inte är så i verkligheten att strutsar gräver ner huvudet vid annalkande fara men det är en bra metafor).
Nu pratas det i alla politiska läger om vikten av att förbättra den civila beredskapen och kanske till och med snegla tillbaka till beredskapens guldålder i Sverige: .
Problemet med detta är att det innebär att ett antal av dagens heliga kor måste slaktas om det ska fungera.
Det är inte bara mycket stora ekonomiska resurser som behövs.
Vi har under närmare 40 år demonterat den starka staten som är en förutsättning för en sammanhållen nationell beredskap och istället privatiserat och fragmentiserat ansvaret utan tanke på hur alla skärvor ska kunna skapa en helhet då det behövs.
Typexemplet på detta är ansvarsprincipen som inte är inskriven i någon lag men som har haft en förödande inverkan på den gemensamma styrningen av krisberedskapen.
Fragmentiseringen har inte kompenserats med en stark myndighet som nationellt nav.
MSB:s roll är istället att försöka samordna utan sammanhållen nationell planering och i stort utan mandat att faktiskt styra samhällsviktiga aktörer.
Fallet med webenkäten får tolkas som ett utslag av MSB:s omöjliga roll och borde vara ett exempel av många som bör leda till att ansvarsprincipen omprövas och att en verklig krisberedskapsmyndighet med fullt mandat skapas.
Lämnade idag följande remissvar angående arkivutredningen.
Arkivutredningen fick i uppdrag att göra en bred översyn av arkivområdet i Sverige.
Jag menar att utredningen inte lyckats formulera de strategiska frågor som är av verklig betydelse för att arkivväsendet ska kunna uppfylla sin viktiga samhällsfunktion, än mindre kommit med lösningar på dessa frågor.
Istället har man fastnat i detaljer och frågor av mindre betydelse.
Genomgående har det som kan sammanfattas som ”kulturarvsperspektivet” få styra utredningens inriktning och prioriteringar.
Det gör att de mycket komplexa frågor som samhällets informationshantering brottas med i huvudsak lämnas utan behandling.
Några av de frågor som jag menar är av essentiella för att information av vikt ska kunna säkras för framtiden och som utredningen utelämnar i sin rapport är följande.
Det finns i idag ingen plan för hur all den information som skapas idag ska bevaras med kvalitet, säkerhet och autenticitet för framtiden.
Detta är kärnan i all arkivverksamhet.
När vi nu har en exponentiell tillväxt av information saknas organisatoriska, metodmässiga och tekniska lösningar för det långsiktiga bevarandet.
Likaså saknas aktuell vägledning för hur gallring ska kunna genomföras i de enorma informationsmängder som skapas.
De senast tillkomna generella vägledningar rörande gallring togs fram av Riksarkivet under senare hälften av 1990-talet, d.v.s.
för snart ett kvarts sekel sedan.
Istället för varaktiga lösningar har spridda experiment med så kallade e-arkiv skett i olika regi som exempelvis Statens servicecenters upprepade misslyckande med en e-arkivtjänst.
Dessa lösningar är dock bara mellanarkiv – hur det slutgiltiga omhändertagandet av den digitala informationen är fortfarande höljt i dunkel.
Denna fråga borde ha varit centrum i utredning som har till uppdrag att göra en översyn av arkivverksamheten.
Ända fram till 1990-talet föreföll det fortfarande relevant att utgå från att varje myndighet kan ha i uppdrag att kontrollera den information man själv upprättar samt den information som inkommer till myndigheten.
Detta är idag ett betraktelsesätt som ligger långt ifrån den verklighet som snarare består av en snabbt sammanväxande nationell (och delvis internationell) informationsinfrastruktur.
Offentliga och privata aktörer ingår i processer information utbyts, förädlas, aggregeras och ackumuleras i snabb takt.
Svåra frågor som hur information ska kunna reproduceras från olika källor på ett säkert sätt över tid berörs inte av utredningen.
Inte heller hur ansvarsfördelningen i denna gemensamma infrastruktur ska fördelas röner intresse hos utredningen.
Vad som ska utgöra allmänna handlingar i den enskilda myndighetens arkiv liksom vem som ska ses som arkivbildare i denna helhet finns det idag inga officiella verktyg för att avgöra.
Även detta hade varit en central fråga att peka på för utredningen.
Arkivlagen gör en sammankoppling mellan allmänna handlingar och arkiv: Tyvärr gör denna sammankoppling att då en allt mindre andel av en myndighets handlingar ses som allmänna handlingar, vilket är negativt i sig, kommer även andelen information som ska bedömas ur arkivperspektivet att minska.
Vad denna utveckling innebär för framtidens möjlighet för bland annat forskning tas inte upp utredningen.
Ej heller hur detta påverkar den svenska demokratin där en mer extensiv tillämpning av vad som ska utgöra allmänna handlingar skulle kunna förbättra insyn och delaktighet.
Av särskilt intresse är de verksamheter som tidigare varit offentliga men som privatiserats och där det inte längre finns allmänna handlingar som ger insyn eller möjlighet till forskning.
Här finns privata företag men även intresseorganisationer som SKR som med offentliga medel skapar information med stor betydelse för samhället men som samhället saknar kontroll över.
I informationssamhället är av naturliga skäl information den viktigaste resursen.
Den information som skapas av myndigheter inklusive kommuner och regioner är därför begärlig inte bara inom myndighetssfären och inte bara för forskning utan även för nationella och internationella företag.
Detta har uppmärksammats vad gäller personuppgifter och alldeles särskilt för personuppgifter inom hälso- och sjukvård som är det nya guldet för många multinationella företag.
Hur svenska myndigheter ska förhålla sig till detta utan att t.ex.
äventyra personlig integritet eller riskera att snedvrida verksamheten för att producera information kommenteras inte av utredningen.
Lika litet berörs hur arkivväsendet ska förhålla sig till långsiktigt enormt värdefulla vårdsystemen och hur de ska bevaras för framtiden.
Riksarkivet har uttryckt att de anser att myndigheten ska får peka ut ”samhällsviktig” information oavsett arkivbildare.
Jag menar att det snarare behövs en analys av informationens betydelse som samhällsresurs för att först därefter kan bli möjlighet att besluta om hur prioritering och omhändertagande ska ske.
Utredningen uppmärksammar inte den nära relation arkivområdet har till områden som informationssäkerhet och dataskydd samt generell informationshantering.
Möjligen har det dominerande kulturarvsperspektivet gjort utredningen blind för de aktuella utmaningar som kräver samverkan mellan dessa områden.
Ett förslag är att snarast ta fram en strategi för svensk arkivverksamhet som behandlar ovanstående frågor.
Strategin bör bygga på en utredning som förutsättningslöst går igenom: möjligheter för att långsiktigt kunna bevara och tillhandahålla för samhället relevant information i autentisk form.
I detta ligger även att analysera intressenter och på vilket sätt de ska få tillgång till information alternativt påverka vilken information som ska tas fram/bevaras.
Utan närmare analys går att säga att hela andra resurser än nuvarande kommer att behövas för att ta hand om informationen.
Hur en hållbar finansiering på tillräcklig nivå ska ske är även det en fråga som bör utredas innan en strategi tas fram.
Fia Ewald En gång arkivarie, alltid arkivarie Kriser har den fördelen att de oftast tar slut.
Att framgångsrikt hantera kriser bygger därför på att man inte bara hanterar nuet utan även framtiden.
Folkhälsomyndigheten har varit beundransvärda i att de lyckats hålla blicken uppe och fått allt fler att förstå att bekämpningen av coronaviruset inte bara handlar om drastiska åtgärder här och nu utan att vi både måste tänka på nästa virusvåg som kanske kommer redan i höst.
Ett annat budskap är att vad som ska värnas är folkhälsa där virusbekämpningen inte får överskuggande sekundäreffekter som i skapar större ohälsa och död än själva viruset.
Däremot når nu MSB:s insatser en sådan nivå att de t.o.m.
får vara med i satirinslaget i P1, en ynnest som är få myndigheter förunnad.
Inslaget handlar förstås om den famösa enkätappen som jag omnämnde i mitt förra och som nu även tagits upp i MSB har hintat om lanseringen av appen med en näraliggande men okänd startpunkt.
Tyvärr har myndigheten inte någon kommunikationslinje i frågan, vid konkreta frågor som i Eko-inslaget kommer endast undflyende svar.
Jag kan förstå det.
Det är svårt att sälja in en lagring av personuppgifter på befolkningsnivå i en amerikansk molntjänst.
Eftersom jag själv varit engagerad i svagheterna i projektet Hälsa för mig så har jag svårt att känna stark tilltro till att det snabbt går att vispa ihop en dylik tjänst med tillräcklig säkerhet och med tillräcklig respekt för dataskyddsförordningen.
Det är ju liksom ingen slump att eSam gjort ett om det olämpliga i att använda molntjänster när personuppgifter eller annan känslig information förekommer.
Vid sidan om själva enkätappen är MSB:s kommunikation den lika märklig.
Grunden för fungerande kriskommunikation är att inte skapa mer oro än nödvändigt utan delge de fakta som finns och som är relevanta i den aktuella situationen.
MSB har nu haft några olyckliga veckor trots att de ska vara samhällets experter på kriskommunikation.
Kanske tröttnade man att vara transportsträckan i dagliga presskonferensen på Folkhälsomyndigheten och att det var orsaken till att man helt plötsligt spicade upp sin monotona redogörelse om samordningsmöten med länsstyrelserna med att föranstalta en möjlig vattenbrist.
En signal som ledde till att redan hårt tyngda kommuner fick svara på helt irrelevanta frågor om icke-existerande vattenbrister från oroliga medborgare och medier.
Sedan detta smyglanserande av enkätappen som skapar frågor som inte besvaras utan skjuts till en obestämd framtid.
Detta leder inte till en större tillit i krisen.
Någon skulle kunna invända att nu när vi står inför en så stor kris som denna blir frågor som säkerhet och integritet underordnade.
Jag håller inte med om detta utan som jag skrev i mitt tidigare inlägg så är det när vi är som mest pressade som vi måste försöka tänka klart och följa de rutiner vi satt i normalläget, t.ex.
gällande riskbedömningar.
Vi ser nu hur det runt om i världen sker överträdelser mot grundläggande rättigheter och att auktoritära medel som inkräktar på individens sfär alltför villigt vidtas.
I Sverige har vi en lång stabil tradition av tillit och respekt men det finns ingen garanti att vi klarar att bevara detta.
Att myndigheterna sköter sig, inte genar eller agerar impulsivt är också grunden för den tillit som krävs för krisbekämpningen – inklusive att genomföra smittspårning m.m.
Efterklokt skulle man möjligen kunna kritisera myndigheterna för att de inte tagit fram ett smittspårningsverktyg i mellantiden sedan svininfluensan för ett decennium sedan utan börja ad hoca nu för då skulle säkerhetsfrågorna sannolikt kunnat hanteras på ett systematiskt sätt men det båtar föga.
Naturligtvis skulle man kunna säga att det är dumt att spekulera när så litet är känt och allt det jag skriver nu står på en mycket vacklande grund.
Ändå är detta en så viktig fråga att det är svårt att låta bli och spekulationernas kvalitet blir även den ett resultat av MSB:s kommunikationsplan.
För mig är det svårt att förstå hur en kombination av inloggning med BankID, amerikansk molntjänst och och känsliga personuppgifter inte skulle leda till mycket stora risker och att dataskyddsförordningen inte kan efterlevas.
MSB:s gedigna juridiska kompetens har möjligen gjort en annan bedömning men det är just den man skulle vilja ta del av, särskilt som den rimligen redan är färdigställd om breddlanseringen ska ske i dagarna.
Med den som underlag skulle kriskommunikationen kunna ske utan att orimliga spekulationer och onödig oro uppstår.
Mitt förslag är att, särskilt efter medieuppmärksamheten, MSB omedelbart presenterar den som är av stort intresse särskilt för oss som följt diskussionerna efter eSams uttalande.
Har MSB lyckats knäcka den nöten så är det stora nyheter för både Eller så har jag och en hel del andra missuppfattat upplägget (inte alls otroligt) och då vore det ju bra om MSB gick ut och beskrev hur det egentligen ser ut.
Är det så att MSB inte har ett vattentätt underlag så kommer man att underminera det mycket mödosamma arbete som bedrivs i många, om inte de flesta, organisationer, idag för att nå fram till ett ansvarsfull sätt att hantera molntjänster.
Detta menar jag vore förödande för MSB som den myndighet som ska samordna samhälletsslarvar med säkerheten.
Det skulle leda till att det svenska samhället skulle få ännu svårare att bemästra de mycket utmanande uppgifter vi redan står inför.
MSB:s egen verksamhet är ett show room för hur det är tänkt att andra myndigheter ska agera och förutom legitimitet finns det också mycket reell säkerhet att förlora om inte MSB klarar sin roll att leda genom sitt exempel.
MSB:s skrift Om krisen eller kriget kommer har en aningen märklig titel som om det finns ett krisfritt alternativ.
Jag tror både myndigheten och vi andra skulle tjäna på att ”när” snarare än om, i alla fall när det gäller kriser.
När krisen verkligen kommer skapas ett skilje där organisationer och individer ofrivilligt visar sitt virke, om man klarar att fungera rationellt även under press.
Planering för vad som ska göras när allt står på ända är ett bra sätt att stärka sitt virke.
Så än mer att kunna upprätthålla sina principer och sin planering när krisen väl inträffar.
Länge fanns en syn att säkerhet var ett hinder för en fungerande verksamhet.
Långsamt har vi tagit oss till en situation där allt fler ser att säkerhet inte är hinder för verksamheten utan en förutsättning, och då alldeles särskilt i svåra situationer.
Vi kan inte gå tillbaka till ett antingen det ena eller det andra, vi måste fortsätta kämpa för både effektivitet och säkerhet.
Det är bra om MSB befinner sig på rätt sida i det arbetet så att inte nya stora problem har skapats som ger utslag när krisen väl är över.
Jag kommer nu att ikläda mig rollen av glädjedödare i dessa ändå så svåra tider – jag ber om ursäkt för det.
Under de senaste veckorna i coronans tid så blommar olika personligheter och mänskliga beteenden för att hantera kriser ut.
I denna vilda blandning av känslor och rationalitet är det inte lätt att urskilja vad som är vad.
Jag tänker nu oftare än vanligt på hur viktigt individens men också organisationens sätt att agera varit i de mer kritiska situationer jag varit inblandad i och vem jag skulle vilja ha vid min sida i en verkligt akut situation.
Att inte låta känslorna styra i en krissituation kan nog alla hålla med om i teorin.
Vi vet att stress försämrar vår tankeförmåga och att det därför i krissituationer är lätt att tillgripa helt fel lösningar eller missa uppenbara svagheter i handlingsalternativen.
Likaså är historien rik på exempel där boten varit värre än soten, d.v.s.
att de åtgärder man vidtagit för att hantera ett akut problem på kort eller lång sikt lett till värre konsekvenser än det ursprungliga problemet kunnat orsaka.
En illustration på detta är agapaddan som trettiotalet importerades till Australien från Hawaii som ett slags biologiskt bekämpningsmedel av en skalbagge som hotade sockerbetsodlingar.
Nu finns det över 100 miljoner av den giftiga paddan som hotar djur- och växtlivet på hela kontinenten.
Detta försvåras av att de sekundära problemen kanske uppstår inom ett helt annat område än där den ursprungliga krisen rör sig.
De som arbetar med krishanteringen kan därmed inte överblicka de möjliga sekundära konsekvenserna eftersom man kanske inte ens har rätt kompetens för att upptäcka dem.
Jag ska inte här gå in på det utslitna filosofiska järnvägsproblemet där olika liv ställs mot varandra utan nöjer mig med att säga att ALLA mår bra av att läsa filosofi och dessutom tänka några extra varv.
När vi blir utsatta för en pressande situation får många individer och organisationer ett starkt behov av att agera.
Att agera är ångestdämpande i sig för det ger känslan av att påverka hotet oavsett effekten av åtgärderna.
Just här menar jag att det just nu finns ett riskabel situation när både individer och myndigheter i positiv anda försöker bekämpa coronan eftersom man i vissa fall tycks släppa sitt ordinarie säkerhetstänkande (vilket väl i ärlighetens namn inte är på toppnivå ens i normalläget).
Samma sak med integritet och skyddet av personuppgifter.
De nya och provisoriska arbetssätten leder till nya risker som måste fångas upp och reduceras.
Anekdoter om hur man helt plötsligt fått oväntat besök i sitt Teams- eller Zoom-möte florerar utan att det observeras som ett säkerhetsproblem.
Okritiska reportage om hur kreativa elever fått skolor att börja använda (!)
i skolans uppgifter.
Entreprenörer som flashar om att de håller på att utveckla appar för smittspårning.
Säkerhet och integritet nämns ytterst sällan och då bara i formuleringar som ”liv går före allt” vilket implicit tycks betyda ”vi struntar i informationssäkerhet och integritet”.
Extra betänksam blir jag av att många tycks inspirerade av Kinas övervakningsmetoder och i denna uppskruvade anda inte tycks se vad de kostar.
När det i fredags kom ett kort meddelande på Ekot att MSB håller på att ta fram någon form av app för smittspårning åt FHM men inte vill kommentera hur den ska utformas undrar jag hur genomtänkt den lösningen egentligen är (särskilt ironiskt med tanke på att MSB varit en bastion spårbarhet som säkerhetsdimension).
Eller är detta myndigheter som drabbats av ett akut behov av att se verksamma ut och därför är beredda att hoppa över säkerhetsskacklarna?
Det är svårt att se hur en sådan lösning skulle kunna tas fram med tillräcklig legal och säkerhetsmässig analys på så kort tid.
När jag pratar om vikten av säkerhet avser jag inte enbart konfidentialitet.
Om man ska skapa olika rapporteringstjänster måste även behovet av riktighet, spårbarhet och tillgänglighet bedömas – annars riskerar man faktiskt att få lösningar där boten är värre än soten.
En lösning för akut rapportering som bygger på sms (förekommer faktiskt) leder till falsk trygghet och att nödvändiga åtgärder kanske inte sätts in för att ta ett enkelt exempel.
Det är just i krissituationer som det systematiskat prövas.
Det är nu som informationsklassningar och riskanalyser har som störst betydelse för att medvetna risker ska kunna tas av den som är riskägare.
Jag vill inte att all kreativitet och god vilja ska kväsas men vi måste arbeta på ett sätt som inte leder till större skador på sikt.
Även om det är kontraintuitivt så måste medvetna bedömningar göras av risker och lagstiftning respekteras.
Appar som används för rapportering av symptom för diagnos är exempelvis medicinsk-teknisk utrustning och måste uppfylla kraven på sådan.
Vi kan inte ge oss hän åt våra känslor utan måste låta systematiken ge oss tillgång till rationaliteten.
Extra illa om en myndighet som MSB signalerar att säkerhet skulle vara av underordnad betydelse i krislägen.
Det är nu vi som mest behöver vårt förnuft och då är det inte alltid bäst att göra ”något” utan vi måste göra så rätt som möjligt.
Jag blev ombedd att vara med som expert i en rörande den nu så aktuella frågan distansarbete.
Det blir ju litet fragmentariskt när man svarar på inkomna frågor så jag tänkte ta tillfället i akt och sammanställa några rekommendationer rörande distansarbete.
Den organisation som tagit fram (samt övat) en fungerande och dessutom tagit fram regler för distansarbete i normalläget har naturligtvis ett stort försprång nu.
För de som inte fokuserat på detta är det en längre väg att gå men då gäller det att man är på rätt väg innan man börjar gå.
Utgångspunkten för nedanstående rekommendationer är att det är verksamhetens processer som ska upprätthållas.
För processerna är informationen en central resurs.
Informationen och organisation i centrum alltså medan it-säkerheten blir den följd av de krav som verksamheten ställer.
Jag tar inte upp ergonomi eller vikten av gemensamma kaffestunder.
Målbilden är att kunna arbeta lika säkert på distans som på den ordinarie arbetsplatsen.
Jag ska nu framföra den något inopportuna åsikten att det dokumenteras för litet i organisationerna.
Inopportun eftersom vi fortfarande lever i en tid med oändlig övertro på fragmentiserade mätvärden, checklistor, matriser och inkodande, väl skildrat .
Huvudsak blir bisak och frågan är allt oftare för vems skull allt detta registrerande sker, kanske inte för patienten eller eleven utan för att försörja något multinationellt företags omätliga begär efter data?
Det är inte denna typ av dokumentation jag skriver om här utan snarare när matriser ersätter resonemang och utvecklade bedömningar.
För att ta informationssäkerhetsområdet som ett exempel ser jag som regel snarare än undantag informationsklassningar och riskanalyser vars värde kan ifrågasättas, särskilt i det längre perspektivet.
Det som återstår efter timmar av nedlagd arbetstid och noggrann analys är alltför ofta en matris eller ett excel-ark utan förklaringar.
Deltagare eller roller som ingått framgår inte och inte heller hur resultatet ska hanteras.
Men mest saknas på vilka grunder bedömningen gjorts.
Att arbeta på det här sättet är som att skriva i vatten.
Skrivandet, när det sker på ett beständigt sätt, är i sig ett stöd för tanken.
Medan man skriver formulerar man sina tankar, utvecklar och förtydligar, hittar svagheter, gör synteser och lägger grunden för kommunikation.
Man skapar förutsättningar för en diskussion som vaskar fram de bästa praktiska lösningarna.
Både informationsklassningar och riskanalyser ska naturligtvis ske återkommande.
En väl dokumenterad tidigare klassning eller riskanalys är ovärderligt stöd då proceduren ska upprepas.
Istället för att börja från noll kan man gå igenom vilka faktorer som kvarstår eller ändrats, om man fått fördjupad kunskap som påverkar bedömningarna, om åtgärder vidtagits som påverkar risken eller om lagstiftning tillkommit för att ta några exempel.
Utan bra dokumentation kommer inte ens de som deltagit i den förra övningen hur diskussionen gick, än mindre de som kommer till.
Att det organisatoriska minnet skapar effektivitet är en sak.
Ytterligare en är att dokumentationens syfte inte enbart är att kommunicera utan det är också ett sätt att aggregera kunskap inte bara i enstaka situationer utan genom att skapa ett större kunskapsunderlag som kan återanvändas i nya situationer.
Detta bör även ses som en del i organisationens generella riskarbete.
Det skrivna ordet är vår kapsel för kunskap vilket även går att översätta till mänsklighetens utveckling.
Låt mig ta ett sista argument för bättre dokumentation och organisatoriskt minne, nämligen att det är verktyg för att skapa ett sammanhang för de som arbetar i organisationen.
En fullödig dokumentation lägger fram de rationella skälen till gjorda bedömningar och motiverar i förlängningen säkerhetsåtgärder.
Detta leder till en positiv säkerhetskultur kan växa fram där det är naturligt att samtala om säkerhet och där det är tillåtet att ifrågasätta säkerhetsbedömningar.
Den som arbetar med säkerhet behöver inte känna sig pressad och defensiv när någon frågar varför ett visst tillvägagångssätt ska tillämpas eftersom det finns mer än siffra att bygga sin motiverande argumentation på.
KASAM, känslan av sammanhang, var ett begrepp som myntades av sociologen Se alltså detta inlägg som en plädering för att skriva bättre och läsa mer.
Den som känner sig osäker i sitt skrivande måste få öva, öva, öva och att skriva bra bör uppvärderas och ses som en omistlig kompetens för den som arbetar meska nu kort återkomma med en uppdatering gällande SKR och överföring av känslig information till denna intresseförening, för bakgrund se .
För att sammanfatta frågan så har SKR växt som en gökunge i den svenska förvaltningen och fått/tagit allt fler myndighetsliknande uppgifter trots att man, som SKR själva ivrigt hävdar, inte är en myndighet utan en arbetsgivare- och intresseförening.
Därav följer att SKR inte har det ansvar och den insyn som en myndighet och vi som medborgare egentligen saknar möjlighet att kontrollera och utkräva ansvar av föreningen.
SKR ligger helt enkelt utanför den styrning som den svenska förvaltningen bygger på och det är svårt att ens se vilken lagstiftning som är tillämplig.
Detta förhindrar den kritiska granskning som offentlighetsprincipen möjliggör för myndigheter även om SKR ibland försöker vilseleda genom att hävda att de handlingar som hanteras inom föreningen blir offentliga när de inkommer till medlemmarna.
Häromdagen fick jag detta l mig tillsänt där Marie Morell (m), ordförande för sjukvårdsdelegationen på SKR, hävdar just detta i en fråga som har en ekonomisk betydelse för enskilda: – Vi har kontaktat dem och skickat ut material till dem vid ett flertal tillfällen.
Det är viktigt att de skapar någon form av branschråd så att vi har en motpart att arbeta med.
Vi är en ideell förening och som sådan lyder vi inte under offentlighetsprincipen.
Men handlingarna blir offentliga så fort de inkommer till respektive region eller kommun, säger Marie Morell.
Det finns alltså ingen insyn i själva processen och som jag tidigare visat är det högst tveksamt vilka av SKR:s många ”interna” dokument som verkligen ses som inkomna till medlemmarna.
Att inte ens handlingar i beredande organ hos SKR blir allmänna handlingar hos de regioner/kommuner som har representanter i dessa organ är för mig tämligen hårresande och jag försöker förstå vem en sådan representant tror sig vara.
En privatperson som blivit invald i hembygdsföreningens styrelse (inget ont om hembygdsföreningar)?
Nu när offentlighetsprincipen är hotad från olika håll känns det extra angeläget att slå vakt av denna för Sverige (och Finland) unika medborgerliga rättighet.
I mitt framförde jag dock att det är likaledes viktigt att se vilka risker det innebär att kommunicera känslig information med en aktör där OSL inte kan tillämpas.
Grunden för att kunna skydda känslig information när den utbyts med utomstående parter är att reglera hur informationen får hanteras.
När det gäller utbyte mellan myndigheter finns denna reglering i huvudsak redan på plats genom lagstiftningen (även om jag tycker att det ofta finns anledning att förtydliga relationen myndigheter emellan).
Här intresserar jag mig inte för säkerhetsskyddsområdet utan framför allt den lagstiftning som gäller normala verksamhetsförhållande men där mycket starkt krav på konfidentialitet finns t.ex.
gällande samhällsviktig verksamhet.
Notera att det där även finns annan lagstiftning som är ytterst relevant som exempelvis Krisberedskapsförordningen.
Denna reglering saknas då information ska utbytas med privata aktörer som företag och, som i det aktuella fallet, föreningar.
Då måste menar jag ett avtal slutas som beskriver villkoren för att informationen ska kunna lämnas ut, åtgärder som ska vidtas och ansvarsförhållanden.
För att reducera att konfidentiell information kommer i orätta händer bör man även minimera informationen som utlämnas till det absolut nödvändiga samt ålägga motparten att säkerställa att endast de som verkligen behöver informationen kan ta del av den.
Enligt mitt resonemang är det alltså en självklarhet att myndigheter måste använda sekretessavtal eller motsvarande när de tänker utbyta information med företag och föreningar.
Därför frågade jag två myndigheter som på olika sätt har ett ansvar för samhällsviktig verksamhet om de slutit sekretessavtal med SKR.
Först gick frågan till MSB som ju har ett mycket omfattande ansvar i dessa frågor: Hej!
MSB har ett omfattande samarbete med SKR i olika frågor.
Vissa av dessa frågor kan vara av känslig karaktär som kommuner/regionens insatser i det civila försvaret, samhällsviktig verksamhet, informations- och cybersäkerhet osv.
I dessa frågor utbyts rimligen känslig information.
SKR är en intresseförening som inte omfattas av OSL på samma sätt som en kommun/region, ett kommunalförbund eller ett kommunalt bolag.
Jag är därför intresserad av att ta del av det samarbetsavtal med vidhängande sekretessregler eller motsvarande som utgör reglering av dessa frågor i relationen mellan SKR och MSB.
Efter tämligen lång tid och en påstötning fick jag följande svar: Jag måste först beklaga att du fått vänta på ett besked men på grund av olyckliga omständigheter har beskedet fördröjts.
Genom en sökning i vårt diarium har vi hittat två avtal med SKR: Du har rätt att begära ett skriftligt beslut som går att överklaga.
Skriv till .
För ögonblicket är jag inte så intresserad av det civila försvaret som ju knappt kommit igång så därför gick jag in på .
Det är upp till varje läsare att ta ställning men jag kan inte se att detta dokument på något sätt reglerar sekretessen i förhållande till SKR.
Detta kan synas extra anmärkningsvärt i dessa coronaapokalysens tidevarv när Socialstyrelsen sekretessbelägger information för media om vårdens p medan intresseföreningen SKR sitter med på MSB:s samordningskonferens i samma fråga.
Visserligen togs sannolikt inga känsliga frågor upp då SKR var med men det visar den vinglighet som finns då det gäller just SKR .
Jag ställde samma fråga till eHälsomyndigheten som tillsammans med bland annat SKR arbetar med den nya in (återkommer inom kort angående detta alster) och där man får gissa att det för en del diskussioner om kritiskt infrastruktur osv.
Från denna myndighet fick jag bara ett kort nej på frågan.
Detta är förstås bara två stickprov men ändå från myndigheter som är vana att hantera sekretess.
Det kan tyckas litet märkligt efter allt som hänt med Transportstyrelsen och andra incidenter där information överförts på oklara grunder.
Mitt intryck (bekräftat av ett antal tjänstepersoner på andra myndigheter) är att myndigheterna helt enkelt inte tänker på att SKR inte är en myndighet utan utgår från att föreningen är som vilken deltagare som helst i myndighetssamarbetena.
Inte heller kommuner och regioner verkar reflektera särskilt över detta utan överför utan förbehåll känslig information till det de i vissa fall verkar se som en ”överordnad” aktör.
Detta även då det gäller informationssäkerhet.
Nyligen skickades ett mail ut från SKR: Klassa 4.0 har varit efterfrågat länge och nu finns finansiering för ett projekt som inleds i nästa vecka.
Det blir flera förändringar i den nya versionen, bland annat förbättringar av befintlig funktionalitet, bland annat uppdateringar av kravkataloger som genererar uppgifter till handlingsplanen och en nödvändig översyn av upphandlingskraven.
Dessutom blir det en hel del ny funktionalitet, t.ex.
: – En ny modul för att mäta organisationens mognad, – Möjlighet till uppföljning och att ta ut nyckelvärden för organisationen och anpassat till målgrupp, – Möjlighet för SKR att ta ut nationell uppföljning på aggregerad nivå, – Stöd för CISO i det systematiska arbetet och – Modul för riskanalys.
Dessutom kommer SKR att förstärka sin organisation för att kunna avsätta mer resurser till förvaltning av Klassa.
Det kommer att öppnas en möjlighet för statliga myndigheter att använda Klassa.
Verktyget kommer dock fortsatt att ägas av SKR med kommuner och regioner som primär målgrupp.
Detta menar jag är ett projekt som bör utsättas för en mycket grundlig riskanalys!
Dessutom kan det verkligen ifrågasättas varför denna nationellt intressanta information ska ägas av en förening utan insyn och där det inte heller går att bedöma säkerhetsriskerna.
Det är dags för en mer omfattande diskussion om SKR:s roll.
Myndigheterna bör också ha en konsekvent linje i förhållande till ”förvaltningsskvadern” – antingen är man en myndighet med det fulla ansvar som en sådan har eller så få man återgå till att vara en arbetsgivarorganisation en arbetsgivarorganisation som i huvudsak ägnar sig åt sina medlemmars avtalsfrågor.
Sekretessavtal bör i dagsläget vara ett minimikrav för alla myndigheter, inklusive kommuner och regioner, som utbyter känslig information med SKR på samma sätt som man reglerar relationen med vilken privat aktör som helst.
Efter att till största delen fåfängligt tröskat runt om SKL/SKR:s (hädanefter benämner jag organisationen SKR trots att den hetat SKL) hittar jag plötsligt en från Riksrevisionen som tar upp EXAKT samma saker som jag skrivit om!
Hur har jag kunnat missa det – det var ju inte längre än sedan 2017 den skrevs?
Jag rekommenderar alla intresserade av offentlig styrning att läsa rapporten eftersom här summeras en rad väsentliga frågor.
Rapporten handlar framför allt om hälso- och sjukvård men kan även läsas som en mer generell beskrivning av hur SKR fungerar.
Som jag i tidigare inlägg försökt återge har styrningen inom den offentligt finansierade sjukvården helt förskjutits i och med att Socialstyrelsen slagits i bitar.
Den svenska förvaltningen bygger på att det finns beredande myndigheter som fungerar som ett mellanled mellan olika intressenter och regeringen.
I detta fall har denna mekanism upphört att verka och SKR har istället kunnat förhandla direkt med regeringen och i vissa fall t.o.m.
haft en dubbelroll där man kunnat ge sig själv uppdrag.
I huvudsak har det handlat om att förmedla statsbidrag som (rapportens beteckning) vilket paradoxalt gett SKR en roll de facto överordnad sina medlemmar.
Just detta har ibland framskymtat i samtal med representanter för vården, att gäller att hålla sig väl med SKR eftersom det i annat fall kan påverka den ekonomiska fördelningen.
Sant eller inte, denna roll har inte enbart varit till godo för SKR, särskilt som det inte är små summor man har fått både för att fördela till sjukvårdshuvudmännen och till sin egen organisation.
SKR:s mycket stärkta roll har flera orsaker men en viktig sådan är just de otraditionella styrmedel som regeringen under ett drygt decennium (över-?)
använt särskilt i vården där regeringen velat höja ambitionsnivån men varit delvis förhindrad att styra genom det kommunala självstyret.
Lösningen har varit olika typer av riktade bidrag och överenskommelser som SKR fått i uppdrag att förmedla: Överenskommelserna har inte ingåtts med enskilda landsting utan med SKL för samtliga landsting.
Det har praktiska orsaker.
Det var enligt dåvarande socialministern helt enkelt enklare att teckna överenskommelser med SKL än med 21 — Inom ramen för utvecklingsarbetet framkom också en del kritiska synpunkter från enskilda tjänstemän när det gäller SKL:s roll i överenskommelserna.
Ett exempel är att några tjänstemän ställde sig frågande till SKL:s kapacitet att hantera långsiktighet och mer förvaltande uppgifter i samband med överenskommelserna.
Flera pekade på att SKL i sin roll har att hantera konflikten i att vara en del i en statlig satsning och samtidigt värna medlemmarnas intressen.
Några enskilda tjänstemän tyckte att överenskommelser kan ses som ett slags symptom på att myndigheterna inte fungerar bra; att regeringen i brist på välfungerande myndigheter väljer att vända sig till SKL.
Detta har skapat det SKR som vi känner idag: Regeringen har använt sig av otraditionell styrning som i stor utsträckning involverat SKL, vilket gjort SKL till en central aktör i styrningen.
Riksrevisionens bedömning är att detta skett utan att regeringen aktivt tagit ställning till vilken roll SKL ska ha i styrningen av vården.
Att SKL fått stort inflytande kan snarare ses som ett resultat av att regeringen allt oftare valt att ingå överenskommelser som vid varje enskilt tillfälle gett SKL lite mer att säga till om.
Att SKL påverkar villkoren för kommuner och landsting är naturligt.
(min kursivering) Givet de begränsningar som finns för regeringen att direkt styra vården är det begripligt att regeringen valt att använda sig av SKL.
Mycket talar för att regeringen helt enkelt ansåg att det inte var möjligt att få samma effekt med hjälp av de statliga myndigheterna på vårdområdet.
I praktiken har det emellertid inneburit att regeringen har gett SKL en myndighetsliknande roll.
Riksrevisionen kan konstatera att det saknas normativa principer för när, och i så fall hur, regeringen kan använda icke-offentliga aktörer för att genomföra sin politik.
Det finns fördelar men också nackdelar med att använda SKL i styrningen av vården.
SKL har naturligt närmare till landstingens verksamhet och kan därmed fungera som en viktig länk mellan staten och landstingen.
Det har också framkommit att det ur regeringens perspektiv kan upplevas som en snabb och flexibel väg för att nå ut till vårdens huvudmän.
(min kursivering) Riksrevisionen noterar även att SKR fått uppdrag gällande kunskapsstyrning vilket bland annat handlar om att ta fram kunskapsunderlag på ungefär samma sätt som Socialstyrelsen: I och med att regeringen har involverat SKL i styrningen av vården har det uppstått något som kan liknas vid en konkurrenssituation mellan den centrala förvaltningsmyndigheten och huvudmännens medlemsorganisation.
Båda organisationerna arbetar med kunskapsstöd till kommuner och landsting.
Vidare arbetar både SKL och Socialstyrelsen med att ta fram kunskap om hur vården fungerar.
Socialstyrelsen arbetar alltid på uppdrag av regeringen, och SKL på uppdrag av medlemmarna.
Inom ramen för överenskommelserna agerar SKL även som genomförare av regeringens politik.
Det är svårt att dra gränsen för vad som är SKL:s respektive Socialstyrelsens roll eftersom uppgifterna överlappar varandra.
Vidare har det framkommit i våra intervjuer, även med SKL, att det är vanligt att SKL uppfattas som en myndighet.
Ett sådant kunskapsunderlag som tas upp är väntetidsdatabasen som infördes i samband med vårdgarantin: Som en följd av vårdgarantin infördes en skyldighet för landstingen att lämna uppgifter om väntetider till en nationell databas.
Regeringen har i författningar reglerat att landstingen ska lämna uppgifterna ”till den nationella väntetidsdatabas som förs av Sveriges kommuner och landsting”.
Databasen förvaltas av SKL men har finansierats av staten.
Detta udda arrangemang lyfts fram av Riksrevisionen eftersom de bara kunnat hitta ett annat liknande fall: Att databasen hanteras av en intresseorganisation är en ovanlig lösning.
Riksrevisionen har endast funnit ett delvis liknande exempel inom svensk förvaltning: ett jaktregister som tidigare fördes av Svenska Jägarförbundet, och som nu hanteras av Naturvårdsverket.
I fallet med väntetidsdatabasen tillkommer även komplikationen att staten är beställare av vård av SKR:s medlemmar – att då leverantörernas intresseorganisation kontrollerar möjligheten för beställaren att bedöma i vilken grad ”beställningen” uppförts.
(min kursivering) Att regeringen inte tagit ställning i ägarskapsfrågan innebär i praktiken att det som tagits fram på SKL stannar på SKL.
Det är Riksrevisionens uppfattning att regeringen behöver utvärdera samarbetet med SKL för att på ett principiellt plan ta ställning till formerna för samverkan.
Regeringen har en ambition att minska detaljstyrningen på vårdområdet, men utvecklingen går långsamt.
Regeringen har uttryckt att antalet överenskommelser ska minska.
Trots detta har antalet överenskommelser på vårdområdet inte förändrats, och den ordning som har uppstått där SKL har en mycket central roll i regeringens styrning av vården tycks vara svår för regeringen att ta sig ur.
Om det nära samarbetet med SKL, i form av t.ex.
överenskommelser, ska fortsätta behöver regeringen säkra tillgången till det som tas fram med statliga medel.
Det kan t.ex.
handla om att reglera insyn och förvaltning under och efter en satsning. . (min kursivering) Den omfattande styrningen genom SKL har också lett till att rollfördelningen mellan SKL och Socialstyrelsen uppfattas som otydlig.
(min kursivering) SKR har alltså suttit på dubbla stolar: dels företrätt sina medlemmars intresse, dels agerat som statens förlängda arm och att det dessutom är svårt att avgöra på vems initiativ olika aktiviteter genomförs: Det har framkommit i flera intervjuer att SKL har stor initiativmakt när det gäller statens styrning av vården.
Enligt såväl Socialstyrelsens före detta som den nuvarande generaldirektören har regeringen ett nära samarbete med SKL: ”Regeringen beslutar, men [SKL] har stor möjlighet att föreslå.
Detta bidrar också till finansiering från staten i många fall.” I intervjuer med både SKL och dåvarande socialministern har det framkommit att överenskommelser ibland uppstått på initiativ från SKL och ibland från regeringen.
SKL är involverade både i att generera ämnen för överenskommelser och innehåll, t.ex.
Men SKR har inte bara fått maktmedlet att fördela avsevärda resurser, man har även fått pengar från staten direkt till den egna organisationen.
Totalt för perioden 2009−2016 har staten utbetalt 1 078 miljoner kronor till SKL centralt för hälso- och sjukvård.
finansierat utvecklingsarbete, nationell samordning och uppföljning av landstingens arbete.131 SKL har därmed kunnat bygga upp betydande kompetens och förvaltning med hjälp av de statliga medlen.
Enligt Socialdepartementet kan SKL:s arbete konkret handla om it-stöd, metod- och implementeringsstöd, kommunikationsinsatser, resurser för samordning centralt, regionalt och lokalt etc.
Eftersom Riksrevisionen påpekar att det varit svårt att få en samlad bild av hur staten finansierar SKR:s interna verksamhet har jag inte ens gjort något försök att se vad som hänt efter 2016 men en rimlig gissning är väl att kostnaderna för staten inte på något remarkabelt sätt minskat.
Utöver detta tillkommer de medel som medlemsorganisationerna tillför.
Sammantaget kan det tyckas som SKR lever ganska gott vilket väl faktumet att man har anställda och ett kontor i Bryssel i sin kansliorganisation.
Litet spydigt så skulle man kunna tycka att SKR skulle använda sin universalmedicin ”effektivisering genom digitalisering” på sin egen organisation – kanske skulle en AI-lösning kunna framställa peppiga digitaliseringskampanjer utan mänsklig handpåläggning?
Riksrevisionen jämför i sin rapport de statliga anslagen gällande vårdområdet (för SKR tillkommer ju även andra statliga medel eftersom man inte enbart hanterar vård) och det visar ganska tydligt att SKR får ett rejält tillskott även jämfört med myndigheterna.
Relationen mellan framförallt Socialstyrelsen och SKR är komplicerad på flera sätt: I samtliga intervjuer med chefer och medarbetare på Socialstyrelsen har det framkommit att man betraktar SKL som en stark aktör.
I flera intervjuer har chefer och utredare på Socialstyrelsen beskrivit att de upplever att myndigheten urholkats eller ”hamnat i bakvattnet” i jämförelse med SKL.
Företrädare för SKL har i våra intervjuer varit noga med att betona att deras roll är att ta till vara medlemmarnas intressen och att SKL inte kan bestämma över landstingen.
Samtidigt har chefer på SKL gett uttryck för att organisationen kan och bör vara något mer än en intresseorganisation: ”Utan att vara en formell myndighet kan vi i vissa stycken ha en funktion som stödjer och utvecklar t.ex.
kunskapsstyrning genom vårt arbete.”När det gäller statens roll har företrädare för SKL uttryckt en uppfattning om att staten inte ska vara inne i det verksamhetsnära och att statens uppgift är att göra det som ”ingen annan kan”.
En sammanfattande bedömning från Riksrevisionen är: Riksrevisionens bedömning är att regeringen har låtit samarbetet med SKL − och därmed SKL:s inflytande över styrningen av vården – växa i alltför stor omfattning.
Riksrevisionen noterar att medlen till SKL ökar.
Enligt Riksrevisionens mening vore det rimligt att riksdagen informerades om omfattningen och utvecklingen av medlen till SKL.
Anledningen är att de medel som tilldelats SKL centralt är i nivå med förvaltningsanslagen på vårdområdet som riksdagen beslutar om samtidigt som SKL är en intresseorganisation.
Det är Riksrevisionens uppfattning att regeringen behöver utvärdera samarbetet med SKL för att på ett principiellt plan ta ställning till formerna för samverkan.
Detta var skrivet 2017 och tyvärr har regeringen hittills inte, vad jag kan se, följt Riksrevisionen när man säger att regeringen behöver bland annat utvärdera samarbetet med SKR och reglera insyn, förvaltning och ägande när SKR används.
Det otydliga samarbetet mellan staten och SKR är inte isolerat till vårdområdet.
De negativa konsekvenserna av att använda en intresseorganisation för myndighetsuppdrag gäller inte heller bara bortfall av offentlighetsprincipen, bristande möjlighet till ansvarsutkrävande, snurrig styrning och oklar uppföljning av hur ekonomiska medel fördelas och används.
Många andra myndigheter samarbetar med SKR och jag har blivit nyfiken på hur man reglerar säkerheten i informationsutbytet eftersom t.ex.
inte OSL gäller för en intresseförening.
I min värld borde det slutas samma typ av avtal med en förening som med ett kommersiellt bolag innan känslig information kan utbytas.
Även mellan myndigheter kan överenskommelser behövas slutas men den stora skillnaden är att alla myndigheter måste följa sekretessreglerna i OSL även om inte avtal sluts.
Av ren bekvämlighet valde jag MSB, en myndighet som jag ju vet hanterar känslig information, och skickade för drygt två veckor sedan en fråga: Hej!
MSB har ett omfattande samarbete med SKR i olika frågor.
Vissa av dessa frågor kan vara av känslig karaktär som kommuner/regionens insatser i det civila försvaret, samhällsviktig verksamhet, informations- och cybersäkerhet osv.
I dessa frågor utbyts rimligen känslig information.
SKR är en intresseförening som inte omfattas av OSL på samma sätt som en kommun/region, ett kommunalförbund eller ett kommunalt bolag.
Jag är därför intresserad av att ta del av det samarbetsavtal med vidhängande sekretessregler eller motsvarande som utgör reglering av dessa frågor i relationen mellan SKR och MSB.
Hittills har jag trots en vänlig påminnelse inte fått något svar.
Personligen tycker jag inte denna märkliga hybridform av offentlig aktör som växt fram hör hemma i svensk förvaltning där offentlig verksamhet och offentliga medel flyttas över till en oreglerad och ogenomtränglig sfär.
Jag har svårt att tro att SKR självmant kommer att vilja lämna denna softa tillvaro som skapats.
Det är därför hög tid att regeringen följer Riksrevisionens råd och utvärderar sitt samröre med SKR.
För den som vill läsa regeringens något svala reaktion på Riksrevisionens granskningsrapport finns en länk

juridiska, organisatoriska arkivteoretiska, tekniska Skapa en insikt om att i nuvarande läge kommer inte all verksamhet att kunna upprätthållas utan en måste ske.
Har man kontinuitetsplanerat kan man använda den prioritering av processer som redan gjorts (även om det kan behövas en liten analys för att se om tidigare prioritering fortfarande är relevant.
Om kontinuitetshanteringen inte finns på plats måste ledningen göra en prioriteringen av vilka processer/funktioner som måste fungera.
När prioriteringen bör en snabb göras för att identifiera vilken information som stödjer processen samt hur informationen hanteras, d.v.s.
vilka system, tjänster eller andra bärare som telefoni och papper som används.
Därefter görs en för att fastställa säkerhetskrav.
Även detta bör ske enligt prioriteringen så att de mest tidskritiska processerna/funktionerna tas först.
It får i uppgift att gå igenom hur befintliga lösningar kan användas för distansarbete utifrån klassningen/riskanalyserna och kontrollera i dessa lösningar.
I detta ligger även att bedöma om åtkomst och kommunikation vid distansarbete kan ske på ett tillräckligt säkert sätt.
Om it-säkerheten bedöms som för låg i befintliga lösningar föreslås alternativa lösningar där så behövs.
Om det finns en stor kvarstående risk måste ledningen få möjlighet att acceptera risken alternativt säga att den är oacceptabel vilket kan leda till att nya lösningar arbetas fram eller så bedömningen att distansarbete är olämpligt för den aktuella aktiviteten.
Börja planera och bemanna en som är avpassas till hur många som förväntas distansarbeta och se till att supporten finns när medarbetaren behöver hjälp.
Att inte få support i en ny arbetssituation leder ofelbart till att många kommer att göra fel, gena, hoppa över säkerhetsåtgärder.
Bristande support är därför ett garanterat säkerhetsproblem.
redan från början och slarva inte med sådana frågor som att det är ledningen som tar ansvar för helheten och de åtgärder som ska vidtas.
I kommunikationen bör även ingå signaler som kan leda till en positiv som att det är viktigt att medarbetare är observanta på att det kan uppstå nya risker och att det finns en tydlig punkt att rapportera detta till.
Det vill säga visa respekt för medarbetarna och se dem som en resurs i säkerhetsarbetet!
Ta fram über-tydliga till medarbetarna där det bland annat framgår: – att samma säkerhetsregler ska användas hemma som jobbet, exempelvis att alltid låsa datorn när den är obevakad – hur pappersdokument ska hanteras – vilken typ av information som kan ses som extra känslig, exempelvis känsliga personuppgifter och känslig företagsinformation – att arbetsgivarens utrustning bara får användas för arbetsändamål – att privat utrustning inte får användas för att hantera arbetsgivarens information – att telefonsamtal bör ske på ett skyddat sätt – vilka verktyg som ska användas – hur de ska användas – att verktyg som inte godkänts av arbetsgivaren inte får användas (dubbel negation, jag vet) – vem som ska kontaktas för support – vem som ska kontaktas för säkerhetsrelaterade frågor – hur incidenter ska rapporteras När man kan räkna med att distansarbetet blir långvarigt bör även den gås igenom.
Det kan handla om att skaffa skåp med tillräcklig säkerhetsnivå för vissa medarbetare eller att se över det yttre skalskyddet i vissa bostäder där känslig information ska hanteras.
Skapa rutiner för där ni minst en gång i veckan går igenom hur säkerheten vid distansarbetet fungerar, om vidtagna åtgärder fallit ut som ni hoppats eller om det finns anledning att förbättra skyddsåtgärder, om ni upplever att medarbetare fått tillräckligt bra information och om det inträffat incidenter.
Uppföljningen bör rapporteras till ledningen.
Planera för .
De säkerhetsåtgärder som vidtas i samband med distansarbete måste planeras för längre tid och det kan vara bättre att ha en mer långsam uppbyggnad för att få en långsiktigt väl fungerande lösning än att göra quick fixes som snabbt måste ersättas till allmän irritation och med medföljande säkerhetsrisker.
En fråga som tål att ställas är om verksamheten verkligen är så tidskritisk som man tror särskilt i rådande läge då ingenting riktigt fungerar som vanligt.
Att slippa stressa fram lösningar leder alltid till bättre kvalitet och oftast bättre ekonomi.
Försök att använda det påtvingade säkerhetsarbetet som måste göras till följd av pandemin som en .
Skapa säkerhetslösningar och en säkerhetskultur som förbättrar säkerheten även i det normalläge som vi förhoppningsvis snart ska återgå till.
Överenskommelse om kommunernas krisberedskap (dnr MSB 2018-09779) Överenskommelse om kommunernas arbete med civilt försvar (dnr MSB 2018-05681) Bilaga 1 omfattas av försvarssekretess (15 kap.
2 § offentlighets- och sekretesslagen (2009:400) och lämnas inte ut.

Folkviljan utövas genom inom om mot prioritering processkartläggning informationsklassning/riskanalys it-säkerheten supportfunktion Kommunicera säkerhetskultur instruktioner fysiska säkerheten uppföljning uthållighet resurs för framtiden En av nätläkarna tycker att det verkar ha varit en bristfällig konsekvensanalys inför beslutet och att det är märkligt att SKL:s handlingar inte omfattas av offentlighetsprincipen.

Meny Inläggsnavigering

Den långsiktiga hanteringen av information Den nya informationsinfrastrukturen Den krympande andelen allmänna handlingar Information som samhällsresurs Bristande relation till näraliggande områden En strategi för den svenska arkivverksamheten

Språkanvändningen i offentlig verksamhet

MENU MENU Postat av Postad i , , , , , Tagged , , , , , , Postat av chief information security officer Postad i , , Tagged , , , , Postat av Postad i , , , Tagged , , Postat av Postad i , , Tagged , , , Postat av Postad i , , , , , Tagged , , , Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , Tagged , Postat av Aaron Antonovsky på 1960-talet och innebär i korthet att om omvärlden ter sig begriplig, hanterbar och meningsfull så har du lättare att hantera svåra situationer.
Jag menar att det organisatoriska minnet är en betydelsefull del i om vi upplever kasam eller inte på vår arbetsplats.
Bättre rutiner för att ta fram och återanvända meningsfull dokumentation ökar vår förmåga att känna delaktighet och motverkar stress.
Detta är inte på något sätt oväsentligt i dessa dagar då allt fler mår dåligt på jobbet.
Postad i , , Tagged , , , Postat av Postad i , , , , Tagged , , , , , , , Postat av Postad i , , Tagged , , , ← → Sök efter:

En myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap.
12 § tryckfrihetsförordningen och som myndigheten beslutar ska tas om hand för arkivering.
ett otraditionellt styrmedel I Riksrevisionens granskningar har det dock framkommit att SKL kommit att få ett stort inflytande även över den statliga styrningen av vården .
Det är Riksrevisionens bedömning att regeringen inte i tillräcklig utsträckning har tagit hänsyn till konsekvenserna av att använda en intresseorganisation som en del av förvaltningen Eftersom SKL inte är en myndighet lyder organisationen inte under förvaltningslagen eller regeringsformen.
Möjligheterna till ansvarsutkrävande är inte heller samma som om SKL hade varit en myndighet.
SKL företräder offentliga organ, men är i sig själv inte ett sådant.
Därmed kan varken regeringen, andra myndigheter eller medborgarna ställa samma krav på objektivitet och trans-parens på SKL som på Socialstyrelsen.
SKL är en organisation som ska bevaka sina medlemmars intressen och det är därför naturligt för SKL att slå vakt om det kommunala självstyret.
Det gör att man inte kan förvänta sig samma objektivitet från SKL som från en statlig myndighet.
SKL kan dessutom ha ett intresse av att hålla nere kostnader för sina medlemmar .
regeringens utredning Jaktens villkor konstaterades att förvaltningsuppgifter på jaktens och viltvårdens område som innebär myndighetsutövning inte annat än i undantagsfall borde fullgöras av intresseorganisationer.
Såväl in-formations-, rättssäkerhets-, som konkurrenssynpunkter talade för att en myndighet skulle ta över ansvaret för registret Det är Riksrevisionens bedömning att det i praktiken är oklart vem som egentligen äger den kunskap och de databaser som tas fram inom ramen för överenskommelserna.
Regeringen har därmed inte säkrat tillgången till den kompetens som byggts upp med statliga medel.
Riksrevisionen kan konstatera att det inte finns någon diskussion inom Socialdepartementet om att överföra databaser från SKL till Socialstyrelsen .
Riksrevisionens bedömning är att regeringen har låtit samarbetet med SKL − och därmed SKL:s inflytande över styrningen av vården – växa i alltför stor omfattning.
Granskningen visar att de medel som tilldelas SKL utan krav på att fördelas vidare till landstingen beloppsmässigt kan jämföras med förvaltningsanslagen till de större vårdmyndigheterna.
Departementet har inte heller haft en samlad bild av hur de medel som har gått till SKL centralt har utvecklats över tid Riksrevisionen noterar att medlen till SKL ökar.
Riksdagen har inte informerats om omfattningen och utvecklingen av dessa medel.
Enligt Riksrevisionens mening vore det rimligt att riksdagen informerades om medlen till SKL.
Anledningen är att de medel som tilldelats SKL centralt är i nivå med förvaltningsanslagen på vårdområdet som riksdagen beslutar om, samtidigt som SKL är en intresseorganisation .
Varken företrädare för Socialdepartementet, SKL eller Socialstyrelsen kan beskriva vilken typ av uppgifter regeringen ger till respektive aktör.
Riksrevisionen bedömer att en förklaring till detta är att det inte har funnits någon sådan logik i styrningen .
Tillägg 2020-02-20:

Jag har grubblat en hel del över den falske officeren som i hägn av den svenska försvarsmakten lyckades ta sig ända in i . Som en bakgrund kan sägas att jag aldrig arbetat inom Försvarsmakten men varit i nära kontakt med representanter för myndigheten i olika sammanhang, inte minst då jag arbetade på MSB.
Dessutom gav utbildningen till signalskyddschef som jag genomgick för många år sedan en inblick i Försvarsmaktens syn på säkerhet.
Tillåt mig att framföra några obekväma iakttagelser som helt baserar sig på uppgifter i media.
Min egen upplevelse har varit att representanter från Försvarsmakten har självbilden att säkerheten i denna verksamhet är mycket bättre både vad gäller omfattning och kvalitet än den som den civila världen lyckas leverera.
Denna bild förefaller som så självklar att den aldrig ens diskuteras och påverkar även verksamheter utanför Försvarsmakten.
Det går ofta så långt att man vill exportera de säkerhetslösningar som tillämpas inom försvaret till andra delar av samhället.
Själv har jag ofta reflekterat över huruvida Försvarsmaktens (och säkerhetsskyddets) lösningar verkligen är ”bättre” än civila respektive kommersiella dito samt om de över huvud taget är möjliga att implementera i en mindre styrd miljö än Försvarsmaktens.
Skillnaderna mellan mål, organisation, kultur och teknik är så i grunden olika varandra att jag betvivlar att en rak export från Försvarsmakten är vare sig möjlig eller önskvärd.
Tvivlet har förstärkts av den attityd som kan finnas hos de som kommer från det gröna hållet, en viss överlägsenhet och ovilja att ta till sig att andra mål och medel är centrala i det civila livet.
Vid ett antal anställningsprocesser har jag också varit med om att militärer ansett sig lämpade som informationssäkerhetsspecialister i det civila trots att de saknat erfarenhet både från den rekryterande verksamhetens bransch och av informationssäkerheten.
Att ha jobbat i Försvarsmakten har varit en tillräcklig merit för dessa sökande.
Eftersom min grundprincip för säkerhetsarbete är att säkerheten måste anpassas till de unika förutsättningar som råder i varje organisation har denna inställning förefallit missriktad för den som vill förbättra säkerheten.
Det behöver kanske inte tilläggas att representanter för den hållningen inte skapar förutsättningar för en givande diskussion med respekt från båda håll.
Vart vill jag då komma med dessa anekdotiska grundade beskyllningar sammanförda med skandalincidenten den falska officeren?
En del är min egen förundran över att en verksamhet med ovanstående rykte och självbild som ”säkerhetsexperter” hamnat i en säkerhetsskandal som enligt min mening faktiskt slår den i Transportstyrelsen.
Här har man gett en uppenbart opålitlig person fått en säkerhetsklassad tjänst på Must, fått samordna signalskyddstjänsten och haft tillgång till !
Därefter har utlandstjänster med mera följt, också dessa tjänster med reella möjligheter att åstadkomma stor skada.
Slutligen blev han även en av Kustbevakningens kontaktpersoner för den ryska säkerhetstjänsten .
Sammantaget en karriär med potentiell tillgång till mycket känslig information under ett par decennier.
Lustigt nog förekommer samma kommentarer från Försvarsmakten och Must som från Transportstyrelsen där man vill reducera allvaret i händelsen genom att hävda att inget tyder på att någon skada är skedd.
Dessutom sägs att rutinerna för säkerhetskontroller skärpts de senaste tio åren.
Båda dessa defensiva kommentarer är problematiska menar jag.
Det förefaller svårt att på någon månad grundligt reda ut eventuella skadeverkningar av ett bedrägeri som vad jag förstår av media pågått i ett par decennier och dessutom i mycket känslig verksamhet.
Sakförhållanden borde föranleda en mycket större utredning med tanke på hur länge han varit där och hur kort tid som Försvarsmakten känt till förhållandena.
För mig som okunnig utomstående borde bara vetskapen om de insiderjobb Wennerström och Bergling genomförde framkalla frossa och en oerhörd iver att verkligen ta reda på vad som hänt.
Kanske sker också detta i det tysta men den till synes obekymrade hållningen i media inger inte förtroende.
Argumentet att säkerhetskontrollerna blivit så mycket bättre på senare år motsägs av att bedragaren under just de senaste åren manövrerat sig mellan olika känsliga positioner ända fram till Nato.
Det tyder inte på att noggranna kontroller gjorts.
Att verifiera de uppgifter en sökande lämnar vid ansökningsförfarandet uppfattar jag ändå som en slags basnivå.
I min okunnighet förfaller det som en relativt enkel uppgift när det gäller officerstjänster.
Den aktuella bedragaren hade ljugit om akademiska studier vilket är en sak.
En annan att han uppgivit att han genomfört officersutbildning vilket är en lögn som är mycket svårare att förstå att han lyckades slå i sina arbetsgivare.
När ett företag eller myndigheter ska anställa finns det ofta bokstavligen hundratals möjliga studiemeriter med utländska universitet inräknade.
Försvarsmakten har däremot en potentiell totalkoll på inflödet till officerstjänster, de kontrollerar ju den enda möjliga meriten.
Det finns mig veterligen inga alternativa eller privata officersutbildningar.
Att då någon ändå slipper igenom är högst förvånande.
När falska läkare avslöjas går det snabbt att kontrollera mot Socialstyrelsens förteckning över vilka som är legitimerade.
Då finns det ändå c.a.
jämfört med c.a.
vilket borde vara litet enklare att hålla reda på.
På sociala medier har jag fått upplysningen av mer insatta i branschen att det här sannolikt är ett fall av vad som kallas ”bäste bror”.
Jag tolkar det som en kåranda där man av rädsla att uppfattas som ifrågasättande av en officerskollegas kompetens eller heder underlåter att genomföra de rutinkontroller som beslutats.
Kanske känns det pinsamt att fråga någon som man borde känna utan och innan vad de egentligen har för formella meriter.
I en så liten yrkesgrupp som 9000 officerare kan naturligtvis en sådan tendens förstärkas.
Det känns inte som detta är förklaringen till varför Försvarsmakten inte reagerade när det fick uppgifterna från Kustbevakningen om de fynd myndigheten gjort angående ”officerens” meriter.
Det är bara obegripligt för en utomstående att den informationen inte ledde till omedelbara åtgärder.
Faktiskt känns det som det hela kunna fortgå än om inte Dagens Nyheter uppmärksammat det hela och ställt de frågor som fortfarande i stort är .
Vad kan vi lära av detta när det gäller säkerhet i allmänhet, förutom att pressen gör ett viktigt renhållningsarbete när myndigheterna själva inte klarar av det?
Min första tanke är hur svårt det är att få till en fungerande säkerhet.
Även om säkerhetsarbete alltför ofta framställs som enkelt att genomföra bara man följer de rätta ”mallarna” känner jag och troligen många andra som arbetat i praktiken en stor ödmjukhet inför uppgiften.
Det är så mycket som inte står i manualerna, det är så många procedurer som ska fungera, det är så många människor som ska tänka, känna och göra rätt.
Och det räcker inte att det fungerar en gång, det ska fungera åt efter år.
I det aktuella fallet är det ju de i allmänhet så hånade ”medarbetarna” som slarvat utan de som gjort säkerhetskontrollerna (eller borde ha gjort) måste ju vara människor med utpekat säkerhetsansvar.
Även detta kan jag på någon nivå förstå, att det känns fånigt och pinsamt att be någon man kanske jobbat ihop med länge presentera formella meriter och sedan dessutom kontrollera dessa merithandlingar som är utfärdade av i princip den egna arbetsgivaren.
En hel del säkerhetsarbete är ”going through the motions”, att man utan större engagemang utför repetitiva kontroller och hur frestande är det då inte att gena litet grann.
Den uthållighet som krävs här underskattas ofta.
Det är (relativt) lätt att besluta som säkerhetsregler men det blir en stor säkerhetsrisk om de regler som beslutats av olika anledningar inte tillämpas.
Orsakerna till att reglerna inte efterlevs är många, vi behöver inte gå in på dem alla, här vill jag bara peka på den situation som kan uppstå när alla låtsas som att reglerna fungerar fast alla egentligen vet att det fuskas.
En sådan säkerhetsmässig potemkinkuliss är en större risk anser jag än en beslutad lägre säkerhetsnivå som faktiskt fungerar.
Nu menar jag inte att det i det aktuella fallet fanns ett alternativ utan detta är mer en reflektion efter de senaste årens säkerhetshausse där många organisationer har beslut och styrande dokument som anvisar säkerhetsåtgärder som det i realiteten finns ambition att införa.
Kort sagt: verklig säkerhet trumfar fantasier!
För mig som arbetar med säkerhet är det en viktig uppgift att i dialog med ledningen för den aktuella organisationen bedöma vilken säkerhet som går att införa och vilka risker som olika alternativ innebär.
Det sämsta alternativet är när ledningen har uppfattningen att allt är hunky dory och att organisationen har en väl fungerande säkerhet medan verkligheten är en helt annan.
En sådan ledning kan ha mycket svårt att hantera situationer där stora brister uppdagas eftersom det strider helt mot deras verklighetsuppfattning.
Hypotetiskt skulle man kunna tänka sig hur svårt det var för Försvarsmaktens ledning att ta in att man huserat en bedragare i det allra känsligaste i ett par decennium utan att detta upptäckts.
Lika hypotetiskt kan man då förstå att detta kan leda till beslutsångest och oförmåga att agera trots att korten ligger på borden, som när Försvarsmakten fick information av Kustbevakningen och inte tycktes kunna hantera den.
Jag tror helt enkelt att det är farligt att vara alltför övertygad om att man per definition är bra på säkerhet.
Att vara bra på säkerhet är att ständigt ompröva och vara medveten om alla brister som hela tiden finns oavsett vilka insatser som görs.
Ytterligare en tankeställare ligger i att skandalen inte skulle ha upptäckts om inte DN lagt ner omfattande insatser på att gräva och gräva.
Att seriösa media är en förutsättning för icke-korrupta myndigheter är en slutsats man kan dra, en annan att det saknas interna funktioner som säkerställer compliance på ett effektivt sätt.
Det är inte så att jag vill måla f-n på väggen men jag tror att rätt många nu grubblar hur många andra som kunnat slinka in i systemet om kontrollerna är så obefintliga.
Nu har vi ett exempel på hur illa det kan gå.
Det bästa vi kan göra med det exemplet att återkommande hålla upp det framför oss och ställa frågan: kan det hända även här?
Och sedan försöka svara ärligt på det.
Tillägg 2020-02-05: Nu visar det sig att anställda själva kunnat lägga in sin meriter hos Försvarsmakten utan att kontroll skett hos .
Ganska häpnadsväckande.
Sällan har jag läst en utredning med sådant intresse som den nya arkivutredningen SOU 2019:58 ” ” och då har jag ändå läst många.Stoffet i utredningen och hur den är genomförd vore helt enkelt värt en egen utredning och inte bara ett blogginlägg men man tager vad man haver.
Det finns alltså hur mycket som helst att skriva ytterligare men som inte ryms här.
Innan jag går in på utredningens egentliga leverans vill jag jag uppmärksamma den metodik och presentation som tillämpats som känns mer som en redovisning av en fortlöpande workshop än en traditionell svensk utredning.
Genomgående refereras samtal med olika intressegrupper vars argument framförs utförligt innan utredningen lämnar sina förslag.
Det ger verkligen en fyllig bild av den stora bredd av frågeställningar och konfliktlinjer som förekommer i Arkiv-Sverige (detta märkliga land).
Detta tillsammans med beskrivningen med bakgrundshistorik av hur arkivväsendet är organiserat i Sverige ser jag som den stora behållningen av utredningen, mycket användbar exempelvis i undervisningssammanhang.
Utöver detta är mitt sammanfattande intryck att utredningen ägnat sig åt en mängd relativt sett små frågor, om än i vissa fall intressanta, men duckar för alla verkligt väsentliga frågor.
Dessutom är förslagen angående de frågor som man verkligen ägnar sig i de flesta fall ytterst konservativa, typ: ”efter noggrant övervägande har vi kommit fram till att den rådande ordningen är den bästa.”.
Sin djärvhet och kreativitet tycks utredningen ha reserverat för titeln på utredningen som synes sällsynt missvisande i förhållande till innehållet (intresset för putslustiga utredningstitlar är visserligen inte unikt för den här utredningen utan snarare legio i det svenska utredningsväsendet).
När man läser förslagen på ny arkivlag är det många ”skall” som blivit ”ska” och ”arkivvård” som som blivit ”arkivförvaltning” men i övrigt mycket litet förändrande kraft.
En mer rimlig utredningstitel hade varit ”Härifrån till hit”.
En annan mindre men tyvärr betydelsefull förskjutning som skett är betoningen av ”kulturarvet” ökat.
I dagens arkivlag står: Myndigheternas arkiv är en del av det nationella kulturarvet.
Myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser 1. rätten att ta del av allmänna handlingar, 2. behovet av information för rättskipningen och förvaltningen, och 3. forskningens behov.
I utredningens författningsförslag sker inga större skillnader i detta förutom att ”syfte” bli ”ändamål”, ändamålet får en egen paragraf och det nationella försvinner från kulturarvet.
Däremot ägnar utredningen sig nästintill enbart åt resonemang om kulturarvet och hur det ska skyddas och i princip inte alls åt de tre övriga ändamålen.
För mig självklara och angelägna frågor som exempelvis hur demokratin skulle kunna utvecklas genom bättre insyn i myndigheterna via de allmänna handlingarna, hur behovet av snabb och säker tillgång till information med hög grad av autenticitet i myndigheterna ska tillgodoses samt betydelsen av ett organisatoriskt minne behandlas inte alls.
Forskning likställs i bästa fall med historisk forskning men alltför ofta tycks det vara släktforskning som avses.
Ibland framstår forskning och kulturarv som på något sätt synonyma begrepp.
Kanske skulle utredningens experter och sekreterare kunnat ha en något annorlunda sammansättning för att andra centrala perspektiv kunnat lyftas fram.
De glasögon känsliga för kulturarv som använts präglar hur utredningen tar sig an övriga frågor.
Släktforskare i all ära men vilken möjlighet som här förlorats att redovisa hur de övriga ändamålen skulle kunna tillgodoses på ett bättre sätt!
Som ett par exempel på hur kulturarvsglasögonen påverkar utredningens resonemang skulle jag vilja lyfta fram följande.
Utredningen tar upp de olika uppfattningar som kan finnas mellan att digitalisera äldre material alternativt lägga resurser på att omhänderta det digitala material som hela tiden tillväxer.
Detta presenteras som om det vore två jämförbara alternativ vilket jag menar är en tankevurpa.
Att digitalisera redan omhändertaget material i pappersformat är framförallt en åtgärd för att förbättra tillgänglighet och service vilket i sig är behjärtansvärt.
Däremot är fönstret för att bevara den digitala information som ständigt tillväxer en engångschans – görs det inte kommer informationen helt enkelt inte att finnas kvar.
Även om jag inte sett någon forskning om detta är mitt intryck att vi redan nu har förlorat en stor del av de senaste decenniernas viktiga information eftersom det saknats verktyg för att ta hand om den.
I ett sådant läge är det knappast rätt prioritering att tillfredsställa dagens kulturarvsintressenter med bättre service eftersom det oundvikligen sker på framtidens bekostnad.
Ett annat (betydligt mindre viktigt) resursmässigt vägval som kommit i förgrunden för mig under senare år är att det borde vara fullt möjligt att minska arkivinstitutionernas lokalytorna i attraktiva lägen.
Idag finns de statliga arkiven fortfarande ofta kvar i pampiga byggnader trots den stark sinande strömmen av besökare till forskarsalarna när alltmer material finns digitalt tillgängligt.
Går det att moraliskt försvara denna resursfördelning eller börjar det bli dags att avveckla forskarsalarna, samarbeta med biblioteken om forskarservice och flytta depåer till billigare lägen?
Även här tror jag kulturarvskulturen (!)
spelar in i bedömningen eller att frågan inte ens tas upp när arkivens knala ekonomi diskuteras i utredningen.
Jag menar, det är ju inte säkert att det finns pengar att spara, men finns ju anledning att åtminstone ställa frågan.
Jag skulle också vilja hävda att det positiva som ligger i det empiriska förhållningssättet med mängder av intervjuer och kompilationer av bakgrund möjligen skett på bekostnad av en genomarbetad teoretisk utgångspunkt.
Arkivteori lyser helt med sin frånvaro, något som jag tror missgynnat utredningen i dess problemformuleringar.
Exempelvis tror jag att analyser med avstamp i en problematisering av inre och yttre proveniens i ett dagens gemensamma informationssäkerhetsarkitekturer skulle kunna ge intressanta ingångar för exempelvis ansvarsfördelning och nya tekniska lösningar.
En fåfäng önskan, jag vet det, är att utredningen skulle fördjupat sig i för- och nackdelar med den nära kopplingen mellan TF, OSL och arkivlagen.
När starka krafter strävar att allt mindre del av myndigheters information ska ses som allmänna handlingar kommer det i nuvarande legala konstruktion att påverka inte bara insynsmöjligheten utan i sin förlängning både forskning och kulturarv.
Som den arkivarie jag innerst inne är sörjer jag över att utredningen missat möjligheten att faktiskt göra något som skulle rädda den situation som jag idag skulle vilja jämställa med klimatkrisen.
Den gigantiska mängden information som ständigt skapas men som inte omhändertas eller bevaras på ett beständigt och säkert sätt och där arkivarierna står som med snöskyfflar i en global lavin.
Utredningens ytterst modesta försök att greppa denna situation kan delvis ses som ett symptom på att det saknas en gemensam metateori om samhällets informationshantering som gör att varje utredning eller annan insats blir som ett fragment utan sammanhang.
Ofta blir utredningar fångar i sitt uppdrag.
Orsakerna till detta kan vara flera.
En vanlig orsak är att uppdragsgivaren redan bestämt sig för vilket svar man vill ha från utredningen, en annan att uppdragsgivaren har så oklar bild av området att uppdraget får en så märklig inriktning att det blir svårt att genomföra.
Jag kan inte se att detta gäller arkivutredningen.
Uppdraget som utredaren fått är både helt fritt och detaljstyrt på en gång: En särskild utredare ska göra en bred översyn av arkivområdet.
Det övergripande syftet är att säkerställa samhällets tillgång till allmänna handlingar både nu och i framtiden.Utredaren ska bl.a.
•översiktligt beskriva arkivsektorn samt beskriva och analysera hur samhällsutvecklingen har påverkat och kan förväntas påverka förutsättningarna för arkivverksamheten och olika arkivinstitutioner, •se över arkivlagstiftningen och närliggande lagstiftning och vid behov lämna förslag på hur lagstiftningen kan anpassas till utvecklingen på området, •analysera Riksarkivets roll och lämna förslag på uppgifter i förhållande till andra myndigheter och arkivaktörer för att undvika över-lappning och för att upprätthålla en god och säker informations-hantering och möjliggöra en allsidig historiebeskrivning, •analysera de ekonomiska konsekvenserna för Riksarkivet och andra arkivmyndigheter på kort och lång sikt av den offentliga förvaltningens övergång till digitala processer, och •analysera om regleringen för de enskilda arkiven bör förändras för att kunna tillgodose behov inom rättsskipning, förvaltning, forskning och skydd för kulturarvet •lämna nödvändiga författningsförslag.
Smaka på det syftet.
Jag menar att utredningen haft chansen att ta ett strategiskt grepp om samhällets arkivfråga men istället fastnat i detaljerna och inte minst i de konflikter som finns inom arkivområdet.
Den allt överskuggande konflikten är den gällande Riksarkivets ställning vilket också framkommer i redovisningar som lämnas från de dialoger som utredningen fört med olika aktörer.
Konflikten har funnits under lång tid men har tack vare utredningen kommit i öppen dager på ett sunt sätt.
En resumé av konflikten är ungefär så här: Riksarkivet vill gärna centralisera och bestämma mer medan andra aktörer som kommuner och regioner tycker att Riksarkivet lämnar alldeles för dåligt stöd och borde ägna sig åt att utveckla sin styrning genom att sysselsätta sig med metodutveckling och effektiv rådgivning.
Riksarkivet vill t.ex.
kunna meddela föreskrifter för kommuner och regioner vilket inte mottas väl av de tilltänkta objekten för föreskrivandet.
Detta anspråk förefaller även mig rätt övermaga med tanke på att kommuner och regioner ligger betydligt längre fram i centrala arkivfrågor än vad staten och Riksarkivet gör.
Riksarkivet tycks gärna vilja fly ett operativt ansvar t.ex.
i fråga om e-arkiv och FGS:er men känner sig sedan förbisedda trots att det sällan finns anledning att uppsöka den som inte gör något.
Kritiken mot Riksarkivet är tämligen förödande då den beskrivs i ämbetsmannaprosa i utredningen: Det finns en uppfattning om att så länge den statliga arkivmyndigheten inte fullt ut klarar sina grundläggande uppgifter bör myndigheten inte tillföras nya.
Frågetecken sätts för om myndigheten verkligen har förmåga att i framtiden leda utvecklingen kring digital informationshantering.
Utredningen tycks ställa sig på deras sida som tycker att Riksarkivet borde luta sig mer mot att tillhandahålla nyttiga redskap än att genomdriva sin vilja på ett mer repressivt sätt: Utredningens inriktning bakom de föreslagna bestämmelserna är att samförstånd, tydliga föreskrifter och en generös rådgivning ska prioriteras framför arkivmyndigheternas tillsyn och sanktioner.
Jag delar helt den uppfattningen.
Både som verksam arkivarie och därefter har jag förundrats över hur torftigt stöd Riksarkivet tillhandahåller.
För att bara ta ett exempel i den stora högen så har myndigheten inte tagit fram någon vägledning för centrala arkivuppgiften gallring sedan 1995 och jag tror vi alla kan vara överens om att det hänt en del på 25 år.
Legitimiteten för Riksarkivet tycks låg också då myndigheten avlövats ett antal uppdrag till bland annat DIGG.
Den brist på metateori om samhällets informationshantering som jag tidigare nämnde leder även till en oförmåga att hantera myndigheters uppdrag i förhållande till varandra där nu det finns stora oklarheter om hur Riksarkivet och DIGG ska leva tillsammans.
Utredningens lösning på frågan är att Riksarkivet ska samordna metoden då de orimligt upphaussade FGS:er (ser verkligen fram emot att nyttan av dem utvärderas på ett opartiskt sätt) även då de tas fram på annat håll.
DIGG ska å sin sida föreslås fortsätta: samordna frågor om gemensamma standarder, format, specifikationer och liknande krav för den offentliga förvaltningens informationsutbyte i de fall uppgifterna inte ligger på regeringen eller en annan myndighet FGS:erna är verkligen ett tröstpris då Riksarkivet blir omkörda av DIGG i princip allt annat som gäller informationshantering.
Det är svårt att se att Riksarkivet spelar en viktig roll i samhällets digitalisering.
Istället lever myndigheten i en permanent identitetskris med ständiga omorganisationer där man förlamats av frågan hur mycket arkivverksamheten ska vara en del i den pågående informationshantering.
Det förefaller som de som deltagit i dialoger med utredningen, och då särskilt representanter från kommuner och regioner, starkt pläderat för det som kallas ”proaktivitet”.
Häri ligger av de andra stora konflikterna inom arkivområdet.
Ska arkiven helt koncentrera sig på att omhänderta avställt material eller ska man även gå in och proaktivt bearbeta organisationers informationshantering så att arkivintresset är med redan från då information skapas?
Eller ska arkivarierna t.o.m.
vara specialister på informationshantering generellt och inte bara sett i arkivperspektivet?
Medan vankelmod råder centralt där nog traditionen att kalla informationshanteringen för ”kontors-ADB” och något att frynas över går framför allt fler kommuner och regioner över mot organisatoriska lösningar man samordnar uppgifter relaterade till informationshantering som arkiv, informationsförvaltning, dataskydd och informationssäkerhet.
Man ser helt enkelt informationen som den kanske viktigaste resursen för en organisation, en resurs som måste utvecklas och förvaltas för att organisationen ska fungera på ett ändamålsenligt sätt.
Detta är en linje som jag själv drivit sedan 90-talet så det är klart jag hyllar denna utveckling.
Samtidigt går det inte att förneka att det uppstår en dissonans när Riksarkivet inte alls är i takt med denna rörelse utan snarare utgör en konserverande kraft (och då inte på ett positivt sätt).
Det gör att det saknas ett nationellt nav för teori-, metod-, och kunskapsutveckling, erfarenhetsutbyte och styrning för det som till och med saknar ett entydigt begrepp, jag menar informationsstyrning, informationshantering eller informationsförvaltning kan innebära vad som helst (ja, jag vet att det finns en standard för informationsförvaltning men det hjälper inte särskilt mycket här).
För mig framkommer här ytterligare en av de stora bristerna i utredningen, nämligen att man helt missar kopplingen till informationssäkerhet.
Ordet ”informationssäkerhet” nämns nio (9!)
gånger i hela utredningen och då bara en passant.
Inga analyser eller ens resonemang om hur informationssäkerhet och -hantering inklusive arkiv skulle kunna vara två hjul på samma vagn trots att mål, objekt och metoder verkligen behöver samordnas för att bli ett effektivt stöd för verksamheten.
Extra tråkigt är det då allt fler arkivarier sett sambandet i praktiken och skulle behöva inriktning och moraliskt stöd för att gå vidare.
Samma sak gäller dataskydd.
Men den stora frågan är trots allt att man inte orkar närma sig den stora elefanten: hur ska den alltmer gemensamma informationsarkitekturen tas med in i framtiden?
I detta sammanfaller alla de brister som jag tidigare pekat på.
Som att det saknas ett arkivteoretiskt resonemang om hur proveniensprincipen ska tillämpas när det inte längre går att urskilja tydliga arkivbildare i en gemensam informationshantering.
Som att utredningen inte förmår att föra en diskussion om information istället för det snäva begreppet ”allmänna handlingar”?
Som att man inte tar på allvar hur den verkligt bevarandevärda informationen som patientjournaler löper en överhängande risk att försvinna för att lagstiftning tillåter det och för att det saknas metodik för att hand om den.
Som att det inte finns en antydan till förslag på hur det långsiktiga bevarandet ska ske organisatoriskt eller tekniskt eller ens hur frågan ska angripas.
Som att det inte görs något begreppsmässigt klarläggande gällande ”e-arkiv” och långsiktigt digitalt bevarande.
Som att varken utredningen eller Riksarkivet kräver rimliga ekonomiska förutsättningar för att göra det som är nödvändigt, jag menar 288 miljoner under 5 år … Jag skulle kunna fortsätta med denna uppräkning ett bra tag till men skonar de eventuella läsare som orkat följa mig ända hit.
Det har varit ett bra år för mig på många sätt.
Företaget går bra och därför har jag donerat pengar till 15 av UNHCR:s samt 15 000 kronor till .
Jag har även lyckats hålla min miljöpolicy och inte genomfört några tjänsteresor med flyg i år heller.
Här kommer ytterligare ett försök att förbättra samhället en aning – en ny utlottning av böcker.
Denna gång deltar den som gillar min på Facebook i utlottningen av 3 ex av Shoshana Zuboffs helt epokgörande bok om övervakningskapitalismen.
Skicka ett direktmeddelande före den 10 januari om att du vill vara med i utlottning – det tolkar jag som att du gått med på min hantering av dina personuppgifter.
Hoppas ingen misstycker till att jag skickar ett ex utom tävlan till Daniel Forslund, den kanske mest centrala makthavaren då det gäller utlämnandet av patientuppgifter till aktörer utanför sjukvården.
Kanske har han missat perspektivet ”övervakningskapitalism” trots att ordet övervakningsekonomi finns med i 2019 års – detta vill jag naturligtvis gärna bidra till att avhjälpa!
Här kommer en summering av min diskussion med SKR angående ett eventuellt tillämpande av offentlighetsprincipen även inom SKR.
Jag inledde med ett i Dagens samhälle där jag försökte resonera angående varför det vore lämpligt att SKR skulle omfattas av offentlighetsprincipen.
De 3500 tecken som står till buds för en debattartikel omöjliggör naturligtvis en rättvis behandling av de frågeställningar som skulle behövas för en så komplicerad fråga som den jag lyfte.
Ändå tyckte jag än då att det tydligt i min artikel framgick att det finns ett antal skäl till varför SKR:s ställning som ”ideell förening” borde omprövas.
En resonerande inställning där olika argument prövas är dock inget som intresserar SKR.
Istället skickades föreningens VD för att ge ett .
Kanske det ändå inte blev så dräpande som önskat eftersom en hel del läsare (t.ex.
och och ) reagerade på SKR:s icke-svar och den attityd varmed det förmedlades.
Litet orolig blir man ju med tanke på att Isling rekryterats till SKR för .” Själv tycker jag att SKR ofta verkar lida av ett attitydproblem där tjänstemännen antingen uttrycker sig med viss arrogans eller inte alls då motiverade frågor ställs.
Isling är i detta fall inget undantag och är hans förhållningssätt ett exempel på den nya inriktningen för SKR bör man kanske sätta sig och titta litet på på kartan för att ta ut en annan riktning.
I min försökte jag visa att SKR har stora möjligheter att uppnå den öppenhet som Isling menar att man vill men inte kan (enligt honom) ha.
Jag pekar på paradoxen att Inera valt att frivilligt tillämpa öppenhet men inte SKR men det vilar en kanske en ännu större paradox i att SKR ska ge för att utveckla demokratin kommuner och regioner.
Den som ska ge stöd i demokratiutvecklingen borde rimligen vinna på att vara ett föredöme.
För att förstå SKR:s ställning måste man förstå kommunernas (inklusive landstingskommuners även om de kallar sig regioner) ställning i det svenska styrelseskicket.
Även om man ofta pratar om det kommunala självstyret är alla den makt och det inflytande som kommuner har en delegation från den centrala statsmakten.
Kommuners existensberättigande ligger framför allt i att de har en territoriell förankring, d.v.s.
de har en delegation för styrning av vissa frågor inom ett avgränsat geografiskt område samt beskattningsrätt för samma område.
Kommunerna ska alltså kunna utgöra en motpol till den nationella styrningen och tillgodose lokalsamhällets interna behov utan att först behöva passera den nationella nivån (mycket förenklat uttryckt).
Även i detta perspektiv är SKR något av en paradox.
Genom sin ständiga tillväxt och överförande av allt fler kommunala frågor till en nationell nivå så blir legitimiteten hos det kommunala självstyret i samma takt naggat i kanten.
Mitt intresse i debattartikeln var dock främst inriktat på informationshanteringen där information som i kommunerna hanteras enligt TF och OSL blir utslussad till en ideell förening som inte alls har samma krav på sin hantering av samma information.
Det gäller öppenheten där t.ex.
stora framtidsfrågor som digitalisering och e-hälsa beslutas helt utan insyn och medborgardialog.
Men det gäller även skyddet för känslig information som i ursprungskommunerna styrs av OSL.
Jag tänkte på det när jag läste om SKR gjort en stor enkätundersökning om informationssäkerhet i alla kommuner och började då fundera på hur denna känsliga information hanterades inom SKR.
Har de deltagande kommunerna slutit sekretessavtal med SKR och vilken information har de fått om hur informationen hanteras?
Jag läser också om SKR:s där det inte står ett ord om statistiksekretess.
Ytterligare en fråga där sekretessen är av central betydelse är civilt försvar där ett alltmer aktivt deltagande kommer att krävas av kommunerna.
Vilken information i dessa frågor är möjlig att lämna till SKR?
Det är möjligt att dessa frågor hanteras på ett utmärkt sätt men just i och med avsaknaden av tillämplig lagstiftning föreställer jag mig att behovet av avtal blir stort och något krångligt att administrera liksom att ansvarsförhållanden ständigt måste redas ut.
Jag ser en risk för något jag skulle vilja kalla ”trust by proxy”, d.v.s.
att man förutsätter att SKR har samma styrning som de ingående medlemmarna och därmed inte vidtar de skyddsåtgärder som är nödvändiga.
Om jag låter omotiverat misstänksam ber jag om ursäkt men bakgrunden är delvis att det är mycket svårt att få uppgifter om säkerheten inom SKR.
När jag exempelvis ställde en fråga för ett tag sedan om föreningen har en säkerhetsskyddschef fick jag till svar att de behövde man inte svara på eftersom man inte är en myndighet… Sammantaget tror jag man skulle ha mycket att vinna på att vara tydligare i dessa frågor och då inte bara visavi medlemmar.
Alla dessa viktiga välfärdsfrågor som SKR i allt högre grad hanterar så att de därmed försvinner från offentligheten är inte bara viktiga i nuet utan också för framtiden.
Tanken att framtida forskning inte kommer att ha ett grundmaterial att utgår från för att kunna förstå hur vitala offentliga frågor beslutats svider verkligen.
Att SKR inte har ett krav på sig att bevara och tillhandahålla denna information är en förlust för hela samhällsutvecklingen!
Som en liten julklapp till SKR kommer jag här med ett förslag på lösning på problemet så att SKR också kan bedriva verksamheten med den öppenhet man säger sig vilja ha.
Idag är man alltså en ”ideell förening” vilket känns aningen märkligt med tanke på verksamhet och finansiering.
Det gör att det i finns mycket litet av som påverkar hur verksamheten ska bedrivas vilket i och för sig gör det fullt möjligt att tillämpa TF och OSL på samma sätt som Inera beslutat göra.
Å andra sidan finns det en i mitt tycke betydligt mer stabil lösning, nämligen att SKR omvandlas till ett kommunalförbund som det beskrivs i . På det sättet skulle man både få en verksamhet som är effektiv, har reglerade styrformer och de krav på informationshantering som finns i medlemsorganisationerna.
Det skulle bryta den nuvarande rörelsen där delaktighet och insyn försvinner när betydelsen av frågorna ökar men också ge betydligt bättre grund för samarbete mellan stat och kommuner.
I annat fall undrar jag var gränsen för SKR som ideell förening går – hur mycket kommunala uppgifter kan en förening egentligen ta över?
Mottar tacksamt motargument mot omvandlingen till kommunalförbund eftersom för mig känns den lösningen ganska praktisk men säkert har jag förbisett några för andra självklara förutsättningar som talar emot en sådan lösning.
Trots min julklapp tror jag ärligt talat att intresset för att ens överväga övergång från förening till kommunalförbund är mycket svalt inom SKR, det är sällan de som har privilegier som arbetar för att ta bort dem.
Däremot är det en idé att försöka få igång en debatt i riksdagen vilket kan vara en målsättning för 2020.
Ibland är man tvungen att återvända till gamla jaktmarker.
Där är jag nu.
Efter en sensommar och höst då jag funderat en hel över Inera och i förlängningen SKR blev frestelsen för stor och jag började plocka fram gamla luntor ur bokhyllan.
Luntor som jag framför allt samlat på mig när jag började forskarutbildningen i ekonomisk historia med ambitionen att skriva en avhandling om landstingens roll i den svenska modellen.
Sedan kom barn och livet emellan så det blev aldrig mer än en ambition.
Däremot ledde det till ett fortfarande pågående stort intresse för den regionala styrningen och sjukvård samt, som sagt, till en inte obetydlig samling litteratur i frågan.
Livet är cirkulärt och nu gläds jag över att återigen ha anledning att dyka in mina gamla böcker (verkligen gamla).
Jag läser om hur Svenska Landskommuners Förbund, Svenska Landstingsförbundet och Svenska Stadsförbundet via Landstings- respektive Kommunförbundet utvecklats till SKR.
Från att ha varit renodlade arbetsgivarorganisationer med uppgift att ge medlemmarna stöd i förhandlingarna med de anställdas organisationer har SKR nu utvecklats till en organisation med ständigt växande antal anställda och som lika kontinuerligt påtar sig nya operativa uppgifter.
Mycket stora skattemedel fördelas via SKR och en inte på alldeles anspråkslös summa (understatement) går till SKR:s egen interna organisation, se budgeten på sida 49 i denna redovisning jag fått ut från SKR.
per medborgare och år enligt SKR själva.
Slutligen leds SKR av indirekt valda politiker som även har kontroll över de bolag som ingår i SKR-sfären.
Enligt svensk lagstiftning ska offentlighetsprincipen tillämpas i alla myndigheter (inklusive kommuner och regioner) samt kommunala bolag m.m..
I OSL 2 kap står det följande: Vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter ska i tillämpliga delar gälla också handlingar hos aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande.
Sådana bolag, föreningar och stiftelser ska vid tillämpningen av denna lag jämställas med myndigheter.
Kommuner och landsting ska anses utöva ett rättsligt bestämmande inflytande om de ensamma eller tillsammans 1. äger aktier i ett aktiebolag eller andelar i en ekonomisk förening med mer än hälften av samtliga röster i bolaget eller föreningen eller på något annat sätt förfogar över så många röster i bolaget eller föreningen, 2. har rätt att utse eller avsätta mer än hälften av ledamöterna i styrelsen för ett aktiebolag, en ekonomisk förening eller en stiftelse, eller 3. utgör samtliga obegränsat ansvariga bolagsmän i ett handelsbolag.
Vid tillämpningen av andra stycket 1-3 ska inflytande som utövas av en juridisk person över vilken en kommun eller ett landsting bestämmer på det sätt som anges i de nämnda punkterna anses utövat av kommunen eller landstinget.
Första stycket gäller också för handlingar som efter medgivande av en kommun eller ett landsting för viss bestämd tid förvaras hos aktiebolag, handelsbolag, ekonomiska föreningar eller stiftelser där kommuner eller landsting tidigare har utövat ett rättsligt bestämmande inflytande.
Vad som föreskrivs om kommuner och landsting i första-tredje styckena tillämpas också på kommunalförbund.
För en ytlig betraktare förefaller SKR uppfylla alla kriterier som t.ex.
att kommuner/regioner utövar ett rättsligt bestämmande inflytande.
Ändå omfattas inte SKR av offentlighetsprincipen, ett förhållande som är allt mer förvånande ju mer man tänker på det.
Bristen på insyn i en politiskt styrd organisation med den makt SKR har är en anomali i det svenska systemet som sannolikt har sin upprinnelse i de ursprungliga förhandlingsorganisationernas uppgifter.
I arbetsgivarorganisationer med enda syfte att förhandla arbetsvillkor kan möjligen hemlighetsmakeriet accepteras – i en organisation som för kommuners och regioners talan i en mängd frågor, opinionsbildar på ett inte helt okontroversiellt sätt och dessutom leder allt fler operativa verksamheter kan det det inte.
Inte minst att det inte går att utkräva ansvar borde ses som en mycket missklädande fläck i det offentliga Sverige.
Att slutna sällskap inte är nyttiga ens för sig själva är en ganska uppenbar slutsats efter i Svenska Akademien.
Samma faror av vänskapskorruption lurar i SKR, dessutom är man utsatta för ett starkt kommersiellt tryck i exempelvis digitaliseringsfrågorna.
Vad synen att digitalisering är lösningen på i princip alla samhällsfrågor bygger på när inga seriösa siffror som underbygger detta väcker frågan vems intressen som egentligen tjänas av SKR.
Ökad öppenhet i denna och andra frågor skulle ställa krav på samma typ av underlag och ansvar som i de kommuner och regioner som skickat delegater till SKR.
Istället urlakas den demokratiska processen markant i och med överförandet av frågor till SKR.
Det finns även andra skäl att göra en reglering i OSL så att även SKR omfattas av kraven på offentlighet och sekretess.
Ett starkt sådant är att SKR allt mer fungerar som en mellanstation mellan statliga och kommunala myndigheter också kan komma att hantera känslig information som rör exempelvis informationssäkerhet.
Eftersom OSL inte gäller kan det vara svårt för myndigheterna att reglera eller överblicka hur informationen hanteras i föreningen SKR.
Samtidigt är det svårt för kommuner och regioner att ifrågasätta att lämna ut information om sina förhållanden till SKR.
Ytterligare ett skäl är kopplingen till arkivlagen som ställer krav på att allmänna handlingar ska bevaras inte bara av insynsskäl utan även för att garantera rättssäkerhet och möjlighet till forskning.
Risken för att den helt offentligt finansierade verksamheten SKR med sin allt tyngre samhällsroll inte lämnar ett bra forskningsmaterial efter sig är överhängande.
Min enkla poäng är att om SKR agerar som en myndighet ska man behandlas som en myndighet.
Det är dags för SKR att inte bara byta namn utan även vara beredda att ta ansvar i förhållande till sitt inflytande.
Hur OSL och kanske TF behöver förändras och kompletteras med en rad som inkluderar SKR i dess räckvidd bör vara en ganska enkel juridisk manöver (jag är ju inte jurist så jag kan ju unna mig att ta lätt på frågan).
Sannolikt är det en betydligt svårare politisk process att tvinga ut SKR:s makthavare ur den så behagliga hemliga stugvärmen men icke förty är detta vad demokratisk anständighet kräver.
Ett obligatoriskt men till intet förpliktigande uttryck sedan länge är ”transparens”, ibland så flitigt använt att man riskerar att glömma bort hur viktigt det faktiskt är med öppenhet.
Öppenheten är central för samhällsklimatet och delaktigheten men också för att kunna tillvarata den samlade kompetensen.
I Sverige har vi varit gynnade av den unika institution som offentlighetsprincipen utgjort sedan 1700-talet och som visserligen på många sätt hotas men som fortfarande är ett omhuldat ideal.
Att få insyn i och i förlängningen möjlighet att påverka de stora samhällsfrågorna är det stora värdet med öppenhet för de offentliga verksamheter där offentlighetsprincipen ska tillämpas.
Öppenhet är av samma skäl obekvämt för makthavare, det är liksom bekvämare om man får arbeta ostört och göra som man vill.
Misstag behöver heller inte upptäckas och att slippa stå till svars för det ena och det andra är naturligtvis behagligt.
Sjukvård rankas som den viktigaste frågan av väljarna.
I Sverige är sjukvården offentligt finansierad.
Dessa två premisser sammantaget ger att ett stort mått av öppenhet i hanteringen av sjukvårdsfrågor borde vara en självklarhet.
Tyvärr är inte så fallet när det gäller e-hälsa.
Även för en som tämligen noggrant följt utvecklingen inom området i 25 år är det mycket svårt att få en överblick ens över hur området styrs.
Då menar jag i form institutioner och presenterade inriktningar som rör sig på en konkret nivå.
Under de senaste tio åren har jag sett en rörelse där allt större inflyttande över e-hälsan flyttats över från staten och regionerna till SKL.
Jag har tidigare skrivit om Inera som ändå fattat beslut om att följa offentlighetsprincipen trots att man inte är skyldig att göra det.
Värre är det med SKL som är en arbetsgivarorganisation för regioner och kommuner.
Trots den litet udda konstruktionen att man som intresseorganisation tillskjuts mycket stora offentliga medel från staten och man styrs av folkvalda politiker så har inte kravet på öppenhet följt med.
Bristen på insyn blir mycket påtaglig när man ser på den för digitalisering som tillsattes efter valet och består av politiker från regioner och kommuner.
Det är alltså ett indirekt valt politiskt organ.
Uppdraget är stort och spännande för den som är intresserad av e-hälsa: Beredningen hanterar strategiska frågor om grundläggande gemensamma förutsätt­ning­ar för digital utveckling, exempelvis fråge­ställ­ningar kopplat till effektivisering genom digitalisering, automation och artificiell intelligens (AI), inno­vations- och förändringsledning, data som strategisk resurs, säker informations­hante­ring och nationell digital infrastruktur.
Vidare ska beredningen hantera rättsliga för­utsättningar för en digital samverkande förvaltning.
I uppdraget ingår också att följa SKL-koncernens samverkan för att gemensamt stötta med­lem­marna i deras verk­sam­hetsutveckling med stöd av digitalisering.
Inte minst blir man ju sugen på att läsa mer om hur beredningen ska hantera de rättsliga förutsättningar efter SKL kanske inte helt klargörande angående molntjänster häromveckan där man inte ens nämner eSams rättsliga uttalande där man avråder från att använda molntjänster.
Detta trots att SKL själva uppger följande i sin rapport: Undersökningen från Radar visar att cirka 50 procent av kommunerna använder Microsoft Office 365 (MS O365) och att 100 procent av de större kommunerna använder denna tjänst.
Hur som helst blev jag intresserad av att ta del av beredningen för digitalisering har för arbete på gång, vilka frågor man ventilerade och vilka insatser som planerades.
Detta visade sig vara en stängd dörr för när jag skickade dessa frågor till SKL:s presstjänst (de har ju inget diarium): Jag skulle vilja veta: – vilka handlingar som finns relaterade till Beredningen för digitalisering – vilka av dessa handlingar som jag kan få ta del av fick jag följande, kanske väntade svar: Tack för att du kontaktar oss.
SKL är en intresse- och arbetsgivarorganisation och omfattas inte av skyldigheten att lämna ut allmänna handlingar enligt offentlighetsprincipen.
Vi kan därmed inte hjälpa dig med din förfrågan.
Du kan läsa mer om SKL och vår organisation på .
Jag gjorde ett par försökt med kommuner och regioner, varav ett par med representanter i beredningen, om de fått in några handlingar men helt utan resultat.
Ofrivilligt parafraserar jag Tom Waits gamla låt i huvudet och får en öronmask: what are they building in there?
Men det är inte bara att man faktiskt inte lämnar ut handlingar som är utestängande.
När jag läser programmet till den med underrubriken En dag.
Oändliga möjligheter.
känner jag en lätt yrsel.
Där kommer de usual suspects att prata om ungefär samma saker som vanligt på de otaliga konferenser som går av stapeln (även om jag känner ett visst intresse för den handlingsplan för 2020-2022 som ska diskuteras) medan många av oss andra känner en mycket stor oro för de många alarmerande händelser som tydligt visar att kostnaderna skenar för för e-hälsan och att nya mycket allvarliga säkerhetsbrister hela tiden avslöjas.
Nu senast var det av ett nytt vårdinformationssystem där det avslöjas att det finns stora risker för både patientsäkerhet och integritet: I rapporten pekas på att rutinerna för riskanalys i arbetet med Skånes digitala vårdsystem, SDV, är för dåliga – informationsklassificeringen görs för sent och avklarade riskanalyser sammanställs inte centralt så att de kan följas upp.
Riskanalysverktyget anses dessutom vara svårt att hantera.
Organisationskulturen i sig finns också med bland de identifierade bristerna.
Det finns helt enkelt ingen kommunicerad agenda för informationssäkerhet med verktyg för att rapportera brister i arbetet med den nya vårdinformationsplattformen.
Det gör att brister riskerar att förbises och att ”medarbetare genom uppgivenhet både upplever och bidrar till en tystnadskultur”.
I sin tur leder det till att oro ventileras i korridorerna vilket leder till ytterligare risker.
Naturligtvis fick jag inte ut någon rapport från Region Skåne när jag efterfrågade den utan ett listigt svar att någon sådan rapport inte fanns diarieförd.
Min fråga: Jag undrar då om en sådan rapport inte finns utan att CS blivit vilseförda eller om den finns men man valt eller missat att diarieföra den?
besvarades med att den sannolikt var ett internt arbetsmaterial.
Det mest deprimerande i detta är att upprepningstvånget.
Trots att svenska sjukvården gång på gång råkar ut för stora säkerhetsproblem, trots ett antal liknande projekt i bland annat och med miljardinvesteringar inte fungerar på ett säkert sätt så är det som denna information inte tränger i genom väggarna på den svenska e-hälsans fort.
Att dessa fullkomligt vitala frågor inte tas upp på en konferens om framtidens e-hälsa gör att verkar som vi lever i två olika världar: verkligheten respektive e-hälsans utopia.
Detta är inte en bra grund för ett mycket komplicerat samhällsutvecklingsarbete!
Den tystnadskultur som den interna rapporten som CS tagit del av pekar på en mycket central risk, nämligen tystnadskulturen som gör det omöjligt att föra fram risker eftersom man då avfärdas som negativ.
För den som arbetar med säkerhet och vet hur betydelsefull en positiv säkerhetskultur är för ett fungerande säkerhetsarbete förstår på djupet hur destruktivt det här förhållningssättet är.
Tyvärr praktiseras samma förhållningssätt även på nationell nivå t.ex.
konferensprogram av typen Nationella e-hälsodagen och när en företrädare för SKL på en konferens säger att ”det är mycket enklare att vara emot”, underförstått att resa rationella frågor uppfattas som fientligt.
Jag kan möjligen förstå att SKL som lobbyorganisation jobbar med ensidiga marknadsföringsknep även om jag som skattebetalare inte skulle vilja se pengar som så väl behövs i vården gå till detta.
Däremot tycker jag att myndigheterna borde nyktra till och kunna föra en diskussion där även nyanser är tillåtna.
Jag tror alla kan stå ut med litet av den dåliga stämning som uppstår när folk visar sig ha olika åsikter.
För säkerheten i framtidens e-hälsa är det nödvändigt att kunna prata om risker och reducera dem innan de lett till ett nytt och ett nytt och ett nytt haveri.
Efter Kammarrättens utslag dröjde det bara några dagar innan jag fick ut de dokument som jag började jaga med en fråga den 6 augusti.
Samtliga tre dokument har mycket marginella maskningar vilket jag återkommer till men som läsaren själv har möjlighet att bedöma eftersom jag lägger ut dem i sin helhet.
Låt oss då se på dokumenten och då först till det mest övergripande: Riktlinje för informationssäkerhet.
Detta dokument tycks ha ganska litet att göra med den policy som beslutades i och därts övergripande syfte anges vara att främja digitalisering samtidigt som tillit till informationshanteringen upprätthålls.
De flesta skulle kanske anse att informationssäkerheten ska stödja kärnverksamhetens uppdrag, i det här fallet egentligen kundernas uppdrag, men Inera är sannolikt i detta fall ett offer för SKL:s överideologi där digitalisering är ett dominerande egenvärde.Inte ett ord om patientsäkerhet för att bara ta en sak som jag personligen anser aningen viktigare än att ”främja digitalisering”.
Den sällsynt korta policyn innehåller ingenting om ansvarsförhållanden eller vem som egentligen ska styra säkerheten, däremot är ett mål att säkerhetsarbetet ska grundas på ”gemensamma regelverk, referensarkitekturer och styrande principer”.
Gemensamma för vem och framtagna av vem kan man undra.
Policyn ska tillämpas enbart internt och det saknas relation till kunderna trots att Ineras roll som leverantör: Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering.
Den ska också tillämpas i projekt och på förvaltningsobjekt.
Policyn ger som jag ser det inte någon verksam strategisk ledning för Ineras säkerhetsarbete i rollen som tjänsteleverantör eftersom ansvar och relationer helt saknas.
Hela upplägget med denna helt urvattnade policy känns litet märkligt när Inera dessutom arbetar baklänges och lägger den som olja på vattnet på redan framtagna underliggande dokument.
Kanske har det funnits en annan policy tidigare som fadat bort utan kommentar.
Låt oss lämna policyn och istället titta på riktlinjen som av naturliga skäl saknar den kopplingar till den beslutade policyn.
En första observation som reser den alltid lika spännande frågan om kausalitet och korrelation.
Av en händelse sammanfaller att jag efterfrågade riktlinjen den 6 augusti med en massiv uppdatering som skedde den 9 augusti när en mängd basala säkerhetsaspekter fördes in i riktlinjen (se revisionshistoriken).
Detta var också första gången på tre och ett halvt år som en uppdatering skedde.
Nog om detta lustiga sammanträffande.
Inera är är ju en tjänsteleverantör av känsliga informationstjänster till vården och det som först slår mig då jag läser riktlinjen är att detta förhållande är i det närmaste osynligt i riktlinjen på samma sätt som i policyn.
Riktlinjen gör ingen distinktion mellan Ineras interna informationssäkerhet och den säkerhet som ska finnas i de tjänster som levereras.
Kundernas frånvaro i hanteringen blir närmast självlysande i definitionen av informationsägaren: För varje viktig informationsmängd ska det utses en informationsägare med uppdrag att hantera alla delar av informationssäkerheten som är relaterade till denna informationsmängd.
För de tjänster som Inera tillhandahåller är detta normalt rollen Tjänsteansvarig.
Här man alltså kortslutit systemet så kunderna är inte informationsägare och ska inte heller hantera exempelvis informationsklassning och riskanalys av den information som de faktiskt är ansvariga för.
För att göra det extrem tydligt: Inera är inte en vårdgivare utan hanterar andra vårdgivares information i ett antal gemensamma tjänster.
Vårdgivarna (offentliga och privata) är enligt lag och föreskrift ansvariga för sin information och att den hanteras på ett säkert sätt – det är bara att läsa HSLF-FS 2016:40 för att få en samlad bild av kraven.
Samtidigt skriver man t.ex.
under 15.3.1. om en informationsägare som sannolikt är kunden.
Roller och begrepp är alltså inte konsistenta.
Ytterligare ett tecken på att riktlinje inte tjänar Ineras verksamhet särskilt väl är att de ytterst knapphändiga beskrivningar av utveckling som finns i kapitlen 15.1 och 15.2.
Detta är alltså riktlinjen där ansvar, principer och arbetssätt bör framgå.
Som jag uppfattar det är Ineras huvudsakliga uppdrag att utveckla olika it-lösningar för vården vilket skulle föranleda att ett verksamhetsanpassat säkerhetsarbete skulle ha en tyngdpunkt just i utvecklings- och förvaltningsprocessen av erbjudna lösningar.
I Ineras riktlinje är det dock inte så utan det känns snarare som en ytlig genomgång av kraven i ISO 27001 med mycket små modifikationer.
Dessutom ingår den i det jag brukar tänka på som ”de öde regelverken” eftersom det inte bara kunderna som saknas utan även i hög grad andra aktörer.
Istället upprepas riktlinjen igenom ”Inera ska…” utan att närmare definiera vilken roll inom Inera som ska utföra säkerhetsarbetet.
Igenkänningsfaktorn är hög.
Jag har sett denna typ av regelverk ett otal antal gånger och ett genomgående drag är att när regelverk är så här diffusa så får de ingen eller ringa säkerhetshöjande effekt.
Har ledningen inte pekat ut ansvar (vilket man här inte har i policyn och mycket litet i riktlinjen) så finns inget maskineri som drar runt säkerhetsarbetet.
Att något i denna anonyma text skulle befinnas vara av den art att det går att sekretesslägga med hänvisning till OSL 18 kap.
8 §: Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser byggnader eller andra anläggningar, lokaler eller inventarier, tillverkning, förvaring, utlämning eller transport av pengar eller andra värdeföremål samt transport eller förvaring av vapen, ammunition, sprängämnen, klyvbart material eller radioaktiva ämnen, telekommunikation eller system för automatiserad behandling av information, behörighet att få tillgång till upptagning för automatiserad behandling eller annan handling, den civila luftfarten eller den civila sjöfarten, transporter på land av farligt gods, eller hamnskydd.
kändes märkligt.
Än mer så Ineras ursprungliga beslut att hela dokumentet skulle utgöra risk om det spreds.
På ett sätt skulle jag ironiskt kunna hålla med: kvaliteten på dokumentet indikerar en klar brist på styrning av säkerhetsarbetet vilket kan naturligtvis är en stor risk om det framkommer.
Men det som nu maskats i dokumentet är endast sex passager där man mitt i den i övrigt så generella beskrivningen av allmänna säkerhetsåtgärder tydligen placerat in var datalagring sker samt tekniska beskrivningar av bland annat segmentering.
Om dessa uppgifter är på detaljnivå har de knappast i riktlinjen att göra eftersom den då inte går att sprida i en vidare krets internt.
Även detta är att starkt skäl att se över regelverket och styrningen i stort.
Om vi sedan tittar på de två övriga dokument jag fått ta del av: så går maskningarna i dessa sammantaget att räkna på ena handens fingrar.
Förutom att även dessa i huvudsak saknar anpassning till Ineras egentliga behov av styrning och även till SKL:s flaggskepp KLASSA är det svårt att se vad som föranlett Ineras rädsla för att sprida dem.
Hela hanteringen av min begäran utlämnande av handlingar framstår som fånig och okunnig i mina ögon men har det goda med sig att det kanske hindrar andra från det överutnyttjande av 18.8 som jag tycker mig sett tecken på.
Min sammantagna bild är att Inera saknar ett sammanhängande systematisktoch att den styrning som finns inte är är inriktad på rätt målbild som till exempel att ge kunderna möjlighet att styra sin egen säkerhet eller på patientsäkerhet.
Ingenstans framgår att den informationsklassning som kunderna gör av sin information ger utslag i Ineras leverans, inte heller att Inera har ett kunderbjudande som är transparent och flexibelt.
Jag är den första att erkänna att Ineras uppdrag är mycket komplicerat men just därför skulle det kännas betydligt tryggare om det gick att urskilja ett stort engagemang för säkerhetsfrågor som skulle ge både kunder och allmänheten i stort en anledning att hysa en stor tillit till Inera.
Särskilt tänker jag på detta när nu Inera satt igång ett nytt projekt om säker digital .
Visserligen står det ”säker” i rubriken men vilket stöd har projektet i Ineras LIS för att uppnås denna säkerhet?
Finns det en risk att detta projekt hamnar i samma situation som den som kritiserades så hårt av MSB när det gäller säkerhetsaspekterna (trots att det är se att MSB bidrog på ett så särskilt strukturerat sätt)?
Hälso- och sjukvård är ju i högsta grad en samhällsviktig verksamhet som borde få MSB:s mest djuplodande intresse när en ny nationell lösning ska tas fram.
Möjligen har jag helt fel.
Kanske är säkerheten i Ineras verksamhet mycket bättre än vad de styrande dokumenten ger intryck av.
Men samtidigt är det svårt att föreställa sig edär det inte finns en tydlig dokumenterad styrning.
Självklart borde denna styrning omfatta mer än Inera – jag ska väl inte tjata om en nationell styrmodell á la Normen en gång till… Däremot vore det mycket önskvärt med en större granskning av samtliga större aktörer inom hälso- och sjukvård både för att bedöma den reella säkerheten och för att se vilka samordningsbehov som finns.
Med detta som utgångspunkt går det sedan att börja skissa på den gemensamma styrmodellen.
I väntan på detta mitt utopiska tillstånd är en rimlig inriktning att IVO koncentrerar sin tillsyn utifrån NIS-direktivet främst på dessa stora aktörer eftersom de har den största påverkan på vår gemensamma säkerhet.
Den minnesgode kommer ihåg att jag bett att få se Ineras ledningssystem för informationssäkerhet, blivit nekad och hänvisad till Kammarrätt för att framföra mina besvär över detta, förloppet finns beskrivet .
Själv måste jag medge att jag fann Ineras agerande aningen besynnerligt.
Om det nu finns styrande dokument för informationssäkerheten vid sidan om den A4 som utgör policy (vilket Inera hävdar) så förefaller det märkligt att varje ord i dessa dokument skulle utgöra en sådan betydande risk för Ineras säkerhet att de inte kan lämnas ut.
För den som jag som arbetat med utlämnande av allmänna handlingar är väl bekant med rutinen att maska dokumenten så att de delar som bedöms som sekretesskänsliga inte kan läsas – ytterst sällan är dokumenten i sin helhet känsligt.
Kanske har inte Inera upparbetat rutinen för maskning än men efter att ha läst Kammarrättens utslag så är det nog dags att komma igång med det nu.
Jag är naturligtvis nöjd med utslaget och väntar nu på mina handlingar.
Samtidigt väcker ju historien med Inera en hel del tankar.
En är att vi alla är betjänta av största möjliga öppenhet om de regler gällande säkerhet som finns olika organisationer.
Vi behöver lära av varandra och vi behöver närma oss mer av praxis både på branschnivå och i samhället i stort.
Ett överdrivet hemlighetsmakeri skapar en negativ säkerhetskultur och förhindrar processen mot en nödvändig samsyn om hur styrningen av säkerhet bör utformas.
Ineras förhållningssätt pekar också på ett annat mer praktiskt problem, nämligen vikten av att utforma sin hierarki av styrande dokument rätt.
Om man, som Inera tycks ha gjort, blandar principer,ansvarsfördelning och andra faktorer som bör kunna vara helt öppna i random organisation med detaljbeskrivningar av säkerhetslösningar, risker och sårbarheter har man ju skapat ett regelverk som knappast går att sprida ens internt och ännu mindre till externa parter som kunder.
En betydligt mer positiv erfarenhet var det att begära ut samma information hos eHälsomyndigheten där jag inte bara fick ta del av de handlingar som på ett övergripande sätt styr säkerhetsarbetet utan även en bild av de handlingar som är av mer känslig karaktär.
Tyvärr bekräftades dock min bild av bristande styrning av säkerheten inom vården då två av de stora aktörerna inom svensk e-hälsa inte har ett gemensamt regelverk.
Detta är en mycket stor fråga som måste lösas innan vi kan säga att vi är på väg mot en säker e-hälsa.
Jag läste en så fantastisk metafor i Jennifer Clements roman Gun love.
Romanen handlar Pearl och hennes mamma Margot som bor i baksätet i en bil.
Miljön är den där sortens misär som bara finns i USA med hemlösa människor som helt saknar riktning i sitt liv.
Redan tidigt i boken finns följande passus: Mamma och jag flyttade in i Mercuryn när hon var sjutton och jag var nyfödd.
Så den bilen, som stod i utkanten av en trailerpark mitt i Florida, var det enda hem jag kände till.
Livet var en prick-till-prick-teckning och vi bekymrade oss inte stort om framtiden.
Bilden av prick-till-prick-teckningen hakade fast i mig och jag fick en stark känsla av hur de här romanfigurerna levde sitt liv.
Så är det ju ofta med god litteratur, den lever vidare inom en.
Men hjärnan är en märklig sak och vips började jag associera metaforen med hur jag uppfattar digitalisering och informationssäkerhet på samhällsnivå, som prickar till synes utan samband.
Finns det en dold teckning under prickarna så kan i alla fall inte jag se den.
Att jag började tänka på det berodde på den nya rapport som regeringens uppdrag tagits fram av sju myndigheter om säkert och effektivt informationsutbyte i offentlig .
Lustigt nog var varken MSB eller någon annan myndighet med säkerhetsprofil bland de sju myndigheterna trots att uppdraget rörde just säkert informationsutbyte.
Detta var säkert en bakgrund till de slängar som slungades från MSB på sociala medier men efter en genomläsning av rapporten får det sägas att de avsnitt som skrivits om säkerhet knappast skrivits av någon med erfarenhet från detta område.
Att Försäkringskassan är en av de myndigheter som ingått i arbetet med att ta fram rapporten känns aningen illavarslande när man läser budgetproppen där det står om Försäkringskassans allt större roll som intern it-leverantör i staten: Förhoppningsvis är det andra som ska stå för den leveransen än de som skrivit om säkerhet i rapporten.
Ändå är rapporten positiv i andra avseende, främst genom att man pratar om en gemensam digital infrastruktur.
Detta är något jag försökt driva i olika sammanhang utan påtaglig effekt.
Jag vill självklart inte framhäva min egen roll utan bara säga att detta är en inriktning som tidigare saknats på ett mer uttalat sätt och som jag tror i sig har en tydligt säkerhetshöjande effekt.
Att notera detta positiva anslag känns viktigt även om den stora bilden av infrastrukturen inte kan anas och på sin höjd tre prickar sammanfogats.
Problemet är inte endast att det tycks sakna en ritning för utveckling av digitaliseringen utan även för samhällets informationssäkerhet.
MSB:s handläggare (ja, jag vet att hen liksom många andra tjänstemän friskriver sig på sociala medier genom att hävda att de ”twittrar som privatperson” – ett oskick jag beskrivit ) ansåg att rapporten var ett ”hafsverk” och att rapportförfattarna inte tagit till sig MSB:s synpunkter.
Nyfiken som jag efterfrågade jag då de diarieföra synpunkter som det hänvisades till och fick ut detta mail: Det avslöjar inte mycket av ett eventuellt infrastrukturellt synsätt.
Informationssäkerhetsområdet tycks alltså ha sin egen mycket ofullständiga prick-till-prick-teckning.
Liksom arkivväsendet som även det har en stor betydelse för den offentliga informationshanteringen.
Sammantaget så är planeringen av vår gemensamma informationshanteringsinfrastruktur uppenbart fragmentiserad och där olika myndigheter ritar sina prickar oberoende av varandra trots att de åtminstone borde vara i samma teckning.
I detta dystra scenario är det inspirerande att snegla österut.
I Finland har nämligen antagits en ny lag med om informationshantering inom den offentliga förvaltning.
I som låg till grund för lagen ges inriktningen: Det är fråga om en allmän lag som ska reglera informationshanteringen inom den offentliga sektorn.
Lagen avses gälla all informationshantering som sker inom myndigheternas verksamhet.
Genom lagen säkerställs en enhetlig förvaltning och en informationssäker behandling av myndigheternas informationsmaterial i syfte att genomföra offentlighetsprincipen.
Dessutom har lagen bestämmelser om elektronisk överföring av information mellan olika myndigheters informationssystem.
Genom regleringen effektiveras myndigheternas informationshantering så att myndigheterna kan tillhandahålla förvaltningskunderna sina tjänster på ett kvalitativt sätt som är förenligt med god förvaltning och kan sköta sina uppgifter på ett resultatgivande sätt.
Syftet med lagen är att främja också interoperabiliteten mellan informationssystemen och informationslagren.
träder i kraft vid årsskiftet och innebär också att en informationshanteringsnämnd ska säkerställa samordningen mellan informationshantering (inklusive arkiv), digitalisering och informationssäkerhet.
I dagarna har även en ny cyberstrategi antagits.
För mig förefaller denna ordning mycket ändamålsenlig särskilt om det även blir ett gemensamt myndighetsansvar.
I Sverige skulle det kunna kopieras så att DIGG får skärpa till sig och samtidigt överta ansvaret för samhällets informationssäkerhet och se till att det blir integrerat i hela digitaliseringensprocessen.
De myndigheter som redan idag framför allt är intresserade av internationella antagonistiska hot och cyberkrig kan fortsätta med detta med gott samvete.
På detta sätt skulle prickarna åtminstone fyllas i på samma teckning.
Jag vet att detta är en överdriven förenkling och att det inte går att dra snörräta linjer mellan olika säkerhetsområden men jag tror vi måste komma tillbaka till en situation där normallägets funktionalitet respekteras och där bygget av en gemensam infrastruktur kan ske med god säkerhet.
Ibland behöver vi ta ett steg tillbaka och betrakta en till synes fast definierad problemformulering på litet avstånd för att se om det är ett tillräckligt bra sätt att förstå en viktig fråga eller om det kanske finns andra sätt att betrakta den.
Jag ska nu göra ett försök att vidga frågan om integritet i förhållande till vårdinformation i synnerhet men även till den information som skapas och bearbetas i offentliga verksamhet i allmänhet.
När vi pratar om den personliga integriteten idag handlar det i de flesta sammanhang om teknik som åtkomst till personuppgifter i it-system eller övervakningskameror.
Jag tror att detta är en alldeles för begränsade problemformulering när vi ser hur personuppgifter är det högoktaniga bränslet för multinationella företag som jag skrivit om .
Samma fenomen beskrivs i den mycket välförtjänt hyllade och lästa Konsulterna av Anna Gustafsson och Lisa Röstlund.
Vår nuvarande inställning bygger på att obehörig åtkomst till uppgifterna skulle skada vårt anseende, att intima uppgifter om oss själva skulle bli kända för ”fel” personer.
Det är en rättighetstradition som bygger på tanken att vi har en rätt till en privat sfär och även till att kontrollera ”bilden” av oss själva.
Det är i min mening en alldeles rimlig uppfattning att känsliga uppgifter om oss endast ska vara åtkomliga för de som verkligen behöver dem, t.ex.
för att ge oss rätt vård.
Det är också en inriktning som fungerat i den svenska vården sedan patientjournalerna övergick från att vara räkenskapsmaterial till att bli stöd för vård och behandling.
En snabb och hårdragen exposé skulle kunna se ut som följer.
I och med att den svenska vården till sin absoluta merpart varit offentligt finansierad och offentligt utförd under i princip hela 1900-talet har vårdinformationen varit allmänna handlingar som ägts av vårdgivaren och i väsentliga delar bevarats i och med att sjukvårdshuvudmännen (landsting/regioner) har åtagit sig att bevara alla läkarförda journaler för all framtid.
Förutom att detta förhållande har gynnat patienterna som kunnat få vård grundad på vederhäftig information har det gett Sverige ett unikt forskningsläge med tillgång till en hel befolknings data om hälsa och vård i ett välordnat system.
Förutom att det är lätt glömma bort att vi faktiskt haft mycket väl utvecklad hantering av patientdata i över ett sekel är det också lätt att glömma bort att detta bygger på ett samhällskontrakt som kan ses som en del i den svenska välfärdsstaten.
Ungefär: högkvalitativ vård och en avancerad forskning finansieras via skatten och dina vårduppgifter används för att ge dig själv och andra patienter bättre vård.
Förutsättningen för kontraktet var 1) att patientuppgifterna användes för etiskt prövad akademisk forskning och 2) att patientuppgifterna omgavs med sekretess och att det fanns hög grad av spårbarhet i vilka som tagit del av dem.
Jag vet att så fort man säger eller skriver att patientuppgifterna omgavs med höga krav på sekretess så kommer det alltid ett antal människor rusande och återger hårresande berättelser från gamla journalarkiv.
Min utgångspunkt är vad lagstiftning i form av bland annat patientjournallagen betonade och studier som gjorts av journalhantering under 60-80-talet samt de mycket konkreta erfarenheter jag har av praktisk journalhantering samt sekretessmedvetande från ett antal år i olika typer av vårdverksamheter.
Personligen har jag tycket att detta varit ett bra samhällskontrakt som bygger på ett stort mått av tillit och har ofta argumenterat emot dem som menat att patienten själv ska äga sin journal eftersom det, enligt mig, skulle leda till stora nackdelar både för patienten och för samhället.
Tyvärr har jag varit tvungen att börja ompröva detta efter de senaste decenniernas digitalisering inom sjukvården.
Om vi tar det aktuella exemplet Region Stockholms för hälsodata liksom NKS intention att lämna ut stora mängder patientdata via BCG till amerikanska företag måste vi kanske övergå till ett annat sätt att se på integritet.
Kanske måste vi lämna den traditionella svenska uppfattning och se på integritet som en äganderätt vilket är ett synsätt som varit etablerat i mer konservativa tanketraditioner som exempelvis Nozick med efterföljare.
Det skulle i detta alltmer kommersialiserade sammanhang där personuppgifter blivit guldet eller kunna tolkas som att din äganderätt av dig själv också innebär att du också äger den eftertraktade resursen som dina personuppgifter utgör.
Om du äger uppgifterna måste också ha rätten att avgöra hur de får användas utöver exempelvis vad vården kräver.
Detta är ett synsätt som går emot den rådande trenden inom svensk sjukvård där inte ens tycker de mycket begränsade möjligheter till samtycken ska få finnas kvar utan hanteringen av personuppgifter ska ske långt över huvudet på patienterna.
En randanmärkning är att sjukvårdspolitiker och SKL inte riktigt tycks acceptera gällande lagstiftning som den gällande spärrar, integritet eller molntjänster.
Istället för att inrätta sina verksamheter så att de följer lagstiftningen lägger man all energi på att argumentera för att lagstiftningen ska ändras.
Det känns inte som allt igenom konstruktivt förhållningssätt och min uppfattning är att detta är en delförklaring till den haltande digitaliseringen av vården.
I ovan refererade debattartikel förefaller inriktningen vara att patientuppgifterna generellt liksom i centret för hälsodata få användas för random ändamål för var går gränserna för ändamål som exempelvis life science, kvalitetsutveckling och uppföljning?
Det är aningen förbryllande att de politiker som kallar sig liberala tycks minst intresserade av liberala värderingar och individers rättigheter utan har en närmast kinesiskt touch i synen på relationen mellan individ, kapital och staten.
När jag läser om Centrum för hälsodata tänker jag också hur Region Stockholm ständigt upprepade bristande affärssinne som i utförsäljningar av allmän egendom till totala underpriser.
Nu ska man sälja hälsodata till ”självkostnadspris”.
Varför ska kommersiella företag inte betala marknadspris för den råvara som personuppgifterna utgör?
Även om det i mina ögon är en olycklig utveckling inte minst för den medicinska forskningen vill jag ändå pröva tanken på hur det skulle se ut om vi ägde vår egen patientinformation.
Det finns liksom ingen fördel för svenska patienter att lämna data till amerikanska försäkringsbolag eller som stöd till företagen i det som Zuboff kallar den multinationella övervakningskapitalismen.
Om vi ska ersätta tillitsbaserade relationer med kommersiella måste detta ske på ett sätt som inte bara gynnar den ena parten.
Vi skulle kunna laborera med möjligheten till en digital valfrihet där man som patient fick en äganderätt till sina patientuppgifter och därmed kunna bestämma över hur de får hanteras.
Exempelvis kryssa i ett formulär med alternativ som Mina patientuppgifter får användas: Till detta kan läggas verklig anonymisering som alternativ på samtliga val.
Patienten kanske ska erbjudas möjligheten att få ta ut ersättning då personuppgifterna säljs till kommersiella aktörer och då inte ”självkostnadspris” utan ett reellt pris.
Detta tror jag vore ett bra sätt att återföra makten till patienten, sätta till press på sjukvårdshuvudmännen att ta frågan på allvar och att utveckla privacy by design vilket ju är ett lagkrav för de som glömt bort det.
Ett annat resultat vore möjligen också att patientföreningar som representerar patientens olika intressen kunde bildas och utgöra ett komplement till de patientföreningar vars oberoende kan . En ny sorts patientföreningar skulle kunna bli förhandlingspartners och förhandla fram bättre priser än självkostnadspris för råvaran.
Tanken svindlar för vilka möjligheter som skulle kunna öppnas.
Resonemanget om en digital valfrihet för individen kan med fördel även tas in i diskussionerna om öppna data.
Jag är inte säker på om jag håller med mig själv men jag tror vi som verkligen är intresserad av den personliga integriteten måste börja fundera på hur vi ska kunna hitta verktygen i en ny tid.

Det är närmast en tradition att arkivutredningar inte kommer fram till något särskilt.
Att även är som en kompass utan visare ska kanske därför inte dömas för hårt.
Istället får vi tacka för det redovisande innehållet och söka de nödvändiga lösningarna på organisation och vision för hur det långsiktiga bevarandet av information ska ske på annat håll.
Själv pläderar jag återigen för framtagandet av en arkivstrategi där både vägval görs om vad som ska ses som ingående i arkivområdet och alla de spretiga som frågor som ändå kommer att återstå knyts ihop i en rörelse framåt.
Framför allt borde INGEN kunna blunda för att det ännu inte finns någon plan för hur all den information som skapas idag ska bevaras med kvalitet, säkerhet och autenticitet för framtiden.
Detta gör att övriga arkivfrågor i min värld framstår som petitesser.

endast för min vård, den uppföljning är lagstadgad och tydligt definierad administrativ hantering utöver ovanstående även akademisk forskning där resultaten kommer samhället till del utöver ovanstående även akademiskt forskning i kommersiell regi för kommersiellt bruk oavsett bransch

Meny Inläggsnavigering

MENU MENU Postat av Postad i , , Tagged , Postat av Postad i , , Tagged , , , , Postat av Postad i Postat av Postad i , , , Tagged , , , Postat av Postad i , , , , Tagged , , , Postat av Hej!
Postad i , , , Tagged , , , , Postat av Postad i , , , , , , Tagged , , , , , Postat av Postad i , , , , , Tagged , , , , , Postat av Säker och samordnad it-drift Försäkringskassan har påbörjat anslutning av sex myndigheter inom regeringsuppdraget att er- bjuda samordnad och säker statlig it-drift (Fi2017/03257/DF).
Intresset är stort och flera statliga myndigheter har inlett dialog med Försäkringskassan med avsikt att ansluta sin it- drift.
Postad i , , , , , Tagged , , Postat av Postad i , , , , Tagged , , , , ← → Sök efter:

Det övergripande syftet är att säkerställa samhällets tillgång till allmänna handlingar både nu och i framtiden.
Härifrån till evigheten

Efter diskussionerna om 1177-skandalen och andra händelser inom e-hälsoområdet har jag efterfrågat en nationell genomlysning av hur det egentligen står till med informationssäkerheten i den svenska vården.
I väntan på en större aktör som kan genomföra en omfattande analys av den i mitt tycke centrala frågan så tänkte jag börja dra några små strån till stacken och titta närmare på hur några viktiga aktörer inom e-hälsoområdet hanterar informationssäkerhetsfrågan.
Hälso- och sjukvården är också en av de utpekade branscher där aktörer åläggs att bedriva ei NIS-direktivet.
Att sanktionsavgifter kan utdömas från både dataskyddsmyndigheten och från IVO i det här fallet borde vara en starkt pådrivande faktor för att förbättra säkerheten.
En naturlig startpunkt är Inera som presenterar sig så här: Inera ägs av SKL Företag, regioner och kommuner.
Genom att erbjuda kompetens inom digitalisering stödjer Inera ägarnas verksamhetsutveckling.
Inera koordinerar och utvecklar gemensamma digitala lösningar till nytta för invånare, medarbetare och beslutsfattare.
och Inera utvecklar och förvaltar nationella tjänster inom e-hälsa och digitalisering på uppdrag av regioner och kommuner.
Ungefär 35 digitala tjänster drivs idag av Inera, bland annat 1177 Vårdguiden, Nationell patientöversikt och Journalen.
Vissa tjänster används av invånare, andra av vårdpersonal.
Arbete pågår med nuvarande tjänster och på vilket sätt de kan anpassas för kommunerna.
Inera ansvarar också för den gemensamma infrastruktur och it-arkitektur som ligger till grund för många av tjänsterna.
Därmed har Inera uppdraget från sjukvårdshuvudmännen att koordinera och utveckla gemensamma e-hälsolösningar – en supertungviktare inom e-hälsoområdet alltså.
Av detta följer att man har ett lika tungt ansvar när det gäller informationssäkerheten i de lösningar man erbjuder.
Detta faktum accentueras av att sjukvårdshuvudmän och vårdgivare i de flesta fall inte kan välja andra lösningar än de som Inera erbjuder eftersom de är nationella tjänster som det är nödvändigt att använda för att kunna bedriva vård.
Till skillnad mot om man skulle anlita kommersiell leverantör där man både kan styra med kravspecifikation och genom att byta leverantör om man inte är nöjd med säkerheten.
Dessutom ska Inera stödja digitalisering av regioners och kommuners verksamheter genom att tillhandahålla kompetens och material.
Bland annat säger man sig ta fram regelverk för informationssäkerhet, juridik och kvalitetssäkring.
Det vore konstigt om man inte skulle bli intresserad av hur Inera arbetar med informationssäkerhet då dessa olika uppdrag presenteras.
När man bedömer en organisations förutsättningar för att bedriva eär den vanliga metoden att utgå från vilka styrande dokument som tagits fram och beslutats.
Inte för att styrande dokument i sig med nödvändighet leder till bättre säkerhet men de ger ramarna för arbetet och beskriver förhoppningsvis det organisatoriska maskineri med bland annat ansvar och roller som förlängningen ska snurra igång det systematiska arbetet.
I korthet: regelverk är en nödvändig men absolut inte tillräcklig förutsättning för fungerande informationssäkerhet och det finns definitivt olika kvalitet på regelverk.
Dessutom innehåller regler på högre nivå mycket sällan någon som helst känslig information och skulle det återfinnas någon liten del som bedöms som känslig är den lätt att maskera vid ett utlämnande (tro mig – jag har begärt ut regler i stor omfattning från myndigheter, kommuner och regioner).
Innan vi går vidare ska jag för transparensens påpeka att jag för ett femtontal år sedan gjorde ett par konsultuppdrag för Ineras föregångare och jag hade även kontakt med Inera under den tid jag arbetade på MSB.
Mitt sammantagna intryck är att det varit motigt att införa ett systematisktt trots uppdraget Inera och dess föregångare haft.
Men åter till nuläget.
Med ovan beskrivna bakgrund var ett första steg för mig att be att få ta del av Ineras regelverk vilket jag gjorde den 6 augusti: Hej!
Jag skulle vilja ta del av: – Ineras interna ledningssystem för informationssäkerhet (LIS) som tillämpas i Ineras verksamhet – Aktuella regelverk och stödmaterial för informationssäkerhet som Inera tagit fram som stöd för sina kunder Jag skulle dessutom vilja veta när Inera senast genomförde en mer omfattande informationssäkerhetsrevision av den egna verksamheten.
Tack på förhand!
Jag fick snabbt ett automatsvar som kvitterade att mitt ärende tagits emot.
Sedan dröjde det och dröjde det.
Till slut kom ett svar den 22 augusti: Ni har begärt utlämnande av Ineras interna ledningssystem för informationssäkerhet (LIS), som tillämpas i Ineras verksamhet, samt vidare aktuella regelverk och stödmaterial för informationssäkerhet, som Inera tagit fram som stöd för sina kunder.
Ineras informationssäkerhetspolicy återfinns på .
Regelverk och stödmaterial inom informationssäkerhet och arkitektur, som delas med kunder, återfinns på .
Beträffande LIS gör Inera följande bedömning: Informationssäkerhet syftar till att hindra information från att läcka ut, förvanskas eller förstöras samt säkerställa att informationen finns tillgänglig för en legitim användare.
Ineras produkter och tjänster håller en sådan säkerhetsnivå att kunder kan känna förtroende för Inera som leverantör och uppnå en hög nivå av informationssäkerhet.
Inera har ett ledningssystem för informationssäkerhet, som är baserat på ISO 27001.
av regelverk som beskriver krypteringsnivåer, autentiserings-metoder, säkerhetsåtgärder i driftsmiljön m.m.
I systemet ingår vidare modeller förificering, incidenthantering, etc., liksom uppföljning i form av interna och externa revisioner samt säkerhetstester.
Sekretess gäller enligt 18 kap.
8 § 3 offentlighets- och sekretesslagen för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser telekommunikation eller system för automatiserad behandling av information.
LIS innehåller uppgifter av sådan art att ett utlämnande typiskt sett är ägnat att medföra skada för det intresse som skall skyddas genom den aktuella bestämmelsen.
Handlingarna kan därför inte lämnas ut.
Om ni inte är nöjd med sekretessbedömningen har ni rätt att begära ett formellt beslut.
Med vänlig hälsning Inera Detta var ett intressant svar av flera skäl.
För det första är den informationssäkerhetspolicy som bifogas och som också ligger ute på Ineras så sällsynt innehållslös och består enbart av det som i andra policys brukar ligga under rubriken ”mål”.
Bland annat saknas helt inriktning för ansvarsförhållanden vilket är av stor betydelse att definiera för en leverantör .
Att policyn är beslutad den 14 juni i år väcker även det en hel del tankar (mer om innehållet i de dokument jag fått ut längre ner).
Det riktigt förvånande är dock att Inera anser att övriga styrande dokument i sin helhet går att sekretesslägga och det med hänvisning till OSL trots att man inte tillhör de offentliga organisationer som faller under offentlighetslagstiftningen!
Detta sporrade min nyfikenhet och som den jobbiga människa jag är måste jag ställa ytterligare frågor med vändande post: Tack för svar!
En formfråga: har Inera fattat ett beslut att tillämpa OSL generellt för sin verksamhet?
Till svar fick jag följande: I Ineras bolagsordningen (från 2017) står följande: Allmänheten ska ha rätt att ta del av handlingar hos bolaget enligt de grunder som gäller för allmänna handlingars offentlighet i 2 kap.
tryckfrihetsförordningen och offentlighets- och sekretesslagen.
Här tätnade mystiken för mig.
2 kap TF och OSL handlar om hanteringen av allmänna handlingar.
Inera har per definition inte några allmänna handlingar och vad betyder då egentligen paragrafen i Ineras bolagsordning?
En generös tolkning är att man menar att Ineras handlingar ska hanteras som allmänna handlingar i myndigheter, regioner och landsting.
För att den handlingsoffentligheten ska fungera krävs bland annat diarieföring av handlingar där ärenden/handlingar får unika identiteter som går att söka fram och begära ut.
Om myndigheten, i det här fallet icke-myndigheten Inera, bedömer att det finns grund i OSL för sekretess för hela eller delar begärda handlingar ska ett sådant beslut lämnas skyndsamt med besvärshänvisning så begäran prövas i Kammarrätten.
Min nästa fråga blev därför: Tack!
Det innebär alltså att jag kan få ett formellt beslut med besvärshänvisning inom typ tre dagar?
Och svaret kom pronto: Ja, det stämmer.
Vill du alltså helst få ett formellt beslut?
Självklart vill jag ha ett formellt beslut men på vad?
Jag var tvungen att skriva tillbaka för klarläggande: Hej igen!
För att följa ert beslut om att efterleva OSL och TF bör jag få ta del av vilka handlingar och dess unika ID så att jag kan begära ut dem.
I policyn står inget om vilka övriga styrande dokument om ingår i ledningssystemet så därför behöver jag uppgifter om detta.
Exempel kan vara Riktlinje för åtkomst osv.
Dokumentnamnet kan inte falla under den sekretess ni hänvisar till.
Tyvärr har ni ju inget diarium på nätet så att jag själv kan söka reda på dessa uppgifter.
Jag skulle också vilja se beslut om till vilken instans ni skickar besvär i utlämnandefrågor.
När jag fått dessa uppgifter kan jag göra en formell begäran om utlämnande.
En vecka senare (30 augusti) kom svaret med en bilaga Hej Fia, Bifogad fil innehåller en beskrivning av Ineras ledningssystem och dess komponenter.
Den instans som är aktuell i besvärsfrågor är Kammarrätten.
Återkommer till innehållet i dokumentet senare men efter att ha läst beskrivningen skickade jag in följande begäran: Tack!
Jag har alltså fått en beskrivning av ert ledningssystem där ni bedömer att samtliga ingående dokument i sin helhet faller under OSL 18:8 § 3.
Förutom att jag tycker att det är tämligen unikt för Inera att se hela regelverket som fallande ur sekretess blir jag litet fundersam över vilka dokument i beskrivningen som är framtagna och beslutade.
Är beskrivningen en plan över vad som ska tas fram eller finns omnämnda dokument?
Och kommer Kammarrätten verkligen att anse att de är en instans för besvär gällande utbegäran om icke-allmänna handlingar (eftersom Inera inte är skyldiga att följa TF och OSL utan har det mer som en policyinriktning)?
Eftersom jag håller på att skriva om det just nu vill jag gärna pröva detta så jag begär ett formellt beslut angående utlämnande av följande dokument (eftersom de saknar unik identitet anger jag den beteckning som anges i beskrivningen): Jag förutsätter att ni gör en sekretessprövning som innebär att de delar av dokumenten som inte faller under reglerna för sekretess lämnas ut.
Förhoppningsvis håller ni också den praxis som gäller för skyndsam handläggning för denna typ av ärenden, d.v.s.
beslut inom tre arbetsdagar.
Idag den 3 september fick jag ett formell avslag med en besvärshänvisning där beslutet där samtliga handlingar i ledningssystemet förutom policyn i sin helhet bedöms i behov av sekretess.
Besvärshänvisningen är till Kammarrätten som kan göra en annan bedömning.
Själv är jag tveksam till om besvärshänvisningen verkligen fungerar eftersom Inera formellt inte faller under offentlighetsprincipen och de handlingar jag begärt ut därmed inte är att betrakta som allmänna vilket också fastslagits i ett liknande fall, då gällande (SKI).
Av rent intresse kommer jaag ändå att skicka in ett besvär.
Om vi ser till själva processen tycks Inera lägga betoningen på S snarare än O i OSL.
Det är tyvärr inte en ovanlig attityd bland myndigheter, det är klart att det är mycket bekvämare att arbeta bakom lyckta dörrar, men en mycket tråkig utveckling i ett samhälle där vi berömt oss för vår fina offentlighetsprincip.
Min fråga här blir hur syftet med informationsklassningen som säkerhetsåtgärd skulle kunna skadas om Inera lämnade ut beskrivningen av sin metod.
Eller hur riktlinjersin helhet skulle kunna vara känsliga.
För att undvika missförstånd: självklart finns det ingående beskrivningar av tekniska lösningar alternativt risker/sårbarheter som bör hållas skyddade för obehöriga (särskilt som Inera paradoxalt nog är frikostiga med tekniska beskrivningar .
Men styrande dokument på en högre nivå borde Inera ha all anledning att vilja sprida om man tar sitt uppdrag att ”koordinera och utveckla digitala lösningar” på allvar.
Eftersom vi vet att informationssäkerheten är så illa utvecklad inom sjukvården borde Inera föregå med gott exempel och visa upp vilken säkerhet man själv har i sin instans av 1177 till skillnad mot Medhelps hantering.
Vad skulle nyttan vara i att begränsa harmlös information om sitt säkerhetsarbete till sina ”kunder” om man hanterar personuppgifter för hela befolkningen och ett mycket stort antal aktörer är berörda av dessa regler på olika sätt?
En mer cynisk människa än jag skulle ifrågasätta att de dokument jag efterfrågar över huvudtaget finns annat än på ritbordet med tanke på att policyn antogs i mitten av juni i år och övriga dokument rimligen borde vara underdokument till den.
Jag väljer att tro att dokumenten i beskrivningen verkligen finns men det ledningssystem som framtonar liknar inget jag tidigare sett i en organisation med Ineras betydelse och ambition att följa ISO/IEC 27001/27002.
Policyn är som jag tidigare skrivit torftig och innehåller inte delar som ändå får uppfattas som praxis som exempelvis ansvar och roller, incident och kontinuitet vilket även är centrala aspekter för en tjänsteleverantör.
Dessa frågor återkommer inte heller på anvisningsnivå.
Inledningsvis sägs att: Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering.
Den ska också tillämpas i projekt och på förvaltningsobjekt.
Det är alltså en intern policy för bolaget Inera men vad säger det om informationssäkerheten i tjänsterna?
Och i relationen med kunderna?
När så basala frågor lämnas öppna är frågan vad policyn egentligen fyller för syfte.
Sammantaget är den bild jag får att detta inte ens om det blir genomfört skulle bli ett fungerande ledningssystem på det sätt som beskrivs i standarden.
Men då har jag som sagt inte sett själva dokumenten.
Kanske någon som är ”kund” i Ineras mening kan kolla på dessa dokument och återkomma med en beskrivning?
Ineras hemlighetsmakeri blir ännu mer märkligt med tanke på att ett flertal av de ägare som Inera kallar kunder villigt lämnat ut sina styrande dokument för informationssäkerhet när jag frågat.
Varför skulle större sekretess råda hos Inera?
Kanske är det ovanan att leva med en god offentlighetskultur som präglar Ineras synsätt.
På samhällsnivå är det i så fall ett stort problem om viktig information flyttas från öppna organisationer till slutna som Inera och SKL.
Jag tror att överdrivet sekretessläggande är till stor nackdel för säkerhetsarbete generellt men alldeles särskilt i sammanhang då en ett antal aktörer ska dela information, tjänster och infrastruktur.
Det måste finnas en grundlig kännedom och diskussion om gemensamma regler hos de som är aktörer i samarbetet men det måste också gå att presentera utanför den snävaste kretsen för att kunna skapa tillit.
Konsulter och leverantörer måste även de få inblick för att kunna utveckla sina tjänster så att de passar.
Detta gäller än mer om Inera ska axla rollen att stödja kommunerna i deras digitalisering.
Min förslag har sedan länge varit att ta fram gemensamma regelverk och skyddsnivåer för att skapa gemensam säkerhet och dessutom slippa de stora konverteringsproblem som uppstår då aktörer med olika regelverk ska samverka i samma infrastruktur.
Svensk digitalisering är i sig planlös men det skulle kunna gå att riva det Babels torn av språkförbistring som redan finns inom informationssäkerhetsområdet genom att skapa just gemensamma regelverk.
Jag gjorde ett försök 2014 när jag jobbade på MSB att få olika centrala aktörer att samverka men denna strategi har fallit i glömska trots ett flertal tunga undertecknare (bland annat SKL och Inera).
Idag är behovet av fungerande informationssäkerhet i vården större än någonsin finns det definitivt utrymme för Inera att kliva fram och göra mer av sitt uppdrag att ta fram regelverk för informationssäkerhet än det som nu finns presenterat på n, detta särskilt som SKL säger att man ska arbeta ”resolut” med att förbättra informationssäkerheten.
Ska man lyckas med det krävs dock öppenhet och dialog med de många aktörer som måste ingå i ett sådant förbättringsarbete.
Att hävda att sekretess råder för varje mening i styrande dokument på hög nivå är inte ett tecken på vilja till öppenhet och dialog.
Som en inledning på höstens äventyr tänkte jag bara göra några kompletterande anmärkningar till en debatt i Dagens samhälle.
Den inleddes med där jag ventilerade min oro efter vad som framkommit om Region Stockholms informationssäkerhet i den granskningsrapport som initierades av 1177-skandalen.
På inlägget följde två svar.
Det kom från ett par tjänstemän från SKL där man hävdade att regionerna arbetar resolut med informationssäkerhet.
I svaret är man tillämpar man ad hominem-argumentet att ett flertal gånger understryka att jag är ”konsulten”.
Det är ju förståeligt med tanke på NKS och i vilket vanrykte konsulter hamnat i efter den hanteringen men det som bekymrar mig är snarare att baktanken sannolikt är att göra mina argument ointressanta på grund av att jag inte representerar någon organisation.
Detta riktar i och för sig ljuset på ett tråkigt fenomen, att inträdesbiljetten i samtalet om samhällets gemensamma frågor förutsätter att deltagaren representerar ett särintresse.
Personligen tycker jag i stället att det demokratiska samtalet skulle tjäna på att många fler deltog, även de som inte har något annat intresse än att de är engagerade i att försöka förbättra samhället precis som när jag ställer upp som blodgivare.
Detta tillsammans med debattörernas åsikt att öppenhet om inträffade incidenter i offentlig verksamhet på något sätt skulle vara optional tycker jag också visar på det problematiska i SKL:s alltmer utvidgade roll.
Allt mer beslutsfattande och operativ verksamhet för in i en organisation där offentlighetsprincipen inte gäller och insynen, precis som debattörerna antyder, inte är en rättighet utan något som kan ges på nåder.
Att en arbetsgivarorganisation kan överta all fler uppgifter från demokratiskt valda organisationer och dessutom emellanåt kalla sig saker som ”koncernen SKL” (litet som om Almega skulle kalla sig koncernen Almega där alla tjänsteföretag skulle vara underordnade föreningen) leder till ett demokratiskt underskott som borde bekymra fler än mig.
För att inte falla i samma fälla och bara diskutera SKL:s svar utifrån vilka de är och inte utifrån deras argument ska jag här gå något djupare än jag kunde göra i mitt .
Företrädarna hävdar att regionerna arbetar resolut med informationssäkerhet men de exempel som ges på vad man gör tyder snarare på att man fortfarande är kvar i huvudsak teoretiska aktiviteter som möjligen kan få en säkerhetshöjande effekt längre fram.
Det skulle kunna tyckas vara gott nog om informationssäkerhet vore en helt ny fråga.
Det är det inte – behovet av informationssäkerhet i vården har lyfts fram som en kritisk fråga i flera decennier, det har funnits lagstiftning och föreskrifter som ställt krav på sjukvårdshuvudmän och vårdgivare ungefär lika länge.
Problemet är bara att frågan inte prioriterats och nödvändiga åtgärder inte vidtagits.
Att då litet förnärmat när vi närmar oss år 2020 hävda att man nu minsann är på gång med att ta fram mognadsmodeller och skrivit in i en egenstrategi att man anslutit sig till den nationella för informations- och cybersäkerhet känns inte, mja, som något som kommer att hindra incidenter och höja säkerhetsnivån inom den närmaste tiden.
Man säger också att SKL erbjuder sina medlemmar konkret stöd men där är problemet att det stöd som erbjuds t.ex.
i form av informationsklassningsverktyget KLASSA inte skulle ha utgjort ett stöd när det gäller upphandlingen av 1177 eftersom det är ett verktyg för att klassa system, inte informationen i processer.
SKL menar att jag bara gnäller utan konstruktiva lösningar.
Själv tycker jag att jag verkligen anstränger mig för att komma med förslag på förbättringar som att göra en gemensam analys för att kunna prioritera rätt åtgärder o.s.v.
men att vara konstruktiv innebär inte att man bortser från problemen.
Kanske har SKL fastnat i en föreställning att man ska verka som ett företag och att endast positiva marknadsbudskap ska förmedlas vilket följande ger intrycket av.
Jag tycker istället att ett rationellt hanterande av offentliga medel måste bygga på tydliga och ansvarsfulla problemformuleringar.
Sjukvården är i en ständig förändring där numera digitaliseringen spelar en avgörande roll.
Min enda önskaen tas på samma allvar som säkerheten i andra aspekter.
Ett läkemedel skulle aldrig introduceras utan noggranna tester, däremot är det fortfarande comme il faut att föra in nya digitala lösningar i skarp drift utan närmare tester.
Även Daniel Forslund (L), digitaliseringslandstingsråd i Region Stockholm och tycket att jag ensidigt fokuserat på revisionsrapporten när jag bedömde som regionens informationssäkerhet var undermålig.
Jag håller inte med.
Även om det var en kortfattad rapport pekade den på mycket basala systemfel som påverkar hela regionens säkerhetsarbete.
Men eftersom jag försöker ha någorlunda torrt på fötterna innan jag uttalar mig så har jag skrivit till regionen och bett att få ta del av regionens styrande dokument inom informationssäkerhetsområdet.
Utan att förhäva mig utan bara för att skapa kontext i frågan kan jag säga att jag genom åren som konsult och i andra roller sett ett mycket stort antal ledningssystem och också arbetat med att mäta befintlig informationssäkerhet i olika typer av organisationer.
Det är med denna bakgrund som jag bedömer att Region Stockholm saknar rimliga förutsättningar för att bedriva ett systematiskt.
Att regionen på hösten 2018 upphandlar en så känslig tjänst så sent som hösten 2018 utan att ställa relevanta säkerhetskrav är en bekräftelse på ett systemfel och inte en incident som inte kunnat undvikas.
Den som är intresserad får gärna ta del av de dokument jag fått från Region Stockholm för att göra en egen och möjligen annan bedömning.
Jag har tagit del av den granskningsrapport som KPMG genomfört på uppdrag av Region Stockholm efter 1177-skandalen och som av en händelse (?)
publicerades dagen för midsommarafton.
Rapportens omfång motsvarar på intet sätt skandalens omfång utan är ett luftigt dokument på 14 sidor inklusive bilagor.
Att rapporten är tunn räknat i sidor behöver naturligtvis inte påverka skärpan i analysen men som rätt luttrad granskare av informationssäkerhet känns de 14 sidorna som rätt kraftigt i obalans med uppdragets genomförande och omfattning: Granskningen har omfattat en kombination av IT-revision, inhämtning av information från tillgänglig dokumentation av karaktären styr- och stöddokument, uppföljningsrapporter samt intervjuer med nyckelpersoner.
Granskningen har utgått från vedertagna granskningsmetoder inom området informationssäkerhet, vilket omfattat såväl Vårdgivaren och dennes underleverantörer som Region Stockholm genom HSF.
En lista över de personer som intervjuats återfinns i bilaga 2.
Granskningen har genomförts under maj-juni 2019.
Vidare är rapportens utformning i avvikelseformat där endast väsentliga iakttagelser har lyfts fram med förslag på förbättringsåtgärder, inklusive eventuella behov att förtydliga avtal, uppföljningsrutiner och processer för att minimera att motsvarande inträffar igen.
Att på så få sidor beskriva Region Stockholms, Medhelps och ett antal underleverantörers styrning av sin informationssäkerhet, vad som gått fel och vad som bör göras för att undvika att systemfel som det inträffade upprepas känns inte riktigt seriöst.
Den sammanfattande bedömningen är dock på allvar oroande: Vår övergripande bedömning är att HSF bör se över kravställningen på informationssäkerheten i samband med upphandlingar samt att uppföljningsprocessen behöver struktureras och formaliseras för icke funktionella krav, däribland informationssäkerhet.
I allt väsentligt behöver kravställningen preciseras för att säkerställa att leverantörerna är införstådda i HSF:s förväntningar, men även för att öka den interna förståelsen för hur kraven ska följas upp.
Att avtalskraven beträffande informationssäkerhet är allmänt hållna, samtidigt som standarden inom området inte är fullt integrerad i HSF:s verksamhet, innebär i praktiken att Vårdgivarens hantering av informationssäkerhet endast har följts upp i begränsad omfattning.
Vad gäller Vårdgivaren kan vi konstatera att det inte finns något dokumenterat ledningssystem för informationssäkerhet samt att det förekommit brister i rutinen för utvärdering och uppföljning av underleverantörer till vårdtjänsten.
Vi noterar dock att Vårdgivaren, sedan incidenten, arbetar med en åtgärdsplan för att förbättra informationssäkerheten, rutiner beträffande kontroll av leverantörer samt planerar för en certifiering inom ISO 27001.
Vi noterar att de akuta bristerna hänförliga till incidenten har hanterats, bland annat genom den skyndsamma nedstängningen av den felkonfigurerade servern, uppsägningen av avtalet med underleverantören som givit upphov till incidenten samt inhämtandet av all patientinformation till Vårdgivarens egen tekniska lösning.
Vi har dock identifierat ett antal framåtblickande förbättringsområden som rör HSF:s övergripande arbetssätt beträffande informationssäkerhet, fördelningen av roller och ansvar samt metoden för hantering och uppföljning av leverantörer.
Vidare har vi även identifierat åtgärder hänförliga till Vårdgivarens arbete med informationssäkerhet och den planerade ISO-certifieringen samt sättet till vilket Vårdgivaren arbetar med att vidareförmedla HSF:s avtalskrav beträffande informationssäkerhet.
HSF är alltså Hälso- och sjukvårdsförvaltningen i Region Stockholm och vårdgivaren Medhelp.
Att Region Stockholm inte lyckas formulera tydliga säkerhetskrav i upphandlingar i en så central tjänst som 1177 är i sig skandalöst.
Att sedan Medhelp som vårdgivare helt saknar ledningssystem för informationssäkerhet och att Region Stockholm inte ens ställt krav på en så grundläggande nivå är information som bekräftar min bild att den svenska sjukvården fortfarande ignorerar behovet av informationssäkerhet.
1177-skandalen var trots allt bara sten som vändes, om än stor.
Det som verkligen oroar är de brister i Region Stockholm säkerhetsarbete som avslöjas indirekt i rapporten.
Dessa brister gör det mycket sannolikt att 1177 bara är en del i större systemfel där patienters hälsa och integritet är i en ständig riskzon om rapportens uppgifter stämmer.
Ta till exempel följande iakttagelse från granskarna: HSF saknar ett fullständigt ledningssystem för informationssäkerhet (LIS).
Enligt den regionsövergripande informationssäkerhetspolicyn ska varje nämnd införa ett lokalt ledningssystem för informationssäkerhet.
I förekommande fall har HSF tagit fram lokala styrande dokument för informationssäkerhet, men dessa återspeglar i allt väsentligt de styrdokument som finns på regional nivå.
Graden av verksamhetsanpassning är relativt låg och förvaltningen har inte tagit fram några instruktioner eller utvecklat processer för hanteringen av informationssäkerhet.
Vi noterar att instruktioner håller på att arbetas fram, men dessa berör hanteringen av portabel IT-utrustning och syftar således inte till att tydliggöra riktlinjerna för hur förvaltningen.
Region Stockholm har alltså inte tagit fram säkerhetsregler för avpassade för sjukvården utan i huvudsak nöjt sig med de generella för regionen (trots att det funnits en föreskrift att så ska göras sedan 2008 SOSFS 2008:14) och att man inte heller är på väg att göra det för mer än för bärbar utrustning.
Jag tror redan den som rent tillfälligt jobbat med informationssäkerhet i vården förstår hur mycket arbete och eftertanke som krävs för att anpassa generella regler så att de fungerar i vården, t.ex.
bara att ge en uttolkning av ansvasförhållandena för informationshanteringen är en mycket komplex fråga.
Situationen i Region Stockholm gäller även hos Medhelp som inte heller har förmåga att ställa relevanta krav på sina underleverantörer: Processer och rutiner ska finnas för att säkerställa uppfyllandet av Socialstyrelsens krav på informationssäkerhet.
Vårdgivaren har inget dokumenterat LIS och det är vår bedömning att vissa processer saknas för att kunna försäkra att kraven uppfylls.
Vi noterar exempelvis att Vårdgivaren, i enlighet med vedertagna standarder och god praxis, inte har ställt ändamålsenliga krav på samt följt upp leverantörers hantering av informationssäkerhet.
Vidare anger Socialstyrelsen att vårdgivare ska ha en informationssäkerhetspolicy som anger mål och inriktning på verksamhetens arbete med informationssäkerhet.
Vi har identifierat att Vårdgivaren har antagit en informationssäkerhetspolicy i maj 2019.
Vi noterar i sammanhanget att Vårdgivaren planerar för en certifiering inom ISO 27001 till kvartal 2, 2020 samt har ett ledningssystem för GDPR.
Den här råttan-på-repet situationen illustrerar väl varför startpunkten för att förbättra säkerheten i vården på måste ligga på sjukvårdshuvudmännen eftersom det är huvudmännen som utformar förutsättningarna för de övriga aktörerna.
Tyvärr har ju lagstiftning och föreskrifter i huvudsak varit inriktade på vårdgivarna vilka i praktiken numera har svårt att ens den egna informationssäkerheten eftersom informationen hanteras i gemensamma lösningar.
Det är därför extra nedslående när sjukvårdshuvudmännen väljer att inte driva frågan ens i den egna verksamheten och inte heller att respektera de föreskrifter som finns.
Framför allt är det en fråga där det inte skulle behövas en föreskrift för att få de styrande i Sveriges största sjukvårdshuvudman att inse behovet av att styra informationshanteringen så att patienterna kan lita på att få god och säker vård.
I den kommentar som regionens ansvariga för vård upprepar man att man ska införa emen fokuserar i åtgärderna huvudsakligen på underleverantörerna.
Men att styra underleverantörerna utan ett eget fungerande regelverk är ett moment 22 som även granskarna noterar: HSF ställer inte tillräckligt tydliga krav på sina privata vårdgivare vad gäller deras informationssäkerhet.
Kravställningen på informationssäkerhet sker genom tillämpningen av en standardbilaga, vilken anger att leverantörer/vårdgivare ska följa regionövergripande styrande dokument för informationssäkerhet.
Vi noterar att de styrande dokumenten, i sin tur, anger att informationssäkerheten hos de som arbetar på uppdrag av Region Stockholm ska regleras genom avtal.
Vår bedömning är att dessa hänvisningar kan ge upphov till skiljande uppfattningar gällande kravbilden på informationssäkerheten.
Med hänsyn till att Socialstyrelsen anger som krav att vissa kontrollmål ska uppfyllas beträffande informationssäkerheten, företrädesvis med stöd av ett LIS enligt standarder i ISO 27000-serien, är det även vår bedömning att HSF:s tillkommande avtalskrav endast ger en begränsad effekt vad gäller att tydliggöra förväntningarna på de privata vårdgivarna.
Jag ska inte tjata mer om hur uppseendeväckande det är att Region Stockholm trots föreskrifter, alla incidenter och trots alla granskningar genom åren ändå inte prioriterar att införa ens ett regelverk för vården att utgå ifrån.
Det gör att man vare sig kan ha ett internt systematiskteller ställa relevanta krav på underleverantörer, det senare framgår på ett nästan tragikomiskt sätt i relationen med Medhelp.
Informationssäkerheten i vården är ingen ny fråga utan har varit uppmärksammad sedan åtminstone första hälften av nittiotalet.
Den stora frågan är Region Stockholm (och övriga sjukvårdshuvudmän) år efter år undviker att komma till rätta med bristerna.
Varför tycker man att det är rimligt att utsätta verksamheten och patienterna för de stora risker som den bristande säkerheten leder till samtidigt som man är beredd att investera ofattbara resurser i experiment som NKS?
Och nej, det går inte att säga att 1177 var ett undantag från en i övrigt fungerande situation.
KPMG:s rapport är den senaste i en rad av rapporter som visar att den bristande säkerheten är ett systemfel som genomsyrar hela den svenska vården – har man inte styrning av informationssäkerheten så finns den inte mer än fläckvis och utan möjlighet att reducera riskerna.
En relaterad fråga är om NIS-direktivet kommer att ha någon positiv inverkan över huvud taget eller om även denna styrning mot ekommer att ignoreras.
Om läsaren tycker att jag ger en alltför mörk bild av Region Stockholms informationssäkerhet rekommenderar jag att ni läser KPMG:s knapphändiga rapport som ändå ger en antydan om regionens förmåga rörande informationssäkerhet.
Tillägg 2019-06-24: Lägger ut rapporten som pdf här: Även för den som är relativt insatt i svensk hälso- och sjukvård och dessutom fortlöpande läst DN:s långa rapportering om alla turer i NKS:s skandalen är ”Kampen om Karolinska.
Konsulterna” av journalisterna Anna Gustafsson och Lisa Röstlund en upprörande och i vissa stycken hjärtslitande läsning.
Sammanställningen av en lång rad av medvetna beslut av den politiska majoriteten under ett antal år som lett till en alltmer katastrofal situation är skakande och i förstone närmast obegriplig.
Att denna politiska revolution av den stockholmska sjukvården kunnat genomföras trots att den kantats av ekonomiska haverier i en hittills okänd skala, personal som flyr eller är helt uppgivna samt i sin yttersta konsekvens patienter som faktiskt dör på grund av omorganisationen.
Boken ger en mycket grundlig och researchad beskrivning av förloppet, dessutom välskriven.
Jag kommer inte här att gå in på djupet i boken utan rekommenderar den som sommarläsning för alla.
Som konsult kan jag särskilt uppmuntra andra konsulter läsning och därefter visst begrundade av vilken skada man kan göra om man som konsult driver sin egen agenda i kundens organisation.
Det är inte en särskilt hårfin skillnad mellan att ha integritet och att driva sina egna intressen hos kunden.
Efter att ha arbetat i offentlig sektor är det vissa drag i historien obehagligt välbekanta som övertron på att gigantiska omorganisationer löser problem och managementkonsulter som löper amok och kör över alla som har någon slags kompetens, d.v.s.
Den tystnadskultur som drivits fram vid NKS där enbart lovprisning av den värdebaserade vården tolererats är inte heller den ett unikt fenomen utan en sjuka som enligt min uppfattning äter sig allt djupare in i den offentliga sektorn generellt.
Det till synes oreflekterade upphöjandet av nya organisationsteorier som frälsningslära är inte heller unikt för NKS med sin värdebaserade vård.
Själv har jag varit med om allt från LOTS till Lean via lärande organisation, det sistnämnda något ironiskt eftersom varken landstingspolitiker eller myndighetschefer verkar lära sig något av de misslyckade organisationsexperimenten – snabbt är man på nästa modeteori.
Själv har jag mycket liten tilltro till att omorganisationer löser större problem, och för detta finns det heller föga stöd i forskningen.
Men för den ledare som vill sätta sitt märke på kommunen, regionen eller myndigheten kan en stor omorganisation vara det som skapar synlighet och inge en känsla av handlingskraft.
Region Stockholm har dock tagit vissa fenomen till en ny nivå.
Varför den borgerliga majoriteten med m och kd i spetsen valde en ekonomisk driftform (OPS) som blivit många gånger dyrare än att bygga och drifta det nya sjukhuset i egen regi saknar fortfarande rimliga svar förutom att de drevs av en nyliberal överideologi.
För den intresserade som vill djupdyka i denna del finns SvD-journalisterna Henrik Ennart och Fredrik Mellgrens bok ”Sjukt hus: om Nya Karolinska – svindlerierna, skandalerna och sjukvårdskrisen i Stockholm”, också den mycket läsvärd.
Stockholmare kommer att dras med effekterna av denna mycket dåliga affär i decennier framåt.
Att man dessutom låtit konsulter från BCG skicka in juniora konsulter, fakturera vilt samt anställa sina gamla kollegor är även det ganska många snäpp mer än vad som brukar förekomma.
Lägg därtill alla turer där anställda på KI även driver företag tillsammans med amerikanska intressen och försöker påverka utvecklingen av den stockholmska sjukvården så det gynnar de egna företagen snarare än patienterna och vi har en soppa som inte skådats i Sverige i modern tid.
Särskilt oroande blir detta med tanke på att hälso- och sjukvård är en av de sektorer som är mest utsatta för korruption vilket det finns ett aktuellt Konflikt om .Det tål att påminnas om den gamla sanningen att Sverige löper en stor risk för korruption eftersom vår självbild är att vårt samhälle är immunt mot korruption.
För mig har det dock varit av särskilt intresse att ta några steg tillbaka och sätta den värdebaserade vården och den informationshantering som följt med den i ett större historiskt och politiskt perspektiv.
Jag pratar då inte om de ”normala” it-haveriförloppen inom den svenska sjukvården och framför allt Region Stockholm där först politiker går ut med löften om fantastiska nya som sedan .
Därefter glöm, få andra att glömma och upprepa.
Nu pratar vi om en informationshantering med risker på en hel annan nivå och inbyggda i själva styrningen av sjukvården.
Den värdebaserade vårdens ledande företrädare Michael Porter (forskare i management och strategi, inte medicin) brukar enligt författarna av sammanfatta sin teori i ekvationen .
Resultatet mäts i hög grad utifrån patientens upplevelse, inte ett faktiskt mätbart resultat vilket känns fascinerande paradoxalt eftersom modellen i övrigt bygger på att mäta, mäta och åter mäta.
Observera att jag inte på något sätt ifrågasätta patientens rätt att känna sig nöjd med och delaktighet i sin vård utan invändningen ligger i att det finns få så luriga mått som upplevd nöjdhet samt att detta är ett mått är skräddarsytt för en konkurrensstyrd kommersiell verksamhet.
Redan här kan man se hur valet av vårdmodell klickar i den ideologiska revolutionen av den stockholmska sjukvården.
Den värdebaserade vården satt i system förutsätter en gigantisk datainsamling för att verkligen kunna bedöma vilken aktör som vid varje tillfälle lyckas lösa Porters ekvation bäst.
Förutom att i sig skapar det NPM-inferno som även känns igen från den svenska skolan med överdokumentation och rapportering med efterföljande stress är detta en modell som illa överensstämmer med en offentligt finansierad vård.
Istället för att ta det ansvar som krävs för bland annat multisjuka äldre maximeras istället vinsten i modellen för de vårdgivare som avverkar enskilda vårdepisoder snabbast.
Som så ofta i den moderna vårdens historia har frälsare av Porters typ fått dominera och hävda att sjukvård kan ses på precis samma sätt som bilfabriker.
Och varje gång havererar de löpande bandsprinciperna utom i vissa specifika operationstyper eftersom människor envisas med att ha kroppar och sinnen som är så mycket mer unika och komplexa än nyproducerade bilar.
Skandalen på NKS gör dock att jag (och förhoppningsvis andra) får upp ögonen för hur det ekonomiska skede vi lever i fungerar.
Sedan åtminstone 70-talet har vi vetat att vi lever i ett informationssamhälle men vad betyder egentligen det?
Inte bara att vi får en massa nya coola prylar och kan kommunicera via the world wide ( wild) webb utan att vi faktiskt gått in i en ekonomi som har information som sin huvudsakliga råvara.
Den amerikanska professorn i social psykologi Shoshana Zuboff har i sin mycket omskriva beskrivit framväxten av hur det ekonomiska systemet byggt på information som råvara fungerar.
Ofta tolkas hennes teorier endast i förhållande till Google, Facebook och liknande plattformar som .
Att se Zuboffs bok snävt som en beskrivning av hur Google och Facebook fungerar är fel menar jag.
Bland annat den globala hälso- och sjukvårdsmarknaden fungerar idag enligt samma grundprinciper.
I fallet med NKS, BCG och den värdebaserade vården blir det uppenbart hur ekonomiska intressen utanför NKS, Region Stockholm och Sverige ser den svenska sjukvården som en naturresurs att utvinna.
Zuboff är inte ensam i sitt uppsåt att skildra den digitala ekonomins framväxt men hon gör det på ett sammanfattande och övertygande sätt (och med en titel som för tankarna till favoriten bland författare till breda historiska exposéer Hobsbawm).
Mycket grovt förenklat kan Zuboffs skildring av övervakningskapitalismens era ses som ett skede där teknisk innovation korrelerar med framför allt två huvudsakliga faktorer: att det från 70-talet växer fram en nyliberal hegemoni i västvärlden och efter 11 september 2001 ett samhällsklimat som präglas av en allt starkare befogad eller obefogad känsla av otrygghet.
Nyliberalismens huvudkonflikt kan, även detta starkt förenklat, ses som en maktkamp mellan statlig/samhällelig reglering och de fria marknadskrafterna.
Under de senare decennierna av förra århundradet och de två i vårt nuvarande har en systemförändrande avreglering skett och ersatts av metoder som compliance och standarder där marknaden påstår sig kunna reglera sig själv.
Kombinerad med den konsekventa nedmonteringen av rätten till integritet som motiverats av att kunna förhindra terrorism och andra brott har kapat både samhällets och individens förmåga att på ett effektivt sätt skydda sig, eller ens vilja skydda sig, mot att personlig information utan insyn och kontroll används som råvara.
När informationen blivit råvara förflyttas äganderätten av uppgifterna från individen till det företag som kan hävda sig ha ”förädlat” den (här finns en intressant koppling till Nozick som jag inte hinner utveckla närmare men låt mig ändå säga att jag ser Nozick som själva gudfadern till berättigandet av utvecklingen).
I denna historiska korsväg utvecklar först Google och därefter bl.a.
Facebook sina tjänster.
I lika hög grad som att erbjuda användarna möjlighet att utbyta information sinsemellan börjar företagen exponentiellt samla allt mer information om användarnas beteende.
I förstone motiveras detta med att det ska ge underlag för att ge användarna allt bättre tjänster för att sedan allt mer tydligt ge stöd för riktad marknadsföring.
Med den fullständigt enorma informationsbas av överskottsinformation som Google byggde upp kunde de göra så annonsörerna kunde få stor träffsäkerhet i sin annonsering.
Steget efter att ge sökvägar till annonsörerna var det som Zuboff menar är det verkligt revolutionerande: ett överskott av information rörande användarnas beteende som med algoritmernas hjälp går att användarnas behov: Instead, we are the objects from which raw materials are extracted and expropriated for Google’s prediction factories.
Förutsägelserna berör inte bara den enskilda användarna utan, viktigare, på gruppnivå.
Ett positivt exempel är när det genom användares sökningar på Internet går att förutse influensaepidemier.
Obehagligare när en kvinna börjar få annonser om mammakläder i sitt flöde redan innan hon själv vet att hon är gravid… Den verkliga vinsten i att inte bara veta hur folk/kunder beter sig när de får hålla på som de vill utan när tjänsteleverantörerna påverkar kunderna att agera på ett sätt som gynnar leverantören utan att ens fatta det.
Tjänste- och plattformsleverantörer har, som Zuboff visar, ända sedan början haft ett gemensamt intresse och samarbete med statliga myndigheter i USA och annorstädes vilket inte gör osynliga men obetvingliga styrningen mycket skrämmande.
Den generellt positiva syn som många säkerhetsmänniskor har till övervakning blir satt i detta sammanhang oroande naiv.
Marknadspotentialen i att ha tillgång till oceaner av information om beteenden är omätbar inte bara i första läget för det egna företaget utan framför allt som en förpackad kommoditet som kan säljas vidare.
Sätt då detta i korrelation med en bransch som omsätter mellan 10 och 20 % av BNP i västvärldens länder, är i snabb global tillväxt och dessutom samlar in och bearbetar känslig personlig information om alla invånare.
Landskapet som NKS och den värdebaserade vården sätts i kan liknas vid det El dorado som conquistadorerna drömde om, med skillnaden att Sverige verkligen finns och har kvalitetsregister och patientjournaler för hela befolkningen.
Det vill säga ett verkligt El dorado för inte bara vård- och läkemedelsföretag utan även försäkringsbranschen.
Cyberrymden är en ny jättekontinent som exploatörerna vill hålla så fri från reglering som möjligt.
De fantastiska marknadsmöjligheter som ligger i att kunna prognosticera patienter och försäkringstagarnas utveckling är oöverblickbara.
Denna sanning uttrycks explicit i ett citat av en högt uppsatt tjänsteman på Karolinska som inleder avsnittet som är mycket lämpligt benämnt ”Guldet” i DN-journalisternas bok: Det är en sak som BCG och bolagen de jobbar med främst vill åt.
Det är patientdata som är deras bitcoins.
Däri ligger den stora affären i värdebaserad vård.
Vi måste lära oss att leva med att Sverige med sin långtgående nyliberalism i kombination med de kvalitetsregister som på frivillig basis byggts upp under mycket lång tid tillsammans alla övriga patientdata kommer att ha ofattbar dragningskraft på internationella företag.
Det gäller på samma sätt för all annan information inklusive personuppgifter som sammanställs av svenska myndigheter.
Det viktiga är att detta hanteras på ett öppet sätt där inte bara företagen blir nöjda utan att även kärnverksamheten och dess avnämare som patienter och medborgare.
När man ser mekanismerna som varit i kraft vid NKS kan jag inte låta bli att undra över exempelvis satsningen på När satsningen presenterades av Göran Hägglund (numera tryggt förankrad i privata vårdföretag) framställdes som en särskild USP att app-leverantörer och andra entreprenörer skulle kunna bygga tjänster på de datamängder som insamlades.
Vad var egentligen hönan och vad var ägget i Hälsa för mig?
kan ses i full careta när det gäller även härvan på NKS och den värdebaserade vården.
Lobbyismen, parasiterandet på akademin och de vilseledande budskapen om vem som gynnades.
Utan att ta partipolitisk ställning tycks för närvarande samhällets förmåga att hantera en skandal som den vid NKS undermålig.
Inget ansvarsutkrävande av de verkligt ansvariga, d.v.s.
de politiker som fattat samtliga beslut både när det gäller byggnation, värdebaserad vård, konsultanvändande och it-system, har skett.
Fristående och seriös journalistik förefaller vara det enda sättet för att skapa den insyn och kontroll som de offentliga institutionerna inte är intresserade av att själva bygga upp vilket i sig är en dyster insikt.
I detta sammanhang är en stilla önskan att hela e-hälsoområdet kommer att locka till sig lika envetna, seriösa och välskrivande journalister som de som nu skrivit ”Konsulterna”.
Ett helt ofarligt löfte att ge är att det finns lika mycket att gräva fram om e-hälsa som om NKS!
Det är lätt att hamna i en politisk depression när man funderar över hur digitaliseringens starka krafter ska kunna tyglas för att dra åt ett håll som gynnar hela samhället och så att individen har en basal möjlighet att upprätthålla sin integritet.
Att krafterna som motverkar integritet är mycket kraftfulla är uppenbart och argumentationen från de kommersiella aktörerna mot integritet som hindrar affären dominerar även i ett stort antal myndighetsutredningar har jag länge observerat.
Den sittande majoriteten i Region Stockholm gjorde det till och med till ett vallöfte att göra stockholmarnas patientdata tillgängligt för industrin.
Trots detta drabbades jag litet av en chock när jag i slutet av ”Konsulterna” får läsa att OECD antagit värdebaserad vård som strategisk inriktning och kräver att medlemsländerna, däribland Sverige, ska dela patientdata via en jättelik gemensam databas, ”Parisdatabasen” där OECD är ägare till uppgifterna.
Detta sker i samarbete med – BCG… Databasen vars nytta bedöms oklar av Socialstyrelsen och vars syfte inte klart har definierats anses ändå oumbärlig.
Särskilt upprörande är att det inte går att avtala vem som ska få tillgång till informationen utan har beskrivits som ”OECD och framtida samarbetspartners”.
Ganska långt från dataskyddsförordningens regler är väl ett understatement.
Jag uppmanar alla intresserade att hålla ögonen på detta projekt, särskilt som det verkar som att OECD i aggressiva ordalag kräver in uppgifter trots svenska myndigheters tveksamhet.
Landsting och regioner är däremot föga förvånande positiva, en nödvändig levnadsregel är nog: lita aldrig på en region i integritetsfrågor.
Vad kan då göras?
Jag menar att vi måste kunna införa ett slags samhälleligt marshmallows-test där vi vågar utreda vår nya situation och skaffa oss nödvändiga redskap för att styra utvecklingen åt ett håll som gynnar flertalet och inte bara viljelöst följa med.
Oavsett politisk uppfattning bör vi kunna komma överens om att de intressekonflikter som finns i den digitala utvecklingen måste lyftas fram och diskuteras så att åtminstone invånare i demokratier har möjlighet att ställning till hur de vill ha framtiden.
Ett konkret förslag är att tillsätta en etisk kommitté med uppdrag att fortlöpande utvärdera och ta ställning till större initiativ inom digitaliseringsområdet.
DIGG kan vara sammankallande och sköta kansliet för kommittén men ett antal mycket fristående och erkänt motspänstiga ledamöter av typen filosofer bör ingå.
Otillräckligt men kanske ett första steg på att erkänna att varje mynt har åtminstone två sidor, så även digitaliseringen.
Slutligen måste jag understryka att jag inte ger någon av de nämnda böckerna rättvisa utan uppmanar alla att själva läsa dem och bilda sig en egen uppfattning.
Själv fick jag min nya Fitbit igår… Tillägg 2019-06-18: Ett visst hopp angående möjligheten att OECD:s planer kan ändå skönjas i och med regeringens beslut att inte delta i uppbyggnaden av .
Jag fortsätter succékonceptet att blogga om obskyra ämnen med en mycket begränsad grupp av intresserade.
Förra gången utredningsväsendet, nu behovet av autenticitet.
Upprinnelsen till detta inlägg är att jag fick uppdraget att prata om äkthet på en konferens och då började fundera mer intensivt på frågan – tack för det FALK!
Detta blogginlägg ska ses som en bråkdel av vad jag anser behöver belysas gällande autenticitet.
Utgångspunkten var att både ur ett arkiv- och ett informationssäkerhetsperspektiv finns ett grundläggande intresse av att kunna skapa och upprätthålla autenticitet på olika nivå i informationshanteringen.
Att notera är att autenticitet vid sidan om skydd mot obehörig åtkomst också är det historiskt sett mest konsistenta intresset både för arkivverksamhet och för informationssäkerhetsområdet.
Dessutom är vissa tekniska åtgärder för att på olika sätt skapa autenticitet så grundläggande att vi inte ens reflekterar över dem, från underskrift på pappersdokument till olika digitala autentiseringslösningar.
Detta till trots är autenticitet som begrepp och tillämpning påfallande sällan diskuterat.
Slagningar i Libris och Diva antyder att när autenticitet explicit diskuteras gäller det i allra flesta fall kulturminnesvård, konst eller möjligen kvalitet.
Inte ens som autenticitetens betydelse i relation till juridiskt bevisvärde har skapat några större textmängder vilket påpekas i en av de få avhandlingar från senare år som har detta tema ( av Jonas Ekfeldt).
De många utredningar som genomförts rörande digitalisering har inte fördjupat sig autenticiteten utan den nämns endast flyktigt som i SOU 2018:25 där ordet autenticitet finns med två (!)
gånger på 562 sidor.
Visserligen diskuteras signaturer i ett avsnitt men som jag ser det är det enbart en delmängd av frågan och här presenterad helt utan större kontext.
Det enda glädjeämnet är en tio år gammal text av , numera landsarkivarie i Härnösand.
Ett första steg för många för att förstå begreppet autenticitet är att gå till de standarder som ofta tillmäts kvaliteten att kunna ge definitioner.
Jag har här valt två centrala standarder för området som även fått förleden SS för att ange att de ska ses som svenska standarder.
Den första är SS-ISO 15489_1 2016 som är en standard för hantering av verksamhetsinformation till vilken allt oftare arkivarier hänvisar.
Ur ett arkivperspektiv är möjligheten att bedöma graden av autenticitet en nödvändig förutsättning för i princip alla moment i hanteringen och det är därför av intresse att se vilket stöd standarden ger för att närma sig frågan.
Trots att den alltså är en svensk standard finns den ännu inte, såvitt jag kan se, översatt till svenska.
Inga förändringar har dock gjorts från en tidigare version av standarden som hade följande svenska definition: Att handlingen visar att den är vad den utger sig för att vara, Att den är skapad eller skickad av personen som uppgett sig för att ha skapat eller skickat in handlingen Att handlingen blivit skapad eller inskickad i den angivna tiden Även bortsett från den förvirrande användningen av begreppet ”handling” som skapar så mycket språkförbistring när arkivarier ska kommunicera den övriga mänskligheten (det är liksom både bärare och informationsinnehåll på en gång) så är denna definition fertil grogrund för ett antal frågor.
Som det första cirkelargumentet att handlingen (som bärare gissar jag) i sig demonstrerar något som ger autenticitet.
Som att den tycks se autenticitet som ett binärt begrepp; antingen är handlingen autentisk eller inte.
Som att autenticitet på något vagt sätt har med post att göra.
Som att autenticitet är knuten till en enskild person.
Om vi istället går över till informationssäkerheten och ser vad den svenska terminologin som SIS gav ut 2015 säger blir frågorna inte färre.
Där uppges följande: äkthet avseende uppgivna uppgifter; särskilt rörande påstådd identitet och meddelandens ursprung och innehåll Den tekniska process vari äktheten, autenticiteten bekräftas kallas autentisering.
Denna kontroll kan avse entiteter såsom användare, processer, systemkomponenter och informationsobjekt Pluspoäng för att man nämner ordet ”äkthet” och att autentisering kan gälla olika typer av komponenter.
I övrigt är det rätt svårt att förstå vad som egentligen kännetecknar autenticitet.
Vad som mest intresserar mig är dock att autenticitet valts bort som en central dimension av informationssäkerheten i ISO 27000:s tolkning.
Istället har riktighet upphöjts till en av de tre särskilda omnämnda värdena och då med denna betydelse (fortfarande enligt terminologin): skydd mot oönskad förändring Definitionen ser till skyddet medan egenskapen ”riktighet” får förstås implicit som typ oförändrad information.
Jag har svårt att förstå denna prioritering mellan begreppen.
Hur man kommit fram till den är som eljest i standardsammanhang dolt, de diskussioner, överväganden och möjligen utredningar som lett fram till olika ställningstaganden finns inte presenterade någonstans.
Bristen på den transparens och strävan efter delaktighet som finns inom exempelvis akademin saknas då standarder etablerar sina sanningar.
Riktighet kan i bästa fall ses som en delmängd av det större begreppet autenticitet.
Därför bör autenticitet eftersträvas som ett huvudmål snarare än riktighet, en uppfattning som skulle varit rimlig redan innan det digitala samhälle vi nu har fötts.
När information hela tiden skapas, transformeras och kommuniceras med oändliga möjligheter att avsiktligt eller oavsiktligt göra den missvisande vad det gäller upphov, kvalitet och intention borde autenticiteten vara en naturlig fokalpunkt för informationssäkerhet, digitalisering och arkiv.
För att inte tala om AI och deep fake.
Informationssäkerhet och valet av riktighet framför autenticitet – varför blev det så?
Bortsett från min generella hypotes om den anti-intellektuella hållning som präglar området är en spekulation att riktighet valts p.g.a.
många i branschen rekryterats från it-hållet och därför känner sig bekväma med ett databassynsätt, d.v.s.
att information i ett system ska skyddas mot förändring.
Eftersom denna snäva beskrivning av risker är otillräcklig sett till verkliga organisationers behov har man därför behövt gå in och trixa med begreppet spårbarhet för att få någon slags relevant beskrivning.
Därav det neurotiska förhållandet till spårbarhet, ett begrepp som är så tabuiserad att det inte ens går att diskutera för de rättroende.
Synd tycker jag vilket jag skrivit om Mitt förslag för att få en mer täckande beskrivning av förhållanden som behöver beskrivas är att använda konfidentialitet, autenticitet, spårbarhet och tillgänglighet.
Riktighet kan då placeras in under paraplyet autenticitet som en nödvändig men inte på långt tillräcklig aspekt att bedöma.
Dock räcker inte de definitioner som de två standarderna ger för att fylla det behov av att beskriva informationens äkthet som vi har i digitaliserad värld.
Hur ser då detta behov ut?
Kärnan i frågan är att kunna säkerställa en informationsmängds kvalitet i form av ”äkthet”.
För att ytterligare ringa in vad som åsyftas så består autenticiteten inte bara av att informationen är oförändrad (det som åsyftas med riktighet) utan även att den är vilket också kan formuleras att den har ett .
Som ett enkelt exempel: för att ett avtal ska kunna ha ett bevisvärde räcker det egentligen inte med en signatur även om det accepterats under lång tid.
Vad som krävs är att det går att härleda vem det är som undertecknat men framför allt om denna någon hade mandat att underteckna avtalet o.s.v.
Det är inte heller så att en tavla signerad med namnet Picasso övertygar alla som en äkta dyrgrip.
Den kanske bästa och enklaste illustrationen av bevisvärdets betydelse för autenticiteten finns att hämta i utvecklingen av sedlarnas historia som betalningsmedel.
De första sedlarna var egentligen kvitton på insatta medel hos en bank.
Kvittot kunde sedan användas för att på ett smidigt sätt kunna sköta betalningar utan att behöva släpa omkring högar av metaller.
För att denna effektivisering av ekonomin skulle kunna vara möjlig krävdes institutionella förutsättningar för att den enskilda sedeln skulle accepteras som autentisk och inte som vilken papperslapp som helst.
Det räcker inte med att siffrorna på sedeln är ”riktiga” utan den måste också omges andra skyddsåtgärder för att kunna accepteras som äkta.
Jag laborerar med tanken att se autenticitet som en inversion av källkritikens principer.
Det betyder att autenticitet inte är binärt utan en glidande skala av möjlighet att bedöma äktheten, beroenden, tendens, tidsförhållanden, närhet till händelsen o.s.v.
De tekniska lösningarna kan sägas ”låsa” den organisatoriska kontext som omgett informationen i olika skeden och därmed ge ett bevisvärde.
I ett långsiktigt måste de organisatoriska förhållandena som skapar autenticitet kunna återskapas på ett säkert sätt även om tekniska lösningar förändras och information migreras (kedja som ej bryts).
Inom arkivområdet används begreppet proveniens för att beskriva förhållandet mellan information, organisation och i förlängningen äkthet.
Frågan om autenticitet är principiellt densamma i digitala som i analoga informationsmängder.
Komplexiteten har dock växt explosionsartat från det kinderägg-tillstånd där information, bärare och autenticitetsskapande faktor var oupplösligt sammanfogade som i ett undertecknat pappersavtal.
Genom digitaliseringen lever dessa tre komponenter sina egna liv där samma informationsmängd kan finnas på ett otal antal bärare och med olika nivå av autenticitet.
Direkt rafflande blir det med funktioner som ”Dela dokument” i Office 365 där mottagaren får ett dokument som inte behöver vara detsamma eller ens finnas kvar när mottagaren tar fram det en andra gång i sin e-post.
Att skapa autenticitet momentant skulle i sig vara en rejäl utmaning men för att strö ytterligare salt i såren så är kravet på autenticitet utan slut eftersom trots det information over flow vi lever i så måste ansenliga mängder av den information som skapas bevaras under lång tid eller för evigt.
Kraven på att kunna arkivera information på ett säkert sätt är självklart inte mindre nu än tidigare.
Det betyder att tilltron till informationens autenticitet inte bara ska kunna upprätthållas i ett år utan i 100 eller 1000 år för många informationsmängder.
Tänk patientjournaler, tänk urkunder i statsförvaltningen, tänk instruktioner för hanteringen av utbränt kärnbränsle, tänk mätvärden av klimatet….
Att med detta perspektiv se det mycket begränsade resonemangen om exempelvis, e-leg, e-signaturer och e-arkiv känns frustrerande.
I en tid då vi pratar så mycket om fake news och risken för negativ informationspåverkan borde verktygen för att skapa och upprätthålla autenticitet slipas.
Det finns redan viss teori om proveniens och processuella värden som skapar autenticitet inom arkivdisciplinen liksom en rad techne-åtgärder inom informationssäkerhetsområdet för autentisering och validering t.ex.
Dessa kunskapsområden borde dock tillåtas expandera och dessutom befrukta varandra för att vi ska komma närmare strategier för att skapa den autenticitet som krävs på både kort och lång sikt.
Det som hindrar detta tror jag är den korta händelsehorisont som gör att vi plumsar in i jättelika digitaliseringsprojekt utan att se längre fram än möjligen införandeprojektets avslut.
Bristande strategisk inriktning, kunskapsutveckling och samarbete mellan ansvariga myndigheter är en annan.
Group think inom informationssäkerhets- respektive arkivarieskrået som skapar en oförmåga att famna de stora frågorna en tredje där standardarbetet förefaller ha fungerat som en starkt konserverande faktor framför allt för informationssäkerheten.
Sist men inte minst styrningen av digitaliseringen i hög grad överlåtits till leverantörer av tekniska lösningar samt management.
För att komma vidare bör vi alltså försöka undanröja ovanstående hinder för att kunna skapa en mer funktionell plattform för att skapa den nödvändiga autenticiteten.
När tanken låser sig kan ett trick vara att tänka på att information är dagens hårdvaluta och jämföra med hur sedlar och andra metoder för penningtransaktioner hanteras.
Den svenska förvaltningen bygger sedan gammalt på ett väloljat utredningsmaskineri som jag är djupt positiv till men som jag känner en stigande oro för.
Med min bakgrund inom historieområdet har jag kunnat följa uppgången av synsättet att offentliga beslut ska vila på rationell grund och att denna grund bäst skapas genom genomlysande utredningar genomförda av högt kvalificerade företrädare för akademi och förvaltning.
Hur hånade utredningarna än varit i debatten som politiska undermanövrar så har de möjliggjort insyn och ett demokratiskt samtal om de viktiga vägvalen i samhället.
Utan att gripas av allt för djup förvaltningsnostalgi försöker jag läsa och värdera de utredningar som kommer i för mig relevanta områden.
Värderingen underlättas eller påverkas i alla fall av att jag själv varit expert eller på annat sätt deltagit i ett antal utredningar, bland annat som ”spökskrivare” av text som sedan hamnat i den slutgiltiga utredningen.
Min slutsats av dessa erfarenheter är att de utredningar som genomförs ofta lider av brister både i utredningsarbetet, i mottagandet hos remissinstanser och i genomförandet.
I denna korta text kommer jag med nödvändighet att bli orimligt svepande och kategorisk men har ändå gjort bedömningen att det finns ett intresse i att lyfta fram vissa systemfel som jag tyckt mig se genom åren.
De som har andra erfarenheter och uppfattningar uppmanar jag med emfas att delge dessa – utredningsväsendet förtjänar verkligen att diskuteras, förtjänar i positiv bemärkelse eftersom det är en så bärande institution i den svenska demokratin.
Det finns ju även olika typer av utredningar men här tänker jag främst på de utredningar som tillkommer genom att regeringen tillkallar en kommitté eller en särskild utredare för att skaffa underlag för ett politiskt ställningstagande.
Kommitténs uppgift är att ta fram fakta, göra analyser av dessa fakta och därefter presentera förslag på åtgärder.
När uppdraget är slutfört avrapporteras resultatet oftast i form av ett betänkande, en SOU (Statens offentliga utredningar).
En utredning av denna typ bör på ett rättvisande sätt inte bara beskriva förslagen utan även alternativen till dessa förslag samt vilka positiva och negativa konsekvenser som förslagen förväntas få.
Efter att betänkandet är presenterat sker remissomgången där olika parter kan redovisa sina synpunkter och argumentera för eller emot betänkandet.
Många utredningar stannar här, d.v.s.
hamnar i en djup malpåse och blir bortglömda medan några lyckligt utvalda går vidare i beslutsprocessen.
Syftet med processen är det bästa, att få rationell grund för besluten i ett öppet förfarande och dessutom en god möjlighet att revidera hur förslagen genomförts, men det är just detta gör en dyster när processen inte hanteras på ett tillräckligt bra sätt.
Förutom det generella gnället är en återkommande kritik att utredningarnas uppdrag ofta är att bekräfta en redan befintlig politisk inriktning snarare än att på ett öppet sätt undersöka en frågeställning.
Annorlunda formulerat; redan problemformuleringen snöper utredningens möjlighet att nå fram till de objektivt sett mest relevanta förslagen.
Naturligtvis kan inte utredningarna jämställas med akademiska undersökningar, de sker på ett politiskt uppdrag, men med tanke på att de ofta fortskrider under flera år kan en snäv och tidsbunden partipolitisk utgångspunkt snabbt göra hela utredningen daterad och oanvändbar.
Denna typ av kortsiktig problemformulering leder i sin tur till två andra fatala systemfel.
För det första gör det att utredningar tenderar att bli alltför operativa, det vill säga svara på en nästintill dagsaktuell fråga vilket i sin tur leder till att utredningarna blir som stuprör utan gemensam överbyggnad.
Då hjälper inte det mycket tröttande tricket att låta utredningen till tre fjärdedelar bestå av kompilat från tidigare utredningar.
Om inte redovisningen av redan gjorda utredningar åtföljs av en analys av hur de påverkar den aktuella utredningen undanröjer det inte på något sätt stuprörstänkandet.
För det andra leder det ofta till en ytlighet i begrepp och förutsättningar.
Som ett exempel på detta kan vi ta ”digitalisering” en företeelse som utretts på längden och tvären men där själva fenomenet och dess förutsättningar mycket sällan analyserats.
Istället ses digitalisering som en fastställd entitet som bara kan utvecklas i en given riktning och med i princip goda konsekvenser.
Denna egendomligt deterministiska syn på teknik och samhälle anammas även när Riksrevisionen granskar .
Då granskas inte huruvida regeringens målbild att Sverige ska vara bäst i världen på digitalisering, vilket skulle vara mycket rimligt att ifrågasätta i förhållande till samhällsnyttan, utan enbart hur långt myndigheter och regering tagit sig i den riktningen.
Om vi därefter tittar litet på utredarna och deras medhjälpare finns den vanlige utredaren som får stöd av experter av olika slag men också kommittéer.
I det första fallet kan jag se två påtagliga sårbarheter.
Den ena är utredaren själv som allt oftare tycks vara en jurist vilket skulle kunna tyckas rimligt med tanke på att utredningen förhoppningsvis ska leda fram till lagförslag men det kan också ses som ett exempel på den tilltagande juridifieringen efter Sveriges EU-inträde.
Det är inte säkert att alla problem gynnas av att främst formuleras i juridiska termer utan att det ibland vore bättre med en utredningsprocess som inleds av de som är ämneskunniga för att först därefter bearbetas som en juridisk frågeställning.
Sedan är det experterna där det ofta synes vara en hårfin skillnad mellan expert och särintresse.
Det gäller de tjänstemän som ska bevaka den egna myndighetens intresse men jag måste medge att jag grubblat över det rimliga i att tillsätta en representant för den största leverantören som expert i en utredning om .
Säkert mycket kunnig men kanske då lämpligare att skapa en fokusgrupp för olika leverantörer för att undvika frågan om jäv?
Lika ofta är dock avsaknaden av nödvändiga perspektiv i expertgruppen slående.
Om vi till exempel tar NISU (SOU 2015:23) och utredningen om nu säkerhetsskyddslag (SOU 2015:25) samt dess efterföljare med kompletteringar (SOU 2018:82) så har dessa tre utredningar gemensamt att de helt saknar representation från kommuner och regioner.
Detta trots att utredningarna måste utgå från att deras förslag till stor del ska omsättas just av kommuner och regioner.
Bristen påpekades från några remissinstanser men jag tror att risken är stor att man även fortsättningsvis kommer att se utredningar med ett i huvudsak inifrån och ut-perspektiv.
Att särintressena får så stort utrymme har nackdelen att det också skapas stuprörsformation utredningarna.
finns ett antal förslag som uppenbart skrivits fram av de olika myndigheter som är närmast berörda.
Tyvärr är inte förslagen integrerade sinsemellan, beroendeförhållande mellan förslagen är inte beskrivna, inte heller finns en prioritering gjord.
Den här typen av hopplockade åtgärder måste vara mycket svåra att använda som beslutsunderlag utan vidare bearbetning.
De utredningar som bedrivs som kommittéer (exempelvis E-delegationen och Digitaliseringskommissionen) löper å andra sidan risken att utvecklas till egna särintressen och bli mer som en form av myndigheter utan ansvar.
Själv läser jag alltid utredningarnas konsekvensbeskrivningar med största intresse eftersom det är där som man enligt min mening bäst kan bedöma utredningens kvalitet.
Om utredaren verkligen försökt, utan hänsyn till sina egna darlings, beskriva även de negativa konsekvenser som kan uppstå om utredningens förslag förverkligas är det en bra utredning där beslutsfattarna får stöd att fatta rätt beslut.
Då ges även en möjlighet att i tid börja arbeta med att reducera eventuella risker och negativa konsekvenser.
Tyvärr blir jag sällan glad när jag läser konsekvensbeskrivningar eftersom de ofta förefaller verklighetsfrämmande och främst bestående av glädjekalkyler som för att visa det geniala i utredningens förslag.
Avsaknaden av relation med de som har kännedom om verkligheten är sannolikt den bakomliggande orsaken till de sangviniska konsekvensanalyser som avslutar utredarens möda.
Jag har nu under ett par år funderat över hur säkerhetsskyddslagens utredare kunde komma fram till denna sammanfattning av konsekvenserna av sitt förslag: Bedömning: Förslagen medför inte annat än marginella kostnadsökningar för vissa myndigheter som får delvis utökade upp-gifter enligt våra förslag.
Dessa kostnadsökningar bedöms kunna hanteras inom nuvarande budgetramar.
Förslagen bedöms inte medföra några kostnadsökningar för företag utom i de fall dessa på eget initiativ och för egen nytta begär s.k.
säkerhetsintyg för leverantör, då kostnader kan upp-komma för vissa säkerhetsskyddsåtgärder.
Förslagen kan medföra att något fler personer säkerhetsprövas.
Få torde idag hålla med om den bedömningen vilket bland annat framgår av remissvaren på den kompletterande utredningen då det börjat gå upp för allt fler vad den nya lagen faktiskt kommer att innebära.
Vad som förbryllar mig är att alla de ökade kostnader och andra negativa konsekvenser som idag är uppenbara för de flesta inta kan ha varit särskilt svårt att förutse.
Detta är inte unikt för just den här utredningen utan är, menar jag, mer att se som ett systemfel där utredare systematiskt tonar ner de negativa konsekvenserna.
Möjligen beror detta på att de är rädda för att deras förslag ska ses som ”dåliga” eftersom det innebär vissa negativa effekter men det är ju en attityd som knappast gagnar utredarens uppdragsgivare.
En sista svag punkt i utredningsmaskineriet är att remissinstanserna ägnar ett så till synes svagt intresse för att läsa hela utredningen.
Istället kommenterar man möjligen de delar som berör den egna verksamheten.
Jag har förståelse för att många myndigheter och andra blir överösta med remisser och har svårt få tiden att räcka till för att ge kvalitativa svar på alla.
Samtidigt så är remissvaren inte bara ett sätt att värja den egna verksamheten från dumma förslag.
Det är också en möjlighet att bidra med juridiska och andra bedömningar för att förbättra helheten.
Nu ska jag göra ett djärvt grepp och citera Sun Tzu (tror jag) direkt ur mina djupaste hjärnvindlingar utan att kolla upp det.
Han sa ungefär så här: om jag får tio dagar på mig att fälla skogens största träd ägnar jag åtta dagar åt att slipa min yxa.
Ni får nu möjligheten att komma med en massa bra rättelser men vad jag vill säga är att detta skulle kunna vara ett citat som både uppdragsgivare och utredare skulle kunna tatuera in som gadd.
De stora utmaningar vi står inför inom digitalisering, informationshantering, arkiv och säkerhet förtjänar de bästa utredningar som tar minst åtta dagar av de tio.
Jag måste genast rätta mig själv innan någon annan hinner göra det!
En mig närstående har grävt fram att det nog inte var Sun Tzu och inte ens Lincoln som myntat men det blir en snygg tatuering om det är kinesiska tecken… Teknikhistoria är ett fascinerande ämne som jag ägnat mycket intresse genom åren och då alldeles särskilt samspelet mellan teknik, samhällsutveckling och ekonomi.
Frågor som varför vissa tekniska uppfinningar blir innovationer medan andra inte gör det och de institutionella förutsättningar som gör att teknik leder till positiv samhällsutveckling är ganska grundligt beforskade.
En underbar populärvetenskaplig bok på detta tema är Wolfgang Schivelbuschs som jag rekommenderar alla som vill skapa sig en hälsosam distans till det utmattande nuet.
Det är med denna bakgrund som den svenska förvaltningens digitalisering ständigt förvånar mig eftersom dess genomförande tycks strida mot det som framkommit som framgångsfaktorer för införande av ny teknik.
Istället för att bygga gemensam infrastruktur och institutionella förutsättningar har svenska myndigheter och regioner/landsting ägnat sin energi åt någon slags känslomässig påverkan.
Vad är då budskapet i denna känslomässiga kommunikation?
Så här ser de mest förekommande implicita och explicita budskap ut.
Det övergripande budskapet att det finns ett stort antal ludditer som är passionerat motverkar digitalisering och som måste övertygas om att digitalisering är BRA.
Efter noggrant begrundande kan jag inte erinra mig en enda person som varit emot digitalisering, däremot många som varit emot dålig digitalisering.
Det hindrar inte att det förekommer en ständig underström av halmdockor (läs mer om det klassiska fula argumentationsfelet ) när digitalisering diskuteras.
Dessa figurer som med lock och pock måste forceras att överge papper och penna är del i en ganska bra härskarteknik eftersom den som låtsas som att dessa finns då själv framstår som en ljusbringare som står för det ”moderna”.
Och det är något som i svenska sammanhang vördas så är det det moderna, så har det varit sedan 1800-talet, oavsett vad moderniteten stått för.
Det uppenbart ologiska i att hävda att populasen är teknikfientliga bakåtsträvare på jobbet eller när de ska använda offentliga e-tjänster när de samtidigt på sin fritid har olika kommersiella e-tjänster som sina närmaste livskamrater tycks inte störa.
Nästa centrala budskap är att digitalisering per definition är bra vilket leder till den underförstådda tesen att digitalisering är bra.
Som följd av detta görs ingen skillnad mellan bra och dålig digitalisering trots att alla känner till minst fem misslyckade digitaliseringsprojekt i sin närhet.
Att det inte får finnas dåliga digitaliseringsprojekt till en dubbelriktad kultur av icke-existerande uppföljning och erfarenhetsåtervinning; eftersom det inte görs någon uppföljning kan dålig digitalisering inte påvisas.
Jag tittar in på webbplatserna för två centrala aktörer för den offentliga sektorns digitalisering, eSam och SKL, för att se hur man hanterar utvärderingsfrågan.
eSam har gett ut ett antal vägledningar och metodbeskrivningar för digital samverkan (a.k.a.
ta fram digitala lösningar) i alla möjliga skärningar men vad jag kan se har inte uppföljning och utvärdering förlänats något eget metodstöd.
I den 84-sidiga för behovsdriven utveckling finns visserligen dessa rader med: Efter varje införande bör det genomföras en utvärdering för att ta vara på erfarenheter om vad som gick bra respektive mindre bra i behovsinsamling, planering, metodval, samarbete samt hur resultaten mottogs.
Infriade tjänsten de förhoppningar verksamheten och målgruppen tänkt sig?
men i ett systematiskt arbete förväntar man sig ett något större intresse för frågan.
SKL, som får ses som ett epicentrum för den vingliga offentliga digitaliseringen, förvånar mig positivt genom att erbjuda verktyg för uppföljning exempelvis och så kallade LIKA-värderingar som den för socialtjänst.
Tyvärr visar sig dessa undersökningar vara mognadsundersökningar av i vilken omfattning man lyckats digitalisera, d.v.s.
det handlar inte om att utvärdera hur väl digitaliseringen fungerar.
Ointresset för utvärdering är paradoxalt sett i ljuset av att digilisatörerna gärna vill tala om digitalt ledarskap och vikten av styrning samt nyttorealisering (nej, det är ingen idé ni går till den vägledningen för nyttorealisering för den innehåller inget substantiellt om uppföljning).
För att kunna leda, styra och nyttorealisera i verklig bemärkelse måste man arbeta systematiskt med att utvärdera gjorda satsningar ur ett antal aspekter som ekonomi och effektivitet.
Förhållningssättet att arbeta utan systematik är menar jag en av de mest grundläggande orsakerna till att det offentliga Sveriges digitalisering inte alls når den nivå som skulle kunna förväntas med tanke på de investeringar som gjorts.
Att den svenska digitaliseringen kraftigt underpresterar är ett faktum som det nu tycks råda konsensus om även från internationella bedömare som OECD.
Orsakerna till detta borde vara synnerligen intressanta att identifiera och då inte bara genom att komma dragande med gamla kära bortförklaringar som att juridiken inte är anpassad till digitaliseringen.
Kraften i det argumentet är ju inte heller så övertygande då till exempelvis sjukvårdshuvudmän och vårdgivare högaktningsfullt struntar i viss lagstiftning som man finner obekväm.
Det går inte att argumentera för digitalisering med rationella argument, tråkiga och genomarbetade analyser eller krassa ekonomiska beräkningar.
Istället sker kommunikationen med ett överflöd av uttalande av den här typen: Eftersom dessa uttalande inte går att vare sig be- eller vederlägga befinner vi oss i en situation där ledande aktörer inom digitaliseringsetablissemanget ständigt vädjar till våra känslor istället för att föra en dialog grundad i sakfrågor.
Här uppstår tror jag den olyckliga pepp-cirkelargumentationen där utomstående inte kan delta eftersom ramen för deltagandet är satt; bara de som accepterar pepp-läget kan ingå, de som efterfrågar rationalitet, siffror och nytta uppfattas som fientligt inställda och görs mer eller mindre förfinat till icke-deltagare och i värsta fall till halmdockan ”motståndare till digitalisering”.
Att det finns ett digitaliseringsetablissemang (precis som det finns ett informationssäkerhetsetablissemang) som har mycket att försvara blir ganska uppenbart vid minsta lilla glutt in på LinkedIn.
Det vore kul att se ett sociogram över det ganska begränsade antal människor som genom åren konfererat med varandra, gett varandra komplimanger, titlar, priser och positioner.
Man har skapar myndigheter, kommittéer, kommissioner och råd för att underlätta digitaliseringen, oundgängliga roller som regeringens CDO och kommunala digitaliseringsstrateger och peppat varandra på karnevaler och festivaler (det sista var kanske en liten överdrift…).
Digitaliseringen har beskrivits som det största tekniksprånget i historien (jag skulle nog snarare hävda ångmaskinen eller elektriciteten) och som lösningen på flertalet svåra samhällsproblem.
Den arma fackutbildade personalen i välfärdssektorn har fått finna sig att bli mästrade av allehanda ”evangelister” utan definierad kompetens givits utrymme att predika.
Helt olika räknesätt har tillämpats i de kommunala ekonomierna där lärplattformar för bortåt en halv miljard kunnat prioriteras samtidigt med kraftiga nedskärningar på personalen.
Under senare tid har jag alltmer kommit att grubbla över hur den privata sektorn kunnat genomföra sin digitalisering utan detta etablissemang och överbyggnad.
Jag tror att det är dags för ett paradigmskifte inom den offentliga digitaliseringen i Sverige.
Det är inte fel på förutsättningar, ekonomi eller teknik i första hand utan på den metafysik som omger digitaliseringssträvandena, alltså de föreställningar som finns om digitaliseringen och det sammanhang som de digitala lösningarna ska fungera i. Som samhällsmedborgare skulle jag önska att digitaliseringsetablissemanget tar ett steg tillbaka och med viss självkritik granskar sina argument för att kunna börja tillämpa mer kvalitativ och effektiva arbetssätt.
Det vill säga mindre marknadsföring och mera hantverk, mindre känslor och mera strukturellt tänkande, färre halmdockor och fler verkliga läkare och lärare, färre evangelister och flera ingenjörer i vid bemärkelse, mindre digitala lösningar i sig och mer intresse för de resultat som digitaliseringen ger.
Framför allt önskar jag viljan och förmågan till ett normalt kritiskt förhållningssätt till digitalisering.
Ett stöd för denna typ av reflektioner kan vara följande över vanliga villfarelser.
Särskilt rekommenderar jag närstudier av följande bias: sunk cost fallacy, dunning kruger effect, back fire effect, self serving bias och group think.
Vår ambivalens inför molntjänster är stor.
Å ena sidan har vi risken att personuppgifter och annan känslig information kommer i orätta händer, å andra all den funktionalitet som vi så gärna vill ha.
Dessutom måste det vägas in att molntjänster erbjuder många säkerhetsfördelar, inte minst för mindre organisationer.
menar att vi står i ett vägskäl.
Själv ser jag att många redan har gjort sitt val och tyckt att nyttan med molntjänster överstiger risken.
Att många kommuner har gjort så är ingen hemlighet men jag blir ganska häpen när jag efter ett tips kollade upp , en rekryteringstjänst för Försvarsmakten.
Tipset var att denna tjänst ligger i Office 365, en molntjänst som driftas av Microsoft på Irland.
För att få korrekt information skrev jag och frågade Försvarsmakten litet om detta.
Jag har tre frågor om Mitt försvarsmakten: Slutligen skulle jag vilja ut en lista över vilka personuppgifter som hanteras i Mitt försvarsmakten.
Tack för svar!
och fick då följande svar som jag publicerar in extenso: Hej!
Se svar nedan på dina frågeställningar.
Mitt Försvarsmakten är byggt inom extern molntjänst (Microsoft Office 365).
Försvarsmakten har ställt krav på informations- och IT-säkerhet och granskat den färdiga lösningen utifrån kraven med godkänt resultat.
Inom ramen för utvecklingsarbetet har den militära underrättelse- och säkerhetstjänsten, MUST, löpande deltagit i granskningar av lösningen och har även godkänt lösningen inför driftsättningen.
Försvarsmakten arbetar kontinuerligt med kontroll och förbättringar av informations- och IT-säkerheten i alla IT-tjänster inklusive denna.
Försvarsmakten kommenterar inte i detalj hur säkerhetskraven är implementerade.
Personuppgifterna i Mitt Försvarsmakten behandlas med stöd av samtycke från den enskilde.
Av samtycket framgår även att Microsoft behandlar personuppgifterna.
Försvarsmakten använder Google Analytics från Google som analysverktyg.
Google Analytics använder cookies.
Informationen som genereras av dessa (inklusive IP-adresser) kommer att vidarebefordras till och lagras av Google.
Denna information används i syfte att utvärdera besöksstatistik.
Google kan också överföra denna information till tredje parter om det krävs enligt lag eller i de fall en tredje part behandlar informationen för Googles räkning.
Google kommer inte att koppla samman IP-adresser med annan data som Google innehar.
Google Analytics anonymiserar den information som skickas till Google.
För personer utan registrerad användarprofil i Mitt Försvarsmakten som har registrerat sig för ett specifikt event behandlas endast uppgift om namn och e-postadress.
För personer med registrerad användarprofil i Mitt Försvarsmakten behandlas uppgifter om Namn Personnummer Kontaktuppgifter (adress, telefonnummer och e-postadress) Uppgift om kön Uppgift om svenskt medborgarskap Uppgift om nuvarande sysselsättning Uppgift om nuvarande arbetsgivare Uppgift om godkända betyg MA / SV / EN från gymnasiet Uppgift om kondition och muskelstyrka Intresse för Försvarsmakten Medarbetarstatus, tidigare anställning inom FM Har ansökt om Veterankort eller har Veterankort Har sökt tjänst Har sökt GMU Har gjort rekryttest Startat GMU/GU-F/GSU/Kombattantutbildning Slutfört GMU/delkurs/GU-F Tagit anställning inom FM Avtal tecknat Avtal tecknat den Samtycker till lagring och bearbetning av information Kandidaten vill avregistrera sig Mvh Försvarsmakten Det ska medges att jag ibland varit aningen tveksam till att det ofta framställs som att Försvarsmakten är säkerhetsexperterna även då det gäller det civila samhällets säkerhet.
Men om vi acceptera premissen att Försvarsmakten är någon form av riktkarl för samhällets säkerhet blir detta svar intressant.
Frågorna jag ställer mig är: Observera att jag inte har svaret på dessa frågor – jag bara funderar.
Först en disclaimer.
Denna text är skriven med ett visst undertryckt ursinne.
Under 7-8 år under mina vittflygande studier jobbade jag samtidigt på ett boende för psykiskt funktionsnedsatta barm och ungdomar.
Den erfarenheten gör att jag framförallt tänker på de patienter och anhöriga som drabbats av 1177-skandalen men också på den vårdpersonal som till skillnad från digitaliseringsbyråkrater, ”visionärer” och ”evangelister” möter patienter.
De ska nu leva i oro över hur deras arbetsgivare hanterar den information som de i förtroende tar emot och där samtal från hjälpsökande patienter studsar vidare för hantering i Thailand.
Jag jobbade också i ett landsting under 90-talet då politiker, it-leverantörer och byråkrater gick in i en lustiger dans om digitalisering som var mycket lösligt kopplad till verksamhetsbehov.
Att försöka skjuta in frågor om informationssäkerhet eller kvalitet i informationshanteringen stämplades som närmast illojalt eller i bästa fall som tugg som man måste genomlida innan man gick vidare precis som förut.
Filifjonkan på bilden har inte bara med ångestridna patienter att göra utan också känslan av den annalkande katastrofen som hon symboliserar.
Det finns inget som är så lätt som att förutspå framtiden i efterhand.
Många är nu chockade och totalt överraskade över vad som framkommit om 1177 och dess underleverantörer.
Att försöka påpeka vikten av god informationssäkerhet vid digitaliseringen har som sagt varit ett arbete i stark motvind för att inte säga full stormstyrka i 25 år.
Ofta har den berättigade oron för den alltmer bristande säkerheten inom vård-it utmålats som ett Filifjonka-aktigt beteende och att varningarna för riskerna skulle ha lika litet med vår verklighet att göra som Filifjonkans permanenta ängslighet i Mumindalens idyll.
När det nu exempelvis framkommer att Region Värmland har anlitat en underleverantör för att hantera den extremt känsliga informationen i telefonrådgivning endast med dessa säkerhetskrav: Leverantören ska skydda sin information mot otillbörlig åtkomst och förstörelse i enlighet med gällande lagar, förordningar och föreskrifter.
Hur skyddet genomförs ska dokumenteras.
Leverantören ska på begäran kunna uppvisa denna dokumentation för landstinget.
Leverantören ska följa landstingets vid var tid gällande riktlinjer för informationssäkerhet.
ger det en indikation om hur relevant oron faktiskt var/är.
Observera att inga ytterligare krav ställts till exempel i form av en säkerhetsbilaga som förtydligar vad det är man vill ha, inte ens ett personuppgiftsbiträdesavtal i någondera riktningen finns.
Otroligt nog verkar hela den massiva hypen kring dataskyddsförordningen gått regionen förbi.
Med tanke på att hela härvan ännu inte är utredd ska jag, för att undvika förhastade slutsatser, inte kommentera alla juridiska och tekniska detaljer.
Enkla lösningar är det redan alltför många som kommer med.
Inte heller finner jag det meningsfullt att ägna mer tid åt den lyteskomik som svaren från de olika leden i leverans av telefontjänsten i 1177 gett utrymme för.
Istället ska jag försöka ringa något av det systemfel som ligger som grund för den uppkomna situationen.
Grundproblemet ligger i att vård-it i Sverige under trettio år har fått växa fram inte som en sammanhängande infrastruktur utan som en brädhög där olika aktörer kunnat lägga på sin egen bräda utan att behöva ta hänsyn till någon gemensam plan.
Detta skapar naturligtvis en låg grad av funktionalitet trots de enorma resurser som lagts på digitaliseringen men dessutom har det också skapar de oöverblickbara säkerhetsrisker som 1177-skandalen är ett av de mest flagranta exemplen på.
Den främsta säkerhetsrisken är att det i många fall är omöjligt att klarlägga ansvaret för säkerheten vilket med all önskvärd tydlighet framgår i fallet med 1177.
Intuitivt skulle nog de flesta säga att det största ansvaret ligger hos sjukvårdshuvudmännen, det vill säga främst regionerna/landstingen som i den svenska förvaltningsmodellen delegerats ansvaret för och där ansvaret definieras i hälso- och sjukvårdslagen: Med huvudman avses i denna lag det landsting eller den kommun som enligt lagen ansvarar för att erbjuda hälso- och sjukvård.
Inom en huvudmans geografiska område kan en eller flera vårdgivare bedriva verksamhet.
När det gällde hanteringen av information inklusive säkerhet var detta ansvar inte särskilt besvärligt att definiera på den tiden då landstingen också utförde den absoluta merparten av vården.
Då var journalerna allmänna handlingar som tillhörde landstinget och det också ställdes tydliga krav på hanteringen (ja, jag vet att det inte alltid funkade jättebra i verkligheten men jag rör mig nu på systemnivå).
I och med kommunalisering (ÄDEL) och privatiseringsvågen blev ansvaret otydligare.
Som en andra skänkel i saxen som klippte av tydligheten i ansvarsfördelningen fungerade rörelsen mot alltfler samarbeten mellan landsting som exempelvis Sjunet och de nationella tjänsterna.
Det är här jag menar att juridiken inte hängt med, inte genom att ställa krav på integritet i det nya landskapet.
Det juridiska ansvaret läggs nämligen främst på vårdgivaren: Med vårdgivare avses i denna lag statlig myndighet, landsting, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet.
Vårdgivaren kan vara vilken aktör som helst som bedriver någon form av vård, till exempel Medhelp.
Denne har också ansvaret för informationssäkerheten vilket mycket specifikt beskrivs i Socialstyrelsens föreskrift med regler för vårdens Problemet är bara att den mest säkerhetsmedvetne vårdgivaren ändå inte kan hålla sig för sig själv utan måste fungera i brädhögen av oklara ansvar eftersom man till exempel med nödvändighet måste använda bland annat nationella tjänster.
I och med detta faller alla de många goda råd som även säkerhetsexperter av olika dignitet framfört de senaste dagarna om att det bara är att ha tydliga upphandlingsrutiner, följa upp krav o.s.v.
Inte ens dataskyddet faller ut som man skulle kunna tro när man läser i avtalet mellan Region Stockholm och Medhelp och ser att regionen är personuppgiftsbiträde åt Medhelp och inte tvärtom….
Det som måste understrykas är att den digitala världen inte bygger på bilaterala relationer utan på multilaterala och att vi saknar verktyg att hantera den nya situationen.
Även trogna gamla kämpar som tillsynsvapnet riskerar att bli tandlöst eftersom tillsynen gäller enskilda organisationer.
Att skapa ansvarsförhållanden och möjlighet till ansvarsutkrävande avpassade för multilaterala infrastrukturer bedömer jag som den mest fundamentala säkerhetsåtgärden för vård-it.
Detta är inte något som en enskild vårdgivare kan ta ansvar för utan måste byggas upp på nationell nivå.
Tyvärr har denna grundläggande förutsättning totalt negligerats i de utredningar om e-hälsa som genomfört under senare år.
Mer om de moderna strukturerna finns att läsa i den nyligen utkomna antologin .
Ansvaret är alltså idag osynkroniserat med den nationella informationsinfrastrukturen och även med den tekniska infrastrukturen.
Ändå tror jag det är viktigt med ett ansvarsutkrävande.
Tyvärr kommer nog inte Region Stockholms innovationsregionråd ta sitt ansvar och avgå, inte heller hans motsvarigheter i Region Värmland och Sörmland.
SKL:s programansvarige för e-hälsa kommer att på motsvarande sätt skjuta ansvaret ifrån sig och Inera har snabbt varit ute och sagt att de går skuldfria ur denna förödande situation.
Tyvärr, inte för att vi behöver ett melodramatiskt utspel som när Toyota-chefen gråtande bad om ursäkt för sina fel eller syndabockar, men för att ge en reboot för vård-it.
Om ett antal digitaliseringspotentater inom vården åtminstone hade omdömet att säga: ”jag har villigt tagit emot all cred för att framstå som nyskapande och innovativ, nu tar jag lika villigt mitt ansvar när det visar sig att vi kört totalt fel inom e-hälsoområdet.”.
Detta vore en mycket viktig signal att vi nu inte ska fortsätta som förut utan gå in i en ny tid.
Det jag skriver ovan kan nog de flesta hålla med om på någon nivå men varför ser det då ut som det gör?
Jag skulle vilja hävda att det inte enbart beror på inkompetens utan i lika hög grad på attityd, möjligen arrogans.
Detta är en något nedslående tanke för sannolikheten för att kunna omvandla inkompetens till kompetens är större en att rå på decennier av negativ säkerhetskultur.
Jag förstår att det är mycket behagligare att ständigt mana framåt och inte hänga upp sig på problem och hinder.
I 1177-skandalen är patientens integritet som allvarligt skadats vilket är ett värde som talföra debattörer inom digitaliseringen och e-hälsa till och med i många sammanhang förnekat.
Den bristande samordningen kan också ses som ett resultat av SKL:s framgångsrika arbete som lobbyorganisation.
SKL är en intresseorganisation för regioner och kommuner som arbetsgivare och har med stor frenesi hävdat det kommunala självstyret inom hälso- och sjukvård.
Varje försök till styrning från staten nagelfars och min bedömning är att staten efter nedmonteringen av Socialstyrelsen inte ens har möjlighet till en effektiv myndighetsstyrning vilket lämnat fältet ännu mer fritt för SKL.
Ur ett samhällsperspektiv har det även lett till en starkt minskad insyn eftersom SKL, trots att man är helt finansierad av offentliga medel, inte lyder under offentlighetsprincipen.
Vad som pågår inom SKL och vilken agenda som drivs är därför svårgenomträngligt.
Under den tid jag jobbade på MSB och, bland annat inspirerad av den norska lösningen Normen, försökte få till en styrning bättre avpassad till de multilaterala relationerna fick jag ofta känna av SKL:s maktanspråk.
Ärligt talat så var intresset inte särskilt stort ens i min egen myndighet och inte heller i de andra myndigheter som hade uppdrag i någon form som påverkade säkerhetsaspekterna i vården.
Men var det ett svalt umgänge i myndighetssfären så var SKL:s engagemang i frågan på nollpunkten.
Mitt käcka erbjudande om att MSB skulle kunna samordna och tillföra väsentliga resurser och kompetens för att göra den så skakiga informationssäkerheten i vården bättre möttes mycket kallsinnigt.
Budskapet var att detta var en uppgift som regionerna kunde klara själva (med SKL:s hjälp) och att myndigheter inte hade i territoriet att göra.
Själv kände jag mig som en ovälkommen budbärare från de många medlemsorganisationer som satt med sin usla säkerhetssituation utan reell möjlighet att göra något åt den.
Med ett avancerat tjat lyckades det till slut att få SKL att skriva under den gemensamma strategi som jag tagit fram som underlag och som nu litet patetiskt ligger kvar på MSB .
Någon gemensam styrning á la Normen är lika fjärran som då strategin skrevs.
SKL har alltså haft alla möjligheter att själva ta fram de stöd som så väl skulle behövas i deras medlemsorganisationer.
Så har inte skett förutom det tveksamma verktyget för informationsklassning som jag skrivit om Något gemensamt regelverk för att hantera den multilaterala ansvarssituationen inom vården kan jag fortfarande inte hitta på SKL: s webbsida.
Intressant nog har ju inte SKL något formellt ansvar för informationssäkerheten i vården eftersom man är en intresseorganisation och kommer säkerligen inte att påta sig något sådant nu heller.
När nu nästa trend är AI i vården blir man inte direkt lugnare, särskilt inte när SKL:s programansvarige för e-hälsa ifrågasätter lagstiftningen snarare än ansvarskänslan hos införarna som .
I mina dystrare stunder tror jag vi nått vår kollektiva inkompetensnivå där vi ska skapat ett it-monster som ingen längre kan styra.
Vi har en situation med i princip outtömliga tekniska möjligheter promotas av aggressiva leverantörer.
Tekniken möter en omogen organisationsstruktur där verklig styrning ersatts av fritt spelrum för särintressen.
Till detta kommer den bristande självinsikten om att det är så här det ser ut och den negativa säkerhetskulturen inom vården.
Och slutligen juridik och företrädare för informationssäkerhet som fortsätter att leverera lösningar gjorda för enstaka organisationer eller möjligen bilaterala relationer vilken inte är till någon större hjälp i den dagens multilaterala arkitekturer.
Självklart kan vi inte ge upp utan istället ställa oss frågan hur vi kan genomföra de absolut nödvändiga förändringar som skulle göra vård-it till en seriös verksamhet.
Här vill jag anslå en ny ton för att markera att detta är mycket komplexa frågor som vi idag i huvudsak saknar svar på.
Det är inte enkla förbättringar av upphandlingsrutiner som kan leda framåt utan förändringar av en helt annan dimension som är nödvändiga.
Det är inte beställningar mellan kund och leverantör som är det verkliga problemet utan beställningen från regeringen till sjukvårdshuvudmännen som inte fungerar där sjukvårdshuvudmännen som leverantörer inte klarar av att skapa en säker vård-it.
Mina förslag, som jag inte när något större hopp om att de kommer att anammas, är att likna vid ett undantagstillstånd.
Det kan tyckas dramatiskt men allvaret i situationen kräver extraordinära åtgärder .
Parallellt med åtgärderna bör även en attitydförskjutning initieras där vi slutar se digitalisering som ett självändamål utan blir förmögna att ta in olika perspektiv som till exempel säkerhet.
Utgångspunkten bör också att det är en nationell struktur som ska byggas och förvaltas där de gamla organisationsgränserna inte längre får sätta käppar i hjulet.
Här kan man ana att en del integritetsnihilister vädrar morgonluft men bedra er inte; målet är att stärka integriteten, inte nedmontera den ytterligare!
Det är högintressanta tider då vissa frågor ställs på sin spets.
I min begränsade värld är en av dessa frågor det så kallade e-arkivet, denna företeelse så omgiven av förväntningar och föreställningar.
Under den senaste tiden har två stora händelser timat inom området: Statens servicecenter misslyckades med sin upphandling av e-arkiv och SKL Kommentus Inköpscentral (fortsättningsvis kallad SKI) lyckades med sin.
Det kan tyckas vara två mycket likartade händelser men ju mer man gräver så framstår skillnader allt tydligare.
Jag är ju en enkel konsult vars främsta uppgift är att försörja mig men eftersom jag misstänker att ingen annan bättre lämpad funktion tänker göra någon analys av varför det gick som det gick fattar jag ändå pennan/tangentbordet.
En brasklapp är naturligtvis att jag inte har den tid och de resurser som krävs för att göra en fullständig analys utan att jag enbart kommer att ta upp vissa aspekter som särskilt intresserar mig och då främst säkerhetskraven.
I ingetdera fallet kommer jag att kommentera de konsulttjänster som ingår i upphandlingarna utan endast upphandlingen av själva tjänsten eller applikationen.
För att förstå dessa upphandlingar behöver några basala förutsättningar slås fast.
Något som är självklart för den med litet insikt i arkivfrågor är att lagring av digital information inte täcker begreppet e-arkiv.
Här finns dock inte utrymme att gå igenom alla intrikata aspekter men låt mig poängtera vissa grundläggande frågor: Ovanstående punkter sammantaget med att Riksarkivet, för att uttrycka det milt, inte är direkt sugna på att ta emot digital arkivinformation och det inte heller finns en övergripande strategi för den långsiktiga nationella arkivverksamheten försätter myndigheterna i en svår situation.
Man har helt enkelt en exponentiellt växande digital informationsmängd att långsiktigt ta hand om utan det finns tydliga lösningar för hur det ska ske.
Förutom myndigheters, kommuner och regioners vånda så är vi nog en hel del som känner en stor oro på samhällsnivå för de stora informationsförluster vi riskerar att göra.
En informationsförlust som inte bara är ett stort hot mot dagens och framtida forskning utan också för vårt gemensamma minne.
Det finns naturligtvis enstaka ljus i mörkret som Sydarkivera som förtjänar att lyftas fram men som helhet ser det tämligen mörkt ut.
Det är alltså i denna kontext som de två upphandlingarna ska sättas in och som kanske kan ge en förklaring till varför de utfallit som de gjort.
Inledningsvis kan slås fast att de två upphandlingsprojekten knappast kan ha haft mycket samröre.
Olikheten i synsätt och begrepp är iögonfallande trots att det i båda fallen handlar om offentlig sektor och delvis överlappande verksamheter.
En sak är dock den samma för båda upphandlingarna: det handlar inte om att upphandla en lösning för det långsiktiga arkivbehovet.
I stället uppfattar jag det mer som att göra en quick fix i väntan på något mer bestående.
Det är alltså möjligen lösningar för mellanarkiv vi pratar om där information av olika karaktär (allmänna handlingar och annat) lagras under en i arkivperspektivet begränsad tid för att därefter gallras, rensas eller föras över till en slutförvaring.
Såvitt jag kan se handlar också lösningar om överföring från system till system eller från system till tjänst, ingen inriktning mot ett mer infrastrukturellt tänkande finns med.
Jag är inte förvånad över detta men vill ändå betona detta.
Trots likheten i behov har SSC och SKI hamnat i två helt olika upphandlingar.
SSC har sedan 2014 bedrivit sitt upphandlingsprojekt där också ett antal statliga myndigheter deltagit och varit utsedda som ”pilotmyndigheter” (bakgrunden finns ).
Utifrån regeringsuppdraget lämnades en första delrapport 2015 med ett förord signerat både av SSC:s GD och riksarkivarien.
Jag vill inte undanhålla läsaren sammanfattningen i rapporten som var följande (felstavning inkluderad): Det finns goda förutsättningar för att skapa en förvaltningsgemensam tjänst för e-arkiv.
· Det blir en minskad investeringskostnad och en besparing för staten som helhet.
· Bara genom att etablera ett gemensamt e-arkiv istället för sju separata för pilotmyndigheterna, sparar staten flera tiotals miljoner kronor.
· Det finns etablerade arbetsätt för e-arkivering · Marknaden är mogen och det finns system och leverantörer.
· Sju pilotmyndigheter har skrivit på en avsiktsförklaring om att ansluta sig till tjänsten.
Förutsättningar för fortsatt arbete: · Regeringen behöver undanröja de juridiska hindren genom en förordningsändring.
· Statens servicecenter (SSC) och Riksarkivet förordar att projektet går vidare till krav- och upphandlingsfas, under förutsättning att regeringen bidrar med tillräcklig finansiering.
Även den som är luttrad från digitaliseringsprojektens närmast obligatoriska glädjekalkyler kanske ändå hoppar till litet vid sådana diffusa fördelar som att staten ska ”spara flera tiotals miljoner kronor”.
Konstateranden som att det finns en mogen marknad för e-arkiv och dessutom etablerade arbetssätt för e-arkivering känns idag 2019 som önsketänkanden och var det ännu mer 2015.
Det var utgångspunkterna för projektet som visserligen har haft riksarkivarien som styrgruppens ordförande och en stilig projektdokumentation men som ändå slutade i att upphandlingen av en nationell molntjänst avbröts strax före jul 2018.
Vad SSC under fyra år försökt upphandla är alltså en molntjänst för ett stort antal myndigheters e-arkiv (om man ser till de tillväxtstaplar som presenterats i projektet): Den ”tjänst” som Statens servicecenter efterfrågar i denna upphandling är således att betrakta som en sammanhållen leverans och ska inte förväxlas med begreppet ”Software as a service” (SaaS).
Skillnaden är att den grundläggande arkivmjukvaran upphandlas i form av en programvarulicens medan de övriga delarna i leveransen upphandlas som en tjänst på månadsbasis.
Istället för en normal upphandling av molntjänsten valde SSC att göra en så kallad konkurrenspräglad dialog.
Statens servicecenter har valt konkurrenspräglad dialog som upphandlingsförfarande då det inte är möjligt att utforma samtliga krav på tjänsten i förväg.
Med tanke på komplexiteten i uppdraget och de rättsliga förutsättningarna krävs dialog med erfarna leverantörer för att slutgiltigt utforma kraven.
Detta är enligt mig en mycket svår upphandlingsform inte minst när det gäller applikationer och molntjänster.
För att kunna styra en sådan upphandling krävs en mycket fast hand från kunden för att inte hamna på olika typer av grynnor och skär.
När då kunden redan inledningsvis skriver att man inte kunnat utforma kraven på tjänsten känns den fasta handen rätt avlägsen.
Som säkerhetsintresserad börjar man skruva på sig; att upphandla en nationell molntjänst med en glidande kravspec känns…obehagligt.
Låt oss då se på säkerhetsinriktningen i SSC:s konkurrenspräglade dialog.
För det följande är det viktigt att ha i åtanke att syftet med processen att nå fram till leverantör av en molntjänst, d.v.s.
en tjänst där stora mängder offentlig ackumuleras.
Kravet på tjänsten har varit att den ska kunna hantera den information som kundmyndigheterna väljer att stoppa in, även sekretessreglerad information.
Däremot inte hemliga handlingar: den förvaltningsgemensamma tjänsten för e-arkiv ska inte dimensioneras för hantering och lagring av hemliga uppgifter och handlingar.
Hemliga uppgifter och handlingar ska därför fortsatt, och av kundmyndigheterna själva, förvaras på annat sätt e-arkivet som sådant bör betraktas som säkerhetskänslig verksamhet – av betydelse för rikets säkerhet.
Detta bland annat mot bakgrund av de stora informationsmängder, från många myndigheter, som ansamlas i lösningen och de konsekvenser som till exempel ett bortfall av tjänsten skulle kunna medföra för berörda verksamheter – och för samhället Redan här väcks många frågor.
Om man ser det potentiella e-arkivet som en säkerhetskänslig verksamhet enbart p.g.a av att det ansamlas stora informationsmängder varför då utan närmare argumentation välja en lösning som leder just till detta?
Följden av beslutet har blivit att man valt att göra en upphandling med krav på säkerhetsskyddsavtal på nivå 1, alltså den högsta nivån.
Detta ställer stora krav på leverantören som att införa en säkerhetsskyddsorganisation, att välja vissa specifika säkerhetslösningar och att införa utvidgade säkerhetskontroller av anställda.
Förutom att säkerhetsskyddsåtgärderna av naturliga skäl kan minska effektiviteten i lösningen innebär ökade kostnader och därmed ökat utpris för kunden.
Det innebär minskad integritet för anställda och i många fall även fördyrande krav i kundens egen verksamhet.
I detta fall ställer jag mig också tveksam till på vilket sätt e-arkivet om det inte upprätthåller tillgängligheten skulle utgöra ett hot mot Sveriges säkerhet liksom att antagonistiska hot skulle vara den primära risken (jag går inte djupare på den nya lagens syn på riktighet och tillgänglighet eftersom den är i bästa fall oklar).
Om detta synsätt sprids, d.v.s.
att det visserligen inte är säkerhetskänslig information som kommer att hanteras i lösningen men vi kommer ändå att använda SUA, så kommer i princip varenda molntjänst som används i offentliga uppdrag av privata och offentliga aktörer att falla under säkerhetsskyddslagen.
Om säkerhetsskyddslagens syfte är att skydda ”det mest skyddsvärda” så kan vi inte låta det gå inflation i tillämpningen så att den blir det nya normala.
Jag vill bara framföra ett milt: sansa er och försök tänk på konsekvenserna av detta (även om utredningen som ny säkerhetsskyddslag hade en ytterst sangvinisk konsekvensanalys, återkommer till det i ett senare inlägg).
Det kanske mest häpnadsväckande är att informationsklassning och skyddsnivåer inte nämns vare sig i inbjudan eller bilagan.
Utan kommentar förutsätts alla myndigheter ha samma behov av säkerhet och kravs ställs inte på leverantören att kunna leverera tjänsten på olika fastställda skyddsnivåer.
Min fundering blir då vem som blir riskägare i det här konceptet om kundmyndigheten inte kan påverka tjänsten.
Detta känns igen från SSC:s övriga tjänster vilket jag ser som ett grundproblem med hela konstruktionen.
Förutom detta ställde SSC även krav på certifiering mot ISO 27001 eller motsvarande icke-certifierat ledningssystem, SOA samt beskrivning av säkerhetskontroller.
Detta är ett krav som måste finnas med men som i praktiken, enligt min erfarenhet, inte utgör en garant för ett väl fungerande säkerhetsarbete.
Hunnen så här långt i genomgången av upphandlingen pockar två frågor på.
För det första har SSC begränsat antalet möjliga leverantörer mycket starkt.
Fyra års utredande borde ha gett en marknadsanalys som påvisat att det finns mycket få svenska leverantörer som kan eller vill leverera på dessa villkor.
Historien visar ju också att endast en leverantör återstod när upphandlingen avslutades.
Den andra frågan är varför denna upphandlingen sker över huvud taget.
Ett alternativ hade varit att gå ut i en vanlig ramavtalsupphandling där Riksarkivet kunnat bistå med expertkunskap på samma sätt som de nu gjort i SSC:s upphandling.
Vad exakt tillför SSC som inte myndigheterna skulle kunna få i en direktrelation med leverantörerna?
Eftersom man då skulle kunna få fler leverantörer skulle förhoppningsvis den koncentration som påkallat säkerhetsskydd kunnat undvikas (ja, här ligger en mycket, mycket större fråga om den totala mängden tjänster hos leverantörerna och ramavtalens oligopolskapande kraft men jag hinner inte ta den nu).
Till detta kommer en bilaga med ganska ordinära säkerhetskrav.
Några reflektioner kan dock göras.
Påfallande många av kraven är inexakta av typen att leverantören ska beskriva vilken säkerhetsfunktionalitet finns.
En förvånansvärt stor andel av det som kan kallas säkerhetskrav ägnas åt fysisk säkerhet.
Och som sagt: nivåer saknas.
Sammantaget skulle det skapa stora svårigheter för kundmyndigheten att bedöma vilken den faktiska säkerheten i leveransen blir.
Om man summerar SSC:s kravbild inklusive orimliga krav som att leverantören ska ha erfarenhet av att tillämpa Riksarkivets FGS i praktiska lösningar vilket i princip är en omöjlighet eftersom det knappt finns några FGS:er så undrar jag om SSC verkligen velat ha en leverantör.
I förtroende har leverantörer förmedlat att har saknats dialog trots den upphandlingsform som valt och som bygger på just dialog.
Trots att endast en leverantör återstått under det sista året har upphandlingen rullat på och därefter avslutats bland annat med motiveringen att det var för få leverantörer.
I upphandlingsunderlaget återkommer följande formulering: Under avtalstiden kan uppdraget komma att begränsas eller på annat sätt förändras med anledning av författningsändringar eller förändrade uppdrag för Statens servicecenter.
Bland annat kan det bli aktuellt för statliga myndigheter att ansluta till en så kallad statlig molntjänst.
Med tanke på att företrädare för SSC ofta vädrat en önskan om att få uppdraget att ta över statlig it-drift och skapa en statlig molntjänst så kan inte tanken att angelägenheten att få affären i hamn kanske inte var helt odelad helt viftas bort.
SKI:s upphandling är en förnyad sådan så man får anses ha mera erfarenhet på området än SSC.
Av teoretiska och praktiska orsaker är jag tilltalad av SKI:s inriktning att använda definitionen ”funktion för e-arkivering” även om det finns aningen av ironi i motstridigheten när funktionen beskrivs som I definitionen av funktionen för e-arkivering beskrivs e-arkiv i termer av vad e-arkivet ska klara av, vilka behov som ska tillgodoses, snarare än vilka funktioner som ska finnas.
Detta är en betydligt mer öppen upphandling i meningen att det finns möjlighet för kunderna att använda avtalet både för att kunna köpa en molntjänst och för att köpa en applikation för egen drift.
I alla fall hypotetiskt minskar det risken för den koncentration som föranledde kravet på SUA för SSC.
SKI har alltså valt att inte göra en SUA, helt korrekt enligt mig.
Det ger också kunden möjlighet att lägga till egna säkerhetsåtgärder i en applikationsdrift och anpassa applikationsdriften till egna skyddsnivåer.
Att flera leverantörer finns på ramavtalet minskar inte bara koncentrationen av information utan gör också lättare att välja en leverantör som motsvarar den egna kravbilden utöver det som står i ramavtalet.
Jag tror (med betoning på tror) att ramavtal är en bättre lösning även ur säkerhetssynpunkt om det är oklart vad en mellanliggande myndighet ska tillföra eftersom kunden då har möjlighet att ha direktkontakt med leverantören.
Applikationsdrift i all ära men för mindre verksamheter kan molntjänster innebära en mycket bättre säkerhet än vad man kan skapa själv (har redan skrivit om detta ett antal gånger så jag vevar inte argumentationen ytterligare en gång).
Inte heller i SKI:s upphandling finns skyddsnivåer definierade även om informationsklassning nämns som en del i de konsulttjänster som kan avropas.
Krav på certifiering ställs inte och säkerhetskraven är inte frilagda på samma sätt som i SSC:s upphandling.
Likaså är många kraven av samma något diffusa karaktär som i SSC:s upphandling.
Det är därför svårt att på rimlig tid skapa en bild av hur den tänkta säkerhetsarkitekturen ser ut.
Jag tror dock att det varit enklare att hitta fram till ett samförstånd i denna upphandlingstyp än i den konkurrenspräglade dialogen som SSC valde som upphandlingsform.
Ett problem med båda upphandlingarna är att det är svårt att se vilka riskbedömningar som gjorts och det är även svårt att se något systematiskt arbete som föranlett de säkerhetskrav som faktiskt ställts.
Jag uppfattar det inte som att säkerhet varit en väl analyserad fråga i upphandlingarna även om SSC drämde i med storsläggan säkerhetsskydd.
Generellt skulle jag vilja hävda att kunden som använder SKI:s ramavtal har större möjlighet att påverka säkerheten i sin informationshantering än den tänkta kunden hos SSC.
Hur stora koncentrationer av information ska hanteras är en fråga på nationell nivå där jag inte tror att säkerhetsskydd är lösningen.
I båda fallen har (eller skulle ha haft) kunden ett drygt arbete att analysera sitt säkerhetsbehov innan en tjänst kan tas i drift.
En from förhoppning är fortfarande att ta fram gemensamma skyddsnivåer till gagn både för kunder och leverantörer.
Ytterligare en önskan skulle vara att tydligare utgå från de tilltänkta kundernas situation och möta dem där de är.
Om ett nationellt ”e-arkiv” ska byggas upp bör behov och lösningar analyseras mycket mer noggrant.
Det handlar om både organisation, tjänster och infrastruktur.
De utredande ansatser som gjort av SSC övertygar mig inte om att denna myndighet är rätt instans för detta uppdrag.
Under en övergångsperiod menar jag att den realistiska lösningen är att upphandla tjänster.
En observation som kan göras är att den organisation som har till uppgift att göra upphandlingar är den som lyckas.
En lärdom av detta kan vara att uppmärksamma hur komplicerad själva upphandlingsprocessen är och att den bäst sköts av en organisation med expertkompetens.
Att ha icke-koordinerade lösningar mellan stat och kommun/region är olyckligt.
Eftersom informationen flödar mellan arkivbildare bör det konceptuellt vara samma typ av lösningar.
Här finns även möjlighet att ge stöd för de privata utförarna av offentliga uppgifter – ett område som nu tycks bortglömt.
Slutligen vill jag, som så ofta, understryka betydelsen av att Riksarkivet tar ett betydligt större ansvar för e-arkivfrågan.
Det gäller både operativt i rena kravställningar men också strategiskt.
Redan nu görs enorma informationsförluster vilket borde sporra Riksarkivet till att göra det till sin huvudfråga.
Föreställningen om att e-arkiv handlar om att överföra information från ett system till ett annat måste överges och de stora informationsarkitekturerna prioriteras.
För att lyckas med krävs mycket stora insatser.
Två viktiga steg menar jag är att befria SSC från uppdrag inom e-arkivområdet och att inse att det som nu kallas e-arkiv egentligen är ett informationshanteringssystem som inte löser den långsiktiga arkivfrågan.
Därefter bör ett nytt uppdrag skapas.
Grunden för ett sådant uppdrag bör vara att staten nu (och sannolikt inte under överskådlig tid)inte har förutsättning att utveckla informationshanteringslösningar i den omfattningen själv.
Att omforma eller kopiera SKI:s ramavtal så att även statliga myndigheter kan använda det är ett sätt att skapa förutsättningar för en mogen marknad där leverantörer kan se en långsiktighet som gör att de vågar investera i utveckling.
Tillägg 2019-02-10: Uppmärksamma läsare har hört av sig och sagt Kammarkollegiets ramavtal innebär en möjlighet för alla aktörer inom offentliga sektor att upphandla e-arkivlösningar för installation i den egna miljön.
Definitionen av e-arkiv är på samma sätt som övriga sparsmakad och på samma gång förbryllande, arkivarie som jag är har jag svårt att uppfatta skillnaden mellan arkivering och långtidsarkivering: Anbudsgivare ska erbjuda minst en programvara för e-arkiv för installation i kunds it-miljö.
Med e-arkiv menas en programvara för arkivering och långtidsarkivering av handlingar för installation i kunds it-miljö Naturligtvis borde jag nämnt avtalets existens.
Jag har dock redan i ett tidigare inlägg beskrivit hur jag försökt få svar på vilken säkerhet dessa leverantörer kan erbjuda utan att lyckas (ingen svarade).
Dessutom går ramavtalet såvitt jag kan se ut den sista november i år.
Att avtalstiden snart går ut ökar möjligheterna för att ta ett större grepp om frågan.

Riktlinje informationssäkerhet Anvisning för informationsklassicering Anvisning för informations- och it-säkerhet för medarbetare Sverige måste förstå att digitalisering inte är en lyxprodukt utan en kärnverksamhet.
En strategisk fråga blir att lyfta fram de förändringsagenter som finns ute i verksamheterna och helt enkelt vända på bevisbördan.
Det ska inte längre vara så att det är den som vill förändra som måste förklara sig utan snarare den som vill bevara det gamla.
Hur många av er upplever att juridiken stimulerar och möjliggör digitaliseringsresan inom hälso- och sjukvården?
Digitalisering skapar mervärde Man behöver förändra helheten – inte bara småändra i marginalen.
Då är risken att man lägger all kraft på en enskild lösning och inte på att förändra det som verkligen ger effekt Möt innevånaren/patienten tidigt genom digitala arbetsmetoder Om jag förstår det rätt ligger den här rekryteringssiten som en molntjänst där informationen ligger på Irland?
Använder siten Google Analytics?
Har det gjorts en riskanalys/informationsklassning innan man valde det här sättet att hantera informationen?
Har Försvarsmakten gjort rätt riskbedömning när det valt den här lösningen eller har de liksom många andra fallit för frestelsen och sett all fördelar finns med molntjänsterna och låtit detta få överhanden?
Om riskbedömningen är rimlig att hantera personuppgifter och andra uppgifter om exempelvis placeringar som annars uppfattas känsliga, dessutom i en omfattning som svindlar, i en molntjänst i det här sammanhanget – varför skulle det inte vara det i andra sammanhang som exempelvis i kommunal verksamhet?
Inför ett moratorium inom vård-it och inför inte några nya lösningar som inte är absolut nödvändiga.
Gör en heltäckande genomgång av säkerhetsbristerna inom den svenska vård-it.
Stärk Socialstyrelsens roll i förhållande till sjukvårdshuvudmän vårdgivare när det gäller vårdens informationshantering.
Detta bör även gälla myndigheter som främst ska leverera e-tjänster som E-hälsomyndigheten.
Utred hur ansvarsförhållandena för informationshanteringen i vården ser ut och hur de borde se ut.
En central fråga är det reella ansvarsutkrävandet.
Säkerställ att även det långsiktiga behovet av vårdinformationen beaktas, både den enskilda patientens behov och samhällets behov av informationen för forskningsändamål.
Ta fram en strategi och en arkitektur för den nationella nivån som inte bara är fluff.
Ta fram en gemensam styrmodellvården och låt den förvaltas av myndigheter – inte av intresseorganisationer eller utförare i första hand.
Skapa ett ackrediteringssystem för anslutning till den nationella arkitekturen.
Skapa verktyg för systematisk uppföljning av informationssäkerheten inom vård-it och lita inte på att tillsyn av enskilda organisationer skapar säkerhet.
Utveckla utbildningar för de somen i vården.
Utveckla ett forskningsprogram för informationssäkerhetsstyrning i miljöer med multilaterala ansvarsförhållanden.
Om vi särskiljer lagring och arkiv innebär arkiv den slutliga förvaringen av information som ska bevaras i hundra-, ja tusentals år.
Att införa e-arkiv är alltså inte något som kan vidtas med en händelsehorisont på tio år.
I den svenska myndighetsvärlden råder en viss begreppsanarki där ”arkiv” kan betyda olika saker som en lokal, en institution och en myndighets bestånd av allmänna handlingar vilket jag skrivit om bland annat En myndighet (inklusive kommuner och regioner) skapar och tar emot stora mängder information av vilka en del utgör allmänna handlingar som enligt huvudregeln ska bevaras för framtiden såvida inte ett formellt gallringsbeslut upprättas som sätter en gallringsfrist.
Gallring kan alltså ske efter olika lång tid vilket gör att viss information ska sparas för all framtid medan annan kan gallras efter viss tid.
För pappersbunden information har man därför ofta skapat för att avställa inaktuell information i väntan på långtidsbevarande respektive gallring.
Det är arkivmyndigheten som i huvudsak ska fatta gallringsbeslut.
Här finns dock en mycket stor skillnad mellan statliga myndigheter och kommuner/regioner.
För statliga myndigheter är Riksarkivet arkivmyndigheter medan i kommuner och regioner är deras egna styrelser som utgör arkivmyndigheter En arkivmyndighet har inte bara uppgiften att fatta gallringsbeslut utan även ansvaret för bland annat arkivvård och tillsyn.
I det nu aktuella sammanhanget är det en central förutsättning att när en arkivmyndighet tar hand om ett arkiv så är det också arkivmyndigheten som ”äger” arkivet.
Arkivmyndigheten ansvarar för utlämnande av allmänna handlingar och den ursprungliga arkivbildaren (d.v.s.
myndigheten som lämnat in) kan inte hålla på att rumstera om i informationen.
Trots att arkivredovisningen ska vara processorienterad och att vi idag har stora sammanhängande informationsinfrastrukturer med ett otal antal bärare är e-arkivfrågan fortfarande inriktad på att överföra informationsmängder från enskilda system för arkivering.
I den enkät jag gjorde 2018 bland myndigheter, kommuner och regioner var ett starkt intryck att e-arkivfrågan inte i någon högre grad kopplats samman med informationssäkerhet.
Få att de tillfrågade hade gjort informationsklassningar och riskanalyser, ännu färre kunde redovisa säkerhetskrav att ställa på e-arkiv.

OFFENTLIGHET en varför förutse autenticitet riktighet giltig bevisvärde inom all mellanarkiv en

Meny Inläggsnavigering

Bakgrund Vad skulle då upphandlas?
SKI Slutsatser

MENU MENU Postat av Postad i , , , , , Tagged , , , , , Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , , Tagged , , , , , , Postat av Postad i , , , , , Tagged , , , , , Postat av Postad i , , , Tagged , , , Postat av Postad i , , Tagged , , Postat av Postad i , , , , , Tagged , , , , Postat av Postad i , , , Tagged , , , , Postat av Postad i , , , , , Tagged , , , , , , Postat av Postad i , , , Tagged , , , , , , ← → Sök efter:

Konsulterna vårdresultat/kostnad=värde The Age of Surveillance Capitalism Om informationstekniskt bevis Juridik som stöd för förvaltningens digitalisering authenticity integrity Järnvägsresandets historia

Redan när jag under 1990-talet arbetade med informationshantering och informationssäkerhet i ett landsting (jag på den gamla goda tiden när det fortfarande hette landsting och inte regioner) blev den sköra balansen mellan landstingets eget ansvar och det nationella intresset tydlig för mig.
Det är inget okänt eller nytt problem som nördar med överdrivet förvaltningshistoriskt intresse (d.v.s.
De nya medicinska behandlingar liksom nya politiska vindar drev dock tillsammans med digitaliseringen fram en historiskt ny situation där de tidigare så inbillat självrådiga landstingen pressades åt två motsatta håll.
Å ena sidan blev det enskilda landstingets sjukvårdsverksamhet alltmer integrerad i ett nationellt landskap som bland annat bestod i att specialiserad vård koncentrerades till ”vårdhubbar” och en gemensam struktur i nivåer.
Å andra sidan en ökad fragmentisering med fler aktörer som kommuner, privata vårdleverantörer och fler tillsynsmyndigheter.
I detta skede skulle de institutionella förutsättningarna förändrats så att en stark styrning möjliggjorts.
Istället gjorde införandet av new public management att bristen på samordning nationellt trycktes ner till disparata krav för det enskilda landstinget att försöka pussla ihop.
Jag kommer fortfarande ihåg den lätta panik jag kände när jag ringde till Socialstyrelsen i en fråga rörande journalhantering.
Den hjälpsamma tjänstemannen meddelade att hen bara kunde ge stöd angående patientssäkerhetsaspekten i hanteringen av patientinformation.
För att få råd avseende integritetsaspekter i samma hantering var jag tvungen att vända mig till Datainspektionen, och nej, de två myndigheterna hade tyvärr inte tagit fram några gemensamma vägledningar.
Systemfelet att man inte på nationell nivå integrerar frågeställningar som delvis är i konflikt i det praktiska utförandet utan skjuter över det till de utförande organisationerna att lösa individuellt är verkligen inte unikt för vården.
På område efter område kan samma mönster urskiljas.
Jag har redan mer än en gång för mycket beskrivit den (icke-)existerande samordnade styrningen av säkerhet och digitalisering.
Jag har på senare tid börjat fundera alltmer på den heliga ansvarsprincipen som infördes på 1980-talet och då ersatte en centraliserad styrning av bland annat krisberedskap.
I och med detta försvann visserligen detaljkraven på enskilda verksamheter men också inbillar jag mig möjligheten att kunna mobilisera samhällsfunktioner med nödvändig överblick över helheten.
(Eftersom jag blivit alltmer nyfiken på tankarna bakom krisberedskap har jag börjat läsa litet, för andra med samma dragning kan en bra ingång vara den här ).
Kanske är det överblicken och systemtänkandet jag saknade mest när jag började arbeta på en samordnande myndighet.
Det var med en känsla av desillusion som jag tyckte mig se konkurrens och revirpink snarare än samarbetsanda hos de myndigheter som skulle samverka.
Min upplevelse var också att det fanns ett klimat där det var mycket svårt att ta varandras perspektiv och ännu mindre perspektivet hos dem som konkret skulle genomföra flertalet säkerhetsåtgärder, d.v.s.
de vanliga organisationerna.
Särskilt dystert kändes detta med tanke på hur väl övriga samhällsaktörer behövde en samordnad inriktning och gemensam säkerhetsarkitektur (inte bara teknisk) – något som faktiskt inte det enskilda landstinget eller kommunen kan åstadkomma.
För att inte drabbas av något ont öga vill jag återigen understryka att detta är min egen subjektiva upplevelse som säkert påverkades av mina högt ställda förväntningar.
De i det svenska statsskicket så självständiga myndigheterna föreföll också tämligen befriade från stark styrning från regeringskansliet.
Snarare tycktes en omvänd ordning råda där expertmyndigheterna hade starkt inflytande över de inte alltför seniora tjänstemännen på RK och därmed i vissa delar tycktes formulera sina egna uppdrag.
Hunnen så långt i mina reminiscenser dök tanken på Freja och hennes vagn dragen av katter upp.
Alla med minsta kännedom om katter kan föreställa sig vilket sjå Freja hade om hon skulle få vagnen att rulla framåt, en katt som lägger sig och vägrar röra sig, två som går åt två helt olika håll och till det massa stirrande och fräsande.
Men för att tänja på metaforen med Frejas vagn borde det vara en huvudfråga att vagnen med digitalisering, säkerhet och integritet rullar framåt.
Då måste dragarna röra sig i samma riktning och helst vara lämpliga för ändamålet.
Att samordning inte är svårt bara när det gäller de stora frågorna utan även i de mer konkreta metodfrågorna demonstreras i den frustrerande verklighet som de många som ska förverkliga intentionerna lever i. Efter att ha misslyckats med att få både intern och extern acceptans för en vägledning för informationsklassning började jag tänka om.
Informationsklassning är en metod som jag själv praktiserat i ett par decennier med en tydlig förutsättning: den måste leda fram till konkreta och säkerhetshöjande åtgärder.
Genom åren har jag sett många varianter av förslag på informationsklassning men mycket få som faktiskt tillämpats i praktiken.
Det har till och med förekommit på konferenser och seminarier att metoder presenterats som framgångsrika trots att de aldrig använts i någon organisation!
Informationsklassning i all ära men en stor del av säkerhetskraven är så generiska att det inte finns någon anledning att gå omvägen via klassningar.
Ta exempelvis det mycket aktuella exemplet med ”molntjänster” med vilket för närvarande avses Office 365 och liknande helt omfattande lösningar där i princip all administrativ information utom HR och ekonomi kan hamna.
Såvitt jag kan bedöma är det inte meningsfullt att genomföra enskilda informationsklassningar per verksamhet och inte heller per organisation (mer om det .)
När nu säkerhetsskyddslagstiftningen inför ytterligare klassningar (vilket jag skrivit om bland annat och ) blir uppgiften ännu mer omöjlig att genomföra.
Min slutsats är därför att informationsklassning faktiskt inte går att använda på det sätt som jag själv gjort i någon större skala utan att vi måste tänka om.
Jag tror dessutom att det vore en samhällelig suboptimering av rang att göra som eSam och andra myndigheter föreslår: att varje organisation själv ska göra egna informationsklassningar och riskbedömningar.
För mig vore det enda rimliga att de myndigheter som har formellt ansvar och de organisationer (som eSam) som tycker sig ha anledning att göra generella statements också bidrar till att lösa frågan och inte bara delar ut Svarte pettrar.
När jag slutade på MSB (där jag då var chef för enheten för systematiskt) för tre år sedan låg enhetens fokus på tre strategiska projekt: Såvitt jag vet hamnade projekten i malpåse men jag skulle vilja förklara den bakgrund till projekten som jag bedömer som varande fortfarande relevant.
En del var en ökande medvetenhet om hur NPM-tänkandet präglat även informationssäkerhetsområdet bland annat i form av en extrem decentralisering och fokus på mätning snarare än att skapa en sammanhållen och kostnadseffektiv arkitektur av säkerhetsåtgärder.
Exempel på detta är att den stora övertron till att ISO-standarden ska lösa problemen trots att den uttryckligen är inriktad på enskilda organisationers säkerhet och därmed har en stor potential för att ge olika svar i olika organisationer.
Ett annat är det lika överdrivna intresset för att samla in incidentrapporter utan att sedan riktigt veta vad man ska göra med dem.
Istället menar jag (fortfarande) en stark central styrning måste till och att tanken på standarderna som universallösningen måste överges.
Enkelt uttryckt måste vi förflytta oss från metoder som är skapade för att skapa resultat till styrning som ger ett enhetligt resultat i den gemensamma infrastrukturen.
Att skapa större enhetlighet inte bara vad gäller metod utan i faktiska säkerhetsåtgärder bör i sig vara ett mål.
Det vill säga att där det förekommer likartad information i likartade processer bör den om möjligt hanteras på ett enhetligt sätt.
Om man har detta som utgångspunkt finns i Sverige alldeles lysande förutsättningar för att nå snabba säkerhetshöjningar, något som nu inte alls tillvaratas utan snarare motarbetas.
Låt oss ta kommunerna som det kanske tydligaste exemplet.
Samtliga 290 kommuner har tio obligatoriska uppgifter som de ska utföra.
Det innebär att deras kärnverksamhet i består av tio i huvudsak likartade processer med i huvudsak likartad information.
Att söka skola eller byggnadslov ser ungefär likadant ut även om man kan ha olika organisationer, system och begrepp.
Genom att utnyttja den fördelen och skapa generiska processer inklusive informationsmängder kan man också ta fram informationsklassningar för kärnverksamheten som kommunerna kan utgå från liksom även skyddsnivåer där systemen som stöder processerna kan placeras in.
Detta är bara ett exempel på hur vi snarare har motverkat de stora fördelar som finns i likheten och skapat ett enormt maskineri av krav på att med bristfälliga resurser klassa samma information fast få fram olika resultat… Förutom den effektivitet och kostnadsreducering som skulle kunna vinnas med den här typen av styrning är den kanske mest centrala att det faktiskt skulle leda till bättre säkerhet.
De riskbedömningar, klassningar och skyddsnivåer som kan tas fram med experter på nationell nivå kan med stor sannolikhet, förutom att vara enhetliga, vara av en annan kvalitet än de som en informationssäkerhetsansvarig på 20 % i Söpple kommun har möjlighet att frambringa.
Här vill jag dock med all kraft understryka att den verksamhetskunskap som finns i företag, kommuner, regioner och myndigheter inte kan ersättas av säkerhetsexperter.
Nej, här det snarare frågan om en stark funktionell renodling där verksamheter står för verksamhetskompetensen och säkerhetsfunktioner står för säkerhetskompetens.
Och självklart kommer det att kvarstå verksamhet som är unik som måste hanteras av den egna organisationen.
Grunden var att försöka komma fram till hur man ska kunna skapa institutionella förutsättningar för att skapa en fungerande informationssäkerhet som dessutom är i samklang med både den planerade och den oplanerade digitalisering som pågår.
Jag vill betona betydelsen av institutionella förutsättningar i styrsystem eftersom det inom säkerhetsområdet florerar en underförstådd föreställning om regelstyrning både i den lokala organisationen och på nationellt plan.
Den kan tolkas som att det räcker med att bara säga till vad som gäller (regler) och sedan straffa eller skamma de som avviker från dessa.
Om detta har en säkerhetshöjande effekt eller inte har en underordnad betydelse.
Till och med vid framtagandet av föreskrifter är frågan om hur föreskriften ska få effekt en osynlig fråga.
För att belägga det räcker det att konstatera att det saknas en planerad uppföljning av föreskrifters genomslag inte tas fram.
Jag tror helt enkelt att säkerhetsområdet måste börja närma sig andra områden när det gäller styrning.
Detta behov blir än mer framträdande då det sedan ett par decennier är i allt högre grad privata aktörer som utför centrala delar av samhällsviktig och offentligt finansierad verksamhet.
I en situation av mer governance och mindre government blir rak regelstyrning mindre effektiv.
De institutionella förutsättningarna innebär inte bara regler utan också där beteendena bör förflyttas så att de överensstämmer med reglerna.
En viktig uppgift är alltså att hitta de mekanismer som kan underlätta denna förflyttning.
Ganska självklart men kanske för ofta bortglömt.
Styrningen beror alltså på att man väljer rätt metoder för att underlätta förflyttningen av beteendena.
Straff och tillsyn är ofta framlyfta incitament inom säkerhetsområdet men min uppfattning är att minst lika stort intresse borde vigas åt de positiva incitamenten som exempelvis överenskommelser, kunskapsstyrning och en positiv säkerhetskultur även på nationell nivå.
För att inte hamna i Frejas situation och ha en vagn spänd bakom trilskande kissar har jag tagit fram följande superförenklade bild över hur en gemensam styrmodell skulle kunna utformas.
Pilarna ovanifrån är verksamhetskrav för att styrmodellen ska utformas med de risker som finns i detta perspektiv.
Vad som inte finns med är hur styrmodellen ska samverka med myndigheternas krav på digitalisering – detta mest beroende på att jag funnit det omöjligt att hitta underlag för att beskriva hur denna styrning är avsedd att ske.
Här vill jag skjuta in att den här typen av modell även skulle leda till att relationen med leverantörer av tjänster för informationshantering skulle förbättras på ett antal nivåer.
För det första skulle kommunikationen vid upphandlingar kunna ske med stöd av skyddsnivåerna i modellen: kunden kan istället för egenhändigt utformad kravspec för säkerhet peka på vilken skyddsnivå systemet eller tjänsten ska uppfylla.
För det andra kan, om beskrivningarna i skyddsnivåerna är rätt utformade, leverantörerna bidra med lösningar med bättre säkerhet än vad kunderna skulle kunna formulera krav på.
Leverantörerna har trots allt som sin kärnuppgift att utveckla teknik vilket inte kunderna har.
För det tredje skulle det ge leverantörerna ett mått av förutsägbarhet som gör det värt att investera i utveckling av nya säkerhetslösningar.
För att bara ta några möjliga förbättringar.
Det skulle också innebära att man kan lyfta kretsloppet av ständig förbättring, PDCA-cykeln, från den enskilda organisationen till vår gemensamma informations- och it-struktur, med dessa exempel: Detta är bara en bråkdel som finns att säga om detta.
I ett senare inlägg kommer jag därför att beskriva förslaget ytterligare.
Observera fram till dess med tacksamhet att jag inte satt Operation Gyllenborst som namn på modellen.
2018 har varit ett bra år för mig personligen men knappast för världen i stort.
Jag kommer därför inte att ge några julgåvor, inte skicka några godiskorgar eller julkort utan istället investera litet pengar som ett mycket anspråkslöst sätt att påverka vår gemensamma framtid i rätt riktning.
Om andra får inspiration att göra detsamma – desto bättre!
Jag donerar därför 10 000 kronor till Civil Rig som arbetar för att försvara människors medborgerliga och politiska rättigheter och stärker människorättsförsvarare som är utsatta för risker.
Idag när grundläggande demokratiska värden ifrågasätts av allt fler känns detta som en organisation med större relevans än någonsin.
Det går att swisha valfri summa till 900 12 98 men man kan också bli månadsgivare.
Flera alternativ finns Det är lätt att glömma bort allt gott arbete som sker lokalt och som gör vårt samhälle bättre.
När man som jag lever ett kringflackande liv är det svårt att bidra till detta arbete i det dagliga men då kan man ändå stödja de fantastiska människor som varje dag gör livet litet bättre för människor.
Jag har därför valt att även ge 10 000 kronor till Världen i Värmland som är ett nätverk som arbetar för att förbättra situationen för unga människor som kommit som flyktingar till Värmland.
Nätverket samarbetar med flera av kyrkorna i länet, Röda Korset m.fl.
För den som också vill bidra till detta finns swish 123 262 5648 och bg 510-3338.
På facebook-gruppen med samma namn finns information om de många aktiviteter och insatser som görs.
(Jag kommer även att ge en summa till Djurskyddet som tar hand om katter i nöd men det säger jag inte för att undvika att framstå som en crazy cat lady…).
Annars önskar jag alla en god jul och ett gott nytt 2019 där allt blir litet, litet bättre!
Och att alla tar det litet lugnt och läser en god bok.
I augusti 2014 fick den då relativt unga myndigheten Statens servicecenter ett uppdrag av regeringen att i samverkan med Riksarkivet samt sju pilotmyndigheter utveckla och använda en förvaltningsgemensam tjänst för e-arkiv.
Efter dryga fyra år avbryter man nu upphandlingen med hänvisning att det endast inkommit en kvalificerad sökande och att priset är för Detta är mycket bekymmersamt.
I en fråga som varit akut i ett par decennier, nämligen det långsiktiga bevarandet av den information som genereras i myndigheter, kommuner och landsting, har myndigheter blivit intalade att det snart kommer en lösning på deras .
Så sent som för en månad sedan deltog Statens servicecenter på Arkivforum och trumpetade ut att man nu var i mål och att myndigheter skulle kunna ansluta sig till tjänsten inom ett halvår.
Det skulle vara frestande att ropa ”skandal” men det är intressantare att försöka analysera vad misslyckandet beror på.
Själv har jag redan tidigare skrivit om att hela upplägget var märkligt i framförallt två hänseenden.
För det första har det hela tiden saknats en övergripande strategi för det långsiktiga bevarandet av digitala handlingar.Det som kallats e-arkiv hos Statens servicecenter är bara en del i en större helhet som ännu inte finns beskriven.
Eftersom tjänsten enbart är ett mellanarkiv återstår fortfarande att skapa ett slutarkiv och min obesvarade fråga har varit varför ett mellanarkiv över huvud taget skulle vara intressant i ett digitalt perspektiv.
Om information ska överföras från arkivbildaren till en annan myndighet borde det rimligen ske på ett sätt där även slutarkivering ingår eller åtminstone är tydligt planerad.
Så är nu inte fallet och för mig förefaller detta bara vara ett prokrastinerande av en oundviklig uppgift.
Den andra frågan är sammanhängande med detta och handlar om Riksarkivets roll och varför information som ska långtidsbevaras först ska mellanlanda hos en annan myndighet.
Jag menar att Riksarkivet borde ta ansvaret för denna kärnuppgift i det egna området och beskriva hur ett digitalt mellanarkiv borde utformas för att passa in i en större helhet av bevarande.
Att överlåta detta uppdrag till en myndighet utan expertkompetens känns både ologiskt och som ett stort risktagande.
Det som upphandlingen slutligen fallit på är dock den bristande informationssäkerheten hos leverantörerna vilket framgår tydligt i det beslut som Statens servicecenter tagit angående att avbryta .
Av de åtta anbudsgivarna föll sex bort på grund av de inte uppfyllde kraven på informationssäkerhet, en drog sig ur frivilligt och den enda kvarvarande blev för dyr.
Att informationssäkerheten varit en, med ett understatement, underordnad fråga i e-arkivsammanhang är för mig uppenbart både utifrån den enkät jag gjorde i våras och ännu tydligare i de frågor jag ställt till leverantörer.
De leverantörer jag frågat och där det finns en stark korrelation med de som lämnat anbud till Statens servicecenter har inte kunnat svara på en enda fråga gällande säkerhet alternativt har aktivt beslutat att inte svara.
Detta förhållande borde blivit känt även för Statens servicecenter.
Jag har vid förfrågan inte fått ta del av de säkerhetskrav som Statens servicecenter ställt men i dokumentet som offentliggjorts om upphandlingen visar att flertalet leverantörer som lämnat anbud inte kan visa upp ens den mest elementära styrning av säkerhet i sina tjänster.
För mig är det mest förvånande att Statens servicecenter under fyra år drivit ett projekt med syfte att tillgodose myndigheterna med en e-arkivtjänst inte under denna tid vare sig lyckats med att genomföra en relevant marknadsanalys eller med att förmedla information till leverantörerna om informationssäkerhetens betydelse.
Har man verkligen trott att leverantörerna jobbar med informationssäkerhet utan att man behöver betona det eller har man bara kört på trots indikationer på att det inte fungerar?
Och detta efter Transportstyrelsen och alla de diskussioner som förts om molntjänster och outsourcing?
Nu kan en kritisk läsare tänka att utfallet beror på att Statens servicecenter ställt alldeles orimligt höga säkerhetskrav.
Min bedömning är den motsatta.
De fallerande anbudsgivarna uppfyller inte ens elementära säkerhetskrav som till exempel att ha en informationssäkerhetspolicy eller kunna visa vilka säkerhetskontroller man genomför.
Som sagt; jag har ingen aning om hur säkerhetskraven formulerats i upphandling eftersom det sekretessbelagts.
Men om leverantörerna inte ens har ett LIS eller kan beskriva hur det egna säkerhetsarbetet är organiserat måste dialogen mellan upphandlande myndighet och leverantörer gått allvarligt fel.
Detta är dessutom en upphandling som skett med så kallat förhandlat förfarande där den upphandlande myndigheten inbjuder utvalda leverantörer och förhandlar om kontraktsvillkoren med en eller flera av dem.
Dialogen har syftat till att utforma krav och villkor för om hur en förvaltningsgemensam tjänst för e-arkiv på bästa sätt kan utformas.Under dialogen har sökande presenterat och preciserat sin lösning i enlighet med inbjudan till respektive dialogomgång.
Sammanlagt har sex (6) dialogomgångar .
Projektet har alltså pågått i fyra år med dialoger med hugade leverantörer.
Ändå har man inte fått leverantörerna att inse att de åtminstone måste ha en basal informationssäkerhet för att kunna bli aktuella.
För mig bekräftar det mitt intryck av att e-arkivfrågan på alla nivåer varit tämligen konsekvent isolerad frånt.
I den aktuella upphandlingen har det lett till ett ofruktbart resultat för kunder och leverantörer trots nedlagda resurser.
Vad värre är – att arbetet med att ta fram andra lösningar för e-arkiv avstannat hos myndigheterna och därmed en stor förlust av tid.
I sin till regeringen förklarar Statens servicecenter att man inte lyckats upphandla en tjänst som är ekonomiskt försvarbar i förhållande till investeringen.
Man menar sig dock ha vunnit så viktiga erfarenheter av sina fyra projektår att man vill att regeringen ska ge ett nytt uppdrag till myndigheten för att utreda en lösning där Statens servicecenter upphandlar licenser för drift och lagring hos en annan myndighet.
Jag menar att denna tummetott i form av någon typ av erfarenhet inte bör motivera regeringen att ge Statens servicecenter ett fortsatt uppdrag.
Istället bör Riksarkivet få ett uppdrag att ta fram en strategi för långtidslagring av digital information, d.v.s.
omfatta både mellan- och slutarkiv.
Detta ingår inte specifikt i den pågående arkivutredningens trots att det ändå måste uppfattas vara arkivsektorns kärnuppdrag.
Därför bör ett separat uppdrag om detta formuleras som inkluderar arkivteoretiska, informatiska, tekniska, juridiska och organisatoriska aspekter men även på ett djupare plan den informationssäkerhet som måste inarbetas i lösningen.
En mycket omfattande men oundgänglig uppgift för utredningen är också att ta fram strategier för att lagra de allt mer komplexa informationsinfrastrukturer som byggs upp med både offentliga och privata aktörer.
I dag tycks fortfarande e-arkiv ofta handla om att ”arkivera” enskilda system trots att det inte är så verkligheten ser ut.
Man kan tycka att detta i onödan drar ut på tiden men för mig är detta en nödvändig grund för det digitala långtidsbevarandet och i förlängningen det digitala samhället.
När utredningen är klar och beslut fattats om inriktning bör expertmyndigheten Riksarkivet vara beställare av de tekniska lösningarna där mellanarkivet kanske kan vara förlagt hos Försäkringskassan.
Slutarkivet måste dock, anser jag, finnas hos Riksarkivet.
I detta kan jag inte se att Statens servicecenter kan spela någon väsentlig roll.
Och återigen är mitt credo: är det någonstans informationssäkerhet behövs så är det i e-arkiv!
Det har knappast gått någon förbi att det under några år nu rasar in nya eller nygamla regleringar gäller olika aspekter av informationssäkerhet: dataskyddsförordningen, lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet), ny säkerhetsskyddslag och sedan litet civilt försvar på det.
Samtliga av ovanstående regleringar ”drabbar” primärkommunerna.
En egenhet för primärkommunerna generellt är att kravbördan inom alla områden drabbar samtliga kommuner lika hårt oavsett om de har 4000 invånare eller 900 000.
Detsamma gäller för ovan nämnda nya lagar.
Kommunerna har den, vid sidan om sjukvården, mest komplexa kravbilden på informationssäkerhet i samhället redan från början i kombination med att flertalet av små och medelstora kommuner alltför ofta helt eller delvis saknar den kompetens som behövs för att hantera situationen.
För att uppnå målbilden; ett säkrare Sverige, behöver de ansvariga myndigheterna därmed anstränga sig till det yttersta för att ge ett stöd som fungerar till kommunerna.
Att inta en hållning av typen ”det är deras eget ansvar” är helt meningslöst och kontraproduktivt eftersom det objektivt sett saknas förutsättningar för att de skulle kunna lyckas med det.
Ytterligare en aktör i detta är SKL som under senare påtagit sig ett allt större operativt ansvar i frågor bland annat av denna typ.
Nu är det alltså litet upp till bevis-läge.
Jag ska därför göra en liten kontrollrunda för att se vilken information och stöd Söpple kommun kan räkna med när det gäller NIS och därefter göra en sequel om säkerhetsskyddslagen.
Först en kort bakgrund.
NIS-direktivet antogs av Europaparlamentet 2016 och den svenska lag som följden av detta, lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, trädde med tillhörande förordning i kraft 1 augusti 2018.
Målsättningen med direktivet och följaktligen med lagen är att hög gemensam nivå på säkerhet i nätverk och informationssystem.
Lagstiftningen är inriktad på de nätverk och informationssystem som stödjer samhällsviktiga tjänster i sju sektorer (energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten, digital infrastruktur) samt i digitala tjänster.
Det är inte i en begreppsvärld klar som ett vårregn vi rör oss i här vilket gör att jag hänvisar den intresserade till definitionerna i lag och förordning för att själv bilda sig en uppfattning om den exakta betydelsen i begreppen.
Viktig avgränsning är att lagen inte gäller för verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen.
Däremot gäller den för både offentlig och privat verksamhet.
För att uppnå bättre säkerhet är de främst två krav lagen riktar in sig på.
För det första ska leverantörerna av samhällsviktiga tjänster bedriva einklusive riskanalyser och incidenthantering.
Av någon anledning betonas det särskilt att man också ska vidta åtgärder för att reducera de risker man upptäcker(!).
Man skulle kunna tycka att det är en ganska självklar del i emen lagstiftaren känner ändå att detta måste påpekas.
För det andra är det universalmedlet incidentrapportering som jag i förtroende vill meddela att jag tror är tecknet på att det offentliga säkerhetsarbetet har fastnat i en NPM-fälla.
Det vill säga att tvinga ett antal decentraliserade verksamheter att rapportera in uppgifter som man inte sedan vet vad man ska göra med.
Lagen innehåller också nyheten att leverantörerna av samhällsviktiga och digitala tjänster ska tillsynas vilket i sin tur bygger på att de som lagen berör själva ska anmäla sig till tillsynsmyndigheten.
Om så inte sker, om man inte vidtar korrekta säkerhetsåtgärder eller inte rapporterar incidenter kan en sanktionsavgift tas ut av tillsynsmyndigheten.
Efter dataskyddsförordningen kan ordet ”sanktionsavgift” väcka viss panik men i lagen om informationssäkerhet för samhällsviktiga och digitala tjänster sägs En sanktionsavgift ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor.
10 miljoner kan ju vara skrämmande för en liten kommun men för en större organisation kan det som en summa värd att gambla med.
Vad som är skrämmande är att det inte är en tillsynsmyndighet utan sex förutom MSB: Sammanfattningsvis är min bedömning att det är minst lika omfattande krav som ställs i den här lagen som i dataskyddsförordningen.
Att bedriva ett systematiskt och riskbaseratär en mycket komplex uppgift som de statliga myndigheterna inte lyckas leva upp på något särskilt övertygande sätt trots att kravet funnits i föreskrift i snart ett decennium.
Nu vidgas kretsen som skulle uppfylla den målbilden till även kommuner och landsting vilkas möjlighet att realisera den är långt, långt sämre än de statliga myndigheternas.
Och så till ett stort antal företag som kommer att ta in kravet i sin affärsplanering och vara extremt intresserade av att förstå exakt vad som krävs eftersom säkerhet kostar.
Missförstå mig rätt.
Jag är den första att hävda nödvändigheten av att bedriva eoch då särskilt i kommuner och landsting.
Hur starkt jag än uttrycker den övertygelsen framstår det som ett understatement.
Men för att uppnå detta måste man förstå förutsättningarna.
Jag ska därför här göra ett litet tankeexperiment för att försöka förstå hur den nya lagstiftningen landar i en medelstor kommun som vi kan kalla Söpple kommun.
En första observation är när vi tittar på de obligatoriska uppgifterna för en kommun är att Söpple kommun kommer att få fem tillsynsmyndigheter: Energimyndigheten eftersom man har ett kommunalt elbolag, Transportstyrelsen eftersom man har kommunal kollektivtrafik, IVO eftersom man bedriver hälso- och sjukvård bland annat inom äldrevården, Livsmedelsverket eftersom man producerar och levererar dricksvatten och PTS eftersom man har ett stadsnät (jag har inte här gjort någon skillnad på om det är kommunala bolag).
Söpple kommun måste alltså vara beredda på att dessa fem olika myndigheter kan komma på tillsynsbesök.
Vilka förutsättningar har då Söpple kommun som med sina 24 000 invånare kan sägas vara en normalstor kommun.
I kommunen finns ingen informationssäkerhetsansvarig utan frågan ligger under it vilket också är normalt men olyckligt.
Man har påbörjat en sondering med två grannkommuner för att gemensamt kunna inrätta en tjänst som informationssäkerhetssamordnare vilket suttit hårt åt eftersom varje utgift ställs mot personal i äldreomsorgen.
Tyvärr har man redan insett att även om man lyckas få beslut om medel för en sådan tjänst kommer det att bli extremt svårt att hitta en sökande som både har kompetens och är villig att flytta till Söpple.
Sannolikheten för att hitta någon i kommunen är mycket låg, det finns inga utbildningar för att snabbt utbilda en redan anställd och de som finns på marknaden kan definitivt få bättre betalt än i kommunal verksamhet.
Jag vill bara här återigen understryka att informationssäkerhet i en kommun är på en svårighetsgrad som få informationssäkerhetsansvariga i statlig verksamhet någonsin råkar ut för så är det någonstans kompetens verkligen behövs så är det i kommunerna.
Både tjänstemannaledningen och den politiska ledningen i Söpple kommun är yrvakna.
De har inte hört talas om något NIS-direktiv och har precis tagits sig igenom pärsen med dataskyddsförordningen.
Min hypotes om okunskapen i Söpple bygger jag på att det är just det förhållande som jag stött på när jag varit i kontakt med ett stort antal kommunala företrädare.
För att göra en bedömning om varför beredskapen inför NIS är så låg så gjorde jag i förra veckan en rundvandring på MSB:s och de övriga tillsynsmyndigheternas samt SKL:s webbplatser för att se vilken information som fanns om NIS där.
På MSB:s webbplats finns en sida med undersidor som i huvudsak bygger på vad som står i lag, förordning och MSB:s . Hur olika aktörer ska göra för att de ska kunna klara en tillsyn står det däremot mycket litet om, där hänvisar man till det så kallade Metodstödet som på en tämligen abstrakt nivå går igenom olika aktiviteter som kan ingå i ett systematiskt säkerhetsarbete.
Vällovligt men inte särskilt användbart för en kommun med de mycket konkreta frågor som måste lösas i detta sammanhang – bara en sådan sak som att hantera nämndorganisationen… Ytterligare en komplikation är att man tungt lutar sig mot en standard som inte är fritt tillgänglig, något som kan bli mycket besvärligt när tillsynsaktiviteterna sätter igång.
Det går liksom inte att kräva att varje organisation som ska tillsynas måste köpa standarderna för att veta vad de är tvungna att göra.
Skyldigheterna måste framgå av föreskriften och vara möjliga att granska även i ett offentlighetsperspektiv.
Övriga tillsynsmyndigheter har inte heller de såvitt jag kan se ingen information riktad till kommunerna specifikt.
I vissa fall tycker jag dock att den generella information de erbjuder är överlägsen den som finns på MSB:s webbplats som Energimyndighetens frågor och svar som ger rediga besked i en del kniviga .
Mest sparsmakad är kanske IVO som egentligen bara konstaterar att man är Inte heller SKL erbjuder sina uppdragsgivare något överflöd av information i . Webbplatserna gav alltså inte något bra stöd för Söpple kommun att ta tag i frågan men det är kanske inte den vägen som är den primära för att sprida information till kommunerna – för att börja söka där måste man ju först veta att det finns ett NIS-direktiv.
Jag skickade därför ett mail till MSB.
PTS, Livsmedelsverket, Energimyndigheten, IVO och Transportstyrelsen med följande lydelse: Hej!
Jag skulle vilja ta del av information angående lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet) som x (d.v.s.
den aktuella myndigheten) skickat direkt till kommuner.
Samma meddelande lade jag in i frågelåda på SKL:s webbplats och jag kan redan nu avslöja att jag inte fått något svar på detta.
När det gäller myndigheterna kan man sammanfattningsvis säga att det endast är MSB som skickat ut någon information direkt till kommunerna och då inte till kommunerna specifikt eftersom det handlar om missiven till föreskrifterna när de gått ut på remiss.
Detta skedde sista augusti.
MSB har deltagit i en träff i nätverketkommuner (KIS) och har en frågelåda på webbplatsen där man kan skicka in mail.
Dessa frågor är dock inte ännu synliga för någon annan än den som skickat frågan.
Livsmedelsverket har tagit fram en broschyr som man delat ut på en konferens om dricksvatten.
I övrigt säger sig tillsynsmyndigheterna invänta att MSB ska samordna dem.
Så här fyra månader efter att lagen trätt i kraft är det svårt att inte jämföra med hur vi blev fullständigt översköljda från olika håll med information om dataskyddsförordningen.
Datainspektionen måste faktiskt få en eloge för att man redan ett par år innan det äntligen blev 25 maj 2018 byggde upp informationskanaler både IRL och på sin webbplats.
Jag kommer med särskild glädje ihåg en realtidschatt för kanske två år sedan då det gick att ställa alla möjliga frågor till myndighetens kunniga jurister.
För aktiva personuppgiftsansvariga har det varit fullt möjligt att planera och bygga upp de nödvändiga funktionerna i sin organisation.
Att det sedan inte alltid blivit så är en annan fråga.
Att Datainspektionen bedrivit ett aktivt informationsarbete i god tid innan dataskyddsförordningen blev verklighet gör att de tillsyner man raskt kommit igång med känns rimliga.
Samma sak kan inte sägas i fallet med NIS-direktivet som trots att det varit känt på central nivå i flera år inte alls åtföljts av samma förberedelser.
Utifrån vad jag hittills sett kan mycket väl frågan fortfarande vara helt okänd i Söpple kommun men även hos andra både offentliga och privata aktörer.
Nu verkar ju inte tillsynsmyndigheterna kommit igång än vilket måste vara lika bra sett till det rådande läget när det gäller information och stöd.
Meningen med tillsyn är inte att skapa ett blame game och inte heller innebär tillsyn i sig några förbättringar om det inte tydligt framgår vad som ska göras (jag hävdar detta med viss emfas efter att ha jobbat med tillsyn ett antal år).
Tyvärr tycker jag mig spåra en omedveten trend inom både säkerhet och digitalisering att information från myndigheter främst sker muntligt på konferenser m.m.
Förutom den otydlighet och det breda tolkningsutrymme som övergivandet av skriftlig information innebär gör det att informationen inte når utanför de invigdas krets.
Det är inte heller möjligt att fördjupa sig, gå tillbaka, sprida vidare och att ha kontroll över att det är korrekt information som förmedlas.
Nu när olika lagstiftningar dessutom ska samexistera i en mängd organisationer krävs betydligt djupare resonemang än de som kan förmedlas via en power point-presentation.
För att göra en u-sväng i mitt argumenterande kanske det finns fördelar med att det ännu spridits information och stöd gällande lagen om informationssäkerhet för samhällsviktiga och digitala tjänster.
Nu kanske det finns möjlighet att ta ett nationellt ansvar och samordna de olika regleringarna så att inte varje kommun behöver sitta och försöka få ihop olika lagstiftningar och hur de ska uttolkas för den egna verksamheten?
Låt oss hoppas det.
För att de här nya regleringarna dels ska få genomslag, dels leda till säkerhetshöjande effekter krävs mycket tydlig information om som ska göras till som ska göra något samt stöd för det ska göras, d.v.s.
Dessutom, snälla, behövs samordning så att det blir en enhetlig kravbild.
Utan starkt stöd, gemensam prioritering och samordning kommer Söpple kommun vare sig att klara NIS-direktivet eller säkerhetsskyddslagen.
För kommuner som Söpple där egen kompetens i hög grad saknas tror jag att vi måste tänka mycket mer i fasta skyddsnivåer och ett mycket välutvecklat centralt stöd för att det inte bara ska bli både dålig säkerhet och dålig stämning.Men vem är det då som ska ta ansvar för helheten?
Kanske behövs det rent av en ny informationssäkerhetsutredning som utgår från verklighetens utförare av informationssäkerhet och vad de behöver för att klara uppgiften?
Jag tror helt enkelt vi har råd att leva i en drömvärld där olika aktörer oberoende av varandra pekar på vad de vill ha men ingen talar om för Söpple kommun få ihop det i den egna verksamheten.
Förtydligande: jag har efter jag publicerade detta fått ett påpekande att kommunens stadsnät sannolikt inte faller under NIS men däremot under lagen om elektronisk kommunikation (LEK) som har likartade krav som NIS.
Effekten för Söpple kommun blir alltså ungefär densamma i slutändan.
Eftersom frågan om spårbarhetens vara eller icke vara som en självständig aspekt av informationssäkerhet är återkommande diskuterad ska jag här göra ett inlägg i frågan.
Bakgrunden är den så kallade CIA-triaden som kommer från engelskans Confidentiality, Integrity och Availability vilket ofta på svenska översatts till konfidentialitet, riktighet och tillgänglighet.
Detta är kanske inte en optimal översättning vilket möjligen är en delorsak till de olika uppfattningar som finns om hur detta ska tolkas.
Huvudorsaken skulle jag dock vilja hävda att det med förvånande kraft hävdas att det bara finns en möjlig beskrivning av vad arbetet med informationssäkerhet syftar till och att det fångas i den svenska definitionen.
Vi (inte så få) som vill problematisera begreppen för att få dem mer anpassade till de behov vi uppfattar finns möts av tystnad.
För att ge så gott underlag som möjligt för en diskussion ska jag försöka vara tydlig och transparent som möjligt i min argumentation och hoppas att få svar i samma anda.
Utgångspunkten för mitt resonemang är ett statement som jag mer uppfattar som en dogm och som ofta formuleras som kofindentialitet, riktighet och tillgänglighet är den verkliga kärnaspekterna i informationssäkerheten och att spårbarhet är en osjälvständig stödfunktion till de övriga tre.
Nyligen såg jag det formulerat som fast sats: konfidentialitet, riktighet och tillgänglighet är tillstånd, spårbarhet en förmåga.
Vare sig eller kan härledas ur ISO/IEC 27000:2018 (ordlistan för 27000-serien) som genomgående använder property som exempelvis: property of accuracy and completeness Property kan översättas som egenskap.
Inte heller i den terminologi som tagits fram av en arbetsgrupp i SIS: Teknisk Rapport SIS-TR 50:2015 (kan tyvärr inte länka eftersom den inte är fritt tillgänglig) återfinns tillstånd respektive förmåga i denna betydelse.
I rapportens inledning står det: Informationssäkerhet handlar därför om hur informationens konfidentialitet, riktighet och tillgänglighet ska bevaras så att organisationens krav kan uppfyllas.
Dessa egenskaper kompletteras ibland även med en eller flera andra egenskaper, såsom spårbarhet, oavvislighet, ansvarighet, autenticitet och auktorisation.
Här definieras alltså konfidentialitet, riktighet och tillgänglighet som men så även bland annat spårbarhet.
I övrigt förekommer begreppet tillstånd litet här och var men aldrig på det sätt som i satsen ovan.
Närmast kommer man i beskrivningen av informationssäkerhetsmodell: Enheterna i ett system indelas i logiska grupper av subjekt (användare och deras processer), objekt och resurser.
Egenskaper hos ett önskvärt, ”säkert” tillstånd definieras och det visas att varje tillståndsövergång bevarar säkerheten vid övergång från ett till-stånd till ett annat.
Ett säkert tillstånd kräver att samtliga tillåtna åtkomstfall överensstämmer med fastställda säkerhetsregler.
Jag tolkar denna beskrivning liksom de andra tillstånd som ändå förekommer i handboken (exempelvis av redundans, anonymitet m.m.)
som en sammansatt helhet som resulterar från flera/många säkerhetsaktiviteter.
Riktighet definieras exempelvis som endast: skydd mot oönskad förändring vilket jag gissar ska läsas med en koppling bakåt till inledningen; att det är en eller möjligen en funktion.
Synsättet att det finns etablerade definitioner som ”tillstånd” respektive ”förmåga” verkar vara en uppfattning som får anses begränsat till vissa företrädare i Sverige som inte har stöd i den terminologi som tagits fram.
Detta synsätt verkar inte hämtat från något internationellt etablerat sammanhang vilket det räcker att göra en slö koll på Wikipedia för att upptäcka.
I artikeln Informations security anges som key concepts som första punkt CIA- triaden med följande beskrivning The CIA triad of confidentiality, integrity, and availability is at the heart of information security.
Inte heller i den svenska akademiska diskussionen förefaller det finnas konsensus eller ens en särskilt omfattande diskussion om CIA-begreppen.
Det gör att jag särskilt höjer på ett ögonbryn då akademiker på högre nivå utan närmare förklaring anammar satser som den ovan beskrivna utan förtydliganden.
Jag är helt enig i att detta är ett key concept – då borde det förtjäna en behandling på akademisk nivå som motsvarar dess betydelse.
Fördelen med att det saknas etablerade och allmänt accepterade definitioner är att det skapar en frihet att undersöka vilket förhållningssätt som är mest ändamålsenligt och samtidigt logiskt konsistent åtminstone på en basal nivå.
Personligen finner jag inte begreppen tillstånd respektive förmåga som särskilt tydliggörande men möjligen kan en begreppsmodellering där tankarna om detta redovisas på ett öppet sätt uppenbara en logik som jag missat.
Om vi ändå i detta sammanhang kan utgå från att det finns ett antal egenskaper som är centrala för att skapa god informationssäkerhet så är nästa fråga vilka dessa är.
Inte heller här råder den fullständiga enighet om CIA-triaden vilket man ibland kan förledas att tro.
Parkerian Hexad konstruerades redan 1998 av som adderade tre aspekter till den ursprungliga triaden: Authenticity, Availability och Utility.
Även aktuella svenska exempel på kritisk diskussion om CIA triaden.
Det av MSB finansierade forskningsprojektet SECURIT landade bland annat i antologin där ett bidrag ( av Björn Lundgren) starkt ifrågasätter CIA-triaden.
Jag kanske inte är helt övertygad om den modell som forskaren anser borde ersätta CIA-triaden men i detta sammanhang är det ändå viktigt att poängtera att det är väl värt att diskutera frågan.
ISO 27000 öppnar ju också upp för att triaden kan kompletteras med ytterligare egenskaper vilket också sker exempelvis i själva standarden i avsnittet om kryptering.
Noterbart är att ISO-standarderna inte har en konsistent hantering av begreppen sinsemellan trots att de riktar sig mot samma objekt (i detta fall informationshantering).
I SS-ISO 30300 (hantering av verksamhetsinformation) anges målen vara vilket är snubblande nära ISO 27000 men med andra definitioner.
I SS-ISO 15489 (Dokumenthantering) är ett tillkommande mål autenticitet.
Här bör en begreppsmodellering göras, särskilt som SS-ISO 30300 börjat spridas främst genom SKL.
Även här finns alltså ett behov av att göra sig redo för att öppna upp och diskutera om och hur centrala begrepp ska användas.
Själv menar jag att det finns skäl för att se närmare även på autenticitet men här ska jag koncentrera mig på spårbarhet.
Istället för att som nu negligera spårbarhetsbegreppet finns det anledning att lyfta upp det och se hur dess betydelse ökat under de senaste årtiondena och detta i flera dimensioner.
För det första är det den mest självklara dimensionen att på ett säkert sätt kunna följa vad som hänt i informationshanteringen både som en följd av mänsklig aktivitet och som tekniska händelser.
I det allt mer transaktionstäta informationsflödena där en mängd aktörer är detta en alltmer central funktion.
Här gäller detta att även uppfatta egenskapen spårbarhet som en negation, det vill säga att undvika spårbarhet till exempel som skydd för den personliga integriteten.
För att bara räkna upp några krav som inte endast omfattar informationens konfidentialitet, riktighet eller tillgänglighet utan där det också ställer krav på en hög grad av spårbarhet: Kraven på spårbarhet har också en tydlig koppling till konkreta säkerhetsåtgärder där loggning är den främsta åtgärden för att skapa spårbarhet i it-tjänster.
Loggning sker även i ett antal andra typer som i inpasseringskontrollssystem, telefoni, chatt och andra kommunikationslösningar.
I den manuella informationshanteringen kan det behöva finnas rutinerna som bland annat kan omfatta signering, vidimering, kontrollerad versionshantering och kvittensförfarande.
Observera också att om dessa åtgärder inte kan matchas mot ett definierat krav på spårbarhet kan det innebära stora merkostnader, inkräktande på den personliga integriteten och ytterst leda till lagöverträdelser om det inte går att motivera åtgärden.
För att illustrera behovet inom den samhällsviktiga verksamheten sjukvård finns det gott stöd att hämta i det paper som presenterades av Ella Kolkowska, Karin Hedström och Fredrik Karlsson vid Örebro University på en konferens redan 2009: (tillgängligt via DIVA).
Spårbarheten är alltså direkt kopplad till målsättningen för kärnverksamheten och ytterst till patientsäkerheten.
Att då som SKL ta bort spårbarheten ur sitt klassningsverktyg förefaller inte direkt som att anpassa säkerheten efter verksamhetens behov och inte heller att värna sina medlemmars intressen.
Observera också att spårbarhet inte enbart handlar om att spåra användares aktiviteter utan själva informationen.
Här finns en naturlig övergång till de andra syften som spårbarheten kommer att behöva tjäna i allt högre grad.
Den första är för att skapa autenticitet, en kvalitet som blir allt mer uppenbart nödvändig.
Spårbarhet är en tydlig faktor för att kunna skapa autenticitet och oavvislighet vilket är ett krav från arkivsidan.
I den informationshantering som sker i offentlig sektor borde alltså rimligen spårbarhet upphöjas till triadnivå, särskilt sett till kravet på rättssäkerhet och att kunna tillhandahålla information för forskningsändamål.
Jag lämnar nu autenticiteten i förhoppningen att övertygelsen om betydelsen är väl känd.
Istället ska jag skriva om något som tilltar ännu mer i betydelse, nämligen möjligheten att reproducera information.
Idag sammanställs den information som visas på skärmen från ett växande antal källor, olika tjänster och applikationer.
För att kunna reproducera information såsom den såg ut vid ett visst givet tillfälle kommer att krävas allt mer avancerade funktioner av spårbarhet.
Den som har följt ett it-avbrott på närmare håll vet att den inte enbart leder till tillgänglighetsproblem utan även till en rad andra negativa konsekvenser.
En sådan är att man ofta får versionsproblem där blir svårt att säkerställa vilken den senaste versionen av olika informationstyper var.
När fel version av en delmängd körs kan det skapa mycket stora problem där hela tilltron till informationslösningen kan gå om intet.
En fatal variant är när information förlorats utan att det går att spåra att den försvunnit.
För att sammanfatta: jag kan inte se att det finns något stöd för att begreppen tillstånd respektive förmåga är etablerade som beskrivning för olika aspekter av informationssäkerhet utan snarare att skulle vara det mest använda internationellt begreppet vilket också används i ISO 27000.
Det görs heller ingen hierarkisk skillnad mellan egenskaper av den typ som framgår i uppdelningen tillstånd/förmåga.
För att försöka vara vitsig är det svårt att spåra var uppfattningen om tillstånd/förmåga har uppstått och på vilka grunder.
CIA-triadens uppräkning av egenskaper är återkommande diskuterad och kan kompletteras vid behov även enligt ISO 27000 med till exempel spårbarhet.
I detta sammanhang vill jag understryka att en portalprincip i ISO 27000en ska anpassas till verksamhetens behov, det är alltså inte standarden i sig som skapar låsningar.
Om en uppfattning är att standarden kan anpassas till verksamhetens/samhällets behov menar jag att det gör det omöjligt att använda standarden som stöd för nationell (eller lokal) styrning av informationssäkerhet.
Det finns ju liksom inget egenintresse i att följa en standard.
Det skulle behövas en riktigt djupborrande analys på flera nivåer av hanteringen av aspekten spårbarhet i Sverige.
Jag när fortfarande ett hopp om att de som ger uttryck för starka åsikter gällande spårbarhet kan ta sig tiden att utveckla hur de tänker och inte bara konstatera sin uppfattning.
Detta är inte bara en teoretisk tankelek utan frånvaron av spårbarhet eller motsvarande som styrmedel för informationssäkerheten får mycket allvarliga konsekvenser för bland annat hälso- och sjukvård men även för förmågan att upprätthålla kontinuitet, för dataskydd och för det långsiktiga bevarandet.
Ett särskilt problem ligger i att det inte går att ta del av vare sig de resonemang som ligger bakom olika ställningstaganden eller själva standardtexterna eftersom de inte fritt tillgängliga trots att de utgör underlag t.o.m.
för föreskrifter.
Denna bristande offentlighetsstruktur har jag skrivit ett annat blogginlägg om Ett typiskt tecken för en dogm är att bevarandet av dogmen är viktigare än de negativa konsekvenser dess tillämpning får.
Jämför exempelvis med katolska kyrkans dogm att preventivmedel inte är tillåtna.
Dogmen är orubbad trots de uppenbara negativa konsekvenser detta får i form av könssjukdomar och oönskade graviditeter vilket i sin tur leder till illegala aborter med oerhört lidande och död.
I fallet med katolska kyrkan går det ändå att se vem som har ansvar för dogmerna med de dödliga konsekvenserna men vem tar ansvar för dogmer inom informationssäkerhetsområdet och de eventuella konkreta följder de kan få?
Informationssäkerhet är inte en religion och vi har inget stöd av högra makter (tror jag).
Därför när jag en from förhoppning att vi gemensamt ska försöka eliminera de drag av dogmatism som ändå florerar.
För att hantera de enorma säkerhetsutmaningar vi står inför har vi inte råd att bygga säkerhetsåtgärder på resonemang som inte tål att prövas utan vi kommer istället att behöva pröva våra intellekt till det yttersta för att åter och åter hitta de bästa lösningarna.
Och vi måste inse att detta inte är teoretiska övningar utan de val vi gör leder till goda eller mindre goda resultat i praktiken och där det ligger ett stort ansvar på oss som arbetar med informationssäkerhet.
Slutligen kan jag inte undgå att tycka att myndigheter inom informationssäkerhetsområdet är de som tillsammans med akademin måste ta ett särskilt ansvar för bryta ner dogmer och bygga kunskap som samhället kan använda.
Nu ser jag fram emot en mängd kloka motargument!
Sedan jag skrev mitt förra blogginlägg där jag förordade att vi borde införa en starkare gemensam styrning av informationssäkerheten bland annat i form av gemensamma skyddsnivåer samt t.o.m.
ett gemensamt ledningssystem har jag flera gånger fått frågan ”har du kollat på KLASSA?”.
Svaret är ja, det har jag och till och med skrivit på bloggen .
Sedan dess har det skett en viss men som jag ser det så kvarstår de huvudproblem som jag skrev om i det tidigare inlägget.
Att man dessutom tagit bort spårbarhet som en bedömning i klassningen gör ju inte saken direkt bättre (vilket också ett antal personer verksamma i landsting och kommuner upprört framfört till mig).
De mest övergripande invändningarna jag hade var att verktyget bygger på att man klassar system, inte information, och att säkerhetskraven är alldeles för glesa.
Detta kan menar jag leda till att man snarast skapar säkerhetsproblem än förebygger dem eftersom en organisation kan bli invaggad i en falsk trygghet av att ha vidtagit åtgärder när de i själva verket är otillräckliga.
Dessutom stöds samma aktivitet ofta av samma eller snarlik information på olika bärare som i detta exempel från en tämligen harmlös anställningsaktivitet direkt hämtad från verkligheten: Om man då fragmentiserar klassandet till att endast omfatta informationen då den exempelvis befinner sig i rekryteringsverktyget missar man ju att skydda samma information då den förekommer i andra sammanhang.
Ju fler olika typer av tjänster och bärare som används desto viktigare blir det att ha kontroll över informationen oavsett var den befinner sig.
Med tanke på att verktyget är framtaget för kommunal verksamhet blir man litet brydd i detta hänseende när man tänker på vissa av de mest känsliga verksamheterna.
Ta till exempel överförmyndarna där konfidentialitet, riktighet och spårbarhet är oerhört viktiga för att verksamheten ska kunna bedrivas.
Överförmyndarnas informationshantering sker i en komplex mosaik av bland annat enskilda beslutssystem, lagringsytor, papper och mail.
I detta sammanhang är det självklart helt otillräckligt att bara genomföra en systemklassning av ett ärendehanteringssystem.
Man skulle kunna invända att överförmyndarna är en liten och unik verksamhet med specifika krav där man inte kan förvänta sig att generella metoder ska kunna fungera.
Visserligen svarar jag men i grunden gäller detta för de flesta verksamheter inom en kommun eller landsting eller t.o.m.
med en statlig verksamhet oavsett omfattning.
Kraven på säkerhet ligger på alla de bärare, inte bara det som en händelse definieras som ett ”system” (vilket dessutom är alltmer oklar definition sett till dagens tekniska utveckling).
Återigen vill jag propagera för att istället se det som att system och tjänster ska certifieras för att klara vissa skyddsnivåer – inte klassas.
Bortsett från kvaliteten på metoden för klassningen funderar jag över det i mitt tycke oproportionerliga intresse som finns för klassning och incidenthantering.
Samt att detta intresse tar sig uttryck i att klassning respektive incidenthantering ses som fristående aktiviteter och inte som delar i en större helhet.
Det fragmentiserade synsättet går igen i de metoder som presenteras.
Den bärande idéen är att varje organisation med egna resurser och egna värderingar ska styra informationssäkerheten i den egna verksamheten.
Detta menar jag är ett mer och mer verklighetsfrämmande paradigm i en värld där vi i allt högre grad delar information mellan organisationer samt mellan organisationer och individer.
I ett digitalt tjänstesamhälle är det inte den interna säkerheten i den enskilda organisationen som är det mest centrala utan den gemensamma infrastrukturens säkerhet.
Det är ungefär som att i vägtrafiken låta varje transportföretag men även varje individ ta fram sina egna regler och tillämpa dem på de gemensamma vägarna.
Det är klart att man genom frivilliga samordnande insatser och tillsyn skulle uppnå en viss effekt men jag tror de flesta skulle uppfatta det som ett absurt och närmast nihilistiskt trafikpolitiskt förslag.
När det gäller säkerheten i den digitala infrastrukturen är fortfarande en dominerande uppfattning.
I det tidigare blogginlägget om KLASSA ställde jag upp sex krav på en fungerande metod för informationsklassning.
Omättligt krävande som jag är vill jag nu lägga till två ytterligare.
För det första måste metoden vara tillämplig även i ett större sammanhang än i en enskild organisations användning av ett system.
För det andra ingå i en större helhet av systematiskt– att klassa information utan relation till det kretslopp av övriga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering, ansvarsfördelning och uppföljning är inte effektivt säkerhetshöjande.
Särskilt inte om skyddsnivåerna har stora brister.
Informationsklassning är helt enkelt inte sååå viktig i sig.
Men inte ens då tror jag att detta är en särskilt bra väg att gå.
Det inte alldeles enkelt att utföra klassning på ett välavvägt sätt ens med stöd av en bra metod.
Vad som krävs är erfarenhet och kompetens inom informationshantering och risker samt förståelse för hur organisationer fungerar.
Att klassa information är inte att som professor Balthazar stoppa in information i ett rör på en informationsklassningsmaskin och med automatik få ut en färdig klassning.
Därför är det inte en metod där olika organisationer förväntas göra sina egna klassningar en lösning på det mycket stora kompetensunderskottet – kompetensen behövs ändå.
Och om alla gör sina egna bedömningar i en gemensam struktur kan man fråga sig vad som blir resultatet.
En god gissning är att den lägsta nivån blir trendsättande inte minst eftersom om en part har en låg nivå på sina säkerhetsåtgärder riskerar det övriga aktörers säkerhet.
Den som har gjort en större investering riskerar att få denna investering underminerad av den som väljer en lägre nivå – ekonomin i att ändå välja den högre nivån kan starkt ifrågasättas.
Att klassa information är varken så enkelt eller så viktigt som enstaka aktivitet som man ibland vill ge sken av.
Sammantaget vill jag därmed propagera för en mycket starkare styrning av processer, informationshantering och informationssäkerhet där den gemensamma grunden inte är optional.
Vi måste lämna det föråldrade synsättet där ”system” sätts i centrum och istället inse att det är en informationsinfrastruktur som måste hanteras med vederbörlig respekt och med styrande säkerhetsregler.
Kanske har vi förlorat ett decennium av möjligheter att skapa en gemensam informationssäkerhet genom att låta en slavisk tolkning av ISO 27000 kombineras med en flummig samordningstanke.
Det räcker inte med lösryckta initiativ kring olika aktiviteter som klassning utan vi måste se att ebygger på en samverkande helhet av säkerhetsåtgärder.
Om jag ser tillbaka och försöker se var jag fått vägledning i min roll som informationssäkerhetsansvarig så är det första jag kommer att tänka på den Handbok i it-säkerhet i tre delar som Statskontoret gav ut 1997.
Även om den angav att innehållet var it-säkerhet var det i realiteten informationssäkerhet den handlade om, det vill säga den organisatoriska styrningen med hjälp av ett antal aktiviteter.
När jag tittar tillbaka i den är det inte så mycket som förändrats vilket väl får sägas vara en ganska dyster insikt.
Trots att Statskontoret inte hade ett mer renodlat informationssäkerhetsuppdrag tog man även fram ett metodstöd och mallregelverk som skulle hjälpa myndigheter att införa ett ledningssystem för informationssäkerhet.
Stödet kallades OffLIS och kom 2003 som en del i arbetet med ”24-timmarsmyndigheten”.
Krisberedskapsmyndigheten (KBM), inrättades efter vissa förvecklingar 2002 och var en av de myndigheter som 2009 slogs samman till dagens MSB.
I KBM:s uppdrag fanns bland annat att ha det sammanhållande myndighetsansvaret för samhällets informationssäkerhet och att utforma en nationell handlingsplan för informationssäkerhet.
Som en del i detta uppdrag tog man fram metodstödet BITS (Basnivå för it-säkerhet) som var tänkt att fungera som en de facto-standard för offentlig sektor.
BITS introducerades kraftfullt av KBM inte minst i kommunerna och bistod även med en slags konsultstöd samt olika typer av bidrag för att exempelvis höja den fysiska säkerheten och förbättra tillgången till reservkraft till kommunala datorhallar.
OffLIS och BITS slogs ihop 2005 för att få en ökad enhetlighet.
Seklets första årtionde var rörligt när de gällde informationssäkerhet.
Vid sidan om KBM:s uppdrag pågick informationssäkerhetsutredningen, Verva skrev föreskrifter om säkert informationsutbyte och Nämnden för elektronisk förvaltning tillsattes 2003 med uppgiften: ” att stödja utvecklingen av ett säkert effektivt elektroniskt informationsutbyte mellan myndigheter och mellan myndigheter och enskilda genom att beslut om vilka standarder för informationsutbyte myndigheter under skulle använda sig av” vilket ju låter välbekant.
Trots att frestelsen är stark ska jag inte gå längre in detta just nu utan bara konstatera att BITS var synnerligen populärt inte minst hos kommuner och efterfrågades långt efter att MSB valt att avveckla stödet.
Ett antal kommuner hänvisar fortfarande i sina styrande dokument till BITS (det är bara att googla och kolla).
Vad var det då som gjorde BITS så populärt?
En vanlig uppfattning bland de kommunala företrädare jag diskuterat frågan med var att BITS gav dem enkla handfasta regler och en tydlig lägstanivå att förhålla sig till.
Utifrån de resurser som står till buds i en liten eller medelstor kommun har detta setts med viss tacksamhet, särskilt då stödet åtföljdes med ett visst konsultativt och ekonomiskt bistånd.
Själv har jag varit skeptisk.
Ett skäl var att BITS var så inriktat på it-säkerhet (även om man vid revideringen 2006 gjorde en strukturell anpassning till ISO 27000).
Ett annat att en tillämpning av BITS leder till en basnivå medan det verkliga behovet i en kommun (liksom i andra organisationer) är att kunna ha olika nivåer av skydd beroende på informationens och verksamhetens karaktär.
Framförallt har jag tyckt att man riskerar att missa den unika organisationens behov.
BITS övergavs också av KBM och sedermera MSB.
Idag är utgångspunkten för de stöd som tas fram att varje organisation ska starta från noll och ta fram sitt eget ledningssystem med alla delar.
Den enskilda organisationen erbjuds det som kallas metodstöd eller delmängder som stöd för att klassa system.
Bara i offentlig sektor innebär det att över 400 myndigheter, 290 kommuner och 21 regioner själva ska ta fram och förvalta respektive ledningssystem, metoder för risk-och kontinuitetshantering och skyddsnivåer.
Detta är en enorm arbetsinsats som dessutom kräver att varje myndighets/kommuns/landstings ledningssystem måste översättas vid samarbeten.
Till detta kommer alla andra nödvändiga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering,….
Objektivt sett kommer detta inte att vara möjligt att genomföra eftersom det inte finns tillgänglig kompetens i en omfattning som ens är i närheten av vad som skulle behövas.
Min uppfattning är att en dellösning på den annars omöjliga ekvationen med starkt ökande krav på systematiskti kombination med en mycket påtaglig brist på tillgänglig kompetens är en ökad standardisering.
Jag har därför börjat ompröva min tidigare inställning.
Som en följd av detta tror jag det dags att ta fram en ny inriktning där en omvärdering göras av de tankar som låg bakom BITS och även OffLIS kan ingå som ett första steg.
Då menar jag inte att en revision av BITS eller en återstart på OffLIS.
Snarare att seriöst analysera vilka delar av esom kan standardiseras i olika typer av organisationer.
Ett nytt koncept borde istället vara inriktat på s. Jag ska här bara skissa upp några punkter där en standardisering skulle kunna ske och ge mycket stora samordningsvinster.
För enkelhetens skull så kan vi ta kommunerna som exempel.
Det är också lämpligt eftersom kommunerna har mycket komplexa säkerhetsbehov som är mycket svåra att hantera för den enskilda kommunen, inte minst för de små och medelstora kommunerna.
De svenska kommunerna har tio obligatoriska uppgifter, det vill säga uppgifter som de enligt lag ska utföra oavsett kommunens storlek och resurser.
Dessa uppgifter genomförs på olika sätt i olika kommuner och i olika organisatoriska konstruktioner.
Men processens olika aktiviteter är i stort sett de samma i flera av dessa obligatoriska uppgifter.
Att söka plats på förskolan eller att administrera den politiska beslutsapparaten innehåller samma moment och i stort samma information om än med olika benämningar.
För att underlätta för kommunerna skulle följande kunna göras nationellt: Naturligtvis bör det framgå att organisationen måste göra egna riskbedömningar och att det enbart är förslag.
Ändå skulle detta vara en mycket värdefull hjälp för kommunerna som också skulle kunna tillämpa grundmodellen för informationsklassning med skyddsnivåer för den unika information som kan utöver de standardiserade förslagen.
Låter mycket att ta fram nationellt tänker ni kanske.
Betänk då att alternativet är att ta fram detta i 290 kommuner, i många fall utan tillräcklig kompetens och resurser, och då få fram inkompatibla lösningar.
Sannolikheten för att flertalet kommuner inte klarar uppgiften och istället får skämmas i rapporter från MSB och Riksrevisionen är inte direkt låg.
Jag menar därför att det är en mycket rimlig investering att skapa nationella lösningar där det faktiskt går.
Hur dessa lösningar ska tas fram och vem som ska ansvara för utveckling och förvaltning tål att diskuteras.
Kanske är en stiftelse där även privata aktörer skulle kunna ingå ett alternativ?
Efter mitt förra inlägg om e-hälsa har jag fått en del kommentarer som visar att sjukvårdens organisation och i ännu högre grad e-hälsoområdets styrning är en okänd värld för många.
Som en projektledare en gång sa till mig som en förebärare för Trump: ”Hur svårt kan det vara med sjukvård (och e-hälsa)?”.
Ganska svårt skulle jag vilja säga vilket även Trump .
Därför kommer här en inledning för att ytterligare förtydliga hur jag uppfattar organisationen idag (finns utrymme för osäkerhet i detta) samt ge ett praktiskt exempel på vad det leder till.
För att bara titta på den bristande styrningen har jag uppdaterat en gammal bild till hur jag tror det ser ut i dag (jag har inte tagit med finlir som kvalitetsregister och trygghetslarm m.m., m.m.).
Bilden är ett försök beskriva samspelet.
Som framgår är ett flertal myndigheter involverade i olika delar, det finns utförare och leverantörer.
Två saker är slående.
Den första är att det inte finns en överordnad myndighet med mandat att hålla ihop helheten och som kan vara kontaktpunkt för övriga aktörer.
Med tanke på hälso- och sjukvårdens betydelse för samhället i olika dimensioner, de mycket stora offentliga resurser som går till sjukvården och det stora antalet aktörer som deltar i det gemensamma vårdarbetet måste detta ses som ett icke-rationellt sätt att organisera det hela om man vill ha effektivitet, kvalitet och strategisk inriktning.
Det andra är SKL och sjukvårdshuvudmännens organisation som jag menar inte håller måttet för de uppgifter som man åtagit sig.
Sjukvårdshuvudmännen har en roll som offentliga organ som är reglerad i lagstiftningen.
Detsamma gäller för vårdgivare oavsett om de är privata eller offentliga.
Men i denna ordning har alltmer SKL glidit in, en intresseorganisation som inte är en myndighet, inte har en lagfäst roll och inte omfattas av offentlighetslagstiftningen.
Riksrevisionen har pekat på detta i en gällande den generella styrningen på vårdområdet.
Inom e-hälsoområdet är problemen med detta mycket tydligt.
En inte oviktig fråga i detta är att det öppenhetskrav som gäller för myndigheter som landsting, regioner och kommuner försvinner då de samarbetar i sin intresseorganisation.
Nu när aktiviteter som tidigare skedde i respektive huvudmans verksamhet flyttas in i SKL:s hägn (inklusive Inera) försvinner också insynen.
Detta kan jämföras med kommunalförbund där insynsmöjligheten fortfarande finns kvar.
Denna fråga verkar inte engagera SKL i någon högre grad, jag söker på hemsidan för att finna om man frivilligt erbjuder en likande insyn i beslutsunderlag och annat som skulle räknas som allmänna handlingar hos SKL:s medlemmar men ser inga sådana informationsinsatser.
Jag skickade även ett mail till SKL:s infoadress den 24 juli: Hej!
Jag vet att SKL inte är en myndighet och därmed inte omfattas av offentlighetslagstiftningen.
Däremot är SKL:s medlemmar det liksom medlemmarnas uppdragsgivare.
Min fråga är hur eftersträvar SKL att ändå kunna erbjuda motsvarande transparens som medlemmarna förutsätts ha?
Detta borde vara allt viktigare i och med att SKL har tagit på sig allt fler uppgifter av operativ karaktär och frågor som starkt påverkar medlemmarnas prioriteringar och finansiering.
Eller är SKL:s linje att allmänheten får tillräcklig insyn via det material som publiceras på den egna webbplatsen?
Detta mail är fortfarande obesvarat efter ett par veckor, kanske beroende på semestertider, vilket i sig är en intressant illustration av att SKL inte omfattas av kraven på myndigheter att snabbt besvara inkommande frågor.
I frågan om e-hälsa är det dock de bristande organisatoriska förutsättningarna som är mest värda att ifrågasätta.
SKL är i sig inte en organisation som är skapad för att bedriva operativ verksamhet utan för att driva förhandlingar i huvudmännens intresse mot arbetstagare och delvis även mot regeringen.
Nu har man omvandlat sig till något som varken är företag eller myndighet men har en horisontell integration där huvudmännen både är leverantörer och kunder, en typ av organisation som redan Vänerskogs jättelika konkurs 1981 visade problemen med.
Denna oreda av aktörer i en infrastruktur av mycket känslig information är detta, ja jag vågar klämma i med, katastrofalt.
Ett mycket stort antal stort antal aktörer är inne och rycker i den gemensamma informationsinfrastrukturen utan att det finns en konkret inriktning utom den som delas av regeringen och SKL.
Jag noterar att webbplatsen inte uppdaterats sedan oktober 2017 men att det kommit en som mest verkar vara ett underlag för förhandlingar samt ett antal fluffiga mål.
Det är långt till verkstaden om man säger så.
Vad leder detta till i praktiken?
Ett bra exempel är hur den ganska naturliga frågeställningen om att ge patienten tillgång till mer information om sin hälsa, behandlingar m.m har hanterats.
För att klargöra utgångsläget så har patienter haft rätt att ta del av sin journal sedan länge, se patientjournallagen (SFS 1985: 562).
En journalhandling inom enskild hälso- och sjukvård skall på begäran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller kopia, om inte annat följer av 2 kap.
8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.
E-hälsofrågan i det hela handlar mer om patienten kan del av journalen.
Personligen tycker jag att hela frågan är felformulerad – istället borde den ha varit: ”hur informerar vi patienten på bästa sätt?”.
Då hade vårdens arbetsverktyg knappast varit den bästa lösningen utan man skulle jobbat på att ge patienten information i den form och på det sätt som gör det enkelt att ta till sig.
Bortsett från detta så påbörjades under början av 2000-talet i landstingsvärlden projekt med målsättning att tillgängliggöra journalen via nätet.
Observera att detta endast handlar envägskommunikation – att patienten får möjlighet att journalen.
Trots att dessa initiativ pågick bland huvudmännen bestämde Göran Hägglund som socialminister att ett nationellt initiativ skulle inledas för att patientjournaler skulle göras tillgängliga i en tjänst där de kunde användas av tredjeparter efter patientens initiativ.
Jag ser det här som ett utslag av att både e-hälsa och e-förvaltning starkt präglades av att under åren runt decennieskiftet ses som en näringsfråga, d.v.s.
de personuppgifter som myndigheter samlar in ska ses som råvara för privata tjänsteleverantörer.
Do´nt get me started – utrymmer räcker inte till för dra upp alla negativa aspekter av detta… Låt mig istället nöja mig med att detta var en lösning med så många problem inte minst säkerhetsmässigt att den skulle ha lagt sig i byrålådan på ett mycket tidigt stadium.
Nu är det stoppat av Datainspektionen även om eHälsomyndigheten fortsätter att processa stödda av en landets mest exklusiva advokatbyråer till en kostnad på drygt 1,5 miljoner bara 2017 (jag har kollat).
För att summera: det har alltså pågått två parallella projekt utan samordning, så vitt jag kan se, för att överföra information från journal till patienter.
Man har inte i lösningarna tagit höjd för hur behovet att patienten med tillräcklig kvalitet och säkerhet ska kunna föra tillbaka uppgifter till vården – en fråga som i sig är en av grundvalarna i en utvecklad e-hälsa.
Exemplet visar mycket tydligt att det inte finns en gemensam plan, behovsanalys eller medvetenhet om att man bygger en gemensam infrastruktur.
Min erfarenhet från olika sammanhang inom området är det också ofta saknas vilja att ta vara på professionernas intresse av fungerande arbetsverktyg eller etiska krav.
Tråkigt nog tycker jag inte att arbetstagarorganisationerna varit särskilt skickliga på att samla och driva sina medlemmars olika behov, detta är dock bara mer än känslomässig upplevelse från konferensbord och från att ha tagit del av olika debattinlägg.
Trots att alla aktörer med emfas skulle säga att de starkt vurmar för patients intresse kan jag tycka att det är väl lätt att utan fog göra sig till patientens företrädare.
Framför allt är det svårt att hitta insikten i att patienter är vi alla och på samma sätt som vi har väldigt olika syn och intressen i andra frågor har vi det även som patienter.
Ett flagrant exempel på detta är de som ständigt ställer patientsäkerhet mot integritet.
Eller inte erkänner att om en välsituerad grupp använder kommersiella nätläkare för att lindra myggbett så kommer det att inkräkta på andra patienters intressen.
Även här måste finnas en mycket större helhetstanke där e-hälsan sätts i sitt rätta sammanhang.
Slutligen kan jag inte underlåta att gå in på integritetsfrågan och hur det gick när jag försökte begära ut mina personuppgifter från vården.
Även detta är en god illustration av läget.
Först till den juridiska historiken som går att scrolla förbi om man inte är intresserad men den har rätt stor betydelse för det praktiska utlämnandet av personuppgifter.
Enligt den gamla patientjournallagen hade varje vårdgivare ansvar för sin egen journal och om uppgifterna behövdes hos en annan vårdgivare måste vissa mått och steg vidtas.
En ansvarig läkare hos vårdgivare A måste göra en menprövning om det var till men eller gagn för patienten att uppgifterna lämnades ut.
Lämnades uppgifter ut skulle ett journalnotat göras om när, vad och till vem uppgifter lämnats ut och hos vårdgivare B fördes uppgifterna in som ”kopia”.
Hela förfarandet hade fördelar som att det gav mycket god spårbarhet, patienten kunde eventuellt förhindra att information lämnades vidare om man ville skydda sin integritet och det var inte hela journalen som lämnades vidare utan bara relevanta delar.
Jag vill bara påpeka dessa fördelar utan att för den delen behöva anklagas för att vara bakåtsträvare för naturligtvis är detta regler som är svåra att upprätthålla i ett digitalt flöde.
Och, ja, jag är väl medveten om att reglerna inte alltid efterlevdes.
Min poäng är att dessa säkerhetsåtgärder inte ersattes av motsvarande funktioner när patientdatalagen (PDL) infördes.
Mitt intryck efter att ha följt frågan om vårdinformation tämligen ingående sedan 1994 är att det inte ens fanns en ambition att göra det.
Denna min uppfattning stärks när jag läser förarbetena till lagstiftningen.
Jag ser patientdatalagen som ett resultat av mer än ett decenniums påverkanskampanj från olika aktörer med innebörden att säkerhet och integritet inte går att förena med digitaliseringen utan man måste välja.
Valet blev då tämligen enkelt eftersom den tekniska och organisatoriska förändringen redan genomförts.
Resultatet, förutom allt newspeak där dålig säkerhet var bra säkerhet o.s.v., var att i patientdatalagen infördes ”sammanhållen journalföring” som enligt lagens definition betyder: Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.
I och med patientdatalagen ändrades grundprincipen för hanteringen av journaluppgifter från att det tidigare defaultläget var att en vårdgivare inte kunde lämna ut uppgifter utan menprövning till nuvarande defaultläge: att information kan flöda mellan vårdgivare om inte patienten aktivt spärrar utlämnandet.
Ett villkor som satts upp för den sammanhållna journalföringen: Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att andra uppgifter än dem som anges i görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.
En sjuk patient ska alltså ta till sig information om hur informationen kommer att hanteras och dessutom ha kraft genomdriva en spärr om hen bedömer att överföringen olämplig.
Några saker bör särskilt noteras i detta redan orimliga scenario.
För det första innebär direktåtkomsten att vårdgivare 2 får tillgång till vårdinformation hos vårdgivare 1 istället för som tidigare ett journalutdrag över information som bedöms vara relevant för det aktuella sjukdomstillfället.
För det andra förutsätter det att vårdpersonalen hos vårdgivare 1 kan ge upplysningar om hur informationen kommer att hanteras i den sammanhållna journalföringen, vilka som kommer att få tillgång till den exempelvis.
Min visserligen anekdotiska men ändå uppfattning efter att ha frågat ett ganska stort antal anställda i vården finns inte en kunskap inom vården hur informationen hanteras och hur ska då personalen kunna upplysa patienten?
Detta är inte så konstigt för jag tror uppriktigt inte någon idag har kontroll över informationsflödena i vården.
För det tredje lyser ett decennium efter PDL:s ikraftträdande fortfarande möjligheten att faktiskt spärra sin journal med sin frånvaro hos ett stort antal vårdgivare.
I praktiken kan jag inte se att patienten har någon reell möjlighet att vare sig få veta hur den egna vårdinformationen hanteras eller att påverka åtkomsten till den.
Med stöd av den sammanhållna journalföringen har det vuxit fram en vårdinformationsspaghetti där det vad jag kunnat se inte finns vare sig överblick, tydlig styrning eller definierade ansvar.
Detta leder också till att när jag hos min vårdgivare frågar: ”Gör ni journalnotat om vilka samtycken till andra vårdgivare jag givit så att jag kan få en sammanställning över vilka som fått åtkomst till mina uppgifter?” får till svar ” Nej, det finns i dagsläget ingen sådan funktion i COSMIC men detta är under utveckling, det vill säga en samtyckestjänst.
Vi dokumenterar inte i x:s journal andra vårdgivares samtycken, detta är var och ens eget ansvar.
När någon inhämtar ett samtycke i COSMIC så genererar detta en logg samt en referens i journalen.”.
Det vill säga att den vårdgivare som lämnar ifrån sig informationen noterar inte detta utan patienten förväntas ansvara för spårbarheten.
Jag vände mig då till Inera som ansvarar för tjänsten Nationell Patientöversikt som är en slags växel då vårdinformation förs mellan olika vårdgivare.
På frågan om de kan redovisa vilka som eventuellt tagit del av min vårdinformation svarar de: ”Samtycke måste alltid inhämtas av den vårdgivare som ska ta del av din information i NPÖ.
Samtycket ska registreras i det lokala journalsystemet hos den aktuella vårdgivaren.
Det tekniska samtycket loggas i den nationella säkerhetstjänsten som förvaltas av Inera.
Det finns ingen dokumentation från journalinformation och inte heller någon information om varför samtycket har inhämtats.” Deras uppfattning är alltså att de endast har ”tekniska loggar” och att jag fortfarande själv måste hålla reda på mina samtycken trots digitaliseringen.
Det framgår också att de anser att de tekniska loggarna inte är att betrakta som personuppgifter.
Jag har valt att inte fördjupa mig ytterligare i detta men hoppas att andra tar upp den tråden.
Sammantaget skulle jag vilja säga att detta rimmar rätt illa med dataskyddsförordningens krav.
Min egentliga poäng med att försöka beskriva att oreda, de oklara ansvarsförhållandena och bristande överblick är att detta naturligtvis inte bara påverkar patientens möjlighet till personlig integritet.
I ännu högre grad påverkas effektivitet, patientsäkerheten och möjligheten att upprätthålla verksamheten vid större störningar.Särskilt bekymmersamt är det oklara ansvaret som även andra Vad blir då kontentan av allt detta?
Jag tror faktiskt inte huvudfrågan är huruvida sjukvården ska förstatligas utan hur den ska styras (även om jag i dagsläget har litet svårt att se exakt vilket värde den regionala politiska styrningen tillför).
Oavsett om det finns 2 eller 200 000 vårdgivare så måste det finnas en stark statlig styrning som då inte enbart omfattar den offentligt finansierade slutenvården som ett förstatligande skulle innebära.
Den nuvarande bristen på styrningen tjänar såvitt jag kan se enbart oseriösa leverantörer på och möjligen de offentliga företrädare som älskar att åka omkring på olika konferenser och framställa sig som visionära.
Situationen där myndigheter processar mot varandra vittnar väl om något om den rådande anarkin.
Om vi inte klarar av att styra digitaliseringen av vården idag så blir tanken på AI och IoT mardrömslik.
Mina förslag är därför att på äktsvenskt maner tillsätta flera rejäla utredningar men med skillnad från de tidigare inte bilägga facit från uppdragsgivaren.
Jag ser framför mig en handfull utredningar inom olika områden men som är starkt koordinerade så att resultaten går att använda.
Viktigt är att ta hänsyn till de mångskiftande intressen som hälso- och sjukvården ska tjäna, inklusive professionernas och forskningens behov på kort och lång sikt.
Inriktningen bör vara att på samma sätt som på 1940-talet bygga en långsiktigt fungerande infrastruktur i bred politisk enighet.
Några förslag (jag tar inte med komplicerade saker som prioriteringar i vården och patienters egentliga intressen): Puh!
Jag vill verkligen inte påstå att jag kommit med de definitiva sanningarna i dessa komplicerade frågor – det finns så många olika sätt att betrakta den svenska e-hälsan.
Säkert har jag missuppfattat eller vantolkat en massa saker.
Mitt enda försvar är att jag efter bästa förmåga försökt måla upp bild av e-hälsa.
Förhoppningsvis kan dessa långa inlägg stimulera andra att dela bild av samma frågor.
I maj när dataskyddsförordningen trädde i kraft inledde jag ett test: att genom att ställa frågor om hur mina personuppgifter hanterades i vården ville jag göra en temperaturmätning av den kontroll som vården generellt har över vårdinformationen.
För hälso- och sjukvård innebär (i princip) inte dataskyddsförordningen någon så stor skillnad eftersom både patientdatalagen och PuL redan gett patienten möjlighet att få tillgång till sin information och (i teorin) spärra åtkomsten till sin vårdinformation.
I verkligheten är det och har det sedan patientdatalagen varit svårt för att inte säga omöjligt att få veta hur patientuppgifter hanteras – det är i alla fall min uppfattning som jag ville pröva genom att begära upplysningar om mina egna vårduppgifter med stöd av dataskyddsförordningen.
Svaren på mina frågor var negativa (vilket jag kommer att återkomma till senare) men jag fick underlag rörande dagssituationen inom e-hälsoområdet.
Detta inlägg svävar ut in extremis och handlar om i vilket landskap som digitalisering av vårdinformationen sker.
Jag ska resonera om den bristande styrningen av e-hälsa samt pusta ut orosmoln om informationssäkerhet och det långsiktiga bevarandet av vårdinformationen.
I ett följande inlägg kommer jag att skriva mer om den bakomliggande juridiken.
Först till organisationen av den svenska sjukvården som förvånansvärt många som gör inlägg i e-hälsofrågor inte tycks bottna helt i. Tillåt mig att roa mig med en historisk utflykt.
Den svenska vården är i huvudsak offentligt finansierad via skattemedel.
Det regionala ansvarar för att erbjuda vård inom det egna upptagningsområdet enligt hälsosjukvårdslagen.
Men landstingen och regioner behöver inte själva vara utförare av all vård utan kan även vara privata.
Andelen privata vårdgivare har tillväxt mycket starkt under de senaste 20 åren men strukturen med självständiga landsting som sjukvårdshuvudmän har funnits sedan 1862 (med varierande uppdrag).
Redan här finns underlag för vanliga missuppfattningar om ansvar men också reella problem eftersom de flesta krav i föreskrifter m.m.
riktas mot vårdgivarna och inte sjukvårdshuvudmännen.
När det gäller säkerhet och integritet har dock vårdgivarna inte så stora möjligheter att påverka sin situation trots att de har ansvaret – de tvingas (formellt eller informellt) ofta av sjukvårdshuvudmän, SKL eller myndigheter att använda lösningar oavsett egna säkerhetskrav.
Landstingen är kommuner med en politisk ledning vilket gör att inriktningen för olika landsting och regioner kan variera.
För e-hälsan som av naturliga skäl blir allt mer nationell är detta en ansvarsfördelning som innebär stora problem, inte minst eftersom landstingspolitiker använt rollen för egna, i mitt tycke kortsiktiga, kampanjer.
En misstanke som gror är att e-hälsa används av politiker för att undkomma att diskutera den offentligt finansierade vårdens grundfråga: den nödvändiga prioriteringen.
Det är ett väl känt faktum att det inte finns någon bortre gräns för behovet av vård, det finns hela tiden nya sjukdomar och tillstånd som kan behandlas och definitionen av hälsa kan sättas så högt att inte minsta krämpa blir acceptabel.
Däremot är vårdens resurser begränsade – alltså måste prioriteringar ske.
Detta är den mest laddade av alla frågor för sjukvårdspolitiker eftersom prioriteringar ofelbart kommer att leda till att några patienter blir missnöjda.
Den som tillsattes i slutet av nittiotalet för att ge de lokala politikerna stöd i form av nationella prioriteringslistor släppte också snabbt den glödheta potatisen och lämnande ifrån sig litet allmänna rekommendationer om hur processen för prioriteringar skulle kunna ske .
Min teori är att politiker och högre tjänstemän i vården nu (omedvetet) använder e-hälsa som en dimridå för att undvika frågan om prioriteringar genom att hävda att e-hälsosatsningar skulle kunna leda till enorma effektivitetsvinster (som då underförstått skulle leda till att får den vård de vill ha).
I verkligheten sker en mycket negativ icke-styrd prioritering av sjukvårdsmedel genom bland annat kommersiella nätläkare där en ohelig allians mellan nätläkarnas ekonomiska intresse och människor med lättare krämpor prioriterar upp sig på bekostnad av andra med reella hälsoproblem.
En hårdvinklad beskrivning men ni förstår vad jag menar.
Detta sätter stark press på sjukvårdspolitiker som i vissa fall måste säga nej men hellre säger att e-hälsa kommer att lösa problemen.
Själv är jag positiv till de former av e-hälsa som leder till reella förbättringar men att tro att den ska kunna upphäva den omöjliga ekvationen mellan outtömliga behov och begränsade resurser är en vanföreställning som ansvarsfulla politiker borde göra upp med.
En annan viktig negativ faktor är SKL:s förändrade roll.
SKL driver sina medlemsorganisationers intressen i förhållande gentemot uppdragsgivaren staten, d.v.s.
att man vill att staten ska styra så litet som möjligt (även om det inte uttrycks preeeecis så) vilket ökar på fragmentiseringen ytterligare.
Den tidigare sammanhållande myndigheten Socialstyrelsen som var en beredande motpart för SKL blev sönderslagen för några år sedan.
Uppgifterna är nu fördelade på fyra myndigheter som tillsammans med Läkemedelsverket tycks ha ett tämligen lågintensivt samarbete.
SKL och sjukvårdshuvudmännen agerar som månghövdad maktfaktor utan eget ansvar i det tomrum som skapades när Socialstyrelsen nedmonterades.
Dessutom står e-hälsoområdet under ett starkt kommersiellt intresse, inte bara genom nätläkarna.
Den nära alliansen mellan känns inte helt betryggande för det kommande.
I den tidigare regeringen var två av hälso- och sjukvårdsministerns statssekreterare hämtade från it-leverantörer vilket Dagens samhälle skrev om förra året.
Förväntan på stora vinster inom vården och en kanske alltför nära relation är knappast positiva nyheter för patienter och skattebetalare.
Eftersom jag intresserat mig en hel del för den svenska sjukvårdens historia kan jag inte undgå att fundera över att maktbalansen mellan staten som är uppdragsgivaren och utförarna, d.v.s.
sjukvårdshuvudmännen (regioner och landsting) samt numera SKL, har förskjutits.
Att göra historiska jämförelser är alltid vanskligt men för mig går det inte att motstå frestelsen att försöka analysera varför e-hälsa och digitalisering relativt sett varit så litet framgångsrika samhällsprojekt i förhållande till de resurser som satsat.
Hade det gått att prata fram e-hälsa och digitalisering hade det svenska samhället genomgått ett Civilization-moment där den framgångsrike spelaren lyckas uppfinna elektricitet på 1100-talet.
Men tyvärr räcker det inte med miljontals power point bilder, konferensinlägg, möten, testbäddar och avgränsade dellösningar för att skapa infrastruktur.
I detta delar jag uppfattningen i om floden av åsikter.
Jag tror mig att se några orsaker till det haltande genomförandet av något som trots allt alla varit överens om ska genomföras.
Detta är en situation som i mycket liknar den som rådde från slutet av fyrtiotalet och i ett par decennier framåt då det skedde en så här i efterhand nästan ofattbar mobilisering och utbyggnad av den svenska hälso- och sjukvården.
När jag skrev en historik om den värmländska sjukvården häpnade jag över att landstinget under en tioårsperiod byggde inte mindre än fyra nya sjukhus!
Även om jag är starkt lockad ska jag inte gräva ner mig ytterligare i detta utan bara tacksamt konstatera att den samhälleliga kraftsamling är något som vi nu fortsätter att skörda frukterna av.
Hur kunde man lyckas med denna infrastrukturella revolution?
En första förutsättning var att det fanns en stark politisk enighet om att detta skulle genomföras även från de borgerliga partierna som annars kampanjade för skattesänkningar.
Men till skillnad mot e-hälsoutvecklingen (liksom digitaliseringen i övrigt) nöjde man sig inte med den politiska enigheten utan skapade även de institutionella förutsättningarna (för den som vill läsa mer om institutionella förutsättningar rekommenderar jag verkligen att läsa litet Lennart Lundqvist eller Bo Rothstein) för utbyggnad.
En viktig sådan var att skapa ett mycket genomarbetat kunskapsunderlag att ta ut riktningen ifrån.
I detta var utredningsväsendet mycket betydelsefullt, de utredningsinsatser som gjordes var av mycket hög kvalitet.
Häri ligger en väsentlig skillnad mot de utredningar och kommittéer som levererat förslag inom digitalisering och e-hälsa, jag nöjer mig med att instämma i de synpunkter som framförs i den här .
I utvecklingen fanns en mycket kraftfull och sammanhållande motor i Medicinalstyrelsen, sedermera Socialstyrelsen.
Det är idag nästan svårt att förstå hur inflytelserik myndigheten var och på vilken detaljnivå man styrde sjukvården.
Om vi bara ser till vårdbyggnader fanns det ett regelverk som ner till hur många luftkubik per vårdplats definierade hur sjukhusen skulle byggas.
Varje ritning på ny- eller ombyggnad måste skickas in för godkännande och stränga inspektörer åkte ut och kontrollerade att det som byggts höll måttet.
Landstingen var byggherrar och hade det praktiska ansvaret för byggande och vård men deras intressen samlade ingen front i Landstingsförbundet (en del av SKL:s föregångare tillsammans med Kommunförbundet) utan gick huvudsakligen via riksdagen.
Där fanns det som kallades ”landstingspartiet” eller ”landstingsbänken” där landstingsordförande som nästan undantagslöst även vara riksdagsmän kunde driva sina frågor – ofta i gott samförstånd oavsett partipolitisk tillhörighet.
Även detta var en viktig institutionell förutsättning eftersom det då fanns etablerade och lagfästa former för att lösa intressemotsättningar.
Idag är situationen radikalt annorlunda.
En viktig skillnad är förstås att det kommit in så många privata aktörer men också att när de gamla institutionerna revs ner ersattes de inte av nya som skulle varit verkningsfulla då man anammade new public management som grundfilosofi för den svenska vården.
Jag är för tillfället inne på att försöken att uppnå effektiv digitalisering och e-hälsa är bland de bästa exemplen på hur new public management på ett negativt sätt präglat svensk offentlig sektor.
Resultatet har bland annat blivit att Socialstyrelsen i accelererande takt fråntagits mandat och att sammanhållen utveckling ersatts med fragmentisering.
Intresseorganisationen SKL tycks inte heller längre gå via en beredning på myndighetsnivå utan direkt på regeringen och jag har t.o.m.
läst meningar som att ”regeringen bör SKL i uppdrag …”.
Den geografiska uppdelningen av ansvar var under perioden mindre problematisk än idag eftersom större delen av vårdens uppgifter kunde lösas inom varje landstings hank och stör.
När digitaliseringen tog fart i början av nittiotalet skapades överbryggande strukturer som exempelvis Sjunet och sedermera Carelink.
Nu finns både eHälsomyndigheten och Inera m.fl.
som utan tydlig gemensam strategi eller regelverk grejar i infrastrukturen.
Bortsett från det negativa i att sakna gemensam styrning ser jag det inte heller som problemfritt när digitalisering och e-hälsa blir frikopplade från den kärnverksamhet de ska utgöra stödfunktion för.
En annan aspekt som tycks ha glömts bort är vårdinformationens långsiktiga betydelse både för den enskilda patienten och för forskningen.
För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård.
Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades).
Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman.
Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän.
Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring.
Alla sjukvårdshuvudmän (alltså landsting/regioner) utom en om jag kommer ihåg rätt hade åtagit sig att bevara alla läkarförda journaler för all framtid.
Bakgrunden till detta var den enorma betydelse som den vårdinformation som arkiverats från sjuttonhundratalet och framåt haft för den svenska forskningen.
I PDL är kravet att en journal ska bevaras i minst tio är efter att sista anteckningen förts in i handlingen samt att journaler som allmänna handlingar ska hanteras som sådana.
Det är ungefär vad som stod i patientjournallagen också men nu är kontexten radikalt annorlunda och även innebörden av begreppen – vad är ens en ”handling” i dagens vårdinformation?
Bara den förändringen att betydligt mindre andel av vårdinformationen är allmänna handlingar och därmed kan gallras av den enskilda vårdgivaren är en stor risk.
Vissa sjukvårdshuvudmän har försökt reglera arkivfrågan i avtal med de privata vårdgivarna men detta är knappast tillräckligt.
Redan idag är det som presenteras på skärmen hos en vårdgivare en sammanställning av information ur en rad system och tjänster som kan finnas både inom och utom vårdgivarens organisation.
Detta är bara inledning av en utveckling där informationshanteringen kommer att bli organisatoriskt och tekniskt allt mer komplex.
För att bevara denna gigantiska informationsmassa för framtiden för att kunna serva patienter som envisas med att leva i bortåt ett sekel och för att kunna ge underlag för livsviktig forskning räcker det inte med att litet svävande beskriva ”e-arkiv”.
För mig är detta en mycket bekymmersam fråga och det förvånar mig att varken Riksarkivet eller de utredningar som genomförts gällande registerforskningen intresserat sig för detta.
Så här i slutet av litanian vill jag inte på något sätt hävda att vi kan använda gårdagens lösningar idag.
Däremot tror jag att det finns mycket att vinna på att ha ett historiskt perspektiv.
I detta fall vill jag lyfta fram behovet av kvalitativa kunskapsunderlag som är parlamentariskt förankrade, en långsiktig väl definierad inriktning, institutionella förutsättningar anpassade efter aktuell situation och en sammanhållande kraft med mandat att genomdriva beslutade lösningar.
Framför allt tror jag att vi måste erkänna att det finns intressemotsättningar och lyfta fram dem i ljuset för att kunna diskutera hur de ska lösas.
Ofta framhålls svårigheten med den geografiska uppdelningen, minst lika stor är den som handlar om de inte helt kompatibla intressena privata utförare och den offentliga finansieringen.
Hur dessa intressen ska balanseras mot varandra har hittills varit en icke-fråga i e-hälsosammanhang.
Det har vi inte råd att låta den fortsätta vara.
Om vi ska klara upprätthålla den väsentliga del i välfärdssamhället som den offentligt finansierade sjukvården utgör och dessutom införa dataskyddsförordning, NIS-direktiv, civil beredskap och allt annat så måste vi ändra bilden av e-hälsa.
Det handlar inte om att släppa ner litet slumpmässiga tekniska lösningar (gärna efter påtryckning av olika leverantörer) utan att se att det kräver samma mobilisering, organisation och koordinering som då sjukvården byggdes ut under efterkrigstiden.
Och glöm inte forskningen!
Den första frågan i min enkät var huruvida myndigheten, landstinget respektive kommunen tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1.
Det var en klumpigt formulerad fråga eftersom RA-FS naturligtvis bara gäller statliga myndigheter.
Min tanke var dock i all enkelhet att även om det inte finns en föreskrift om att planera sitt långsiktiga bevarande av digital information direkt riktad till den egna verksamheten så borde det ändå vara nödvändigt att ha en strategi för att kunna efterleva alla andra krav som finns på att informationen bevaras i exempelvis vårddokumentation.
För en arkivarie borde detta också vara kärnuppdraget: att ta fram en inriktning för det långsiktiga bevarandet.
För att friska upp minnet på de enstaka människor som inte har alla sina RA-FS:ar färskt i minnet så är kravet i 3 kap 1 § i RA-FS 2009:1 formulerat så här: 1 § Myndigheten ska upprätta en strategi för bevarande av elektroniska handlingar.
Av strategin ska framgå vilka åtgärder myndigheten avser att vidta för att säkerställa ett bevarande av handlingarna.
Åtgärderna ska dokumenteras i enlighet med 2 §.
Strategin ska fortlöpande kompletteras och hållas aktuell. . Med åtgärder avses hur elektroniska handlingar ska framställas, överföras, hanteras, förvaras och vårdas under den tid som de ska bevaras.
Myndigheten bör vid planeringen av system och rutiner, i enlighet med bestämmelserna i 6 § arkivförordningen (1991:446), samråda med arkivmyndigheten.
Därefter följer mer detaljerade krav på vad strategin ska innehålla men i min enkät nöjde jag mig att efterfråga själva befintligheten av en strategi.
Innan jag går vidare gör jag här en liten utvikning om förutsättningarna för ett långsiktigt bevarande.
En reflektion jag gör när jag läser Riksarkivets krav är inriktningen på system, teknik och handlingar.
Detta rimmar, menar jag, inte helt med kravet på en processorienterad arkivredovisning som finns i RA-FS 2008:4.
Till detta kommer de förvaltningsgemensamma specifikationerna som inte heller är processinriktade.
De e-arkivlösningar som presenteras som verkar vara helt inriktade på att lyfta över information från ett system till ett annat utan någon koppling till process såvitt jag kunnat utröna.
Jag är dessutom osäker på hur OAIS-modellen ska tillämpas i relation till processer.
Det framstår som det finns ett antal komponenter som det långsiktiga bevarandet ska bygga på men att dessa inte är helt koordinerade.
När jag läser de kravspecifikationer som tagits fram för e-arkiv verkar det vara de tekniska kraven som kommit i förgrunden och tyvärr på ett ganska daterat sätt.
Att prata om system i en tid då allt mer information hanteras i molntjänster kan få ganska ödesdigra konsekvenser för arkivbildnigen.
Det är synd för jag tror inte att de tekniska aspekterna är det som främst utgör ett hinder för att lyckas med ett långsiktigt bevarande.
Den här frågan går inte heller att hantera i bitar utan måste ses som en sammanfogad helhet som vilar på en solid teoretisk grund, och det är den grunden som jag uppfatta är undflyende i de resonemang som förs.
För mig som arkivteoretisk nörd skulle det optimala vara det processorienterade perspektivet var genomgående som strukturerande princip för att knyta ihop verksamhet och information, självklart ända in i det digitala långtidsbevarandet.
Konkret skulle vi kunna försöka utveckla proveniensbegreppet till att förutom den inre och yttre proveniensen även omfatta en processproveniens.
Proveniensen har ett antal funktioner för arkivbildningen som att ge informationen ett mervärde då den sätts i organisatoriska kontext, att skapa autenticitet och att ge oss de bästa möjligheterna för att kunna återsöka information.
Dessutom som redan den store Nils Nilsson underströk: de processuella värdena.
Om vi nu tar tanken med de processuella värdena och sammanför det med ett proveniensbegrepp i det långsiktiga bevarandet skulle vi kunna utveckla helt nya lösningar.
Det känns aningen pinsamt att dra upp gamla texter stup i kvarten men faktiskt skrev jag i Arkiv, samhälle och forskning redan 1997 en artikel, (AFS 1997:3 – det går tyvärr inte att länka till den) som försöker resonera om hur nya tekniska lösningar ändrar förutsättningarna för arkivteorins grundpelare.
Mycket i texten är kanske passerat men något som jag ändå tycker fortfarande förtjänar att poängteras är skillnaden mellan Müller, Feith och Fruins öppna förhållningssätt till vad som avgränsar den yttre proveniensen där de om och helhet.
I Sverige, till skillnad mot i andra länder, har arkivbildarbegreppet blivit manifest och alltid kopplat till en enskild organisation.
Om vi nu tittar på världen såsom den ser ut med snabba omorganisationer och en alltmer gemensam informationsinfrastruktur – borde vi inte då skruva upp processbegreppets betydelse och samtidigt något tona ner arkivbildarbegreppet för att uppnå det vi ska proveniensprincipen till?
Med dagens tekniska lösningar menar jag att detta vore fullt möjligt att både hitta lösningar som ger en bättre proveniens samtidigt som de skulle ge effektivitet och minskade kostnader.
För att ta ett enkelt exempel skulle det menar jag var betydligt bättre att identifiera ett antal större samhällsprocesser som varat över tid i olika former och redovisa informationen per process som första steg och därefter arkivbildare.
Ta exempelvis folkskolan som fram till 1930-talet hade kyrkan som huvudman, därefter staten och nu kommunerna medan verksamheten i huvudsak varit densamma.
För att ge bättre överblick och även proveniens skulle informationen kunna vara sökbar både per process och per arkivbildare.
Jag vill bara hinta med vad detta skulle innebära när det gäller vårdinformation där det idag är stora problem att avgöra vilken information som finns var och vem som är ansvarig för den.
Med en processorientering vid en omorganisation skulle det också vara möjligt att låta den digitala informationen vara tillgänglig både i den avslutade arkivbildningen och som överförd i den nya (ja, jag vet att man måste lösa utnämningsfrågan men det känns som ett mindre aber).
För det långsiktiga bevarandet menar jag att dessa frågeställningar har stor betydelse eftersom de både avgör arkivbildningens värde, möjligheten till återsökbarhet och inte minst ansvarsfördelningen.
Men låt oss lämna mina tankar i frågan och istället se hur de myndigheter, kommuner och landsting som svarat på enkät hanterat frågan.
Av de kommuner som svarat är det bara två som säger ett tydligt ”ja” på frågan om de tagit fram en strategi i linje RA-FS.
En handfull svarar att de gjort det som medlemmar i Sydarkivera, ytterligare några säger att de är på gång eller har strategisk inriktning i andra dokument men det absoluta flertalet uppger sig inte ha någon strategi.
Bland landstingen är det ingen av de svarande utom en region som anser sig ha en strategi motsvarande kravställningen i RA-FS 2009:1 men några har reglerat delelement i ett långtidslagrande som format.
Det man kan se i svaren är att många kommuner, landsting och regioner har försökt hitta olika typer av samarbetsformer för att gemensamt ta fram en inriktning där den mest framgångsrika tycks vara Sydarkivera.
Många respondenter uttrycker att frågan är svår att hantera autonomt eftersom man inte har kompetens eller resurser att ens utreda hur långtidsbevarandet skulle kunna gå till.
Och som någon påpekar ”Vi kommuner har ju ett speciellt förhållande till Riksarkivets föreskrifter.”, det vill säga att man kan välja att efterleva dem men det är inget tungt argument eftersom man inte är skyldig att följa dem.
är en imponerande ansats men inte heller den ger de svar som behövs.
Från myndigheterna har jag fått in svar där c.a.
50 myndigheter säger sig ha en strategi av vilka flertalet även bifogat strategin.
Det förekommer en hel del disclaimers av typen ”den har några år på nacken” eller ”vi håller på att omarbeta den”.
Ett antal myndigheter skriver också att de håller på att ta fram en strategi.
Det är ett rätt omfattande material att tränga igenom men det finns ändå några gemensamma drag som jag här ska sammanfatta i några punkter (observera att detta är generaliseringar – undantag finns).
Jag är också angelägen om att återigen understryka att frågans komplexitet som ställer nästintill orimliga krav de enskilda myndigheterna.
Först en glädjande observation: få myndigheter har idag som uttalad strategi att ta ut digital information i pappersformat för arkivering.
Visserligen förekommer detta fortfarande i verkligheten trots de mycket stora informationsförluster som detta leder till men nu är ambitionen åtminstone att komma vidare med ett kvalitativt bevarande av digital information.
De flesta strategier följer, föga förvånande, RA-FS:ens krav.
Efterlevnaden kan uppfattas som litet väl hörsam eftersom det i vissa fall blir en upprepning av vad som står i RA-FS med tillägget att ”det ska vi göra”.
Men det finns också många som gjort stora insatser för att beskriva hur den digitala informationen ska omhändertas konkret och i detalj.
Det gör att vissa av dokumenten kanske inte egentligen är strategier utan mer av riktlinjer eller instruktioner.
Genomgående är att myndigheterna har avgränsat scoopet för strategin till den egna verksamhetens verksamhetssystem eller förvaltningsobjekt trots att dagens e-förvaltning i allt högre grad innebär integrerade informationshanteringslösningar.
I de fall där det av strategierna ändå framgår att myndigheten ingår i myndighetsövergripande informationshantering nämns inte vad jag kunnat upptäcka hur detta ska hanteras arkivbildningsmässigt.
Jag kan inte se att eSam (en efterföljare till E-delegationen) ger någon vägledning i hur frågan ska omhändertas vare sig strategiskt eller operativt, teoretiskt eller .
Om jag ska utnämna en fråga som särskilt oroande är det just denna – att det skapas allt större allmänna handlingar där ansvaret för den långsiktiga hanteringen är till synes oklart.
Att för den enskilda myndigheten göra de utredningsinsatser som krävs för att lösa frågeställningen och därefter få accept på detta i ett större sammanhang framstår inte som en optimal inriktning.
Föreskriften är från 2009 och är som jag tidigare redovisat inriktad på system och elektroniska handlingar.
Det är sannolikt bakgrunden till att de strategier som jag tagit del av också är det.
Det handlar om verksamhetssystem, inte tjänster och inte heller processer, samt är i hel del fall länkade till myndighetens systemförvaltningsmodell.
Vissa formuleringar skulle kunna tolkas som att strategierna är tillämpbara även på tjänster.
Elektroniska handlingar kan förekomma även i tjänster och tjänster skulle kunna vara förvaltningsobjekt.
Sådana möjliga tolkningar verifieras dock inte i de mer instruktionslika tillvägagångssätt som ingår i strategierna.
Koppling till processorienterad arkivredovisning saknas ofta men man ser ansträngningar för att integrera arkivredovisning och bevarandeplaner (möjligen även klassificeringsstrukturer) på ett bra sätt men det framgår inte hur.
Trots det tekniska perspektivet är det svårt att se en verkligt strategisk inriktning i strategierna.
Man pekar ibland på att man valt en viss programvara eller en viss tjänst för lagring men inte för hur länge.
Ibland omnämns att överlämning till arkivmyndigheten inte är aktuellt, ibland berörs inte slutarkivering alls.
Sammantaget är jag imponerad av den kompetens som arkivarier lagt in i sina strategier.
Även om jag inte sett en strategi som jag tycker uppfyller alla krav så finns det en stor gemensam resurs i de många strategierna att crowd-sourca ur för att kanske skapa en gemensam linje.
Ur ett forsknings- och kulturarvsperspektiv finns det dock anledning att vara bekymrad.
Det finns en inte oväsentlig risk inte bara för att information inte arkiveras utan också för att den information som verkligen tas om hand kommer att sakna tillräcklig proveniens, kontext och återsökningsmöjligheter.

Att ta fram ett underlag för en nationell styrmodell för informationssäkerhet som byggde på vetenskapligt stöd för styrning generellt Att ta fram 5–10 generiska processer för kommuner inklusive den informations som skapas/används i processen samt i förlängningen Att skapa ett underlag för att ta fram gemensamma skyddsnivåer som skulle kunna tillämpas av både offentliga och privata aktörer Tillförlitlighet Äkthet Integritet (oförändrad) Användbarhet avtalshantering ansvarsutkrävande interna kontrollsystem upptäckt av avvikelser teknisk övervakning dataskydd patientsäkerhet medarbetares integritet medarbetares rättssäkerhet brottsutredning forensik fysiskt skydd Ta fram en grundmodell för informationsklassning inklusive skyddsnivåer.
Observera att skyddsnivåerna är den stora tunga uppgiften som kommer att kräva långsiktig förvaltning men som kan användas även andra organisationer t.ex.
som stöd för att efterleva NIS-direktivet.
Ta fram en certifieringsinstitution där leverantörer kan certifiera sina tjänster och system på olika skyddsnivåer.
Ta fram ett antal standardprocesser utifrån de obligatoriska uppdragen Identifiera informationen i dessa processer.
Ge stöd för att kartlägga vilka bärare som används för att hantera informationen.
Observera att det inte enbart gäller system och tjänster utan även andra bärare.
Ge förslag på en standardklassning av informationsmängderna.
Med detta som utgångspunkt kan ut skyddsnivåerna plockas fram krav både på den egna verksamheten, egen it och på externa leverantörer av tjänster.
Stärkt samordning av de frågor som påverkar vården i regeringskansliet och en stärkt roll för Socialstyrelsen som sammanhållande kraft i vården och beställare av it-lösningar hos e-Hälsomyndigheten, SKL m.fl.
Hur en gemensam infrastruktur ska kunna byggas upp i konkreta termer och ansvarsförhållandena för detta En ny patientdatalag som lever upp till dagens många olika behov och som inte genar när det blir svårt.
En arkivlag som kan tillgodse kravet på att bevara den gemensamma informationsinfrastruktur som uppstår inom bland annat e-hälsa.
I en ny arkivlag bör finnas utrymme för att fatta beslut om bevaranderegler även för andra än statliga myndigheter, t.ex.
ett krav på att viss vårdinformation ska bevaras för all framtid oavsett vårdgivare.
SKL:s roll med övervägande om liknande krav på öppenhet som gäller de ingående sjukvårdshuvudmännen.
Frågan bör ställas om SKL över huvud taget har de institutionella förutsättningarna att leverera gemensamma e-tjänster eller om detta istället bör ske av myndigheter Utred möjligheten att införa en lösning liknande den norska Normenden svenska vården.
Detta drev jag med klent gehör när jag jobbade på MSB men det är aldrig fel att vädra gamla käpphästar.
MSB måste våga överge sin beröringsskräck för verkligheten och kunna ge faktiskt stöd till bland annat vården.
Hur e-hälsan systematiskt ska utvärderas och vem som ska utföra det.

olika beteende vad de hur integrity inte sina sina sina 16 § på vilket sätt läsa alla all en sina sjukvårdsvårdshuvudmännen vårdgivare alla

Meny Inläggsnavigering

En anekdotisk bakgrund Vad bör man göra

MENU MENU Postat av Postad i , Tagged , Postat av Postad i Postat av Postad i , , Tagged , , , Postat av Postad i , , , , Tagged , , , , , Postat av Postad i , , , Tagged , , , , , , Postat av Postad i , , , , Tagged , , , , , Postat av Postad i , , , , Tagged , , , , , , Postat av Postad i , , , , , , , , Tagged , , , , , , , , , , Postat av Postad i , , , , , , , , Tagged , , , , , , , Postat av Postad i , , , , Tagged , , , , ← → Sök efter:

tillstånd förmåga egenskaper egenskap Informationssäkerhet och organisationskultur Vad är säker kultur Information Security Goals in a Swedish Hospital egenskap Allmänna råd Arkivbildarbegreppet och proveniensprincipen under press?
adminstrative bodies Göteborgs Stads föreskrifter och riktlinjer om arkiv- och informationshantering

Det har nu gått en vecka sedan dataskyddsförordningen trädde i kraft.
Under den förlidna veckan kom även Förvaltningsrättens utslag som gav Datainspektionen rätt gällande eHälsomyndighetens tjänst .
För mig var domen mycket välkommen eftersom jag redan sedan start uppfattat Hälsa för mig som en tjänst med skakig ansvarsfördelning och bristande säkerhet trots att den är tänkt att hantera känsliga personuppgifter från hela den svenska befolkningen.
Förra veckan skulle alltså kunna ses som en bra vecka för den personliga integriteten men det återstår verkligen mycket att göra.
En separat frågeställning som behöver lyftas är vikten av att få god information om hur personuppgifter hanteras för att kunna skydda den egna integriteten.
Individens komplicerade situation blev tydlig när jag såg en del reaktioner, framför allt från tjänsteleverantörer, angående Förvaltningsrättens utslag om Hälsa för mig.
Om jag tolkar dessa reaktioner rätt så uppfattar de det som någon form av omyndigförklarande av individer att de (individerna alltså) inte själva får bedöma säkerheten och integriteten i Hälsa för mig (plus i de appar som vidareutnyttjar information) utan att klåfingriga myndigheter lägger sig i. Själv tycker jag att det är en, hm, okonventionell hållning till myndigheters och leverantörers ansvar för sina tjänster som t.o.m.
Parks & Recreation hade en bättre analys av (i säsong 7 avsnitt 5 men hela serien rekommenderas naturligtvis!).
Komplexiteten ligger i att både kunna få kunskap om hur de egna uppgifterna hanteras för att kunna välja vilka risker man vill ta som individ samtidigt som det måste ställas krav på de personuppgiftsansvariga att ha nödvändig säkerhet och dataskydd i sina lösningar.
Båda dessa aspekter förutsätter att det finns god och dokumenterad kontroll över informationsflöden och säkerhetsåtgärder som går att presentera.
Först då finns en situation där individen kan känna tillit till den personuppgiftsansvarige och välja att antingen nöja sig med det eller att fatta ett informerat val att till exempel undandra eller spärra sina uppgifter.
Samtidigt gjorde jag inspirerad av dataskyddsförordningen ett experiment att försöka få en presentation av hur mina personuppgifter hanteras i vården.
I patientdatalagen finns regler om hur utlämnande av patientuppgifter får ske till andra vårdgivare och hur individen kan förhindra att så sker.
Detta förutsätter att patienten får kännedom om hur åtkomst och potentiell åtkomst till uppgifterna om den egna vården ser ut vilket också får ses som ett grundläggande krav i dataskyddsförordningens tillämpning.
Utan att känna till hur uppgifterna hanteras kan jag inte invända mot hanteringen och eventuellt begära en spärr.
Hittills har mitt experiment att få reda på hur mina uppgifter går från vårdcentralen in i någon typ av sammanhållen journal som sedan finns tillgänglig via bland annat den nationella tjänsten NPÖ för andra vårdgivare gått sisådär vilket kommer att avrapporteras senare.
Men dessa två sammanfallande förlopp fick mig att fundera på den ständiga frågan som ställts till mig i min yrkesroll under våren angående dataskyddsförordningen: ”Vad vi göra?” – som för att hitta miniminivån.
Ett bra steg vore om myndigheter och andra i tillitsbranscher som vården istället formulerar frågan som: ”Vad vi göra för att uppnå en god integritet?”.
Omformuleringen skulle i bästa fall kunna leda till att organisationen internaliserar integritet som ett värde för den egna verksamheten istället för ett mer ögontjänande uppfyllande av externa krav.
Då skulle individens intresse av att skydda sin integritet och det av detta följande behovet av att få god information om personuppgifterna hanteras få en betydligt högre dignitet.
Mitt till leda upprepade mantra att det inte handlar om exempelvis patientsäkerhet integritet utan om patientsäkerhet integritet skulle i så fall falla ut som ett självklart mål.
Trots att jag intresserat mig för hur vårdinformation hanteras under många år har jag aldrig sett någon flödesbeskrivning som beskriver hur information, tjänster, infrastruktur och organisationer interagerar på ett mer heltäckande sätt.
Det är möjligt att det finns men inte ens i de statliga utredningar om e-hälsa m.m.
där jag funnits med i utkanten har jag sett den typen av beskrivningar.
Det samma gäller för övrigt för e-förvaltning och digitalisering.
Det är möjligt att det finns men då så i skymundan att inte ens den intresserade finner dem.
Övergripande process- och flödesbeskrivningar skulle naturligtvis inte bara var av stort värde för enskilde utan också för myndigheter och företag som administrerar olika tjänster i flödena.
Avsaknaden av gemensam kartbild kan vara en starkt bidragande orsak till den, trots idoga och stora satsningar, inte så lyckosamma digitaliseringen.
Men just nu är jag mest intresserad av den torftiga beskrivning av den i verkligheten mycket komplexa hanteringen av mina patientuppgifter som sker i lokala och nationella tjänster.
I mitt hemlandsting finns denna som visserligen är korrekt men knappast begriplig för den vanliga patienten.
I andra sammanhang betonas ofta vikten av att sätta patientens intresse i centrum och att det ska finnas en valfrihet.
Varför skulle inte samma inriktning tillämpas på integritetsfrågan?
Jag har därför några förslag som skulle kunna stärka patientens ställning.
Första förslaget: Ta fram en infograf över hur patientinformation flödar inom och mellan vårdgivare och olika leverantörer.
Med litet god vilja och innovation borde det på sikt vara möjligt att göra för den enskilde patienten men ett första steg är att visa det på en generell nivå.
Detta skulle också vara ett stort stöd i enskilda vårdgivares presentationer av hur patientens information kommer att hanteras.
Dessutom skulle mödan att beskriva den mycket intrikata informationsstruktur som byggts upp vara väl värd sett även för att få en större förståelse hos de som fortsättningsvis ska bygga vidare – kanske resulterar det t.o.m.
i en planerad utveckling.
Ett konkret förslag är att regeringen ger eHälsomyndigheten ett uppdrag att ta fram övergripande flödesbeskrivning med inriktning på personuppgifter.
Kanske bör den nya digitaliseringsmyndigheten få motsvarande uppdrag på e-förvaltningssidan.
Som den baksluga människa jag är ser jag hur starkt dessa beskrivningar skulle kunna bidra till informationssäkerheten, kontinuitets- och incidenthanteringen och till möjligheten för långsiktigt bevarande av information med autenticitet.
I flöden bör det även framgå var valmöjligheter finns för individen, d.v.s.
där man kan välja att avstå från att låta personuppgifter om en själv gå vidare.
Andra förslaget: Ett flertal av sjukvårdshuvudmännen har struntat i att efterleva PDL och inte lyckats införa möjligheten för patienten att spärra sin journal.
Kommunikationen från vårdgivarna om spärrar har också varit märklig där det ofta framstått som att man löper stora hälsomässiga risker om man vill begränsa åtkomsten till vårdinformationen.
Spärrarna är som idé en mycket klumpig form av åtkomstbegränsning som understödjer den typen av hotfulla undertexter eftersom det handlat om allt eller inget, d.v.s.
att man spärrar stora delar av vårdinformationen oavsett vilken typ av information det är.
Mitt förslag är därför att eHälsomyndigheten får i uppdrag att ta fram ett mer dynamiskt åtkomstskydd som skulle kunna leda till en större valfrihet för mig som patient.
Till exempel så skulle jag kunna få välja att endast ge tillgång till information om läkemedel och överkänslighet medan övrig information får efterfrågas vid behov.
Tredje förslaget: eftersom vården uppenbarligen inte klarar att ha en integritetsskyddande behörighetshantering (det räcker att se på de inspektioner som Datainspektionen genomför för att konstatera det) så är pseudonymisering ett alternativ för vården vilket jag skrev om redan (här vädras verkligen gamla käpphästar).
Pseudonymisering som del i ett privacy by design-arbete i vården skulle ha många fördelar för integritet och säkerhet men skulle kräva en stor sammanhållen insats och en sannolikt en förmåga till samordning som saknas idag.
Men ändå, även detta skulle kunna vara en gemensam uppgift för eHälsomyndigheten och digitaliseringsmyndigheten.
Eller kanske Vinnova skulle kunna ge stöd till några entreprenörer som vill ta fram en pseudonymiseringsapp kopplad till BankID som skulle låta oss faktiskt välja hur mycket vi vill att andra ska veta om oss?
Det finns med största säkerhet många invändningar mot mina förslag men om jag får åtminstone några att fundera över integritetsfrågor på ett mer kreativt sätt än vad som synes ske idag lovar jag att var nöjd.
För mig är informationsförvaltning och informationssäkerhet nära sammanhängande frågor med många gemensamma förutsättningar och problem.
Det största gemensamma problemet är kanske att de sällan integreras sinsemellan och inte heller med det som kallas digitalisering.
Eftersom jag fått uppdrag att skriva en bok om dessa frågor började jag fundera på hur jag skulle få en bättre bild av hur sambanden ser ut i praktiken.
En fråga som utkristalliserade sig var e-arkiv som en del av informationsförvaltningen.
För att kunna förstå frågan på rätt sätt är det viktigt att först analysera betydelsen av ”arkiv” och därmed av ”e-arkiv”.
Trots att det både säljs och köps s.k.
e-arkivlösningar finns det ingen definition av vad detta skulle kunna vara.
Jag kommer att återkomma till denna fråga i ett senare inlägg men här nöjer jag mig med att utgå från att e-arkiv är en process för att långsiktigt bevara digital information med autenticitet, spårbarhet, konfidentialitet, sökbarhet samt med processuella värden i behåll.
Samtliga dessa krav kan finnas i olika grad beroende på den information som ska bevaras.
Den som delar min bedömning om vad ska ses som ett e-arkiv är sannolikt beredd på att acceptera att informationssäkerhet och e-arkiv har starkt inbördes beroende.
Min utgångspunkt är också att en stor del av allmänna handlingar ska bevaras över tid liksom en inte obetydlig del av den information som produceras i privata verksamheter.
Även om kraven på konfidentialitet och tillgänglighet i de flesta fall klingar av så är ändå slutsatsen att e-arkivlösningar måste kunna erbjuda minst lika bra informationssäkerhet som de digitala lösningar som hanterar informationens mer aktiva skeden.
För e-arkivet ökar istället kraven på autenticitet som kan sägas vara en kombination av spårbarhet och riktighet.
Genom den aggregering av information som planeras i många e-arkivlösningar ökar också kraven på att skydda mot obehörig åtkomst.
Utan att utveckla detta ytterligare så måste med dessa förutsättningar ett mycket aktivtomge e-arkiven med riskanalyser och informationsklassning m.m.
på minst samma nivå som för andra digitala lösningar.
I en allt mer digital värld är jag också mycket nyfiken på hur dessa frågor ska lösas nationellt och om vi inte måste tänka på ett annat sätt när det gäller det långsiktiga bevarandet än vad vi gjort när det gäller pappershandlingar.
För den oinvigde har Riksarkivet varit slutarkivet för de allmänna handlingar som produceras i statliga myndigheter som i långsam process likt sedimentering vandrar från aktivt skede via mellanarkiv till slutlagring.
Digitaliseringen gör hela denna process onödig, de digitala handlingar som ska bevaras för eftervärlden skulle kunna överföras till slutarkiv i samma ögonblick som de skapas och en kopia hanteras i verksamheten.
Ändå tycks tankegången fortfarande var densamma i praktiken och någon slags mellanarkiv för digital information byggas upp av Statens Servicecenter som outsourcar tjänsten till något av de stora leverantörerna.
Jag ställer mig frågande till hela tanken i detta, att tjänsten byggs upp inte av den myndighet med ansvar och kompetens inom arkivområdet utan en annan, men också inför hur erbjudandet eller påbudet uppfattas av de myndigheter som förväntas delta.
Detta är bakgrunden till att jag i början av 2018 skickade ut en enkät till samtliga myndigheter, regioner/landsting och kommuner med följande frågor: Har ni tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1?
Om ja skulle jag, om möjligt, vilja ta del av den.
Har ni en egen e-arkivlösning eller planerar ni att köpa en tjänst för det eller på annat sätt anlita utomstående?
Om ni planerar att köpa en tjänst eller anlita utomstående: ser ni det som ett mellanarkiv?
Vilken tidshorisont har ni för nyttjandet av tjänsten?
Har ni en Plan för informationssäkerhet enligt 6 kap RA-FS 2009:1?
Om ja skulle jag, om möjligt, vilja ta del av den.
Om/när ni tagit fram en egen e-arkivlösning alternativt anlitat utomstående för tjänsten, har detta då föregåtts av en riskanalys och informationsklassning?
Vilka är, som ni ser det, de viktigaste kraven på informationssäkerhet när det gäller e-arkiv?
Ur offentlighetsperspektivet är svarsfrekvensen dyster för detta är hur många som svarat till dags dato trots att förfrågan även innehöll en begäran om att få ta del av allmän handling: 62 kommuner (21 % av samtliga tillfrågade) 8 regioner/landsting (40 %) 86 myndigheter (24 %) Några noteringar kan göras rörande de svarande.
Bland kommuner är det påfallande att det snarare är de små kommunerna som ansträngt sig för att svara än de medelstora eller stora.
Bland myndigheterna har universitet och högskolor varit exceptionellt bra på att svara (75 %).
Av de myndigheter som ingår i eSam som är ”ett medlemsdrivet program för samverkan mellan 24 myndigheter och SKL.
Samarbetet syftar till att underlätta och påskynda digitaliseringen av det offentliga Sverige.” och som bland annat drivit på frågan om öppna data är det knappt hälften av de ingående myndigheterna som svarat på enkäten.
Här skulle man kanske kunna önska litet mer av att leva som man lär och en vilja att förmedla information även i praktiken.
Hela tanken så som den formuleras idag är att ett ”e-arkiv” på något sätt är en applikation i egen regi, i samverkan, hos en myndighet eller i form av en molntjänst.
Därför tyckte jag också att det var intressant att ställa frågor till olika typer av leverantörer hur de formulerat säkerhetskraven på sina lösningar.
Här var svarsfrekvensen extremt låg när jag ställde dessa frågor: Kan ni redovisa på vilket sätt ni arbetat med informationssäkerhet i tjänsten?
Vilka ser ni som de främsta informationssäkerhetsriskerna kopplade till tjänsten?
Kan ni erbjuda tjänsten på olika skyddsnivåer?
Är alla typer av information möjlig att hantera i dem?
Vilka krav ställer ni på eventuella underleverantörer?
Hur ser ni på ert ansvar i förhållande till användarna av tjänsten då det gäller att uppnå tillräcklig informationssäkerhet?
Har ni ett eget internt ledningssystem för informationssäkerhet (LIS)?
Har ni en utpekad informationssäkerhetsansvarig i er organisation?
Har ni ett eget standardförslag på personuppgiftsbiträdesavtal och är det i så fall möjligt för mig att få ta del av?
Är tjänsten planerad för att klara NIS-direktivet och civilt försvar?
Jag har på dessa frågor inte fått ett enda svar som inte varit av typen ”varför ställer du de frågorna” eller ”kan vi ta det per telefon istället”.
Statens Servicecenter var dock mycket snabba och tillmötesgående och skickade över kravspecifikationen de använt när de försökt upphandla tjänsten e-arkiv.
Min slutsats är att leverantörerna: Inte fått tydligt formulerade säkerhetskrav på sina tjänster Inte har tagit fram ett generellt presentationsmaterial som redovisar vilken säkerhet som deras tjänster erbjuder.
Att säkerhet i tjänsten inte är självklara frågor ser jag som mycket bekymmersamt och som en klar brist på mognad hos dessa tjänster vilket också komplicerar situationen för särskilt mindre organisationer som planerar att upphandla ett ”e-arkiv”.
I nästa blogginlägg kommer jag att redovisa de svar som inkommit från kommuner, landsting/regioner och myndigheter.
Den minnesgode kommer ihåg att jag tyckte det saknades några frågor vid den öppna utfrågningen i riksdagens försvarsutskott om cybersäkerhet för ett par veckor sedan.
För att inte bara planlöst gnälla ska jag formulera några av de frågor jag själv skulle ställt i rollen som en hyfsat insatt folkvald ledamot i försvarsutskottet.
Rollen kräver ju en något mer nobel approach än den som småaktig bloggare.
Jag kommer därför naturligtvis inte att ställa tråkiga frågor som vad cybersäkerhet betyder eller vad det är för värden på axlarna på MSB:s bild över utvecklingen av digitalisering respektive cybersäkerhet även om jag grubblat över detta sedan jag såg den.
Jag ska heller inte göra banala zingers av typen ”här ser vi hur man försöker lösa morgondagens frågor med gårdagens lösningar.”.
Istället kommer jag att försöka ställa fem övergripande frågor som jag menar är av betydelse för samhället och inte bara för samhällets säkerhet.
– Herr ordförande, vi har nu fått en genomgång av ett statsråd och fyra myndighetsföreträdare.
Tyvärr kan inte genomgången ha lett till en bra helhetsbild av frågan.
Varje myndighetsrepresentant har presenterat sin myndighets perspektiv på ett sätt som får åhöraren att känna sig som på toppen av ett utsiktstorn där det bara är möjligt att beskåda utsikten genom fyra fastlåsta och begränsade kikare.
Själva vyn är osynlig genom dessa tunnlade perspektiv.
När vi som folkvalda får en presentation där cyberförsvar, säkerhetsskydd, samhällsviktig verksamhet, och den vardagliga informationssäkerheten presenterade som helt separerade spår är det lätt att förstå den vanmakt som många aktörer som förväntas göra något i praktiken känner.
I NISU-utredningen 2015 var det första åtgärdsförslaget för att förbättra informationssäkerheten att utveckla en nationell styrmodell för informationssäkerhet: En nationell styrmodell för informationssäkerhet består av ett antal komponenter som måste utvecklas och förvaltas över tid.
En del är ett sammanhållande regelverk som innehåller olika nivåer av reglering under föreskriftsnivån, det vill säga en regelhierarki som motsvarar ett ledningssystem inom en organisation.
Förutom de resurser som krävs för att utveckla och förvalta styrmodellen krävs en lösning för anslutning och efterlevnadskontroll som löpande samordnas med andra intressenter.
I detta ligger också omfattande utbildningsinsatser.
I styrmodellen är informationsklassning den mest omfattande aktiviteten som går från processorienterad informationskartläggning via själva klassningsmomentet till utvecklade gemensamma skyddsnivåer.
För att skyddsnivåerna ska kunna fylla sin funktion krävs omfattande insatser av både egen och extern kompetens inom områdena administrativ, fysisk och it-inriktad säkerhet.
Slutligen förutsätter en nationell styrmodell en väl utvecklad kunskapsstyrning.
Kunskap kan i detta sammanhang röra sig om kunskap om metoder men i ännu högre grad om att kunna ge ett vederhäftigt underlag för en styrning utifrån risk.
Det innebär att kunna förmedla en uppdaterad riskbild och att samtidigt kunna förmedla stöd för riskreducerande åtgärder.
Behovet av en nationell styrmodell förefaller större än någonsin, inte minst sett i perspektivet av att försöka samordna digitalisering och säkerhet.
Min fråga till statsrådet är därför var detta förslag hamnat.
En följdfråga till myndighetsföreträdarna är om det är omöjligt att utan ett formellt uppdrag från regeringen börja samarbeta på ett sätt som leder till konkreta samordnade stöd för – Herr ordförande, två konkreta frågor angående molntjänster.
I efterdyningarna av skandalen vid Transportstyrelsen har molntjänster blivit en huvudfråga för regeringen när det gäller säkerhet.
Samtidigt vet vi att molntjänster redan används i stor omfattning av svenska myndigheter, kommuner och regioner/landsting, att de ger effektiva lösningar och i många fall bättre säkerhet än om verksamheterna själva skulle drifta och förvalta i egen miljö.
Många av de tjänster som idag finns även som applikationer för egen förvaltning kommer snart enbart att finnas som molntjänster.
Samtidigt är det svårt för Söpple kommun att ställa krav på Microsoft och Google angående säkerhet och integritetsskydd.
En lösning som skulle kunna ge både bättre säkerhet och nödvändig effektivitet var om svenska staten på samma sätt som den tyska sluter ett gemensamt avtal med några av de stora jättarna.
Jag förstår problematiken när det gäller konkurrensfrågor m.m.
men vill ändå ställa frågan om detta är något regeringen överväger eller om varje kommun och myndighet även fortsättningsvis ska försöka lista ut om det är juridiskt korrekt att använda Office 365 samt ta fram sina egna avtal.
Jag skulle också vilja fråga om den ändring som redan skett, nämligen att SÄPO och Försvarsmakten tilldelats en vetorätt när det gäller utkontraktering av information från säkerhetskänslig verksamhet.
Detta ställer ju ansvarsprincipen på ända och jag funderar i detta sammanhang om regeringen ser framför sig även andra förändringar i denna grundpelare i svensk förvaltning.
Vem tar ansvar för verksamheten i det här fallet – SÄPO eller verksamhetsledningen?
-Herr ordförande, under dagens presentationer är det lätt att få föreställningen att säkerhet är ett enkelt och entydigt begrepp samt att säkerhetsåtgärder alltid är obestridligt ”goda”.
Den som ägnat minsta tanke åt detta och kanske dessutom kanske ändå studerat lite samhällsvetenskap, historia eller filosofi vet naturligtvis att så inte är fallet.
Säkerhet existerat alltid i en relation till andra värden.
En supersäker lösning som skulle förhindra alla brott vore att låsa in alla medborgare och slänga bort nyckeln för att dra frågan över det löjligas gräns.
Samtidigt måste jag som folkvald naturligtvis beakta de olika intressen som finns i samhället och som delvis står i konflikt med ”säkerhet”.
För mig framstår det som det finns tre värden som ständigt kommer i konflikt med den renodlade säkerheten; effektivitet, demokrati och individens integritet.
I digitaliseringssträvandena ligger önskan om effektivitet.
Demokrati i den form vi känner den är ett centralt element insyn och delaktighet.
Övervakning är per se en inskränkning i integritet.
Jag hörde ingen av talarna ta upp dessa konflikter och ställer därför frågan om myndighetsföreträdarna ser det som liggande utanför sitt uppdrag att även ta hänsyn till denna typ av aspekter.
Det är i så fall viktigt att veta eftersom utgångspunkten då måste vara att myndigheterna agerar som ”säkerhetsnördar” och de övriga perspektiven måste tillföras från annat håll innan beslut tas i viktiga frågor.
– Herr ordförande, jag tror vi alla är överens om att det finns ett stort behov av att utveckla informationssäkerheten i Sverige.
En absolut vital förutsättning för att kunna göra det är att det finns tillgänglig kunskap och kompetens på olika nivåer.
Min bedömning är att detta behov är skriande idag alltifrån den vetenskapliga nivån till att det saknas tusentals informationssäkerhetsansvariga företag, kommuner, landsting och myndigheter.
Detta leder till att vi inte vet vad vi ska göra för att faktiskt vara effektiva och att det saknas operativ förmåga att bedriva det säkerhetsarbete som åläggs olika aktörer.
Situationen kommer knappast att förbättras av sig själv eftersom det idag endast finns en handfull utbildningsplatser per år för att utbilda kompetenta informationssäkerhetsansvariga.
Många av de som idag är informationssäkerhetsansvariga (eller kallar sig certifierade och informationssäkerhetsexperter) saknar helt utbildning inom området.
Fortbildningsbehovet är därför oerhört stort.
Ytterligare en aspekt är att kunskapsuppbyggnad bygger på ett kritiskt tänkande och en öppen dialog.
Ett intryck från säkerhetsområdet är att det ofta präglas av en tystnadskultur och en anti-intellektualism.
Detta bygger, tror jag, på tradition, på att det saknas arenor för ett intellektuellt utbyte i säkerhetsfrågor och på att en osäker profession sluter sig inom sig själv i kotterier.
För att komma vidare och hitta den goda säkerhetskulturen som skapar kunskap och insikt även på den nationella nivån krävs insatser även från myndigheterna.
Min fråga är hur det stora kunskaps- och kompetensbehovet ska tillgodoses och hur myndigheterna kan verka för en god säkerhetskultur med kritiskt tänkande även i de nationella sammanhangen.
– Herr ordförande, en sista fråga.
I de presentationer vi tagit del av lyfts diverse försumligheter och bristande medvetande hos samhällets aktörer fram.
Däremot sägs mycket litet om och i så fall hur myndigheterna med särskilt ansvar för säkerhet bedriver en systematisk utvärdering av sina egna insatser.
Utvärdering är ju en grundläggande aktivitet i ett systematiskt arbetssätt och det finns därför anledning att anta att denna kvalitetshöjande mekanism måste vara inbyggd i myndigheternas verksamhet.
Detta framgår dock inte i de årsredovisningar jag tagit del av och inte heller i dagens presentationer.
Därför skulle jag vilja ställa frågan om den bristande säkerheten alltid är någon annans fel eller om det är möjligt att myndigheterna sett anledning att även förbättra sina egna insatser?
Det är klart man bänkar sig framför tv:n (i ärlighetens namn bakom en datorskärm) när riksdagen har en öppen utfrågning om cybersäkerhet vilket skedde förra Sändningen börjar med en lång och mycket grynig mingelupptagning när alla deltagare och åhörare ska leta upp sina platser.
Trots mitt seriösa intresse för frågan uppstår nästan omedelbart samma problem som under de senaste veckornas rapportering från Svenska akademien; gränsen mellan fiktivt och faktiskt berättande glider ihop.
Jag och mitt sällskap följer de stela tjänstemannakramarna, den tidigare statliga chefen som nu blivit lobbyist som ivrigt söker sällskapet hos sina tidigare kollegor, den aningen nervöse talskrivaren som flackar med blicken och hoppas på att chefen ska hålla sig till manus och inte sväva ut i egna funderingar, den tidigare myndighetschefen som överraskande dyker upp.
Soundtracket till House of cards tonar upp i medvetandet och det är med stigande intresse man följer scenen.
Enda missen sett ur ett underhållningsperspektiv är den tekniska kvaliteten och att personaget inte introduceras.
Den nerv som fanns i minglet dör tråkigt nog ut i samma ögonblick som redovisningarna av vad som sker på cybersäkerhetsområdet börjar.
Först ministern, sedan myndighetscheferna i tur och ordning.
Det mest förvånande är att absolut inget förvånande sägs.
Det är exakt samma saker som sägs som har upprepats i 15-20 år.
Inga nya lösningar, inga nya självinsikter och inga reflektioner av vad som skulle kunna ändras hos myndigheterna själva.
Naturligtvis förekommer ordet ”cyber” mer ymnigt än någonsin och aktuella catch phrases som ”det förändrade omvärldsläget”.
Nya aningen dunkla fenomen som ”civila cyberförsvaret” förs in utan att det klargörs vad exakt detta skulle vara.
Axiom som att brister upptäcks när incidenter rapporteras ventileras.
Det mest genomgående temat är att de utfrågade myndigheterna säger sig behöva ännu mer resurser.
Alltså i sak intet nytt.
Däremot saknar i alla fall jag ett analytiskt förhållningssätt där man faktiskt kommer in på frågan hur intresseavvägningen mellan den effektivitet som digitaliseringen står för och en bättre säkerhet ska göras på samhällsnivå.
Eller hur det demokratiska samhället ska leva ihop med den ständigt ökade övervakningen från både företag och staten.
Sammantaget blir utfrågningen en god illustration över varför nuläget är som det är: säkerhetslägret och digitaliseringslägret är som två cykloper som möts och aldrig skapas ett stereoseende.
Inte heller då riksdagsledamöterna släpps in för att ställa frågor efter statsrådets och myndighetschefernas redovisningar tillkommer något nytt perspektiv.
De folkvalda håller sig hovsamt inom den uppdragna ramen och ställer välvilliga frågor som möts av föga förvånande svar.
Enda gången där det hettar till är när det bekymmersamma läget i kommunerna återkommande lyfts fram och en representant från SKL i lätt agiterad ton hävdar att tillståndet minsann är bättre än så eftersom så många kommuner börjat använda KLASSA (!).
För att övertyga den som inte tror mig har jag sammanställt ett litet quiz där den som vill får gissa om citaten kommer från den öppna utfrågningen förra veckan eller från För att göra det litet svårare har jag bytt ut ”informationssäkerhet” i texten från 2005 mot ”cybersäkerhet”.
Innebörden i begreppsanvändningen är mycket likartad i detta sammanhang och samtliga talare förra veckan.
Den som först sänder in ett rätt svar bjuder jag på lunch eller ett glas efter jobbet.
Skicka in en tipsrad med A för SOU 2005:42, B för citat från utfrågningen.
En rimlig ståndpunkt är att tydliga begrepp i de flesta fall är en förutsättning för en fungerande kommunikation.
Personligen ser jag kommunikation som det viktigaste redskapet för att få till en fungerande informationssäkerhet både i den egna organisationen och nationellt.
Därför är begrepp inom informationssäkerhet en avgörande faktor för att lyckas.
Ett begrepp som gjort en raketkarriär är cyber.
Det är inte bara en allmän känsla utan stöds också av en sökning i Retriever, se graf: I många sammanhang, även från regeringen, lyfts betydelsen av s.k.
cybersäkerhet fram som en central fråga för det svenska samhället.
Jag uppfattar försvarsminister Peter Hultqvist som en informell rekordhållare då han lyckades säga ”cyber” inte mindre än 36 gånger i ett men då krävdes det också stycken som det här för att lyckas: Cyberdomänen, eller cyberrymden, vad vi än väljer att kalla den, har kommit att bli en ytterligare arena för militär och annan verksamhet.
Den trenden har varit tydlig under en tid.
Tidigare rapporter från Försvarsberedningen har lyft fram de problem och risker som präglar cyberdomänen.
Den tilltagande antagonistiska dimensionen i cyberrymden gör det nödvändigt att utveckla och stärka cyberförsvarsresurser.
Vi kan se att ett flertal länder i världen har gjort just det.
Det försvarspolitiska inriktningsbeslutet från 2015 innehöll ett tydligt och nytt steg i arbetet med svenskt cyberförsvar.
Här förekommer även sammansättningar som cyberdomänen respektive cyberrymden som antingen är samma sak eller möjligen inte eftersom begreppen används varannan gång t.o.m.
Detta är kanske bara ett uttryck för språkglädje där man vill variera uttrycken.
Hur som helst har begreppet ”cyber” här någon slags rumslig dimension.
I den nationella strategi för samhällets informations- och cybersäkerhet som regeringen presenterade 2017 och som statsrådet hänvisar till i sitt anförande saknas dock denna rumsliga dimension då begreppen som utgör strategins ämne definieras: Med informations- och cybersäkerhet avses i denna skrivelse en uppsättning säkerhetsåtgärder för bevarande av konfidentialitet, riktighet och tillgänglighet hos information.
Med konfidentialitet avses att obehöriga inte ska kunna ta del av informationen.
Med riktighet menas att informationen inte förändras, manipuleras eller förstörs på ett obehörigt sätt.
Med tillgänglighet menas att behöriga ska kunna ha tillgång till informationen på det sätt och vid den tidpunkt som tjänsterna erbjuder.
För informationssäkerhet som avser digital information används i denna skrivelse även begreppet cybersäkerhet.
I denna skrivelse används begreppen beroende av sitt sammanhang, där exempelvis cybersäkerhetsbegreppet är vanligt förekommande i en internationell .
Det är litet svårt att se skillnaden mellan informations- respektive cybersäkerhet men jag tolkar det som att man ser cybersäkerhet som en delmängd av informationssäkerhet där cybersäkerhet bara handlar om ”digital information”.
Cybersäkerhet anses också mer ”internationellt”.
För mig är blir det aningen besynnerligt att tala om digital information eftersom det blir en mix av information och bärare– när man exempelvis klassar information är det ju inte mediet som klassas utan informationsinnehållet.
För att få bättre bild av hur begreppet används av de myndigheter som har särskilda ansvar inom området och därmed ofta kommunicerar med begreppet i fokus skrev jag en enkel fråga till tre av dessa myndigheter; Försvarsmakten, SÄPO och MSB.
Begreppet ”cyber” används flitigt för tillfället.
Jag skulle behöva ha x:s definition av begreppet eftersom det används på olika sätt i olika sammanhang.
Samma dag fick jag svar från Försvarsmakten med en hel ordlista ( ) med sammansättningar med ”cyber”, däribland cybersäkerhet: Cybersäkerhet är den samling av säkerhetsåtgärder, riskhanteringsmetoder och tekniker som kan användas i syfte att bevara konfidentialitet, riktighet, spårbarhet och tillgänglighet i cyberrymden.
En stor eloge till FM för denna goda service!
Definitionen pekar mindre på styrning på organisatorisk men desto mer på konkreta säkerhetsåtgärder, alltså ganska långt från ledningssystem.
Åtgärderna ska vidtas i cyberrymden (med synonymer som cyberspace, cybermiljön, cyberarenan, cyberdomänen) som enligt begreppslistan är: Cyberrymden är den del av informationsmiljön som består av de sammanlänkade och av varandra beroende it-infrastrukturer, som möjliggör kommunikation, med tillhörande data och information.
Den inkluderar internet, intranät, telekommunikationssystem, it-system samt inbyggda processorer och styrenheter.
Jag uppfattar det som cyberrymden är den gemensamma tekniska infrastrukturen men inte informationen i sig.
Från SÄPO kom efter en knapp vecka det något förvånande svaret: Hej, Säkerhetspolisen har ingen egen definition av begreppet cyber.
Det är inte ett begrepp som används primärt i vår verksamhet.
Förvånande eftersom ”cyber” förekommer flitigt på SÄPO:s webbplats, i olika rapporter och utåtriktad verksamhet som och för att bara ta ett par exempel.
Slutligen då MSB där svaret satt hårdare inne och inte kom förrän efter en dryg månad: Hej!
Ordet ”cyber ”kan inte anses stå för sig själv, utan används av MSB i sammansättning med andra ord, främst ”cybersäkerhet”.
Beroende på sammanhanget använder MSB ordet ”cybersäkerhet” med något olika betydelse: MSB har under flera år engagerat sig i terminologifrågor och stöttar bl.a.
SIS i arbetet med terminologi på informations- och cybersäkerhetsområdet.
MSB planerar inte att ta fram en egen definition av begreppet cyber, eller cybersäkerhet.
De definitioner/beskrivningar som myndigheten behöver kunna använda är, enligt ovan, bl.a.
från regeringens strategier, standardiseringsorgan (ex SIS), FN, EU samt Nato.
Cyber/cybersäkerhet förekommer i dag i förslag till reglering från EU (den s.k.
cybersäkerhetsakten, COM(2017) 477 final).
Myndigheten har därmed tre olika definitioner för olika sammanhang och har dessutom gjort en egen utveckling av den definition som fanns med i 2017 år nationella strategi.
Detta blir aningen motsägelsefullt när man samtidigt säger sig använda befintliga definitioner/beskrivningar och inte utveckla egna.
Formuleringen om SIS undviker elegant att MSB faktiskt inte använder den definition av cybersäkerhet (”cyber” i sig själv ingår inte) som finns terminologin SIS-TR 50:2015 (tyvärr är jag inte länka till terminologin eftersom den inte är fritt tillgänglig): bevarande av konfidentialitet, riktighet och tillgänglighet hos information i cyberrymden Cyberrymden;telerymden har i sin tur definitionen: abstrakt rymd som utgörs av digital kommunikation mellan datornätverk och där all digital information befinner sig Med den förtydligande kommentaren: Cyberrymden innefattar all kommunikation via internet samt telekommunikation.
En cyberrymd möjliggörs av den hårdvara och de system som ingår i en infrastruktur.
Jag är inte alldeles säker på att jag förstår vad detta exakt betyder.
Terminologin verkar dock ha den implicita uppfattningen att ”cyber” har med internationella konflikter och antagonism att göra vilket markeras redan i det inledande stycket till kapitlet om Samhällets informations- och cybersäkerhet: Varje dag utsätts svenska myndigheter och företag för cyberattacker.
Detta har bidragit till att bl.a.
frågor om cybersäkerhet och cyberresiliens har blivit mer aktuella inom olika branscher.
Sverige, liksom många andra europeiska länder, har på senare år börjat uppmärksamma risken för cyberattacker som en global och militär hotbild.
Det är därför viktigt att introducera cybersäkerhet inom olika branscher för att öka förståelsen och kompetensen för hur man kan skydda information från dessa hot.
Cybersäkerheten har medfört nya termer, men eftersom området fortfarande är nytt kan dessa termer komma att ändras och det kommer att krävas fortsatt terminologiutredning inom detta område.
Det verkar inte råda någon konsensus om skillnaden mellan informations- och cybersäkerhet, utan de två termerna används ibland omväxlande.
Ibland används termen informationssäkerhet när inriktningen ligger på informationen och termen cybersäkerhet när det handlar om den digitala domänen; ibland ses cybersäkerhet som informationssäkerhet på en global nivå .
Samtliga sammansatta ord med förleden cyber som presenteras i terminologin är företeelser som skulle kunna ingå i en krigföring eller terrorism på hög nivå (cyberattack, cyberavskräckande, cyberförsvar, cyberkrigföring, cyberoperation osv.).
I en lustig cirkelrörelse hänvisar man i en fotnot till SOU 2015:23 (NISU) och den begreppsdiskussion som förs där på sidan 40: En grundläggande definitionsfråga för hela den svenska informationssäkerhetsnomenklaturen handlar just om innebörden av det svenska begreppet ”informationssäkerhet”.
På engelska är detta begrepp uppdelat i två betydelser dels ”Information Security” som utgår från ett tekniskt perspektiv och återspeglas i ISO 27001-standarden, dels i ”Information Assurance” som utgår från ett nationellt säkerhetsperspektiv och där även organisation och policy ingår.
I tidigare utredningsarbeten gjordes försök att särskilja det senare begreppet från det förra genom att introducera termen ”informationssäkring”, vilket också infördes i SIS-nomenklatur.
Begreppet – liksom den förenklade varianten ”övergripande informationssäkerhet” – vann aldrig någon uppslutning i det offentliga Sverige då det ansågs för komplicerat att beskriva.
Följden har dock blivit olyckliga sammanblandningar i begreppens innebörd – inte minst i internationella sammanhang.
Cybersäkerhetsbegreppet är mer strategiskt och fokuserar mer på nationella och internationella nätverk.
Därmed har cybersäkerhet en större internationell räckvidd med t.ex.
folkrättsliga frågeställningar och normer på cyberområdet än det mer tekniska informationssäkerhetsbegreppet.
Det senare har en större tyngdpunkt mot hård- och mjukvara samt standardisering.
Motivet för fokus mot cybersäkerhet är att det är på detta område som statsmaktsperspektivet behöver utvecklas då frågeställningarna ligger ovanför myndigheternas ansvarsområden, samt att avdömningar mellan olika sektorsstrategier kan behöva göras inom ramen för ett svenskt koherent nationellt förhållningssätt gentemot EU och andra internationella .
Detta är ju ett märkligt stycke där den uttalat organisatoriskt inriktade ISO 27001 framställs som fokuserade på tekniska åtgärder (!).
Cybersäkerhet sägs vara mer ”strategiskt” och verkande på nationell nivå.
Till att detta kommer alla företag som använder ”cyber” i olika konstellationer för sin produkter och tjänster som knappast är på nationell nivå.
Sammantaget är användningen av begreppet ”cyber” högst inkonsistent och rör sig i en skala från å ena sidan normal it-säkerhet med vissa tillägg av informationssäkerhet till en del av det nationella försvaret.
Vissa gemensamma drag tycks finnas som att det gäller digital infrastruktur i någon bemärkelse samt den renodlade inriktningen mot antagonistiska hot.
I övrigt är det ganska fritt valt vilken betydelse man vill ge ordet.
Är denna otydlighet då egentligen ett problem?
Det kanske behövs ett sådant här amorft begrepp som beskriver en amorf verklighet och inte enbart för sexa till vilken konferensrubrik eller vilket tjänsteutbud i it-sektorn som helst?
Kanske inte men jag måste ändå resa invändningen att om att vårt, enligt många, största hot förtjänar en något mer entydig beskrivning.
Att måla upp ett förödande hot mot nationen och mot enskilda men göra det i så oklara termer är inte bra för samhällsklimatet i en demokrati (vilket jag skrivit om tidigare).
Inte heller är det en fördel för kunder att erbjuda tjänster där det inte närmare går att avgöra vad tjänsten egentligen består i. Jag tycker därför att det är en rimlig önskan att åtminstone centrala myndigheter sätter sig ner för att begreppsmodellera vad ”cyber” är och vilken relation cybersäkerhet har till informationssäkerhet.
Betänk språklagens krav på myndigheterna: Språket i offentlig verksamhet ska vara vårdat, enkelt och begripligt.
”Inget är så starkt som en idé, vars tid har kommit” skrev Victor Hugo.
Egentligen tycker jag att den nu inte längre så nya verksamhetsbaserade arkivredovisningen (RA-FS 2008:4) borde ha fått större genomslag i kommunsverige vid det här laget.
Visst, det är många kommuner som infört verksamhetsbaserad arkivredovisning och även börjat skruva till sina dokumenthanteringsplaner (a k a informationsförvaltningsplaner), men därifrån till att arkivredovisningen verkligen implementeras såväl tekniskt som verksamhetsmässigt känns vägen lång.
Kanske ligger en del av förklaringen i att arkivvärlden tidigare in behövt förklara saker för verksamheten på samma sätt tidigare.
I den gamla pappersbaserade världen (och den hängde med längre än många tror i den kommunala världen) skötte arkivarien eventuella sökningar efter avställda handlingar.
Hän behövde inte förklara så mycket för verksamheten och verksamheten behövde heller inte veta så mycket om hur söket faktiskt gick till.
I och med RA-FS 2008:4 tvingas arkivvärlden och resten av verksamheten mötas på ett helt annat sätt än tidigare.
Intentionerna med RA-FS 2008:4 är ju, vilket framgår tydligt av vägledningen ”Redovisa verksamhetsinformation”, att arkivredovisningen (och då främst klassificeringsstrukturen) ska styra informationshantering i såväl diarium som verksamhetssystem.
Denna intention stöder jag för övrigt till fullo!
Men…som säkert många av er som läser Fias blogg vet så är det lättare sagt än gjort att skapa dylika styrningar.
Förutom det hästjobb som många av er lagt ned på att beskriva verksamhetsprocesser, uppdatera dokumenthanteringsplaner, eventuellt försöka väva in informationssäkerhetsperspektivet (inklusive dataskydd) så ska ni dessutom lyckas få femtioelva systemägare, chefer m fl att förstå vikten av att detta arbete genomförs samt implementeras i diverse system/tjänster.
Jag är själv ingen ”äkta” arkivarie, utan har närmat mig disciplinen via diverse jobb inom informationshantering och verksamhetsutveckling.
Jag vill ändå tro att jag har lyckats förstå ganska mycket av RA-FS 2008:4 och vägledningen som nämndes ovan.
Jag var bland annat med och startade upp arbetet med att införa den nya arkivredovisningen hos Myndigheten för samhällsskydd och beredskap (MSB).
Redan då, 2011, kände jag att det var tufft att förklara det värde den skulle kunna tillföra verksamheten.
Det var snarare än fråga om att uppfylla Riksarkivets krav på myndigheten.
Eftersom det pågick ett arbete med att införa ett ledningssystem för informationssäkerhet (LIS) på MSB så väcktes idén att försöka slå två flugor i en smäll.
Tanken var att en dokumenthanteringsplan rimligen borde kunna beskriva hanteringsregler utifrån såväl ett arkivperspektiv som ett informationssäkerhetsperspektiv.
Många av de krav som ställs från respektive håll är trots allt överlappande.
Eftersom jag jobbat en tid på ett bolag som hette Astrakan och därför arbetet en del med processmodellering kändes det naturligt att försöka beskriva sambanden med hjälp av grafiska processer I och med Riksarkivets föreskrift (RA-FS) 2008:4 ska myndigheter i Sverige redovisa sina handlingar utifrån verksamhetens processer istället för enligt det gamla klassificeringsschemat från 1903.
Denna omvälvning har också på allvar börjat slå igenom i kommunsverige, vilket på många sätt är bra och egentligen bara en återspegling av den verkliga informationshanteringen.Dock upplever jag fortfarande, och jag tror att jag är i relativt stort sällskap, att det är svårt att pedagogiskt förklara för kommunens verksamheter hur arkivredovisningen kan hjälpa till att styra upp informationshanteringen annat än i själva arkivet.
Därför har jag tagit fram följande grafiska presentation.
Jag går in på LinkedIn eftersom det ingår i jobbet att hålla sig uppdaterad, storknar aningen av de hundratals bilder på människor som står och sitter på olika podier, framför olika power point-presentationer, runt olika sammanträdesbord (hoppas på en etnologisk studie av denna subkultur snart).
Vid de flesta inloggningar tillförs jag ingen ny och värdefull information utan det är mer samma känsla som då jag oengagerat bläddrar igenom lokaltidningen, kanske för att jag fått min beskärda del av denna typ av sammanhang.
Men så ibland dyker det upp något som kittlar till i sinnet.
Som när jag såg en av de inte så få offentligt anställda digitaliseringsmissionärerna (jag menar inte att vara ironisk – jag vet helt enkelt inte vad jag ska använda för begrepp för den här nya rollen) hävda att det var ”säkerhetsmupparna” som hindrat den digitala utvecklingen och att dessa muppar nu borde skärpa sig.
Jag kände mig träffad, jag är nog en del i muppkollektivet även om jag brukar kalla oss säkerhetsnördar.
Visserligen har jag idogt bedrivit en självkritik mot säkerhetsnörderiet, exempelvis i nio blogginlägg om varför säkerhetsarbetet inte funkar (del 1 : ) men är det verkligen säkerhetsarbetet som försvårat digitaliseringen i Sverige?
Bilden av motsättningen mellan å ena sidan digitalisering, å andra säkerhet återkommer ständigt och närs från båda sidor.
Ett purfärskt och illustrativt exempel där säkerhetssidan målar upp den hotfulla digitaliseringen är denna debattartikel.
Här presenteras den återkommande tropen att det finns en ursprunglig och manuell hantering som default är den säkrare .
Jag delar inte den uppfattningen.
Nuläget är för det första inte särskilt säkert (ett understatement) och för det andra är knappast digitalisering ett av många alternativ utan alternativ.
De som hoppas på att hejda utvecklingen av digitalisering hoppas med största sannolikhet förgäves.
Men grundattityden att förändring innebär en ökad risk försvårar av naturliga skäl kommunikationen med de som torgför digitaliseringens välsignelser.
För mig framstår det litet som två grupper, säkerhetsnördar och digitaliseringsmuppar, som delvis tappat orienteringen och börjat se sin egen mission som ett ändamål i sig själv.
Tendensen förstärks av att det finns starka ekonomiska intressen bakom båda riktningarna.
Att det dessutom uppfattas finnas icke helt oväsentliga politiska poäng i att som landstingspolitiker hävda att man står för det moderna digitala samhället eller att man som rikspolitiker frammanar behovet av skydd mot onda makter gör diket ännu djupare.
Hur stor är i realiteten intressekonflikten och hur mycket är säkerheten gruset i digitaliseringsmaskineriet?
När jag läser ESV:s uppföljningsrapport från förra veckan angående digitaliseringssträvandena i offentlig anges inte säkerhetsnördarna som förklaringen till den för sega utvecklingen.
Istället är det regeringens ineffektiva strategiska styrning av infrastrukturen, bristande samordning och bristande organisatorisk mognad som lyfts fram som hinder.
Det är ju litet nedslående med tanke på de många rara miljoner som plöjts ner i digitalisering och som inte lett till önskat resultat.
Samtidigt är det ju en fördel att det inte främst är mer pengar som behövs utan en tydligare riktning.
Själv skulle jag vilja hävda att vare sig säkerhet eller digitalisering har ett autonomt existensberättigande, endast kopplingen till verksamhets- eller samhällsnytta kan skapa anledning att utveckla säkerhet eller att digitalisera.
Det är rimligt att tona ner intressekonflikten eftersom det finns fler likheter än skillnader mellan arterna säkerhets- respektive digitaliseringsmupp och deras habitat.
I båda fallen saknas styrmodeller nationellt, konkret strategisk inriktning och ett evidensbaserat kunskapsområde för praktisk tillämpning.
En negativ likhet är att betydelsen av integritet sällan varit djupt känd av någon av arterna.
För att komma framåt tror jag att det är viktigt att skapa en gemensam insikt om nödvändigheten av både och, både digitalisering och säkerhet.
Då kan en attitydförskjutning ske inom båda kolonierna där respekt för kärnverksamheternas behov prioriteras, inte den egna gruppens agenda.
Därmed kan också grunden läggas för gemensamma strategier, styrmodeller och kunskap – allt det som saknas idag.
Jag är inte för att gå över till digitala val – det skulle innebära alldeles för stora risker… Hälsningar från en säkerhetsnörd.
Som så många andra som arbetar med informationssäkerhet läser jag nu med stort intresse den granskning som på regeringens uppdrag genomförts av Transportstyrelsens upphandling av förändrad it- .
Det finns ett antal faktorer till den olyckliga händelseutvecklingen som förtjänar uppmärksamhet och säkert kommer att fortsätta att penetreras.
En aspekt som jag menar borde analyseras närmare än vad som skett i granskningen är myndigheters (och även andra organisationers) behov av generell kontroll över sin information.
För mig framstår att ha kontroll över vilken information som finns i organisation samt hur den hanteras som den mest basala förutsättningen för att uppnå en fungerande informationssäkerhet.
För myndigheter är detta inte krav kopplat enbart till informationssäkerhet utan finns även i offentlighetslagstiftningen och i arkivlagen.
De allmänna handlingarna ska vara redovisade och snabbt återsökbara.
I praktiken innebär det att en myndighet (inklusive kommuner) måste ha kontroll över den information som skapas, inkommer och på olika sätt hanteras i verksamheten.
Det hjälpmedel som används för att skapa den eftersträvade kontrollen kallas ofta dokumenthanterings- eller informationshanteringsplan.
Det finns inget legalt krav på att ta fram dessa planer men realistiskt sett är det nödvändigt att ha den här typen av planer, oavsett vad de kallas, för att kunna systematiskt kunna beskriva vilken information som finns.
I fallet Transportstyrelsen skulle ett sådant verktyg kunnat ge ett bra stöd inför en eventuell outsourcing eftersom, rätt utformad, skulle planen ha identifierat vilken information som skulle ingå i upphandlingen och vilket krav på skydd ur olika hänseenden (säkerhetsskydd, personuppgifter m.m.)
som måste tillgodoses.
Mitt intryck är att många myndigheter inte har de informationshanteringsplaner som vore nödvändiga för kontroll av informationshantering.
De planer jag sett är ofta antingen fragmentariska (d.v.s.
omfattar endast delar av verksamhetens informationshantering) eller inaktuella.
Vanligt är också att de i alltför hög grad bara redovisar information som ser ut som ”dokument”.
Detta mitt intryck kan vara helt fel men jag tycker det vore en angelägen uppgift för Riksarkivet att utreda och göra till en prioriterad fråga.
Med konsekvent användning av informationshanteringsplaner skulle inte bara offentlighets- och arkivbehovet kunna tas om hand utan det skulle också kunna utgöra ett väsentligt steg mot en stärkt informationssäkerhet.
Och vara ett konkret samarbetsområde för informationssäkerhetsmänniskor och arkivarier!
I all enkelhet tror jag inte att svensk förvaltning kommer att klara den pågående digitaliseringen utan betydligt bättre samordning, i annat fall kommer händelser liknande den på Transportstyrelsen att bli återkommande.
På trettiotalet presenterade Erwin Schrödinger ett tankeexperiment som illustrerar en tänkt paradox där väldigt små fysikaliska partiklar kan befinna sig i ett så kallat överlagrat tillstånd.
Konsekvensen av paradoxen är att en katt i ett slutet rum tillsammans med en instabil atomkärna skulle kunna uppfattas som samtidigt död och levande.
Jag tänker inte fördjupa mig ytterligare i kvantfysiken.
Ur mitt perspektiv, som är att kontroll över informationen är centralpunkten både för informationssäkerhet och informationsförvaltning inklusive arkiv, finns det allt fler tillfällen då det är rimligt att använda tankeexperimentet som metafor och prata om Schrödingers information.
Det är innebär information som både finns och inte finns på samma gång, något som är negativt för den som vill ha kontroll över sin information.
Låt mig ta några exempel.
Det första exemplet är kanske det mest uppenbara och gäller formatet.
Trots att jag är mycket pro-digitalisering så får ändå pappret och dess föregångare pergament m.m.
sägas ha den stora fördelen att informationen som haft papper som bärare har varit möjlig att ta del av över seklerna.
I och med att bärarna blivit digitala sluts cirkeln på sätt och vis då information precis som i gamla glömda teckenformer blir omöjlig att ta del av även om den faktiskt finns.
Jag tänker då på den information som finns lagrat på medier och i format som inte längre går att läsa.
Diskar som står och dammar, format som ligger som bilagor till mail, gamla applikationer som inte migrerats med till nutiden– oräkneliga exempel kan göras.
Trots att de inte kan läsas ligger de kvar för ingen riktigt förmår att ta ställning och hålla i yxan.
Oförmågan att ta tag i yxan och faktiskt gallra är mitt andra exempel.
Gallring har kallats arkivariens svåraste uppgift men jag ska inte här gå in på den i och för sig mycket väsentliga frågan om vad som ska gallras utan själva gallringsrutinen.
Förutsättningen i myndigheter är att allmänna handlingar (vilket generellt är merparten av den information som myndigheten hanterar) ska bevaras.
Undantaget är när ett gallringsbeslut fattats som kan göras av ett antal skäl vilket beskrivs i en av Riksarkivets få vägledande skrifter: Vanligen syftar gallring till att myndighetens arkiv inte skall tyngas av allmänna handlingar som saknar påtagligt informationsvärde, allmänna handlingar som motsvaras av annan dokumentation i det egna arkivet eller andras arkiv, eller allmänna handlingar som har ett informationsvärde som är starkt begränsat i tiden.
I fråga om personuppgifter kan gallring ibland syfta till att skydda enskildas personliga integritet.
Rent ekonomiska bedömningar kan också ges mycket stor vikt, t ex när man har serier med få intressanta uppgifter i relation till .
Det som är själva poängen med gallringsbeslutet är att handlingarna sedan verkligen också förstörs.
Ett gallringsbeslut är inte ett förslag utan handlingarna ska faktiskt som Riksarkivet skriver ske utan dröjsmål när gallringsfristen har löpt ut eller gallringstidpunkten har uppnåtts.
Detta efterlevs inte alltid.
Ibland kan gallringsbeslut vara formulerade som att handlingar ”får” gallras vid en viss tidpunkt vilket kan ge intryck av att alternativet att handlingarna bevaras också finns.
Inte sällan har jag i kommuner, landstings och myndigheters bestånd påträffat information som borde varit gallrad och därmed, sett till de fattade besluten, inte finns.
Detta skapar naturligtvis en stor potentiell brist på rättssäkerhet för den enskilde där myndighetsbeslut säger att exempelvis en information rörande den enskilde inte finns men det sedan visar sig att den ändå gör det.
Det rimmar också mycket illa med dataskyddsförordningen och ger dessutom ett intryck av att kommunen/myndigheten har en dålig ordning där man inte efterlever fattade beslut.
Och hur skyddas en information som både finns och inte finns?
Ytterligare ett exempel som jag stött på är hanteringen av loggar.
Loggar bör av integritetsskäl i de flesta fall gallras efter kort tid, default 3 månader om inte något annat framkommit vid informationsklassning, och då verkligen tas bort.
I många verksamheter separeras dock inte loggarna från verksamhetsinformationen utan följer med i den allmänna back upen vilket gör att de ligger kvar år efter år.
Integritetskänslig information från tjänster och passersystem som följer den anställdes alla aktiviteter på jobbet kan finnas kvar trots att många arbetsgivare har loggpolicys som säger något helt annat.
Och för en myndighet blir det naturligtvis prekärt om loggarna begärs ut som allmän handling och man då måste ta ställning till om de finns eller inte finns trots att de rent faktiskt finns.
Det mest övergripande exemplet som jag redan tidigare varit inne på i en är all den information som finns i en myndighet och som bedömts inte vara allmänna handlingar.
Denna andel av den totala informationshanteringen ser jag som i stark tillväxt på gemensamma file servers, i olika egeninitierade molntjänst typ Dropbox och alla möjliga andra former.
Informationen fångas inte upp i dokumenthanteringsplaner eller andra verktyg men finns likaväl.
Jag har inga patentlösningar på hur de här olika situationerna ska hanteras.
Min spaning är helt enkelt bara att det är viktigt att vi inte har information som liknar katten i Schrödingers tankeexperiment.
Ingen kan idag förneka vikten av att förbättra informationssäkerheten i de samhällsviktiga verksamheterna.
Ett antal utredningar har under de senaste tre åren utmynnat i olika förslag på hur detta ska ske.
Tyvärr har fokus legat allt för mycket på reaktiva åtgärder som incidentrapportering och allt för litet på det förebyggande arbetet, detta trots att det ofta påpekats att de stora säkerhetsvinsterna kan göras genom olika typer av incidenter och säkerhetsproblem motverkas innan de uppstår.
För mig framstår den i särklass viktigaste förebyggande åtgärden att tillräcklig kompetens finns för att hantera informationssäkerhetsrelaterade frågor på olika nivåer.
För att uppnå detta krävs både episteme, fronesis och techne.
Det vill säga det måste finnas en vetenskaplig grund för att de åtgärder som vidtas är effektiva i förhållande till de problem de avses att lösa, att det måste finnas en praktisk kunskap hur fungerandeska bedrivas och det måste finnas en djupare förståelse att nya situationer kan hanteras.
Jag skulle vilja hävda att detta idag i allt för hög grad saknas.
Konkret kommer ett stort antal organisationers ledningar behöver ett kompetent stöd för att styra sittså att det motsvarar de risker som verksamheten är utsatt för och för att kunna tillvarata alla nya möjligheter som den pågående digitaliseringen innebär.
Jag pratar alltså inte om it-säkerhet som är inriktad på tekniska åtgärder utan informationssäkerhet som handlar om verksamhetsstyrning och information.
Utöver befintliga krav kommer även nya från bland annat dataskyddsförordningen, NIS, civilt försvar och en ny säkerhetsskyddslag.
Det gäller c.a.
350 myndigheter, 290 kommuner, ett tjugotal landsting/regioner och ett okänt antal privata aktörer som medverkar till att upprätthålla samhällsviktiga verksamhet.
En av de vanligaste frågorna jag får när jag besöker kommuner, regioner och myndigheter är vilka utbildningsmöjligheter som finns.
Hos de som får allt tyngre ansvar för det faktiskat finns såvitt jag kan bedöma en allt större medvetenhet om kompetensbehovet.
Till viss del fanns denna insikt även i den strategi för samhällets som MSB tog fram tillsammans med andra myndigheter.
Tyvärr har inte insikten utmynnat i några konkreta satsningar för att stödja utvecklandet av professionsinriktade utbildningar.
Även om behovet av kompetens är känt anvisas få vägar för kompetensförsörjningen.
Vare sig i den nationella säkerhetsstrategin eller i digitaliseringsstrategin, båda presenterade av regeringen 2017, nämns något om kompetensförsörjning inom informationssäkerhetsområdet.
Utredningar som SOU 2015:23 , SOU 2017:36 SOU 2017:114 liksom lagrådsremissen om ny säkerhetsskyddslag är lika renons på förslag annat än de som gäller utpekade tillsynsmyndigheter.
Den nationella strategin för informations- och cyberssäkerhet (Skr.
2016/17:213) skulle kunna inge ett visst hopp eftersom den faktiskt innehåller ett avsnitt som heter Öka kunskapen och främja kompetensutvecklingen.
Hoppet om att finna ett mål att tillgodose behovet av professionell kompetens generellt avtar dock snabbt då det visar sig att det som avses är att informera organisationer om sårbarheter och behovet av säkerhetsåtgärder samt att höja den enskilda användarens kunskap.
Samtliga strategier och utredningar tycks dock förutsätta att den kompetens som behövs kommer att finnas utan vidare styrning.
Jag delar inte denna tilltro till den osynliga handen.
Istället ser jag att vi står inför ett mycket stort och komplicerat kompetensförsörjningsbehov.
Bara det ett nyrekryteringsbehov av något hundratal informationssäkerhetsspecialister årligen till kommuner och landsting/regioner som kanske har samhällets mest komplexa informationssäkerhetsbehov måste uppmärksammas.
Många av oss som idag är verksamma inom informationssäkerhetsområdet saknar formell utbildning för våra jobb eftersom utbildningar helt enkelt inte funnits i någon högre grad (jag jämställer inte olika certifieringar med högskoleutbildning även om de säkert är bra på sitt sätt).
Därav ett stort fortbildningsbehov.
De kurser på högskolenivå som erbjuds idag via en sökning på antagning.se för hösten 2018 är antingen korta kurser eller har en renodlad teknisk inriktning.
Undantagen är masterutbildningar i Örebro som har ett handfull platser samt i Luleå där ett organisatoriskt perspektiv tillförs en huvudsak it-inriktad utbildning.
Detta räcker naturligtvis inte långt.
Mitt förslag är därför att en utredning tillsätts som tillåts koncentrera sig på hur behovet av kunskap och kompetens inom informationssäkerhetsområdet ska tillgodoses under de närmaste åren.
Utgångspunkten är att staten måste ta ett betydligt större ansvar för kunskapsförsörjning på en vetenskaplig nivå och för att kunskapen omsätts till kompetenshöjande åtgärder för prioriterade målgrupper i samhället.
Målen bör vara att det gemensamma utbildningsplaner för en treårig högskoleutbildning som informationssäkerhetsspecialist med inriktning på organisation och information, att det utbildas 50 informationssäkerhetsspecialister per år samt att varje kommun har tillgång till minimum en halvtids informationssäkerhetsspecialist.
Inom detta fält kan även utbildningar av typen ”informationssäkerhetsspecialist kommunal verksamhet” och ”informationssäkerhetsspecialist hälso- och sjukvård” kunna finnas.
Även fortbildningar för redan yrkesverksamma bör ingå i ett kunskapslyft för informationssäkerhetsområdet.
Utan denna typ av insats har jag mycket svårt att se hur alla andra mål för att höja samhällets informationssäkerhet ska kunna realiseras.

Alla våra moderna samhällsbärande system bärs upp av den nya informationsteknologin.
Det går inte att organisera fram cybersäkerhet utan det krävs resursförstärkningar.
Enligt x mening är det av strategisk betydelse att kunna säkerställa kompetensförsörjningen inom informationssäkerhetsområdet.
X konstaterar också att staten behöver egen och unik kompetens.
Staten har också det yttersta ansvaret för den nationella säkerheten, vilket ställer särskilda krav.
Staten förfogar över en rad administrativa, ekonomiska och informativa styrmedel.
I praktiken är dessa relativt svagt utvecklade på informationssäkerhetsområdet.
Vår sårbarhet ökar och vi har stora brister trots att stora åtgärder vidtagits.
Såsom beskrivet i skrivelsen Nationell strategi för samhällets informations- och cybersäkerhet (Skr.
2016/17:213, Justitiedepartementet) där definitionen är ”informationssäkerhet som avser digital information”.
För att inte riskera en snäv tolkning som att det enbart omfattar it- och nätverkssäkerhet anser MSB att cybersäkerhet i detta sammanhang avser säkerhetsåtgärder på samhällelig strategisk nivå, främst reglerande och samordnade åtgärder, som behövs så att samhällets aktörer kan bedrivapå organisatorisk nivå, främst för information som hanteras digitalt.
Såsom beskrivet i Sveriges inlaga till FN:s generalförsamling att cybersäkerhet tydligare beskriver de skyddsåtgärder som innefattar konfidentialitet, tillgänglighet och riktighet för att inte blandas samman med den betydelse av informationssäkerhet som används av vissa länder eller organisationer som en del av en doktrin där synen att informationsinnehållet som sådant är ett hot.
I de fall MSB har samverkan med andra organisationer (såsom EU, NATO och FN) kan viss annan betydelse av cybersäkerhet förekomma, utefter de samverkande organisationernas definition av begreppet.

måste bör eller och

Meny Inläggsnavigering

MENU MENU Postat av Postad i , , , Tagged , , , Postat av Postad i , , , Tagged , , , , , , Postat av Postad i , , , , , Tagged , , , , , , Postat av Postad i , , , Tagged , , , , , postat av Postad i , , Tagged , , , , , Postat av → Postad i , , Tagged , , , , Postat av Postad i , , Tagged , , Postat av Postad i , , , Tagged , , Postat av Postad i , , Tagged , , , Postat av Postad i , , , , , , , Tagged , , , , , , , ← → Sök efter:

Förslag till informationssäkerhetspolitik.
Begrepp med definitioner för cyber Detta är ett gästinlägg av Fredrik Granholm, verksamhetsarkitekt i Sollefteå kommun. . the Informations- och cybersäkerhet i Sverige Informationssäkerhet för samhällsviktiga och digitala tjänster, reboot – omstart för den digitala förvaltningen

På trettiotalet presenterade Erwin Schrödinger ett tankeexperiment som illustrerar en tänkt paradox där väldigt små fysikaliska partiklar kan befinna sig i ett så kallat överlagrat tillstånd.
Konsekvensen av paradoxen är att en katt i ett slutet rum tillsammans med en instabil atomkärna skulle kunna uppfattas som samtidigt död och levande.
Jag tänker inte fördjupa mig ytterligare i kvantfysiken.
Ur mitt perspektiv, som är att kontroll över informationen är centralpunkten både för informationssäkerhet och informationsförvaltning inklusive arkiv, finns det allt fler tillfällen då det är rimligt att använda tankeexperimentet som metafor och prata om Schrödingers information.
Det är innebär information som både finns och inte finns på samma gång, något som är negativt för den som vill ha kontroll över sin information.
Låt mig ta några exempel.
Det första exemplet är kanske det mest uppenbara och gäller formatet.
Trots att jag är mycket pro-digitalisering så får ändå pappret och dess föregångare pergament m.m.
sägas ha den stora fördelen att informationen som haft papper som bärare har varit möjlig att ta del av över seklerna.
I och med att bärarna blivit digitala sluts cirkeln på sätt och vis då information precis som i gamla glömda teckenformer blir omöjlig att ta del av även om den faktiskt finns.
Jag tänker då på den information som finns lagrat på medier och i format som inte längre går att läsa.
Diskar som står och dammar, format som ligger som bilagor till mail, gamla applikationer som inte migrerats med till nutiden– oräkneliga exempel kan göras.
Trots att de inte kan läsas ligger de kvar för ingen riktigt förmår att ta ställning och hålla i yxan.
Oförmågan att ta tag i yxan och faktiskt gallra är mitt andra exempel.
Gallring har kallats arkivariens svåraste uppgift men jag ska inte här gå in på den i och för sig mycket väsentliga frågan om vad som ska gallras utan själva gallringsrutinen.
Förutsättningen i myndigheter är att allmänna handlingar (vilket generellt är merparten av den information som myndigheten hanterar) ska bevaras.
Undantaget är när ett gallringsbeslut fattats som kan göras av ett antal skäl vilket beskrivs i en av Riksarkivets få vägledande skrifter: Vanligen syftar gallring till att myndighetens arkiv inte skall tyngas av allmänna handlingar som saknar påtagligt informationsvärde, allmänna handlingar som motsvaras av annan dokumentation i det egna arkivet eller andras arkiv, eller allmänna handlingar som har ett informationsvärde som är starkt begränsat i tiden.
I fråga om personuppgifter kan gallring ibland syfta till att skydda enskildas personliga integritet.
Rent ekonomiska bedömningar kan också ges mycket stor vikt, t ex när man har serier med få intressanta uppgifter i relation till .
Det som är själva poängen med gallringsbeslutet är att handlingarna sedan verkligen också förstörs.
Ett gallringsbeslut är inte ett förslag utan handlingarna ska faktiskt som Riksarkivet skriver ske utan dröjsmål när gallringsfristen har löpt ut eller gallringstidpunkten har uppnåtts.
Detta efterlevs inte alltid.
Ibland kan gallringsbeslut vara formulerade som att handlingar ”får” gallras vid en viss tidpunkt vilket kan ge intryck av att alternativet att handlingarna bevaras också finns.
Inte sällan har jag i kommuner, landstings och myndigheters bestånd påträffat information som borde varit gallrad och därmed, sett till de fattade besluten, inte finns.
Detta skapar naturligtvis en stor potentiell brist på rättssäkerhet för den enskilde där myndighetsbeslut säger att exempelvis en information rörande den enskilde inte finns men det sedan visar sig att den ändå gör det.
Det rimmar också mycket illa med dataskyddsförordningen och ger dessutom ett intryck av att kommunen/myndigheten har en dålig ordning där man inte efterlever fattade beslut.
Och hur skyddas en information som både finns och inte finns?
Ytterligare ett exempel som jag stött på är hanteringen av loggar.
Loggar bör av integritetsskäl i de flesta fall gallras efter kort tid, default 3 månader om inte något annat framkommit vid informationsklassning, och då verkligen tas bort.
I många verksamheter separeras dock inte loggarna från verksamhetsinformationen utan följer med i den allmänna back upen vilket gör att de ligger kvar år efter år.
Integritetskänslig information från tjänster och passersystem som följer den anställdes alla aktiviteter på jobbet kan finnas kvar trots att många arbetsgivare har loggpolicys som säger något helt annat.
Och för en myndighet blir det naturligtvis prekärt om loggarna begärs ut som allmän handling och man då måste ta ställning till om de finns eller inte finns trots att de rent faktiskt finns.
Det mest övergripande exemplet som jag redan tidigare varit inne på i en är all den information som finns i en myndighet och som bedömts inte vara allmänna handlingar.
Denna andel av den totala informationshanteringen ser jag som i stark tillväxt på gemensamma file servers, i olika egeninitierade molntjänst typ Dropbox och alla möjliga andra former.
Informationen fångas inte upp i dokumenthanteringsplaner eller andra verktyg men finns likaväl.
Jag har inga patentlösningar på hur de här olika situationerna ska hanteras.
Min spaning är helt enkelt bara att det är viktigt att vi inte har information som liknar katten i Schrödingers tankeexperiment.

MENU MENU Postat av Postad i , , Tagged , , , Sök efter:

En mig närstående berättade att biblioteket där hen jobbar har en dystopihylla på barn- och ungdomsavdelningen.
Så populär är den dystopiska genren för barn att den kräver en egen hylla.
Jämfört med den yviga diskussionen om tysthetsnormen på bibliotek känns det här som en viktigare fråga för mig: varför har dystopin blivit ett så dominerande narrativ, så dominerande att även barn måste få en rejäl dos av dyster framtid?
Det är alltid svårt att bedöma sin nutid men detta är bara ett tecken på att vi för närvarande lever i en tid av ett ökande materiellt välstånd, längre livslängd, ett minskat terrorhot (i alla fall i Europa) och, sett i ett längre perspektiv, färre konflikter men med en känsla av att vi vandrar på avgrundens rand.
Egendomligt nog är oron i mindre grad riktad mot reella hot som klimatsituationen.
Undersökningar liknande den ger en ganska entydig bild av den bristande tilltron till framtiden bland unga.
Flera av senare tids mest populära serier som The handmaids tale (som bygger på min gamla favorit Atwoods bok) är också dystopier.
Inte bara barnen utan även vuxna antingen får sin redan dystra världsbild bekräftad eller influeras till en sådan via masskulturen.
Den dystopiska världsbilden fördystrar inte bara den enskilda människans liv utan avspeglar ett samhälle av rädda människor.
Att rädda människor är mer lättstyrda och mer beredda att underordna sig starka ledare som säger sig kunna erbjuda skydd är väl utforskat, bland annat av Zygmunt Bauman i verk som den Flytande rädslan.
Det förenande kännetecknet för dystopierna är ett auktoritärt styre vilket känns aktuellt även utanför fiktionens värld.
Kanske kan den skräck vi känner för de fiktiva tyrannierna i allt från Harry Potter till vuxenlitteratur omvandlas till en kraft för att förhindra auktoritära tendenser i verkligheten.
Efter att ha läst Timothy Snyders On tyranny, en kort bestseller med hög densitet, funderar jag över om dystopierna på ett olyckligt sätt medverkar till att vi accepterar auktoritära tendenser som oundvikliga.
De auktoritära tendensernas återkomst riskerar att urholka demokratin och på sikt leda till tyranni.
On tyranny beskriver faktorer som historiskt sett har berett vägen för tyranni och vad en ansvarsfull individ kan göra för att motverka att dessa faktorer får genomslagskraft.
Exemplen är hämtade dels från nazismens genombrott i Tyskland, dels det sovjetiska tyranniet.
On tyranny ger uppmaningar som att slå vakt om språket, om sanningen, om institutionerna, om integriteten, om yrkesetik och om att våga stå för en egen åsikt.
Börjar vi ge vika och kompromissa eller, ännu värre, agera som en del i den kraft som vill underminera demokrati, öppenhet och integritet så kan en snabb förflyttning ske till ett auktoritärt styrelseskick.
Exempel på rörelser i den riktningen finns i flera europeiska länder idag och det finns ingen anledning att tro att Sverige skulle vara immunt.
Det kan förtjäna att understrykas att förflyttningen mot auktoritära styren i dagens Europa i huvudsak varit interna angelägenheter och jag tänkte därför i detta sammanhang inte fokusera på vår stora stygga granne i öst utan på vad vi kan göra själva.
En möjlig slutsats utifrån den historiska erfarenheten är att ett samhälle som genomsyras av tillit är det som har bäst motståndskraft mot auktoritära styren.
Vi bör alltså inte hålla ögonen öppna enbart för de auktoritära tendenserna utan även för förhållanden i samhället som antingen skapar eller eroderar tillit.
Den tillitsdelegation som Ardalan Shekarabi tillsatt är sannolikt ett positivt steg i rätt riktning men otillräckligt eftersom målet för delegationens arbete är att ”styrningen av den offentliga förvaltningen i högre utsträckning ska baseras på ”.
Det handlar i huvudsak om saker som att föreslå nya styrmodeller i den offentliga förvaltningen som kan ersätta New public management-modeller som visat sig tämligen destruktiva, d.v.s.
tillit i förhållandet mellan regeringen och myndigheterna istället för detaljerade och mätbara kontrollprogram.
Mycket bra självklart men som sagt otillräckligt för att skapa tillit hos innevånarna i förhållande till staten eller samhället i ett vidare perspektiv.Ändå ska inte verkligen inte myndigheters roll som samhällsbärande institutioner underskattas.
Här finns ett samspel mellan att myndigheterna måste göra sitt yttersta för att få förtroende men också att medborgarna, media och debattörer accepterar ett ansvar för myndigheters och andra institutioners möjlighet att fungera.
En uppfordrande maning från Snyder som känns omodern i dagens skräniga politiska klimat är att vi måste försvara våra institutioner: It is the institutions that helps us to preserve decency.
Det här är naturligtvis ett något obekvämt perspektiv, vana som vi är att få gnälla på allt.
Jag är dock beredd att köpa Snyders resonemang och ska själv försöka komma bort från slentriangnällandet och bli mer konstruktiv.
Min övertygelse om att detta är viktigt stärktes då jag häromdagen läste en terrorismforskare hundvissla om att ”Sverige” accepterar att kriminella spränger polisbilar.
Med Snyders text färsk i minnet gjorde jag en ansträngning för att se något som helst positivt i att hen utnyttjar sin stora plattform för att göra den här typen av utspel som knappast har med verkligheten att göra.
Jag kan inte se någon sådan positiv effekt – bara att tilliten i samhället minskar.
Det måste dock poängteras att försvara institutioner som sådana inte innebär att de inte får kritiseras.
Tvärtom måste ett ständigt förbättringsarbete pågå men det måste ske med respekt för institutionerna som just institutioner.
Om vi kan vara överens om premissen att tillit är en motkraft mot auktoritära synsätt så vill jag nu gå ett steg längre och säga att vi som arbetar med frågor inom informationshantering, säkerhet och integritet har en möjlighet att i någon liten mån påverka en förflyttning i rätt riktning.
Det kräver dock kulturförskjutning inom kåren mot ett arbete tydligare grundat i värderingar och även en uppgörelse med den anti-intellektuella och delvis auktoritära hållning som alltför ofta präglar synsätt och arbetsformer.
Vikten av att förankra säkerhetsåtgärder i värderingar innebär en förståelse av att ”säkerhet” inte har ett existensberättigande i sig själv utan måste vara kopplat till att utveckla och skydda värden i organisationen, och på samhällsnivå; värden för samhället.
De materiella värdena är enkla att identifiera men i förhållandet till tillit så är det, som jag uppfattar det, framför allt öppenhet, korrekthet och respekt för den enskildes integritet.
Att detta inte faller sig alldeles naturligt för alla som jobbar med säkerhet förstår jag utifrån att ha blivit kallad både integritetsextremist och öppenhetsfundamentalist (med viss glimt i ögat) av kollegor.
Och att göra sig fri från det anti-intellektuella handlar väsentligen om att erkänna att informationshantering och säkerhet befinner sig i ett territorium av ständiga dilemman där förmågan till relevanta problemformuleringar är helt central för att vara en positiv kraft.
I detta ligger naturligtvis även förmågan att tänka och att kunna ta till sig ny kunskap samt att inse att det inte finns absoluta sanningar.
Även här föreställer jag mig en ganska mödosam process för att utveckla kåren mot en mer ändamålsenlig kultur.
Låt mig ta några exempel på frågor där säkerhetsarbete kan stärka eller stjälpa tilliten.
Den mest näraliggande proberstenen är dataskyddsförordningen som träder i kraft i maj och vars syfte är stärka den personliga integriteten (och den gemensamma europeiska marknaden).
Vi är väl ett antal som både arbetat med informationssäkerhet och integritetsfrågor, t.ex.
som PUO, men min personliga erfarenhet är att integritet försätter många säkerhetsmänniskor i ett ambivalent tillstånd.
Å ena sidan finns det redan idag lagstiftning som ska skydda integriteten och som förutsätter att informationssäkerheten medverkar till detta, å andra sidan är åtgärder som olika typer övervakning centrala i säkerhetsarbetet.
Integritet och övervakning går inte att förena utan en djupare analys där det måste finnas en beredskap för att den övervakning som skulle vara eftersträvansvärd ur ett rent säkerhetsperspektiv inte går att införa på grund av den inskränker den personliga integriteten.
Den lagstiftning som redan finns angående integritetsskydd efterlevs i många fall inte.
Jag tror inte heller att lagstiftning är tillräckligt utan att relationen mellan värderingar och lagstiftning är mer komplex än vad som framskymtar i dessa mycket seniora jurister .
Värdering och lagstiftning är helt enkelt inte synonymt (för att ta det mest slitna exemplet otrohet som inte är förbjudet men som det finns en stark värdering kring).
För att kunna hantera det återkommande dilemmat mellan integritet (som lagstiftningen kräver) och övervakning måste man ha stöd i värderingar, att verkligen bottna i att integritet är ett viktigt värde och själv aktivt verka för att förbättra den.
Lyckas man med det bidrar man till tilliten inte bara genom att slå vakt om integriteten utan även genom att på ett seriöst och öppet sätt visa att världen inte är svart-vitt utan kräver avvägningar och kompromisser.
Integritet har en tendens att frammana svart-vita resonemang och dessutom märkliga motsatsförhållanden som leder tanken fel.
Jag har tidigare skrivit om den falska dikotomi (ett argumentationsfel där det förutsätts att det bara finns två alternativ, men där det egentligen skulle kunna vara så att båda dessa alternativ är falska eller att dessa inte behöver utesluta varandra) som använts när det gäller integriteten i sjukvården.
Där har nu under 25 år patientsäkerhet ställts mot integritet trots att det är fullt möjligt att uppnå både och.
Denna falska motsättning har upprätthållits av sjukvårdens makthavare på olika nivåer och av programvaruleverantörer och är märkligt seglivad och reproduceras i alla sammanhang rörande digitalisering och e-hälsa, explicit och implicit.
Ett nytt exempel på detta är den rapport som Myndigheten för vård- och omsorgsanalys publicerade i . Rapportens syfte är att beskriva till vilket man haft stöd i enkätundersökning.
Trots den goda intentionen att ta reda på befolkningens inställning till tillgången till vårduppgifter menar jag att man hamnar i ett etiskt moras när man läser enkätens beskrivning av verkligheten och de frågor som respondenterna förväntas besvara.
Ett exempel på bakgrund: Sjukvårdspersonal har inte alltid tillgång till dina journaler som förts på andra vårdenheter.
Till exempel kan det vara så att läkaren på din vårdcentral inte kan se journalen från specialistläkare som du träffat på sjukhus.
Nu tas initiativ för att se till att olika vårdenheter ska kunna se varandras journaler, så att den vårdpersonal du träffar har tillgång till viktig information om dig.
Det är bara personal som deltar i vården av dig eller som på andra sätt behöver uppgifterna för sitt arbete som har rätt att läsa din journal.
Men detta kan ändå medföra en ökad risk att personal som inte har rätt till det läser dina uppgifter.
Redan beskrivningen sätts förutsättningen att patienten måste gå med på en ökad risk för obehörig åtkomst för att få den självklara nyttan av att behöriga vårdgivare ska få rätt underlag för sin behandling.
Samtidigt beskrivs den obehöriga åtkomsten som ett undantag Andra studier och källor pekar emellertid på att hanteringen av digitala hälsouppgifter inte alltid lever upp till dessa förväntningar på säker hantering.
trots att det är väl känt inte minst genom Datainspektionens försorg att personal som inte alls behöver det har tillgång till känslig information i sjukvården är regel idag, inte ett undantag.
När respondenten får frågor som om gissar jag att flertalet förutsätter att det endast är personal som aktivt deltar i respondentens vård som avses.
Den falska dikotomin finns ständigt som en bakgrund som när man i intervjuerna frammanar en situation på liv och död: Anser du att all vårdpersonal som du kommer i kontakt med bör kunna se (allt) ditt journalinnehåll?
a. Vilka uppgifter anser du bör vara synliga – om något – för vårdpersonal på till exempel akutmottagningen?
istället för att fråga om respondenten anser att alla inom en region inklusive fotvårdsterapeuter bör få se din psykjournal.
Min generella invändning mot rapporten, vid sidan om den falska dikotomin, är att den riktar hypotetiska frågor om specifika förhållanden där respondenterna med största sannolikhet har mycket litet kunskap som hur informationshanteringen sker, vårdens organisation och rådande säkerhets- och integritetsförhållanden.
En radikal tanke är att föreställa sig att enkäten utformats utifrån dagens verkliga situation med frågor som: Hur upplever du att tusentals anställda som inte alls deltar i din vård har tillgång till all vårdinformation och det heller inte finns rutiner för att i efterhand på ett rimligt effektivt sätt kontrollera eventuell felaktig åtkomst?
Detta innebär också en möjlighet att förändra information så att du riskerar allvarlig felbehandling.
Jag tror att den typen att frågor skulle ge en mer rättvisande bild av hur människor faktiskt bedömer sin önskan om integritet.
Svarsfrekvensen når inte upp till 30 procent vilket kan vara ett tecken på att många tilltänkta respondenter uppfattade sin förmåga att besvara frågorna som begränsad.
Det har inte utgjort något hinder för de slutsatser som presenteras i rapporten.
Jag kommer säkert att återkomma till den här rapporten då den trots sina brister och luddiga slutsatser med säkerhet kommer att användas i olika e-hälsosammanhang som ett stöd för lösningar med bristfälliga integritetskrav.
Ur ett tillitsperspektiv är det också negativt inte bara på det sätt som beskrivs i rapporten: Westins många studier har också påvisat ett starkt samband mellan graden av tillit till institutioner och inställningen till integritetsskydd.
utan också genom att institutionernas förmåga att värna den enskildes integritet påverkar tilliten.
Med den integritetssyn som signaleras i rapporten riskerar integriteten att påverkas i negativ riktning vilket i sin tur kan leda till en sänkt tillit.
Detta stärks ytterligare av den bild av verkligheten som ges inte rimmar med de granskningar av faktiska förhållanden som gjorts.
För mig blir detta ett dubbelfel sett med spaning på tillit: först de verkliga bristerna i sjukvården, därefter att de ignoreras.
Samma osäkerhet om vilken verklighet vi pratar om infinner sig lätt när det gäller säkerhetsåtgärder.
Ett uppenbart exempel är övervakningskameror.
Vetenskapligt finns det svaga för att övervakningskameror minskar kriminalitet utom då de placeras i parkeringshus.
Ändå lyfts övervakningskameror ständigt fram som ett sätt att visa handlingskraft, inte minst för att bekämpa brottslighet i utsatta områden.
Jag förutsätter att flertalet som argumenterar för fler kameror är väl medvetna om den bristande effektiviteten i åtgärden men av andra skäl ändå framhärdar i sin argumentation.
Som jag ser det leder ineffektiva säkerhetsåtgärder till en falsk trygghet eller till att själva säkerhetsåtgärderna ger belägg för att människor borde känna sig orolig eller till att alerta medborgare inser att de blir ”lurade” av myndigheterna.
Inget av dessa tre alternativ skapar en större tillit i samhället.
De bör dock få oss som arbetar med säkerhet att fundera över vilka direkta och indirekta konsekvenser vårt säkerhetsarbete kan få och att våga ifrågasätta den reella säkerhetshöjande effekten av olika åtgärder.
Avvägningen mellan integritet och vilket annat värde som helst behöver inte med nödvändigt leda till att vilket värde som helst är viktigare.
Den ambivalens som finns hos många säkerhetsmänniskor inför integritetsfrågorna finns i minst lika hög grad inför öppenhet.
Öppenhetens betydelse för samhällelig tillit är knappast ifrågasatt av någon och för svenska förhållanden finns det en stor mängd statsvetenskapliga studier om detta så jag finner det överflödigt att länka till någon enskild av dessa studier.
Den intresserade kan börja med Bo Rothstein och sedan gå vidare.
Sverige har ju också unika förutsättningar för att ge insyn i myndigheters verksamhet genom offentlighetsprincipen.
Även här finns dock ett glapp mellan lagstiftningen och de värderingar som myndigheter och enskilda tjänstemän har.
För att offentlighetsprincipen ska fungera i praktiken krävs en vilja att tillhandahålla information även om det kan leda till negativa konsekvenser för myndigheten.
Den kultur som finns inom säkerhetsområdet bär på ett arv där huvuduppgiften har varit att säkerställa att hemlig information inte blir tillgänglig för obehöriga.
Resultatet blir en osäkerhet som gör att sekretesstämpeln kommer fram för flitigt när det gäller säkerhetsrelaterad information.
Att möjligheten att sekretessbelägga information tillämpas i allt vidare utsträckning uppmärksammas av grävande journalister .
Öppenheten är basen för tillit men också ett viktigt verktyg för att kunna bedriva den källkritik som är nödvändig i ett klimat där falska nyheter och påverkansaktiviteter florerar.
Men även källkritik måste utgå från rimliga värderingar som ger tillit.
För mig som är danad i Lauritz Weibulls hårda källkritiska skola är det centralt att det källkritiska förhållningssättet tillämpas även på grunden för de egna utsagorna.
Om inte denna princip anses giltig uppfattar jag det som att vi tar ett steg mot den asymmetriska situation som råder under auktoritära regimer där enbart andra nationers påverkansförsök nagelfars medan utsagor som gynnar den egna ståndpunkten okritiskt anammas.
Tecken på sådana tendenser av överdrivet välvilligt mottagande har uppmärksammats av bland annat podden Mediespanarna rörande en undermålig rapport om rysk .
Problemet är att de som har det lovvärda syftet att avslöja rysk desinformation själva blir desinformatörer.
Det är dags att avrunda detta långa och pretentiösa inlägg med att komma några förhoppningar inför det nya året, förhoppningar som känns alldeles särskilt aktuella den här veckan då Folk och försvar drar i gång samtidigt som valåret inleds.
En första förhoppning är att vi alla har ett ansvar för att medverka till att skapa tillit i samhället.
Vi som arbetar med säkerhet bör låta vårt arbete styras av värderingar som skyddar öppenhet, integritet och demokrati.
Vi måste också våga ifrågasätta våra egna sanningar och tillämpa en systematisk källkritik där det också är tillåtet att ha fel.
Ta stöd i Timothy Snyders uppmaningar och se hur du kan omsätta dem i ditt arbete.
Läs och se dystopier men motverka att de förverkligas genom att vara extra vaksamma mot alla steg som går i en auktoritär riktning, som inskränker öppenhet och demokrati samt medborgarens möjlighet att hävda sina rättigheter även i förhållande till den egna statsmakten.
Undvik att gå in i starkt polariserade lägen som skapar falska dikotomier som att vi antingen är fullständigt naiva eller att ett storkrig står för dörren vilket legitimerar inskränkningar i öppenheten och andra demokratiska rättigheter.
Och var inte rädd, rädsla urholkar inte bara själen utan även samhället.
Som jag litet surt påpekat några gånger är kunskapsgrunden fört påfallande svagt.
Det är därför en händelse av stort intresse när en ny forskningsantologi inom informationssäkerhetsområdet publiceras som nu då presenteras.
Än mer så när den är inriktad på organisation och inte enbart teknik som den övervägande del av de svenska forskningsinsatser varit.
Antologin bygger på resultatet från ett antal olika forskargrupper som finansierats av MSB i ett femårigt forskningsprogram relaterat till frågor om informationssäkerhetskultur.
I programmet genomfördes en omfattande enkätundersökning som använts av flera av de ingående forskningsgrupperingarna.
Att det är ett konglomerat av olika discipliner som deltagit är både en styrka och en svaghet i antologin.
Styrka eftersom det ger en i delar ny och intressant belysning av informationssäkerhet, svaghet då den röda tråden i antologin känns väl tunn och att det mer har handlar om paketering än en reell knytning till just säkerhetskultur.
Att det inte är ett inarbetat forskningsområde visar sig också i att den litteratur som använts i förvånande hög grad är utgiven för tio år sedan eller mer.
Först två allmänna reflektioner efter genomläsning.
För det första beskrivs informationssäkerhet påfallande ofta direkt och indirekt som en statisk entitet, d.v.s.
på ett icke-relationellt sätt, som här t.ex: Informationssäkerhetskultur kan vara bra såväl som dålig.
Den är bra om den gynnar .
Jag menar att informationssäkerheten inte är ett värde i sig utan att det är organisationens intressen som ska gynnas av informationssäkerhetskulturen, d.v.s.
att den goda informationssäkerhetskulturen stödjer organisationen i att identifiera sitt behov av olika informationssäkerhetsåtgärder.
Den andra reflektionen är den i mitt tycke en övertro på regelstyrning.
I några av inläggen framstår det som att informationssäkerhetskulturens främsta och möjligen enda uppgift är att motivera medarbetarna att följa regler.
Med erfarenhet från att vara informationssäkerhetsansvarig alternativt konsult i rätt många organisationer har jag upplevt att det stora behovet av säkerhetskultur är att den lägger grunden för en dialog om informationssäkerhet.
Verksamheten måste vara involverad eftersom det är den som känner de egentliga behoven av säkerhet men behöver hjälp med att kanalisera dem och över huvud taget definiera dem som säkerhetsrelaterade.
I detta är exempelvis verksamhetens förmåga och intresse av att uppmärksamma risker och kommunicera dem.
Och när det gäller styrningen är det också aningen förvånande att ledarskap inte diskuteras – när organisationskultur i allmänhet brukar ses som i en nära samvariation med ledarskap.
Här tänker jag inte enbart på det generella ledarskapet i en organisation.
Minst lika viktigt är det ledarskap som de som arbetar med informationssäkerhet utövar både nationellt och i sina respektive organisationer.
Min uppfattning, som saknar vetenskapligt belägg, är att detta ledarskap fortfarande är starkt präglat av en patriarkal kultur hämtad från en militär-polisiär tradition som är illasittande i de flesta moderna organisationer.
Detta kommer ytterligare att förstärkas när Metoo-revolutionen, som inte bara handlar om sextrakasserier utan även manligt maktmissbruk bland annat på arbetsplatser, rullar vidare.
Några av inläggen läser jag med känsla av: var det inte mer?
Det är inte sååå upphetsande med en slutsats som att tjänstemän som arbetar i regelföljande organisationsklimat anammar informationssäkerhetsregler bättre än tjänstemän i organisationer utan detta klimat.
Eller att informationssäkerhetskulturen gynnas av att ledningen uttrycker att informationssäkerhet är en viktig fråga för organisationen (även om detta ändå touchar ledarskapsfrågan som jag tidigare skrev att jag saknade).
I andra fall blir jag uppriktigt förbryllad.
Avsnittet om ”praktikanpassad informationssäkerhetspolicy” blandar alla nivåer av styrande dokument på ett sätt som jag som strukturfascist känner mig ytterst obekväm med.
Bara att skriva informationssäkerhetspolycier i plural … Ett annat exempel som leder grubbel är detta: Historiskt sett baserast på tre tekniskt orienterade principer: , och .
Författarna vill komplettera dem med ”organisatoriskt orienterade och beteendebaserade principer som ansvar, rollintegritet, förtroende och etiskt handlande”.
Jag gillar känslan av att få mattan undanryckt under fötterna, för mig har aspekterna konfidentialitet, riktighet, tillgänglighet och spårbarhet varit definitioner av vad som ska uppnås i tillräcklig grad med både organisatoriska och tekniska åtgärder.
Tyvärr kan jag inte säga att den nya vinklingen som författarna från Handelshögskolan i Örebro lanserar känns uppenbar ens vid en närmare genomläsning.
”CIA”-begreppen ifrågasätts även av filosofen Björn Lundgren som vill ersätta dem med den s.k.
Trots att jag har en del högskolepoäng i filosofi går mig delar av hans resonemang förbi, kanske för att jag fastnar på ett tidigt skede eftersom det förefaller som om hans utgångspunkt är att det finns ett läge där information är ”säker”.
I min uppfattning strider detta mot det riskbaserade säkerhetsarbetet där det snarare handlar om att rikta in sig mot ett ständigt rörligt mål och få en acceptabel riskmiljö.
Andra inlägg är mer givande.
Den etnologiska studien av den konfliktfyllda kultur som råder runt framtagandet av informationssäkerhetsstandarder bör leda till eftertanke men har också vissa (ofrivilligt?)
komiska inslag.
Flera av inläggen handlar om informationssäkerhet i hälso- och sjukvård och det är kanske här antologin är som mest intressant särskilt med den tydliga kopplingen till integritetsfrågor.
När nu många nya aktörer börjat visa intresse för integritetsfrågor i samband med dataskyddsförordningen har det ett generellt intresse.
Jag ska därför göra en fördjupning rörande ett av antologins inlägg.
Jag har i olika sammanhang ifrågasatt säkerheten och hanteringen av personuppgifter i den nationella tjänsten Hälsa för mig och kan därför säkert uppfattas som jävig men vill ändå hävda att Peter Johanssons och Sofie Hellbergs bidrag som handlar om den tjänsten är det mest givande avsnittet i antologin.
Detta inte enbart för att sjukvårdens informationssäkerhet och hantering av integritetsfrågor är så viktiga i sig utan också för att de frågeställningar de lyfter fram kan generaliseras.
Bidraget inleds med en effektiv genomgång av tidigare forskning om integritet samt om några möjliga synsätt.
Själva förordar de ett s.k.
kontextdrivet förhållningssätt i motsats att försöka skapa en allomfattande och evig definition av integritetsbegreppet: Vi delar uppfattningen om att nyckeln till att förstå och hantera personlig integritet ligger det sammanhang där integritetsfrågorna uppstår.
En fördel med detta förhållningssätt är att man redan i designfasen av nya tekniker och system kan inkludera skydd för den personliga integriteten eller sätt upp regler kring nya teknikers användningsområden.
Utan ett sådant kontextdrivet förhållningssätt finns en risk att man vare sig kan identifiera eller hantera situationer där den personliga integriteten .
Detta stämmer väl med privacy by design (som ju föreskrivs i dataskyddsförordningen) även om jag hellre skulle beskriva det som privacy by design i än i system.
Forskarna identifierar de två parallella trenderna där accelererande mängder information insamlas och bearbetas samtidigt som individen får en ökad tillgång till information om sig själv.
Med denna bakgrund studerar forskarna den tidigare regeringens satsning på tjänsten Hälsa för mig.
Hur ansvaret för säkerhet och integritet ska fördelas i det informationshanteringslandskapet är inte uppenbart vilket caset med Hälsa för mig visar.
Att trycka ner ansvaret till individen med krav på hen själv ska ”styra” sin integritet har varit en bekväm lösning som myndigheter och tjänsteleverantörer.
Individens möjlighet att göra rimliga avvägningar är av flera skäl mycket begränsad av att hen inte kan överblicka användningen av informationen, konsekvenserna av detta och dessutom är i ojämn maktrelation med leverantören av tjänsten.
En egen reflektion är att författarna i marginalen låter ett inslag i den kultur som formats runt e-hälsa skymta fram när man skriver: Att personlig integritet är något som kan upplevas stå i vägen för e-hälsoutvecklingen har vi noterat vid olika e-hälsokonferenser.
Där har vi lyssnat på olika talare som raljerat över ”integritetsivrare”, vilket vi uppfattar som mycket problematiskt då det appliceras svepande på bland annat läkare och patientföreningar som representerar särskilt sårbara .
Potentiellt negativa effekter för integriteten tonas .
Detta är en kultur jag känner igen sedan åtminstone början av nittiotalet.
Som verksam inom informationshanteringen i vården blev jag vittne till ett tydligt perspektivskifte.
Från att tystnadsplikt och integritet hade varit kärnvärden i läkarkåren och vården i stort skedde en snabb relativisering (ja, jag vet att allt inte var idealiskt tidigare heller men pratar här om de uttalade etiska ståndpunkterna).
Relativiseringen av integriteten blev ett förhållningssätt som funnits med i digitaliseringsprocessen av vården ända sedan dess begynnelse, där det har målats upp en motsatsställning mellan patientsäkerhet och integritet.
Bakgrunden till detta är att det har funnits en motvilja hos sjukvårdshuvudmän, vårdgivare och systemleverantörer att göra den insats som krävs för att få en styrning av informationshanteringen och systemen/tjänsterna så att båda dessa värden kan uppnås samtidigt.
Min uppfattning är att denna relativisering främst bottnade i att sjukvårdshuvudmännen m.fl.
inte prioriterade att ta fram organisatoriska beskrivningar av hur ”vårdrelation” ska definieras, d.v.s.
vilka medarbetare som verkligen har anledning att ta del av den enskilda patientens vårdinformationen.
Detta kompletterat med att systemleverantörerna inte klarade av att leverera digitala lösningar med en för ändamålet avpassad behörighetshantering gjorde att den personliga integriteten framställdes som ett hinder för verksamheten och ett hot för patienten.
Ett tydligt tecken var den ständigt återkommande bilden på konferenser och andra sammanhang där det beskrevs hur en medvetslös patient kommer in på akuten och personalen p.g.a.
att patienten kan ge samtycke inte kommer åt information som överkänslighet eller annan medicinsk bakgrund med följd av att patienten avlider.
Att flertalet patienter inte är medvetslösa, inte på akuten och att behörighetsstyrningen kan ske situationsanpassat försvann i detta scenario som gjorde det överväldigande tydligt för många att integritet är av ondo.
En rådande doktrin var också att behörighetsstyrning var onödigt och att loggning var lösningen på kontroll av åtkomst.
Att loggning i detta syfte skulle kräva att det är mycket tydligt vem som har åtkomsträtt, d.v.s.
i princip samma förutsättning som för den behörighetshantering som man sa sig inte kunna åstadkomma, förträngdes.
Effekten blev usel informationssäkerhet samt att etiken och i förlängningen lagstiftning anpassades efter organisatoriska och tekniska brister.
Detta vore ytterst intressant att läsa om i en forskningsstudie.
Den inneboende paradoxen med självstyrd integritet samtidigt som individen inte har det egentliga valet eller möjligheten att styra begränsningen av användningen av personuppgifter är inte unik för Hälsa för mig.
Den möjlighet att spärra uppgifter som patienten fick i patientdatalagen (PDL) 2008 har i praktiken inte realiserats utan på många sätt motarbetats av vårdgivare.
Bidraget om Hälsa för mig och den bristande integritetsanalysen i det projektet illustrerar en historisk utveckling formad genom tekniska ofullkomligheter men därefter stödd av en säkerhetskultur som legitimerar den bristande säkerheten, ja rent av gör den till en dygd.
Den bristande analysen i fråga om integritet i Hälsa för mig har lett till att Datainspektionen listat ett antal förelägganden som måste åtgärdas innan tjänsten kan tas i bruk.
E-hälsomyndigheten har överklagat detta till f men i dagsläget verkar det oklart om tjänsten kommer att kunna tas i bruk.
För mig är detta antologins absolut viktigaste bidrag när det gäller att vissa betydelsen av en positiv respektive negativ informationssäkerhetskultur.
Dessutom att den kulturella påverkan på intet sätt är begränsad till en enskild organisation utan kan omfatta en hel sektor.
Här finns verkligen möjlighet till vidare forskning.
I dessa dataskyddsförordningstider är det också av stor betydelse att visa att integritet inte handlar om teknikaliteter utan om kultur och värderingar.
Sammantaget illustrerar antologin ett spretigt kunskapsområde med oklar teori och en ganska lång väg kvar att gå.
Svaret på frågan i rubriken tycker jag mig kunna se som: ja, det finns både positiv och negativ informationssäkerhetskultur och vi måste förstå mer för att kunna stärka den positiva kulturen.
Ett steg till mot en ny säkerhetsskyddslag är taget i och med att lagrådsremissen presenterades för någon vecka sedan.
Själv utsatte jag det ursprungliga förslaget som presenterades av utredningen för en kritisk och är därför av naturliga skäl nyfiken på hur regeringen hanterat förslaget och de många remissvar som kommit in.
Efter en genomläsning är min slutsats att regeringen köpt utredningens förslag med några få men viktiga förändringar initierade från remissvaren.
En sådan positiv förändring är att regeringen instämmer i ett antal remissinstansers kritik av utredningens förslag att använda begreppet informationssäkerhetsklassificering trots att klassningen endast skulle bedöma konfidentialitet.
Istället kommer begreppet säkerhetsskyddsklassificering vilket visserligen är otympligt men, viktigare, är mer korrekt i förhållande till vad aktiviteten innebär.
Ännu bättre hade det varit om begreppet informationssäkerhet överhuvudtaget användes i lagen eftersom man definierar det på ett helt eget sätt: Säkerhetsskyddet ska förebygga att uppgifter som omfattas av sekretess och som rör rikets säkerhet obehörigen röjs, ändras eller förstörs (informationssäkerhet) Det vore ju så mycket bättre att undvika begreppsförvirring och istället införa ett unikt begrepp typ informationsskydd men man får vara tacksam för det lilla i det här sammanhanget.
Jag noterar också att intresset för internationell anpassning förefaller större än för att få en nationellt konsistent modell för informations-/informationssäkerhetsklassificering.
Men i huvudsak kvarstår utredningens förslag och regeringen fyller på.
Den nya säkerhetsskyddslagen sägs nödvändig framförallt av tre orsaker som kan sammanfattas som: ”det förändrade omvärldsläget”, digitaliseringen och att allt större del av det som kallas säkerhetskänslig verksamhet ombesörjs av privata aktörer (inklusive i form av outsourcing m.m.).
Händelserna vid Transportstyrelsen har inte heller gått obemärkt förbi om man säger så.
Detta gör att den nu gällande säkerhetsskyddslagens tillämpningsområde anses för ”snävt” vilket annorlunda uttryckt innebär att man vill utvidga till att fler verksamheter och funktioner samt mer information ska klassas som säkerhetskänslig.
Det som slår mig när jag läser lagrådsremissen liksom den tidigare utredningen är bristen på systemtänkande på samhällsnivå.
Här finns ett stuprörsutredande där man försöker utreda och lagstifta i delar utan att sammanhang skapas och utan att det går att se hur de olika delarna hänger ihop.
Särskilt tydligt blir detta när det gäller ”säkerhetskänslig” i förhållande till ”samhällsviktig” verksamhet.
Med den glidning som sker från att säkerhetsskyddet, förenklat beskrivet, varit fokuserat på antagonistiska hot mot hemlig information i offentlig verksamhet till att övergå till ett betydligt större område blir gränsdragningen än svårare.
Nu har vi dels säkerhetsskydd som ska skydda säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter där med säkerhetskänslig verksamhet avses: verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd Och så samhällsviktig verksamhet som definieras som: Ett bortfall av eller en svår störning i verksamheten kan ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid leda till att en allvarlig kris inträffar i samhället.
Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt Lagrådsremissen ”förtydligar” skillnaden mellan det ena och det andra genom följande plattityd: Verksamheter som bör omfattas av en ny säkerhetsskyddslag omfattas i regel av dessa kriterier, men karaktäriseras därutöver av att de har betydelse för Sveriges säkerhet ur ett nationellt perspektiv.
Skälet för detta är att säkerhetsskyddslagen i första hand bör syfta till att skydda särskilt känsliga verksamheter mot antagonistiska angrepp, t.ex.
spioneri, sabotage och terroristbrott.
Personligen uppfattar jag det som djupt problematiskt när skillnaden på det ena och det andra blir ungefär som den klassiska Fred Astaire-sången med refrängen Potato, potahto, tomato, .
Det är helt enkelt väldigt svårt att avgöra skillnaden mellan samhället respektive Sverige.
Den enda skillnaden i detta sammanhang är såvitt jag kan se att säkerhetsskydd ställs i relation till typen av hot (antagonistiska).
När det nu blir allt tydligare att informationssäkerheten generellt är på en nivå som inte på något sätt motsvarar behovet borde en huvudfråga vara hur bättre stöd ska ges till alla de verksamheter som är säkerhetskänsliga och/eller samhällsviktiga.
Att då inte kunna ge reda ut ens huvudkriterierna på ett pedagogiskt sätt förtjänar ett totalt underbetyg.
I backspegeln verkar lanseringen av samhällsviktig verksamhet som begrepp och det praktiska arbetet med att faktiskt utveckla och skydda de funktioner som vi alla är beroende av vid större störningar ha misslyckats.
Det klena stödet för att identifiera vad som är samhällsviktigt kombinerat med avsaknaden av förslag på konkreta åtgärder som ska vidtas om man mot all förmodan lyckas med uppgiften är ett allvarligt problem.
Säkerhetsskyddet är knappast lösningen på det problemet även om det verkar vara en tanke som vissa drabbas av.
Varken den ursprungliga utredningen eller lagrådsremissen utgör någon hjälp i det hänseende.
I lagrådsremissen blandar man t.o.m.
ihop begreppen som på sidan 35 där man motiverar ett ökat säkerhetsskydd med allvarliga konsekvenser i samhällsviktig verksamhet.
Att det är svårt att ge exakta kriterier för säkerhetskänslig respektive samhällsviktig verksamhet har jag förståelse för men det måste ändå gå att åstadkomma betydligt mer än det som hittills presenterats.
En första insats vore att en central ansträngning gjordes för att definiera vad som är skyddsvärt ur dels säkerhetsskyddsperspektiv, dels ur vad som ska räknas som samhällsviktigt.
Nu trycks frågan istället ner på organisationsnivå och skapar en logisk knut: det är organisationen själv som genom en säkerhetsanalys ska fastställa om den är säkerhetskänslig men för att över huvud taget komma på att man är säkerhetskänslig måste man först göra analysen… Detta förstärks ytterligare av att lagrådsremissen uttrycker sig i termer som närmast är att likna vid : Det kan också tänkas att ett angrepp som riktas mot en verksamhet på en förhållandevis liten geografisk yta påverkar människor som har funktioner i andra verksamheter med direkt betydelse för Sveriges säkerhet.
Även flera koordinerade, eller av varandra oberoende, angrepp som resulterar i störningar av samhällsviktiga funktioner på lokal eller regional nivå kan påverka Sveriges säkerhet, t.ex.
genom att det bland befolkningen generellt sprids oro och misstro mot myndigheternas förmåga att hantera situationen.
Dessa exempel på frågeställningar som en verksamhetsutövare måste ta ställning till visar att bedömningen av säkerhetsskyddslagens tillämpningsområde inte enbart kan ha sin grund i geografiska områden eller antalet medborgare som potentiellt kan drabbas av ett angrepp.
Även potentiella följdverkningar av en händelse måste vägas in i bedömningen.
Och visst kan säkerhetsbedömningar likna kaosforskning på sätt och vis men att kräva att kommuner, landsting och regioner ska kunna göra sådana bedömningar är att bygga in en fallucka i hela systemet eftersom det är en omöjlig uppgift.
Ytterligare en dimension av detta är att privata aktörer förväntas att på ett objektivt sätt analysera om det finns funktioner som är säkerhetskänsliga i den egna verksamheten trots den kostnadsdrivande effekt en sådan bedömning skulle få.
Och den spännande frågan om aggregering hos privata aktörer där intet svar ges om vem som ska ha koll på detta: Ett annat exempel på verksamhet som kan anses ha betydelse för Sveriges säkerhet är om en leverantör svarar för driftstjänster åt ett flertal myndigheter och leverantörens samlade uppdrag kan ha betydelse för Sveriges säkerhet.
Även om de enskilda uppdragen inte anses som säkerhetskänsliga kan leverantörens samlade engagemang innebära risker för alla de myndigheter som den utför tjänster åt vid ett antagonistiskt angrepp, vilket i slutändan skulle leda fram till effekter för samhället i stort.
(s 46) Ungefär på samma sätt är det med samhällsviktig verksamhet, det är organisationen själv som ska bedöma vilka delar som är samhällsviktiga och även där intuitivt kunna se långa beroendekedjor på samhällsnivå som inte finns beskrivna.
Idag är det uppenbart att 1.
Kommuner/landsting har ansvar en stor del av den samhällsviktiga verksamheten och även en del funktioner som är att betrakta som säkerhetskänsliga 2.
Förmågan att kunna vidta rätt säkerhetsåtgärder är alldeles för låg.
Vad som förvånar mig är detta inte är något som analyseras närmare vare sig i utredningen eller lagrådsremissen, vilka åtgärder och vilket stöd som vore nödvändigt för att intentionerna ska kunna förverkligas.
Riskerna med vagheten är flera.
Den mest uppenbara är att säkerhetsåtgärder inte vidtas i den omfattning som vore befogat.
En annan av jämförbar dignitet är att svårigheten att avgöra om det är ”säkerhetskänsligt” eller ”samhällsviktigt” gör att organisationer i en allmän ängslighet tar det säkra för det osäkra (lätt hänt efter sommarens och höstens massiva mediebevakning) och definierar information och system som säkerhetskänsliga.
Detta gör att jag inte ens blir förvånad över crazylösningar som när sjukvårdshuvudmän försöker få sjukvårdssystem att bli säkerhetsskyddade, uppenbarligen utan en susning om vad det skulle innebära i . Detta är för den med minsta insikt ett totalhaveri i säkerhetstänkande och där ett förverkligande skulle innebära att en stor del av sjukvården lamslogs.
En inte oväsentlig risk är att integritets- och offentlighetsaspekter blir utdefinierade i verkligheten på samma sätt som i lagrådsremissen.
Denna risk förs fram av flera remissinstanser men viftas i lagrådsremissen bort utan vidare spisning (ex s 48 och 63).
Jag funderar också rätt mycket när jag läser lagrådsremissen på risken att säkerhetsskyddet genom oklarheten i tillämpningen devalveras.
Om information och system inte hör dit ändå placeras där kommer då säkerhetsskyddet verkligen att kunna upprätthållas där det verkligen behövs?
Överhuvudtaget väcker lagrådsremissen så många frågor att jag rekommenderar alla att läsa den och försöka visualisera effekten i den verkliga världen.
Hur ska man till exempelvis göra för att bedöma riktighet och tillgänglighet men inte i form av klassning?
Och hur få ihop säkerhetsskyddslagens legitimitet i antagonistiska hot när en stor del av störningarna i informationshanteringen och därmed i verksamheten uppstår av andra orsaker?
Och vore det inte mycket bättre att inrikta sig på säkerhetskänsliga funktioner än dito verksamheter?
Då skulle faktiskt statsmakten kunna peka ut vilka funktioner oavsett organisation som bedöms som väsentliga för Sverige vilket skulle vara ett enormt stöd inte minst för kommunerna.
Sammantaget: det känns inte som livet som säkerhetsmänniska blivit enklare med lagrådsremissen.
Den understryker dock behovet av att förstärka arbetet med informationssäkerhet för den samhällsviktiga verksamheten.
Det här kommer att bli ett nördigt inlägg om arkivfrågor eftersom arkivfrågor per se är nördigt eller hur?
För läsaren ska kunna sätta inlägget i ett sammanhang ska jag bekänna min bakgrund och därmed även antyda sambandet mellan informationssäkerhet och arkiv.
Min ingång till informationssäkerhet gick via arkiven.
Under ett antal år arbetade jag som arkivarie, först på arkivinstitutioner och därefter som landstingsarkivarie.
Som så många andra arkivarier hamnade jag i skrået via studier i historia, själv påbörjade jag en forskarutbildning i ekonomisk historia efter att ha läst politisk historia, förvaltningshistoria, naturvetenskapernas idéhistoria o.s.v., o.s.v.
Synsättet att arkivvetenskap (i den mån något sådant ens kan sägas existera) var en stödvetenskap för historieämnet föreföll därför inledningsvis logiskt även för mig.
Sedan hände två saker: jag blev väldigt intresserad av metoder för att strukturera information och jag blev tvungen att börja tillämpa detta i en pågående verksamhet, inte bara i avställda arkiv.
Jag skrev om sett ur det industrihistoriska perspektivet men insåg allt tydligare verksamhetsbehovet i att strukturera information.
Det kändes egendomligt att betrakta detta verksamhetsbehov kikande ut från en arkivinstitution och dess behov som är helt annorlunda än verksamhetens.
Jag fortsatte att skriva om dessa frågor och vikten av att arkivväsendet omorienterar sig och inte ser sig som en historiens Istället borde vi vända på processen och se att om arkivarierna specialiserar sig på informationshantering och stödjer verksamheten kommer behovet av långsiktigt bevarande också att hanteras.
Däremot gäller inte det omvända.
Jag kan väl inte säga att jag fick särskilt mycket gehör för detta utan blev istället betraktad som en arkivvärldens gossen Ruda som en riksarkivarie vänligt uttryckte det.
Nu har jag inte arbetat som arkivarie på många år men interagerar med arkivfrågor nästan dagligen då jag arbetar med informationssäkerhet vilket är naturligt då arkiven kan sägas att jämte krypton vara de informationssäkerhetsåtgärder som förekommit ända sedan antiken.
OK, vi kan väl säga signering också så blir det tre antika åtgärdstyper.
I vilket fall så sett ur mitt limbo-tillstånd där jag halvvägs utanför, halvvägs innanför arkivvärldens gränser uppfattar jag det som att den desorientering som funnits ända sedan sjuttiotalet fortfarande lever kvar.
Jag ska inte här närmare gå in på hur denna desorientering mellan att delta i att utveckla myndigheternas informationshantering år ena sidan och å andra sidan ha blicken fäst vid det historiska materialet.
Vad som är glädjande är att regeringen initierat en översyn av arkivområdet under Lars Ilshammars kompetenta .
Översynen ska bland annat analysera hur samhällsutvecklingen påverkat kraven på arkivsektorn, se över arkivlagstiftningen och Riksarkivet roll i förhållande till andra myndigheter.
Det kan bli spännande!
Inspirerad av detta kommer här tre frågeställningar som kan förtjäna att tas med som faktorer då översynen genomförs och som dessutom är sammankopplade.
Först en disclaimer: i det följande kommer jag liksom som många andra som diskuterar arkivfrågor att strunta i de privata aktörernas behov och praxis gällande dessa frågor och endast ägna mig åt den offentliga sektorn och arkivväsendet i stat, kommun och landsting.
Detta är en nästan oförlåtlig avgränsning men eftersom jag här kommer att ta upp några frågeställningar som i första läget framförallt berör det offentliga arkivväsendet finns det en viss logik i detta.
Det kan dock inte nog understrykas vikten av att det offentliga arkivområdet idag måste ta mycket större hänsyn till privata aktörer eftersom allt större del av den offentligt finansierade verksamheten utförs av privata aktörer.
Ta till exempel inom vården som i efterkrigstiden i all väsentlighet ombesörjdes av offentliga utförare men som sedan nittiotalet alltmer utförs av privata vårdgivare.
Vårdinformationen som har ett mycket stort värde under lång tid för den enskilde patienten och ett stort forskningsvärde men lever idag ett osäkert liv eftersom det faktiskt inte längre är tydligt reglerat hur den ska hanteras långsiktigt.
Den första fråga jag tänkte lyfta är frågan är den utpräglade juridifiering som råder gällande arkivhanteringen.
I Sverige har arkivväsendet en mycket nära koppling till statsmakten sedan lång tid och numera även en stark koppling i lagstiftningen mellan arkivlagen och offentlighetslagstiftningen.
Detta kan ses som en välsignelse och jag tror inte det finns en idag levande arkivarie som inte hämtat legitimitet ur detta faktum och det är självklart att detta ger arkivverksamheten en potentiellt stark ställning i offentliga organisationer (nu blir det ju inte alltid så i praktiken).
Men för att travestera femte Moseboken: en välsignelse kan samtidigt vara en förbannelse.
Förbannelsen ligger i att samtidigt som offentlighetslagstiftningen definierar arkivens innehåll så definierar den arkivens avgränsning.
I arkivlagen sägs att: En myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap.
9 § tryckfrihetsförordningen och som myndigheten beslutar skall tas om hand för arkivering.
Vad som utgör en myndighets arkiv är alltså en juridisk definition, inte en arkivvetenskaplig.
Detta är i sig värt att uppmärksamma men det får även djupgående praktiska konsekvenser.
Det måste understrykas att vad som kan utgöra en allmän handling inte är übertydligt.
Formuleringar som att ”handlingen ska vara upprättad eller inkommen till myndigheten” leder tankarna till information som liknar pappersdokument och som är vagt relaterade till postgång (detta är också vad som avspeglas i de heliga diarierna som ofta uppfattas som det som definierar vad som är myndighetens allmänna handlingar).
Men detta är ju inte den enda information myndigheten använder.
Om man jämför dokumenthanteringsplaner med vilka informationsmängder som en myndighet eller kommun verkligen använder för att utföra sina uppgifter är skillnaden ofta stor.
Detta blir ganska uppenbart om man gör en processorienterad informationskartläggning där det, vågar jag hävda, alltid kan identifieras betydligt fler informationsmängder än vad som finns redovisat i dokumenthanteringsplanen.
Det finns, tror jag, en outtalad föreställning om vad som ska räknas som allmänna handlingar som inte är uppdaterad så att den går att omsätta i en modern myndighets faktiska informationshantering där Skype, molntjänster och även mer traditionella it-system står för merparten av transaktioner.
Och när kartan inte stämmer med verkligheten förefaller kartan vinna över verkligheten.
Riksarkivet säger även på sina ställen att man jämställer arkivförteckning (som endast ska innehålla allmänna handlingar) och dokumenthanteringsplan: Här hittar du svar på frågor som rör den andra delen av arkivredovisningen, den som beskriver vilken information som uppstår i myndighetens verksamhet och hur informationen förvaras.
Traditionellt kallas denna redovisning för arkivförteckning eller dokumenthanteringsplan.
De element som förekommer här är handlingsslag och handlingstyper samt f . Det finns också ofta en stark vilja att göra så litet information som möjligt till allmänna handlingar eftersom det uppfattas som negativt att allmänheten ska få tillgång till information som myndigheten vill ha för sig själv.
Det kan både ske genom att man kallar information för ”arbetsmaterial” eller genom att man försöker dra ut på statusförändringen till allmän handling genom att kräva exempelvis att ett ”ärende” (detta fullständigt intetsägande begrepp i de flesta icke-exekutiva verksamheter) ska vara avslutat innan en enskild handling blir allmän.
Sammantaget menar jag att juridifieringen av arkivbegreppet, förutom att leda till att många arkivarier uppträder som någon slags barfotajurister istället för informationshanterare, får effekten att en stor diskrepans uppstår mellan det verkliga arkivet och det som kallas myndighetens arkiv.
Med detta verkliga arkivet menar jag den information som myndigheten faktiskt använder för att bedriva sin verksamhet och som arkivteoretiskt borde ses som ”arkivet”.
Jag tycker att arkivariekåren och arkivväsendet här sviker sin uppgift eftersom väsentlig information och väsentliga sammanhang här förloras.
Den andra frågan jag tänkte ta upp är gallring.
Ingen vettig människa kan idag bortse från att det är ett stort problem att mängden information växer exponentiellt.
Konsekvenserna blir bristande sökbarhet, bristande integritet, arbetsmiljöproblem, säkerhetsproblem eftersom det inte går att styra dessa gigantiska informationsmängder och faktiskt i slutändan ett miljöproblem.
Arkivariens andra huvuduppgift måste därför att på ett professionellt sätt göra gallringsutredningar och sedan se till att information försvinner.
Men trots att det i arkivlagen uttryckligen står att allmänna handlingar får gallras så sker detta inte alls med den fermitet som vore nödvändig, kanske beroende på att många arkivarier räds uppgiften och att det på olika sätt sägs att huvudregeln är att alla allmänna handlingar ska bevaras… Det finns också strukturella problem som att myndigheterna inte är sina egna arkivmyndigheter utan måste vänta på att Riksarkivet fattar gallringsbeslutet.
Det mest utarbetade stödet för gallring som Riksarkivet tillhandahåller är såvitt jag kan se från Även vad gäller gallring leder den ovan beskrivna juridifieringen till principiella problem med mycket stora konsekvenser.
Gallring innebär att allmänna handlingar destrueras, när arbetsmaterial förstörs kallas det rensning.
Om dokumenthanterings- och gallringsplaner endast omfattar allmänna handlingar innebär det att det i varje myndighet och kommun finns stora mängder av information där styrning saknas och där informationen inte ens är identifierad.
Detta hävdar jag är det reella läget vilket är högst bekymmersamt inte minst ur säkerhetssynpunkt där kontroll av informationen är a och o. Punkt tre på dagens lista (ja, jag hotar med att komma tillbaka till ämnet) är otidsenligheten och bristen på strategi i arkivområdet.
Som ändå hyfsat insatt kan jag inte utläsa vad Riksarkivets strategi för långtidsbevarandet är mer än att man gör allt för att statliga myndigheter inte ska komma och försöka dumpa sina arkiv: Leveranser bör inte innehålla handlingar yngre än 10 år.
Leveranser med handlingar 10–20 år gamla övervägs särskilt noga med hänsyn till frekvens, sekretesstyngd och andra handläggningsfrågor.
Leverans från en och samma arkivbildare bör inte ske tätare än vart tionde år vad gäller pappershandlingar.
Digitalt material bedöms utifrån egna, specifika .
På något sätt tycks man helt leva kvar i en pappersverklighet där arkivhandlingar inte fick levereras förrän efter 50 år och då helst inbundna.
I en digital verklighet skulle vore den mest rimliga lösningar att man genom tydlig styrning överförde den information som ska bevaras för framtiden till Riksarkivet i samma stund som den skapas.
Naturligtvis skulle detta kräva en massiv höjning av informationssäkerheten i Riksarkivets lagring och kommunikation men det skulle samtidigt vara den mest rationella hanteringen av en digital arkivbildning.
Det är möjligt att Riksarkivet har en mängd spännande strategiska diskussioner men dessa måste i så fall föras ut till de myndigheter och kommuner som idag sliter sitt hår och försöka räkna ut vad som förväntas att de ska göra.
Och, don´t get me started, det handlar inte om de s.k.
e-arkiv som nu försäljs.
Förhoppningsvis kan en klok översyn leda till att desorienteringens dimmor litet börjar upplösas och att en riktning tas ut.
I mina funderingar om en tänkbar nationell styrmodell för informationssäkerhet slås jag av vilket i mitt tycke oproportionerligt intresse incidentrapportering fått som säkerhetsåtgärd.
För att ge en snabb bild av nuläget så har MSB sedan snart två år en särskild föreskrift angående obligatorisk it-incidentrapportering för statliga myndigheter.
Till detta kommer dataskyddsförordningens krav och förslaget på NIS-direktivets tillämpning i som båda framför starka krav på incidentrapportering.
Dataskyddsförordningen kommer att träda i kraft i maj 2018, samma månad som även utredningens förslag rörande NIS-direktivet sannolikt kommer att sjösättas.
MSB:s incidentrapportering är alltså inriktad enbart på statliga myndigheter och gäller uttryckligen endast it-incidenter.
MSB:s definition handlar inte om störning på verksamhetens processer utan vilken typ av, framförallt teknisk, orsak som lett till störningen samt i vissa fall konsekvenser för informationshantering: störning i mjuk- eller hårdvara, störning i driftmiljö, informationsförlust eller informationsläckage, informationsförvanskning, hindrad tillgång till information, säkerhetsbrist i en produkt, angrepp, handhavandefel oönskad eller oplanerad störning i kritisk infrastruktur, eller annan plötslig oförutsedd händelse som lett till skada .
Det är alltså ett tämligen icke-stringent incidentbegrepp (lägg märke till att begreppet ”plötslig” överraskande kommer in under punkt 10) som används.
Att notera är också att bristande spårbarhet inte nämns som en incidenttyp.
Dataskyddsförordningen, som i princip kommer att gälla i alla offentliga och privata organisationer som hanterar personuppgifter, har ett incidentbegrepp som är helt inriktat på personuppgifter: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt Det är framför allt obehörig åtkomst (konfidentialitet) men även förlust eller förvanskning (riktighet) av personuppgifter som ska ses som incidenter i detta perspektiv.
Det bör dock understrykas att för att kunna efterleva dataskyddsförordningens övriga krav är både positiv och negativ spårbarhet en central faktor.
Däremot kan en personuppgiftsincident lika gärna ske i icke-digitala som digitala medier – det är alltså inte enbart it-incidenter som är aktuella (vilket särskilt bör beaktas med tanke på att den s.k.
missbruksregeln i PuL försvinner).
I författningsförslaget gällande NIS-direktivet slutligen är definitionen av incident: : en händelse med en faktisk negativ inverkan på säkerheten i nätverk eller informationssystem Precis som i MSB:s och Dataskyddsförordningens definitioner lyser verksamhetspåverkan med sin frånvaro, det är nätverken och informationssystemen som är objektet för regleringen som gäller både offentliga och privata aktörer i följande samhällsviktiga branscher: En självklar fråga är om den bristande samordning som av de tre olika regleringarna är acceptabel.
Det förefaller inte finnas några planer för att förenkla för de som kommer att behöva rapportera samma incident i två eller i värsta fall tre olika stuprör.
Gissningsvis måste MSB:s befintliga inrapportering och den som följer av NIS samordnas eftersom de båda ska ske i MSB:s regi men då kvarstår ändå personuppgiftsincidenterna.
Och i författningsförslaget för NIS-direktivet finns det en antydan om att är bra om tillsynsmyndigheterna samarbetar: med Datainspektionen när den handlägger incidenter som medfört personuppgiftsincidenter och innan ett åtgärdsföreläggande meddelas, så det finns kanske hopp om en praktisk samverkan.
Jag ska inte fördjupa mig ytterligare i samordningsproblemen även om de är nog så intressanta för alla som kommer att drabbas av dem.
Istället tänker jag svära litet i den nationella säkerhetskyrkan och ifrågasätta om det verkligen är rimligt att satsa så mycket intresse och resurser på just incidentrapportering.
Man kan göra den inte helt rimliga analogin till en enskild organisation som ska förbättra sin informationssäkerhet och då satsar större delen av sitt krut på incidentrapportering – skulle vi då tycka att det är en ändamålsenlig satsning?
Den kritiske kan här invända att författningsförslagetsamhällsviktiga och digitala tjänster innehåller litet vaga krav på säkerhetsåtgärder: 14 § Leverantörer av digitala tjänster ska utarbeta och vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder när de tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster inom unionen.
Med beaktande av den senaste tekniska utvecklingen ska dessa åtgärder säkerställa en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till den föreliggande risken, varvid hänsyn ska tas till 1. säkerheten i system och anläggningar, 2. incidenthantering, 3. hantering av driftskontinuitet, 4. övervakning, revision och testning och 5. efterlevnad av internationella standarder.
Samt även ett system för tillsyn med ett antal tillsynsmyndigheter (varav ett par redan tackat nej till uppdraget i sina remissvar).
Huvudpunkten är ändå incidentrapportering vill jag hävda.
Är detta då den mest effektiva åtgärden för att förbättra säkerheten?
Låt oss då först titta på syftet med incidentrapportering.
I en organisation är incidentrapportering inte en lösryckt aktivitet utan del i en där den fyller flera olika syften: Behovet av informationskvalitet i rapporteringen är olika för de olika syftena.
För att inleda akut felavhjälpning krävs mycket snabb kommunikation, däremot kan inte den som anmäler felet förväntas kunna redogöra för orsaken.
För att inleda kontinuitetshanteringen måste en koppling kunna göras mellan de drabbade informationsbärarna och verksamhetsprocesser för att rätt prioriteringar av återställelse respektive reservrutiner ska kunna göras.
Underlaget för långsiktig förbättring måste vara av mer analytisk karaktär men också bygga på en konsistent tillämpning av begrepp för att mönsterigenkänning ska kunna göras.
Kravet på god informationskvalitet gäller även för rapportering, riskanalysen och fört i mer vida termer.
Hur har man då resonerat i dessa frågor när det gäller den nationella rapporteringen.
Inte alls vad jag kan se, det är till och med svårt att utläsa vad syftet med den befintliga incidentrapporteringen egentligen är även om den dåvarande inrikesministern Ygeman 2015 så följande då beslutet att införa rapporteringen togs: Syftet med ett sådant system är att möjliggöra en förbättrad lägesbild över informationssäkerheten i statlig förvaltning.
Förmågan att förebygga, upptäcka och hantera it-angrepp mot statliga informationssystem ska också bli bättre.
Sådana it-incidenter kan röra exempelvis störningar i mjukvara, hårdvara eller driftmiljö eller förlust av data i olika sammanhang.
It-incidenter kan orsakas av bland annat externa attacker, säkerhetsbrister i it-produkter eller felaktigt .
Det är alltså inte incidenthantering som eftersträvas utan ”en förbättrad lägesbild”.
För mig förefaller det torftigt att ha en lägesbild som består av tekniska incidentbeskrivningar men jag tror också att inrapporteringsmoralen påverkas i starkt negativ riktning med tanke på att den svaga möjligheten till payoff eftersom det inte handlar om incidenthantering.
Egentligen inte ens om rapportering utan endast om incidentanmälan eftersom meddelande om att något hänt ska ske innan någon djupare analys har hunnit ske.
Samma oklarhet gäller även rapporteringen av personuppgiftsincidenter och rapportering enligt NIS-direktivet – det enda som kan hända är att man får ett besök av tillsynsmyndigheten för att uttrycka sig raljant.
Att både MSB och Datainspektionen hävdar att det finns ett starkt behov av att sekretessbelägga rapporteringen gör att den lägesbild som uppges vara huvudsyftet för åtminstone MSB kommer att vara tillgänglig i mycket begränsade kretsar.
Erafarenhetsåtervinningen på nationell nivå är därmed inget som kan locka fler att rapportera.
Att det sannolikt kommer att saknas ett starkt driv att rapportera incidenter påverkar kvaliteten i lägesbilden.
Ytterligare en aspekt som påverkar kvaliteten är den svaga begreppsmodelleringen av vad som ska inrapporteras samt att det saknas kriterier för verksamhetspåverkan i rapporteringen.
Här hade stora lärdomar kunnat hämtas från exempelvis smittskyddsområdet och överhuvudtaget från ett mer vetenskapligt förhållningssätt.
Att resonemang i denna riktning helt saknas både i dataskyddsförordning och i NIS-direktivet talar för sig själv.
Att incidentrapporteringen ändå fått ett så stort genomslag som universalmedel beror förmodligen på att den har en USP.
Det går nämligen att förklara vad incidentrapportering är för politiker och andra makthavare medan många andra säkerhetsåtgärder på systemnivå kräver betydligt mer i pedagogik.
Incidenter kan också kopplas till mer actioninriktad kommunikation som kan leda fram till snabba beslut än en diskussion om hur informationssäkerhet ska bli en normal del av förvaltningen.
Men, som alla vet, är det inte alltid det som är lätt att sälja som är det vi bäst behöver.
Sammantaget tror jag följande.
Den nationella incidentrapporteringen kommer inte att ge de enskilda organisationerna något stöd i det egnat och kvaliteten i de rapporter som faktiskt sker kommer att vara låg.
Den gemensamma lägesbilden som summa kommer inte ha högre kvalitet än de ingående delarna och kommer därför att ha ett värde som inte är i paritet med fokus och de resurser som läggs på incidentrapporteringen.
Vore det då inte bättre att försöka göra en något djupare analys och försöka reda ut vilka åtgärder som skulle ha en reellt säkerhetshöjande effekt på nationell nivå?
Eller åtminstone sätta in incidentrapporteringen i ett sammanhang som redovisas och som kan vara del av en större styrmodell?
Den goda offentlighetsstrukturen, eller bristen på sådan, är värd ett blogginlägg till.
För att sammanfatta mitt förra inlägg så är det inte bara kraven i OSL som gör att offentlighetsstrukturen inom myndigheter, kommuner och landsting bör prioriteras.
Den transparens som ingen politiker, högre tjänsteman eller konsult någonsin missar att närmast religiöst lyfta fram på konferenser och i strategier som en förutsättning för en fungerande demokrati borde innebära att insyn är en central fråga.
Ett annat högaktuellt skäl är att god tillgång till korrekt information från källan är ett av de mest verksamma sätten att bekämpa den farsot av informationspåverkan som bedrivs av både politiska och kommersiella intressen.
Ytterligare en anledning som kanske är mer av motiverande karaktär är att om kravet på systematik och sökbarhet i informationshanteringen (som en god offentlighetsstruktur förutsätter) realiseras skulle det innebära enorma effektivitetsvinster för den offentliga förvaltningen.
Då skulle ju nämligen även medarbetarna på myndigheten eller i kommunen helt plötsligt få arbetsverktyg och en överblick som är revolutionerande jämfört med i dag.
Något som borde ligga helt i linje med de officiella digitaliseringssträvandena.
I en kommentar till mitt förra blogginlägg i frågan framkom också att myndigheter ibland får anlita konsulter för att söka fram allmänna handlingar hos andra myndigheter, ett tydligt tecken på bristande insynsmöjligheter även mellan myndigheter.
Trots alla dessa goda anledningar i heta områden är ändå inte offentlighetsstrukturen god och de finns få indicier på att andra än enstaka torra bloggare intresserar sig för frågan.
Och när man ändå närmar sig frågan så fastnar man i diarieföringen vilket jag ser som den återvändsgränd vi sprungit i sedan 1970-talet utan att någonsin bromsa in och fundera vad vi håller på med.
Innan jag tittar vidare på några myndigheters mer eller mindre ambitiösa insatser på området ska jag därför skriva litet om diarieföring som fenomen och dess roll som ett klent substitut för en god offentlighetsstruktur.
Vad som måste noteras är att det inte finns någon skyldighet för myndigheter att information utan skyldigheten är att allmänna handlingar ska vara Däremot är kravet på god offentlighetsstruktur obligatoriskt.
Varför är det här intressant?
Jo, därför att diarieföring inte på något sätt borgar för en god offentlighetsstruktur – snarare tvärtom.
Diarieföring är från början ett sätt att dagligen lista in- och utgående korrespondens (därav ordet diarium som litet slarvigt kan översättas som ”dagbok”).
Sedan medeltiden och ännu tidigare har detta varit ett sätt för hov, kyrkliga institutioner och en begynnande förvaltning att hålla ordning på korrespondensen.
I Sverige finns exempel från bruk och proto-industri där man redan tidigt började föra diarium – eftersom jag ordnade arkivet minns jag med särskild kärlek Långvinds bruk och dess diarium från 1600-talet.
Problemet är bara att diarieföringen sedan 1600-talet inte på något sätt utvecklats i samma takt som övrig informationshantering utan utgör en slags museal kvarleva i dagens förvaltning.
Trots att myndigheter har både en och två registratorer (även kommuner och landsting) så ger inte diarieföring vare sig insyn utifrån eller möjlighet till styrning av informationshanteringen internt i myndigheten.
Ingen tycks heller ställa krav på att det ska kunna gå att söka information eller registrera den utan personlig hjälp av en registrator.
Att diariet omfattar endast en bråkdel av de allmänna handlingar som finns i myndigheten (d.v.s.
att endast vissa typer av korrespondens samt dokument som ser ut som pappershandlingar) verkar inte heller väcka oro.
Istället lever diarieföringen kvar som en ritual som blir allt mer tom år för år.
Fossiliseringen har pågått under årtionden vilket också visar sig vid en snabb sökning på Libris.
Sökningen renderar inte i en enda längre text som på djupet analyserar hur diarieföring i traditionell utformning skulle kunna ersättas av sökverktyg som bättre uppfyller andemening i OSL de senaste 30 åren.
En DIVA-sökning är ungefär lika nedslående.
Diarieföringen sker idag med en stor arbetsinsats och i it-system som utformats för att i mesta mån efterlikna papperskartotek och slippar i tre färger.
Det finns ingen formell utbildning till registrator (Mitthögskolan har haft enstaka kurser på arkivutbildningen) utan detta är ett yrke som traderats från kvinna till kvinna och idag är mer en konstform än en funktionell sökfunktion.
Det räcker att titta på sökmöjligheten som erbjuds i ett diarieföringssystem för att förstå hur lång bort från en Google-sökning vi är och vilken omöjlig nivå av förförståelse som krävs för att göra en sökning ens inom en myndighet.
För att ge ytterligare ett par exempel på hur det i realiteten ser ut för den som söker på en myndighets webbplats och vill ha insyn, inte bara tillgång till tjänster, så ska jag här beskriva ett par myndigheter som borde ha särskilt intresse för de här frågorna.
Lantmäteriet har varit mycket framgångsrika när det gäller digitalisering och öppna data.
När jag gnällt över att öppna data (som ju är näringsinriktade tjänster) prioriterats framför insyn ur ett demokratiskt perspektiv har jag ibland fått det lugnande beskedet att de två frågorna hänger ihop.
Den myndighet som satsar ambitiöst på öppna data kommer att vara lika ambitiös när det kommer till insynsperspektivet har varit tanken.
Men stämmer det i verkligheten?
Lantmäteriet har visserligen en lockande flik under som heter .
Kan man bli annat än sugen på att kika in där?
Under finns en redovisning över olika hjälpmedel som används inom Lantmäteriet som t.ex.
: som innehåller upp gifter hämtade från Arkivförteckningen.
Denna sammanställs som ett stöd till verksamheten.
Planen beskriver verksamhetens processer och dess handlingstyper.
För varje handlingstyp finns beskrivande och styrande information som t ex format, gallring, lagring och förvaring.
Den skulle jag gärna vilja ta del eftersom den ju vore en första ingång för att förstå vilken information som Lantmäteriets processer hanterar.
Detta verkar dock bara vara en teaser för planen är inte tillgänglig på webben och det finns heller ingen hänvisning till hur jag skulle kunna ta del av den.
Däremot kan jag klicka mig i in informationsredovisningsverktyget där jag kan få ta del av Historik och information om Lantmäteriets föregångare hittas i på respektive arkivbildare.
Det är alltså själva arkivredovisningarna som ligger här.
Märkligt nog är även det nya materialet ordnat enligt allmänna arkivschemat framtaget 1903 och sammantaget är detta inte ett sätt att presentera information för målgrupper utanför den snäva arkivariekretsen.
För att ändå vara någorlunda rättvis kan en högmotiverad utomstående få ett visst grepp om det historiska materialet men knappast en insyn i dagens verksamhet.
Att det står är missvisande; något diarium kan jag inte hitta utan vad som gäller är att ta personlig kontakt med registratorerna om man inte söker remisser och remissvar samt rapporter som presenteras under egna flikar.
Sammantaget är bedömningen att Lantmäteriet möjligen har en halvgod offentlighetsstruktur när det gäller arkivbildningen men knappast när det gäller pågående verksamhet.
Tesen att en satsning på öppna data med automatik leder till samma engagemang i insynsfrågor finner inte särskilt mycket stöd här.
Det är kanske litet dumt att titta på en myndighet där jag själv arbetat eftersom jag då har en betydligt bättre förförståelse än den vanlige invånaren.
Men eftersom MSB har en roll gällande psykologisk försvar och i att motverka informationspåverkan tycker jag det är intressant att se om och hur myndigheten själv understödjer källkritik med en god offentlighetsstruktur.
Tyvärr finns inte ens ett diarium tillgängligt (remisser och remissvar finns utlagda).
Tanken verkar vara att man ska ringa eller maila registraturen.
Med min ”lokalkännedom” uppfattar jag det som att MSB:s webbplats är tämligen orörd sedan myndighetens tillblivelse 2009.
Om något ska göras åt detta jungfruliga tillstånd bör en god offentlighetsstrukturen vara ett centralt mål med tanke på de budskap som lämnas till externa parter om vikten av källkritik.
Efter detta tappar jag litet motivationen att närgranska fler myndigheters webbplatser.
Jag bläddrar igenom eSams övriga medlemmar, d.v.s.
myndigheter som uttryckt ett stort intresse för digitalisering: Migrationsverket, Statens Servicecenter, Arbetsförmedlingen, Kronofogden… Det ser ungefär likadant ut hos de flesta, i korthet hänvisar man till att ta kontakt med registrator.
Det verkar ha formats en icke-uttalad standard för hur liten ansträngning myndigheter tillåts göra för att skapa insyn.
För mig är det förvånande att omvärlden, och då kanske allra mest journalister, finner sig i den dåliga insynen i myndigheters verksamhet och att kritiken som riktas då riktas nästan enbart mot bristande diarieföring och rutiner för utlämnande.
Exempel på detta är när Peter Wolodarski idag riktar en helsida med i och för sig mycket välmotiverad kritik mot UD för att man tar alldeles för lång tid på sig att lämna ut handlingar.
Wolodarski utvecklar den kritik som redan framförts av om brister i diarieföring och utlämnande.
Självklart är detta brister som måste tas på stort allvar och i sitt svar på Facebook säger Margot Wallström att hon ska göra det: I DN i dag den 15 oktober tar Peter Wolodarski upp de anmärkningar som Utrikesdepartementet fått från Justitieombudsmannen för att inte skyndsamt nog ha lämnat ut information om mejl om Sveriges kampanj till FN:s säkerhetsråd.
Det ska inte råda något tvivel om att jag delar Wolodarskis syn på värdet i offentlighetsprincipen.
Öppenhet och transparens är värden som Sverige förknippas med och främjar över hela världen.
I det aktuella fallet begärdes information om drygt 74 000 mejl ut.
För vart och ett måste vi ta ställning till om någon uppgift omfattas av sekretess i enlighet med offentlighets- och sekretesslagen.
Det är ingen liten uppgift: grovt skattat bedöms detta ärende ta ungefär ett och ett halvt års arbetstid.
JO bedömer att UD inte har handlagt ärendet tillräckligt skyndsamt.
I vissa fall har UD, enligt JO, inte heller tagit ställning löpande till registrering av mejl i ärendet.
Som departementschef för UD ser jag allvarligt på JO:s anmärkningar.
UD har sedan år 2014 sett över och förändrat rutinerna för hur vi hanterar utlämning av handlingar.
Förfrågningar om att få ta del av allmänna handlingar är arbetsuppgifter som ska hanteras skyndsamt och gå före annan verksamhet, och vi tillsätter extra resurser vid arbetstoppar.
Vi fortsätter nu vårt arbete för att förbättra dessa rutiner Men även om diarieföringen och utlämnandet skulle fungera oklanderligt enligt de normer som gäller idag menar jag att detta inte på något sätt är tillräckligt för att skapa en god offentlighetsstruktur på det sätt som OSL kräver, bl.a: Varje myndighet ska upprätta en beskrivning som ger information om 1. myndighetens organisation och verksamhet i syfte att underlätta sökande efter allmänna handlingar, 2. register, förteckningar eller andra sökmedel till myndighetens allmänna handlingar, 3. tekniska hjälpmedel som enskilda själva kan få använda hos myndigheten för att ta del av allmänna handlingar, Jag hävdar att det med dagens teknik är fullt möjligt att ge offentlighetsprincipen ett reellt innehåll, ge insyn, ge möjlighet till förståelse för vilken information som finns och ge tillgång till allmänna handlingar utan onödiga dröjsmål.
Men istället för god offentlighetsstruktur fortsätter vi med en fullständigt obsolet diarieföring.
Varför nöjer vi oss med så litet?
Varför låter vi inte digitaliseringens omvandlande kraft användas här där det är så angeläget?
Sällan har uttrycket ”på förekommen anledning” förefallit så relevant som när en promemoria angående presenterades och skickades på remiss i veckan.
Den konspiratoriskt lagde funderar naturligtvis vid vilken tidpunkt promemorian initierades och hur diskussionen gick då .
Nu är den i alla fall lagd och det är naturligtvis intressant att se på det faktiska innehållet.
Redan här bör det dock poängteras att promemorian endast gäller statliga myndigheter och därför saknar relevans i den senaste veckans diskussioner om kommunernas säkerhetsskydd till exempel.
Såvitt jag kan se innehåller den egentligen bara tre förslag på förändringar i säkerhetsskyddsförordningen som innebär konkreta förändringar.
För det första kompletteras rubriken för 16 § till att omfatta även utkontraktering (Överlåtelse av verksamhet som drivs av det allmänna).
På det sättet tydliggörs att reglerna även omfattar outsourcing av den typ som genomfördes vid Transportstyrelsen.
För det andra ska myndigheter som planerar att genomföra till exempel en outsourcing genomföra en särskild säkerhetsanalys: undersöka och dokumentera vilka uppgifter i den verksamhet som myndigheten avser att utkontraktera som ska hållas hemliga med hänsyn till rikets säkerhet och som kräver säkerhetsskydd (särskild säkerhetsanalys) Eftersom säkerhetsskyddsförordningen redan förutsätter att myndigheten ska ha koll på var det finns uppgifter som ska hållas hemliga bör detta i princip inte innebära något större merarbete.
Redan initialt vid en planerad outsourcing bör det ju vara klart om det förekommer hemliga uppgifter eller inte i den information som ska outsourcas.
Naturligtvis vet jag att det inte alltid är så i verkligheten men nu försöker jag ringa in vad som är det som kan tillkomma som nya element.
Den tredje förändringen är också den som innebär den stora förändringen, nämligen att det inte, om förslaget går igenom, längre räcker att själv upplysa den enskilde outsourcingpartnern om att säkerhetsskyddslagen som gäller för utkontrakterade.
Nu ska myndigheten också samråda med tillsynsmyndigheten (Försvarsmakten respektive SÄPO) om den planerade outsourcingen.
Myndigheten ska alltså ta sin särskilda säkerhetsanalys till sin tillsynsmyndighet för samråd redan innan upphandling inleds.
Tillsynsmyndigheten får också enligt förslaget ett mycket starkt mandat att styra upphandlingen och till och med stoppa den: Tillsynsmyndigheten får förelägga myndigheten att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen.
Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att säkerhetsskyddslagens krav inte kan tillgodoses trots att ytterligare åtgärder vidtas får tillsynsmyndigheten besluta att utkontrakteringen inte får genomföras.
Utdraget till sin konsekvens ger förslaget ett helt nytt rollspel där Försvarsmakten respektive SÄPO blir ytterst ansvariga för riskbedömningen medan myndigheten som ska outsourca i princip kan skicka in sin säkerhetsanalys och därefter sätta sig på läktaren.
Detta innebär både potentiella nackdelar som att ansvarsprincipen sätts ur spel och fördelar som att det tydliggörs vem som egentligen gjort bedömningen, d.v.s.
Händer det något med den information som outsourcats och alla de åtgärder som myndigheten förelagts av SÄPO kan vad jag ser inget ansvarsutkrävande ske mot myndigheten.
Hur SÄPO ska kunna hålla sig uppdaterade för att kunna göra korrekta riskbedömningar är för mig svårt att riktigt förstå.
Med tanke på förslagen till utvidgning av säkerhetsskyddslagens tillämpning i förslaget till säkerhetsskyddslag där det är mycket oklart vad som ska anses påverka ”Sveriges säkerhet” ser jag framför mig en ny flaskhals i den offentliga förvaltningen när SÄPO ska döma av alla större upphandlingar.
Det ska bli intressant att läsa remissvaren och se hur dessa frågor diskuteras av remissinstanserna.
I dessa dagar då vikten av att kunna gå till källan för att kontrollera fakta har blivit alltmer uppenbar borde offentlighetsprincipen lyfts fram som den nationalklenod den är bara av det skälet.
Så är inte fallet vad jag kan se, trots 250-årsjubileet förra året.
I så fall skulle den exempelvis haft en central plats i den nationella digitala strategin men avsnittet som börjar bra med Digitalisering bidrar till att skapa förutsättningar för ett öppet och inkluderande demokratiskt samhälle med goda möjligheter att uttrycka och sprida åsikter, idéer och information.
utmynnar endast i förslag rörande medier.
Ord som och förekommer överhuvudtaget inte i strategin.
Tråkigt tycker jag, särskilt med tanke på att insikten om insynens betydelse för ett väl fungerande samhälle fanns (i alla fall med hjälp av vissa politiska påtryckningar) till och med hos Adolf Fredrik (på bilden ovan) som annars mest intresserade sig för att svarva snusdosor.
Han undertecknade 1766 lagtexten som motiverade offentlighetsprincipen med: ”Att vi eftersinnat den stora båtnad allmänheten av en rättskaffens skriv- och tryckfrihet tillflyter i det en obehindrad inbördes upplysning uti varjehanda nyttiga ämnen icke allenast länder till vetenskapers och goda slöjders uppodling och utspridande, utan ock gifver en hvar af undersåtarne ymnigare tillfälle att dess bättre känna och värdera ett visligen inrättadt regerings-sätt; ävensom ock denna frihet bör anses för ett af de bästa hjälpmedel till sedernas förbättring och laglydnadens befrämjande, då missbruk och olagligheter genom trycket bliva för allmänhetens ögon ådagalagda.” Dagens ministrar är knappast distraherade av att svarva snusdosor, ändå missas hur gynnsamt insyn är för samhället i de förvaltningspolitiska utspelen.
Men trots allt är ju faktiskt offentlighetsprincipen, om än undanskymt, fortfarande det som gäller för myndigheter, landsting och kommuner.
I en digital verklighet skulle också själva innebörden av principen kunna förverkligas, långt bortom tunga ritualer bland uråldriga diarieföringsprinciper och pappershantering.
En positiv bieffekt av en mer digital och utvecklad tillämpning är att det också skulle kunna leda till ett indirekt försvar av offentlighetsprincipen som nu ibland ifrågasätts av att den kan vara administrativt tyngande för vissa verksamheter.
Det är naturligtvis ett orimligt argument men med en smidigare hantering skulle det återkommande ifrågasättande av enskildas möjlighet till insyn kunna reduceras så att det inte längre utgör ett hot.
I ett tidigare har jag skrivit om behovet av att utveckla offentlighetsprincipen och Peter Seipels viktiga text om de olika tolkningar som är möjliga.
Som jag ser det finns det både ett mycket stort behov av att utveckla offentlighetsprincipen samtidigt som möjligheterna att göra det i princip är oändliga.
Det som avgör är enbart om det finns en vilja att förbättra insynen eller inte.
Att döma av de insatser som hittills gjorts av regeringar oavsett färg de senaste decennierna, då frågor som 24-timmarsmyndigheter, e-förvaltning och digitalisering varit ständigt prioriterade, är viljan inte besvärande intensiv.
Faktiskt knappt synlig.
För att inte bara fördomsfullt anta saker har jag gjort ett litet test av nuläget.
Offentlighetsprincipen innebär inte enbart att man kan begära ut allmänna handlingar.
Myndigheten ska underlätta för den intresserade att få insyn i själva handlingarna men inte bara det; man ska även ha en så kallad god offentlighetsstruktur.
Detta beskrivs i offentlighets- och sekretesslagen (OSL) där det särskilt betonas att en myndighet särskilt ska beakta att enskilda bör ges goda möjligheter att söka allmänna handlingar samt: Varje myndighet ska upprätta en beskrivning som ger information om 1. myndighetens organisation och verksamhet i syfte att underlätta sökande efter allmänna handlingar, 2. register, förteckningar eller andra sökmedel till myndighetens allmänna handlingar, 3. tekniska hjälpmedel som enskilda själva kan få använda hos myndigheten för att ta del av allmänna handlingar, 4. vem hos myndigheten som kan lämna närmare upplysningar om myndighetens allmänna handlingar, deras användning och sökmöjligheter, 5. vilka bestämmelser om sekretess som myndigheten vanligen tillämpar på uppgifter i sina handlingar, 6. uppgifter som myndigheten regelbundet hämtar från eller lämnar till andra samt hur och när detta sker, och 7. myndighetens rätt till försäljning av personuppgifter.
Vad är då rimliga förväntningar på god offentlighetsstruktur idag om man redan 1766 beslutade följande: ”och bör till den ändan uti alla arkiver fri tillgång lämnas att sådana handlingar få avskriva på platsen eller utbekomma i bevittnad avskrift och det vid samma tjänsteansvar som nyss nämnts” Själv tycker jag att det är en miniminivå utifrån OSL:s krav i ett digitalt Sverige att myndigheters webbplatser ska vara ingången för den enskilde att söka information inte bara om myndighetens tjänster utan om vilka allmänna handlingar som finns i myndigheten.
Det bör alltså finnas en beskrivning av myndighetens processer och den information som genereras ur dessa processer alternativt stödjer processerna.
Eftersom myndigheter ändå enligt en föreskrift sedan är skyldiga att ha en processorienterad arkivredovisning borde inte detta vara ett ohemult krav.
Sättet att beskriva verksamheten och informationen måste självklart vara så att en utomstående kan förstå den utan att ha kontakt med myndighetens personal, typ registratorer.
Det är viktigt att understryka att det inte går att begränsa sig till vilka handlingar som finns registrerade i diariet vilket ju naturligtvis är en bråkdel av alla de allmänna handlingar som finns i myndigheternas it-tjänster och -system.
Inte heller kan offentlighetsstrukturen sägas gälla de tjänster som en myndighet har i förhållande till allmänheten – insynen måste riktas främst mot myndighetens egen verksamhet om den ska tjäna de syften som uppställts.
Som utomstående bör jag också ha möjlighet att söka på och identifiera enskilda allmänna handlingar, även detta utan att behöva ta kontakt med myndigheten.
Myndigheten bör också i detta sammanhang kunna redovisa väsentliga uppgifter som om på vilket sätt personuppgifter kan ingå i olika handlingar och vilka gallringsbeslut som fattats om olika informationsmängder.
Slutligen bör jag kunna ta del av handlingarna digitalt.
Inte heller detta gäller endast de handlingar som finns i diariet utan samtliga allmänna handlingar.
En sekretessprövning måste i många fall ske innan utlämnandet men även detta är en rutin som borde kunna effektiviseras och där de handlingar som per definition är offentliga ligger tillgängliga för nedladdning.
Så är ju redan fallet med protokoll m.m.
från de politiska församlingarna i kommunerna.
För att göra en liten temperaturmätning har jag formulerat, i mitt tycke, tre rimliga frågor för test på några myndigheter/kommuner för att se hur utvecklad deras offentlighetsstruktur är: För att börja uppifrån tänkte jag i det här blogginlägget börja med några centrala myndigheter.
Med avsikt avstår jag från att testa regeringens hemsida eftersom jag redan tillbringat mycket tid med att snurra runt på den för att söka information – sällan med önskat resultat.
Istället tänkte jag titta på några myndigheter som har uppdrag så att de skulle kunna påverka offentlighetsstrukturen hos andra myndigheter alternativt varit delaktiga i nationella digitaliseringsaktiviteter.
Riksarkivet har vid sidan om uppdraget om det långsiktiga bevarandet också gett ut föreskrifter om bland annat arkivredovisning vilket är grunden för hur myndighetens allmänna handlingar redovisas.
Myndigheten har även ingått i E-delegationen och där haft uppdrag bland annat att genomföra projekt om e-diarium.
Riksarkivet har sedan den 1 juli år 2016 i uppdrag att främja arbetet med att tillgängliggöra information och öppna data från statliga myndigheter.
Detta är ett axplock av Riksarkivets aktiviteter på området vilket skulle föranleda en att tro att myndighetens egen offentlighetsstruktur är väl utvecklad.
På finns ingenting som leder en besökare intresserad av Riksarkivets verksamhet och de allmänna handlingar som stödjer den.
Jag går via Om Riksarkivet vidare till Om oss och kan då gå in på fliken Organisation som visare den traditionella matrisbilden.
Organisationen beskrivs också i fyra ”processområden” vilket känns något motstridigt som begrepp men ger en ganska tydlig bild av vad man sysslar med.
Däremot saknas helt uppgifter om vilken information som stödjer processerna.
Jag gör en sökning på diarium för att kanske hitta myndighetens diarium så att jag åtminstone kan se vilka allmänna handlingar som är diarieförda men får då 202 träffar som handlar om olika projekt som Riksarkivet deltagit i för att bland annat utveckla e-diarium.
En känns aningen ironisk: en nyhetsnotis om en rapport där Riksarkivet framhåller de enorma samhällsvinster som skulle kunna göras med e-diarium och e-arkiv.
Det är möjligt att de bland de 202 träffarna döljer sig något litet myndighetsdiarium som jag inte upptäckte när jag skummade igenom söklistan men då är det så väl dolt att i praktiken inte är sökbart.
Vad jag kan se är de enda allmänna handlingar som identifierade, sökbara och även möjliga att ta del av digitalt de remissvar som Riksarkivet skrivit.
Det är svårt att säga något annat att det är ett klent resultat för en myndighet som borde hålla fanan högt för en god offentlighetsstruktur.
Pensionsmyndigheten är en stor myndighet och har också varit involverad i flertalet mer eller mindre lösa organisationer inom digitaliseringsområdet som exempelvis E-delegationen.
Myndigheten är nu hemvist för eSam, ett medlemsdrivet program för samverkan mellan 21 myndigheter och SKL.
Samarbetet syftar till att underlätta och påskynda digitaliseringen av det offentliga Sverige.
På Pensionsmyndighetens webbplats finns betydligt mer av den information jag söker än hos Riksarkivet.
Från första sidan kan jag gå in via O och klicka vidare till en föredömligt tydlig box: Lagar, regler och allmänna handlingar.
Här finns en länk till en arkivbeskrivning i pdf-format som också ger exempel på handlingar som används i olika ärendeslag/processer.
Arkivbeskrivningen redovisar också sökverktyg som finns samt Pensionsmyndighetens gallringsregler.
Exemplariskt ur arkivariesynpunkt men sannolikt svårt att koppla informationen till en enskild handling som önskar göra det; t.ex.
för att begära ut en enskild handling eller försöka se om en handling som man vill ta del av kommer att gallras.
Dessutom finns ett e-diarium som lider av den svaghet som alla andra diarier har, nämligen att man måste vara registrator för att kunna använda det som söksystem.
Heliga åtgärder som att man måste lägga in datum för att kunna få fram resultat är en avgörande nackdel för den som är van att googla men så är inte heller diarieföringssystemen utformade för att ge bredare allmänhet sökmöjligheter.
Eftersom det saknas fritextsökning måste den som söker ha mycket hög grad av förförståelse för att kunna göra en lyckad sökning.
Här måste jag veta vilken typ av ärende som Pensionsmyndigheten anser att en handling ingår i eller vem som är ”motpart” för att kunna göra en sökning.
När jag skriver in ”digitalisering” får jag exempelvis fram enbart två handlingar eftersom det är de enda handlingar (gissar jag) som har ”digitalisering” i rubriken.
Det saknas alltså metadatahantering vilket leder till att en myndighet som har haft väldigt många fingrar i digitaliseringsburken ändå via sitt diarium framstår som helt utanför.
Den instruktion till diariet som presenteras visar väl litet på svårigheterna: Ange namn på ett ärende eller motpart.
Du kan skriva in hela eller delar av namnet.
Du kan söka ärenden inom olika verksamhetsområden.
Du kan söka bland pågående ärenden, avslutade ärenden eller alla ärenden.
Ett ärende-ID består av ett prefix (till exempel VER), årtal och löpnummer och skrivs på följande sätt: VER 2010-2.
Via datumfälten anger du vilket datumintervall sökningen ska göras inom.
Sökresultatet sorteras efter datum som du själv kan sortera på.
Man kan också gå in via som redovisar diarienummer, ärenderubrik och datum för handlingar som diarieförts de senaste sju dagarna.
Även här krävs ofta en hög grad av förförståelse för att kunna tillgodogöra sig informationen och handlingarna är inte läsbara i sig en när de är uppenbart offentliga.
Sammantaget har Pensionsmyndigheten gjort en stark ansats för att få en god offentlighetsstruktur men fortfarande känns det som att det är starkt inifrån-och-ut-perspektiv som präglat det som gjorts.
De är olika delar som satts ihop utan att en riktig synergi uppstått och e-diariet som är den enda egentliga sökmöjligheten är dels inte ett fungerande sökverktyg för en utomstående, dels innehåller det endast begränsade delar av de allmänna handlingar som finns inom myndigheten.
Det går inte heller att förstå var det förekommer personuppgifter eller vilka handlingar som gallras när.
En annan viktig myndighet i digitaliseringsbranschen är ESV som ska stödja regeringen och Regeringskansliet med att ta ett helhetsgrepp om digitaliseringen och driva utvecklingen framåt, tillsammans med myndigheterna.
Bland annat genom att analysera den offentliga sektorns digitalisering, följa myndigheternas it-användning, utveckla metodstöd och ge stöd inom nyttorealisering.
Det är också ett uppdrag som förpliktigar och där ambitionen för den egna verksamhetens digitala hantering borde finnas.
Att döma av ESV:s webbplats ligger myndigheten tyvärr på samma nivå som Riksarkivet med enbart remissvar som tillgängliga allmänna handlingar.
Genomgången av de tre myndigheterna gav inte ett positivt resultat.
Jag kan ana flera bakomliggande orsakerna till det dåliga utfallet som inte är knutet till de enskilda myndigheterna utan snarare är generella.
Det främsta skälet tror jag är att offentlighetsprincipen obekväm.
Bara häromdagen hörde jag en statlig tjänsteman till synes obrydd förklara att hen inte brydde sig om att diarieföra handlingar eftersom det var så jobbigt när utomstående började ringa och fråga om ärendet.
Men det obekväma ligger också på en helt annan nivå, kunskap är makt och en tämligen oproblematisk hypotes är att den som har makt gärna vill ha kvar den orubbad.
Kanske är det därför det finns så få högljudda förespråkare för verklig insyn bland högre tjänstemän och politiker.
En annan orsak är den rådande förvaltningsfilosofin som är och under en längre tid har varit starkt influerad av New Public Management där offentlig sektor ses i huvudsak som en tjänsteleverantör bland andra.
Eftersom denna trend har varit i princip synkroniserad med digitaliseringen har demokrati- och insynsaspekter varit kraftfullt nedprioriterade.
Ett tredje skäl kan vara den bristande styrning myndigheter internt har av sin informationshantering.
Min erfarenhet är att många myndigheter inte styr sin informationsförsörjning på ett systematiskt sätt och därmed kan man inte heller presentera den på ett begripligt sätt utåt.
Sannolikt är den bristande sökbarheten och den fragmentariska beskrivningen den samma inifrån som utifrån, något som inte gynnar verksamheter som är helt beroende av sin informationsförsörjning.
Sammantaget finns allt att vinna på att ägna sig åt att utveckla den goda offentlighetsstrukturen vilket alldeles särskilt bör gälla de myndigheter som i någon mån ska utgöra föregångare för andra.
Jag tar gärna emot synpunkter på det jag nu skrivit, om det är missvisande, har felaktiga utgångspunkter eller om jag missat något på de webbplatser jag gått in på.
I dessa dagar då persikorna äntligen mognar trots den sommar som aldrig var har jag egentligen inte tid med budgetproppen.
Men trots att persikorna insisterar på en omedelbar syltning kommer här ändå några reflektioner med anledningen av regeringens intentioner gällande informationssäkerhet, dock med disclaimern att jag inte i detalj har studerat samtliga av de knappa 4000 sidorna.
Föga förvånande är informationssäkerhet ett prioriterat område.
Efter det senaste årets skandaler samt det så beramade ”förändrade omvärldsläget” så kommer sannolikt inte regeringens satsningar på informationssäkerhet i olika former att väcka motstånd hos oppositionen.
Själv skulle jag ändå vilja resa frågan om det i första hand är pengar som saknas för att förbättra säkerheten.
Men först till själva pengaregnet.
När jag nu håller på att försöka formulera förslag på komponenter i en nationell styrmodell har jag tagit fram en idébild för mig själv för att förstå de många former som informationssäkerhet förekommer i på en samhällsnivå.
Redan här vill jag utfärda en stark varning för bristen på logik i bilden.
Samtidigt vågar jag mig på att hävda att denna brist inte enbart beror på mina egna tillkortakommanden utan i kanske lika hög grad på att den verklighet jag försöker beskriva saknar logik.
Viktigt för att förstå bilden är samtliga fyra former av behov av/krav på informationssäkerhet kan förekomma i samma organisation.
De avklingande pilarna syftar till att försöka beskriva en intresseavvägning; i det ”normala” säkerhetsarbetet sker riskbedömningar hela tiden där hänsyn hela tiden måste tas till andra värden för den egna organisationen och samhället medan i den andra änden är säkerhetskraven mer absoluta.
Ett exempel på det senare är ju av att demokratiska rättigheter som insyn inte kan anföras då de ställs som säkerhetsbedömningarna.
Jag kommer att återkomma till den här bilden i senare inlägg, just nu använder jag den bara för att resonera kring budgetproppen.
Det mest revolutionerande var den digitaliseringsmyndighet som regeringen beslutat ska skapas under 2018 med ett anslag första året som är något högre än ESV:s (vilket är litet ironiskt eftersom ESV har varit en av de starkaste lobbyisterna för digitaliseringsmyndighet och en kandidat för att bli det).
Det är alltså ingen liten myndighet man konstruerar även om anslagen planeras att sjunka längre fram.
Förutom att man slänger in hanteringen av tjänster som e-legitimation och Mina meddelanden får den nya myndigheten ansvar för att samordna arbetet med Öppna data.
Myndigheten kan väl ses som ett nytt och något mer kraftfullt försök att samordna digitaliseringen efter raddan av tämligen misslyckade initiativ från Toppledareforum och framåt till e-Delegationen och Digitaliseringskommissionen.
I budgetpropositionen står inget vad jag kan se om att myndigheten ska ha något särskilt ansvar för informationssäkerhet men i intervjuer med bland annat civilminister Shekarabi efter att proppen presenterats luftas sådana tankar som .
Att informationssäkerhet är en förutsättning för en lyckad digitalisering är något som både jag själv och andra framfört med emfas så principiellt är det en naturlig tanke att sammanföra frågorna.
Vi är då i boxen ”normal verksamhet”.
Mandatet, ansvaret och uppgiften är dock synnerligen oklart.
Det utökade förvaltningsanslaget till MSB på 40 miljoner till informationssäkerhet och psykologiskt försvar får väl ses som något som hamnar i boxarna ”samhällsviktig verksamhet” respektive ”totalförsvar/civil beredskap”.
Här bör det betonas att det är tillskott till redan omfattande medel.
Jag uppfattar att den generella inriktningen för MSB blir tydligare och tydligare civilt försvar och samhällsviktig verksamhet vilket sannolikt kommer att prägla även myndighetens insatser inom informationssäkerhetsområdet.
Utrymmet för denna typ av spekulationer är stort eftersom det inte finns någon offentliggjord strategi från myndigheten.
SÄPO får en rundlig extra dusör för att arbeta med den nya säkerhetsskyddslagen.
Vad Försvarsmakten och SÄPO i övrigt gör inom informationssäkerhetsområdet är svårt att överblicka utifrån på grund av den sekretess som råder.
Att PTS föreslås få ett årligt tillskott på 13 miljoner för att ”vidta åtgärder som säkerställer myndighetens långsiktiga arbete avseende säkerhetsskydd och informationssäkerhet för att bättre möta förändrade och framtida krav som ställs.” är däremot en öppen uppgift i proppen.
Här dyker alltså återigen boxarna för totalförsvar och säkerhetsskydd upp.
Sådär kan man fortsätta att hoppa omkring i budgetpropositionen för att försöka greppa statens insatser för att förbättra informationssäkerhet.
För mig framstår de krav på informationssäkerhet som ställs i den normala verksamheten och som stödjer intressen som är centrala för individen, demokratiska värden, ekonomi och effektivitet påfallande nedprioriterade.
Detta trots att samma budgetproposition understryker behovet av ökad digitalisering.
Det hänvisas i proppen till strategierna för informations- och cybersäkerhet respektive för digitalisering men som jag i tidigare blogginlägg beskrivit är båda dessa styrdokument egendomligt inriktade mot säkerhetsskydd.
De värden jag låtit symboliseras i form av pilar blir därmed som jag ser det osynliggjorda och inte medtagna i en större riskanalys som omfattar mer en ren säkerhet.
Det är till nackdel både för enskilda och för samhället i stort.
En liknande outtalad prioritering görs inom digitaliseringsområdet där öppna data lyfts fram som en viktig uppgift för den nya digitaliseringsmyndigheten medan möjligheten att förbättra den demokratiska insynen i myndigheternas verksamhet inte alls omnämns.
Självklart måste Sverige följa PSI-direktivet men det vore en fördel med ett motsvarande engagemang för att förverkliga kraven som emanerar ur grundlagen på god offentlighetsstruktur och insyn.
Obalansen mellan näringslivsintresset för öppna data och det demokratiska intresset av en öppen och tillgänglig förvaltning kan förmodas ha ett ursprung i att it-frågorna hittills legat på näringsdepartementet.
Detta är ju tämligen ologiskt eftersom regeringens (oavsett färg) inriktning inom digitaliseringsområdet främst varit att utveckla förvaltningen vilket borde motiverat en placering tillsammans med övriga förvaltningsstyrningsfrågor.
Problemformuleringen påverkas naturligtvis av i vilket politikområde som har taktpinnen.
Nu tyder vissa budgetanslag på en förflyttning av frågan i rätt riktning.
Min upplevelse efter att ha läst strategierna för digitalisering respektive cyber- och informationssäkerhet tillsammans med den budgetproposition där strategiernas första steg mot ett förverkligande är att de båda områdena lider av liknande brist på inriktning.
Jag har redan klankat på strategierna och budgetpropositionens riktningslöshet bekräftar mina farhågor.
När det gäller säkerhetsområdet kan jag inte urskilja något som tyder på att det genomförts en riskanalys som motiverar fördelningen av medel.
Istället förefaller det vara samma typ av brandsläckningsinsatser på nationell nivå som förekommer i organisationer som saknar ett systematiskt.
Inte heller kan jag se något samband mellan de olika satsningarna eller stöd för de olika involverade myndigheterna att samordna sig.
För att hitta en positiv trådände så skulle det kunna finnas Ariadnetråd ut ur labyrinten om digitaliseringsmyndigheten skulle kunna formeras till en fungerande myndighet med styrkraft och som kan ta över informationssäkerhetsfrågorna för den normala verksamheten.
Om värdena i de fyra pilarna lyfts fram som frågor som ska ligga i myndighetens uppdrag att driva skulle hypotetiskt sett en bättre balans mellan säkerhet och verksamhetsnytta kunna uppnås.
På sätt skulle även försummade frågor som stöd för enskildas säkerhet kunna kopplas ett digitalt medborgarskap liksom relationen mellan öppenhet och slutenhet kunna lyftas fram och avvägas.
En utveckling i denna riktning skulle kräva ett stort kulturskifte där digitaliseringsmyndigheten inte blir en statlig ideologifabrik av samma typ som exempelvis Digitaliseringskommissionen.
Jag är inte alldeles optimistisk då jag återgår till mina husmorssysslor.
De senaste månaderna har det knappt gått en dag utan att informations- och it-säkerhet utgör en del av medias huvudnyheter.
Det känns litet ovant att helt plötsligt arbeta med ett hett ämne men mediabevakningen ger också en insikt om hur området ser ut utifrån.
En inte helt uppbygglig syn: det finns stora problem som varit kända sedan länge och som det satsas omfattande resurser på för att lösa men där det råder förvirring i hur de aktörer som arbetar med frågan ska koordinera sig.
Vanligt förekommande reportage är en myndighetsrepresentant som presenterar hotbilder med tillägget att den egna myndigheten har förslag på lösningar som går att fixa bara man får mer pengar.
En trött metafor är klassfotboll där alla sjuåringar springer på bollen samtidigt, i mitt huvud har istället titeln på en pjäs av Pirandello dykt upp: Sex roller söker en författare.
Det behövs helt uppenbart ett gemensamt manus för samhällets aktörer.
Efter några inlägg av ständigt gnäll är det dags att skriva litet mer om vad som kan göras.
Då menar jag inte för den enskilda organisationen utan litet mer pretentiöst på den nationella nivån.
I några inlägg ska jag resonera om den nationella styrmodell för informationssäkerhet som den enhet jag ledde på MSB började arbeta med, ett arbete som dess värre aldrig hann fullföljas.
Inläggen kommer att i huvudsak utgå från offentlig sektors behov men eftersom det finns ett stort antal privata aktörer som deltar i leveransen av det gemensamma åtagandet är det inte ett helt konsekvent perspektiv.
Utgångspunkten är att trots avsevärda insatser tycks inte informationssäkerheten förbättras nämnvärt i förhållandet till den digitala utvecklingen.
Gapet mellan den verkliga säkerhetsnivån och den önskvärda ständiga ökas istället för att slutas.
Eftersom bilden är genomgående och den samma oavsett om det är myndigheter, landsting eller kommuner vi pratar om får det ses som ett strukturproblem som sannolikt inte går att avhjälpa i den enskilda organisationen utan kräver en gemensam styrning.
Och även om det förekommit mycket fnysande kommentarer efter både skandalen vid Transportstyrelsen och nu senast om polis-debaclet av typen ”hur svårt kan det vara?” så är nog min uppfattning att det inte så himla enkelt att göra rätt som vissa vill hävda.
Orsaken är både bristen på samordning och en attityd hos de myndigheter som ska ge stöd som inte skulle ge full poäng i en kundnöjdhetsundersökning.
En annan premiss inte är fråga.
Även om vi bortser från det semantiska kaos som rått i den senaste tidens mediabevakning där begreppen informations-, it- och cybersäkerhet flugit som konfetti i luften återstår ett behov av att se olika dimensioner.
En grundläggande skillnad ligger i å ena sidan verksamhetens eget behov och å andra sidan statens krav på verksamheten.
Statens krav är sig mångtydiga från att skydda rikets säkerhet till att se till samhällets funktionalitet vilket inte är riktigt samma sak och dessutom tillkommer all upptänklig lagstiftning som innebär implicita krav på säkerhet.
Informationssäkerhet kan rimligen ses som en metodlåda som kan och ska användas i olika syften som är delvis motstridiga.
För att ta ett aktuellt exempel fick i dagarna FRA och MUST förstärkning med närmare en halv miljard för att åtgärder inom informations- och .
I kommentarer framgår det att avsikten är att utöka övervakningen med bland annat ytterligare sensorsystem.
Samtidigt ställer dataskyddsförordningen krav på stärkt personlig integritet vilket föranleder ett antal informationssäkerhetsåtgärder.
Att säga att ökad trafikövervakning inte direkt gynnar den personliga integriteten är väl inte att ta till överord.
Och så har vi NIS-direktivet som ska införas och som inte heller har mycket att komma med i det hänseendet mer än detta: Paragrafen genomför artikel 14.1–2 i NIS-direktivet.
Valet av säkerhetsåtgärder enligt 11 och 12 §§ ska grunda sig på en riskanalys.
Analysen ska kunna användas som beslutsstöd för leverantörens prioriteringar och avvägningar mellan olika typer av säkerhetsåtgärder i förhållande till tjänstens funktionalitet, finansiella och administrativa konsekvenser samt skyddet för den personliga .
Medan OECD tycker det är integritetsfrågorna är livsviktiga för den digitala ekonomin och att integritet och informationssäkerhet tillsammans måste tjäna som en plattform för diverse positiva utvecklingsfaktorer.
The OECD focuses on the development of better policies to ensure that security and privacy foster economic and social prosperity in an open and interconnected digital Informationssäkerhet är alltså en für från totalförsvaret till den enskildes säkerhet vid e-handel.
Många organisationer får därför hantera en mycket komplex kravbild på informationssäkerhet som idag inte är samordnad.
En styrmodell för informationssäkerhet skulle fylla en väsentlig funktion genom att integrera mångfalden av delvis motstridiga krav till en helhet.
Om detta inte sker på nationell nivå tvingas varje enskild organisation försöka lösa samma frågor med varierande resultat.
Förutom ett gigantiskt resursslöseri leder det också till försämrad förmåga att samverka i den gemensamma informationshantering som idag redan är uppbyggd samt till kvalitetsproblem.
Som så ofta vill jag här peka på kommunernas prekära situation när de med små organisationer ändå förväntas klara detta.
Utanför själva styrmodellen ligger en avgörande förutsättning: den offentliga sektorns användning av olika typer av it-resurser.
Informationssäkerheten måste vara utformad så den svarar på de behov som användningen av it skapar.
De säkerhetsåtgärder som behövs är av helt olika typ beroende på om den strategiska inriktningen är att man ska fortsätta på den väg mot ”cloud first” som tidigare beslutats eller om det ska ske en återgång mot mer drift och förvaltning i egen regi.
Detta påverka även faktorer som långsiktiga behov av investeringar i teknik och kompetensförsörjning.
Men inte bara de explicita målen för it-politiken spelar roll.
Att it-politik idag fortfarande, liksom under Alliansens regeringstid, ligger kvar som en näringspolitisk fråga ger en väsentlig förklaring till avsaknaden av tydlig inriktning för offentlig sektors digitalisering.
Detta är inte bara ett signalvärde utan gör att digitaliseringen ligger utanför den övriga förvaltningspolitiken.
Mycket påtagligt präglar det den lätt förvirrade strategin för Ryggmärgsreflexen för många i säkerhetsbranschen när man talar om styrning är ”reglering”, ett kvardröjande arv från den militär-polisiära bakgrunden.
Jag tror dock att det finns stora fördelar i att försöka se på styrningen av informationssäkerhet som på styrningen av övriga områden inom staten och den offentliga sektorn.
Att begrunda hur den svenska förvaltningsstyrningen generellt är tänkt att fungera är ett fruktbart spår där lärdomar kan dras till exempel från ESV:s breda uppdrag.
Personligen menar jag att den inom informationssäkerhetsområdet kanske mest underutnyttjade men samtidigt mest effektiva styrformen är kunskapsstyrning.
Styrningen kan inte heller ske enbart från de myndigheter ”med särskilda uppgifter inom området informationssäkerhet”.
En stor del av kraven på informationssäkerhetsåtgärder genereras från annat håll och då inte enbart från dataskyddsförordningen utan en mängd lagar, avtal och överenskommelser.
Min tolkning är att den förändrade kravbilden också kommer att förskjuta styrningen mot mer proaktivitet än den i huvudsak reaktiva inriktning som hittills varit rådande där insatser som tillsyn och incidentrapportering varit prioriterade.
Som den löshäst jag numera är, utan de förpliktigande hämskor som tyvärr vidlåder den statlige tjänstepersonen idag, tänkte jag unna mig att fritt spekulera i några inlägg om förutsättningarna för en nationell styrmodell och hur den skulle kunna se ut.
Inledningsvis ska jag uppmärksamma olika aktörer inom informationssäkerhetsområdet, vad de erbjuder idag samt (något förmätet) försöka bedöma en eventuell utvecklingspotential.

Energi (elektricitet, olja, gas) Transporter (lufttransporter, järnvägstransporter, sjöfart, vägtransport) Bankverksamhet Finansmarknadsinfrastruktur Hälso- och sjukvård (hälso- och sjukvårdsmiljöer [inklusive sjukhus och privata kliniker]) Leverans och distribution av dricksvatten Digital infrastruktur Initiera akut felavhjälpning Inleda återställelsearbete (kontinuitetshantering) Ge underlag för långsiktig förbättring Rapportering internt och externt Indirekt: försörja riskanalys ocht i stort Får jag en beskrivning av verksamheten och av de allmänna handlingar som är kopplade till myndighetens processer?
Kan jag själv söka och identifiera enskilda allmänna handlingar?
Kan jag ta del av handlingarna digitalt?

alltid 3 § personuppgiftsincident: incident incidenthantering diarieföra registrerade.
Informationshanteringsplan, 2 § 2 § Så söker du i e-diariet en

Meny Inläggsnavigering

Integritet och hälso- och sjukvård Lantmäteriet MSB Riksarkivet Pensionsmyndigheten ESV

Beskrivning av en myndighets allmänna handlingar

MENU MENU Postat av Postad i , , Tagged , , , Postat av Postad i , , , Tagged , , , Postat av Postad i , Postat av Postad i , , , Postat av Postad i , , , , , Postat av Postad i , , , Postat av Postad i , , , Postat av Postad i , , , Postat av Postad i , , Postat av Postad i , , , , ← → Sök efter:

Befolkningens inställning till nytta och risker med digitala hälsouppgifter Vad är din uppfattning om att olika vårdenheter får tillgång till varandras journaler?
Informationssäkerhet och sekretess riktighet tillgänglighet processer Om oss Diariet och informationsredovisning Diariet och informationsredovisning och utkontraktering Demokratin värnas i digitala miljöer insyn offentlighetsprincip 4 kap.
Allmänna åtgärder för att underlätta sökande efter allmänna handlingar, m.m.
Senast diarieförda handlingar

Jag kan faktiskt inte släppa den här debattartikeln från , undertecknad av bland annat en utmanare om partiledarposten.
Den illustrerar tydligt några orsaker till Transportstyrelse-skandalen och den ännu större skandalen: den usla informationssäkerheten i vården.
För att inte genast mötas med argument som att ”vill du ha tillbaka pappersjournalerna då?” vill jag föra till protokollet att jag är en varm anhängare av digitalisering – men på rätt sätt och med tillräcklig säkerhet.
Här har vi ett parti som efter en sommar då informationssäkerhet var huvudnyhet i alla medier, en generaldirektör och två ministrar fått avgå och en tredje sannolikt även han på väg.
När detta inte får dem att dra slutsatsen att när helst digitalisering diskuteras måste det följas av åtminstone ordet informationssäkerhet är det svårt att ens fantisera om vilken medial atombomb som skulle väcka dem.
Att dessutom hävda att vårdens utmaningar inom informationshantering skulle kunna avhjälpas genom digitalisering är att banalisera frågan på ett sätt som är närmast en förolämpning mot de som arbetar i vården.
Alla som sett hur överdokumentation och byråkratisering har växt i takt med de New Public Management-ideal som präglat vården sedan slutet av åttiotalet (och som haft mycket varma förespråkare i Liberalerna) inser att det inte räcker med att slänga in nya appar och plattor för att förändra arbetssituationen.
Jag tror inte heller att de som är praktiska utförare av vård är tillfreds med appar som gör att patientuppgifter hamnar på okända servrar i USA, tjänster som gör att uppgifterna om läkemedel inte är korrekta, att deras signatur under en ordination kan vara satt av någon annan eller att trygghetslarmen i vart femte fall inte fungerar.
Informationssäkerhet motverkar inte patientens eller personalens intresse utan är något som skapar kvalitet i vården.
Att debattörerna lyckas förtränga de nya krav på informationssäkerhet som kommer att ställas redan nästa år genom dataskyddsförordningen och NIS-direktivet är gåtfullt.
Den bekymmerslösa hållningen till lagstiftning och annan demokratiskt beslutad styrning är visserligen inte något nytt.
Jag har irl hört en av debattörerna på ett raljerande sätt uttala sig om PuL och Datainspektionen vilket tydligen är en fastslagen hållning som gäller även MSB som : ”Vi som beslutsfattare måste vara modigare att driva orimliga tolkningar till prövning.
Vi kan annars ducka för en bedömning från datainspektionen, MSB eller en lagstiftning som samlar damm någonstans.
När lagstiftningen får orimliga konsekvenser måste vi ta ansvar för en sådan förändring.
Här krävs det ganska stora ställningstaganden kring integritet för att exempelvis individbasera den”, säger Daniel Forslund.
och för att ta två färska exempel.
Personligen har jag svårt att kalla det att ”ducka” att följa lag och föreskrifter och att en av landets främsta offentliga makthavare ser det så är aningen svårsmält.
Jag vill påminna om att oviljan att underkasta sig lagstiftningen faktiskt är det som ledde till skandalen på Transportstyrelsen.
Att samma frifräsande ogenerat demonstreras av vårdens makthavare är bekymmersamt och ger en bild av orsakerna till dagens bristande informationssäkerhet i vården.
Vad som är ändå mer förvånande är artikeln satt i ljuset av Liberalernas starka vilja att profilera sig inom det säkerhetspolitiska området.
Att släppa fram en artikel om hälso- och sjukvård som kanske är den mest samhällsviktiga av alla verksamheter som inte tar hänsyn till att verksamheten ska fungera vid större störningar och som en del av totalförsvaret skapar frågor.
Att driva på en digitalisering för normalläget är inte tillräckligt, det måste även finnas fungerande robusta lösningar när vi som bäst behöver dem.
Har partiet överhuvudtaget en sammanhållet säkerhetspolitisk linje?
Eller finns det en linje i Försvarsutskottet och en helt annan när de samhällsviktiga verksamheterna ska styras i praktiken?
Tyvärr är nog inte Liberalerna ensamma om denna vinglighet.
Inför valåret 2018 finns det all anledning att känna de kandiderande partierna på pulsen i informationssäkerhetsfrågan och då inte minst i vården.
Känslor är en inte oviktig komponent i säkerhetsarbetet.
Gott så, insikter och säkerhetsmedvetande kan inte enbart byggas på logiska resonemang utan förutsätter också en djupare upplevelse.
Men ibland kan det bli väl mycket känslor och litet för litet analys.
Jag tänker på skandalen vid Transportstyrelsen som inte enbart lockar fram det skarpaste hos människor och då menar jag inte på mängden av skadeglada och litet barnsliga ”vad var det vi sa”-kommentarer som är nog så ansträngande.
Framför allt tycker jag att den osorterade diskussion där offentlig användning av outsourcing och molntjänster jämställs med den lagstridiga outsourcingen vid Transportstyrelsen är osaklig och vilseledande.
Istället tror jag att vi måste landa i en mer sansad diskussion om hur den offentliga sektorn ska få ett så välfungerande it-stöd som möjligt vilket inkluderar allt från infrastruktur till appar.
Förhoppningsvis skulle en sådan diskussion kunna utmynna i en it-strategi för det offentliga Sverige.
Detta tänker jag återkomma till i ett senare blogginlägg där jag utvecklar det jag skrev i den här .
Artikeln har fått positiv respons.
Någon enstaka har misstolkat den och annat som att jag skulle vara för en ohämmad användning av outsourcing och molntjänster, något jag finner ironiskt med tanke på hur ofta det antytts (mer eller mindre explicit) att jag är en säkerhetsbromskloss som motarbetar alla nya härliga digitala tjänster.
Det kan vara en trösterik illusion men jag är ändå övertygad om att det är i mellanrummet mellan de fasta positionerna som vägen framåt går.
Lösningarna är inte svarta eller vita utan olika delar i en gemensam informationsinfrastruktur måste analyseras i sin egen rätt.
I denna struktur kommer icke statligt ägda komponenter att ingå i form av infrastruktur, utrustning, applikationer och tjänster.
Så är det redan i dag i hög grad och det är svårt att förstå hur staten skulle kunna utveckla denna helhet i egen regi.
Om en intention mot ökad statligt ägande och utvecklande av infrastruktur, utrustning, applikationer och tjänster borde detta föregås av en ordentlig riskanalys där de faktiska riskerna faktiskt värderas.
Det skulle motverka känslotänkandet och ge en mer rationell grund för en strategi.
Observera att jag uppfattar att det finns argumentation som främst vilar på känslor i båda riktningar, både hos dem som förordar marknadslösningar och hos de som hävdar att säkerheten alltid är bättre i statligt ägda lösningar.
I väntan på en inriktning kommer det på gott och ont att fortsätta att upphandlas både outsourcing och molntjänster av alla möjliga typer.
Myndigheter erbjuder även varandra sourcing och tjänster vilket kanske t.o.m.
är ännu mer komplicerat ut säkerhetssynpunkt (vilket jag diskuterade i mitt förra blogginlägg).
Jag tycker dock inte att vi ska låta oss förtvivlas över detta.
Bara för att Transportstyrelsen var dåliga (milt sagt!)
på att genomföra en upphandling behöver inte alla myndigheter vara dömda att vara det.
Om vi utgår från att en stor del av it-relaterade tjänster även fortsättningsvis kommer att upphandlas av kommersiella aktörer bör en viktig säkerhetsåtgärd vara att inrikta sig på de offentliga upphandlingarna.
Detta kan ske på två nivåer; dels på en gemensam övergripande nivå, dels hos den enskilda myndigheten eller kommunen som ska göra en upphandling.
På den nationella nivån identifierade SOU 2015: 23 Informations- och cybersäkerhet i Sverige säker upphandling som ett av sex strategiska mål.
I den nyligen framlagda finns däremot inte upphandling bland de sex strategiska prioriteringarna.
Det finns ett kortare stycke på sidan 15 som i vaga ordalag säger att stödet för upphandling ska stärkas och därtill kommer att regeringen ska verka för att: myndigheternas kompetens avseende upphandling av nätverk, produkter och system stärks och att myndigheterna vid upphandlingar säkerställer att hänsyn tas till säkerhetsaspekter Inte så kraftfullt och det är svårt att se att outsourcing och molntjänster kan inrymmas under ”nätverk, produkter och system”.
För mig förefaller det finnas betydligt större möjligheter för att nationellt förbättra informationssäkerheten i upphandling än vad som framkommer strategin.
En viktig del är att ägna större intresse åt molntjänster eftersom det sannolikt är där den stora ökningen av externa tjänster kommer att ske.
En del finns att hämta i den rapport som Pensionsmyndigheten levererade som resultatet av ett .
För transparensens skull medger jag att jag deltog som expert i den utredningen.
Ett förslag i rapporten var att ge MSB i uppdrag att genomföra en riskanalys av användning av molntjänster och andra externa IT-tjänster ur ett nationellt perspektiv, och att föreslå eventuella åtgärder.
Detta förslag har dock inte, såvitt jag vet, anammats men borde genomföras, inte nödvändigtvis av MSB utan hellre av en mer sammansatt gruppering.
Rätt genomförd där olika alternativ granskas utgör en sådan analys mycket viktig input till en mer strukturerad inriktning av offentlig it.
Upphandlingsmyndigheten omnämns också i förbifarten i cybersäkerhetssäkerhetsstrategin, däremot inte Statens inköpscentral under Kammarkollegiet som trots allt ingår ramavtalen för it och telekom för hela den offentliga sektorn.
I ramavtalshanteringen tror jag att det finns en stor potential där det går att ställa tydligare krav på leverantörerna men också att ge betydligt bättre stöd för de avropande myndigheterna att komplettera ramavtalets krav.
Att göra bra upphandlingar bygger på att det finns en tydlig kommunikation mellan kund och leverantör vilket i sig förutsätter att kunden kan formulera sina krav.
När man tittar på avrop som gjorts innehåller de påfallande litet om informationssäkerhet (en studie har gjorts av detta som tyvärr inte finns tillgänglig på MSB:s webbplats).
Min tolkning efter mina kontakter med myndigheter, kommuner och landsting är att man Sammanfattningsvis tror jag helt enkelt att detta är en för svår fråga för små och medelstora (kanske t.o.m.
för stora) myndigheter att hantera autonomt – det finns ett stort behov av effektivt stöd.
Innan jag slutade på MSB började jag arbeta med ett koncept för standardiserade skyddsnivåer som skulle kunna användas bland annat vid upphandlingar.
Alltså om kravet är hög nivå på riktighet innebär det de här kraven på tekniska och organisatoriska åtgärder (kraven måste naturligtvis omges av en hög grad av förvaltning så att de hålls aktuella).
Min tanke var att detta skulle utgöra en gemensam plattform för kunder och leverantörer där inte unika krav behövde tas fram för varje upphandling.
Detta tror jag fortfarande är en bra lösning som borde utvecklas som stöd för alla typer av it-relaterade upphandlingar.
Staten skulle även kunna använda marknadskrafterna till sin fördel och agera som en samlad förhandlingspartner till de stora internationella leverantörerna av molntjänster.
Krav på t.ex.
var svenska myndigheters information ska hanteras (inom landet), dedikerade/kontrollerad personal och att följa ett gemensamt regelverk skulle kunna ställas.
Detta har redan skett i Tyskland och jag ser inte varför inte Sverige skulle följa detta exempel.
I den bästa av världar skulle staten då få både kontroll över sin information och samtidigt få tillgång till de lösningar som de kommersiella leverantörerna kan erbjuda.
Detta är en lösning som definitivt bör noggrant utvärderas innan beslut om statliga moln eller koncentration av statlig it-drift beslutas.
Detta är bara några möjligheter för att förbättra på nationell nivå men det finns också mycket i teorin som den enskilda myndigheten eller kommunen kan göra.
När jag arbetade på MSB skrev jag en för informationssäkerhet vid upphandling av it-relaterade tjänster.
Så här i efterhand kan jag säga att om Transportstyrelsen kunnat följa vägledningen skulle inte Stefan Löfven behövt avbryta sin semester och två ministrar avgå… Tanken var att så konkret som möjligt beskriva hur informationssäkerhet på ett bra sätt tas med vid upphandlingar.
Vissa har påpekat att det är ett utopiskt tillstånd av väl planerade upphandlingar som redovisas i vägledningen.
Jag är naturligtvis medveten om att många upphandlingar sker under stark tidspress och att de upphandlade organisationerna är sällan-köpare som nog saknar den vana och kompetens som skulle krävas för de komplicerade upphandlingar som det ofta gäller.
Om man ska gena är det ändå bra att veta vad man inte har gjort som man kanske borde ha gjort.
Vägledningen innehåller vissa förenklingar som kanske kan ifrågasättas som t.ex.
: Riskanalysen bör inledas med att kartlägga vilken roll systemet eller tjänsten ska ha i organisationen samt vilka interna och externa intressenter som finns till lösningen när den är i drift.
För att kunna göra riskanalysen krävs därför att man översiktligt beskriver vilken information som ska hanteras och på vilket sätt .
Vissa aspekter bör säkerställas initialt eftersom de är avgörande för vilka lösningar som är möjliga, som till exempel: Om lösningen är tänkt att hantera denna typ av information kommer det att finnas särskilda säkerhetskrav i lagstiftning som redan från början kan utesluta vissa typer av lösningar som exempelvis molntjänster.
Vän av ordning kan naturligtvis hävda att det går att använda molntjänster och outsourcing för den här typen av information med rätt säkerhetsåtgärder vidtagna.
Jag menar dock att det i praktiken innebär krav på kompetens och resurser som flertalet organisationer saknar.
Och om man skärskådar verkligheten så kan nog inte mindre myndigheter och kommuner följa vägledningen eftersom de saknar kompetens och resurser att göra ens det.
Detta trots att molntjänster och outsourcing innebära en möjlighet att höja säkerheten (för information som inte faller under säkerhetsskyddslagen eller innehåller känsliga personuppgifter).
Att undvika att molntjänster när personuppgifter är också ett råd som är allt svårare att följa eftersom även ordinära kontorstjänster som mail, kalender och samarbetsytor naturligtvis innehåller personuppgifter och t.o.m.
känsliga personuppgifter.
När det är precis de tjänsterna som de flesta myndigheter och kommuner vill köpa som molntjänster uppstår ett dilemma som sannolikt bara går att lösa genom den typ av nationellt avtal som jag tidigare beskrev.
När jag är ute och pratar om upphandling är det två punkter som jag trycker extra hårt på förutom informationsklassning/riskanalys.
För det första att man måste första att en upphandling är en process där åtminstone fyra aktörer ingår: Dessa fyra aktörer brukar ofta ha divergerande uppfattningar om både hur upphandlingen ska genomföras och vad den ska leda fram till.
Informationssäkerhet är sällan vara en prioriterad del av upphandlingen och många är väl vi som en kravspec i handen med kommentarer av typen: ”kan du slänga in säkerhetskraven till i början av nästa vecka?” Därför finns det en processbeskrivning med i vägledningen med markering av de aktiviteter där informationssäkerheten bör finnas med.
Tyvärr tror jag även detta är ett råd som är svårt att tillämpa eftersom många organisationer saknar en fastställd process för upphandling – det finns alltså inte struktur att fästa säkerhetsåtgärderna i. I vissa fall kan ett ledningssystem för informationssäkerhet fungera som ett lok som skapar ordning i generella processer genom sin kravställning men alltför många gånger kommer säkerheten in alldeles för sent och med alldeles för liten betydelse.
Det andra jag brukar trycka på är att när vi allt som oftast säger att det måste finnas en beställarkompetens är det inte bara under själva upphandlingen som detta behövs.
Som syns i processbeskrivningen så behövs det beställarkompetens inom informationssäkerhetsområdet ända tills att avtalet.
Detta glöms ofta bort och det fortlöpande säkerhetsarbetet kommer aldrig till stånd och en inte oväsentlig faktor är att det är svårt för den enskilda myndigheten att få till en metod för att genomföra det.
Även den myndighet som varit duktig när det gäller att ställa de initiala kraven får därför en avklingande säkerhet som så småningom övergår till osäkerhet.
Upphandlingsfrågan har länge varit en favorit för mig och jag har predikat på längden och på bredden om dess vikt.
Trots att jag in i det längsta vill se konkreta lösningar för att förbättra informationssäkerheten i den enskilda organisationen så förstår läsaren av det här inlägget säkert redan nu att jag ser det som en ganska hopplös uppgift.
I offentlig sektor behöver myndigheter, kommuner och regioner en stark nationell plattform för upphandlingar av it-relaterade tjänster för att kunna ta sitt eget ansvar.
Med plattform menar jag i all stillsamhet en strategi för hur regeringen tänker sig informationsförsörjningen, en styrmodell för ansvar, mer utvecklade ramavtal, upphandlingsstöd till enskilda organisationer, standardiserade skyddsnivåer och ett nationellt avtal med Microsoft m.fl.
Att alla de utredningar som skett inom området inte lyckas greppa frågan uppfattar jag som ett misslyckande och litet av ett svek mot alla de myndigheter, kommuner och landsting som gör så gott de kan för att sköta sina upphandlingar fast de i realiteten kanske har möjlighet att göra det.
De journalister som vill gräva efter undermåliga avtal när det gäller säkerhet kommer sannolikt inte att gå lottlösa i fortsättningen heller.
Min fråga i rubriken är helt retorisk.
Vi är ett läge där upphandlingar sker och kommer att fortsätta ske.
Att se till att de sker med god informationssäkerhet kräver nationella lösningar mycket snart.
Om inte annat nafsar dataskyddsförordningen oss alla allt ihärdigare i bakhasorna och finns det inte en nationell beredskap för det så bör general-, region- och kommundirektörerna sova mycket oroligt.
Eftersom vissa inte kunna läsa den debattartikel som publicerades 4 augusti i eftersom den är låst bakom en betalvägg lägger jag ut texten här.
Nu pågår en omfattande diskussion rörande Transportsstyrelsens skandal.
Den diskussion som förts efter att händelsen blivit känd har kommit att handla om allt möjligt som informationssäkerheten generellt, statliga moln med mera vilket händelsen på Transportsstyrelsen inte egentligen har någon bäring på.
Jag ser istället händelsen som ett symptom på regeringens otydlighet i it-politiken där man inte lyckas skapa en strategisk inriktning som både omfattar ­effektivitet och säkerhet.
Detta skapar en kognitiv dissonans* i styrningen som jag menar är den egentliga förklaringen till varför i övrigt kompetenta och förnuftiga generaldirektörer ger sig in i huvudlösa upphandlingar av it-relaterade tjänster.
Informationshantering på samhällsnivå innebär ett antal intressekonflikter; stat kontra ­individ, slutenhet kontra öppenhet, integritet kontra övervakning och så vidare.
Den i det här mest intressanta är konflikten effektivitet/ekonomi/verksamhetsnytta och ”säkerhet”.
Motsägelsefullheten uppstår när intressekonflikten negligeras eller i vissa fall till och med skapas.
I nuläget har regeringen å ena sidan formulerat ett antal förslag rörande att informationssäkerhet och säkerhetsskydd ska stärkas och å andra sidan imperativa budskap om ökad användning av molntjänster och om att bli världsbäst på e-förvaltning kompletterat med önskemål om att statens it-kostnader generellt bör sänkas.
Till detta kommer förslaget till ny säkerhetsskyddslag som är mycket otydligt om vad som egentligen ska räknas som inverkande på rikets säkerhet.
Dessa olika intressen går inte att förena fullt ut, det vill säga staten kan inte alltid välja lika litet som dåligt avvägd säkerhet kan få förhindra verksamhet att fungera på ett effektivt och någorlunda ekonomiskt försvarbart sätt.
Min uppfattning är att så länge de här intressekonflikterna inte lyfts fram, diskuteras och blir föremål för en gemensam avvägning på nationell nivå kommer myndighetsledningar att vara utsatta för motstridiga signaler där det är omöjligt att avgöra hur den egna it-verksamheten ska utformas så att den tillgodoser samtliga intressen.
I år har regeringen presenterat både en ­cyber- och informationssäkerhetsstrategi och en digitaliseringsstrategi.
Ingen av dessa strategier ger såvitt jag kan se något stöd för myndigheter i hur de ska möta framtiden och hur de ska hantera de olika intressekonflikter som finns.
Jag menar att dessa strategier bör få sjunka in i glömskan och ersättas av en ­offentlig it-strategi där olika intressen sammanvägs på ett strukturerat sätt.
För att kunna ta fram en fungerande strategi krävs dock en helt annan nivå på utredandet än hittills och också att man försöker hitta fungerande lösningar för framtiden och inte ägnar sig åt att lösa gårdagens frågor.
Det kan visserligen finnas skäl att skapa en statlig molntjänst för lagring och att säkra upp ­datorhallar där så kallad säkerhetskänslig statlig information hanteras.
Detta är dock bara dellösningar.
Verkligheten idag är att alltmer offentlig information hanteras i molntjänster och dessa molntjänster erbjuder inte bara lagring utan funktionalitet som inte går att erbjuda på annat sätt.
När det sägs att outsourcing/molntjänster används av ekonomiska skäl är detta en sanning med stor modifikation – de används snarare i allt högre grad för att uppnå verksamhetsnytta.
Dessutom kan molntjänster, rätt upphandlade och med rätt beställarkompetens, innebära en klart förbättrad säkerhet för många verksamheter.
Medan det stormar vidare på regeringsnivå hoppas jag att pendeln inte slår över för långt, att vettskrämda politiker och generaldirektörer uppfattar outsourcing i sig som problemet och fattar beslut som leder till att vi börjar backa in i framtiden.
Jag är övertygad om att outsourcing och framför allt molntjänster kommer att öka i betydelse – detta är en verklighet med en mix av egna och köpta lösningar som vi måste lära oss hantera.
Det går inte heller att fokusera enbart på statlig it-verksamhet.
En övervägande del av samhällsviktig verksamhet ombesörjs av landsting, kommuner och privata aktörer.
Informationsflödena sker också mellan alla dessa aktörer i alltmer gemensamma infrastrukturer.
Om god informationssäkerhet ska uppnås på samhällsnivå måste dessa olika aktörer samverka och utgå från samma strategiska inriktning.
I ett samhälles it-strategi måste ett vägval göras: Om det är regeringens uppfattning att det är så stora risker att använda kommersiella molntjänster att merparten av offentlig information måste hanteras i lokaler, utrustning, applikationer och tjänster som ägs av myndigheter – då måste det formuleras.
Det andra alternativet är att dagens mixade verklighet ska utvecklas.
Oavsett vilket val som görs måste det finnas resurser och kompetens att hantera det valda alternativet.
Detta gäller inte minst informationssäkerheten där ett säkerhetsskydd av flera anledningar inte kan utgöra svaret.
­Säkerhetsskydd bör sparas som den yttersta åtgärden för att skydda rikets säkerhet.
En ­vidare tillämpning leder bland annat till ­oacceptabla inskränkningar i medborgerliga rättigheter samtidigt som säkerhetsåtgärderna som ingår i säkerhetsskyddet inte svarar mot de krav på tillgänglighet och skydd av personlig integritet som ställs inom samhällsviktig verksamhet.
Tyvärr förefaller många av förslagen som framförts hittills illa genomtänkta, såsom det ofta blir när man reagerar på en akut situation och en specifik händelse.
Förhoppningsvis leder inte dessa förslag till snabba åtgärder – istället behövs ett mer analytiskt skede där en helhetsbild av den nuvarande röriga argumentationen sorteras upp.
Vi bör också komma överens om att det inte finns en typ av säkerhet eller en lösning.
Istället måste vi inse att ”säkerhet” är ett paraplybegrepp där många intressen måste leda fram till en mängd olika lösningar som tillsammans kan leda till ett säkrare samhälle.
För mig förefaller inte lösningarna ligga främst i att styra placeringen av utrustningen utan att på olika sätt styra informationshanteringen genom avtal, tydligt ansvar, upphandlingskompetens, organisation, mjuka tekniska lösningar och kunskap.
Men den viktigaste insikten är att så länge inte regeringen ger en inriktning om hur intressekonflikterna ska hanteras kan inte myndigheterna förväntas göra det.
En standardscen ur mitt arbetsliv 2010-2015: ett möte angående e-förvaltning, e-hälsa eller liknande på nationell nivå.
Jag sträcker upp handen och säger något i stil med ”vi måste få in informationssäkerhet”, ”riskanalys, informationsklassning, kravställning, ansvarsfördelning”, ”den personliga integriteten är en viktig säkerhetsdimension”.
Mina inlägg möts som alltid antingen med invändningar med innebörden att säkerhet motverkar verksamhetens syfte eller, i de flesta fallen, tystnad.
Efter något år sa jag, aningen ironiskt, ”ni vet vad jag kommer att säga och nu säger jag det så kan ni gå vidare”.
På andra möten med myndigheter med så kallat särskilt ansvar för informationssäkerhet mötte jag samma oförstående reaktioner inför de verksamhetskrav som finns bland annat inom hälso- och sjukvård.
Jag kände mig som ett växelrelä mellan två världar med begränsad förståelse för varandras förutsättningar med mantrat: effektivitet säkerhet, säkerhet effektivitet.
Händelserna på Transportstyrelsen belyser med neon de negativa konsekvenserna av oförmågan att styra den digitala utvecklingen på ett sammanhållet sätt.
Jag tänker här inte den kommentera de politiska förvecklingarna även om de är dramatiska utan istället resonera om några av de förslag som framförts på lösningar för att förhindra liknande händelser.
Min huvudtes är att förslagen lider av att det saknas en tydlig problemformulering – vad är det egentligen lösningarna avhjälpa?
Det som väckt mest intresse är att det i Transportstyrelsens outsourcing ingått information som faller under säkerhetsskyddslagen.
Detta är naturligtvis helt huvudlöst och jag är fortfarande förvånad över att SÄPO inte lyckades förhindra det.
Att det ingått hemlig information har dock gett hela den efterföljande diskussionen en olycklig slagsida mot att outsourcing av myndigheters informationshantering är ett säkerhetsproblem (vilket också är rätt konstigt med tanke på att privata leverantörer står för rätt stor av bland annat utrustning, fordon, konsulter o.s.v.
inom t.ex.
Försvarsmakten).
Så är inte fallet menar jag – rätt genomförd kan outsourcing och användande av molntjänster ha en säkerhetshöjande effekt för många myndigheter.
Många myndigheter har problem med att få tillräckliga resurser och kompetens för att kunna upprätthålla en rimlig it-säkerhet och då har vi ändå inte talat om kommuner och landsting.
Det är också något lätt verklighetsfrämmande i att hävda det skulle vara möjligt att backa bandet och hämta tillbaka all information som idag hanteras i molntjänster som är den alltmer dominerande formen av outsourcing.
Skämtsamt brukade jag redan på andra sidan decennieskiftet hävda att det förvarades mer allmänna handlingar på Projektplatsen än i Riksarkivet.
Idag kan myndigheter upphandla sina kontorstjänster i form av molntjänster via Kammarkollegiet vilket också allt fler gör.
Kommunal verksamhet liksom hälso- och sjukvård byggs i snabb takt på allt fler molntjänster och inte bara för traditionella it-tjänster utan även för telefoni, välfärdsteknologi o.s.v.. Vad som förbigås i den nu pågående diskussionen är att molntjänsterna inte handlar om av information utan de allt oftare ersätter verksamhetssystemen.
De ger också helt nya integrationsmöjligheter mellan funktioner som tidigare varit inlåsta i olika system.
Min inte helt originella prognos är att ”system” på det sätt vi tänker idag inom 10 år är döda och har ersatts funktionalitet som hämtas från olika tekniska lösningar som interagerar via internet.
Det leder också till att den traditionella outsourcingen som nu ägnas ett så stort intresse också kommer att få en klart minskad betydelse.
Jag som ägnat mycket tid åt att skriva om teknikskiftet inom massaindustrin på 1800-talet känner igen ett teknikskifte när jag ser ett.
Historien visar ganska entydigt på att båtar föga att försöka gå emot ett sådant – det är snabb anpassning till nya förutsättningar som är den viktiga framgångsfaktorn i en sådan situation.
Det gäller även för informationssäkerhetsområdet menar jag.
Om att vi nu, vilket vissa tycks mena och den förslaget till säkerhetsskyddslag antyder, skulle inkludera samhällsviktig verksamhet i det som ska falla under säkerhetsskyddslagen – vad blir konsekvenserna?
Det skulle visserligen kunna förhindra outsourcing i många fall men det skulle också ett antal andra negativa konsekvenser.
Den gällande säkerhetsskyddslagen gäller skyddet av information som kan påverka rikets säkerhet om den blir röjd för obehöriga.
Detta är tydligt avgränsade informationsmängder som ska vara identifierade och kända för organisationen som hanterar dem.
Skyddsåtgärder av både organisatoriskt och teknisk karaktär finns beskrivna och tillämpas oavsett kostnad eller organisationens krav på effektivitet.
Det är alltså ett binärt förhållande som inte är riskbaserat – en organisations ledning har egentligen ingen egen möjlighet att påverka hanteringen och äger inte risken.
Detta är motsatsen till esom bygger på att ledningen ska styra säkerheten genom att väga säkerhetsåtgärder i förhållande till risker för verksamheten.
I det systematiskat är ekonomiska avväganden en naturlig del.
Säkerhetsskyddet utgör inte ett skydd för något annat än rikets säkerhet i bemärkelsen röjande av hemlig information för obehöriga.
De säkerhetsåtgärder som stipuleras är inriktade på konfidentialitetsaspekten och till viss del på någon slags robusthet.
Om man ser på samhällsviktig verksamhet så är kravbilden helt annorlunda med exempelvis höga krav på tillgänglighet, spårbarhet och riktighet.
I den allmänna röran har även uppgifter om skyddade personuppgifter, skydd för den personliga integriteten och säkerhetsskydd förekommit i samma andetag.
Det är då viktigt att förstå att säkerhetsskyddet inte avser skydd för den personliga integriteten.
För mig förefaller det märkligt att det finns en önskan om att devalvera betydelsen av rikets säkerhet.
Som SÄPO påpekar i sin vägledning angående finns det ingen legal definition av ”rikets säkerhet” men det får ändå sägas att det får vara rätt rejäla saker för att uppfylla kraven: Någon legaldefinition av begreppet rikets säkerhet finns inte.
Rikets säkerhet kan dock sägas avse såväl den yttre säkerheten för det nationella oberoendet som den inre säkerheten för det demokratiska statsskicket.
Det är alltså det nationella oberoendet respektive det demokratiska statsskicket som är det egentliga skyddsobjektet.
Merparten av samhällsviktig verksamhet kan knappast sägas nå upp till den nivån mer än i enskildheter.
Däremot har man mycket stora behov av informationssäkerhet men det är en annan fråga.
Jag menar att säkerhetsåtgärderna på den yttersta nivån som säkerhetsskyddet innebär måste sparas till det syfte som de är avsedda för i annat fall kommer säkerhetsskyddet i sin helhet att urholkas.
Det är en generell erfarenhet att säkerhetsåtgärder som inte kan motiveras löper en stor risk att kringgås och då får man en situation med en fiktiv säkerhet vilket kanske är den mest svårhanterliga situationen av alla.
Låt oss ändå leka med tanken att säkerhetsskyddsåtgärder börjar tillämpas i en vidare omfattning, typ för information som är ”känslig” eller samhällsviktig.
Det skulle ju i så fall inte bara påverka outsourcing utan även myndigheternas interna verksamhet.
Yippie – bort med de kreativa flexikontoren!
Men också bort med de smidiga molntjänsterna och de resefria mötena.
Och hur vård och omsorg ska klara sig är en gåta, ska varje enstaka server i den nationella infrastrukturen utformas som enligt SÄPO:s krav, ska all vårdpersonal klassas?
Bäva månde de redan hårt prövade patienterna.
Önskan att vilja utvidga säkerhetsskyddet så att det även ska kunna tillämpas för att skydda det som ligger utanför det som definieras som rikets säkerhet är förståelig.
Har man en hammare så ser allt ut som spikar eller hur det nu brukar heta.
I ny situation griper man ofta efter det man har till hands och just nu verkar tanken på ett utvidgat säkerhetsskydd vara en tröst för många.
Jag menar att detta är en lösning som är en tankevurpa vilket jag skrivit ett längre blogginlägg om apropå förslaget till nu .
Istället bör det upprätthållas en distinkt gräns mellan säkerhetsskydd och systematisktmed verksamhetsinriktning.
Likaså bör en tydlig linje gå mellan säkerhetsskydd och samhällsviktig verksamhet.
I detta fall borde problemformuleringen vara: vi har ett stort antal offentliga och privata verksamheter som har ett stort behov av att förbättra sin informationssäkerhet.
Vissa av verksamheterna, exempelvis inom vård och omsorg, har kanske de mest komplexa kraven på informationssäkerhet över huvud taget i samhället.
På dessa krav är inte säkerhetsskydd en lösning.
Istället måste det byggas upp stöd för att dessa verksamheter ska kunna bygga upp esom motsvarar deras behov.
Stödet måste vara utformat så att det kan hantera den snabba tekniska och organisatoriska utvecklingen samt integrera i strukturer där många aktörer samverkar.
Ansvarsförhållandena för informationshanteringen och informationssäkerheten måste vara närmast övertydliga.
Andra har vädrat morgonluft och fört fram den nygamla idéen att Statens servicecenter ska få uppdraget att skapa en statlig ”molntjänst” eller .
Låt mig redan här säga att jag inte är kategoriskt emot statlig samordning eller inte ser problemet med att staten outsourcar stora informationsmängder till privata aktörer.
En fråga jag bevakat är exempelvis Hälsa för mig där jag senast uttalade mig i DN tidigare i Däremot är jag inte övertygad om att storskalig statlig datadrift är lösningen på de problem som bör prioriteras.
Dessutom ser jag ett antal frågeställningar som måste hanteras om en statlig ”molntjänst” ska bli en framgång ens för statlig verksamhet.
I Statens servicecenters rapport från är det endast lagring och datakraft som ska erbjudas.
Eller som generaldirektören säger i en : – Jag sa till regeringen att: bilda tio stycken stora datacentraler där vi lägger in servrarna.
Vi föreslog helt enkelt en statlig molntjänst som skulle innebära att staten äger datahallen och servrarna, säger Thomas Pålsson.
I samma artikel uttalar sig civilminister Ardalan Shekarabi på detta något enigmatiska sätt: I stället vill Shekarabi bygga upp en gemensam struktur för de mest säkerhetskänsliga myndigheter.
– Så att vi kan insourca verksamheter.
Det är det som är i pipeline just nu, säger han.
– Då handlar det om att gemensamt bygga upp en verksamhet så att man kan insourca det man har outsourcat.
Så att man minskar behovet av att outsourca.
Helst ska man inte outsourca.
Ministern påpekar dessutom att den rapport som Statens Servicecenter lämnat där de vill ta hand om myndigheters information ”saknar säkerhetstänk”.
Precis nu (torsdag den 27 juli) ger Shekarabi ett uppdrag till PTS att ta fram en modell för säkra it-utrymmen för säkerhetskänsliga myndigheter.
Frågorna hopar sig.
Att Statens Servicecenter vill utöka sitt uppdrag är tydligt men exakt vad är det man vill erbjuda?
Det ministern verkar avse är någon slags gemensam datacentral för säkerhetskänsliga myndigheter vilka dessa nu är.
Min bedömning är att det som i detta skulle kunna vara en vettig och framkomlig väg är att skapa en gemensam infrastruktur för information som faller under säkerhetsskyddslagen eftersom det ställer så sära tekniska och organisatoriska krav.
Den skulle dock knappast vara lämplig att lägga hos Statens Servicecenter.
Jag ställer mig däremot tveksam till fördelen med att staten skulle skapa en egen molntjänstleverantör (eller om det nu är sourcing man egentligen avser) för en bredare målgrupp även om jag kan se behovet hos särskilt mindre myndigheter (egendomligt nog bygger Statens servicecenters utsagor när det gäller behov på intervjuer med de 15 myndigheterna).
I Statens servicecenters rapport framgår inte hur en statlig leverantör skulle vara konkurrenskraftig i förhållande till stora it- och molntjänstleverantörer och innehåller inte heller ekonomiska beräkningar som stödjer det caset.
En inte helt oviktig faktor är den svårighet att rekrytera rätt och tillräcklig kompetens till en statlig it-leverantör.
Det gäller inte bara effektivitet utan även säkerhet.
Min högst subjektiva uppfattning är att kompetensen och den möjliga leveransen hos de kommersiella leverantörerna ligger rätt långt över vad statliga myndigheter kan leverera.
Problemet är att staten generellt inte är bra beställare, särskilt inte inom säkerhetsområdet.
Risken är alltså att myndigheterna får sämre och dyrare lösningar.
Här tror jag att det finns viktiga erfarenheter från Kommundata som var it-leverantör åt kommunerna under en period under 90-talet.
Den aspekten blir ännu mer akut när man tänker på vad som ska levereras.
Det som Statens servicecenter kallar molntjänster är lagring och datakraft men det är inte den typen av ”primitiva” molntjänster som kommer att dominera i myndighetsvärlden.
Det är sammanväxta lösningar av kommunikation, samarbetsytor, planeringsstöd och ärendehantering som på sikt kan komma att ersätta ett antal verksamhetssystem.
Dessa lösningar kommer endast att vara tillgängliga som molntjänster och att Statens Servicecenter ska kunna ta fram likvärdiga produkter som exempelvis Microsoft finner jag tämligen osannolikt.
Det är också välkänt att det är svårt för staten att vara leverantör åt staten – detta har varit ett återkommande tema i e-förvaltningsarbetet.
Eftersom statliga myndigheter inte kan sluta avtal med varandra har kundmyndigheterna betydligt svagare ställning i förhållande till en systermyndighet än till en kommersiell leverantör.
Det visade sig också under Statens Servicecenters första tid när myndigheter var skyldiga att överlåta bland annat lönehantering till servicecentret men inte hade reella möjligheter att genomdriva sina säkerhetskrav.
Vilket leder över till ett annat, som jag ser det, avgörande principiellt problem, nämligen vem som har ansvar för den information som lagras hos en servicemyndighet.
Jag hävdar att det är informationsägaren, det vill säga kundmyndigheten, som har ansvar för att informationen hanteras med tillräcklig säkerhet.
Detta ansvar går inte att uppfylla om man inte kan skriva bindande avtal med sin leverantör.
I denna oklarhet i ansvar ligger en mycket stor risk som visserligen delvis skulle kunna hanteras genom en professionell struktur av skyddsnivåer som kunden kan välja mellan, detta räcker dock inte.
Sannolikheten att kärnverksamhetens säkerhet börjar styras från servicemyndigheten men att ansvaret ligger kvar hos kundmyndigheterna är överhängande.
Det är verkligen att sätta vagnen framför hästen och skapar ytterligare en dimension av oklarhet i ansvar.
Om det blir ett informationsläckage eller om bristande tillgänglighet i myndighetsinformationen leder till skada för tredje man vems är då ansvaret?
När internationella jämförelser görs glömmer man ofta bort den svenska förvaltningsstrukturen med självständiga myndigheter med eget ansvar.
Det här är en fråga som måste klarläggas även legalt liksom kundmyndigheternas möjlighet att styra så att inte samkörning görs av olika myndigheters information.
Sett ur ett integritetsperspektiv förefaller idag privata leverantörer ha ett större intresse för att skydda enskildas integritet än myndigheter vilket måste ses som risk då större mängder information ska sammanföras från olika myndigheter.
Ett annat problem med den här typen av lösningar är den vertikala integrationen där staten både är kund och leverantör.
Som kund vill man ha maximal output, som leverantör vill man ha maximal intäkt.
I offentlig verksamhet leder detta ofta till stora svårigheter i styrningen eftersom man hamnar i ingenmansland mellan intäkts- respektive budgetfinansiering.
Även här finns lärdomar från Kommundata men också Inera och dess föregångare i landstingsvärlden.
Resultatet blir negativt och oförutsägbart för kunden eftersom man inte kan styra genom att välja en annan leverantör men samtidigt inte har makt över monopolleverantören.
Min mest avgörande invändning är dock att det idag inte går att avgränsa informationshanteringen till att vara ”statlig”.
Myndigheter, kommuner, landsting och privata aktörer samverkar allt mer integrerat och frågan är då vad som ska hanteras i det statliga molnet.
Ska även privata aktörer som utför uppdrag åt staten ingå?
Ska kommuner som utbyter information med Försäkringskassan ingå?
Hur stort ska det statliga molnet egentligen bli?
Och, slutligen, jag tror inte de största riskerna idag ligger hos de statliga myndigheterna utan hos kommuner och landsting som både står för merparten av den samhällsviktiga verksamheten och ofta har sämst möjligheter skapa säkra lösningar.
Med en dåres envishet upprepar jag att detta är vad som borde prioriteras framför allt annat.
Medan det stormar vidare på regeringsnivå hoppas jag att pendeln inte slår över för långt, att vettskrämda politiker och generaldirektörer uppfattar outsourcing i sig som problemet och fattar beslut som leder till att vi börjar backa in i framtiden.
Jag är övertygad om att outsourcing och framför allt molntjänster kommer att öka i betydelse – detta är en verklighet med en mix av egna och köpta lösningar som vi måste lära oss hantera.
Jag kommer ihåg när jag på tidigt 1990-tal besökte en liten vårdcentral som vi kan kalla Söpple VC för att se över informationshanteringen.
En läkare pekade på vårdcentralens dator som satt fastspänd under skrivbordet på det där sättet som kanske inte alla kommer ihåg.
Han sa: ”Nu vill de ta datorn ifrån oss och ha vår information i distriktets datorhall, hur ska jag då kunna skydda mina patienter?” Hans fråga är lika relevant idag som då efter att informationen förflyttas från den enskilda datorn till distriktets datorhall, till landstingets datorhall, till nationell nivå och nu till molnet.
Det är vår uppgift som säkerhetsmänniskor att ge svaret på den frågan.
Vi har inte lyckats särskilt bra i tidigare skeden med tanke på hur det ser ut, därför bör vi mobilisera på ett konstruktivt sätt nu.
Det vore bra om vi innan vi går vidare kan enas om att avvägningen mellan effektivitet och säkerhet inte är en enkel fråga utan det finns reella intressekonflikter som måste hanteras.
Vi bör också komma överens om att det inte finns typ av säkerhet eller lösning.
Istället måste vi inse att ”säkerhet” är ett paraplybegrepp där många intressen måste leda fram till en mängd olika lösningar som tillsammans kan leda till säkrare samhälle.
Och som sagt: vi måste bli mycket duktigare på att problemformulera för att kunna hitta rätt lösningar.
För mig förefaller inte lösningarna ligga främst i att styra placeringen av utrustningen utan att på olika sätt styra informationshanteringen genom avtal, upphandlingskompetens, organisation, mjuka tekniska lösningar och kunskap.
Jag utlovar att i ett senare inlägg återkomma till mer konkreta förslag.
Den unika händelsen att en GD får sparken efter att ha beslutat att outsourca information där även uppgifter som faller under säkerhetsskyddslagen ingått har skapat ett stort buzz i säkerhetsvärlden.
Det är en uppseendeväckande och skandalös historia som skett på Transportstyrelsen där myndighetsledningen tycks huvudlöst ha struntat i alla varningar och uppmaningar.
Mest förvånande är kanske att SÄPO enligt uppgift i media varit involverade och framfört synpunkter men inte lyckats genomdriva dem.
Jag är dock inte särskilt förvånad och det är inte första gången myndighetsledningar tar medvetna beslut om att genomföra upphandlingar som om inte direkt lagvidriga innebär mycket stora risker.
I den upphetsade stämning som råder kan det vara bra att försöka konkretisera vad som faktiskt hänt (så som jag tolkar det utifrån medierapporteringen).
Kontentan är för mig att det inte är en informationssäkerhetsfråga utan en fråga om hur regeringen styr sina myndighetschefer och säkerställer att de bland annat efterlever säkerhetsskyddslagen samt förhoppningsvis även annan lagstiftning.
Nu pågår en omfattande diskussion rörande Transportstyrelsens skandal där många inlägg är skrivna i till synes stor affekt.
Inte minst debattörer med säkerhetsanknytning kommer pepprade salvor och förslag på åtgärder som sägs kunna motverka att liknande händelser skulle kunna inträffa igen.
Tyvärr tycker jag många av förslagen verkar illa genomtänkta, såsom det ofta blir när man reagerar på en akut situation och en specifik händelse.
Förhoppningsvis leder inte dessa förslag till snabba åtgärder – istället behövs ett mer analytiskt skede, en helhetsbild där den nuvarande röriga argumentationen något sorteras upp.
Den diskussion som förts efter att händelsen blivit känd har också kommit att handla om allt möjligt som informationssäkerheten generellt, statliga moln m.m.
vilket händelsen på Transportstyrelsen inte egentligen har någon bäring på.
Jag ser istället händelsen som ett symptom på regeringens otydlighet i it-politiken där man inte lyckas skapa en strategisk inriktning som omfattar både effektivitet och säkerhet.
Detta skapar en kognitiv dissonans i styrningen som jag menar är avgörande förklaring till varför i övrigt kompetenta och förnuftiga generaldirektörer ger sig in i huvudlösa upphandlingar av it-relaterade tjänster.
Låt mig förtydliga.
Informationshantering på samhällsnivå innebär ett antal intressekonflikter som jag skrivit om i tidigare blogginlägg; stat – indvid, integritet – övervakning o.s.v.
Den i det här mest intressanta är konflikten effektivitet/ekonomi och ”säkerhet”.
Informationssäkerhet innehåller i sig motstridiga intressen som mellan tillgänglighet och konfidentialitet men det lämnar jag för tillfället åt sidan.
Den kognitiva dissonansen uppstår när intressekonflikten negligeras eller i vissa fall t.o.m.
I nuläget har regeringen å ena sidan formulerat ett antal förslag rörande att informationssäkerhet och säkerhetsskydd ska stärkas (jag skriver det som två punkter för jag anser inte att det är samma sak) och å ena sidan andra imperativa budskap kring ökad användning av molntjänster och om att bli världsbäst på e-förvaltning.
Dessutom framförs ofta önskemål om att statens it-kostnader generellt bör sänkas.
Till detta kommer dessutom att förslaget till ny säkerhetsskyddslag är så otydligt om vad som egentligen ska räknas som inverkande på rikets (OK Sveriges) säkerhet.
Dessa olika intressen går inte att förena fullt ut, det vill säga staten kan inte alltid välja cloud first lika litet som att dåligt avvägd säkerhet kan få förhindra verksamhet att fungera på ett effektivt och någorlunda ekonomiskt försvarbart sätt.
Min uppfattning är att så länge de här intressekonflikterna inte lyfts fram, diskuteras och blir föremål för en gemensam avvägning på nationell nivå kommer myndighetsledningar att vara utsatta för en kognitiv dissonans där det är omöjligt att avgöra hur den egna it-verksamheten ska utformas så att den tillgodoser samtliga intressen.
För att skapa en bredare bild än säkerhetsskyddsfrågan på Transportstyrelsen vill jag göra en återkoppling till för situationen för ganska exakt två år sedan då E-hälsomyndigheten skrev ett avtal med Cap Gemini om outsourcing av alla svenska patientjournaler för hantering hos Microsoft.
Även denna affär innebar mycket stora säkerhetsproblem men väckte inte alls lika mycket intresse – kanske för att det främst rörde sig om risker för individer och inte för staten.
När flera med mig påpekade den bristande säkerheten i upphandlingen mottogs det inte särskilt väl (faktiskt inte ens i min egen myndighet).
Orsaken till detta tror jag var just den kognitiva dissonansen: regeringen har beställt en lösning för hälsokonton där kommersiella aktörer ska kunna delta och detta snabbt.
Att då ställa säkerhetskrav uppfattas lätt som grus i maskineriet vilket jag för övrigt upplevde även då Statens servicecenter bildades.
Utan att på något sätt vilja ursäkta felande myndighetsledningar är det ganska uppenbart att när staten inte ens på övergripande nivå lyckas hantera dessa intressekonflikter blir det desto svårare att hantera situationen i den enskilda myndigheten.
Att ta ställning i intressekonflikterna är vad jag menar att både regeringens cyber- och informationssäkerhetsstrategi och digitaliseringsstrategi skulle ha gjort på ett samordnat sätt.
Så är nu inte fallet och därför är det med största sannolikhet inte heller sista gången statliga myndigheter kommer att göra huvudlösa affärer.
För att kunna ta fram en fungerande strategi kräver dock en helt annan nivå på utredandet än hittills och också att man försöker hitta fungerande lösningar för framtiden och inte ägnar sig åt att lösa gårdagens frågor.
Att föreslå statliga molntjänster för ”lagring” kunde kanske varit ett alternativ vid sekelskiftet men knappast idag då molntjänsterna ersätter verksamhetssystem för att bara ta ett enstaka exempel.
Det är inte bara regeringen har en hemläxa att göra utan även vi som arbetar professionellt med säkerhetsskydd och informationssäkerhet.
Jag tror vi står inför stora utmaningar både inom säkerhetsskydds- och informationssäkerhetsområdet där vi måste kunna bidra på ett bättre sätt.
Låt oss därför inte banalisera frågeställningarna och utlova enkla lösningar utan erkänna att här krävs nytänkande, uthållighet och betydligt bättre kunskapsgrund för att kunna utgöra ett stöd för samhället.
30 juni kom alltså äntligen strategi.
Två dagar före Almedalen och samma dag som de i det offentliga Sverige som inte är och tycker på Gotland förhoppningsvis sjunker in i sommardvala alldeles oavsett vilka strategier som lanseras.
Det är nästan svårt att veta var jag ska börja eftersom det trettiotal sidor som utgör strategin väcker så många frågor.
Att försöka redogöra för dem skulle kräva ett utrymme som vida överstiger strategins sidantal.
Bara användningen av begrepp gör läsaren konfys.
Exempel ett: strategin heter .
Vi som sedan ”cybersäkerhet” började användas för att hotta upp konferenspunkter undrat vad det egentligen betyder är inte så få.
En förklaring som varit återkommande är att det är ”säkerhet i domänen cyber”, alltså något kopplat till försvarets indelningar och något ”internationellt”.
Strategin släpper dock redan på sidan 4 alla ambitioner att försöka utreda denna fråga: För informationssäkerhet som avser digital information används i denna skrivelse även begreppet cybersäkerhet.
I denna skrivelse används begreppen beroende av sitt sammanhang, där exempelvis cybersäkerhetsbegreppet är vanligt förekommande i en internationell kontext.
Ska man tolka det som ”informationssäkerhet” är aningen mer inriktad på icke-digital information?
Och på vilket sätt skulle en sådan uppdelning tillföra något klargörande?
Och om det egentligen är samma sak varför skulle man då i svenska texter ta hänsyn till vilket begrepp som används internationellt om det egentligen inte har någon annan innebörd än informationssäkerhet?
Det är som författarna på ett tidigt stadium gett upp men ändå velat ha med det litet läckrare ”cybersäkerhet”, tänkt ”wtf” och bara gått vidare.
Exempel två är definitionen av ”tillgänglighet”: Med tillgänglighet menas att behöriga ska kunna ha tillgång till informationen på det sätt och vid den tidpunkt som tjänsterna erbjuder.
Här har strategins författare ändrat innebörden av begreppet på ett fatalt sätt.
I den terminologi som reviderades 2015 (och som man visserligen kan ha synpunkter på) SIS handbok Terminologi för Informationssäkerhet (SIS HB 550 utgåva 3) är definitionen: Åtkomlighet för behörig person vid rätt tillfälle.
Strategin har alltså gjort det märkliga tillägget vilket jag finner både missvisande och i någon mån obegripligt.
Vilka tjänster är det som avses?
Någon typ av it-tjänster sannolikt men eftersom strategin i övrigt har en stark förkärlek för ”system” vandrar tankarna iväg mot de samhällsviktiga tjänster som beskrivs i NIS-direktivet som är verksamhet och inte it-lösningar.
Dessutom leder beskrivningen tanken mot ett synsätt att det är tjänsterna – inte informationen- som är i centrum vilket för den som vill planera för att upprätthålla kontinuitet inte är bra.
Den som vill ha en fungerande kontinuitetshantering måste ha alternativa sätt för sin informationsförsörjning och då räcker det inte att titta på enskilda ”tjänster”.
Mest svårtolkat uppfattar jag ”som tjänsterna erbjuder”.
Det är som det smygs in ett konfidentialitetsperspektiv i tillgänglighetsbegreppet, att tillgänglighet skulle betyda att endast behöriga ska tillgång till tjänsterna när de erbjuds.
Det finns ett antal andra begrepp som förtjänar en diskussion men som vila tills vidare.
Jag tänkte istället ta upp några utgångspunkter för strategins författare.
Dessa ligger till grund för de prioriteringar som görs och som jag menar i många stycken gör strategin irrelevant.
I mycket känns strategins inriktning igen från Infosäkutredningen som lämnade sin rapport med förslag om en informationssäkerhetspolitik 2005 .
Gemensamt att både utredningen 2005 och den nya strategin är skrivna helt sett ur statens intressen trots att man i båda fallen säger sig behandla informationssäkerhet.
Det behövs knappast några poäng i statsvetenskap för att inse att staten inte är synonym med samhället och det känns därför intellektuellt torftigt att strategin inte på något ställe erkänner och problematiserar de intressekonflikter inryms i samhällets informationssäkerhet.
Det gäller relationen stat-individ, stat-privata företag och stat-kommuner/landsting för att ta de mest uppenbara ytorna för konvergerande intressen.
Istället utgår strategin okommenterat från att alla samhällets aktörer är villiga att underkasta de åtgärder som strategin föreslår som till stor del motiveras ur ett nationellt försvarsperspektiv.
Genomgående är förslagen inriktade på att staten talar om hur saker ligger till, föreskriver och sedan genom tillsyn kontrollerar att ”samhället” lyder.
Jag tror att den här ”far vet bäst”-mentaliteten är omotiverad i så måtto att pappa staten faktiskt inte vet bäst på det här området utan har all anledning att ta till sig andra samhällsaktörers kunskap och intressen.
Att peka med hela handen fungerar kanske bra inom den gröna sektorn.
De kommunpolitiker som måste göra intresseavvägningar mellan insatser inom äldreomsorgen och att satsa på säkerhetsåtgärder som inte kan motiveras är nog däremot betydligt mindre villiga att utan protester röra sig i handens riktning.
Kanske är det också detta förhållningssätt som gjort att så litet av de förslag av de som presenterade har realiserats – en insikt som möjligen skulle kunnat ge strategin en annan inriktning och ton.
Den implicita föreställningen att statens intressen per automatik sammanfaller med allas (förutom brottslingars och fientliga nationers) intressen får egenartade konsekvenser då strategin tar sig an integritetsfrågan.
Det enda sammanhang där strategin utvecklar sig om den personliga integriteten är när den är hotad av privatpersoner i form av näthat och grooming.
Närmast ohederligt blir det när man inte ens nämner den kritik som framkommit gällande konsekvenserna på den personliga integriteten i remissvar rörande förslaget att MSB ska få installera sensorsystem.
Istället framställs sensorsystemen som i princip redan beslutade: Regeringen har under våren 2017 remitterat en promemoria om tekniska sensorsystem (Ju2017/02002/L4) med förslag att MSB får stödja verksamhetsutövare inom samhällsviktig verksamhet med informationssäkerheten genom att tillhandahålla sensorsystem som kan stärka samhällets möjlighet att upptäcka och hantera it-incidenter.
MSB:s sensorsystem ska inte tillhandahållas till de verksamheter som erbjuds TDV.
Därmed var relationen mellan staten och individen överstökad.
Dataskyddsförordningen känns mycket avlägsen i strategin.
En annan genomgående tendens är att strategin i princip endast intresserar sig för de antagonistiska hoten.
Andra typer av risker diskas av i två förströdda meningar: Olika former av störningar i mjuk- eller hårdvara eller störningar i driftmiljö är vanligt förekommande.
Yttre fysiska händelser som t.ex.
bränder, avgrävda kablar, översvämningar eller solstormar utgör också en del av hotbilden.
Resten av hotavsnittet beskriver en leviathan-liknande situation där framför allt statens intressen måste tillvaratas.
Utan upphovsman för riskbedömningen meddelas: Det möjliga agerandet av stater, statsunderstödda aktörer eller andra aktörer med liknande förmåga utgör det allvarligaste informations- och cybersäkerhetshotet mot Sverige.
Självklart kan inte dessa hot underskattas – de är verkliga och omfattande.
Men enligt min erfarenhet äventyras de flesta organisationers verksamhet i lika hög grad av t.ex.
bristande rutiner som leder till uppdateringsfel.
Ett stort antal av de större incidenter som inträffat under senare år har också haft icke-antagonistisk bakgrund.
För landsting och kommuner skulle jag vilja påstå att den absolut största utmaningen ligger i att kunna efterleva dataskyddsförordningen när den träder i kraft.
Oavsett om jag har rätt i denna bedömning eller inte vågar jag hävda att strategins oförmåga att se att olika organisationer lever med olika risker och med olika behov av säkerhetsåtgärder är en av dess mest påtagliga brister.
På ett flertal ställen presenteras lösningar som blickar tillbaka till BITS och andra försök att skapa säkerhet i alla organisationer.
Detta strider inte bara mot grundtanken i ISO 27000 som säger att ledningen i varje organisation måste ta ställning till risker och därefter göra sina prioriteringar.
Det strider också mot de verkliga behov som finns i olika organisationer eftersom olika verksamhetsprocesser kan använda samma information på helt olika sätt.
I strategins anses detta dock fel: Samma information kan få olika skydd i olika organisationer och kunskapen om vilket skydd som är lämpligt och tillgängligt för en viss typ av information är hos många aktörer ofullständig.
Jag tror att man här omedvetet endast utgår från konfidentialitetsaspekten och inte har reflekterat tillräckligt över behovet av riktighet, spårbarhet och tillgänglighet kan skifta starkt mellan olika organisationer.
Under ett par arbetade jag på MSB med att tillsammans med bland annat representanter från hälso- och sjukvårdsområdet med att fram ett koncept för nationell styrmodell.
Tanken var inte att alla organisationer skulle ha samma säkerhet utan att modellen skulle utgöra ett stöd för kommunikation mellan olika verksamheter så att varje organisation skulle kunna få den nivå av säkerhet som dess ledning ansåg lämpligt.
Konkret skulle det innebära att det t.ex.
fanns gemensamma metoder för processkartläggning, informationsklassning och skyddsnivåer.
Att nu strategin ser det som ett problem att olika informationsmängder värderas olika av olika organisationer uppfattar jag som att man tankemässigt är tillbaka till det one size fits all-koncept som BITS byggde på.
Det mest anmärkningsvärda med strategin är att den inte beskriver en relevant framtid, inte ens ger en relevant bild av dagens situation.
Det som utgör strategins existensberättigande redovisas i avsnittet .
Det sidlånga avsnittet börjar tämligen stillsamt med: Det innebär att både informationen i sig och de system som används för att förvara och överföra informationen måste skyddas.
Men därefter bryter ett sammelsurium av demokrati och andra värden, ting, system, kommunikation och i någon mån information ut.
Ungefär på mitten dyker följande märkliga passage upp: I dag bygger systemen för att hantera information huvudsakligen på digital informations- och kommunikationsteknologi.
Detta gäller inte minst de system Sverige är beroende av för att kunna styra och leda riket under omfattande påfrestningar som kan följa av kris eller krig.
Jag biter mig hårt i tungan för att inte ställa ironiska frågor som om det tidigare fanns system som inte byggde på digital teknik och om det är så att just de system som Sverige är beroende av för att kunna styra och leda riket o.s.v.
(vilka de nu kan vara) är ännu mer digitala än övriga it-system.
Även om stycket vidlåds med en ofrivillig komik är det dock inte särskilt lustigt att läsa denna flacka och redan inaktuella beskrivning av beroenden.
Det är som strategins upphovsmän (för övrigt precis som utredarna av NIS-direktivet) fortfarande tänker sig en situation där verksamheter är beroende av tydligt avgränsade ”system” som man själv driftar och förvaltar.
Jag menar att vi redan idag är långt ifrån en sådan situation.
Istället går allt fler organisationer helt eller delvis över till molntjänster som dessutom är intrikat integrerade så att det är svårt att urskilja enskilda tjänster eller komponenter.
Detta är ju också något som uppmuntras i andra inriktningar från regeringen.
För att ta ett konkret exempel vågar jag utan större talang som sierska ändå påstå att en stor del av den svenska förvaltningens dagliga informationshantering kommer att ske i Office 365 som molntjänst inom 5 år.
Att jag vågar sticka ut hakan beror inte enbart på egna observationer i verkligheten utan också på att Microsoft låtit förutskicka att de kommer att sluta att tillhandahålla sina Office-programvaror för installation i egen miljö.
De kommer att gå all in molntjänster.
Denna nya situation behandlas överhuvudtaget inte i strategin.
I där det rimligen borde inrymmas en sådan diskussion och förslag på lämpliga säkerhetsåtgärder nämns detta överhuvudtaget inte.
Lika litet intresse ägnas åt välfärdsteknologin som är i stark framväxt och som innebär nya intressanta frågeställningar inom en stor samhällsviktig verksamhet.
Strategins bristande omvärldsbevakning påverkar även de säkerhetsåtgärder som presenteras.
Mycket är uppstekta tidigare förslag alternativt bekräftelser på redan existerande lösningar även om jag fortfarande när ett visst hopp om den så kallade nationella modellen för systematiskt.
Ett axplock på aktiviteter där regeringen ska enligt strategin fortsätta att verka för det man redan verkat för eller inte kan undvika att verka för: Inte särskilt kraftfullt eller nydanande.
I ärlighetens namn ska väl sägas att det även ingår att regeringen ska verka för en strategi för kryptosystem, mer övervakning i olika hänseenden och mer brottsbekämpning.
Om Sverige ska bli, som regeringen proklamerat, världsbäst inom digitalisering och e-hälsa behövs det en storsatsning på proaktiv informationssäkerhet som stödjer denna inriktning.
Förutom att stärka säkerheten i nätverk och kommunikationer är svårt att se vad den liggande strategin bidrar med i det hänseendet.
Efter att ha begrundat åtgärdsförslagen uppfattar jag att huvuddragen är ett perimeterskydd på nationell nivå, incidentrapportering och tillsyn.
Detta menar jag inte är särskilt verkningsfullt i förhållande till dagens molntjänstsamhälle.
System i egen drift och förvaltningen som staten fysiskt kan kontrollera är inte den framtid som strategin ska fungera i. Att staten skapar säkerhetslösningar för (forntida teknik höll jag på att skriva) tekniska lösningar på utgående är inte unikt för den här strategin; som en klok kollega påpekade häromdagen är det konstigt att det nu görs så stort nummer av säker e-post.
Redan nu sker kommunikationen ofta i andra former än e-post och om fem år kommer sannolikt dess betydelse vara i starkt avtagande.
Bristen på ambition att skapa bättre möjligheter att hantera de nya frågeställningar som digitaliseringen medför präglar också strategins kunskapssyn.
Istället för en offensiv hållning där man utgår från ett läge som jag bedömer som tämligen ovedersägligt, nämligen att vi idag hög grad saknar kunskap om även grundläggande kunskap om vi ska bygga en fungerande informationssäkerhet, är strategin även här konserverande.
Den kunskap som strategins författare anser behövs är att kartlägga brister och sedan öka medvetenheten om dessa till olika aktörer.
Det är enligt regeringens bedömning viktigt att arbetet med att analysera sårbarheter, brister och behov med koppling till Sveriges informations- och cybersäkerhet fortsätter att utvecklas och fördjupas i syfte att stödja och öka medvetenheten om långsiktigtpå alla nivåer i samhället När man sedan kommer in på högre utbildning, forskning och utveckling räknas ett antal redan pågående projekt upp samt en avslutande lam inriktning: Lärosäten, industriforskningsinstitut, näringsliv och offentlig sektor samverkar för att öka nyttiggörande och innovation inom informations- och cybersäkerhetsområdet.
Min uppfattning är att om en större förändring (i positiv riktning är det väl bäst att säga) av samhällets informationssäkerhet så förutsätter det en utvecklad kunskapsstyrning.
Mer effektivt än att använda retroaktivt inriktade och repressiva åtgärder som incidentrapportering och tillsyn är att kunna beskriva för olika typer av aktörer hur de kan använda belagt effektiva säkerhetsåtgärder.
Detta förutsätter dock i sin tur att det finns kunskap som kan utgöra underlag för en relevant styrning.
Ett område som alldeles särskilt borde lyftas fram är det informatik och hur en styrd informationshantering kan ge ökad säkerhet i de tjänster som alltmer kommer att ersätta de traditionella systemen.
Jag bedömer att tekniskt perimeterskydd kommer att vara något som måste fortsätta att utvecklas men att dess relativa betydelse kommer att minskas i förhållande till hur säkerhet kan byggas in i informationshanteringen.
Därmed anser jag att detta borde vara ett strategiskt kunskapsområde för framtiden, en uppfattning som inte förefaller delas av strategins upphovsmän som på ett ytterst vagt sätt sveper över en mängd teknikområden.
Ett annat kunskapsområde som hänger ihop med själva definitionen av informationssäkerhet är betydelsen av spårbarhet i informationshanteringen.
En långvarig men icke-uttryckt schism inom det svenska informationssäkerhetsskrået är begreppet spårbarhet som för många varit tabubelagt utan närmare förklaring.
I de verksamheter som länge varit transaktionstäta och komplexa som exempelvis hälso- och sjukvården har kravet på spårbarhet varit självklart.
För ”purister” har det dock varit en styggelse.
Nu menar jag att det borde vara uppenbart för de flesta praktiskt verksamma att begreppet måste tillämpas aktivt i informationsklassningar och riskanalyser.
Enbart dataskyddsförordningens krav förutsätter åtgärder för spårbarhet som idag inte tillämpas men användningen av integrerade tjänster kommer också att innebära behov av att kunna rekonstruera sammanställd information där alla ingående datamängder har rätt version o.s.v.
Hur detta ska kunna gå till är även det ett område där forskning är nödvändig men denna typ av kunskap ligger långt utanför det område som strategin rör sig inom.
Trots denna orimligt långa text innehåller den bara ett litet antal nedslag i de frågeställningar som väcks.
Min kritik kan sammanfattas i tre punkter.
För det första är det väldigt uppenbart att det är en strategi för staten – inte för samhället.
De stora frågor och intresseavvägningar som de flesta av samhällets aktörer måste hantera lyser med sin frånvaro – inifrån- och ut-perspektivet är så överväldigande att jag får känslan av att man suttit i en bunker och skrivit strategin för att försäkra sig om att inga ovälkomna intryck från verkligheten ska smyga sig in.
Genomgående så förläggs också fel och brister hos aktörerna i samhället; de har dålig kunskap och de gör fel.
Däremot så håller den del av staten som skrivit strategin inte upp en spegel och frågar sig vad man själv kunnat göra bättre.
Trots att staten skottar in omfattande resurser centralt till de myndigheter som ska samordnat har resultatet inte blivit det önskade.
Det är därför märkligt att strategins angreppssätt är att framförallt resten av samhället ska skärpa sig.
Kanske måste man, istället för att fortsätta göra mer av samma sak, våga rikta blicken inåt och försöka analysera varför det hittills inte funkat så bra trots resurserna.
Det vill säga en gammaldags hederlig utvärdering av en fristående part.
För det andra beskriver strategin inte ens dagens digitala situation utan en snart förgången tid.
Jag har ju närt vissa förhoppningar rörande strategin men måste nu redan inledningsvis medge att det kommit helt på skam.
Istället för att vara framåtblickande vilket är ett slags grundkrav på en strategi är den produkt som presenteras häpnadsväckande inaktuell även för dagens situation.
Jag förstår att de som skrivit dokumentet varit snärjda och begränsade av bland annat det fem år gamla NIS-direktivet.
Detta ”ursäktar” dock inte den enligt min bedömning föråldrade bild av verkligheten som är strategins utgångsläge.
Faktiskt är det svårt att se den nya strategin som mer aktuell än den som togs fram 2010 och som dessutom var betydligt mer kortfattad och välstrukturerad .
För det tredje levererar strategin få eller inga konkreta inriktningar – man lyckas inte ens beskriva hur de områden som staten faktiskt kontrollerar ska styras.
Hur ska exempelvis säkerhetsskydd, samhällsviktig verksamhet och normal verksamhet förhålla sig till varandra?
Och de olika incidentrapporteringskrav som staten nu riktar mot olika aktörer, hur ska de integreras till en effektiv och rimlig helhet?
Om exempelvis eHälsomyndigheten råkar ut för en incident där personuppgifter ingår ska man då rapportera till MSB (enligt MSB:s föreskrift), till IVO (enligt NIS-direktivet) och till Datainspektionen (enligt dataskyddsförordningen).
Eftersom incidentrapportering under en längre tid lyfts fram som den mest prioriterade säkerhetsåtgärden vore det rimligt att en strategi gav besked om hur den långsiktigt ska hanteras.
Och om nu en stor del av den samhällsviktiga verksamheten och den offentliga förvaltningen i övrigt kommer att hantera sin information i ett fåtal internationella molntjänster?
Är det då inte en central strategisk säkerhetsfråga för staten att ha en inriktning för relationen till dessa molntjänstleverantörer.
Det är ju knappast ett alternativ att köra ett DDR-lösning och utveckla egna statliga lösningar.
En strategi borde fungera som mer än talepunkter för en minister i Almedalen men här tycks beskedet ganska klart: Fråga inte vad staten kan göra för dig utan vad du kan göra för staten.
För oss andra verksamma i skrået är det viktigt att inte dras in i bunkern utan att vi arbetar med de frågor som är relevanta i dag och i framtiden.
Under senare tid har jag liksom många andra ägnat mig åt dataskyddsförordningen och hur man ska förena den med det övrigat – en fråga som jag återkommer till i en senare blogg.
Nu ska jag istället skriva om min nya förälskelse; privacy by design.
Privacy by design, inbyggt integritetsskydd, är ju ett av de krav som ställs i förordningen som träder i kraft i maj nästa år.
Förmodligen är detta också ett av de krav som kommer att ställa störst krav på de personuppgiftsansvariga både organisatoriskt och tekniskt.
Att inte samla in mer personuppgifter än nödvändigt, att se till att åtkomsten till dem är strikt, att skydda dem genom pseudonymisering eller liknande, att säkerställa att de inte används för något annat ändamål än det ursprungliga samt att gallra dem när de inte längre behövs är några aktiviteter som kommer att sätta hård press på många verksamheter.
Inte minst inom hälso- och sjukvården kommer det att bli nödvändigt med omfattande åtgärder eftersom man där länge eftersatt integritetsaspekterna.
När jag började läsa in mig litet mer på privacy by design var det dock inte de konkreta åtgärderna som intresserade mig mest.
Istället vad det de sju grundprinciper som formulerats av Information and Privacy Commissioner of Ontario på 1990-talet.
De är: När jag tittar på principerna så tänker jag att samtliga skulle kunna vara tillämpliga i ett vidare perspektiv, som grunden för ett koncept för information security by design.
Den sista skulle kunna bytas ut mot en princip som handlar om användaren, något i stil med: Respekt för användaren – utforma processen/systemet/tjänsten så att användaren har överblick och kan agera med rätt säkerhet.
Det skulle till exempel kunna innebära att standardiserade skyddsnivåer finns inbyggda utifrån den informationsklassning som informationsägaren gjort.
Självklart måste de organisatoriska aspekterna lyftas fram mycket tydligare, till exempel gällande ansvar.
Jag är medveten om att begreppet security by design redan finns och till och med i snabb men är då endast i ett it-perspektiv – inte i ett informationssäkerhetsperspektiv.
Här finns mycket att arbeta vidare med.
Det som slår mig är hur litet uppmärksamhet det proaktiva säkerhetsarbetet får för närvarande.
Istället är det återkommande temat i bland annat dataskyddsförordningen och NIS-direktivet incidentrapportering.
Och självklart är det de inträffade incidenterna som gör sig i media oavsett om det hackerattacker eller större driftstopp.
Kanske kan man också rent teknikhistoriskt se det som en mognadsprocess.
När järnvägen introducerades runt mitten av 1800-talet var insamlandet av incidenterna också ett första steg i ett begynnande säkerhetsarbete.
Att det reaktiva säkerhetsarbetet kommer att dominera synfältet under det närmaste året med alla krav på och den stora tilltron till incidentrapportering är det nog ingen tvekan om, oavsett dess betydelse i förhållande till det proaktiva.
Själv kan jag därför i trygg visshet om att denna aspekt kommer att bli väl omhändertagen fundera vidare på hur information security by design kan användas som ett organisatoriskt koncept.
Regeringen har utlovat en cybersäkerhetsstrategi till i maj. Vad jag kan se har den ännu inte dykt upp men är kanske i antågande.
I väntan på detta passar jag på att skriva ner några förhoppningar på innehållet i strategin.
I det följande kommer jag att utgå från antagandet att strategin inte enbart kommer att handla om cybersäkerhet, detta oklara men uppenbart upphetsande begrepp, utan även om informationssäkerhet.
Frågan är vad statens intresse gällande cyber- och informationssäkerhet egentligen är, det vill säga vad en strategi bör avse att styra.
som rörde sig i samma härad var spretig i detta avseende och känns så här i efterhand som en önskelista från ett antal myndigheter utan en sammanhängande tanke kring samhällets behov.
Därför är en första förhoppning att strategin dels har modet att inte vara alltför influerad av NISU, dels att man istället försöker utgå från konkreta behov på samhällsnivå.
För att uttrycka det något klyschigt; mer ”pull” än ”push”, mer utifrån-och-in än inifrån-och-ut.
För mig har staten ett vitt spektrum av intressen inom informationssäkerhetsområdet från cyberkrigföring till information riktad till enskilda om säkert agerande på nätet.
Förhållningssättet måste av naturliga skäl skilja sig starkt inom spektrets olika delar.
När det gäller försvar och säkerhetsskydd är lagstiftning och repressiva incitament kanske lämpliga styrmedel medan i andra delar är kunskapsstyrning både det rimliga och det effektiva sättet att förbättra säkerheten.
Ett alternativ är att strategin endast omfattar de delar som rör rikets säkerhet och samhällsviktig verksamhet och skippar den informationssäkerhet som gör att samhället fungerar i normalläget.
En farhåga är dock att strategin endast kommer att beröra vissa typer av informationssäkerhetskrav och utesluta andra som till exempel de krav som emanerar ur dataskyddsförordningen.
Det vore olyckligt eftersom jag tror det främsta behovet just nu är att sammanfoga en helhet av styrning där staten tar ansvar för att beskriva hur de enskilda organisationerna ska förhålla sig till bland annat civil beredskap, totalförsvar, samhällsviktig verksamhet och infrastruktur samt dataskydd.
Till detta kommer visioner om digitalisering och öppenhet.
Staten har en viktig uppgift i att förklara hur helheten ska se ut, något som såvitt jag vet ännu inte är gjort.
Istället skjuts frågeställningen ner till den enskilda kommunen, myndigheten, landstinget eller företaget att lösa.
Förbryllande signaler kommer i de många utredningarna som var och en tycks undersöka sitt eget slutna rum.
Själv har jag ägnat omotiverat stort intresse för bilden i säkerhetsskyddsutredningen där säkerhetsskyddet tycks gälla för en fjärdedel (ja, jag har beräknat det) av all samhällets regleringar, av samhället eller av myndigheternas informationshantering eller av något annat odefinierat.
Egentligen säger väl bilden bara att säkerhetsskyddslagen är en särskild lag och att det finns andra lagar och regler.
Att det skulle vara en principskiss är kanske att dra det litet väl långt.
Självklart bör man inte tolka illustrationer på detta autistiska sätt men jag kan bara försvara mig med att det är den generella oklarheten som gör att jag tar varje halmstrå för att försöka förstå tanken hos utredarna.
För mig själv har jag försökt rita upp sambandet mellan de olika styrsystemen som jag tror kanske kan se ut så här: Till detta kommer och hur det ska införas i Sverige .
Jag utgår från att direktivet främst ska tillämpas på den samhällsviktiga verksamheten eftersom det är vad som står i direktivet även om det även gäller bland annat vissa molntjänstleverantörer utan att dessa behöver vara samhällsviktiga: De leverantörer av digitala tjänster som omfattas av direktivet är sådana som tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster.
Dessa leverantörer ska inte identifieras på det sätt som gäller för leverantörer av samhällsviktiga tjänster och omfattas av direktivet utan att någon bedömning ska göras av om de är samhällsviktiga eller inte.
Min bild, som jag inte skulle vilja slå vad om mer än chokladkaka om att den stämmer, bygger på förutsättningen att en verksamhet och/eller en informationshantering inte kan vara betydelsefull för rikets (Sveriges) säkerhet om den inte också är samhällsviktig men det kan den kanske?
Och hur ser relationen mellan beredskap och säkerhetsskydd ut?
Efter att ha närläst förslaget till ny säkerhetsskyddslag samt andra utredningar ser jag det som synnerligen angeläget att definiera vad som är av betydelse för rikets säkerhet respektive är samhällsviktigt.
Glider dessa begrepp ihop påverkar det både demokratiaspekter och effektiviteten i samhället.
Jag när en stark förhoppning om att strategin reder ut hur dessa olika säkerhetsområden förhåller sig till varandra eftersom det också verkar vara finnas ett internt behov inom regeringskansliet att göra det.
Ett exempel på detta är den nya digitaliseringsstrategin som nämner ”samhällsviktig” endast en gång i förbifarten men däremot hänvisar till säkerhetsskyddslagen (!)
och NIS-direktivet: Ett löpande och systematiskt säkerhetsarbete ska göras för att identifiera och förebygga säkerhetsbrister samt hantera incidenter.
Privata och offentliga verksamheter behöver utveckla medvetenheten om informations- och cybersäkerhet, t.ex.
hur de kan skydda sina nätverk och informationssystem.
Genomförandet av EU:s direktiv om åtgärder för en hög gemensam nivå på säkerhet i nätverk och informationssystem i hela unionen ([EU] 2016/1148) och arbetet med en ny säkerhetsskyddslag kommer att spela stor Intrycket är att det är säkerhetsskyddslagen som ska utgöra den främsta styrfunktionen för informationssäkerheten i digitaliseringen vilket för mig ter sig som en föreställning med många negativa konsekvenser både för demokrati och effektivitet.
Strategin har en viktig uppgift i att peka på hur informationssäkerheten i digitaliseringen främst måste styras via det systematiska och verksamhetsinriktade arbetet.
Att både tjänster och kommunikationslösningar är samhällsviktiga är en helt annan sak än att säkerhetsskyddslagen ska tillämpas.
En grundprincip för allt säkerhetsarbete bör vara att det inte bara gäller att införa så mycket säkerhet som möjligt – lika viktigt är att undvika att införa omotiverade säkerhetsåtgärder.
Kanske är digitaliseringsstrategins (i mitt tycke) missvisande inriktning ett resultat av att det är tämligen oklart hur den samhällsviktiga verksamhetens informationssystem ska skyddas.
Visserligen finns krav på risk- och sårbarhetsanalyser och snart genom NIS-direktivet även på incidentrapportering men vilka metoder, tekniska lösningar m.m.
som ska användas är ännu valfritt.
vad som ska utgöra samhällsviktig verksamhet måste varje aktör själv bestämma i det system för krisberedskap som byggts upp i Sverige som bottom-up snarare än top- down.
Söpple kommun måste själv avgöra vilken verksamhet som är samhällsviktig respektive av betydelse för rikets säkerhet samt, kvinnogissar jag, av betydelse för den civila beredskapen.
En cyber- och informationssäkerhetsstrategi skulle kunna peka på att det vore ganska bra att ta ett något starkare top-down-grepp.
I den allt mer komplexa informationsinfrastrukturen finns det all anledning för staten att med hela handen peka ut vilka tjänster och infrastrukturkomponenter som är samhällsviktiga.
Ingen enskild aktör är sig själv nog och ingen enskild aktör kan längre se hur beroendekartan ser ut, särskilt inte som den vägledning som finns för detta skrevs för ett decennium .
Ett konkret förslag är att den gamla ÖCB-rollen som MSB alltmer axlar också leder till att man agerar som ÖCB gjorde; talar om exakt vad som ska ses samhällsviktigt alternativt ingående i den civila beredskapen alternativt totalförsvaret och vad det föranleder för åtgärder.
En strategi ska ju peka ut vägen framåt.
Jag tänker mig att den nationella cyber- och informationssäkerhetsstrategin ska spela litet av samma roll som en policy i en organisations ledningssystem.
Det vill säga uttala en viljeinriktning samt beskriva ansvar och resurser för att förverkliga inriktningen.
En modell för den centrala styrningen vore att SÄPO/Försvarsmakten har precis som idag har ansvar säkerhetsskydd medan MSB:s ansvar däremot avgränsas till kravställning utifrån civil beredskap och samhällsviktig verksamhet.
ESV alternativt en ny digitaliseringsmyndighet skulle kunna överta uppdraget att stödja informationssäkerheten i normalläget samt för att kanalisera kraven från MSB, Dataskyddsmyndigheten (formerly known as Datainspektionen).
Slutligen är ett alternativ att Konsumentverket tar en större roll i att stödja privatpersoner i en säkrare it-användning.
Jag hör redan invändningarna: så många aktörer, det blir rörigt, hur ska de samordna sig?
Men detta är ju redan verkligheten.
Det jag föreslår är att strategin ska skapa en tydligare nationell spelplan istället för att de många, i vissa fall disparata, kraven lämnas osorterat till de enskilda aktörerna, som till exempel Söpple kommun, att försöka reda ut.
Förhoppningsvis skulle en organisatorisk form skapas för att avväga olika krav och intressen på ett enhetligt sätt istället för att 290 trötta kommunledningar var och en försöker gissa sig fram till vad som behöver göras (liksom dito myndighets-, regions-, landstings och företagsledningar).
Vissa grundaktiviteter som incidenthantering måste stödja olika behov och rapporteringsvägar för att ta ytterligare ett bevis på den nationella samordningens nödvändighet.
Den naturliga konflikten mellan säkerhet å ena sidan och verksamhetsnytta å den andra skulle också kunna hanteras på ett öppet sätt.
Jag ska inte tänja mer på tålamodet hos den eventuella läsare som hängt med ända hit genom att fortsätta räkna upp allt som pekar mot behovet av starkare samordning utan nöjer mig med en antydan om att jag har många exempel kvar i rockärmen.
Slutligen borde en strategi också gå in på hur kostnaderna för en bättre cyber- och informationssäkerhet ska fördelas.
Detta är viktigt inte minst eftersom det finns ett stort antal privata aktörer som är delaktiga som utförare av för samhället viktig verksamhet.
Den sangviniska hållning utredningen avseende ny säkerhetsskyddslag intar gällande kostnader i konsekvensbeskrivning är knappast hållbar: Sammanfattningsvis har vi kommit fram till att våra förslag inte bör innebära annat än marginellt ökade kostnader vare sig för det allmänna eller för enskilda jämfört med nuvarande lagstiftning.
I ärlighetens namn tror jag att alla insatta vet att säkerhet kostar och ibland kostar rejält.
Att för ett enskilt företag genomföra alla de potentiella åtgärder som ligger i förslaget till säkerhetsskyddslag har en prislapp och det hade varit hedervärt om utredaren tagit sitt ansvar och utrett det närmare.
Det känns aningen mästrande när statliga utredare skriver: Av kommersiella skäl finns det där starka incitament till en god informationssäkerhet.
Vår bedömning är att det finns en stor vilja att i sådan verksamhet följa internationella standarder som t.ex.
Detta sammantaget innebär att den förändring som vi föreslår träffar verksamheter där dessa tillkommande krav på informationssäkerheten redan bör vara omhändertagna.
Vad man bygger denna bedömning på är oklart.
Tillkommer gör kostnader för civil beredskap, samhällsviktig verksamhet, NIS och dataskyddsförordning.
Sammantaget uppfattar jag detta som icke oväsentliga kostnader för den enskilda aktören.
Visserligen kan man hävda att dålig säkerhet kostar minst lika mycket men genom att det är till stor del obligatoriska säkerhetsåtgärder som tillkommer kan inte längre Söpple kommun gambla och ta risken.
Finansieringen bör därför vara något av ett huvudnummer i en strategi.
Detta är skrivet under påverkan av en finsk förkylning vilket kanske gör att min vision om strategin blir litet väl hallucinatorisk.
Men låt oss ändå hoppas att vår väntan belönas med något mer konkretion och problemlösning än de senaste utredningarna på området levererat.
Oavsett vilken roll jag haft inom informationssäkerhetsområdet, informationssäkerhetschef, konsult eller byråkrat på nationell nivå, har ett behov varit lika uppenbart: behovet av ökad samordning och styrning.
Slutsatsen att det inte är möjligt för en enskild organisation att utveckla ett helt eget koncept för informationssäkerhet behöver knappast motiveras, särskilt när utvecklingen gått mot allt mer gränslösa integrationer av informationshanteringen.
En självklar grundsten för många av oss som arbetat länge med informationssäkerhet har varit ISO 27000 och dess föregångare och det har därför varit naturligt att peka på den som en naturlig utgångspunkt i den nationella styrningen.
Däremot har jag alltid uppfattat det som en mycket stor nackdel att standarden liksom trots att syftet är så stor spridning som möjligt är omgivna av avsevärda ekonomiska hinder.
För en stor statlig myndighet kan några tusenlappar tyckas vara småpengar men för en liten kommun eller mindre företag är det summor som inte är lika enkla att motivera.
Att rekommendera organisationer att införa ledningssystem för informationssäkerhet enligt standarden har därför innehållit en inneboende svårighet som kanske ändå går att överse med.
Jag har däremot varit betydligt mer tveksam till den direkta hänvisning som funnits till standarden i MSB:s föreskrift sedan .
Här sägs att myndigheter ska följa en föreskrift som inte är fritt tillgänglig vare sig för myndigheten eller för exempelvis medborgare som vill kunna ha insyn i myndighetens arbete.
Att inte kunna sprida innehållet i en av grundförutsättningarna för myndighetens arbete försvårar naturligtvis kommunikationen.
Ytterligare ett problem är att en myndighet med föreskriftsrätt föreskriver andra myndigheter att följa regler som man själv inte har kontroll över och dessutom snabbt kan göra föreskriften obsolet när de ändras.
Tyvärr följde detta krav med när föreskriften uppdaterades i form av krav på ISO/IEC 27001:2014 och ISO/IEC 27002:2014 ska ”beaktas”.
I dagarna har jag fått tips om ett beslut i Högsta domstolen (tack Carl-Arne!)
som ger mig stöd i min .
Här skrivs explicit: En grundläggande del av legalitetsprincipen får därför anses vara att författningar ska finnas tillgängliga för var och en i läsbar form utan något krav på betalning, och att detta gäller också för en standard som det hänvisas till i en författning.
Att myndigheten kostnadsfritt kan informera om vad som står i standarden anses inte upphäva denna bedömning.
Med Högsta domstolens beslut, om det befinns tillämpligt även i detta sammanhang, finns nu en möjlighet att utveckla den nationella styrningen så att den blir mer transparent och tillgänglig för alla.
Förslaget till ny ger ett intryck av att inte vara fullt genomarbetat i de mer generella avsnitten.
I avsnitten om informationssäkerhet förstärks detta intryck.
När jag läser om informationssäkerhet känns det redan från början som om jag fått på mig ett par helt annorlunda glasögon som får min vanliga informationssäkerhetsverklighet i ett helt nytt perspektiv.
Nya perspektiv brukar vara uppfriskande och klarläggande.
Tyvärr kan jag inte säga att det är min upplevelse av utredningens verklighetsbeskrivning.
Istället känns det litet som när medeltida munkar beskrev djur de aldrig sett men hört talas om, en vag likhet men ganska långt från förlagan.
Man ser liksom att det är en elefant men det liknar inte de elefanter man känner till.
”Informationssäkerhet” är beskrivet från en annan kontinent än min, gissningsvis är den kontinenten Försvarsmakten .
Informationssäkerhet pekas liksom i den gällande säkerhetsskyddslagen ut som en av tre säkerhetsskyddsåtgärder tillsammans med fysisk säkerhet och personalsäkerhet.
Utredningen vill samtidigt utvidga säkerhetsskyddets tillämpning till helt nya verksamheter där det redan finns ett pågåendesom fyller en mycket viktig funktion bland annat för samhällets robusthet.
Dessa två faktorer borde sammantaget lett till att utredningen förhållit sig till den redan existerande verkligheten, försökt ta vara på det redan inarbetade och tillfört endast det som är nödvändigt ur säkerhetssynpunkt.
Utredningen väljer istället en radikalt annorlunda väg och skapar sin egen kontinent utan mer än en tunn landbrygga till det etablerade säkerhetsarbetet, uppfinner sina egna begrepp och metoder.
På denna kontinent betyder ”den vedertagna definitionen av informationssäkerhet” den, sett ur det civila perspektivet, stympade definition som används inom Försvarsmakten och säkerhetsskyddsområdet och som fokuserar på sekretess.
Jag skriver avsiktligt sekretess och inte konfidentialitet eftersom den utgår från vad som är sekretessbelagt enligt OSL.
Den aktivitet som motsvarar informationsklassning är också helt inriktad på sekretessaspekten (mer om detta nedan).
Samtidigt skriver utredningen att man vill utvidga säkerhetsskyddslagens informationssäkerhet till att även omfatta riktighet och spårbarhet, i alla fall i någon mening.
Samma ambivalens till lagens tillämpningsområde finns när det gäller hotbilden.
Medan man, liksom i gällande lag, avgränsar hoten till att främst gälla antagonistiska hot ska nu informationssäkerheten skydda mot hela hotspektrat s 329: Här är visserligen definitionen av informationssäkerhet den samma som för det som beskrivs i en civil verksamhet men då uppstår å andra sidan problemet att sett i den här kontexten skulle det innebära att allt normalt förebyggandekan/ska ses som något som bör styras ur ett säkerhetsskyddsperspektiv.
Över huvud taget är relationen mellan den ordinarie informationssäkerheten och de åtgärder som ska påföras en verksamhet utifrån krav på säkerhetsskydd svårförståelig i utredningens resonemang.
Som på sidan 347 t.ex.
: Detta är ett motsägelsefullt påstående eftersom man i det följande gång på gång visar att den informationssäkerhet som utredningen avser väsentligen skiljer sig från den som tillämpas av t.ex.
de organisationer som följer ISO-standarden eller andra etablerade metoder.
Betyder det att SÄPO:s alternativt Försvarsmaktens föreskrifter om säkerhetsskydd hegemoniskt ska breda ut sig och tillämpas även i informationshantering som inte faller under lagstiftningen?
Med tanke på att en av utredningens huvudnummer är ett tyngre verksamhetsansvar, det vill säga att offentliga och privata verksamheter ska utföra ganska avancerade manövrar inom säkerhetsskyddsområdet på egen hand, är tydlighet a och o. Myndigheter, kommuner, landsting och privata företag har också ett alltmer krävande verksamhetsstyrtsom för den absoluta merparten organisationer är helt dominerande jämfört med säkerhetsskyddet.
Dessa två delar måste därför gå att integreras på ett smidigt sätt.
Det kräver både tydliga avgränsningar av vad som är vad samordning av begrepp och metoder där så är möjligt.
Som jag tidigare skrivit måste premissen av flera skäl också vara att säkerhetsskyddet ska tillämpas endast där så är nödvändigt och berättigat.
Jag ska därför att i det följande se närmare på den centrala aktiviteten klassning och analysera de praktiska konsekvenserna av utredningens förslag.
Tillämpningsområdet av säkerhetsskyddslagen har alltså enligt min mening glidit iväg och blivit otydligt.
Ur informationssäkerhetssynpunkt är det intressant att begrunda utredningens förslag på en tudelad uppdelning hur behovet av skydd ska bestämmas (s 22): Man överger alltså begreppet ”hemlig” och övergår till den övergripande beteckningen ”säkerhetsskyddsklassificerade uppgifter”.
Bakgrunden är att släppa kopplingen till offentlighets- och sekretesslagen (OSL) som ju endast är tillämplig på offentliga organisationer.
Att kunna identifiera och klassa information är alltså avgörande för att kunna bedöma vad som ska falla under säkerhetsskyddslagen.
Förutom att ringa in vilka uppgifter som är av betydelse för Sveriges säkerhet m.m.också för att definiera ”i övrigt säkerhetskänslig verksamhet” vilket är en utvidgad ersättning för det som skulle skyddas mot terrorism.
Som exempel nämns alltså ” Utredningen utlovar en beskrivning av hur säkerhetsskyddet ska utvecklas för de två verksamhetstyperna ( verksamheter som innebär hantering av och verksamheter som av annan anledning är säkerhetskänslig ).).
Redan här börjar ett metodologiskt problem.
Eftersom begreppet ”verksamhet” aldrig diskuteras så det är svårt att avgöra om en verksamhet avser en organisation, en del av en organisation, en process eller en aktivitet.
Jag satsar på att det är en del av en organisation men inte en specificerad funktion utan något mer flytande.
I sina beskrivningar hur det konkreta säkerhetsskyddsarbetet ska utföras beskrivs visserligen en elefant kallad informationssäkerhet som vagt liknar de elefanter som jag känner till spretar rejält i resonemangen.
Jag skulle inte åta mig att ställa upp en logisk sanningstabell över utredningens utsagor.
En central poäng för utredningen är att säkerhetsskyddet som traditionellt varit inriktat på att skydda konfidentialitet nu ska vidgas till att även motverka brister i tillgänglighet och riktighet.
Detta sägs samtidigt som man vill göra en internationell anpassning och ha fyra ”informationssäkerhetsklasser”.
Vad man säger är alltså att man ska anpassa sig internationellt men samtidigt inte, att man ska ta med skydd för information även i förhållande till riktighet och tillgänglighet men samtidigt inte ta med de aspekterna i informationsklassningen.
Även begreppen är motstridiga: man säger att informationen ska ”informationsklassificeras” trots att det enda som avses är en bedömning av behovet av konfidentialitet.
Dessutom är de uppgifter som genomgått informationsklassificeringen inte som man skulle kunna tro utan .
Detta betyder att de ska hanteras i någon av de fyra som utgör säkerhetsskyddet… För att gå vidare med klassificeringen så vill alltså utredningen att det ska införas Jag vill resa en stark invändning mot begreppet informationssäkerhetsklasser eftersom det inte är informationssäkerhet som klassificeras utan endast skydd mot obehörig åtkomst.
Informationssäkerhet har, som utredningen i ett senare avsnitt framhåller, en etablerad definition där även aspekterna riktighet, tillgänglighet och allt oftare även spårbarhet ingår.
Det är direkt vilseledande att använda ”informationssäkerhet” när man endast avser en delmängd.
Jag kan faktiskt inte förstå varför man med berått mod vill skapa en källa till ständiga missförstånd och därmed väsentligen försvåra säkerhetsarbetet i de verksamheter där det ska bedrivas.
Oansvarigt skulle jag vilja säga och en arrogans mot alla de som i sin dagliga gärning har att reda ut begreppen i sina respektive organisationer för att få litet praktisk verkstad.
Överhuvudtaget är synen på informationssäkerhet och klassning märklig och, jag ber om ursäkt, litet slapp.
På sidan 346 slås aspekterna riktighet och tillgänglighet ihop som om de vore jämförbara entiteter trots att alla som arbetat med informationssäkerhet vet att det här högst olika åtgärder som är nödvändiga för de två aspekterna.
Man hävdar också: .
Med tanke på att SLA för tillgänglighet är de mest etablerade nivåkraven är första meningen svår att tolka.
Att tillgänglighetskraven också styr en verksamhets prioriteringar vid en kris borde göra det än mer angeläget att ha en nivåindelning.
För mig med ett osunt intresse för klassning och skyddsnivåer är andra meningen minst lika obegriplig – att kraven är varierande mellan verksamheter borde göra standardisering nödvändig.
Enligt förslaget ser den praktiska hanteringen ut så här (s 344): åtgärderna ska förebygga att uppgifterna röjs, ändras, görs otillgängliga eller förstörs.
I Bortsett från skönhetsfläckar som benämningen av ISO-standarden (”ledning av informationssäkerhet”) är det andra momenten en egendomlig övning.
Det handlar om någon slags friåkning och vars konsekvens är lika oklar som grunden för bedömningen.
Där värderingen av negativa konsekvenser ur konfidentalitetssynpunkt ska ske i fyra nivåer saknas här helt nivåer, vad som ska bedömas är enbart ”betydelse”.
Hur riktighet och tillgänglighet ska hanteras beskrivs ingenstans mer än i en indirekt hänvisning till säkerhetsskyddsanalysen samt här (s. 287): Detta är så konstigt att jag inte riktigt vet hur jag ska reagera, särskilt som just denna utvidgning lyfts fram som en av de centrala förändringarna jämfört med gällande lag.
Frågor som vad detta innebär i praktiken hopar sig.
Hur ska man avgöra vilken information det gäller och i förlängningen vilken utrustning, kommunikationer m.m.
som ska användas?
Vilka typer av åtgärder ska vidtas?
Kommer staten att kräva att särskilda rutiner, viss utrustning och särskilda tjänster ska användas på samma sätt som när det gäller den säkerhetsklassificerade informationen?
Kommer staten att ta på sig att utveckla eller certifiera utrustning?
En vital fråga är också om information som bedöms som väsentlig av säkerhetsskyddskäl men enbart sett till krav på tillgänglighet och/eller riktighet (vet inte vad denna typ av information och andra informationstillgångar ska kallas för de är väl inte säkerhetsskyddsklassificerade?)
också ska påtvingas säkerhetsskyddsåtgärder som gäller sekretessaspekten.
Dessa frågors svar kommer att ha stor påverkan på både offentliga och enskilda organisationer.
Att då inte ägna energi åt att verkligen utreda vad förändringen består i och hur den ska tillämpas är ganska avgörande för hur utredningens kvalitet bör betygsättas.
När man kommer in på välkänd terräng (klassning ur sekretessynpunkt) är man desto mer mångordig.
Här vill man främst med hänvisning till Försvarsmaktens förhållanden samt internationell anpassning införa 4 nivåer.
Nackdelen är att man hela tiden utgår från att resten av världen fungerar som Försvarsmakten där hantering av säkerhetsskydd kan räknas som en kärnverksamhet.
Exempelvis ids man inte ens ta upp frågan om hur verksamheter ska förhålla sig till först de fyra nivåer för informationsklassning som MSB rekommenderar och sedan ytterligare fyra konfidentialitet.
Ska information bedömas på en totalt åttagradig skala eller hur tänker man?

Tror att ramavtalen tagit hand om säkerhetsfrågorna Tycker sig sakna kompetens och metoder att ställa rätt krav Utgår från att leverantörerna med automatik levererar tjänsterna med rätt säkerhet (de har ju säkert fått alla krav redan från andra kunder…).
Innehåller informationen personuppgifter?
Om ja, är dessa uppgifter att betrakta som känsliga personuppgifter?
Kan lösningen komma att hantera information som påverkar rikets säkerhet?
Verksamheten som behöver it-stödet It-chef Informationssäkerhetsansvarig Inköpare/upphandlare Det var känt att det fanns information som föll under säkerhetsskyddslagen i de system som skulle outsourcas Ledningen och styrelsen var medvetna om detta Ett aktivt beslut fattades att trots kännedom om detta fullfölja outsourcingen öka tydligheten i myndighetsstyrningen och lyfta betydelsen av ett tillfredsställandeinternt på myndigheterna samverkan mellan myndigheter med särskilda uppgifter på informations- och cybersäkerhetsområdet stärks NIS-direktivet genomförs effektivt och att det etableras en adekvat styrning och tillsyn av säkerheten i nätverk och informationssystem i samhällsviktig verksamhet för vissa aktörer inom de utpekade sektorerna företag och myndigheter som äger eller arbetar med samhällsviktig verksamhet där industriella informations- och styrsystem ingår får stöd i sitt arbete med att stärka informationssäkerheten, berörda myndigheter utvecklar arbetet med att genomföra och stödja kartläggningar och utredningar om sårbarheter och lämpliga säkerhetsåtgärder i samhället förmågan att hantera allvarliga it-incidenter upprätthålls genom en samordnad övningsverksamhet.
Förebygga incidenter – inte enbart agera i efterhand.
Utgångsläget att personuppgifterna är skyddade.
Inga extra åtgärder nödvändiga för användaren – alla standardinställningar skyddar integriteten.
ekniker för att skydda personuppgifter ska vara integrerade i systemet redan från början – inte läggas till i efterhand. . Skydd av personuppgifter inte en negativ aspekt för utvecklaren, inte förlust av funktionalitet – integritetsskydd kan skapa en win-win situation.
Skydd inbäddat i systemet innan personuppgifterna samlas och sedan i hela livscykeln.
Användaren ska ha överblick och kunna kontrollera att hens personuppgifter behandlas på det sätt hen samtyckt till.
Individens intresse i centrum vid hantering av personuppgifter.

all och och all lagring ska största en en samma hur Proactive not Reactive; Preventative not Remedial.
och men

Meny Inläggsnavigering

Säkerhetsskydd och informationssäkerhet Statliga molntjänster Det var ju inte särskilt konstruktivt

MENU MENU Postat av Postad i , , , Postat av Postad i , , , , Postat av Postad i , , , , Postat av Postad i , , , , Postat av Postad i , , , , Postat av Postad i , , , Postat av Postad i Postat av Postad i , , , Postat av Postad i , , , Tagged , , , Postat av → Postad i , , , , , ← → Sök efter:

Det finns flera intressekonflikter när det gäller informationssäkerhet.
Så länge ­regeringen är otydlig med vad som ska prioriteras, kan inte myndigheter på egen hand förväntas klara avvägningarna.
Det skriver säkerhetsexperten Fia Ewald cloud first En samlad strategi för samhällets informations- och cybersäkerhet som tjänsterna erbjuder samhällets Säker information Vad ska skyddas?
Öka säkerheten i nätverk, produkter och system Säkerhetsskyddet har också en viktig funktion i att ge ett skydd för säkerhetsskyddsklassificerade uppgifter mot andra risker än sådana som beror på brott.
Exempel på sådana åtgärder är skydd mot avlyssning och åtgärder för att minska utrymmet för misstag, tekniska brister eller annat som kan medföra oavsiktlig skadlig påverkan på informationen.
Åtgärder som är förknippade med informationssäkerheten enligt säkerhetsskyddslagen kan inte särskiljas från informationssäkerhet i en vidare bemärkelse.
Exempel på detta är skydd mot skadlig kod och användarautentisering som är relevanta åtgärder även för it-system som inte är av betydelse för Sveriges säkerhet.
Föreskrifter som meddelas med stöd av lagstiftningen, måste kunna avse informationssäkerheten i stort för de verksamheter som omfattas av säkerhetsskyddslagens krav.
Detsamma gäller för tillsyn.
En helhetssyn krävs inom detta område och såväl föreskrifter som tillsyn måste kunna omfatta samtliga de relevanta åtgärder som syftar till att ge ett skydd för information.
Säkerhetsskyddet ska inriktas mot verksamhet som innebär hantering av säkerhetsskyddsklassificerade uppgifter.
Det ska innefatta skydd av uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt säkerhetsskyddsåtagande och som till sin natur är sådana uppgifter som avses i bestämmelser om sekretess.
Det innebär således en vidare ram än enligt den nuvarande lagen som utgår från begreppet hemliga uppgifter.
Därutöver ska säkerhetsskyddet inriktas mot verksamheter som av annan anledning behöver ett säkerhetsskydd (i övrigt säkerhetskänslig verksamhet).
Det motsvarar delvis vad som i dag skyddas inom ramen för skydd mot terrorism, dvs.
i huvudsak verksamhet vid skyddsobjekt, flygplatser och vissa verksamheter som ska skyddas enligt folkrättsliga åtaganden om luftfartsskydd, hamnskydd och sjöfartsskydd.
Det skyddsvärda området bör inte avgränsas genom regleringen om skyddsobjekt, utan ska utformas så att det även kan innefatta annan säkerhetskänslig verksamhet, t.ex.
hantering av it-system eller sammanställningar av uppgifter som är av central betydelse för ett fungerande samhälle eller verksamhet som behöver skyddas på den grunden att den kan utnyttjas för att skada nationen, t.ex.
vissa verksamheter inom det kärntekniska området.
I dag utgår säkerhetsskyddslagen från att behov av säkerhetsskydd främst handlar om skydd av hemliga uppgifter.
Kopplingen till offentlighets- och sekretesslagen kan ge intryck av att säkerhetsskydd främst är en angelägenhet för myndigheter och andra offentliga organ för vilka den lagen är tillämplig.
Därutöver handlar det om ett säkerhetsskydd med inriktning att skydda mot terrorism för flygplatser och byggnader, anläggningar m.m.
som enligt skyddslagen är skyddsobjekt.
Sådana avgränsningar är i dag för snäva och medför eller riskerar att medföra att t.ex.
verksamheter som är av betydelse för att upprätthålla grundläggande samhällsfunktioner faller utanför tillämpningsområdet.
Ett första steg är en ändrad systematik som bl.a.
tydligare innefattar sådan säkerhetskänslig verksamhet som bedrivs hos enskilda.
hantering av it-system eller sammanställningar av uppgifter som är av central betydelse för ett fungerande samhälle”.
säkerhetsskyddsklassificerade uppgifter (i övrigt säkerhetskänslig verksamhet informationsklassificerade säkerhetsskyddsklassificerade informationssäkerhetsklasser fyra informationssäkerhetsklasser av internationell modell.
Riktighets- och tillgänglighetskrav är svårare att indela i nivåer än när det gäller konfidentialitetskrav.
Detta på grund av att kraven kan vara mycket varierande i olika verksamheter och system och svårare att uttrycka i generella termer Vi föreslår därför att säkerhetsskyddsåtgärden informationssäkerhet delas upp i två delmoment.
Det första tar sikte på skyddet av säkerhetsskyddsklassificerade uppgifter från det perspektivet att informationssäkerhetssammanhang brukar man tala om skydd för konfidentialitet, riktighet och tillgänglighet.
I denna del är det konfidentialitetsperspektivet som är det framträdande.
I det andra momentet anges att åtgärderna ska förebygga skadlig påverkan på informationstillgångar som annars är av betydelse för säkerhetskänslig verksamhet.
I detta fall är det därför enbart riktighets- och tillgänglighetshänsyn som gör sig gällande.
Med informationstillgångar avses information och informationssystem i vid bemärkelse, dvs.
uppgifter, handlingar och tekniska system som används för att i olika avseenden elektroniskt kommunicera och i övrigt behandla uppgifter.
Observera att begreppet har en delvis annan och mer långtgående betydelse i den internationella standarden för ledning av informationssäkerhet (LIS) där även människor ingår i begreppet.
Överlag ger säkerhetsskyddslagstiftningen i dag intryck av att den del av säkerhetsskyddet som inte handlar om hemliga uppgifter närmast ses som ett kompletterande skydd.
En sådan ordning bör inte behållas.
Som framgår av våra förslag i avsnitt 16.1, 17.1 och 18.1 föreslås syftet med de olika åtgärdsområdena (informationssäkerhet, fysisk säkerhet och personalsäkerhet) beskrivas med utgångspunkt från såväl de skyddsbehov som finns när en verksamhet hanterar säkerhetsskyddsklassificerade uppgifter som de skyddsbehov som finns i verksamheter som av annan anledning är säkerhetskänsliga.
Några skillnader i fråga om åtgärder och förfarandet för de två inriktningarna anser vi inte vara motiverade.

Jag lyssnar på det senaste avsnittet av den underbara podden som handlar om atomskräcken.
Programledaren Kalle Lind och historikern Marie Cronqvist pratar om stämningen under kalla kriget och särskilt om skräcken för atomkriget som föranledde omfattande mer eller mindre välbetänkta åtgärder.
Det är svårt att undvika att göra jämförelser med nutiden där atomkriget blivit cyberkrig med samma ryssar med tillägget av terrorister.
Förmedlade hot och ständiga konfliktbudskap ger en förkrigsatmosfär vilken i sin tur ger grogrund till fake news och låga krav på sanningshalt inte bara hos ryssarna.
Som Aiskylos skrev för sisådär 2500 år sedan; krigets första offer är sanningen.
Det är helt enkelt inte särskilt lätt i en sådan samhällsstämning försöka inta en rationell hållning till hotbilder och rimliga säkerhetsåtgärder.
Med detta som bakgrund läser jag utredningen som har ett grått omslag och en titel som är helt befriad från den putslustighet som många andra utredare hängett sig åt: ”En ny säkerhetsskyddslag”.
Förtroendeingivande.
Säkerhetsskydd är ett svårhanterligt område.
Samtidigt som det är något som alla vill ha i någon form finns det mycket starka skäl att det ska ha en så begränsad tillämpning som möjligt.
Säkerhetspolisen (och Försvarsmakten) har mycket stora befogenheter som inskränker medborgarens normala fri- och rättigheter samtidigt som de åtgärder som vidtas ska skydda bland annat dessa rättigheter.
Denna balansgång är alltid svår i en demokrati genom det asymmetriska informationsövertaget där de som representerar SÄPO och Försvarsmakten alltid kan hävda att de känner till hot som de tyvärr inte kan avslöja men som motiverar mer resurser och mer inflytande för säkerhetstjänsten.
Bristen på transparens omöjliggör också för utomstående att bedöma säkerhetsskyddets effektivitet, så även för uppdragsgivaren.
Dialogen mellan myndigheter och uppdragsgivare blir därför annorlunda jämfört med andra myndigheter som nagelfars i fråga om effektivitet i förhållande till behov och de resurser som tillförts.
Dessutom innebär mandatet att SÄPO kan ålägga organisationer att genomföra olika typer av säkerhetsåtgärder (även tekniska lösningar) som inte organisationen själv valt, något som kan ha påverkan på organisationens ekonomiska förhållanden.
Därför måste dessa inskränkningar av rättigheter minimeras och starka motiv till inskränkningarna finnas och att den transparens som saknas i genomförande måste ersättas med så offentliga och tydliga spelregler som möjligt.
Beslutsfattare, medborgare och andra aktörer har rätt att förvänta sig en förutsägbarhet i myndighetsutövningen och att element av godtycklighet är bannlysta.
Förutsägbarhet bör i det här fallet innebära både att det är klart när lagen är tillämplig och vad konsekvenserna blir av att lagen ska tillämpas.
Ytterligare en viktig utgångspunkt är att säkerhetsskydd inte är det enda sättet att skydda för samhället viktiga resurser och att hänsyn måste tas till att myndigheter och andra organisationer bedriver ett aktivt säkerhetsarbete som utgår från andra regelverk.
För att säkerhetsskydd ska bli aktuellt räcker det inte med att en verksamhet är viktig eller känslig, brister i skyddet måste leda till risker för rikets säkerhet samt de övriga skyddsvärden som finns definierade.
Detta är min utgångspunkt i läsningen av förslaget där jag först kommer att titta på några principiella frågor och i ett senare inlägg mer specifikt på de delar som gäller informationssäkerhet.
För utredningen står det klart att det behövs ett utvidgat säkerhetsskydd, något som framför allt uttrycks som negation.
Utrednings ledmotiv är ”för snävt” som beskrivningen av dagens säkerhetsskydd, jag räknar till drygt 30 tillfällen där ”snävt” används i olika sammansättningar – oftast med ”allt för”.
Säkert är det få som inte delar utredningens uppfattning att tiderna förändras och hoten ser annorlunda ut, däremot behöver inte per definition en förändring innebära utvidgning.
Den utvidgning som utredningen föreslår är att: Förändringen är inte bara i omfattning utan ligger även djupare, i själva definitionen av vad som ska skyddas.
I den nuvarande lagstiftningen används begreppet rikets säkerhet som det som är styrande för vad lagen avser att skydda.
Begreppet har traditionellt innehållit tre dimensioner: verksamhet, skyddsaspekt och typ av hot.
Verksamhet har framför allt avsett den centrala statsmakten och militära förhållanden.
Skyddsaspekten har varit konfidentialitet; obehörig åtkomst av information.
Hot har varit relaterat till brott; på senare tid antagonism och terrorism.
Med dessa ganska distinkta avgränsningar har det varit möjligt att identifiera vilken verksamhet och vilken information som omfattats av lagstiftningen liksom att vidta åtgärder för att förhindra obehörig åtkomst.
I förslaget till ny säkerhetsskyddslag förskjuts samtliga dessa parametrar.
När det gäller verksamhet skriver utredningen: I dag utgår säkerhetsskyddslagen från att behov av säkerhetsskydd främst handlar om skydd av hemliga uppgifter.
Kopplingen till offentlighets- och sekretesslagen kan ge intryck av att säkerhetsskydd främst är en angelägenhet för myndigheter och andra offentliga organ för vilka den lagen är tillämplig.
Därutöver handlar det om ett säkerhetsskydd med inriktning att skydda mot terrorism för flygplatser och byggnader, anläggningar m.m.
som enligt skyddslagen är skyddsobjekt.
Sådana avgränsningar är i dag för snäva och medför eller riskerar att medföra att t.ex.
verksamheter som är av betydelse för att upprätthålla grundläggande samhällsfunktioner faller utanför tillämpningsområdet.
Ett första steg är en ändrad systematik som bl.a.
tydligare innefattar sådan säkerhetskänslig verksamhet som bedrivs hos enskilda.
Vi föreslår att beskrivningen av säkerhetsskyddet ska utgå från två huvudsakliga inriktningar.
Säkerhetsskyddet ska inriktas mot verksamhet som innebär hantering av säkerhetsskyddsklassificerade uppgifter.
Det ska innefatta skydd av uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt säkerhetsskyddsåtagande och som till sin natur är sådana uppgifter som avses i bestämmelser om sekretess.
Det innebär således en vidare ram än enligt den nuvarande lagen som utgår från begreppet hemliga uppgifter.
Därutöver ska säkerhetsskyddet inriktas mot verksamheter som av annan anledning behöver ett säkerhetsskydd (i övrigt säkerhetskänslig verksamhet).
Det motsvarar delvis vad som i dag skyddas inom ramen för skydd mot terrorism, dvs.
i huvudsak verksamhet vid skyddsobjekt, flygplatser och vissa verksamheter som ska skyddas enligt folkrättsliga åtaganden om luftfartsskydd, hamnskydd och sjöfartsskydd.
Det skyddsvärda området bör inte avgränsas genom regleringen om skyddsobjekt, utan ska utformas så att det även kan innefatta annan säkerhetskänslig verksamhet, t.ex.
hantering av it-system eller sammanställningar av uppgifter som är av central betydelse för ett fungerande samhälle eller verksamhet som behöver skyddas på den grunden att den kan utnyttjas för att skada nationen, t.ex.
vissa verksamheter inom det kärntekniska området.
Att säkerhetskänslig verksamhet idag också kan vara privat är inte mycket att orda om.
Däremot öppnar den sista meningen upp för en definition som liknar begreppet ”samhällsviktig verksamhet” som är: En verksamhet som uppfyller minst ett av följande villkor: Med samhällsviktig verksamhet menas de verksamheter, anläggningar, noder, infrastrukturer och tjänster som upprätthåller den funktion som de ingår i och är verksamhet som är av avgörande betydelse för upprätthållandet av viktiga samhällsfunktioner.
Samhällsviktig verksamhet kan vara av nationell, regional eller lokal betydelse.
Vad som är samhällsviktigt kan variera beroende på vilka situationer vi ställs inför och i takt med att samhället utvecklas.
Var gränsen går mellan ”säkerhetskänslig” å ena sidan och ”samhällsviktig” å andra sidan framstår i alla fall inte för mig som uppenbart.
I kapitel 13.1 presenteras ett försök att utreda inom vilka samhällssektorer finns särskilda skyddsvärda funktioner (som då ska omfattas av säkerhetsskyddslagen).
Inte heller efter att ha studerat det blir skiljelinjen distinkt även om man här försöker ringa in mer exakt vad det är som avses.
Ett rättesnöre skulle kunna ha varit att säkerhetskänslig verksamhet måste vara av nationell betydelse men inte heller detta håller när man på sidan 245 skriver: Det bör därför krävas ett kvalificerat skyddsbehov utifrån för samhället fundamentalt viktiga funktioner för att åtgärder enligt säkerhetsskyddslagstiftningen ska vara motiverade.
Dessa funktioner kan, trots kravet på nationell betydelse, finnas i en regional eller till och med i en lokal kontext.
Situationen förbättras inte heller av att utredningen föreslår på oklara grunder att begreppet ”rikets säkerhet” ska bytas ut mot ”Sveriges säkerhet”.
Orsaken att frångå det inarbetade begreppet till ett med mer territoriell konnotation sägs någonstans vara en vilja att vidga begreppets tillämpning samtidigt som det i den egentliga förklaringen skrivs: Benämningen rikets säkerhet ska ersättas med Sveriges säkerhet vilket endast är en språklig ändring.
Att det kan råda osäkerhet kring den nya lagens tillämpningsområde är olyckligt.
En risk är att en allt för vid tillämpning leder till att medborgares grundlagsfästa rättigheter inskränks (information görs otillgänglig, övervakning sker, personkontroller införs, ekonomiska förhållanden påverkas, arbetsmöjligheter försvåras) i ett alltför stort antal verksamheter som efter beslut av SÄPO börjar hanteras i extraordinära former.
Denna risk förstärks av oklarheten i vem som ska avgöra om en verksamhet är säkerhetskänslig eller inte.
En intressant fråga är vad som händer om en organisation själv genom en säkerhetsskyddsanalys kommer fram till att det saknas säkerhetskänslig verksamhet medan SÄPO hävdar motsatsen.
Frågan blir ännu intressantare om man betänker a) det är ett vinstdrivande företag b) säkerhetsskydd kostar avsevärda resurser.
Det är också litet svårt att se en förståelse för de beroendekedjor som finns i dagens samhälle och hur svårt det är att avgränsa enskilda verksamheter.
Utan tydliga avgränsningar skulle väsentliga delar av det svenska näringslivet inom it, telekom, kraft, livsmedel, bank och finans, vård och omsorg samt underleverantörer till dessa i värsta fall kunna omfattas av säkerhetsskyddslagstiftningen.
Alternativt skulle lagen kunna tillämpas på ett sätt som skulle kunna vara konkurrenspåverkande, som att i vissa sektorer skulle underleverantörer ses som säkerhetskänsliga, i andra inte.
Ytterligare en risk är att oren uppdelning mellan samhällsviktig respektive säkerhetskänslig verksamhet skulle kunna påverka krishanteringsförmågan.
Om en allvarlig händelse definieras som i första hand något som ska hanteras av SÄPO kan det leda till att det återställande krisarbetet försvåras exempelvis genom att information hemligstämplas.
I nästa inlägg alltså mer om informationssäkerhet i förslaget.
Jag satt egentligen och skrev om förslaget till ny säkerhetsskyddslag.
Den är en uppgift som kräver sin kvinna och man unnar sig kanske en stund av rekreerande slösurfande emellanåt.
Twitter är den digitala motsvarigheten till lösgodis fast mer irriterande och nu har jag börjat observera ett ”nytt” irriterande fenomen.
Det kan tyckas som en struntsak men ju mer jag tänker på det så är det inte det.
Jag menar de offentliga chefer som skriver på Twitter och andra sociala medier med twitterbiografier som ”Enhetschef på myndigheten X men twittrar som privatperson” eller ”Avdelningschef på myndigheten Y men tweetsen är mina egna”.
Sedan fylls deras flöden av myndighetsmeddelanden, bilder på dem själva i olika myndighetssammanhang samt inte minst en massa åsikter i frågor relaterade till deras myndighetsutövning.
På en nivå är jag beredd att utbrista ”skaffa dig ett liv” – om man som privatperson är fullkomligt besatt av sitt jobb mår man nog inte så bra.
Men naturligtvis är det inte så att de här cheferna egentligen agerar som privatpersoner utan som en del i sin yrkesroll, i vissa fall uppmuntrat av arbetsgivaren.
Många myndigheter tycks se det som ett egenvärde att enskilda tjänstemän är synliga i sociala medier, litet oklart varför om ni frågar mig.
Men om nu myndighetsledningen tycker det är bra att cheferna i verksamheten är ute och visar sig i sociala medier varför gör de då inte officiellt som myndighetsföreträdare utan som ”privatpersoner”?
Jag kan bara se två skäl till detta vilka båda rimmar illa med svensk förvaltningstradition och med de förväntningar som medborgare har rätt att ha i förhållande till sina myndigheter.
Det första är att man vill slingra sig undan offentlighetsprincipen.
Teorin är att om man skriver om myndighetens verksamhet som privatperson som kommer inte vare sig tweets man själv skriver eller tweets som riktas till en att räknas som allmänna handlingar.
Ursprungligen var nog skälet att det är litet knöligt att diarieföra och lagra tweets och att det därför är frestande att komma på kreativa lösningar för att undvika det.
Men jag tror att det numera, vid sidan om en administrativ slapphet, skapats en mystisk frizon där även generaldirektörer gör uttalande i sakfrågor blandat med kommentarer om fotboll.
Rent strikt betraktas information kopplat till myndighetens ärenden som allmänna handlingar oavsett om de kommer in eller skickas ut i form av flaskpost eller twitter men detta tycks ha kommit bort i den allmänna villervallan.
Den bristande kontrollen över myndighetens information liksom att lagar inte efterlevs är frågor av vikt i ett informationssäkerhetsperspektiv.
Allvarligare är kanske ändå det andra, möjligen outtalade skälet, till att chefer släpper loss i sociala medier förklädda till privatpersoner.
För att ta ett axplock har jag sett personer i chefspositioner eller motsvarande: retweeta opinionsbildare inom det egna myndighetsområdet med starkt berömmande ord, retweeta rapporter med klart tvivelaktigt vetenskapligt värde med lika berömmande ord, upprört kritisera regeringen för att den egna verksamheten (d.v.s.
myndighetens, inte privatpersonens) fått för litet medel samt i förklenande ordalag beskrivit enskilda folkvalda.
Intrycket är i många fall att myndigheterna bedriver lobbyverksamhet genom sina ”privata” chefer som i sin tur retweetar opinionsbildare som ställföreträdande kommunikatörer av myndighetens linjer.
Med tanke på att de retweetade opinionsbildarna inte är särskilt nyanserade i sina åsikter rör sig intrycket av myndigheten allt längre från det litet gråa men förtroendeingivande till en hetsig åsiktsförmedlare.
Det måste understrykas att jag inte på något sätt vill minska offentligt anställdas möjligheter att uttrycka åsikter, delta i den allmänna debatten eller vara politiskt aktiva.
Snarare tvärtom, jag tycker att det vore högst önskvärt att fler människor på olika sätt är engagerade i samhället.
Vad jag vänder mig emot är att offentligt anställda chefer opinionsbildar inom sina egna verksamhetsområden och därmed skapar en flytande gräns mellan å ena intresse- och lobbygrupper och å andra sidan myndigheten.
Kalla mig konservativ men det är ett faktum att svenska tjänstemän inte är politiskt tillsatta och ska inte politisera myndigheternas verksamhet på det sätt som jag menar att ovanstående tweets är exempel på.
Tjänstemannen får inte heller förväxlas med privatpersonen eftersom det skapar förvirring och minskar förtroendet för myndigheterna.
Och, inte minst, när nu betydelsen av källkritik och av att kunna identifiera vem som står bakom ett budskap förefaller det orimligt att myndigheter agerar som så dåliga exempel.
Det finns alldeles för få verktyg som kan användas som stöd för informationsarbetet och det är därför i sig positivt att SKL tagit fram ett stöd för Klassning vid sidan om riskanalys den mest centrala aktiviteten för att styra informationssäkerheten vilket gör det extra intressant med ett verktyg.
Verktyget är framtaget för kommunal verksamhet med krav som ursprungligen sägs hämtade från två äldre stöd från MSB:s föregångare KBM; BITS (Basnivå för IT-Säkerhet) och BITS+.
Dessa stöd togs fram 2006 och har sedan inte uppdaterats efter att ett beslut fattades redan runt 2009 att lämna BITS därhän.
Kraven har sammanställts och utvecklats till en kravkatalog som även har en koppling till ISO 27000-serien: I samarbete mellan ett antal kommuner bearbetades kravkataloger och funktioner under våren 2015 och blev verktyget du är inne i nu.
Kraven mappades om till ISO 2700x och förtydligades.
Jag bestämde mig för att göra ett test av verktyget för att se hur det fungerar i den vardagliga situation som informationsklassning är i en organisation med ett systematiskt.
För att ge den som läser testet en bild av mina utgångspunkter tänker jag i detta inlägg först beskriva förutsättningarna för informationsklassning, och särskilt informationsklassning i kommunal verksamhet.
Jag ska också försöka tolka KLASSA:s övergripande metodsyn.
Utgångspunkten föri offentlig verksamhet är i många fall ISO-standarden, så också för mig och, om än inte direkt utsagt, för KLASSA.
Målet med klassning definieras i SS-ISO IEC 27002:14 som: Att säkerställa att information får en lämplig skyddsnivå i enlighet med dess betydelse för organisationen.
Säkerhetsåtgärden är: Information ska klassas i termer av rättsliga krav, värde, verksamhetsbetydelse och känslighet för obehörigt röjande eller modifiering.
Och vägledning för införande: Klassning och tillhörande säkerhetsåtgärder för informationen bör ta hänsyn till verksamhetens behov av spridning eller begränsning av informationen samt till de legala kraven.
Andra tillgångar än information kan också klassas i överensstämmelse med klassningen av den information som är lagrad i, behandlas av eller på annat sätt hanteras eller skyddas av tillgången.
Ett problem med standarden är att begreppen inte är modellerade vilket ställer till problem till exempel genom att begreppet ”tillgång” både kan användas för själva informationen och för de bärare som används för att hantera informationen som till exempel en applikation eller ett papper.
Denna brist blir alltmer problematisk eftersom organisationer i allt högre grad använder molntjänster eller delar tjänster på andra sätt vilka knappast kan ses som organisationens tillgångar.
Detta ska jag fördjupa mig i vid ett annat tillfälle.
Här räcker det att säga att standarden tämligen tydligt säger att det är information som ska klassas.
Som en följd av den klassning som gjorts av informationen kan även andra tillgångar klassas, t.ex.
genom en klassning av system.
Enligt standarden ska: Modellen för informationsklassning bör omfatta regler för klassning samt kriterier för granskning av klassificering över tid.
Skyddsnivån i modellen bör bedömas genom att analysera konfidentialitet, riktighet och tillgänglighet samt andra krav för den aktuella informationen.
I 27001 finns bilaga A som ofta brukar uppfattas som en kravlista för att uppfylla standarden avsnittet A.8.2.
med där målet med klassningen sägs vara: Att säkerställa att information får en lämplig skyddsnivå i överensstämmelse med dess betydelse för organisationen.
Den modell som används ska alltså inte bara innehålla beskrivning av säkerhetsåtgärder i olika skyddsnivåer utan också kriterier som för skyddsnivåer som ger en kontinuitet över tid oavsett den snabba tekniska utvecklingen.
Klassningen ska kunna genomföras utifrån konfidentialitet, riktighet och tillgänglighet men också utifrån andra krav som är aktuella.
Efter att ha arbetat med informationsklassning i vitt skilda organisationer med helt olika typer av informationshantering kan jag se vissa generella krav som måste uppfyllas om klassningsaktiviteten ska få en säkerhetshöjande effekt.
Som användare möts man av ett fräscht och lättnavigerat gränssnitt vilket skapar förväntningar.
Jag utlovas att kunna få ”informationssäkerhetsklassa” (litet knölig term men det är kanske för att göra en distinktion mot det KLASSA som används i ett arkivperspektiv) informationen i ett verksamhetssystem, att göra en handlingsplan och att få en lista med upphandlingskrav.
Redan här finns ju ett problem genom att det är ”informationen i ett verksamhetssystem” som ska klassas vilket ger en rätt föråldrad syn på relationen mellan verksamhet, information och it-lösning som jag försökt beskriva ovan.
Positivt är dock att klassa har med aspekten spårbarhet.
Detta är en nödvändighet för de organisationer som har verksamhet inom vård med tanke på de krav som ställs på detta i den relativt nya föreskriften från Socialstyrelsen .
Men vilket praktiskt stöd får jag genom KLASSA?
Jag tänker mig att jag klassar informationen i två olika verksamhetssystem med stor spännvidd.
Det första är ett tänkt rumsbokningssystem för kommunhuset i Söpple, det andra ett vårdsystem för äldreomsorgen i samma kommun.
Jag erbjuds att klassa i fem nivåer från 0= ingen eller försumbar skada till 4= synnerligen allvarlig skada.
För nivå 4 finns en oklar formulering: Röjande av informationen medför Systemet behandlar information som omfattas av sekretess och rör rikets säkerhet (hemliga uppgifter) där röjande av information kan ge oöverskådliga konsekvenser där t ex omfattande fara för liv och hälsa föreligger.Informationen omfattas av t ex säkerhetsskyddslagstiftningen.
Är det endast för uppgifter som är hemliga eller är det även andra uppgifter som kan utgöra omfattande fara för liv och hälsa om de röjs?
Säkerhetsskyddslagen säger inget om liv och hälsa – det är andra värden som avses skyddas i den lagstiftningen.
Det är inte heller rimligt att föreställa sig att sjukvård ska bedrivas med den utrustning och de rutiner som säkerhetsskyddet stipulerar (RÖS- och signalskydd för att ta ett par exempel).
Detta är en besvärande oklarhet.
När jag som test fyller i nivå 4 får jag till svar: Du har klassat kravområdet som .
Kraven på dessa typer av system hanteras inte via KLASSA.
Kontakta organisationens informationssäkerhetsansvarige för hantering av denna typ av information.
Jag förstår helt enkelt inte var liv och hälsa kommer in här eftersom konstruktörerna av KLASSA verkar avse endast rikets säkerhet.
För mitt rumsbokningssystem fyller jag i att det kan bli måttliga skade-effekter i alla aspekter (nivå 1) och får ut en kravlista som jag sedan kan bedöm hur väl jag uppfyller.
Skadeeffekten är beskriven som: Inga märkbara större svårigheter för verksamheten att nå målen.
Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation.
Enskilda individer eller andra myndigheter och organisationer kan notera störningen eller uppleva lindriga besvär men utan påvisbar ekonomisk påverkan.
Med tillägget Verksamhetens förmåga att utföra sina arbetsuppgifter påverkas endast i begränsad omfattning av otillgänglighet till systemet.
för aspekten tillgänglighet.
För vårdsystemet väljer jag lika konsekvent nivå 3 vilket står för: Skapar stora svårigheter för organisationens verksamhet.
Omöjligt eller nästan omöjligt att fullfölja uppdragen.
Samhällsviktiga funktioner i egen eller annan organisation påverkas sannolikt.
Individers liv och hälsa äventyras.
med tillägget: Verksamhetens förmåga att utföra sina arbetsuppgifter påverkas i en allvarlig/katastrofal omfattning av otillgänglighet i systemet.
Jag har några synpunkter på beskrivningar av skadeeffekterna som jag väljer att hoppa över i detta redan alltför långa inlägg.
Istället ska jag fokusera på det stöd jag får ut.
Grunden är att konstruktörerna har gått via kravbilagan till ISO 27000.
Detta leder till ett stort principiellt problem och några praktiska.
Det principiella består i en underförstådd tolkning av kraven i bilaga inte ska tolkas som en helhet utan att säkerheten höjs genom ju av kraven som uppfylls.
Detta är inte min tolkning vilken istället är att alla organisationer som eftersträvar att följa standarden ska uppfylla samtliga krav men på olika nivå beroende på sitt behov av skydd.
Organisationer som certifierar sig gör ju ett Statement of Applicability (SoA) om de inte anser att kravet är tillämpbart i deras organisation.
Det praktiska resultatet av detta principiella val i KLASSA är att listan över säkerhetskrav (som numreras utifrån standarden) är betydligt kortare för rumsbokningssystemet än för vårdsystemet.
Detta skulle kunna förefalla rimligt och som ett tecken på att säkerhetskraven är lägre – alltså färre krav.
Jag tycker dock inte det när man ser vilka krav som saknas för rumsbokningssystemet.
Exempel på vad som saknas är rena hygienfaktorer som krav på sekretessförbindelser, att identiteter inte återanvänds, styrning av loggar och uppdateringar, nätverkssäkerhet, relationen till leverantören, leverantörens åtkomst och granskning.
Dessa säkerhetskrav påverkar ju inte enbart rumsbokningssystemet utan i värsta fall hela miljön som de finns i. Att KLASSA tar sin utgångspunkt i standardens krav i sin rena form i de flesta fallen (undantag är till exempel identifieringslösningar) leder till den litet paradoxala följden att det ställs mycket få tekniska krav trots att det är system som klassas.
Det leder också till att kraven är mycket öppna för tolkning och inte till någon större hjälp vare sig intern eller vid upphandling som till exempel: Information tillhörande systemet som lagras på externa molntjänster eller på flyttbar lagringsmedia, exempelvis mobiltelefoner, USB-minnen och externa hårddiskar, hanteras och skyddas på motsvarande sätt som övrig information tillhörande systemet.
Eller ur det excelark som kan användas som stöd för upphandling: Leverantören ska ha en rutin för att både avaktivera användarkonton och permanent ta bort konton från systemet.
Trots att behovet är stort och ansatsen tycker jag inte att KLASSA är ett bra verktyg.
I vissa fall skulle jag till och med säga att det är en riskfaktor i sig eftersom KLASSA på de lägre säkerhetsnivåerna plockar bort så många självklara säkerhetsåtgärder att ett system som sägs uppfylla kraven kan vara i avsaknad av elementära säkerhetsåtgärder.
Detta är en risk i systemet och i värsta fall för hela it-miljön som det finns i. Om en leverantörs åtkomst inte är styrd och begränsad i ett system kan det leda till obehörig åtkomst även i andra integrerade lösningar för att bara ta ett exempel.
Av de sex krav jag ställde upp fyller KLASSA endast delvis upp krav 2, 4 och 6 om man gör en välvillig tolkning.
Jag hoppas SKL gör ett omtag och då även ser över till exempel kraven från dataskyddsförordningen och integrerar även dem.
Man tror ju nästan inte det är möjligt att utreda digitalisering ytterligare en gång men det får man ändå ge regeringen – att sätta fart på utredandet, det kan den!
Nu har den emotsedda utredningen om en ”ny” digitaliseringsmyndighet presenterats, med det litet sekelskiftesdoftande namnet SOU 2017:23 .
Spoilervarning eller service till er som inte vill läsa längre än hit: Först vill jag ge utredningen en eloge för den 40-sidiga historik som ingår.
En randanmärkning är att historieskrivningen skulle blivit ännu intressantare om den även inkluderat en teoretisk diskussion i ett förvaltningshistoriskt perspektiv.
Det skulle ge digitaliseringen den kontext som så ofta saknas.
Det har dock inte varit utredningens uppdrag att anlägga en mer djuplodande syn på digitaliseringens roll i samhället och i förvaltning.
Istället har regeringen velat ha en analys av och förslag till: .
Mer konkret handlar det om att ge förslag på hur staten skapa en organisation och ansvarsfördelning för nationella tjänster som Mina meddelanden och Svensk e-legitimation.
Dessa två tjänster har ju inte riktigt levererat enligt regeringens ambition och ytterligare ett uppdrag för utredningen har varit att föreslå I övrigt är det välbekant stoff där uppgifter som i princip har funnits sedan tiden för 24-timmarsmyndigheten flyttas omkring litet i myndighetsstrukturen.
Utredningen börjar i moll.
Sverige har halkar efter i digitaliseringen trots att regeringar oavsett färg sedan länge hävdat att vi ska vara bäst.
I parentes sagt har jag aldrig förstått varför strävan är att vara bäst istället för att vara tillräckligt bra men det kanske bara är trist och pragmatisk jante-inställning.
Utredningen söker den främsta orsaken till det icke-fördelaktiga läget i att staten under lång tid valt en decentraliserad ansvarsmodell för digitaliseringen.
Hypotesen framförs med hänvisning till det stora antal utredningar från andra myndigheter (Riksrevisionen, E-delegationen, ESV och Digitaliseringskommissionen) som alla pekat på samma sak.
En reflektion under läsningen är att myndigheterna visserligen enigt pekat på fenomenet men därefter lämnat helt olika svar på lösning.
E-delegationen föreslår t.ex.
någon slags mjuk samordningslösning som ska leda till ökad samordning medan Digitaliseringskommissionen istället föreslår en ny myndighet.
Det är inte alldeles lätt att vara regering och inom ett drygt år få två helt olika förslag på lösningar från sina utredningar… Avsnittet om organisation är begripligt vilket är något mer än vad som kan sägas om avsnittet En nationell digital infrastruktur.
Det inleds med utredningens bedömning Politiken för digital förvaltning bör utformas mot bakgrund av dess roll i den nationella digitala infrastrukturen.
Jag läser meningen om och om igen och förstår absolut ingenting.
Är det politiken som bör utformas med bakgrund av dess roll i den nationella digitala infrastrukturen?
Eller är det den digitala förvaltningen?
Vilken roll har i så fall i politiken alternativt den digitala förvaltningen i den nationella digitala infrastrukturen?
Och vad är den nationella digitala infrastrukturen?
Är det lösningar som staten kontrollerar, är det infrastruktur som används för nationella tjänster?
Utredaren tycks mena att infrastrukturfrågan inte nödvändigtvis behöver kräva några heltäckande statliga beslut utan att den liksom växer fram organiskt av offentliga och privata aktörer.
Det hela mynnar ut i fler frågor och egentligen inga svar.
Det avsnitt som jag av naturliga skäl är mest intresserad av är det som handlar om informationssäkerhet, integritetsskydd och personuppgiftsansvar.
Utredarens bedömningar är idag att betrakta som truismer; säkerhet måste integreras i digitaliseringen, kommuner och myndigheter behöver mera stöd för att göra det men myndigheter som har ansvar för att ge stöd i ovanstående frågor är inte koordinerade.
Detta är kända sanningar sedan länge så det en ny utredning skulle kunna tillföra skulle vara att komma ett steg längre än att pliktskyldigt skriva att det är viktiga frågor och föreslå vad som ska göras för att förbättra situationen.
Och det här jag återigen stöter på ett generellt problem med dagens utredningsväsende.
Min referensram är tyvärr härliga utredningsinsatser som t.ex.
Emigrationsutredningen 1907-1913 under Gustaf Sundbärg.
Utredningen genomfördes av tidens främsta forskare på området, ny kunskap skapades och regeringen fick dessutom ett mycket kvalificerat beslutsunderlag.
Dagens utredningar verkar alltför ofta bara innebära ett legitimerande av ett beslut som redan ligger och väntar.
Teori, analys och vetenskaplig kompetens är inte särskilt efterfrågat.
Istället hamnar utredningarna i det som jag inledningsvis gav en eloge; en sammanställning av redan publicerade källor.
”Kompilation” skulle läraren på den forskarutbildning jag påbörjade men aldrig avslutade morra innan han gav ett underkänt betyg hänvisande till det mest nesliga felsteget i skrivandet näst det rena fusket.
Nu ska jag inte vara alltför njugg, utanför säkerhetsområdet finns det resonemang om hur offentligt finansierade aktörer kan betraktas som tillför ny kunskap men det känns mer som undantag.
Jag har också förståelse för att utredningen med den korta tid (sedan i slutet av november 2016) som stått till förfogande knappast kan göra några djupdykningar.
Frågan blir då varför man väljer att tillsätta en utredning och inte helt enkelt låta tjänstemännen på RK ta fram ett beslutsunderlag i den riktning som regeringen tänkt sig besluta.
Elakt tänker jag att kanske statliga utredare om digitalisering är en av de yrkesgrupper som kan vara ersättas med eftersom de ständigt kompilerar litet till utan att tillföra någon ny analys.
Vilket omedelbart slå tillbaka på mig själv för självklart skulle mitt itererade gnäll på statliga utredningar om digitalisering precis lika lätt kunna göras av en robot.
I avsnittet om informationssäkerhet, integritetsskydd och personuppgiftsansvar kompileras det sida upp och sida ner från MSB, PTS och Datainspektionens webbplatser och föreskrifter samt från Riksrevisionens rapporter, tidigare SOU:er o.s.v.. Ingen ny kunskap och ingen analys men utredningen försäkrar som så många utredningar före den att informationssäkerhet och integritet är superviktiga förutsättningar för digitalisering.
Författningsförslaget gällande den nya myndigheten ser ut så här: 11 § Myndigheten ska samverka med Datainspektionen, Myndigheten för samhällsskydd och beredskap samt Post- och telestyrelsen i frågor om digitalisering av förvaltningen, personlig integritet och informationssäkerhet.
Det är ju ett förslag som är svårt att undvika att uppfylla… Jag uppfattar detta som det svagaste partiet i utredningen eftersom det saknar riktning, nytänkande och konkreta förslag.
Det intressanta är när utredningen själv diskuterar s.k.
eget utrymme (liksom även Mina meddelanden för den delen), vilket är en fråga med många säkerhetsdimensioner finns inte tillstymmelse till riskanalys eller diskussion om säkerhetsaspekter.
Detta skildrar i ett nötskal hur informationssäkerhet och integritet hanteras i förhållande till digitalisering; välmenande omnämnande men ingen praktik.
Föga originellt anser jag att grundprincipen förär att det ska vara riskbaserat.
Skälen till detta är många.
Det starkaste är att det inte går att vidta rätt säkerhetsåtgärder om man inte vet vilka risker de avser att reducera.
Utan kopplingen till risk blir säkerhetsarbetet ett självändamål vilket jag bedömer som en av de största riskerna (!)
för ett effektivt säkerhetsarbete.
Konsekvensen, vilket jag alltför ofta sett i praktiken, är att en organisation visserligen kan investera stora resurser i säkerhetsåtgärder men att investeringen inte alls ger en säkerhetshöjande effekt som motsvarar investeringen.
I ledningens styrning av informationssäkerheten i den egna organisationen måste riskägaren, d.v.s.
ledningen, också ha den faktiska möjligheten bedöma vilka risker som är acceptabla respektive oacceptabla sett i relation till verksamhetsnyttan.
Detta är grunden för ett fungerande ledningssystem.
Det finns också starka skäl till att styrningen av informationssäkerheten bör förflyttas så att tyngdpunkten ligger mer på risk än compliance.
Compliance är per definition bakåtblickande – vi kan i huvudsak reglera det vi känner till – vilket inte är det mest ändamålsenliga i en starkt föränderlig situation (jag ska inte här gå in på att risk kan byggas in som ett element i en reglering utan förenklar starkt).
Organisationens övergripande riskanalys har också ett starkt samband med kontinuitets- och incidenthantering.
Kontinuitetshantering innebär en prioritering av resurser, för att göra den prioriteringen måste det vara klart vilka konsekvenser som kan uppstå i verksamheten om olika delar av informationshanteringen inte fungerar.
För att bedöma kunna bedöma olika incidenters grad av allvarlighet gäller samma sak, att en riskanalys är gjord som underlag för ledningens prioriteringar.
Inträffade incidenter är också ett viktigt inflöde för riskhanteringen.
Vid sidan om de stora organisationsövergripande riskanalyserna består det dagliga arbetet för en informationssäkerhetsansvarig i inte oväsentlig omfattning att vara metodstöd för riskanalyser.
Riskanalyser vid utveckling, upphandling, organisationsförändringar och ett antal andra tillfällen.
Informationsklassning bör ses som en form av riskanalys och båda momenten kan med fördel göras samtidigt med samma normskala.
Trots riskhanteringens centrala betydelse finns det ett antal svårigheter när man vill leva som man lär och ha ett riskbaserat.
Tyvärr är min erfarenhet att stödet från ISO 27005 inte ger den praktiskt arbetande särskilt mycket.
Istället måste man hantera de organisatoriska förutsättningarna i den egna verksamheten, enkelt sagt men inte utan problem i praktiken.
För att illustrera detta ska jag ta upp ett par exempel på förutsättningar för riskhanteringen ur informationssäkerhetssynpunkt som är svåra att hitta ett entydigt förhållningssätt till.
En första förutsättningsrisker bara är en typ av risker som organisationer måste hantera.
De flesta organisationer är idag skyldiga att på ett systematiskt sätt analysera och hantera vissa typer av risker.
I en myndighet där jag försökte få en överblick slutade jag när jag hittat nio formella krav på riskanalyser, allt från MSB:s krav på risk- och sårbarhetsanalyser till riskanalyser ur försäkringssynpunkt.
Därtill kommer inte sällan kravet på att göra en säkerhetsanalys.
Detta är inte unikt för myndighetsvärlden, många privata verksamheter är underställda formella krav men har också anslutit sig till branschregelverk där riskanalyser ingår.
Riskanalyserna kan vara på organisationsövergripande nivå eller på delar av organisationen, gemensamt är dock att de saknar en gemensam metod för att genomföra analysen.
Det kan vara komplexa kontrollsystem som COSO eller enklare metoder som ligger som grund för de analyser som ska göras.
Den informationssäkerhetsansvariga har då alternativen att antingen försöka integrera bedömningen av risker relaterade till informationssäkerhet i befintliga analyser eller lägga ytterligare en analys till de övriga.
En annan aspekt är att ett fungerande säkerhetsarbete kräver riskanalyser på ett antal nivåer.
Den mest begränsade riskanalys jag gjort var på en kartotekslåda med patientuppgifter för tjugo år sedan, den mest omfattande har rört nationella förhållande.
I en organisation bör det finnas ett flöde så att risker på lägre nivåer aggregeras och tillsammans ger underlag för den övergripande riskbilden.
De organisationer som lever efter ISO 27000 har sannolikt även beslutat att ledningen regelbundet ska få en rapportering av riskläget.
Det finns även en nedåtrörelse där ledningens riskvärdering ska distribueras i organisationen och influera bedömningarna av risker på lägre nivå.
För att det ska fungera på ett smidigt sätt är en gemensam metod en klar fördel.
Vi står alltså inför valet av horisontell eller vertikal integration; ska det finnas en gemensam metod för alla typer av riskhantering i organisationen?
Eller är det enklare att försöka få till en fungerande metod för riskhantering ur informationssäkerhetssynpunkt som tillämpas på alla nivåer i organisationen?
Svaret är inte givet utan måste bedömas efter noggrann analys i varje organisation.
När jag skrivit detta har jag bara skrapat tunt, tunt på ytan av allt det som finns att diskutera om riskhantering.
Den som har metoder, erfarenheter eller synpunkter på ämnet får gärna höra av sig så sammanställer jag och förmedlar det här på bloggen.
Inkommer ingenting finns det stor risk att jag återkommer och fortsätter att skriva om mina egna erfarenheter i frågan.
På svenska är ”säkerhet” ett begrepp medan på engelska finns både ”safety” och ”security”.
Begreppen används i kunskapsområden relaterade till säkerhetsfrågor som till exempel inom trafiksäkerhet.
I korthet innebär safety åtgärder för att motverka oavsiktliga fel, misstag, negativa avvikelser, produktfel o.s.v.
medan security är skydd mot avsiktliga, antagonistiska hot.
Det är en avgörande skillnad mellan de risker som safety-åtgärder avser att reducera jämfört med security-relaterade risker.
Information security är också ett område som traditionellt varit inriktat mot antagonistiska hot vilket i hög grad har övertagits av de svenska aktörerna inom informationssäkerhetsområdet.
Både på engelska och svenska är spåren från denna bakgrund mycket tydliga.
Jag har länge funderat över varför det rådande paradigmet inom informationssäkerhetsområdet fortfarande är så inriktat på antagonistiska hot.
Det anspråkslösa empiriska material som finns kring vilken typ störningar i informationshanteringen som ger stor verksamhetspåverkan tyder ju snarare på att det stora problemet ligger i exempelvis bristande uppdateringar i it-lösningar.
Om syftet medt är att reducera störningar som påverkar olika verksamheters möjlighet att upprätthålla sin leverans med acceptabel kvalitet så förefaller fokuseringen på antagonistiska hot kontraproduktiv.
Trots att jag tror att de flesta som sysslat med informationssäkerhet vet att det förhåller sig på det här sättet, både när det gäller hotbilden och fokuseringen på antagonistiska hot, är det märkligt besvärligt att föra en diskussion om frågan.
Orsaken till att det är svårt att diskutera frågan är att security-begreppet skapat en hegemoni som så starkt styr synsätt och de underliggande begreppen och därmed skapar ett paradigm där andra synsätt utesluts.
Att tala om paradigm i samband med informationssäkerhet kan ju tyckas både paradoxalt och onödigt teoretiserande.
Paradoxalt eftersom jag tidigare hävdat att informationssäkerhetsområdet är anti-intellektuellt och paradigm kan ju tolkas som ett akademiskt genomarbetat teoribygge.
Detta är dock en felsyn eftersom ett paradigm ofta helt eller i delar är ett omedvetet tolkningsmönster, integrerat i iakttagarens blick.
Det är också det som gör det svårhanterligt, paradigmet ligger som ett filter över verkligheten och gör att endast det som går att passa in i tolkningsmönstret slipper in.
En situation som gjorde mig brydd och som kan illustrera paradigmets kraft var när jag deltog i ett arbete på en myndighet som förutsatte att vi kunde nå fram till en definition av vad en incident är.
Med min bakgrund i verksamhetsnära informationssäkerhet var det uppenbart att begreppet incident som måste innefatta alla typer av händelser i informationshanteringen som leder till störningar i verksamheten.
Eftersom både it, informationshantering och informationssäkerhet har sitt existensberättigande som stödfunktioner för kärnverksamhetens processer så är grundorsaken till en störning för verksamheten irrelevant, antagonistisk eller inte.
Detta synsätt delades dock inte alls av deltagaren som skulle tillföra ett it-säkerhetsperspektiv.
Hen hävdade outtröttligt att endast händelser med ett antagonistiskt ursprung kan innefattas i begreppet incidenter.
Buggar, uppdateringsfel och brister i rutiner, oavsett hur dramatiska effekter på verksamheten de får, är inte incidenter enligt detta synsätt.
Varje möte i vår arbetsgrupp strandade på denna fråga.
När jag försökte framföra att denna definition av begreppet, bortsett från allt annat, även skulle leda till stora praktiska problem eftersom det ibland kan ta dygn eller ännu längre innan det går att hitta orsaken till en störning.
Ska de då räknas som incidenter och hanteras enligt fastställd incidentrutin eller inte?
Och ska en organisation ha två olika rutiner för ”negativa händelser” i informationshanteringen beroende på dess upphov trots att verksamhetspåverkan är exakt den samma?
Jag kan nu se orsaken till att vi inte kunde kommunicera på ett konstruktivt sätt i denna viktiga fråga var security-paradigmet så skymde sikten att de verkliga frågeställningarna försvann.
Att det skulle vara onödigt teoretiskt att tala om paradigm är kanske ett allvarligare felslut eftersom det är just den medvetna eller omedvetna teorin som stödjer oss i att hantera de högst praktiska frågor som leder till en bättre informationssäkerhet.
Jag tänker ganska ofta på en organisation i flygbranschen där jag var konsult under några månader och intervjuade ett stort antal personer.
Det slående var att alla som var oinvigda i informationssäkerhetens mysterier men väl insatta i trafik och kommunikation frågade om jag avsåg security eller safety när jag pratade om informationssäkerhet.
För dem var distinktionen självklar och funktionell; att ha säkerhetskontroller på flygplatser för att förhindra terrorister är en viktig uppgift men minst lika viktigt är att ta bort isen från flygplansvingar så att planet fungerar på bästa sätt.
Som passagerare är jag ytterst tacksam för den vikt som läggs vid safety-frågor som sannolikt har större betydelse för att så få trots allt blir skadade i trafiken generellt.
Detta gäller inte bara flyget naturligtvis.
Säkerhetsbältet i bilen skyddar mig inte mot terrorister men sannolikheten för att råka ut för en oavsiktlig trafikolycka bedömer jag som betydligt större och säkerhetsbältets påverkan på dödade och skadade i trafiken kan knappast överskattas.
Jag vill därför förorda att vi börjar arbeta mot ett paradigmskifte där ”Information Safety” blir lika prioriterat som ”Information Security”.
Det betyder att något överge krigsretoriken med ständiga antagonister, attacker och hot och mer inrikta sig på ett kvalitetsarbete i den gråa vardagen, att prioritera upp uppdateringar, rutiner, dokumentation, planering och utvärdering på ett systematiskt sätt.
Att kunna upprätthålla två samtidiga perspektiv är nödvändigt om vi verkligen vill att viktiga verksamheter ska kunna upprätthållas med tillräcklig kvalitet.
Insynen i den offentliga verksamheten och tillgången till allmänna handlingar gynnar medborgarens individuella rättssäkerhet liksom medborgarens kontroll över de offentliga institutionernas funktion.
Dessutom, vilket känns alltmer betydelsefullt, kan tillgången till allmänna handlingar göra att det offentliga samtalet har stöd i relevanta fakta och gemensam kunskap.
Sammantaget finns det alltså alla skäl till att se den svenska offentlighetsprincipen, med den unika rätt den ger medborgarna till insyn, som en oskattbar tillgång för demokratiutveckling.
Att offentlighetsprincipen helt handlar om informationshantering borde ha lett till att den ägnats stort intresse i e-demokratisammanhang.
Nu för ju visserligen e-demokrati i sig en tynande tillvaro i digitaliseringssatsningarna men det är ändå häpnadsväckande att offentlighetsprincipen snarare motverkas än utvecklas.
Departement, myndigheter och kommuner verkar alltför ofta göra sitt bästa för att undvika att lämna ut även den information som helt uppenbart är allmän och offentlig.
KU och JO kritiserar departement och myndigheter för deras förhalande och försvårande av utlämningsärenden, utan synbarlig effekt.
Det har gått så långt att det t.o.m.
startats tjänster för att ge stöd för den som vill begära ut allmänna handlingar hos trilskande Offentlighetsprincipen inskränks också genom allt fler krav på sekretess, inte minst uppges ofta säkerhetsaspekter vara skälet till önskan om sekretess.
2 kap Tryckfrihetsförordningen (TF) handlar om allmänhetens rätt att ta del av allmänna handlingar.
Det är en rättighet som lagstiftaren inser inte är så lätt att komma i åtnjutande av om medborgaren inte känner till vilken information som hen har rätt att del av.
Förvaltningslagen innehåller därför krav gällande serviceskyldighet, tillgänglighet och öppenhet som tillsamman brukar kallas .
Det betyder att departementet/myndigheten/kommunen inte bara ska ta ställning till de begärande om utlämning av allmänna handlingar som medborgare lyckas formulera på fri hand.
Man ska också orientera medborgaren om vilka handlingar som finns och rimligen hur de är relaterade till verksamheten.
Det ska vara möjligt för medborgaren att få en överblick över myndighetens information och vilka handlingar som skulle vara lämpliga att begära ut om man är intresserad av en viss fråga.
Detta gäller naturligtvis även för den insyn som den granskande journalistiken behöver.
För c.a.
15 år sedan gjorde jag ett test av 20 kommuner, 20 landsting och 20 myndigheter för att se hur väl de levde upp till kravet på god offentlighetsstruktur.
Resultatet var nedslående.
Visserligen hade några lagt ut sina diarier på sin webbplats men eftersom diariesystemen är utformade för registratorer var de oanvändbara som sökverktyg även för mig som är specialist inom området.
De kräver en förförståelse för organisationen som ingen utomstående har, till exempel vilken organisatorisk enhet som hanterar en viss fråga, vad ärendetypen kallas, vad dokumenttypen kallas o.s.v.
Min slutsats var att den goda offentlighetsstrukturen var obefintlig.
Vid en stickprovskontroll i dag är läget i princip oförändrat.
Gå in på valfri myndighet, landsting, region eller kommun och testa, de flesta är i nivå med regeringen själva där man efter mycket letande på webbplatsen kan komma fram hit ett dokument som mycket översiktligt beskriver handlingar som kan . De som häromveckan uppmanade till bättre källkritik kan inte heller ses som några föredömen då gäller att erbjuda allmänheten möjligheter att ta del av de allmänna handlingar som skulle kunna utgöra motvikt till falska nyheter.
Goda undantag kan finnas som när kommuner gör en ansträngning för att ge insyn i nämnders , i övrigt är det ett tämligen kompakt mörker.
Tanken att digitaliseringen kan vara ett kraftfullt redskap för att utöka medborgarens möjlighet till insyn som fanns på har dött någonstans på vägen.
Ända in i slutet av nittiotalet förekom i it-kommissionens hägn flera goda ansatser där jag särskilt vill lyfta fram beskrivning av hur offentlighetsprincipen kan tolkas på ett minimalistiskt respektive ett maximalistiskt sätt.
Man kan urskilja tre olika slag av handlingsoffentlighet: ärendeinsyn, verksamhetsinsyn och kunskapsinsyn.
Den första kategorin ger endast möjligheter till insyn i handlingar hänförliga till ett bestämt ärende.
Sökanden måste kunna identifiera ärendet i fråga och de begärda handlingarna måste ha ett klart samband med detta.
Principen kan tolkas olika snävt: vad som är ett ärende kan t.ex.
uppfattas på olika vis och sambandet mellan handling och ärende kan vara av mer eller mindre formell art.
Den andra kategorin ger en mer omfattande insyn och förutsätter inte att begärda handlingar har anknytning till något visst av sökanden identifierat ärende.
Den begränsas av sitt syfte att ge möjligheter till inblick i myndigheternas verksamhet.
Begränsningen kan t.ex.
i praktiken utformas som en ändamålsprövning inriktad på att utlämnandet måste vara nödvändigt för att ge möjlighet att bedöma rättsenligheten och lämpligheten av myndighetens åtgärder.
Den tredje kategorin innebär i sin mest extrema form att myndigheternas hela informationsinnehav skall stå till allmänhetens fria förfogande och lämnas ut i begärda urval och former.
Informationsinnehavet betraktas som en gemensam tillgång som alla i samhället har varit med om att bygga upp och därför också bör få tillgodogöra sig.
Det innebär inte att han bortser från de intressekonflikter som en mer omfattande insyn för med sig: Att en enskild önskar viss insyn i en myndighets verksamhet är inte detsamma som att myndigheten är intresserad av att ge sådan insyn.
Snarare uppstår det ofta konflikter mellan önskemål om insyn och önskemål om insynsbegränsning.
Det ligger i offentlighetsprincipens natur att ge upphov till sådana konflikter.
De gäller inte bara den enskilde informationssökaren kontra den ”drabbade” myndigheten utan generellt, på samhällsnivå.
En vidsträckt öppenhet har sina fördelar men också sitt pris.
Jag uppmuntrar alla att läsa Seipel och reflektera över insynens för- och nackdelar.
Insynen är den korrigerande kraften som, förutom att skapa ett bättre offentligt samtal och medvetna medborgare, motverkar korruption och maktmissbruk.
Borde inte detta vara oerhört angelägna frågor idag?
Trots digitaliseringens möjligheter finns det få tecken på att de tagits tillvara när det gäller att förbättra insynen i myndigheters verksamheter eller i olika beslutsprocesser.
Senare års utredningar och andra nationella insatser som E-delegationen, Digitaliseringskommissionen, eSam och regeringens Vision ägnar inget intresse åt hur insynen skulle kunna förbättras.
Istället lever vi kvar i den petrifierade diarieföringen omgiven av brusande internet där medborgarens möjlighet till insyn ständigt minskar istället för ökar.
Denna negativa utveckling skyms av de entusiastiska insatser som görs under beteckningen Öppna data som ibland framställs som relaterad till demokratiska värden.
Att Öppna data skulle stärka demokratin är dock tveksamt.
EU:s PSI-direktiv som blivit har som sitt syfte att: att främja utvecklingen av en informationsmarknad genom att underlätta enskildas användning av handlingar som tillhandahålls av myndigheter.
Öppna data handlar alltså om näringspolitik och inte om demokrati.
Även om jag inte på något sätt vill nedvärdera betydelsen av näringspolitik skulle det i denna tid av ganska vinglig demokratisk utveckling sitta bra med en rejäl satsning på offentlighetsprincipen.
Ardalan Shekarabis tillitsreform borde inte enbart sträcka sig till tilliten inom myndigheterna utan även omfatta tilliten till myndigheterna.
Förbättrad insyn är kanske det mest verkningsfulla medlet för att förbättra tilliten till förvaltningen.
Det är också dags att styra bort från New Public Management även i detta avseende och låta myndigheter vara något mer än bara tjänsteleverantörer.
Mitt förslag är att Shekarabi och Alice Bah Kuhnke slår sig ihop, lyfter blicken från Öppna data och gör en långsiktig satsning på offentlighetsprincipen som en del av digitaliseringen.
Min uppfattning är att den svenska demokratitraditionen är en deltagardemokrati och att vi bör utveckla demokratin i en deliberativ riktning inte minst eftersom det skulle gynna den samhälleliga tilliten.
I ett tidigare inlägg har jag framfört att digitalisering kan vara ett verksamt stöd för att göra detta men att det kräver en uttalad linje från regeringen samt konkreta åtgärder i digitaliseringsarbetet.
Jag har också hävdat det är inom den konstitutionella komponenten av demokratin, d.v.s.
när det gäller individuella rättigheter, rättssäkerhet och maktdelning, som den offentliga digitaliseringen främst kan ha positiv effekt eftersom den är inriktad på förvaltningsfrågor.
Om digitaliseringen ska stärka demokratin måste denna aspekt alltså vara framlyft i de nationella satsningar som initierats av regeringen eller andra centrala offentliga aktörer.
Jag ska här göra ett snabbt svep över digitaliseringsområdet och se hur demokratifrågan hanterats.
Det finns en historia inom e-demokratiområdet i Sverige där frågan fanns med i de fyra it-kommissionerna som avlöste varandra mellan 1994 och 2003, och även i regeringens it-politiska strategigruppens rekommendationer från 2006.
Men är utvecklandet av e-demokrati en viktig del av dagens digitaliseringssträvanden?
Det finns två aktuella urkunder för det nu pågående digitaliseringsarbetet.
Först kom den It i människans tjänst– en digital agenda för Sverige .
Därefter regeringens strategi för en digitalt samverkande statsförvaltning Med medborgaren i centrum från .
I den digitala agendan spänns bågen i demokratifrågor: It ska vara ett stöd för medborgardialog samt bidra till att öka medborgarnas kunskap, samhällsengagemang, insyn och inflytande.
En levande demokrati där individer har möjlighet att påverka beslut som rör den egna vardagen är målet för demokratipolitiken.
Inom ramen för arbetet med att stärka demokratin är prioriterade frågor goda möjligheter till insyn och inflytande, lokal- och kommunal demokrati, förstärkta möjligheter till inflytande i den demokratiska processen samt vidgat inflytande med hjälp av e-verktyg.
Därför är det positivt om it är ett stöd för medborgardialog samt bidrar till att öka medborgarnas kunskap, samhällsengagemang, insyn och inflytande.
Tyvärr utmynnar målbilden i ett åtgärdsförslag som närmast är en icke-åtgärd: Under de kommande åren är det en gemensam utmaning för stat, kommun och landsting att utveckla användningen av it som stöd i dialogen med medborgarna.
Detta bör ske på ett sätt som stärker demokratin genom att utveckla en transparent demokrati och ge medborgarna ökad möjlighet att utöva inflytande i de demokratiska beslutsprocesserna.
Regeringen stödjer därför bl.a.
fortsatt Sveriges Kommuner och Landstings projekt Medborgardialog med stöd av it som ska pågå till 2013.
Lustigt nog ägnas betydligt mycket mer engagemang åt hur demokratiutveckling via digitalisering kan ingå som en viktig del i svensk biståndspolitik än åt hur den inhemska demokratiutvecklingen kan stärkas.
Det finns också ett flertal hänvisningar till den som lade grunden för E-delegationens arbete men som också skapade en varaktig dimma kring syftet med digitaliseringen; är det för medborgaren, förvaltningen eller för näringen som olika åtgärder vidtas?
Ett mycket påtagligt exempel på detta är när en ökad tillgänglighet till offentlig information framställs som ett demokratiprojekt men det egentliga syftet visar sig vara att företag ska kunna vidareutnyttja offentlig information i kommersiella syften.
Detta är en följd av kombinationen av den svenska offentlighetsprincipen och EU:s PSI-direktiv vilket verkligen skulle förtjänat att få de olika syftena förtydligade.
Denna dubbelhet följer med in i målen för regeringens strategi Med medborgaren i centrum där ett av målen är: Öppenhet.
Vi ska ta hjälp av det digi­tala för att stärka demokratin och, öka transparensen och bidra till mer tillväxt genom öppna data.
Litet längre fram trycker man på de demokratiska värden som kan stärkas: Insyn och öppenhet är grundläggande förut­sättningar för demokratiskt ansvarsutkrävande och det är därför viktigt med transparens och tillgång till information om den statliga för­valtningen.
Digitala tjänster ger möjlighet att förverkliga offentlighetsprincipen på ett sådant sätt att information inte bara görs tillgänglig på begäran.
Ett exempel är Openaid.se, som publi­cerar information om det svenska biståndet.
De enda inriktningar i strategin som skulle kunna påverka demokratiska värden är tillsättandet av informationshanteringsutredningen och en förstudie om ökad transparens i Regeringskansliets remisshantering.
Såvitt jag kan se innehåller inte förslaget till som blev resultatet av informationshanteringsutredningen några förslag för att förbättra insynen, däremot ett antal förslag rörande integritet som ledde till invändningar av en rad remissinstanser.
Om transparensen i remisshanteringen förbättrats är jag osäker på.
Sammantaget kan man säga att det har funnits en del ambitioner i demokratifrågor, om än vaga, i regeringens styrning av digitaliseringen.
De organ som tillsatts för att realisera regeringens ambitioner kan inte heller sägas ha tagit e-demokratin vidare.
E-delegationen, en kommitté som tillsattes 2009 och fortlevde till 2015, fick av regeringen uppdraget att: beakta den utveckling som sker inom området e-demokrati, dvs.
användning av it i demokratiska processer.
Men delegationen gjorde själv en avgränsning ”av uppdraget och har inte beaktat demokratifrågor.” som man skriver i sitt .
E-delegationens efterföljare eSam (eSam är ett medlemsdrivet program för samverkan mellan myndigheter och Sveriges Kommuner och Landsting (SKL) om digitaliseringen av det offentliga Sverige) nämner inte demokratifrågan över huvud taget.
Digitaliseringskommissionen som haft regerings uppdrag att bistå Regeringskansliet i den fortsatta utvecklingen av digitaliseringspolitiken, bl.a.
genom att ta fram underlag lämnar inte heller i sitt slutbetänkande några förslag på att förbättra e-demokratin.
Däremot innehåller temarapporten från 2016 ett antal uppsatser som anknyter till demokratifrågor inklusive den personliga integriteten.
Uppsatserna är av mycket varierande kvalitet där några ha ett språkbruk som knappast setts i statliga utredningar, som på sidan 66 för att ta ett exempel: Sett ur det här perspektivet tycks många av sjukvårdens praktiker, där patienters önskemål om att slå ihop journaler inte hörsammas med hänvisning till den personliga integriteten, närmast perversa.
Lyckligtvis är inte nivån på argumentation den samma i hela rapporten men den innehåller å andra sidan mycket få förslag för att förbättra demokratin med hjälp av digitalisering.
Undantaget är Ulf Bjerelds och Marie Demkers diskussion om hur digitaliseringen kan underlätta för de politiska partierna att stärka sin ställning som länk mellan medborgarna och de beslutsfattande institutionerna.
Efter denna genomgång tycker jag mig kunna konstatera att det saknas en tydlig och uttalad linje gällande e-demokrati från den här regeringen liksom från de tidigare.
De generella initiativ som regeringen tagit för att uppmuntra en ökad digitalisering har inte heller kommit att handla om att stärka demokratin.
E-delegationen avgränsade till och med bort det uppdrag de fått av regeringen om att beakta utvecklingen inom området e-demokrati.
Bristen på engagemang är förvånande eftersom detta borde vara en angelägen uppgift då demokratin såsom vi känner den tycks alltmer hotad av auktoritära krafter.
Uppriktigt tror jag också att de digitala verktygen kan skapa möjligheter att pigga upp en förstelnad och litet rostig demokrati.
Men, som Anders R Olsson påpekade för redan för mer än femton år sedan, detta sker inte av sig själv utan förutsätter en uthållig vilja.
Jag ska återkomma till ett par frågor där digitaliseringen verkligen kan påverka demokratin i antingen positiv eller negativ riktning.
Knappt hinner jag avsluta ett inlägg om nationell säkerhetsstrategi förrän regeringen och SKL lanserar en gemensam tvåårig handlingsplan för samverkan vid genomförande av Vision e-hälsa Som intresserad av nationella initiativ inom digitalisering och säkerhet får man ligga i för att hinna med!
Visionen innehåller inte mer konkreta mål än att vi ska vara ”bäst i världen”, ett uttryck som har en litet osund bismak i Trumps tidsålder: År 2025 ska Sverige vara bäst i världen på att använda digitaliseringens och e-hälsans möjligheter i syfte att underlätta för människor att uppnå en god och jämlik hälsa och välfärd samt utveckla och stärka egna resurser för ökad självständighet och delaktighet i . Utöver detta nämns tre insatsområden; regelverk, enhetligare begreppsanvändning samt standarder.
Under insatsområdet regelverk sägs: Utgångspunkten i arbetet med regelverk inom e-hälsoområdet är att balansera rättigheter eller intressen såsom skydd för personlig integritet, kvalitet, säkerhet och effektivitet.
De lagar och andra föreskrifter som är styrande för verksamheterna ska säkra den enskildes olika rättigheter eller intressen.
Regelverket bör hantera den tekniska utvecklingen.
Om regelverket behöver ändras för att tillgodose kvalitet och effektivitet i verksamheten ska även behovet av integritets- och säkerhetsskydd tillgodoses.
Bortsett från att begreppet säkerhetsskydd används på ett felaktigt sätt för den sista meningen i stycket fram den för mig helt obsoleta tanken att det skulle finnas en motsättning mellan säkerhet å ena sidan, kvalitet och effektivitet å den andra.
I andra branscher har man lyckats ta sig från föreställningen att informationssäkerhet är detsamma som krånglig sekretesshantering, så icke på Regeringskansliet och i SKL:s korridorer.
En handlingsplan måste väl ändå vara mer inriktad på faktiska aktiviteter tänker man hoppfullt.
Samma tre insatsområden återkommer av naturliga skäl, och minst intresse ägnas regelverksområdet.
Inledningen uppvisar samma felaktiga intressemotsättningar: De lagar, förordningar och föreskrifter som är styrande för verksamheterna ska säkra den enskildes olika rättigheter eller intressen, men måste också kunna hantera de specifika frågeställningar som den digitala utvecklingen medför.
Insatserna syftar därför till att uppnå ändamålsenliga regelverk som både värnar individens integritet och säkerhet, och samtidigt medverkar till att främja den digitala utvecklingen.
Det handlar om att balansera rättigheter såsom skydd för personlig integritet mot en jämlik, patientsäker och tillgänglig vård.
Målbilden är en aning konkretare: Skapa ändamålsenliga regelverk som såväl värnar individens integritet och säkerhet som främjar den digitala utvecklingen, samt underlätta tillämpning och införande av regelverk i berörda verksamheter.
Det låter ju jättebra tänker jag efter att i åratal tjatat om nödvändigheten av gemensam styrmodell för informationssäkerhet.
Äntligen ska det tas krafttag!
Men när jag läser om de gemensamma aktiviteter som staten och SKL ska genomföra blir jag modfälld igen: fastslå en process för att gemensamt identifiera och fånga behov av information gällande befintliga regler eller kommande förändringar av dessa, skapa förutsättningar för en säkrare läkemedelsprocess, bevaka intressen, sprida kunskap om initiativ samt vid behov ta fram nationell vägledning rörande EU-samarbetet.
Hur dessa aktiviteter ska kunna leda fram till ett gemensamt regelverk undgår mig, och om detta är det som ska genomföras fram till 2019 lär informationssäkerheten inte förbättras i vården på den här sidan decenniet.
Samtidigt är det uppenbart att säkerhetsproblemen blir allt större, bara de senaste dygnen har förlossningsvården i Stockholm drabbats , regionsjukhuset i Örebro haft stora och Nya Karolinskas patientlarm slagits ut av .
Själv har jag börjar samla på medierapporter om brister i informationssäkerheten i vården eftersom det saknas officiell statistik och det är mycket oroande läsning.
Jag känner en växande förtvivlan över att riskerna faktiskt inte tas på allvar av de som styr vården, inte ens då man sätter sig ner för att planera framtiden.
Problemen går inte att lösa för varje vårdgivare utan måste samordnas.
Det räcker det inte med att identifiera befintliga regelverk eller att nöja sig med att skapa säkrare läkemedelsprocess.
Det går inte heller att som i den nationella säkerhetsstrategin intressera sig för sjukvården endast i krigs- och krissituationer.
Vad som behövs är en stor samordnad satsning på normallägets sjukvård som du och jag är beroende av och då är det inte bara regelverk som ska samordnas.
Istället måste de politiker som gärna vill profilera sig som digitaliseringens ambassadörer se litet längre än nästa val, gräva litet djupare i fickan och börja bygga en integrerad säkerhetsarkitektur.
För att vi ens ska få en hyfsad e-hälsa som patienter kan lita på krävs en stor ekonomisk satsning, jag tänker mig en informationssäkerhetsmiljard med tanke på hur eftersatt området är.
Dessutom kompetens och uthållighet.
För att bli bäst i världen … ja, då krävs ännu mycket mer och av detta syns ingenting i handlingsplanen.
Innan jag fortsätter diskutera e-demokrati måste jag göra ett inlägg om en aktualitet: den nationella som presenterades på försvarsområdets Almedalen Folk och försvar.
Det är med viss förväntan jag läser strategin där ett helt avsnitt ägnas åt , illustrerat av ett stridsflygplan.
Det positiva med strategin är att det litet intrasslat beskrivs att digitaliseringen förutsätter bättre informationssäkerhet även om det känns som beskrivningen känns som ihopklippt från några gamla dokument.
Förväntan på att strategin ska innehålla något substantiellt och inriktande om informationssäkerhet avklingar tyvärr snabbt och stridsflygplanet visar sig vara en ganska kongenial illustration.
Fokus ligger helt och hållet på att upprätthålla funktionalitet i samhällsviktig verksamhet, mycket litet om ens något sägs om integritet, mänskliga rättigheter, riktighet, kvalitet eller effektivitet i verksamheten.
När tillit nämns är det tillit till digitaliseringen som nämns (!)
medan demokratifrågan är mycket avlägsen.
Detta att jämföra med den nationella strategi för som togs fram 2009 som hade som målbild: Medborgares fri- och rättigheter samt personliga integritet.
Samhällets funktionalitet, effektivitet och kvalitet.
Samhällets brottsbekämpning.
Samhällets förmåga att förebygga och hantera allvarliga störningar och kriser.
Näringslivets tillväxt.
Medborgares och verksamheters kunskap om, och förtroende för informationshantering och IT-system.
Den nu aktuella nationella säkerhetsstrategin omfattar hela säkerhetsområdet men skiljer sig också åt från andra strategier, inklusive den tidigare informationssäkerhetsstrategin, genom att inte ange några mål.
Istället inleds strategin med något som kallas ”Våra nationella intressen”.
Huruvida dessa intressen är tillgodosedda idag eller inte är oklart eftersom strategin raskt kastar sig över till ”hot” och ”åtgärder”.
Det ger en särskild prägel åt strategin eftersom den inte förmedlar några mål som skulle innebära nya möjligheter utan istället anlägger en defensiv hållning.
Detta är ganska långt ifrån regeringens offensiva inriktning inom digitaliseringsområdet.
Utmaningar som frammanas inom cyber- och informationssäkerhetsområdet anges de endast som förekommande i form av antagonistiska hot: Några exempel på sådana utmaningar är antagonistis­ka hot såsom informationsoperationer och elektroniska angrepp mot skyddsvärda informations- och kommunika­tionssystem, t.ex.
i form av datain­trång, sabotage eller spionage, exempelvis mot totalförsvarets verksamhet.
It-angrepp för att bedöma, påverka eller störa samhällsviktiga funktioner som ett förstadium till en väpnad konflikt hör också hit.
It-angrepp riskerar också att otillbörligt påverka utgången av demokratiska val.
Tyvärr finns det ju inget bra kunskapsunderlag om de bakomliggande orsakerna till störningar i informationshanteringen och hur de fördelas mellan antagonistiska respektive icke-antagonistiska incidenter.
Som jag tidigare skrivit finns det indikationer att de vanligast förekommande incidenterna är av typen uppdateringsproblem och programvarufel.
Detta stämmer även med den bild jag har efter rätt många år i branschen även detta liksom andra utsagor i frågan får ses som löst grundade antaganden eller anekdotiska bevisföringar.
Det är därför synd att strategin ensidigt inriktar sig på de antagonistiska hoten eftersom det riskerar att ge det fortsatta arbetet en slagsida som gör effektiviteten i nationellat mer begränsad.
Ytterligare en negativ aspekt med att uttala en så tydlig inriktning är att det ger intrycket av att det finns kvalitativt kunskapsunderlag i frågan.
Det kan i sin tur leda till att det nödvändiga arbetet med att hitta former för att skapa och ständigt uppdatera ett sådant kunskapsunderlag inte initieras.
Vilka åtgärder föreslås då för att komma till rätta med den allvarliga situation som målats upp?
Ja, det är ganska svårt att se några mer konkreta åtgärder vid sidan om sådant som redan finns eller redan är beslutat.
Det talas om de risk- och sårbarhetsanalyser respektive säkerhetsanalyser som redan är föreskrivna, om it-incidenter, om förslaget på ny säkerhetsskyddslag och om den nationell strategi för informations- och cybersäkerhet som bl.
a. bygger på NIS-direktivet som håller på att tas fram.
I övrigt rader som: Därtill bör arbetet med de globala dimensionerna av informations- och cybersäkerhets­frågorna intensifieras.
Vilket väl kan betyda vad som helst.
Kanske är det fel att förvänta sig något annat än det som redan framförts i andra sammanhang i den här typen av dokument, särskilt som den nationella strategin för informations- och cybersäkerhet är i antågande.
Det känns ändå som ett förlorat tillfälle att inte använda en strategi för att beskriva ett framtida önskvärt tillstånd och försöka skapa en helhetsbild.
Med denna bakgrund vill jag föra fram tre centrala önskemål på vad som borde ingå i den kommande informationssäkerhetsstrategin: Analysera och redovisa vilka olika syften som informationssäkerheten ska tjäna på samhällsnivå, även de som ligger vid sidan om att upprätthålla funktionalitet i beredskapssyfte.
Till exempel hur informationssäkerheten ska kunna stärka tilliten i viktiga samhällsfunktioner genom att säkerställa integritet, effektivitet och kvalitet.
Skapa organisatoriska former där olika informationssäkerhetsintressen kan samverka i en gemensam styrmodell – om informationssäkerheten annekteras och görs om till ett rent försvarsintresse kommer digitalisering, effektivitet, integritet och demokrati inte att kunna hanteras på ett rimligt sätt Skapa ett bättre kunskapsunderlag – det är särskilt viktigt att myndigheter går i bräschen och arbetar evidensbaserat i dessa faktaresistenta tider Både mål och åtgärder måste motsvara alla de olika behov som somt ska täcka.
Om strategin för informations- och cybersäkerhet inte klarar att omfatta andra aspekter än funktionalitet i ett beredskapsperspektiv kommer det att orsaka stora problem i den offentliga verksamheten.
Myndigheter, kommuner, landsting och även företag i välfärdsbranscher kommer då att bli tvungna att själva försöka skapa lösningar för att upprätthålla helhetsperspektivet på informationssäkerhet.
Resultatet blir fler stuprör istället för ökad standardisering och på sikt kanske ett nytt begrepp fastställas som täcker helheten och som kan ersätta ”informationssäkerhet”.

Fler verksamheter ska kunna falla under säkerhetsskyddet Flera organisationer ska kunna falla under säkerhetsskyddet Inom informationssäkerhetsområdet ska inte enbart konfidentialitet utan även riktighet och tillgänglighet bedömas Ett bortfall av, eller en svår störning i verksamheten som ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid kan leda till att en allvarlig kris inträffar i samhället.
Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt.
Det måste vara information och organisation som är i centrum.
Precis som standarden pekar på så är första steget att identifiera information, klassa den utifrån värdet och betydelsen för verksamheten inklusive betydelsen av att kunna uppfylla externa krav.
Att klassa system, vilket fortfarande förekommer, ger en i mitt tycke svag verksamhetsanknytning.
Detta eftersom det inte råder ett ett-till-ett-förhållande mellan verksamhet, informationsmängder och system.
Det är i de allra flesta fall bara en delmängd av en verksamhets information som hanteras i samma system och det är därför svårt att få en bild av informationens betydelse och värde för verksamheten genom att bara titta på ett system.
Ytterligare ett skäl att undvika att blanda samman klassning av information respektive av system kan illustreras av ett exempel jag använt flera gånger.
En kommun som ska klassa konsekvenserna av att informationen om att stänga fönstren och hålla sig inomhus vid en gasolycka inte når fram till invånarna kan inte bara klassa webbplatsen.
Istället måste man titta just på informationen, därefter se vilka bärare och rutiner som är lämpliga inklusive reservlösningar.
Att bara titta på webbplatsen belyser helt enkelt inte situationen.
Det måste finnas skyddsnivåer som är beskrivna för de bärare som används för informationen.
Med det avser jag system, applikationer och it-tjänster men även krav på hur den pappersbundna hantering som alltjämt finns kvar ska ske.
Skyddsnivåerna måste även innefatta krav på det fysiska skyddet som omger information och utrustning.
Skyddsnivåerna måste vara beskrivna på ett konkret sätt som går att använda som en kravspecifikation både för den egna verksamheten, dels som stöd vid upphandlingar.
Det måste gå att differentiera så att det görs åtskillnad på krav från de olika aspekterna konfidentialitet, riktighet, spårbarhet och tillgänglighet.
Att ha höga krav på tillgänglighet innebär på intet vis att man alltid har samma höga krav på konfidentialitet.
Åtgärder för uppnå det ena kan ofta motverka det andra vilket kan leda till att informationsklassning försämrar möjligheten att uppnå en anpassad säkerhet.
Det måste det finnas en aktiv förvaltning av både krav och föreslagna skyddsåtgärder så att de inte blir vilseledande och i värsta fall kan leda till en falsk trygghet som underminerar ett systematiskt säkerhetsarbete som hela tiden måste möta nya risker.
Jag har alltid förordat att information som faller under säkerhetsskyddslagen, d.v.s.
som kan på verka rikets säkerhet, ska behandlas separat eftersom det för denna information finns fastställda krav på rutiner och utrustning som ligger utanför verksamhetens normala miljö.
Det är ofta lätt att identifiera denna typ av information och skapa ett separat spår för den och sedan fortsatta den övriga klassningen.
Utredningen tycker att regeringen ska ta litet mer ansvar och ta fram en plan för digitaliseringen, tydliggöra ansvarsförhållanden, ställa krav på uppföljning m.m., m.m.
Man föreslår att antingen ska Esam plus litet annat flytta till ESV och utgöra en myndighetsfunktion för digitalisering.
Tjänsterna Mina meddelanden och e-legitimation ska förvaltas av myndigheten.
Alternativt kan en helt ny myndighet bildas för detta ändamål.
Man promotar Mina meddelanden och säger att det krävs en ny förordning för att bland annat reglera personuppgiftsansvaret i tjänsten Och trycker på att ”informationssäkerhet och integritetsskydd beaktas i varje skede av arbetet med att bygga ut den digitala förvaltningen”

Informationsklassning skada för rikets säkerhet som inte endast är ringa.

Meny Inläggsnavigering

Vad är det egentligen som ska skyddas?
En sammantagen bedömning

Förutsättningar i SS-ISO IEC 27002:14 Mina egna krav Test av KLASSA Den digitala agendan Regeringens strategi för en digitalt samverkande statsförvaltning Med medborgaren i centrum E-delegationen och Digitaliseringskommissionen

MENU MENU postat av Postad i , , , , , Postat av Postad i , Postat av Postad i , , , , Postat av Postad i , , , , Postat av Postad i , Postat av Postad i , , , , , Postat av Postad i , , Postat av Postad i , , , , , Postat av Postad i , , , , Postat av Postad i , , , , , , , ← → Sök efter:

effektiv styrning av utveckling, införande och förvaltning av nationella digitala tjänster åtgärder och incitament för att uppnå en ökad användning av de nationella digitala tjänsterna, och samverkan mellan offentlig och privat sektor i tillhandahållandet av de nationella digitala tjänsterna.
Lag (2010:566) om vidareutnyttjande av handlingar från den Informations- och cybersäkerhet, digitala risker

I boken får du stöd för att införa och förvalta Ledningssystem för informationssäkerhet (LIS), att klassa information, att göra riskanalyser och hur du kan integrera kraven från dataskyddsförordningen i det systematiskat.
Boken innehåller även konkreta exempel på hur en informationssäkerhetspolicy kan utformas.
Boken kan köpas eller via de vanliga nätbokhandlarna.

Informationssäkerhet – hur gör man?

Boken för dig som vill ha en överblick över vad informationssäkerhet är – och att arbeta praktiskt för att förbättra säkerheten

MENU MENU Sök efter:

Det är lätt att bli tidsblind men jag tror att vi även efterhand kommer att uppfatta våren 2020 som den värsta krisperioden i Sverige sedan andra världskriget.
Skadad av historiska studier är jag väl medveten om hur svårt det är att bedöma nutiden medan den pågår men har ändå blivit fascinerad av hur den nationella beredskapen fungerar när det som alla pratar om men ingen sett inträffar.
Det vill säga den stora samhällskrisen.
En termometer på hur väl det svenska krissystemet mår är den centrala myndigheten för dessa frågor Myndigheten för samhällsskydd och beredskap, MSB.
Jag hade egentligen, efter att ha studerat ett ganska stort antal allmänna handlingar, tänkt skriva om hur myndigheten hanterat det beryktade enkätverktyget.
Det är i sig en intressant historia som i delar redan skildrats av flera medier, kanske mest heltäckande av Arbetaren bland annat .
När man läser handlingarna är det så många överraskande steg allt sedan regeringen den 19 mars ger MSB ett uppdrag (Ju2020/01165/SSK) : Regeringen uppdrar åt Myndigheten för samhällsskydd och beredskap (MSB) att säkerställa att myndigheternas information med anledning av utbrottet av det nya coronaviruset är samordnad och tydlig samt att det finns effektiva kanaler för att föra ut informationen.
I uppdraget ingår att skyndsamt utarbeta ett nationellt informationsmaterial som på ett effektivt sätt ska kommuniceras till så många som möjligt.
MSB får 75 miljoner (!)
för att genomföra uppdraget under 2020, ett uppdrag som till synes inte på något sätt innehåller smittspårning eller insamlande av uppgifter.
Kanske är det de 75 miljonerna som snedvrider uppdraget från början, kanske lockar de 75 miljonerna till sig aktörer som ger myndigheten tips om vad de skulle kunna hitta på för att sätta sprätt på pengarna.
I vilket fall så är det inte MSB:s professionella kommunikatörer som får lead i detta jättelika kommunikationsuppdrag utan Avdelningen för cybersäkerhet och säkra kommunikationer.
Det formella beslutet på denna interna delning kommer den 26 mars, dagen efter att MSB bjudit in Folkhälsomyndigheten till ett möte där den förra myndigheten erbjuder den senare ett digitalt verktyg, allt enligt minnesanteckning från mötet: Kort möte med GD Folkhälsomyndigheten (FHM) sen em 25/3.
MSB tar upp initiativ kring digitalt verktyg för digital självskattning.
GD FHM positiv, betonar att ett sådant här verktyg inte ska driva fysisk testning i fel riktning.
Viktigt att anpassa svar på självskattning så respondenten inte förväntar sig att bara för att man gör digitalt test så får man fysiskt test.
Vad som händer under veckan där MSB:s samordningsuppdrag för myndigheters kommunikation angående corona övergår till att handla om ett digitalt verktyg för självskattning av smitta är för mig okänt men det är uppenbart att det är MSB som vill ha verktyget.
Litet småaktigt vill jag poängtera det eftersom jag själv blivit åthutad på sociala medier av en i utvecklingsarbetet involverad konsult när jag hävdade att det var så det låg till.
Några dagar efter åthutningen gick MSB officiellt ut och sa att det var på deras initiativ som verktyget .
Note to self som konsult: undvik att agera som dina kunders talesperson om du inte formellt blivit ombedd.
Enligt den juridiska utredning som MSB låter en extern byrå genomföra framgår det att det inte ingår i MSB:s uppdrag att bedriva smittspårning.
Därför måste man ha med sig expertmyndigheten FHM för att kunna genomföra projektet med digital självskattning.
Redan här går det se de problem som snart kommer att göra att projektet blir en återvändsgränd.
Rollen som samordnande myndighet kräver respekt för olika aktörers uppdrag och mandat och detta särskilt i trängda lägen, inte att man försöker ta över andra myndigheters uppgifter.
Sedan följer en närmast smärtsam historia fram till slutlig nedläggning via ett antal anhalter där det blir allt tydligare att ingen utom MSB (och leverantör samt konsulter) är intresserade av verktyget.
Kontentan blir x antal miljoner i sjön (konsultkostnaderna är inte medräknade i de 6,4 miljoner som MSB ska betala till leverantören), en granskning av Konkurrensverket och ett rejält tapp i anseende när MSB som bäst skulle behöva det.
Sannolikt har MSB tappat i förmåga att genomföra det egentliga uppdraget från regeringen: att samordna myndigheters information angående corona vilket knappast kan glädja uppdragsgivaren.
Det går att föreställa sig mindre trivsamma samtal på regeringskansliet.
Som en slutkommentar till Arbetaren säger MSB:s pressekreterare: Vi tar hellre kritik för att vi skyndar på att ta fram en lösning som på något sätt kan vara till hjälp när människor dör, än att få kritik för att vi sitter på händerna och inte gör något.
Vi ansåg att vi var, och är, i ett läge där det var viktigt att agera när det handlar om människoliv.
MSB reagerar alltså exakt på det sätt som jag skrivit om i ett tidigare , att göra NÅGOT känns alltid bättre även om detta något är inte leder framåt eller förbättrar situationen.
I krissituation är det viktiga tillit och att alla vet vem som ska göra vad.
I bakhuvudet gnager en liten olustig känsla av att myndigheten kan ha reagerat på yttre påverkan vilket lett fram till haveriet.
Det är lätt att glömma bort att de vanligaste påverkanskampanjerna är de ekonomiska.
Det skulle vara lätt att göra sig lustig över denna tragikomiska historia.
Det är inte min intention.
Istället får den mig, liksom många andra i dessa dagar, att reflektera över den svenska beredskapen och myndigheters förmåga.
Framförallt funderar jag på hur MSB (och andra myndigheter) förefaller så synnerligen oförberedda på en pandemi att man är tvungen att kasta sig in i så äventyrliga och ofruktbara aktiviteter som webenkäten.
Pandemi är verkligen inte en svart svan i ett riskperspektiv utan snarare vad Michele Wucker kallar en ”grå noshörning”: A “gray rhino” is a highly probable, high impact yet neglected threat: kin to both the elephant in the room and the improbable and unforeseeable black swan.
Pandemier har redan inträffat och har varit på MSB:s short list över samhällsrisker ända sedan myndigheten startade.
Ändå tycks inte nödvändiga förberedelser för samordning i en pandemisituation ha gjorts.
Detta ska inte MSB lastas för utan snarare de regeringar som styrt under perioden.
Kanske måste djurmetaforerna gå vidare till svarta strutsar (ja, jag vet att det inte är så i verkligheten att strutsar gräver ner huvudet vid annalkande fara men det är en bra metafor).
Nu pratas det i alla politiska läger om vikten av att förbättra den civila beredskapen och kanske till och med snegla tillbaka till beredskapens guldålder i Sverige: .
Problemet med detta är att det innebär att ett antal av dagens heliga kor måste slaktas om det ska fungera.
Det är inte bara mycket stora ekonomiska resurser som behövs.
Vi har under närmare 40 år demonterat den starka staten som är en förutsättning för en sammanhållen nationell beredskap och istället privatiserat och fragmentiserat ansvaret utan tanke på hur alla skärvor ska kunna skapa en helhet då det behövs.
Typexemplet på detta är ansvarsprincipen som inte är inskriven i någon lag men som har haft en förödande inverkan på den gemensamma styrningen av krisberedskapen.
Fragmentiseringen har inte kompenserats med en stark myndighet som nationellt nav.
MSB:s roll är istället att försöka samordna utan sammanhållen nationell planering och i stort utan mandat att faktiskt styra samhällsviktiga aktörer.
Fallet med webenkäten får tolkas som ett utslag av MSB:s omöjliga roll och borde vara ett exempel av många som bör leda till att ansvarsprincipen omprövas och att en verklig krisberedskapsmyndighet med fullt mandat skapas.
Kriser har den fördelen att de oftast tar slut.
Att framgångsrikt hantera kriser bygger därför på att man inte bara hanterar nuet utan även framtiden.
Folkhälsomyndigheten har varit beundransvärda i att de lyckats hålla blicken uppe och fått allt fler att förstå att bekämpningen av coronaviruset inte bara handlar om drastiska åtgärder här och nu utan att vi både måste tänka på nästa virusvåg som kanske kommer redan i höst.
Ett annat budskap är att vad som ska värnas är folkhälsa där virusbekämpningen inte får överskuggande sekundäreffekter som i skapar större ohälsa och död än själva viruset.
Däremot når nu MSB:s insatser en sådan nivå att de t.o.m.
får vara med i satirinslaget i P1, en ynnest som är få myndigheter förunnad.
Inslaget handlar förstås om den famösa enkätappen som jag omnämnde i mitt förra och som nu även tagits upp i MSB har hintat om lanseringen av appen med en näraliggande men okänd startpunkt.
Tyvärr har myndigheten inte någon kommunikationslinje i frågan, vid konkreta frågor som i Eko-inslaget kommer endast undflyende svar.
Jag kan förstå det.
Det är svårt att sälja in en lagring av personuppgifter på befolkningsnivå i en amerikansk molntjänst.
Eftersom jag själv varit engagerad i svagheterna i projektet Hälsa för mig så har jag svårt att känna stark tilltro till att det snabbt går att vispa ihop en dylik tjänst med tillräcklig säkerhet och med tillräcklig respekt för dataskyddsförordningen.
Det är ju liksom ingen slump att eSam gjort ett om det olämpliga i att använda molntjänster när personuppgifter eller annan känslig information förekommer.
Vid sidan om själva enkätappen är MSB:s kommunikation den lika märklig.
Grunden för fungerande kriskommunikation är att inte skapa mer oro än nödvändigt utan delge de fakta som finns och som är relevanta i den aktuella situationen.
MSB har nu haft några olyckliga veckor trots att de ska vara samhällets experter på kriskommunikation.
Kanske tröttnade man att vara transportsträckan i dagliga presskonferensen på Folkhälsomyndigheten och att det var orsaken till att man helt plötsligt spicade upp sin monotona redogörelse om samordningsmöten med länsstyrelserna med att föranstalta en möjlig vattenbrist.
En signal som ledde till att redan hårt tyngda kommuner fick svara på helt irrelevanta frågor om icke-existerande vattenbrister från oroliga medborgare och medier.
Sedan detta smyglanserande av enkätappen som skapar frågor som inte besvaras utan skjuts till en obestämd framtid.
Detta leder inte till en större tillit i krisen.
Någon skulle kunna invända att nu när vi står inför en så stor kris som denna blir frågor som säkerhet och integritet underordnade.
Jag håller inte med om detta utan som jag skrev i mitt tidigare inlägg så är det när vi är som mest pressade som vi måste försöka tänka klart och följa de rutiner vi satt i normalläget, t.ex.
gällande riskbedömningar.
Vi ser nu hur det runt om i världen sker överträdelser mot grundläggande rättigheter och att auktoritära medel som inkräktar på individens sfär alltför villigt vidtas.
I Sverige har vi en lång stabil tradition av tillit och respekt men det finns ingen garanti att vi klarar att bevara detta.
Att myndigheterna sköter sig, inte genar eller agerar impulsivt är också grunden för den tillit som krävs för krisbekämpningen – inklusive att genomföra smittspårning m.m.
Efterklokt skulle man möjligen kunna kritisera myndigheterna för att de inte tagit fram ett smittspårningsverktyg i mellantiden sedan svininfluensan för ett decennium sedan utan börja ad hoca nu för då skulle säkerhetsfrågorna sannolikt kunnat hanteras på ett systematiskt sätt men det båtar föga.
Naturligtvis skulle man kunna säga att det är dumt att spekulera när så litet är känt och allt det jag skriver nu står på en mycket vacklande grund.
Ändå är detta en så viktig fråga att det är svårt att låta bli och spekulationernas kvalitet blir även den ett resultat av MSB:s kommunikationsplan.
För mig är det svårt att förstå hur en kombination av inloggning med BankID, amerikansk molntjänst och och känsliga personuppgifter inte skulle leda till mycket stora risker och att dataskyddsförordningen inte kan efterlevas.
MSB:s gedigna juridiska kompetens har möjligen gjort en annan bedömning men det är just den man skulle vilja ta del av, särskilt som den rimligen redan är färdigställd om breddlanseringen ska ske i dagarna.
Med den som underlag skulle kriskommunikationen kunna ske utan att orimliga spekulationer och onödig oro uppstår.
Mitt förslag är att, särskilt efter medieuppmärksamheten, MSB omedelbart presenterar den som är av stort intresse särskilt för oss som följt diskussionerna efter eSams uttalande.
Har MSB lyckats knäcka den nöten så är det stora nyheter för både Eller så har jag och en hel del andra missuppfattat upplägget (inte alls otroligt) och då vore det ju bra om MSB gick ut och beskrev hur det egentligen ser ut.
Är det så att MSB inte har ett vattentätt underlag så kommer man att underminera det mycket mödosamma arbete som bedrivs i många, om inte de flesta, organisationer, idag för att nå fram till ett ansvarsfull sätt att hantera molntjänster.
Detta menar jag vore förödande för MSB som den myndighet som ska samordna samhälletsslarvar med säkerheten.
Det skulle leda till att det svenska samhället skulle få ännu svårare att bemästra de mycket utmanande uppgifter vi redan står inför.
MSB:s egen verksamhet är ett show room för hur det är tänkt att andra myndigheter ska agera och förutom legitimitet finns det också mycket reell säkerhet att förlora om inte MSB klarar sin roll att leda genom sitt exempel.
MSB:s skrift Om krisen eller kriget kommer har en aningen märklig titel som om det finns ett krisfritt alternativ.
Jag tror både myndigheten och vi andra skulle tjäna på att ”när” snarare än om, i alla fall när det gäller kriser.
När krisen verkligen kommer skapas ett skilje där organisationer och individer ofrivilligt visar sitt virke, om man klarar att fungera rationellt även under press.
Planering för vad som ska göras när allt står på ända är ett bra sätt att stärka sitt virke.
Så än mer att kunna upprätthålla sina principer och sin planering när krisen väl inträffar.
Länge fanns en syn att säkerhet var ett hinder för en fungerande verksamhet.
Långsamt har vi tagit oss till en situation där allt fler ser att säkerhet inte är hinder för verksamheten utan en förutsättning, och då alldeles särskilt i svåra situationer.
Vi kan inte gå tillbaka till ett antingen det ena eller det andra, vi måste fortsätta kämpa för både effektivitet och säkerhet.
Det är bra om MSB befinner sig på rätt sida i det arbetet så att inte nya stora problem har skapats som ger utslag när krisen väl är över.
Jag ska nu kort återkomma med en uppdatering gällande SKR och överföring av känslig information till denna intresseförening, för bakgrund se .
För att sammanfatta frågan så har SKR växt som en gökunge i den svenska förvaltningen och fått/tagit allt fler myndighetsliknande uppgifter trots att man, som SKR själva ivrigt hävdar, inte är en myndighet utan en arbetsgivare- och intresseförening.
Därav följer att SKR inte har det ansvar och den insyn som en myndighet och vi som medborgare egentligen saknar möjlighet att kontrollera och utkräva ansvar av föreningen.
SKR ligger helt enkelt utanför den styrning som den svenska förvaltningen bygger på och det är svårt att ens se vilken lagstiftning som är tillämplig.
Detta förhindrar den kritiska granskning som offentlighetsprincipen möjliggör för myndigheter även om SKR ibland försöker vilseleda genom att hävda att de handlingar som hanteras inom föreningen blir offentliga när de inkommer till medlemmarna.
Häromdagen fick jag detta l mig tillsänt där Marie Morell (m), ordförande för sjukvårdsdelegationen på SKR, hävdar just detta i en fråga som har en ekonomisk betydelse för enskilda: – Vi har kontaktat dem och skickat ut material till dem vid ett flertal tillfällen.
Det är viktigt att de skapar någon form av branschråd så att vi har en motpart att arbeta med.
Vi är en ideell förening och som sådan lyder vi inte under offentlighetsprincipen.
Men handlingarna blir offentliga så fort de inkommer till respektive region eller kommun, säger Marie Morell.
Det finns alltså ingen insyn i själva processen och som jag tidigare visat är det högst tveksamt vilka av SKR:s många ”interna” dokument som verkligen ses som inkomna till medlemmarna.
Att inte ens handlingar i beredande organ hos SKR blir allmänna handlingar hos de regioner/kommuner som har representanter i dessa organ är för mig tämligen hårresande och jag försöker förstå vem en sådan representant tror sig vara.
En privatperson som blivit invald i hembygdsföreningens styrelse (inget ont om hembygdsföreningar)?
Nu när offentlighetsprincipen är hotad från olika håll känns det extra angeläget att slå vakt av denna för Sverige (och Finland) unika medborgerliga rättighet.
I mitt framförde jag dock att det är likaledes viktigt att se vilka risker det innebär att kommunicera känslig information med en aktör där OSL inte kan tillämpas.
Grunden för att kunna skydda känslig information när den utbyts med utomstående parter är att reglera hur informationen får hanteras.
När det gäller utbyte mellan myndigheter finns denna reglering i huvudsak redan på plats genom lagstiftningen (även om jag tycker att det ofta finns anledning att förtydliga relationen myndigheter emellan).
Här intresserar jag mig inte för säkerhetsskyddsområdet utan framför allt den lagstiftning som gäller normala verksamhetsförhållande men där mycket starkt krav på konfidentialitet finns t.ex.
gällande samhällsviktig verksamhet.
Notera att det där även finns annan lagstiftning som är ytterst relevant som exempelvis Krisberedskapsförordningen.
Denna reglering saknas då information ska utbytas med privata aktörer som företag och, som i det aktuella fallet, föreningar.
Då måste menar jag ett avtal slutas som beskriver villkoren för att informationen ska kunna lämnas ut, åtgärder som ska vidtas och ansvarsförhållanden.
För att reducera att konfidentiell information kommer i orätta händer bör man även minimera informationen som utlämnas till det absolut nödvändiga samt ålägga motparten att säkerställa att endast de som verkligen behöver informationen kan ta del av den.
Enligt mitt resonemang är det alltså en självklarhet att myndigheter måste använda sekretessavtal eller motsvarande när de tänker utbyta information med företag och föreningar.
Därför frågade jag två myndigheter som på olika sätt har ett ansvar för samhällsviktig verksamhet om de slutit sekretessavtal med SKR.
Först gick frågan till MSB som ju har ett mycket omfattande ansvar i dessa frågor: Hej!
MSB har ett omfattande samarbete med SKR i olika frågor.
Vissa av dessa frågor kan vara av känslig karaktär som kommuner/regionens insatser i det civila försvaret, samhällsviktig verksamhet, informations- och cybersäkerhet osv.
I dessa frågor utbyts rimligen känslig information.
SKR är en intresseförening som inte omfattas av OSL på samma sätt som en kommun/region, ett kommunalförbund eller ett kommunalt bolag.
Jag är därför intresserad av att ta del av det samarbetsavtal med vidhängande sekretessregler eller motsvarande som utgör reglering av dessa frågor i relationen mellan SKR och MSB.
Efter tämligen lång tid och en påstötning fick jag följande svar: Jag måste först beklaga att du fått vänta på ett besked men på grund av olyckliga omständigheter har beskedet fördröjts.
Genom en sökning i vårt diarium har vi hittat två avtal med SKR: Du har rätt att begära ett skriftligt beslut som går att överklaga.
Skriv till .
För ögonblicket är jag inte så intresserad av det civila försvaret som ju knappt kommit igång så därför gick jag in på .
Det är upp till varje läsare att ta ställning men jag kan inte se att detta dokument på något sätt reglerar sekretessen i förhållande till SKR.
Detta kan synas extra anmärkningsvärt i dessa coronaapokalysens tidevarv när Socialstyrelsen sekretessbelägger information för media om vårdens p medan intresseföreningen SKR sitter med på MSB:s samordningskonferens i samma fråga.
Visserligen togs sannolikt inga känsliga frågor upp då SKR var med men det visar den vinglighet som finns då det gäller just SKR .
Jag ställde samma fråga till eHälsomyndigheten som tillsammans med bland annat SKR arbetar med den nya in (återkommer inom kort angående detta alster) och där man får gissa att det för en del diskussioner om kritiskt infrastruktur osv.
Från denna myndighet fick jag bara ett kort nej på frågan.
Detta är förstås bara två stickprov men ändå från myndigheter som är vana att hantera sekretess.
Det kan tyckas litet märkligt efter allt som hänt med Transportstyrelsen och andra incidenter där information överförts på oklara grunder.
Mitt intryck (bekräftat av ett antal tjänstepersoner på andra myndigheter) är att myndigheterna helt enkelt inte tänker på att SKR inte är en myndighet utan utgår från att föreningen är som vilken deltagare som helst i myndighetssamarbetena.
Inte heller kommuner och regioner verkar reflektera särskilt över detta utan överför utan förbehåll känslig information till det de i vissa fall verkar se som en ”överordnad” aktör.
Detta även då det gäller informationssäkerhet.
Nyligen skickades ett mail ut från SKR: Klassa 4.0 har varit efterfrågat länge och nu finns finansiering för ett projekt som inleds i nästa vecka.
Det blir flera förändringar i den nya versionen, bland annat förbättringar av befintlig funktionalitet, bland annat uppdateringar av kravkataloger som genererar uppgifter till handlingsplanen och en nödvändig översyn av upphandlingskraven.
Dessutom blir det en hel del ny funktionalitet, t.ex.
: – En ny modul för att mäta organisationens mognad, – Möjlighet till uppföljning och att ta ut nyckelvärden för organisationen och anpassat till målgrupp, – Möjlighet för SKR att ta ut nationell uppföljning på aggregerad nivå, – Stöd för CISO i det systematiska arbetet och – Modul för riskanalys.
Dessutom kommer SKR att förstärka sin organisation för att kunna avsätta mer resurser till förvaltning av Klassa.
Det kommer att öppnas en möjlighet för statliga myndigheter att använda Klassa.
Verktyget kommer dock fortsatt att ägas av SKR med kommuner och regioner som primär målgrupp.
Detta menar jag är ett projekt som bör utsättas för en mycket grundlig riskanalys!
Dessutom kan det verkligen ifrågasättas varför denna nationellt intressanta information ska ägas av en förening utan insyn och där det inte heller går att bedöma säkerhetsriskerna.
Det är dags för en mer omfattande diskussion om SKR:s roll.
Myndigheterna bör också ha en konsekvent linje i förhållande till ”förvaltningsskvadern” – antingen är man en myndighet med det fulla ansvar som en sådan har eller så få man återgå till att vara en arbetsgivarorganisation en arbetsgivarorganisation som i huvudsak ägnar sig åt sina medlemmars avtalsfrågor.
Sekretessavtal bör i dagsläget vara ett minimikrav för alla myndigheter, inklusive kommuner och regioner, som utbyter känslig information med SKR på samma sätt som man reglerar relationen med vilken privat aktör som helst.

Överenskommelse om kommunernas krisberedskap (dnr MSB 2018-09779) Överenskommelse om kommunernas arbete med civilt försvar (dnr MSB 2018-05681) Bilaga 1 omfattas av försvarssekretess (15 kap.
2 § offentlighets- och sekretesslagen (2009:400) och lämnas inte ut.

om En av nätläkarna tycker att det verkar ha varit en bristfällig konsekvensanalys inför beslutet och att det är märkligt att SKL:s handlingar inte omfattas av offentlighetsprincipen.

MENU MENU Postat av Postad i , , , Tagged , , Postat av Postad i , , , , , Tagged , , , Postat av Postad i , , , , Tagged , , , , , , , Sök efter:

Under de (alltför) många år jag arbetat med informationssäkerhet har ingen företeelse varit mer omhuldad än de standarder som använts som stöd i arbetet.
När jag började var det BS 77 99 och nu har vi en hel 27000-familj.
Även om jag under alla år har haft en god hjälp av standarderna har jag aldrig riktigt kunna gripas av samma entusiasm som de många, inklusive utgivare av myndigheters föreskrifter, som sett standarderna som ett magiskt spö som det i princip räcker att hänvisa till så försvinner säkerhetsproblemen.
Jag har redan skrivit ett antal inlägg, bl a och berör den ganska problematiska övertro som finns i Sverige till standardens kraft att skapa bättre informationssäkerhet.
Med tiden har jag kommit att fråga mig om sättet att se på framför allt ISO 27000 kanske snarare stjälpt än hjälptt.
En rejäl tankeställare fick jag när jag hade uppdraget att försöka få in säkerhetsperspektivet i en utredning om e-hälsa.
Få saker har jag misslyckats så kapitalt med och en av orsakerna, förutom mina egna brister, var att både utredaren och utredningens sekretariat så fort frågan kom upp smashade bort den som en irriterande fluga med: vi gör en hänvisning till att standarder ska användas.
Eftersom jag inte förstår en vink när jag får den eller snarare bryr mig om den så fortsatte jag och försökte även få ett förtydligande vilka standarder som skulle användas och hur.
Som ni säkert förstår fick jag aldrig några svar på mina frågor utan det ansågs helt tillfyllest att säkerhetsproblem skulle hanteras via ”standarder”.
Självklart förstår jag lockelsen i att det skulle kunna fungera så.
Problemet är att det inte gör det.
Om man tittar bakåt så var standarder i industrisamhällets begynnelse en typ av nationella och internationella överenskommelser om framför allt utformningen av tekniska produkter och mått.
En av mina favoriter är standarden för avstånd mellan hålen för .
Det är ju ett sant kaos som väntar om hålslagen utformas hur som helst och ingen vet vilka pärmar som kan användas för vilka papper.
Men vad händer egentligen när man flyttar över standardiseringsidéen från vidden för järnvägsspår till hur organisationer ska styra olika verksamhetsområden?
När standarder som framtagits utan kontroll från lagstiftare och den egna förvaltningen ska leva sida vid sida med den ordinarie styrningen?
I en mycket intressant från Örebros universitet har författarna (Andersson, Karlsson och Hedström) genom diskursanalys försökt förstå hur framtagandet av standarder i 27000-serien egentligen går till.
Som en bakgrund gör de en åtskillnad mellan s.k.
de facto-standarder som ta fram av ett företag eller flera företag tillsammans som har ett konkret behov av standardisering.
Den andra typen av standarder benämns de jure-standarder som kan utvecklas av olika lagstiftande organ alternativt myndigheter eller av oberoende standardorganisationer som ISO.
27000-serien är alltså en de jure-standard men ligger utanför det lagstiftande området.
Artikeln lyfter också fram att denna typ av standarder strävar efter att skapa en konsensus av vad som bland experter inom området anses vara ”best practice” vilket även framgår tydligt i arbetet med informationssäkerhetsstandarden: De jure standards play a central role in information security, and organizations are increasingly required to demonstrate compliance with them ( ; ).
Det kan alltså ifrågasättas vad standardens ställningstagande egentligen bygger, om dess anspråk på att vila på ”best practice” uppfylls.
Eftersom den inte bygger på evidens skulle dess USP bestå just i en erfarenhetsbaserad kunskap.
Om inte denna grund finns påverkas naturligtvis standardens legitimitet.
Senare i artikeln framgår på ett litet roande och samtidigt avslöjande sätt hur ytterst få som deltar i standardarbetet även om man tågat omkring på standardiseringsmötena som en fåmansprocession under beteckningen ”Sweden”.
Artikelförfattarna gör en maktanalys av själva arbetet med framtagandet av standarder men jag tycker att en vidare maktanalys av hur en mycket liten krets knutna till standardarbetet har haft ett helt dominerande inflytande över svensk förvaltnings arbete med informationssäkerhet.
Resultatet har blivit en hegemonisk doktrin om att ISO 27000 är den enda framkomliga vägen att arbeta med informationssäkerhet i svensk förvaltning trots att denna doktrin vare sig bygger på evidens eller ”best practice”.
Så här 11 år efter att ISO 27000 pekades ut som vägledande för svenska myndigheters arbete med informationssäkerhet i MSB:s föreskrift MSBFS 2009:10 (ytterligare markerat i de följande föreskrifterna fram till den nu gällande MSBFS 2020:6) så tycker jag inte det är uppenbart att det var ett helt lyckat vägval.
Detta bygger jag på attt knappast kan ses som särdeles framgångsrikt mätt med tillgängliga måttstockar, d.v.s.
de granskningar som gjorts både generellt och de som gjorts med inriktning på samhällsviktiga sektorer som exempelvis sjukvård.
Låt oss komma ihåg att detta inte är den enda möjliga vägen att välja.
I Finland antogs i år en av informationshanteringsnämnden under finansministeriet som explicit undviker att hänvisa till någon standard: referensramar och ger inga anvisningar om tekniska lösningar, som kan förändras till och med snabbt.
Utifrån en riskbedömning som görs från fall till fall ska varje myndighet välja tillräckligt säkra tekniska lösningar som är lämpliga i den aktuella situationen.
Jag kommer ihåg att ansvariga för Normen i Norge förde samma resonemang i sina reglervården, man ville inte referera till någon särskild standard.
Uppfattningen var att det var möjligt att plocka ut det man ville ha ur standarder utan att behöva ansluta sig till en helhet som inte kunde kontrolleras av norsk sjukvård.
När standarder lämnar tekniska specifikationer och övergår till organisatorisk styrning uppstår paradoxala effekter.
Jag tänker nu på att ISO 27000 innehåller mycket allmänna krav, att det ska finnas informationsklassning men inte hur den ska utföras eller vilken normskala som ska tillämpas.
Varje organisation ska själv ta fram sitt eget komplexa ledningssystem med de komponenter som anvisas i standarden men utformningen och tillämpningen kommer att se väldigt olika ut, det tror jag varje erfaren konsult kan intyga.
Istället för centrala regler som specificerar olika lösningar får vi alltså en mängd olika regelverk som ska användas i samma infrastruktur.
Standarden leder alltså sannolikt till mindre standardisering på grund av sin inriktning på enskilda organisationer istället för på helhet.
Bräckligheten i kunskapsunderlaget och det fragmentiserade resultatet är två orsaker att ompröva ISO 27000 ställning i den offentliga verksamhetensi Sverige.
Vi behöver inte kasta ut barnet med badvattnet men vi måste våga ifrågasätta doktrinen även om de som har byggt upp en stark ställning med hjälp av standarden riskerar att ta illa upp.
Informationssäkerhet är en för viktig fråga för att vi ska ha råd med heliga principer som inte tål att diskuteras.
Eftersom frågan om spårbarhetens vara eller icke vara som en självständig aspekt av informationssäkerhet är återkommande diskuterad ska jag här göra ett inlägg i frågan.
Bakgrunden är den så kallade CIA-triaden som kommer från engelskans Confidentiality, Integrity och Availability vilket ofta på svenska översatts till konfidentialitet, riktighet och tillgänglighet.
Detta är kanske inte en optimal översättning vilket möjligen är en delorsak till de olika uppfattningar som finns om hur detta ska tolkas.
Huvudorsaken skulle jag dock vilja hävda att det med förvånande kraft hävdas att det bara finns en möjlig beskrivning av vad arbetet med informationssäkerhet syftar till och att det fångas i den svenska definitionen.
Vi (inte så få) som vill problematisera begreppen för att få dem mer anpassade till de behov vi uppfattar finns möts av tystnad.
För att ge så gott underlag som möjligt för en diskussion ska jag försöka vara tydlig och transparent som möjligt i min argumentation och hoppas att få svar i samma anda.
Utgångspunkten för mitt resonemang är ett statement som jag mer uppfattar som en dogm och som ofta formuleras som kofindentialitet, riktighet och tillgänglighet är den verkliga kärnaspekterna i informationssäkerheten och att spårbarhet är en osjälvständig stödfunktion till de övriga tre.
Nyligen såg jag det formulerat som fast sats: konfidentialitet, riktighet och tillgänglighet är tillstånd, spårbarhet en förmåga.
Vare sig eller kan härledas ur ISO/IEC 27000:2018 (ordlistan för 27000-serien) som genomgående använder property som exempelvis: property of accuracy and completeness Property kan översättas som egenskap.
Inte heller i den terminologi som tagits fram av en arbetsgrupp i SIS: Teknisk Rapport SIS-TR 50:2015 (kan tyvärr inte länka eftersom den inte är fritt tillgänglig) återfinns tillstånd respektive förmåga i denna betydelse.
I rapportens inledning står det: Informationssäkerhet handlar därför om hur informationens konfidentialitet, riktighet och tillgänglighet ska bevaras så att organisationens krav kan uppfyllas.
Dessa egenskaper kompletteras ibland även med en eller flera andra egenskaper, såsom spårbarhet, oavvislighet, ansvarighet, autenticitet och auktorisation.
Här definieras alltså konfidentialitet, riktighet och tillgänglighet som men så även bland annat spårbarhet.
I övrigt förekommer begreppet tillstånd litet här och var men aldrig på det sätt som i satsen ovan.
Närmast kommer man i beskrivningen av informationssäkerhetsmodell: Enheterna i ett system indelas i logiska grupper av subjekt (användare och deras processer), objekt och resurser.
Egenskaper hos ett önskvärt, ”säkert” tillstånd definieras och det visas att varje tillståndsövergång bevarar säkerheten vid övergång från ett till-stånd till ett annat.
Ett säkert tillstånd kräver att samtliga tillåtna åtkomstfall överensstämmer med fastställda säkerhetsregler.
Jag tolkar denna beskrivning liksom de andra tillstånd som ändå förekommer i handboken (exempelvis av redundans, anonymitet m.m.)
som en sammansatt helhet som resulterar från flera/många säkerhetsaktiviteter.
Riktighet definieras exempelvis som endast: skydd mot oönskad förändring vilket jag gissar ska läsas med en koppling bakåt till inledningen; att det är en eller möjligen en funktion.
Synsättet att det finns etablerade definitioner som ”tillstånd” respektive ”förmåga” verkar vara en uppfattning som får anses begränsat till vissa företrädare i Sverige som inte har stöd i den terminologi som tagits fram.
Detta synsätt verkar inte hämtat från något internationellt etablerat sammanhang vilket det räcker att göra en slö koll på Wikipedia för att upptäcka.
I artikeln Informations security anges som key concepts som första punkt CIA- triaden med följande beskrivning The CIA triad of confidentiality, integrity, and availability is at the heart of information security.
Inte heller i den svenska akademiska diskussionen förefaller det finnas konsensus eller ens en särskilt omfattande diskussion om CIA-begreppen.
Det gör att jag särskilt höjer på ett ögonbryn då akademiker på högre nivå utan närmare förklaring anammar satser som den ovan beskrivna utan förtydliganden.
Jag är helt enig i att detta är ett key concept – då borde det förtjäna en behandling på akademisk nivå som motsvarar dess betydelse.
Fördelen med att det saknas etablerade och allmänt accepterade definitioner är att det skapar en frihet att undersöka vilket förhållningssätt som är mest ändamålsenligt och samtidigt logiskt konsistent åtminstone på en basal nivå.
Personligen finner jag inte begreppen tillstånd respektive förmåga som särskilt tydliggörande men möjligen kan en begreppsmodellering där tankarna om detta redovisas på ett öppet sätt uppenbara en logik som jag missat.
Om vi ändå i detta sammanhang kan utgå från att det finns ett antal egenskaper som är centrala för att skapa god informationssäkerhet så är nästa fråga vilka dessa är.
Inte heller här råder den fullständiga enighet om CIA-triaden vilket man ibland kan förledas att tro.
Parkerian Hexad konstruerades redan 1998 av som adderade tre aspekter till den ursprungliga triaden: Authenticity, Availability och Utility.
Även aktuella svenska exempel på kritisk diskussion om CIA triaden.
Det av MSB finansierade forskningsprojektet SECURIT landade bland annat i antologin där ett bidrag ( av Björn Lundgren) starkt ifrågasätter CIA-triaden.
Jag kanske inte är helt övertygad om den modell som forskaren anser borde ersätta CIA-triaden men i detta sammanhang är det ändå viktigt att poängtera att det är väl värt att diskutera frågan.
ISO 27000 öppnar ju också upp för att triaden kan kompletteras med ytterligare egenskaper vilket också sker exempelvis i själva standarden i avsnittet om kryptering.
Noterbart är att ISO-standarderna inte har en konsistent hantering av begreppen sinsemellan trots att de riktar sig mot samma objekt (i detta fall informationshantering).
I SS-ISO 30300 (hantering av verksamhetsinformation) anges målen vara vilket är snubblande nära ISO 27000 men med andra definitioner.
I SS-ISO 15489 (Dokumenthantering) är ett tillkommande mål autenticitet.
Här bör en begreppsmodellering göras, särskilt som SS-ISO 30300 börjat spridas främst genom SKL.
Även här finns alltså ett behov av att göra sig redo för att öppna upp och diskutera om och hur centrala begrepp ska användas.
Själv menar jag att det finns skäl för att se närmare även på autenticitet men här ska jag koncentrera mig på spårbarhet.
Istället för att som nu negligera spårbarhetsbegreppet finns det anledning att lyfta upp det och se hur dess betydelse ökat under de senaste årtiondena och detta i flera dimensioner.
För det första är det den mest självklara dimensionen att på ett säkert sätt kunna följa vad som hänt i informationshanteringen både som en följd av mänsklig aktivitet och som tekniska händelser.
I det allt mer transaktionstäta informationsflödena där en mängd aktörer är detta en alltmer central funktion.
Här gäller detta att även uppfatta egenskapen spårbarhet som en negation, det vill säga att undvika spårbarhet till exempel som skydd för den personliga integriteten.
För att bara räkna upp några krav som inte endast omfattar informationens konfidentialitet, riktighet eller tillgänglighet utan där det också ställer krav på en hög grad av spårbarhet: Kraven på spårbarhet har också en tydlig koppling till konkreta säkerhetsåtgärder där loggning är den främsta åtgärden för att skapa spårbarhet i it-tjänster.
Loggning sker även i ett antal andra typer som i inpasseringskontrollssystem, telefoni, chatt och andra kommunikationslösningar.
I den manuella informationshanteringen kan det behöva finnas rutinerna som bland annat kan omfatta signering, vidimering, kontrollerad versionshantering och kvittensförfarande.
Observera också att om dessa åtgärder inte kan matchas mot ett definierat krav på spårbarhet kan det innebära stora merkostnader, inkräktande på den personliga integriteten och ytterst leda till lagöverträdelser om det inte går att motivera åtgärden.
För att illustrera behovet inom den samhällsviktiga verksamheten sjukvård finns det gott stöd att hämta i det paper som presenterades av Ella Kolkowska, Karin Hedström och Fredrik Karlsson vid Örebro University på en konferens redan 2009: (tillgängligt via DIVA).
Spårbarheten är alltså direkt kopplad till målsättningen för kärnverksamheten och ytterst till patientsäkerheten.
Att då som SKL ta bort spårbarheten ur sitt klassningsverktyg förefaller inte direkt som att anpassa säkerheten efter verksamhetens behov och inte heller att värna sina medlemmars intressen.
Observera också att spårbarhet inte enbart handlar om att spåra användares aktiviteter utan själva informationen.
Här finns en naturlig övergång till de andra syften som spårbarheten kommer att behöva tjäna i allt högre grad.
Den första är för att skapa autenticitet, en kvalitet som blir allt mer uppenbart nödvändig.
Spårbarhet är en tydlig faktor för att kunna skapa autenticitet och oavvislighet vilket är ett krav från arkivsidan.
I den informationshantering som sker i offentlig sektor borde alltså rimligen spårbarhet upphöjas till triadnivå, särskilt sett till kravet på rättssäkerhet och att kunna tillhandahålla information för forskningsändamål.
Jag lämnar nu autenticiteten i förhoppningen att övertygelsen om betydelsen är väl känd.
Istället ska jag skriva om något som tilltar ännu mer i betydelse, nämligen möjligheten att reproducera information.
Idag sammanställs den information som visas på skärmen från ett växande antal källor, olika tjänster och applikationer.
För att kunna reproducera information såsom den såg ut vid ett visst givet tillfälle kommer att krävas allt mer avancerade funktioner av spårbarhet.
Den som har följt ett it-avbrott på närmare håll vet att den inte enbart leder till tillgänglighetsproblem utan även till en rad andra negativa konsekvenser.
En sådan är att man ofta får versionsproblem där blir svårt att säkerställa vilken den senaste versionen av olika informationstyper var.
När fel version av en delmängd körs kan det skapa mycket stora problem där hela tilltron till informationslösningen kan gå om intet.
En fatal variant är när information förlorats utan att det går att spåra att den försvunnit.
För att sammanfatta: jag kan inte se att det finns något stöd för att begreppen tillstånd respektive förmåga är etablerade som beskrivning för olika aspekter av informationssäkerhet utan snarare att skulle vara det mest använda internationellt begreppet vilket också används i ISO 27000.
Det görs heller ingen hierarkisk skillnad mellan egenskaper av den typ som framgår i uppdelningen tillstånd/förmåga.
För att försöka vara vitsig är det svårt att spåra var uppfattningen om tillstånd/förmåga har uppstått och på vilka grunder.
CIA-triadens uppräkning av egenskaper är återkommande diskuterad och kan kompletteras vid behov även enligt ISO 27000 med till exempel spårbarhet.
I detta sammanhang vill jag understryka att en portalprincip i ISO 27000en ska anpassas till verksamhetens behov, det är alltså inte standarden i sig som skapar låsningar.
Om en uppfattning är att standarden kan anpassas till verksamhetens/samhällets behov menar jag att det gör det omöjligt att använda standarden som stöd för nationell (eller lokal) styrning av informationssäkerhet.
Det finns ju liksom inget egenintresse i att följa en standard.
Det skulle behövas en riktigt djupborrande analys på flera nivåer av hanteringen av aspekten spårbarhet i Sverige.
Jag när fortfarande ett hopp om att de som ger uttryck för starka åsikter gällande spårbarhet kan ta sig tiden att utveckla hur de tänker och inte bara konstatera sin uppfattning.
Detta är inte bara en teoretisk tankelek utan frånvaron av spårbarhet eller motsvarande som styrmedel för informationssäkerheten får mycket allvarliga konsekvenser för bland annat hälso- och sjukvård men även för förmågan att upprätthålla kontinuitet, för dataskydd och för det långsiktiga bevarandet.
Ett särskilt problem ligger i att det inte går att ta del av vare sig de resonemang som ligger bakom olika ställningstaganden eller själva standardtexterna eftersom de inte fritt tillgängliga trots att de utgör underlag t.o.m.
för föreskrifter.
Denna bristande offentlighetsstruktur har jag skrivit ett annat blogginlägg om Ett typiskt tecken för en dogm är att bevarandet av dogmen är viktigare än de negativa konsekvenser dess tillämpning får.
Jämför exempelvis med katolska kyrkans dogm att preventivmedel inte är tillåtna.
Dogmen är orubbad trots de uppenbara negativa konsekvenser detta får i form av könssjukdomar och oönskade graviditeter vilket i sin tur leder till illegala aborter med oerhört lidande och död.
I fallet med katolska kyrkan går det ändå att se vem som har ansvar för dogmerna med de dödliga konsekvenserna men vem tar ansvar för dogmer inom informationssäkerhetsområdet och de eventuella konkreta följder de kan få?
Informationssäkerhet är inte en religion och vi har inget stöd av högra makter (tror jag).
Därför när jag en from förhoppning att vi gemensamt ska försöka eliminera de drag av dogmatism som ändå florerar.
För att hantera de enorma säkerhetsutmaningar vi står inför har vi inte råd att bygga säkerhetsåtgärder på resonemang som inte tål att prövas utan vi kommer istället att behöva pröva våra intellekt till det yttersta för att åter och åter hitta de bästa lösningarna.
Och vi måste inse att detta inte är teoretiska övningar utan de val vi gör leder till goda eller mindre goda resultat i praktiken och där det ligger ett stort ansvar på oss som arbetar med informationssäkerhet.
Slutligen kan jag inte undgå att tycka att myndigheter inom informationssäkerhetsområdet är de som tillsammans med akademin måste ta ett särskilt ansvar för bryta ner dogmer och bygga kunskap som samhället kan använda.
Nu ser jag fram emot en mängd kloka motargument!
Ingen kan idag förneka vikten av att förbättra informationssäkerheten i de samhällsviktiga verksamheterna.
Ett antal utredningar har under de senaste tre åren utmynnat i olika förslag på hur detta ska ske.
Tyvärr har fokus legat allt för mycket på reaktiva åtgärder som incidentrapportering och allt för litet på det förebyggande arbetet, detta trots att det ofta påpekats att de stora säkerhetsvinsterna kan göras genom olika typer av incidenter och säkerhetsproblem motverkas innan de uppstår.
För mig framstår den i särklass viktigaste förebyggande åtgärden att tillräcklig kompetens finns för att hantera informationssäkerhetsrelaterade frågor på olika nivåer.
För att uppnå detta krävs både episteme, fronesis och techne.
Det vill säga det måste finnas en vetenskaplig grund för att de åtgärder som vidtas är effektiva i förhållande till de problem de avses att lösa, att det måste finnas en praktisk kunskap hur fungerandeska bedrivas och det måste finnas en djupare förståelse att nya situationer kan hanteras.
Jag skulle vilja hävda att detta idag i allt för hög grad saknas.
Konkret kommer ett stort antal organisationers ledningar behöver ett kompetent stöd för att styra sittså att det motsvarar de risker som verksamheten är utsatt för och för att kunna tillvarata alla nya möjligheter som den pågående digitaliseringen innebär.
Jag pratar alltså inte om it-säkerhet som är inriktad på tekniska åtgärder utan informationssäkerhet som handlar om verksamhetsstyrning och information.
Utöver befintliga krav kommer även nya från bland annat dataskyddsförordningen, NIS, civilt försvar och en ny säkerhetsskyddslag.
Det gäller c.a.
350 myndigheter, 290 kommuner, ett tjugotal landsting/regioner och ett okänt antal privata aktörer som medverkar till att upprätthålla samhällsviktiga verksamhet.
En av de vanligaste frågorna jag får när jag besöker kommuner, regioner och myndigheter är vilka utbildningsmöjligheter som finns.
Hos de som får allt tyngre ansvar för det faktiskat finns såvitt jag kan bedöma en allt större medvetenhet om kompetensbehovet.
Till viss del fanns denna insikt även i den strategi för samhällets som MSB tog fram tillsammans med andra myndigheter.
Tyvärr har inte insikten utmynnat i några konkreta satsningar för att stödja utvecklandet av professionsinriktade utbildningar.
Även om behovet av kompetens är känt anvisas få vägar för kompetensförsörjningen.
Vare sig i den nationella säkerhetsstrategin eller i digitaliseringsstrategin, båda presenterade av regeringen 2017, nämns något om kompetensförsörjning inom informationssäkerhetsområdet.
Utredningar som SOU 2015:23 , SOU 2017:36 SOU 2017:114 liksom lagrådsremissen om ny säkerhetsskyddslag är lika renons på förslag annat än de som gäller utpekade tillsynsmyndigheter.
Den nationella strategin för informations- och cyberssäkerhet (Skr.
2016/17:213) skulle kunna inge ett visst hopp eftersom den faktiskt innehåller ett avsnitt som heter Öka kunskapen och främja kompetensutvecklingen.
Hoppet om att finna ett mål att tillgodose behovet av professionell kompetens generellt avtar dock snabbt då det visar sig att det som avses är att informera organisationer om sårbarheter och behovet av säkerhetsåtgärder samt att höja den enskilda användarens kunskap.
Samtliga strategier och utredningar tycks dock förutsätta att den kompetens som behövs kommer att finnas utan vidare styrning.
Jag delar inte denna tilltro till den osynliga handen.
Istället ser jag att vi står inför ett mycket stort och komplicerat kompetensförsörjningsbehov.
Bara det ett nyrekryteringsbehov av något hundratal informationssäkerhetsspecialister årligen till kommuner och landsting/regioner som kanske har samhällets mest komplexa informationssäkerhetsbehov måste uppmärksammas.
Många av oss som idag är verksamma inom informationssäkerhetsområdet saknar formell utbildning för våra jobb eftersom utbildningar helt enkelt inte funnits i någon högre grad (jag jämställer inte olika certifieringar med högskoleutbildning även om de säkert är bra på sitt sätt).
Därav ett stort fortbildningsbehov.
De kurser på högskolenivå som erbjuds idag via en sökning på antagning.se för hösten 2018 är antingen korta kurser eller har en renodlad teknisk inriktning.
Undantagen är masterutbildningar i Örebro som har ett handfull platser samt i Luleå där ett organisatoriskt perspektiv tillförs en huvudsak it-inriktad utbildning.
Detta räcker naturligtvis inte långt.
Mitt förslag är därför att en utredning tillsätts som tillåts koncentrera sig på hur behovet av kunskap och kompetens inom informationssäkerhetsområdet ska tillgodoses under de närmaste åren.
Utgångspunkten är att staten måste ta ett betydligt större ansvar för kunskapsförsörjning på en vetenskaplig nivå och för att kunskapen omsätts till kompetenshöjande åtgärder för prioriterade målgrupper i samhället.
Målen bör vara att det gemensamma utbildningsplaner för en treårig högskoleutbildning som informationssäkerhetsspecialist med inriktning på organisation och information, att det utbildas 50 informationssäkerhetsspecialister per år samt att varje kommun har tillgång till minimum en halvtids informationssäkerhetsspecialist.
Inom detta fält kan även utbildningar av typen ”informationssäkerhetsspecialist kommunal verksamhet” och ”informationssäkerhetsspecialist hälso- och sjukvård” kunna finnas.
Även fortbildningar för redan yrkesverksamma bör ingå i ett kunskapslyft för informationssäkerhetsområdet.
Utan denna typ av insats har jag mycket svårt att se hur alla andra mål för att höja samhällets informationssäkerhet ska kunna realiseras.
Som jag litet surt påpekat några gånger är kunskapsgrunden fört påfallande svagt.
Det är därför en händelse av stort intresse när en ny forskningsantologi inom informationssäkerhetsområdet publiceras som nu då presenteras.
Än mer så när den är inriktad på organisation och inte enbart teknik som den övervägande del av de svenska forskningsinsatser varit.
Antologin bygger på resultatet från ett antal olika forskargrupper som finansierats av MSB i ett femårigt forskningsprogram relaterat till frågor om informationssäkerhetskultur.
I programmet genomfördes en omfattande enkätundersökning som använts av flera av de ingående forskningsgrupperingarna.
Att det är ett konglomerat av olika discipliner som deltagit är både en styrka och en svaghet i antologin.
Styrka eftersom det ger en i delar ny och intressant belysning av informationssäkerhet, svaghet då den röda tråden i antologin känns väl tunn och att det mer har handlar om paketering än en reell knytning till just säkerhetskultur.
Att det inte är ett inarbetat forskningsområde visar sig också i att den litteratur som använts i förvånande hög grad är utgiven för tio år sedan eller mer.
Först två allmänna reflektioner efter genomläsning.
För det första beskrivs informationssäkerhet påfallande ofta direkt och indirekt som en statisk entitet, d.v.s.
på ett icke-relationellt sätt, som här t.ex: Informationssäkerhetskultur kan vara bra såväl som dålig.
Den är bra om den gynnar .
Jag menar att informationssäkerheten inte är ett värde i sig utan att det är organisationens intressen som ska gynnas av informationssäkerhetskulturen, d.v.s.
att den goda informationssäkerhetskulturen stödjer organisationen i att identifiera sitt behov av olika informationssäkerhetsåtgärder.
Den andra reflektionen är den i mitt tycke en övertro på regelstyrning.
I några av inläggen framstår det som att informationssäkerhetskulturens främsta och möjligen enda uppgift är att motivera medarbetarna att följa regler.
Med erfarenhet från att vara informationssäkerhetsansvarig alternativt konsult i rätt många organisationer har jag upplevt att det stora behovet av säkerhetskultur är att den lägger grunden för en dialog om informationssäkerhet.
Verksamheten måste vara involverad eftersom det är den som känner de egentliga behoven av säkerhet men behöver hjälp med att kanalisera dem och över huvud taget definiera dem som säkerhetsrelaterade.
I detta är exempelvis verksamhetens förmåga och intresse av att uppmärksamma risker och kommunicera dem.
Och när det gäller styrningen är det också aningen förvånande att ledarskap inte diskuteras – när organisationskultur i allmänhet brukar ses som i en nära samvariation med ledarskap.
Här tänker jag inte enbart på det generella ledarskapet i en organisation.
Minst lika viktigt är det ledarskap som de som arbetar med informationssäkerhet utövar både nationellt och i sina respektive organisationer.
Min uppfattning, som saknar vetenskapligt belägg, är att detta ledarskap fortfarande är starkt präglat av en patriarkal kultur hämtad från en militär-polisiär tradition som är illasittande i de flesta moderna organisationer.
Detta kommer ytterligare att förstärkas när Metoo-revolutionen, som inte bara handlar om sextrakasserier utan även manligt maktmissbruk bland annat på arbetsplatser, rullar vidare.
Några av inläggen läser jag med känsla av: var det inte mer?
Det är inte sååå upphetsande med en slutsats som att tjänstemän som arbetar i regelföljande organisationsklimat anammar informationssäkerhetsregler bättre än tjänstemän i organisationer utan detta klimat.
Eller att informationssäkerhetskulturen gynnas av att ledningen uttrycker att informationssäkerhet är en viktig fråga för organisationen (även om detta ändå touchar ledarskapsfrågan som jag tidigare skrev att jag saknade).
I andra fall blir jag uppriktigt förbryllad.
Avsnittet om ”praktikanpassad informationssäkerhetspolicy” blandar alla nivåer av styrande dokument på ett sätt som jag som strukturfascist känner mig ytterst obekväm med.
Bara att skriva informationssäkerhetspolycier i plural … Ett annat exempel som leder grubbel är detta: Historiskt sett baserast på tre tekniskt orienterade principer: , och .
Författarna vill komplettera dem med ”organisatoriskt orienterade och beteendebaserade principer som ansvar, rollintegritet, förtroende och etiskt handlande”.
Jag gillar känslan av att få mattan undanryckt under fötterna, för mig har aspekterna konfidentialitet, riktighet, tillgänglighet och spårbarhet varit definitioner av vad som ska uppnås i tillräcklig grad med både organisatoriska och tekniska åtgärder.
Tyvärr kan jag inte säga att den nya vinklingen som författarna från Handelshögskolan i Örebro lanserar känns uppenbar ens vid en närmare genomläsning.
”CIA”-begreppen ifrågasätts även av filosofen Björn Lundgren som vill ersätta dem med den s.k.
Trots att jag har en del högskolepoäng i filosofi går mig delar av hans resonemang förbi, kanske för att jag fastnar på ett tidigt skede eftersom det förefaller som om hans utgångspunkt är att det finns ett läge där information är ”säker”.
I min uppfattning strider detta mot det riskbaserade säkerhetsarbetet där det snarare handlar om att rikta in sig mot ett ständigt rörligt mål och få en acceptabel riskmiljö.
Andra inlägg är mer givande.
Den etnologiska studien av den konfliktfyllda kultur som råder runt framtagandet av informationssäkerhetsstandarder bör leda till eftertanke men har också vissa (ofrivilligt?)
komiska inslag.
Flera av inläggen handlar om informationssäkerhet i hälso- och sjukvård och det är kanske här antologin är som mest intressant särskilt med den tydliga kopplingen till integritetsfrågor.
När nu många nya aktörer börjat visa intresse för integritetsfrågor i samband med dataskyddsförordningen har det ett generellt intresse.
Jag ska därför göra en fördjupning rörande ett av antologins inlägg.
Jag har i olika sammanhang ifrågasatt säkerheten och hanteringen av personuppgifter i den nationella tjänsten Hälsa för mig och kan därför säkert uppfattas som jävig men vill ändå hävda att Peter Johanssons och Sofie Hellbergs bidrag som handlar om den tjänsten är det mest givande avsnittet i antologin.
Detta inte enbart för att sjukvårdens informationssäkerhet och hantering av integritetsfrågor är så viktiga i sig utan också för att de frågeställningar de lyfter fram kan generaliseras.
Bidraget inleds med en effektiv genomgång av tidigare forskning om integritet samt om några möjliga synsätt.
Själva förordar de ett s.k.
kontextdrivet förhållningssätt i motsats att försöka skapa en allomfattande och evig definition av integritetsbegreppet: Vi delar uppfattningen om att nyckeln till att förstå och hantera personlig integritet ligger det sammanhang där integritetsfrågorna uppstår.
En fördel med detta förhållningssätt är att man redan i designfasen av nya tekniker och system kan inkludera skydd för den personliga integriteten eller sätt upp regler kring nya teknikers användningsområden.
Utan ett sådant kontextdrivet förhållningssätt finns en risk att man vare sig kan identifiera eller hantera situationer där den personliga integriteten .
Detta stämmer väl med privacy by design (som ju föreskrivs i dataskyddsförordningen) även om jag hellre skulle beskriva det som privacy by design i än i system.
Forskarna identifierar de två parallella trenderna där accelererande mängder information insamlas och bearbetas samtidigt som individen får en ökad tillgång till information om sig själv.
Med denna bakgrund studerar forskarna den tidigare regeringens satsning på tjänsten Hälsa för mig.
Hur ansvaret för säkerhet och integritet ska fördelas i det informationshanteringslandskapet är inte uppenbart vilket caset med Hälsa för mig visar.
Att trycka ner ansvaret till individen med krav på hen själv ska ”styra” sin integritet har varit en bekväm lösning som myndigheter och tjänsteleverantörer.
Individens möjlighet att göra rimliga avvägningar är av flera skäl mycket begränsad av att hen inte kan överblicka användningen av informationen, konsekvenserna av detta och dessutom är i ojämn maktrelation med leverantören av tjänsten.
En egen reflektion är att författarna i marginalen låter ett inslag i den kultur som formats runt e-hälsa skymta fram när man skriver: Att personlig integritet är något som kan upplevas stå i vägen för e-hälsoutvecklingen har vi noterat vid olika e-hälsokonferenser.
Där har vi lyssnat på olika talare som raljerat över ”integritetsivrare”, vilket vi uppfattar som mycket problematiskt då det appliceras svepande på bland annat läkare och patientföreningar som representerar särskilt sårbara .
Potentiellt negativa effekter för integriteten tonas .
Detta är en kultur jag känner igen sedan åtminstone början av nittiotalet.
Som verksam inom informationshanteringen i vården blev jag vittne till ett tydligt perspektivskifte.
Från att tystnadsplikt och integritet hade varit kärnvärden i läkarkåren och vården i stort skedde en snabb relativisering (ja, jag vet att allt inte var idealiskt tidigare heller men pratar här om de uttalade etiska ståndpunkterna).
Relativiseringen av integriteten blev ett förhållningssätt som funnits med i digitaliseringsprocessen av vården ända sedan dess begynnelse, där det har målats upp en motsatsställning mellan patientsäkerhet och integritet.
Bakgrunden till detta är att det har funnits en motvilja hos sjukvårdshuvudmän, vårdgivare och systemleverantörer att göra den insats som krävs för att få en styrning av informationshanteringen och systemen/tjänsterna så att båda dessa värden kan uppnås samtidigt.
Min uppfattning är att denna relativisering främst bottnade i att sjukvårdshuvudmännen m.fl.
inte prioriterade att ta fram organisatoriska beskrivningar av hur ”vårdrelation” ska definieras, d.v.s.
vilka medarbetare som verkligen har anledning att ta del av den enskilda patientens vårdinformationen.
Detta kompletterat med att systemleverantörerna inte klarade av att leverera digitala lösningar med en för ändamålet avpassad behörighetshantering gjorde att den personliga integriteten framställdes som ett hinder för verksamheten och ett hot för patienten.
Ett tydligt tecken var den ständigt återkommande bilden på konferenser och andra sammanhang där det beskrevs hur en medvetslös patient kommer in på akuten och personalen p.g.a.
att patienten kan ge samtycke inte kommer åt information som överkänslighet eller annan medicinsk bakgrund med följd av att patienten avlider.
Att flertalet patienter inte är medvetslösa, inte på akuten och att behörighetsstyrningen kan ske situationsanpassat försvann i detta scenario som gjorde det överväldigande tydligt för många att integritet är av ondo.
En rådande doktrin var också att behörighetsstyrning var onödigt och att loggning var lösningen på kontroll av åtkomst.
Att loggning i detta syfte skulle kräva att det är mycket tydligt vem som har åtkomsträtt, d.v.s.
i princip samma förutsättning som för den behörighetshantering som man sa sig inte kunna åstadkomma, förträngdes.
Effekten blev usel informationssäkerhet samt att etiken och i förlängningen lagstiftning anpassades efter organisatoriska och tekniska brister.
Detta vore ytterst intressant att läsa om i en forskningsstudie.
Den inneboende paradoxen med självstyrd integritet samtidigt som individen inte har det egentliga valet eller möjligheten att styra begränsningen av användningen av personuppgifter är inte unik för Hälsa för mig.
Den möjlighet att spärra uppgifter som patienten fick i patientdatalagen (PDL) 2008 har i praktiken inte realiserats utan på många sätt motarbetats av vårdgivare.
Bidraget om Hälsa för mig och den bristande integritetsanalysen i det projektet illustrerar en historisk utveckling formad genom tekniska ofullkomligheter men därefter stödd av en säkerhetskultur som legitimerar den bristande säkerheten, ja rent av gör den till en dygd.
Den bristande analysen i fråga om integritet i Hälsa för mig har lett till att Datainspektionen listat ett antal förelägganden som måste åtgärdas innan tjänsten kan tas i bruk.
E-hälsomyndigheten har överklagat detta till f men i dagsläget verkar det oklart om tjänsten kommer att kunna tas i bruk.
För mig är detta antologins absolut viktigaste bidrag när det gäller att vissa betydelsen av en positiv respektive negativ informationssäkerhetskultur.
Dessutom att den kulturella påverkan på intet sätt är begränsad till en enskild organisation utan kan omfatta en hel sektor.
Här finns verkligen möjlighet till vidare forskning.
I dessa dataskyddsförordningstider är det också av stor betydelse att visa att integritet inte handlar om teknikaliteter utan om kultur och värderingar.
Sammantaget illustrerar antologin ett spretigt kunskapsområde med oklar teori och en ganska lång väg kvar att gå.
Svaret på frågan i rubriken tycker jag mig kunna se som: ja, det finns både positiv och negativ informationssäkerhetskultur och vi måste förstå mer för att kunna stärka den positiva kulturen.
För att förena episteme och techne (och förhoppningsvis uppnå fronesis) så behöver professionen sina metoder.
Metoderna är i kunskapssamhället professionens verktyg och det som utgör grunden för en intern gemenskap och en extern uppfattning om vad en medlem i professionen kan utföra.
I detta sammanhang kommer jag att använda begreppet ”metod” som ett systematiskt och enhetligt sätt att utföra en viss aktivitet med ett beskrivet önskat resultat.
I teorin finns också ett antal metoder inom informationssäkerhetsområdet som riskanalys, informationsklassning, incident- och kontinuitetshantering.
Ledningssystem a´ la ISO 27000 kan också ses som en metametod där ovanstående metoder ingår som komponenter.
Frågan är dock hur väl metoderna uppfyller kraven på att vara systematiska, enhetliga och ha beskrivet önskat resultat.
Att metoderna är utvärderade och därmed sägas vara effektiva sedda till sitt syfte bör vara ytterligare ett krav för att de ska sägas fungera.
Förutom införandet av ledningssystem är sannolikt informationsklassning den mest upplyfta metoden för att uppnå bättre informationssäkerhet.
För att göra en snabb bedömning av metoder känns det därför ganska rimligt att titta litet närmare på klassningen så som den beskrivs.
Här har jag ett underlag på divergerande åsikter som uppstod när jag arbetade på MSB och dristade mig till att fram ett förslag på vägledning för informationsklassning.
Den informella remissen ledde till att det ramlade in en mängd svar från informationssäkerhetsmänniskor i framför allt myndigheter.
Jag planerar att använda dessa svar för en litet utförligare analys vid ett senare tillfälle – nu räcker det att säga att synpunkterna gick i alla riktningar och att alla var lika övertygade om att det sättet de uppfattade saken var det enda rätta.
Inte ens var man överens om det skulle heta ”klassning” eller ”klassificering”, ännu mindre om huruvida det är information eller system som ska klassas.
En litet märklig upplevelse vid genomläsningen var att själva syftet med informationsklassningen framstod som så odefinierat i ett antal av svaren, framför allt då man hade invändningar mot att jag i vägledningen beskrivit att informationsklassningen som metod också måste innehålla skyddsnivåer.
Lika fången som andra av min egen tankegång så har jag alltid föreställt mig det som meningslöst att klassa information om det inte leder till konkreta skyddsåtgärder.
Detta var dock inte en uppfattning som delades av alla.
Jag svävar fortfarande i ovisshet om vad då klassningen tjänar till och det är en av de många frågor som jag tycker det vore ytterst intressant att diskutera.
I paradgrenen informationsklassning saknas det alltså enhetlighet samt systematik.
Den bristande systematiken ligger bland annat i att klassningen som aktivitet inte har ett givet samband med andra aktiviteter som exempelvis riskanalys och inte heller beskrivs som en process vars resultat regelbundet utvärderas.
I vägledningen skrev jag till exempel djärvt att klassning ska ses som en form av risk- alternativt konsekvensanalys men fick mycket starkt mothugg mot detta och hur då det systematiska sambandet mellan riskanalysen och klassningen ser ut för dessa skribenter är fortfarande oklart för mig.
Det mest slående i svaren var att ofta saknades argument eller teori för den åsikt man förfäktade.
Istället var det redovisande av hur man själv i praktiken genomför sina klassningar eller, mest återkommande, hänvisningar till hur man tolkat ISO 27000.
Här ligger en viss ironi eftersom en del svar rörande klassningen där man hänvisar till standarden faktiskt går emot vad standarden säger, som när man hävdar att det system som ska klassas samtidigt som standarden uttryckligen säger att det är information.
Mycket av det som kan sägas om informationsklassning kan sägas också om ledningssystem som metod.
Förutom att syftet och genomförandet saknar enhetlighet är båda metoderna synnerligen icke utvärderade.
Jag under senare tid plöjt en hel del av den litteratur som finns på området och har ännu inte hittat några studier som exempelvis utvärderar olika metoder för informationsklassning, ej heller av om ledningssystem på det sätt som standarden föreskriver är ett effektivt sätt att styra informationssäkerhet i en organisation.
Och här måste jag gå in på helig mark och framföra ståndpunkten att ISO 27000, som gett mig så mycket stöd genom åren som yrkesverksam, inte så sällan snarare är ett hinder än en hjälp.
Eller, rättare sagt, vårt användande av standarden som en ersättning för utvärderade metoder utgör ett hinder för oss att bli mer professionella.
ISO 27000 definierar ett område som jag skulle vilja kalla organisatorisk styrning men innehåller ingenting om hur olika aktiviteter ska utföras, och är alltså ingen metod.
Som jag skrev inledningsvis skulle man kunna sträcka det till att standarden översiktligt beskriver en metametod men överlämnar till oss praktiserande att ta fram de konkreta, enhetliga, systematiska och utvärderade metoderna.
Denna metametod börjar kanske också bli litet anfrätt av tiden med sin inriktning på styrning av informationssäkerhet i organisation när information i allt högre grad flödar över organisationsgränser.
ISO 27000 har i många fall blivit en ersättning för metoder vilket vi måste erkänna för att komma vidare.
Istället för att i övermåttan peka på standarden som en bibel måste vi ta uppgiften med metodutveckling på allvar och skapa en gemensam plattform som uppfyller kraven på enhetlighet och systematik.
I ett tidigare inlägg skrev jag om vad jag uppfattar som ett bristande vetenskapligt stöd för detsom bedrivs.
Att inte kunna bottna sitt arbete i etablerad kunskap skapar av naturliga skäl avgörande hinder i det kunskapssamhälle som numera är vårt.
Men om vi kontrafaktiskt skulle anta att det fanns en välutvecklad akademisk kunskap om informationssäkerhet skulle inte denna kunskap vara tillräcklig för att få en verkligt fungerande informationssäkerhet i organisationer och i samhället i stort.
Det behövs också aktörer som vet ”hur” man ska göra, det vill säga tillför techne och fronesis till episteme.
Vad jag avser är en profession av låt oss kalla det informationssäkerhetsspecialister.
Behovet av att skapa nya professioner följer med utvecklingen av det moderna samhället från skråväsendets tillkomst under medeltiden till dagens på olika sätt legitimerade eller auktoriserade yrken.
Professionen skapar legitimitet åt yrkesutövarna, ”paketerar” deras kompetens så att den blir hanterbar även för externa parter som är intresserade av att använda den och, inte minst, utgör en dialogpartner för den akademiska kunskapsutvecklingen.
Den fruktbara relationen mellan profession och akademin kan kanske mest arketypiskt ses inom det medicinska fältet där läkarna genomgått en professionaliseringsprocess under mycket lång tid.
Numera har även andra yrkesgrupper som sjuksköterskor och fysioterapeuter gjort samma resa men för enkelhetens skull ska jag fortsättningsvis hålla fast vid läkarna som exempel.
För den som läst något om medicinhistoria är det uppenbart att samspelet mellan de praktiserande läkarna och den akademiska forskningen varit nödvändigt för att nå fram till dagens möjligheter att faktiskt bota, förebygga och lindra allehanda sjukdomstillstånd.
Sextonhundratalets fältskärer skulle inte genom praktiskt karvande i sårade soldater kunnat generalisera sin kunskap så att den skulle kunna beskriva sårinfektioner på ett allmängiltigt sätt.
Lika litet skulle de medicinska forskarna som faktiskt fanns vid denna tid kunnat avvara den praktiska kunskapen hos dem som dagligdags mötte patienter, om än med bensågen i högsta hugg.
För att detta samspel skulle kunna utvecklas på det fruktbara sätt som faktiskt skett var en viktig faktor att de praktiserande läkarna kom att utgöra en alltmer skarpt avgränsad profession med bestämd kompetens och enhetliga metoder.
Jag gör analogin till informationssäkerhetsområdet där vi har samma behov av att förena teori och praktik.
En professionell yrkesutövning kan borga för den kvalitet som är nödvändig i den praktiskt utövande delen av kunskapsområdet och av denna anledning bör en profession av informationssäkerhetsspecialister skapas.
Utvecklandet av en profession är som sagt den normala gången inom olika kunskapsområden och det finns också en omfattande forskning på temat.
Både inom gruppen själv och för externa parter som arbetsgivare in spe måste det gå att beskriva vad professionens eller (USP) är och också skapa organisatoriska strukturer för att upprätthålla denna USP.
Några av de moment i professionsbildandet som brukar tas upp litteraturen är följande: En grund då en profession vill formalisera sig är att man annekterar ett kunskapsområde och hävdar att den egna gruppen är den främsta/enda som äger denna kunskap, jämför läkare och medicinen.
Förutsättningen är att det går att definiera kunskapsområdet på ett sätt som både gruppen internt och omvärlden kan vara eniga om.
Här finns ett problem för informationssäkerhetsspecialisterna om den beskrivningen av oklarheten i vad kunskapsområdet egentligen består i godtas.
Är det en organisatorisk eller teknisk kompetens som utgör kärnan för att bara ta en av de många frågor som kan ställas.
För att få tillhöra en profession måste det definieras vilken teoretisk och praktisk kunskap man måste besitta.
Det måste också finnas en procedur som är erkänd även av utomstående som garanterar att de som utger sig för att tillhöra professionen verkligen kan antas inneha den rätta kompetensen.
Det räcker alltså inte med att man själv kallar sig ”informationssäkerhetsexpert” eller att man har lösliga grupperingar av typen communities.
En ganska självklar del i detta är en vilket idag saknas inom informationssäkerhetsområdet.
De utbildningar som erbjuds på högskolenivå (vilket vi väl får anta är rimligt att kräva) har ett mycket spretigt innehåll från ”Internationella aktörer och regelverk” till ”It-forensik” för att bara ta ett par exempel från högskolekurser som beskriver sig som utbildning i informationssäkerhet.
Andra utbildningar går in på ren it-säkerhet eller på praktiska metoder men kunskapsområdets otydlighet avspeglar sig i utbildningsutbudet.
Om vi tittar på innehållet i olika populära certifieringar blir bilden än mer otydlig, i en CISSP-certifiering uppges bland annat telekommunikation och mjukvaruutveckling ingå.
Kravet på formaliserad utbildning blir därmed i dag svårt att uppfylla liksom två andra vanliga krav på en profession: inträdeskrav och avgränsning av de som inte hör dit.
För att sammanfatta så kan vem som helst oavsett utbildning, erfarenhet eller personlig lämplighet utge sig för att vara informationssäkerhetsspecialist utan att någon kan hävda motsatsen.
En profession definieras inte bara av kunskap utan också av de specifika normer och den kultur som dess medlemmar ansluter sig till.
Exempel på detta är, förutom läkaretiken, de normer som upprätthålls av advokatsamfundet.
Det innebär också en över de som yrkestitel som följer med professionen.
Detta förutsätter i sin tur någon form av kollegial organisation som kan utöva kontroll och utveckla en yrkesmässig kultur och etik.
Idag saknas flertalet av de förutsättningar som krävs för en professionalisering inom informationssäkerhetsområdet.
Behovet är av en sådan är dock stort och om man ska dra slutsatser av andra yrkesgruppers historia måste frågan drivas av de yrkesverksamma själva.
En svårighet är att det inte finns fackföreningar eller starka intresseföreningar inom området som skulle kunna inleda en sådan process.
Ett första steg är att börja diskutera framtiden på ett öppet sätt och försöka hitta vägar framåt.
Är lämpligt med ett brett anslag där hela den spännvidd som nu ryms under beteckningen informationssäkerhet men med en specialisering på samma sätt som läkarkåren?
Eller bör vi resonera oss fram till en tydligare avgränsning mot it-säkerhet och cybersäkerhet?
Frågorna är många men än saknas forat att diskutera dem i. Som redan framgått är det svårt att ens ge en enhetlig och allmänt accepterad definition av begreppet informationssäkerhet.
Att då kunna beskriva kunskapsområdet informationssäkerhet blir därför av naturliga skäl minst lika svårt.
Ändå menar jag att den enda verkliga legitimitet som informationssäkerhetsområdet kan uppnå måste gå genom att kunna motivera synsätt, metoder och investeringar med ett kunskapsunderlag.
Kunskapsunderlaget måste därför vara av en sådan karaktär att det kan accepteras av de aktörer som vi vill ska anamma synsätten, använda metoderna och göra investeringarna.
Om vi inte kan argumentera utifrån en rationell position återstår att försöka övertyga med känslor eller utifrån särintressen alternativt mycket smalt perspektiv som att exempelvis isolera risk och se den som helt dominerande.
Min uppfattning är att vi idag är ganska långt ifrån att ha ett gemensamt kunskapsunderlag.
Kvaliteten på kunskapsunderlaget kan också ifrågasättas av flera skäl, bland annat inte oväsentliga delar har sitt ursprung i rapporter från bolag som säljer säkerhetsprodukter.
Ett kanske ännu större problem är att det saknas arenor för kunskapsutveckling utanför akademin där en professionell diskussion kan föras.
Istället skulle jag vilja hävda att området präglas av ett anti-intellektuellt förhållningssätt som leder till en stagnation också när det gäller att ta fram praktiskt fungerande lösningar för att förbättra säkerheten.
Utan att gå tvärdjupt är en rimlig utgångspunkt för ett kunskapsområde att det har olika lager av kunskapsnivåer inklusive en teoretisk grund.
För att ett auktoritativt stöd i detta men också skapa en ganska enkel pedagogik tar jag hjälp av Aristoteles som delade upp kunskapen i fem former av vilka jag endast kommer att diskutera tre: (vetenskaplig kunskap, påståendekunskap, veta att) (praktisk-produktiv kunskap, färdighetskunskap, veta hur), (praktisk klokhet, det goda omdömet, veta när) För den som vill veta mer om detta på ett enkelt sätt rekommenderar jag denna .
Min känsla har länge varit att det som uppfattas som kunskap inom informationssäkerhetsområdet går att hänföra till techne med betoning på enkla tumregler och tekniska lösningar.
Många duktiga informationssäkerhetsmänniskor har haft rejäla mått av fronesis så att de kunnat tillämpa den fyrkantiga techne-kunskapen på ett bra sätt i sina organisationer.
Däremot så uppfattar jag att episteme, den vetenskapliga kunskapen med krav på generaliserbarhet och mätbarhet, i hög grad saknas inom informationssäkerhetens kärnområde.
Vad jag då avser är att exempelvis en övergripande teoribildning på det som är vanlig inom samhällsvetenskapliga områden inte riktigt går identifiera i många av de vetenskapliga texter som publiceras om informationssäkerhet.
Det har också ofta slagit mig att jag sällan sett att etablerade uppfattningar och metoder prövas på ett vetenskapligt sätt.
För att snabbtesta mina egna fördomar har gjorde jag en sökning i svenska databaser på aktuell forskning om informationssäkerhet och fick fram några hundra publikationer som jag granskade snabbt och översiktligt utan anspråk på någon som helst vetenskaplighet.
Den som själv gå igenom samma material kan följa den här och den .
I beskrivningarna har jag försökt utläsa om det finns en teoretisk utgångspunkt som på försöker beskriva ett ontologiskt perspektiv om hur informationshantering och informationssäkerhet samverkar och vad informationssäkerhet .
Jag har också försökt läsa ut huruvida författarna verkligen ifrågasatt de etablerade synsätten och metoderna samt prövat dess effektivitet och relevans på ett ”objektivt” sätt.
Slutligen har jag tittat på inom vilken disciplin texten är skriven och om den förefaller vara övervägande organisatorisk eller tekniskt orienterad.
Efter denna snabba och djupt orättvisa genomgång tycker jag mig ändå se vissa tendenser.
Oklarheten i begreppet informationssäkerhet som jag tidigare skrivit om gestaltas också i de vetenskapliga texterna och leder till en spretighet.
Begreppet tycks kunna stå för renodlat tekniska lösningar (som jag kanske hellre skulle kalla it-säkerhet) som organisatoriska.
I de fall där jag läst sammanfattningarna är denna begreppsförvirring och ontologiska brist inte något som författarna tycks uppfatta som ett problem.
Inte heller verkar ontologin i grundbegreppen konfidentialitet, riktighet, tillgänglighet, spårbarhet alternativt CIA-begreppen utgjort en frågeställning i området.
Flertalet texter är skrivna av forskare med teknisk eller systemvetenskaplig bakgrund.
Detta leder till två helt olika problem.
Det första är att fokus ofta kommer att ligga på tekniska lösningar istället för organisatorisk styrning trots att man säger sig skriva om informationssäkerhet.
Det andra är att det är forskare med teknisk eller systemvetenskaplig bakgrund som skriver om organisatoriska frågor vilket ligger utanför deras egentliga kompetensområde, något som kan leda till att de inte helt har de redskap som krävs för en organisatoriskt inriktad forskning.
Sammantaget leder det till att den organisatoriska styrningen bli styvmoderligt behandlad.
Ett genomgående drag är att etablerade synsätt och metoder förefaller förutsättas vara fungerande och effektiva.
Detta gäller i hög grad de mer organisatoriskt inriktade texterna som kan handla om mätning, compliance och säkerhetskultur för att ta några exempel.
Detta gäller även då man exempelvis tittar på mognadsmodeller där mognaden kan ses som en slags compliance till etablerade synsätt och metoder.
Förutom compliance är fenomenologi i en relativt vanlig form av studie.
Det kan handla om hur medarbetare, patienter eller någon annan grupp uppfattar säkerhetsåtgärder eller -behov.
Inte heller här tycks metoder egentligen ifrågasättas utan snarare är det uppfattningarna om dem som kan behöva ändras.
Trots inriktningen mot compliance är det få texter som undersöker värdet av de åtgärder som compliance-kravet gäller.
Att vara compliant till kravet att ha bland annat en incidenthantering följs inte av en undersökning av effektiviteten i olika metoder för incidenthantering för att ta ett hypotetiskt exempel.
Att studera metoder och delta i metodutveckling förekommer dock inom rent tekniska frågeställningar.
Forskning är naturligtvis inte den enda källan till kunskap men det finns frågeställningar inom informationssäkerhetsområdet där jag uppfattar att en vetenskaplig metod är lämplig för att skapa nödvändig kunskap.
Det gäller både en slags grundforskning på ontologisk nivå och för insatser för att på ett vetenskapligt sätt skapa en evidensbaserad kunskap kring effektiviteten i olika, framförallt organisatoriska, metoder.
Denna typ av frågeställningar kan svårligen hanteras av enskilda informationssäkerhetsansvariga eller av enskilda organisationer.
Informationssäkerhetsområdet har stort fokus på techne vilket sannolikt leder till ineffektiva och bakåtblickande metoder.
Det är svårt att föreställa sig samma lösliga relation till evidens inom andra områden som trafiksäkerhet eller medicin trots att dessa områden måste sägas ha likartade tekniska eller hantverksmässiga bakgrund som informationssäkerhet.
Min tes är ju informationssäkerheten inte tycks hålla måttet och följaktligen anser jag kan det finnas anledning att även inom detta område inta den förkättrade normkritiska positionen och ifrågasätta även de mest etablerade sanningarna.
Att forskningen går från att anti-intellektuellt handla om ett slags hantverk till att ge frågorna den analytiska och intellektuellt utmanande behandling som de i sanning kräver.
Att gå från ett förhållningssätt som är konserverande till att bli ett explorativt som ligger i linje med den snabba organisatoriska och tekniska utveckling som sker.
För detta krävs kreativa och odogmatiska forskare som banar väg, skapar ny kunskap och ger oss andra underlag för en förbättrad praktik.
För att ta emot den mer utmanande kunskapsproduktion som skulle bli resultatet krävs en profession som har samma förhållningssätt inom techne och fronesis samt plattformar att mötas på.
Som jag skrev inledningsvis är en av de stora bristerna att den typen av plattformar saknas idag och att ingen nationell aktör känner sig manad att ta på sig ett sådant ansvar.
I nästa inlägg ska jag skriva om professionen – kanske finns det i en stärkt professionalisering en möjlighet till ett mer professionellt kunskapsbygge?
Hunnen så långt i mitt funderande får jag tips om en som visserligen är från 2008 men som bekräftar att några av de intryck jag beskrivit är problem kända sedan tidigare som exempelvis bristen på empiri och, som i citatet nedan, på teoribildning: .
Det tycks alltså finnas fler som funderar över från vilken kunskapsgrund vi egentligen utgår.
I detta inlägg ska jag inrikta mig på några mer generella frågor för området som också bör vara frågor som den som inte lever och andas informationssäkerhet borde ställa.
Ett ganska modest krav är att på ett hyfsat entydigt sätt kunna definiera vad informationssäkerhet är.
Detta är dock svårare än vad det först kan förefalla.
Inte ens om det är ett slags tillstånd eller en förmåga är klart.
Jag ska här endast ta upp några av de frågor man kan ha anledning att ställa sig angående vad informationssäkerhet ska anses vara.
En definition som säkert kommer att användas av många är den som finns med i den terminologi som sammanställts inom SIS: Denna definition har övertagits av MSB i den nya föreskriften MSBFS 2016:1 trots att myndigheten i andra sammanhang talar om ”förmåga” alternativt ”tillstånd” i andra sammanhang.
Jag ska inte detta sammanhang gå in på ISO 27000 och dess översättning i detta sammanhang utan här endast koncentrera mig på det sätt som terminologin definierar begreppet.
I ordet ”bevara” finns en implicit föreställning om att en vald informationsmängd är en entitet som har initiala egenskaper som ska bibehållas i en kortare eller mindre hantering.
Detta är ett ganska egenartat synsätt som sannolikt är hämtat från ett tidigare tekniskt utvecklingsskede, kanske en slags databastänkande, där man är upptagen av transaktioner inom ett enskilt system.
Att ställa krav på informationens kvalitet före instoppandet i systemet eller vid sammanställning till nya informationsmängder ligger utanför definitionen.
I värsta fall skullet alltså leda till att felaktig information förblir felaktig eftersom då den ursprungliga riktigheten ”bevaras”.
Beskrivningen indikerar också ett statiskt förhållande där informationen liksom inkapslad färdas i ett system.
Detta stämmer inte heller särskilt väl med den informationsinfrastruktur som har växt fram där information hela tiden sammanställs, förändras och kommuniceras i nya strukturer.
Informationssäkerheten borde då syfta till att förändras och skapa en tillräcklig nivå av skydd under informationshanteringsprocessen/erna.
Personligen måste jag därför medge att ”bevarande” är en definition som inte känns relevant.
”Tillstånd” eller ”förmåga” är alternativ som skulle ge andra möjligheter men oavsett vilket begrepp som väljs borde det bygga på en mer Trots att informationssäkerhetsområdet inte bygger på tung akademisk forskning på en ontologisk nivå, till exempel rörande vad informationssäkerhet skulle sägas vara, finns det vissa hangups där det hänvisats till akademin.
Den sådan är begreppet ”spårbarhet” som av informationssäkerhetens purister inte anses ha samma autonoma värde som exempelvis riktighet och tillgänglighet.
Purismen i denna fråga känns inte särskilt väl underbyggd.
Mig veterligen inte finns någon begreppsmodellering genomförd över något av begreppen och inte heller är översättningen av den så kallade CIA-triaden ( och ) till konfidentialitet, riktighet och tillgänglighet klockren.
skulle knappast översättas till ”riktighet” i något annat sammanhang, särskilt som riktighet i SIS terminologi anges som vilket återigen antyder ett synsätt som utgår från databashantering.
Rent praktiskt är spårbarhet ett begrepp som är av stor betydelse i transaktionstäta verksamheter som bank, finans och sjukvård samt för att stödja integritetskrav.
Spårbarhet är också mycket tydligt kopplat till konkreta åtgärder som loggning – ändå väljs det bort utan närmare förklaring.
Detta är bara ett exempel på att själva grundelementen i beskrivningen av informationssäkerheten saknar verkligt definition vilket ger möjlighet till vitt skilda tolkningar och närmast trosläror om vad informationssäkerhet egentligen är.
Ett annat tolkningsproblem är skillnaden mellan informationssäkerhet å ena sidan och it-säkerhet å den andra.
Att de som inte har informationssäkerhet har svårt att uppfatta skillnaden är inte så konstigt men att även de som arbetar med informationssäkerhet vacklar i distinktionen är ett tydligt tecken på osäkerheten i begreppet informationssäkerhet.
För mig framstår det som att informationssäkerhet i i första hand är en organisatorisk stödfunktion som ska ge ledningen stöd i att styra sin verksamhets resurser så att de skyddar informationen på ett sätt som stöder verksamhetens mål.
Detta uppfattar jag också som kärnan i ISO 27000 som ju är helt inriktad på att skapa ett ledningssystem som ska ge en organisatorisk förmåga till styrning av informationshanteringen.
It-säkerhet är i detta perspektiv de tekniska åtgärder som ska vidtas för att svara på de krav som ledningssystemet ställer.
Många verksamma inom informationssäkerhetsområdet tycks inte dela denna uppfattning utan ser informationssäkerhet som synonymt med it-säkerhet.
Även denna basala fråga skulle behöva analyseras och få en mer allmänt accepterad förklaring.
Detta är bara några frågor där det enligt min uppfattning råder oklarhet och där utrymmet för analys och vidareutveckling är mycket stort.
I nästa inlägg ska jag ge mig på målet för arbetet mehöll häromveckan ett föredrag på Dataföreningen med ovanstående titel.
Min tes, eller mitt påstående snarare, är att arbetet med att få en fungerande informationssäkerhet inte fungerar särskilt bra.
Detta gäller både i den enskilda organisationen och på en nationell nivå.
Kanske överraskade föredragets inriktning några av de ganska många åhörarna eftersom det mer handlade om ”våra” interna problem, alltså vi som arbetar professionellt med informationssäkerhet och inte de yttre förhållanden som vanligtvis diskuteras.
Detta är dock frågor som jag funderat ganska länge på och där jag under föredraget förde fram ett antal aspekter som jag menar påverkar den nuvarande situationen med en otillräcklig informationssäkerhet.
I hopp om att fler i informationssäkerhetsbranschen ska känna sig motiverade att bidra med egna erfarenheter och reflektioner tänkte jag skriva några blogginlägg med utgångspunkt från det föredrag jag höll.
Först kanske påståendet i titeln ändå måste utvecklas något.
Visserligen är det svårt att säga vad ”fungerar bra” skulle kunna vara.
Detta understryks genom att det i hög grad saknas forskning på området och andra typer av offentligt redovisade undersökningar.
Det känns också otillräckligt att bara vidareförmedla utsagor från olika särintressen eller vad talskrivare lämnat till Anders Ygeman att framföra angående läget.
I den som sammanställdes av ett antal myndigheter 2015 bygger man sina spaningar på 103 angivna referenser.
Problemet är bara att den absoluta huvuddelen av referenserna är inriktade på en extern hotbild, i bästa fall något om incidenter i it-system som går att hänföra vissa specifika antagonistiska hot, men ingen av referenserna förefaller ha ägnat sig åt störningar i verksamheter.
Det vill säga störningar i informationshanteringen som påverkar verksamheten och som då lika gärna skulle kunna bero på hårdvarufel som vid Tieto-incidenten 2011 som på antagonistiska attacker.
Detta har naturligtvis inte hindrat rapportförfattarna att dra slutsatser om trender men för den som verkligen är intresserad av hur informationssäkerheten fungerar är det alldeles otillräckligt.
Låt oss ändå vara överens om att det finns starka indikationer på att det händer ett stort antal incidenter och att realiserade incidenter är ett tecken på att vidtagna säkerhetsåtgärder inte skyddar verksamheten på ett rimligt sätt.
En mer systematisk genomgång av incidenter som drabbat verksamheter och privatpersoner tror jag skulle visa att huvuddelen skulle gå att undvika med väl kända metoder som exempelvis bättre kontroll över uppdateringar i it-tjänster.
En nackdel med incidentbegreppet är att det har en tendens att enbart fånga upp mer uppseendeväckande och kanske antagonistiska situationer.
Störningar av mindre dramatisk karaktär men som kan påverka verksamheten sammantaget på ett mer negativt sätt får inte samma uppmärksamhet vilket kan leda till felprioriteringar i åtgärdsarbetet.
Ett annat sätt försöka bedöma omt är funktionellt är ett klassiskt compliance-perspektiv; att kontrollera om regler efterlevs.
Inte heller här finns ett stort generellt underlag att luta sig emot.
Inom offentlig sektor har dock de senaste åren har ett antal rapporter visat att den systematiska informationssäkerheten i myndigheter, landsting och kommuner har stora brister, ja till och med att den vissa fall tycks bli sämre snarare än bättre.
Sammantaget är alltså inte bilden ljus.
I och med att informationssäkerheten tycks fungera illa i de enskilda organisationerna kan den knappast fungera bättre på en aggregerad nationell nivå.
Kanske måste ändå förhållandet att vi inte kan ge en uppfattning om hur bra eller dålig informationssäkerheten det tydligaste tecknet på att det inte fungerar bra.
För att komma in på kärnfrågorna är det tre (bort)förklaringar till varför informationssäkerheten inte fungerar som jag skulle vilja utesluta: Eftersom det inte heller finns en sammantagen beskrivning av hur mycket pengar som satsas på att förbättra informationssäkerheten är det inte möjligt att säga att det är ekonomiska skäl som förhindrar utvecklandet av en bättre säkerhet.
I Riksrevisionens senaste om informationssäkerhet beskrivs också svårigheterna med att försöka bedöma kostnaderna.
Nationellt har det också investerats inte obetydliga medel i olika myndigheters stöd för informationssäkerhet.
Eftersom inte effekten av dessa medel utvärderats mer än mycket översiktligt av Riksrevisionen är det svårt att säga att det skulle vara för litet eller för mycket.
Min poäng är denna: om det finns beskrivet vad som bör göras för att reducera olika risker för verksamheten är det svårt att uppskatta vilka medel som skulle behövas och ledningar på olika nivåer är, med all rätt, tveksamma till att tillföra ytterligare pengar.
Bollen är därmed tillbaka som en skråfråga: om vi anser att det finns ekonomiska orsaker till att informationssäkerheten inte fungerar så måste vi bli mycket bättre på att beskriva vad pengarna skulle användas till och vad organisationen (eller nationen) skulle ha för nytta av det.
Det här är ju en verklighetsbeskrivning som ofta återkommer och som på något underförstått sätt antas utgöra ett skäl till att informationssäkerheten inte håller måttet.
Men vad är egentligen kausaliteten i det här sammanhanget, om det nu finns en sådan?
Om informationssäkerhet vore en aspekt som vunnit hög acceptans i samhället, i organisationerna, hos utvecklare av it-tjänster m.fl.
så skulle ju frågeställningen vara integrerad som en naturlig del i utveckling av tjänster, produkter och infrastruktur.
Iställeten kostnad och en motpol till effektivitet vilket gör att lösningar för att förbättra säkerheten, om de över huvud taget implementeras, inte är effektiva och ofta ligger som olja på vattnet, ofullständigt integrerade.
Som en jämförelse skulle det vara svårt att tänka sig att trafiksäkerheten skulle vara något som tilläts hamna i bakvattnet numera.
Så kanske det var i ett tidigare skede men genom ett idogt forsknings- och opinionsarbete har säkerhet en mycket hög prioritet i trafikpolitiken.
Återigen faller alltså ansvaret tillbaka på oss själva och förmåga att sälja in informationssäkerheten.
Det är få meningar som jag så ofta hört upprepas i professionella sammanhang som uttrycket: ”ledningen förstår inte”.
Ofta blir detta den tröstande förklaringen till varför man inte når framgång med sina informationssäkerhetsprojekt och självklart ligger det mycket i det.
Det går inte att smyga in informationssäkerheten i organisationen bakom ryggen på ledningen.
Även här handlar det dock om att kunna presentera vikten av informationssäkerhet så ledningen ser poängen ur sitt perspektiv – att det gynnar organisationens möjlighet att uppfylla sitt uppdrag.
Ser ledningen inte behovet av informationssäkerhet är det inte heller rationellt att införa exempelvis ett LIS.
Ledningens bristande förståelse kan därmed, menar jag, inte ses som en autonom förklaring till bristande informationssäkerhet utan som att ledningen inte fått tillräckligt bra argument för att organisationen ska bedriva ett systematiskt.
I de följande inläggen ska jag lyfta fram förhållanden som jag ser både som verkliga orsaker till bristande informationssäkerhet och som möjliga att påverka för oss som arbetar med informationssäkerhet.

Tillförlitlighet Äkthet Integritet (oförändrad) Användbarhet avtalshantering ansvarsutkrävande interna kontrollsystem upptäckt av avvikelser teknisk övervakning dataskydd patientsäkerhet medarbetares integritet medarbetares rättssäkerhet brottsutredning forensik fysiskt skydd

bred integrity inte en formaliserad utbildning kollegial kontroll attribut en episteme techne fronesis är konfidentialitet riktighet tillgänglighet För litet pengar Att den generella it-utvecklingen går så mycket snabbare än informationssäkerhetsutvecklingen att gapet blir större och större Ledningen förstår inte

Integritet och hälso- och sjukvård En profession behöver metoder

Behovet av en profession Krav på en profession Informationssäkerhetens professionalisering – hur ska vi gå vidare?
Kunskap och informationssäkerhet Episteme, Fronesis, Techne Intryck Och vad blir konsekvensen?
Vad är informationssäkerhet?
Låt oss vara överens om att det inte fungerar bra Tre saker som inte är huvudproblemet

Definition av kunskapsområde Krav på teoretisk och praktisk kunskap som säkerställs genom etablerad procedur Normer och kultur

MENU MENU Postat av Rekommendationerna hänvisar inte till några allmänna standard er eller Postad i , , , Tagged , , , , , , , Postat av Postad i , , , Tagged , , , , , , Postat av Postad i , , , , , , , Tagged , , , , , , , Postat av Postad i , , , Tagged , , , postat av Postad i , , , , Tagged , , , , , , Postat av Postad i , , , Tagged , , , , Postat av Postad i , Tagged , , , , , Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , Tagged , , , Sök efter:

tillstånd förmåga egenskaper egenskap Informationssäkerhet och organisationskultur Vad är säker kultur Information Security Goals in a Swedish Hospital egenskap Informations- och cybersäkerhet i Sverige Informationssäkerhet för samhällsviktiga och digitala tjänster, reboot – omstart för den digitala förvaltningen Informationssäkerhet och sekretess riktighet tillgänglighet processer Unique Selling Proposition Unique Selling Point As can be seen, the use of theories in ISsec research is not equally common as it is in IS research.
Confidentiality, integrity availability Integrity skydd mot oönskad förändring

Under de (alltför) många år jag arbetat med informationssäkerhet har ingen företeelse varit mer omhuldad än de standarder som använts som stöd i arbetet.
När jag började var det BS 77 99 och nu har vi en hel 27000-familj.
Även om jag under alla år har haft en god hjälp av standarderna har jag aldrig riktigt kunna gripas av samma entusiasm som de många, inklusive utgivare av myndigheters föreskrifter, som sett standarderna som ett magiskt spö som det i princip räcker att hänvisa till så försvinner säkerhetsproblemen.
Jag har redan skrivit ett antal inlägg, bl a och berör den ganska problematiska övertro som finns i Sverige till standardens kraft att skapa bättre informationssäkerhet.
Med tiden har jag kommit att fråga mig om sättet att se på framför allt ISO 27000 kanske snarare stjälpt än hjälptt.
En rejäl tankeställare fick jag när jag hade uppdraget att försöka få in säkerhetsperspektivet i en utredning om e-hälsa.
Få saker har jag misslyckats så kapitalt med och en av orsakerna, förutom mina egna brister, var att både utredaren och utredningens sekretariat så fort frågan kom upp smashade bort den som en irriterande fluga med: vi gör en hänvisning till att standarder ska användas.
Eftersom jag inte förstår en vink när jag får den eller snarare bryr mig om den så fortsatte jag och försökte även få ett förtydligande vilka standarder som skulle användas och hur.
Som ni säkert förstår fick jag aldrig några svar på mina frågor utan det ansågs helt tillfyllest att säkerhetsproblem skulle hanteras via ”standarder”.
Självklart förstår jag lockelsen i att det skulle kunna fungera så.
Problemet är att det inte gör det.
Om man tittar bakåt så var standarder i industrisamhällets begynnelse en typ av nationella och internationella överenskommelser om framför allt utformningen av tekniska produkter och mått.
En av mina favoriter är standarden för avstånd mellan hålen för .
Det är ju ett sant kaos som väntar om hålslagen utformas hur som helst och ingen vet vilka pärmar som kan användas för vilka papper.
Men vad händer egentligen när man flyttar över standardiseringsidéen från vidden för järnvägsspår till hur organisationer ska styra olika verksamhetsområden?
När standarder som framtagits utan kontroll från lagstiftare och den egna förvaltningen ska leva sida vid sida med den ordinarie styrningen?
I en mycket intressant från Örebros universitet har författarna (Andersson, Karlsson och Hedström) genom diskursanalys försökt förstå hur framtagandet av standarder i 27000-serien egentligen går till.
Som en bakgrund gör de en åtskillnad mellan s.k.
de facto-standarder som ta fram av ett företag eller flera företag tillsammans som har ett konkret behov av standardisering.
Den andra typen av standarder benämns de jure-standarder som kan utvecklas av olika lagstiftande organ alternativt myndigheter eller av oberoende standardorganisationer som ISO.
27000-serien är alltså en de jure-standard men ligger utanför det lagstiftande området.
Artikeln lyfter också fram att denna typ av standarder strävar efter att skapa en konsensus av vad som bland experter inom området anses vara ”best practice” vilket även framgår tydligt i arbetet med informationssäkerhetsstandarden: De jure standards play a central role in information security, and organizations are increasingly required to demonstrate compliance with them ( ; ).
Det kan alltså ifrågasättas vad standardens ställningstagande egentligen bygger, om dess anspråk på att vila på ”best practice” uppfylls.
Eftersom den inte bygger på evidens skulle dess USP bestå just i en erfarenhetsbaserad kunskap.
Om inte denna grund finns påverkas naturligtvis standardens legitimitet.
Senare i artikeln framgår på ett litet roande och samtidigt avslöjande sätt hur ytterst få som deltar i standardarbetet även om man tågat omkring på standardiseringsmötena som en fåmansprocession under beteckningen ”Sweden”.
Artikelförfattarna gör en maktanalys av själva arbetet med framtagandet av standarder men jag tycker att en vidare maktanalys av hur en mycket liten krets knutna till standardarbetet har haft ett helt dominerande inflytande över svensk förvaltnings arbete med informationssäkerhet.
Resultatet har blivit en hegemonisk doktrin om att ISO 27000 är den enda framkomliga vägen att arbeta med informationssäkerhet i svensk förvaltning trots att denna doktrin vare sig bygger på evidens eller ”best practice”.
Så här 11 år efter att ISO 27000 pekades ut som vägledande för svenska myndigheters arbete med informationssäkerhet i MSB:s föreskrift MSBFS 2009:10 (ytterligare markerat i de följande föreskrifterna fram till den nu gällande MSBFS 2020:6) så tycker jag inte det är uppenbart att det var ett helt lyckat vägval.
Detta bygger jag på attt knappast kan ses som särdeles framgångsrikt mätt med tillgängliga måttstockar, d.v.s.
de granskningar som gjorts både generellt och de som gjorts med inriktning på samhällsviktiga sektorer som exempelvis sjukvård.
Låt oss komma ihåg att detta inte är den enda möjliga vägen att välja.
I Finland antogs i år en av informationshanteringsnämnden under finansministeriet som explicit undviker att hänvisa till någon standard: referensramar och ger inga anvisningar om tekniska lösningar, som kan förändras till och med snabbt.
Utifrån en riskbedömning som görs från fall till fall ska varje myndighet välja tillräckligt säkra tekniska lösningar som är lämpliga i den aktuella situationen.
Jag kommer ihåg att ansvariga för Normen i Norge förde samma resonemang i sina reglervården, man ville inte referera till någon särskild standard.
Uppfattningen var att det var möjligt att plocka ut det man ville ha ur standarder utan att behöva ansluta sig till en helhet som inte kunde kontrolleras av norsk sjukvård.
När standarder lämnar tekniska specifikationer och övergår till organisatorisk styrning uppstår paradoxala effekter.
Jag tänker nu på att ISO 27000 innehåller mycket allmänna krav, att det ska finnas informationsklassning men inte hur den ska utföras eller vilken normskala som ska tillämpas.
Varje organisation ska själv ta fram sitt eget komplexa ledningssystem med de komponenter som anvisas i standarden men utformningen och tillämpningen kommer att se väldigt olika ut, det tror jag varje erfaren konsult kan intyga.
Istället för centrala regler som specificerar olika lösningar får vi alltså en mängd olika regelverk som ska användas i samma infrastruktur.
Standarden leder alltså sannolikt till mindre standardisering på grund av sin inriktning på enskilda organisationer istället för på helhet.
Bräckligheten i kunskapsunderlaget och det fragmentiserade resultatet är två orsaker att ompröva ISO 27000 ställning i den offentliga verksamhetensi Sverige.
Vi behöver inte kasta ut barnet med badvattnet men vi måste våga ifrågasätta doktrinen även om de som har byggt upp en stark ställning med hjälp av standarden riskerar att ta illa upp.
Informationssäkerhet är en för viktig fråga för att vi ska ha råd med heliga principer som inte tål att diskuteras.
I mitt förra inlägg hävdade jag att arbetet med informationssäkerhet alltför ofta kännetecknas av byråkratiska aktiviteter utan reell säkerhetshöjande effekt men däremot med ett anspråkstagande av verksamheters resurser på ett orimligt sätt.
Det är ju inte heller enbart kärnverksamhetens resurser som används på ett sätt som kan etiskt ifrågasättas.
Att säkerhetsarbetet bedrivs utan hänsyn till hur effektiv användningen av resurser är samtidigt som den oavlåtliga klagovisan ljuder att säkerhetsarbetet får för litet resurser, ständigt för litet resurser, är paradoxalt.
För den som arbetar med säkerhet borde det ha högsta prioritet att få fram arbetssätt som ger största möjliga utdelning av säkerhetshöjande effekter i förhållanden till insatta resurser.
Tyvärr har jag sett mycket litet av den typen av analyser och jag kan t.o.m.
tycka att säkerhetsområdet får rejält med pengar sammantaget utan det riktigt framgår vad som kommit ut av det.
Rubriken på blogginlägget är aningen ironisk eftersom det väl nu är allmänt känt att effektiviseringar sällan leder till bättre verksamhet.
Jag tycker ändå att det är klädsamt om vi som jobbar informationssäkerhet, som är en stödfunktion, håller upp spegeln och ser vad vi kan göra när kärnverksamheten i många organisationer är hårt pressad av krav på besparingar.
Att försöka göra saker bättre och mer kostnadseffektiva behöver inte heller vara till nackdel för metodutveckling, jag dristar mig att anse att det skulle vara en fördel om det fanns ROI-perspektiv på både planerade och genomförda säkerhetsåtgärder.
Jag tror det skulle vara ett stort stöd för många informationssäkerhetsansvariga som nu ibland verkar beta av ett antal aktiviteter utan att kunna bedöma vad det egentligen leder till.
Vissa aktiviteter kan vara stora och dyrbara men det handlar också om annat där kostnaden kanske inte är så stor men effekten ännu mindre.
Att genomföra generiska e-utbildningar är enligt min erfarenhet tämligen bortkastat mensom initierat dem kan bocka av en ruta.
För mig betyder detta mekaniska tillvägagångssätt, förutom pengar och medarbetares tid i sjön, att organisationen invaggas i en vilseledande och farlig falsk trygghet.
Det tämligen obefintliga effektivitetspressen inom säkerhetsområdet, som är så kännbar i andra sektorer, tycker jag mig se leda till en lättja i tanke och i handling.
Det är lätt att glömma bort men informationssäkerhet handlar i grunden om att .
Har man inte det så har man inte en fungerande informationssäkerhet.
Med detta i bakhuvudet så kan den seriösa informationssäkerhetsarbetaren inte leva efter bekvämlighetsprincipen och hela tiden göra det som känns enklast.
Att enbart identifiera information som råkar finnas i system som man redan känner till är som, för att använda en mycket uttjatad bild, att leta efter den borttappade nyckeln under gatlyktan eftersom det är enklast.
Tyvärr är det så jag uppfattar rätt mycket av de insatser som går under beteckningen ”informationsklassning” som inte leder till kontroll över den information som är viktig för verksamheten utan den som redan finns bekvämt paketerad i en behållare a.k.a ett ”system”.
Ibland när jag får ”verktyg” för informationsklassning som är obegripligt efterfrågade presenterade för mig kan jag inte låta bli att fnissa till och tänka på min bekant som var kommunal it-chef på 1990-talet.
Hen hävdade att det var en underbar tillvaro där hen sågs som en wizzard som på vilken fråga som helst (i princip) från verksamheten kunde hacka ihop ett it-verktyg för att lösa en uppgift.
”Stöd” sågs helt enkelt som synonymt med någon slags programvara.
Tyvärr tycks denna uppfattning leva kvar bland många i informationssäkerhetsbranschen trots att det ofta är de icke-digitala delarna i en aktivitet som är svåra.
I informationsklassning (se nedan) är den stora frågan exempelvis att göra rätt analyser, inte att hålla reda på genomförda klassningar.
Innehåller verktygen dessutom generiska skyddsåtgärder uppstår en annan problematik: vem tar då egentligen ansvar för att det är korrekta skyddsåtgärder i förhållande till risken?
Efter denna salva känner jag mig förpliktigad att ge exempel på alternativ.
Här kommer därför ett förslag på arbetssätt motsvarande informationssäkerhetens kinderägg.
De tre fördelarna med mitt förslag är att man faktiskt arbetar med information – inte system, att man kan bygga upp en likvärdig säkerhet i likartade verksamheter och att kostnader i form av pengar och tid radikalt skulle kunna minskas samtidigt som får ökad kvalitet/säkerhet.
Med avsikt har jag valt en mycket säkerhetskänslig funktion som även är mycket vanligt förekommande: processen för läkemedelshantering i äldreomsorgen.
För att ge en kort bakgrund så ombesörjs äldreomsorgen med de 290 kommunerna som huvudman.
Kommunerna kan bedriva omsorgen själva eller anlita underleverantörer som privata vårdföretag.
Oavsett vilket så är det kommunen som har ansvar som sjukvårdshuvudman och ska därmed säkerställa att omsorgen bedrivs på ett säkert och likvärdigt sätt oavsett utförare.
En central del i omsorgen av äldre är läkemedelshanteringen.
Äldre som inte får rätt läkemedel i rätt dos vid rätt tidpunkt löper en avsevärd hälsorisk, i värsta fall med döden som utgång.
Omsorgen sker dygnet runt av ett antal medarbetare som vid varje givet tillfälle måste ha korrekt och spårbar information tillgänglig.
Samtidigt berör uppgifterna om läkemedel omsorgstagarens hälsotillstånd vilket gör dem till känsliga personuppgifter som måste omges med ett mycket starkt skydd mot obehörig åtkomst.
Utöver detta finns en särskild risk i läkemedelshanteringen, narkotiska preparat och även andra är mycket stöldbegärliga.
Även detta stärker det utpräglade behovet av spårbarhet där varje händelse kan följas och och kopplas till person som i en lång verifikationskedja.
En generisk processbeskrivning på övergripande nivå skulle kunna se ut så här.
Inga konstigheter i det men man kan gå ett fördjupande steg till utan att beskrivningen skulle tappa särskilt mycket i allmängiltighet med däremot fånga upp vilken information som hanteras, se detta utsnitt ur processen: Processen startar med att en av regionens läkare gör en läkemedelsordination vilket dokumenteras i regionens vårdsystem samt i den nationella läkemedelslistan.
Dessa moment ligger utanför processbeskrivningen ovan som startar med att information om ordination överförs till kommunen som en pappersutskrift vilket startar processen.
Den intresserade kan notera följande: Detta är inte på något sätt unikt för den här processen utan gäller för många andra.
Slutsatsen man kan dra är att om man seriöst så räcker det sannerligen inte med att ”klassa” ett enskilt system utan måste få kontroll över hela informationshanteringen.
Inte heller att enbart titta på digital information utan det är just helheten som måste fångas för att rätt åtgärder ska kunna vidtas.
Även för dataskyddet är detta en självklarhet – man kan liksom inte bara skydda personuppgifter i digital form.
I den ovan beskrivna processen finns t.o.m.
bärare som apodos-påsar som måste omhändertas på ett korrekt sätt.
Det kan tyckas ansträngande att inte bara få ägna sig åt färdigpaketerad information prydligt avgränsad i system men här finns istället stora effektivitetsvinster att göra.
Det går att klassa informationsmängden ”ordination” och så vidare så att det går att använda som en i samtliga kommuner oavsett vilka bärare man för tillfället råkar använda.
Dagens rekommendation från myndigheter och SKR är att 290 kommuner med vissa fall flera förvaltningar som bedriver äldreomsorg ska klassa system i varje förvaltning.
Dessutom måste samma manöver upprepas av de privata vårdgivare som anlitas av kommunerna.
Enligt beräkningar fanns 2019 14900 företag som ägnade sig åt vård och omsorg.
Jag har inte riktigt tid att fördjupa mig i exakt hur många av dessa som bedriver äldreomsorg men för saken skull så utgår jag från att det åtminstone finns 500 privata äldreboenden.
Sammantaget kanske det då behöver göras 850 klassningar av olika vårdgivare.
Låt oss höfta och säga att resursåtgången per klassning är minst 100 timmar inklusive förberedelser och dokumentation (detta är extremt lågt räknat med tanke på att det ofta är ett flertal deltagare på klassningarna) för att klassa ett system som stödjer en liten del av ordinationsprocessen.
Lustigt nog kommer det också att bli samma system som klassas gång på gång med varierande resultat.
Kontentan blir alltså bristande kontroll över informationen och bristande likvärdighet mellan olika äldreomsorgsverksamheter till en sammantagen resursåtgång av 85 000 timmar.
Betänk också att detta bara är en av flera processer bara i äldreomsorgen.
Mitt förslag är att man istället slår ihop sina påsar, tar fram gemensamma normerande klassningar skyddsnivåer.
Skyddsnivåerna måste då tas fram i stor öppenhet där det redovisas hur man ser på olika risker och hur de föreslagna skyddsåtgärderna avses reducera dessa.
Koppling till krav i föreskrifter med mera bör även finnas.
Skyddsnivåerna måste även innefatta skydd av andra bärare än system och molntjänster, t.ex.
fysiskt skydd av papper.
En jätteuppgift är att hålla skyddsnivåerna uppdaterade så att de inte ger förlegade rekommendationer.
Då ska vi komma ihåg att detta ändå skulle kräva en bråkdel av de resurser som skulle gå åt om varje vårdgivare skulle genomföra alla moment själv.
Jag kan mycket väl tänka mig att man i många fall även kan ge förslag på arbetsrutiner.
Vad skull då detta kunna innebära i praktiken?
Naturligtvis skulle ansvaret för säkerheten aldrig kunna delegeras men exempelvis en vårdgivare skulle kunna gå i ett bibliotek av olika verksamhetsprocesser, välja ut den aktuella och få fram en bild av generisk process samt en normerande klassning av typen nedan (fast ifylld): Därefter jämför vårdgivaren med sin egen verksamhet hur väl det presenterade materialet stämmer överens.
Gör det det i stora drag, kanske med litet annorlunda benämningar, så skulle vårdgivaren med detta stöd kunna ta sig ner till nivå att kunna köpa rätt skåp att förvara den enskilde vårdtagarens medicin i. Att krav på digitala lösningar ingår är naturligtvis självklart.
Som en bonus kan även krav på bevarande och gallring läggas in.
Det kan kännas som en överväldigande uppgift att ta itu med men minns då att den redan är överväldigande och idag tynger kärnverksamheten på ett orimligt sätt.
Kan vi åtminstone ta fram normerande klassningar för generiska processer i samhällsviktig verksamhet skulle vi ge möjlighet att höja samhällssäkerheten högst väsentligt och dessutom kunna reducera resursåtgången.
Eftersom myndigheterna med särskilt ansvar för informationssäkerhet förefaller skeptiska till den här typen av stöd finns det utrymme för andra aktörer att träda fram.
Statskontorets publikationer är en underskattad men ständig källa om inte till glädje så till mycket nyttig kunskap.
Under sommaren har jag en forskningsantologi kallad .
Min bedömning är att denna antologi är ett måste för den som arbetar med informationshantering eller informationssäkerhet i offentlig sektor.
Här får man så mycket sammanhang och tankar att man går ur boken som en tjänsteperson eller konsult stärkt och betydligt bättre rustad att hantera sitt uppdrag.
Ur en informationssäkerhetskonsults vinkel är det framför allt avsnitten om hur förpappring, managementbyråkrati, användning av standarder och konsulter riskerar leda inte bara till onödig administration utan också till bristande styrförmåga.
Tyvärr är det mycket som känns obehagligt välbekant.
Det är dystert att blir varse om hur det område man själv jobbar inom liksom man själv kanske är en förgiftad gåva till uppdragsgivaren, att det kostar mer än det smakar.
Vi kanske ödmjukt borde inseltför ofta ger upphov till mer byråkrati än nytta, till mer krångel än säkerhet.
En ständigt närvarande fråga borde vara hur kan vi skapa bättre säkerhet utan att tynga våra uppdragsgivare och utan att ta kraft från organisationernas verkliga uppgifter.
Hur mycket har alla de icke-fungerande ledningssystem inte kostat i pengar, incidenter och en falsk trygghet som hindrat att man vidtagit reella säkerhetsåtgärder.
Slutligen är det för mig oetiskt att ta mer resurser från kärnverksamheten till säkerhet om det inte går att påvisa att det är nödvändigt.
Givna frågor borde vara: Varför fungerar då så mycket avt så dåligt trots de avsevärda resurser som läggs på det från olika håll?
Efter att ha begrundat Statskontorets antologi vill jag på prov lansera hypotesen att många av informationssäkerhetens tillkortakommande beror på att arbetet bedrivits som en del i den new public management-trend som varit rådande i svensk förvaltning de senaste decennierna.
NPM diskuteras frekvent i antologin och många av dessa resonemang kan med lätthet översättas till informationssäkerhetsområdet.
Kännetecknande för NPM är bland annat en strävan att styrformerna i offentlig förvaltning ska likna de i privata företag.
Konsekvenserna blir i korthet decentralisering, ram/mål-styrning, standarder och en massa mätande.
Det som regleras är som ska göras men inte Ansvaret för hur åtgärder ska genomföras trycks ner i den decentraliserade strukturen.
Någon som kommer att tänka på den så omtalade ansvarsprincipen kanske?
NPM kan låta lockande men jag skulle säga att informationssäkerheten nationellt och i de enskilda organisationerna lidit stor skada av att det inte funnits en inriktning att ge tydliga direktiv om olika säkerhetsåtgärder ska utföras.
Det är en närmast kuslig suboptimering att varje organisation ska räkna ut allt själva.
Kravet på kortsiktig leverans och mätbarhet gör att det strategiska arbetet försummas.
Dessutom leder till en bristande samordning i en alltmer integrerad informationsinfrastruktur där en parts investering i säkerhet görs helt urarva genom att andra aktörer har gjort andra bedömningar och därmed inte infört samma skydd.
Fokus ligger också på dokument, standarder och rapportering, allt i enlighet med NPM:s styrfilosofi.
Jag tror inte att motståndet mot att få en konkretare styrning i säkerhetsfrågor ligger hos enskilda myndigheter, kommuner eller regioner, tvärtom är en vanlig utgångspunkt i diskussioner att man vill ha tydlighet och stöd i att veta vilka säkerhetsåtgärder som är adekvata och uppdaterade.
Snarare uppfattar jag att myndigheterna med föreskriftsrätt duckar och inte vill ta det ansvar som det innebär att peka med hela handen.
Det är liksom lättare att klaga på den bristande säkerheten i förvaltningen än att ge ett ändamålsenligt stöd.
Jag vill lansera ett förslag som jag haft sedan jag jobbade på MSB som exempel på hur vi skulle kunna bryta med ovanstående ineffektiva styrning och få en bättre och billigare säkerhet.
Mitt förslag är och har varit att erbjuda stöd i form av standardiserade skyddsnivåer och det jag kallar normerande klassningar.
Skyddsnivåer har jag skrivit om tidigare så därför koncentrerar jag mig på de normerande klassningarna.
Det mest uppenbara exemplet på hur det skulle kunna fungera gäller kommunal verksamhet.
Tänk er att det finns 290 kommuner med samma tio obligatoriska uppgifter.
Det leder till att man har i grunden har mycket likartade processer även om man ofta har egna beteckningar på förvaltningar, processer och informationsmängder.
I större kommuner kan det vara så att flera organisatoriska enheter ägnar sig åt samma slags verksamhet, exempelvis förskola eller äldreomsorg.
Man kan också anlita utomstående leverantörer för att driva verksamhet som till exempel ett äldreboende.
En viktig grundprincip för kommunal verksamhet är likvärdighet, dvs.
att invånare har rätt att förvänta sig samma kommunala service oavsett var man bor eller vem som är utförare.
I det här sammanhanget bör det tolkas som att invånare har rätt till samma säkerhet och integritet.
Detta uppnås dock knappast om informationsklassningar genomförs på tusentals olika sätt med helt olika resultat (jag kommer inte att ta upp SKR:s KLASSA här eftersom jag gjort det på annat ställe och kommit fram till att det inte är ett verktyg för informationsklassning utan möjligen för att ställa baskrav på enskilda system och som dessutom ger precis samma risk för olikartade bedömningar som om man inte använde verktyget).
Vad som skulle leda till både ensartade bedömningar och dramatiskt minskad resursåtgång är att göra normerande klassningar på prioriterade processer i kommunal verksamhet.
Man skulle då gå igenom en generisk process, exempelvis utbetalning av försörjningsstöd, se vilka informationsmängder som stödjer och skapas i de olika aktiviteterna i processen.
Därefter kan informationsmängderna klassas och den normerande klassningen användas av samtliga som utbetalar försörjningsstöd.
I och med att aktiviteter och informationsmängder är förvånansvärt konstanta över tid i många processer (tro mig, jag har gått igenom ett stort antal processer även i ett ”historiskt” perspektiv) så skulle denna grund kunna användas under lång tid.
Uppdateringar måste göras då exempelvis lagstiftning eller andra nya förutsättningar leder till att en förändrad bedömning blir nödvändig.
Även denna förvaltningsinsats har allt att vinna på att genomföras kollektivt och inte av varje informationsägare.
Och, observera, den normerande klassningen är bara ett stöd.
Det står varje informationsägare fritt att välja en annan nivå eftersom ansvaret för säkerheten kvarstår hos hen.
Ytterligare en poäng är att det här finns mycket stora samordningsvinster att göra även med dataskydd och arkiv.
Jamen systemen och it-tjänsterna säger ni uppbragt – varför finns inte de med i konceptet???
Det gör de faktiskt eftersom it-säkerheten hanteras i de standardiserade skyddsnivåerna och gör man sin processorienterade informationskartläggning rätt så identifierar man inte bara de digitala lösningar som används som bärare utan även de andra medier som faktiskt används.
Dessutom förekommer idag information i många fall i flera versioner på olika bärare så därför kan man inte gå nerifrån och upp.
Slutligen är bärarna inte alls lika konstanta som aktiviteter och informationsmängder så att ha dem som utgångspunkt för strategiskt styrning skulle vara göra sig själv en stor otjänst.
En passant kan sägas att samma synsätt sannolikt skulle kunna användas av SÄPO till allas nytta.
Att göra generiska säkerhetsskyddsanalyser för exempelvis kommuner och regioner skulle avlasta dessa aktörer och ge ett mer likvärdigt skydd.
(Jag flyr nu eftersom jag vet att detta är en helig ko som absolut inte får besudlas….).
Min förutsägelse är att det inte finns något ljus som automatiskt kommer att slås på i denna mörka byråkratiska tunnel utan det är vi själva genom att tänka fritt och nytt som måste skapa det.
Det är inte i mängden dokument säkerheten sitter.
I detta inlägg ska jag inrikta mig på några mer generella frågor för området som också bör vara frågor som den som inte lever och andas informationssäkerhet borde ställa.
Ett ganska modest krav är att på ett hyfsat entydigt sätt kunna definiera vad informationssäkerhet är.
Detta är dock svårare än vad det först kan förefalla.
Inte ens om det är ett slags tillstånd eller en förmåga är klart.
Jag ska här endast ta upp några av de frågor man kan ha anledning att ställa sig angående vad informationssäkerhet ska anses vara.
En definition som säkert kommer att användas av många är den som finns med i den terminologi som sammanställts inom SIS: Denna definition har övertagits av MSB i den nya föreskriften MSBFS 2016:1 trots att myndigheten i andra sammanhang talar om ”förmåga” alternativt ”tillstånd” i andra sammanhang.
Jag ska inte detta sammanhang gå in på ISO 27000 och dess översättning i detta sammanhang utan här endast koncentrera mig på det sätt som terminologin definierar begreppet.
I ordet ”bevara” finns en implicit föreställning om att en vald informationsmängd är en entitet som har initiala egenskaper som ska bibehållas i en kortare eller mindre hantering.
Detta är ett ganska egenartat synsätt som sannolikt är hämtat från ett tidigare tekniskt utvecklingsskede, kanske en slags databastänkande, där man är upptagen av transaktioner inom ett enskilt system.
Att ställa krav på informationens kvalitet före instoppandet i systemet eller vid sammanställning till nya informationsmängder ligger utanför definitionen.
I värsta fall skullet alltså leda till att felaktig information förblir felaktig eftersom då den ursprungliga riktigheten ”bevaras”.
Beskrivningen indikerar också ett statiskt förhållande där informationen liksom inkapslad färdas i ett system.
Detta stämmer inte heller särskilt väl med den informationsinfrastruktur som har växt fram där information hela tiden sammanställs, förändras och kommuniceras i nya strukturer.
Informationssäkerheten borde då syfta till att förändras och skapa en tillräcklig nivå av skydd under informationshanteringsprocessen/erna.
Personligen måste jag därför medge att ”bevarande” är en definition som inte känns relevant.
”Tillstånd” eller ”förmåga” är alternativ som skulle ge andra möjligheter men oavsett vilket begrepp som väljs borde det bygga på en mer Trots att informationssäkerhetsområdet inte bygger på tung akademisk forskning på en ontologisk nivå, till exempel rörande vad informationssäkerhet skulle sägas vara, finns det vissa hangups där det hänvisats till akademin.
Den sådan är begreppet ”spårbarhet” som av informationssäkerhetens purister inte anses ha samma autonoma värde som exempelvis riktighet och tillgänglighet.
Purismen i denna fråga känns inte särskilt väl underbyggd.
Mig veterligen inte finns någon begreppsmodellering genomförd över något av begreppen och inte heller är översättningen av den så kallade CIA-triaden ( och ) till konfidentialitet, riktighet och tillgänglighet klockren.
skulle knappast översättas till ”riktighet” i något annat sammanhang, särskilt som riktighet i SIS terminologi anges som vilket återigen antyder ett synsätt som utgår från databashantering.
Rent praktiskt är spårbarhet ett begrepp som är av stor betydelse i transaktionstäta verksamheter som bank, finans och sjukvård samt för att stödja integritetskrav.
Spårbarhet är också mycket tydligt kopplat till konkreta åtgärder som loggning – ändå väljs det bort utan närmare förklaring.
Detta är bara ett exempel på att själva grundelementen i beskrivningen av informationssäkerheten saknar verkligt definition vilket ger möjlighet till vitt skilda tolkningar och närmast trosläror om vad informationssäkerhet egentligen är.
Ett annat tolkningsproblem är skillnaden mellan informationssäkerhet å ena sidan och it-säkerhet å den andra.
Att de som inte har informationssäkerhet har svårt att uppfatta skillnaden är inte så konstigt men att även de som arbetar med informationssäkerhet vacklar i distinktionen är ett tydligt tecken på osäkerheten i begreppet informationssäkerhet.
För mig framstår det som att informationssäkerhet i i första hand är en organisatorisk stödfunktion som ska ge ledningen stöd i att styra sin verksamhets resurser så att de skyddar informationen på ett sätt som stöder verksamhetens mål.
Detta uppfattar jag också som kärnan i ISO 27000 som ju är helt inriktad på att skapa ett ledningssystem som ska ge en organisatorisk förmåga till styrning av informationshanteringen.
It-säkerhet är i detta perspektiv de tekniska åtgärder som ska vidtas för att svara på de krav som ledningssystemet ställer.
Många verksamma inom informationssäkerhetsområdet tycks inte dela denna uppfattning utan ser informationssäkerhet som synonymt med it-säkerhet.
Även denna basala fråga skulle behöva analyseras och få en mer allmänt accepterad förklaring.
Detta är bara några frågor där det enligt min uppfattning råder oklarhet och där utrymmet för analys och vidareutveckling är mycket stort.
I nästa inlägg ska jag ge mig på målet för arbetet med informationssäkerhet.

Merparten av informationsmängderna är även de att betrakta som tämligen generiska Merparten av informationen hanteras i pappersform, detta särskilt i kritiska aktiviteter i processen En stor del av informationen finns på flera bärare samtidigt I hela processen är spårbarheten är essentiell för patientsäkerheten Har den här åtgärden en säkerhetshöjande effekt som står i paritet med den kostnad och krångel som den orsakar verksamheten?
Är den här åtgärden verkligen avpassad till och tar hänsyn till verksamhetens egentliga behov av säkerhet?
Indirekt: vet jag som vill lansera den tillräckligt mycket om verksamhetens behov för att kunna avgöra det?
Kommer den här åtgärden verkligen att fungera i praktiken eller är den en ren pappersprodukt?
Och kommer den även att fungera över tid, t.ex.
när konsulten lämnat skeppet?
Finns det verkligen inte ett effektivare sätt att reducera risken till en acceptabel nivå?

bred ha kontroll över sin information normerande klassning och vad hur.
hur konfidentialitet riktighet tillgänglighet

Vad är informationssäkerhet?

MENU MENU Postat av Rekommendationerna hänvisar inte till några allmänna standard er eller Postad i , , , Tagged , , , , , , , Postat av Postad i , , , , Tagged , , , , , , , , , Postat av Postad i , , , Tagged , , , , , , , Postat av Postad i , , , , Tagged , , , , Sök efter:

Tack Calle Lilius för bilderna!
Statlig förvaltningspolitik för 2020-talet bevarande av , och hos information.
Confidentiality, integrity availability Integrity skydd mot oönskad förändring

Under de (alltför) många år jag arbetat med informationssäkerhet har ingen företeelse varit mer omhuldad än de standarder som använts som stöd i arbetet.
När jag började var det BS 77 99 och nu har vi en hel 27000-familj.
Även om jag under alla år har haft en god hjälp av standarderna har jag aldrig riktigt kunna gripas av samma entusiasm som de många, inklusive utgivare av myndigheters föreskrifter, som sett standarderna som ett magiskt spö som det i princip räcker att hänvisa till så försvinner säkerhetsproblemen.
Jag har redan skrivit ett antal inlägg, bl a och berör den ganska problematiska övertro som finns i Sverige till standardens kraft att skapa bättre informationssäkerhet.
Med tiden har jag kommit att fråga mig om sättet att se på framför allt ISO 27000 kanske snarare stjälpt än hjälptt.
En rejäl tankeställare fick jag när jag hade uppdraget att försöka få in säkerhetsperspektivet i en utredning om e-hälsa.
Få saker har jag misslyckats så kapitalt med och en av orsakerna, förutom mina egna brister, var att både utredaren och utredningens sekretariat så fort frågan kom upp smashade bort den som en irriterande fluga med: vi gör en hänvisning till att standarder ska användas.
Eftersom jag inte förstår en vink när jag får den eller snarare bryr mig om den så fortsatte jag och försökte även få ett förtydligande vilka standarder som skulle användas och hur.
Som ni säkert förstår fick jag aldrig några svar på mina frågor utan det ansågs helt tillfyllest att säkerhetsproblem skulle hanteras via ”standarder”.
Självklart förstår jag lockelsen i att det skulle kunna fungera så.
Problemet är att det inte gör det.
Om man tittar bakåt så var standarder i industrisamhällets begynnelse en typ av nationella och internationella överenskommelser om framför allt utformningen av tekniska produkter och mått.
En av mina favoriter är standarden för avstånd mellan hålen för .
Det är ju ett sant kaos som väntar om hålslagen utformas hur som helst och ingen vet vilka pärmar som kan användas för vilka papper.
Men vad händer egentligen när man flyttar över standardiseringsidéen från vidden för järnvägsspår till hur organisationer ska styra olika verksamhetsområden?
När standarder som framtagits utan kontroll från lagstiftare och den egna förvaltningen ska leva sida vid sida med den ordinarie styrningen?
I en mycket intressant från Örebros universitet har författarna (Andersson, Karlsson och Hedström) genom diskursanalys försökt förstå hur framtagandet av standarder i 27000-serien egentligen går till.
Som en bakgrund gör de en åtskillnad mellan s.k.
de facto-standarder som ta fram av ett företag eller flera företag tillsammans som har ett konkret behov av standardisering.
Den andra typen av standarder benämns de jure-standarder som kan utvecklas av olika lagstiftande organ alternativt myndigheter eller av oberoende standardorganisationer som ISO.
27000-serien är alltså en de jure-standard men ligger utanför det lagstiftande området.
Artikeln lyfter också fram att denna typ av standarder strävar efter att skapa en konsensus av vad som bland experter inom området anses vara ”best practice” vilket även framgår tydligt i arbetet med informationssäkerhetsstandarden: De jure standards play a central role in information security, and organizations are increasingly required to demonstrate compliance with them ( ; ).
Det kan alltså ifrågasättas vad standardens ställningstagande egentligen bygger, om dess anspråk på att vila på ”best practice” uppfylls.
Eftersom den inte bygger på evidens skulle dess USP bestå just i en erfarenhetsbaserad kunskap.
Om inte denna grund finns påverkas naturligtvis standardens legitimitet.
Senare i artikeln framgår på ett litet roande och samtidigt avslöjande sätt hur ytterst få som deltar i standardarbetet även om man tågat omkring på standardiseringsmötena som en fåmansprocession under beteckningen ”Sweden”.
Artikelförfattarna gör en maktanalys av själva arbetet med framtagandet av standarder men jag tycker att en vidare maktanalys av hur en mycket liten krets knutna till standardarbetet har haft ett helt dominerande inflytande över svensk förvaltnings arbete med informationssäkerhet.
Resultatet har blivit en hegemonisk doktrin om att ISO 27000 är den enda framkomliga vägen att arbeta med informationssäkerhet i svensk förvaltning trots att denna doktrin vare sig bygger på evidens eller ”best practice”.
Så här 11 år efter att ISO 27000 pekades ut som vägledande för svenska myndigheters arbete med informationssäkerhet i MSB:s föreskrift MSBFS 2009:10 (ytterligare markerat i de följande föreskrifterna fram till den nu gällande MSBFS 2020:6) så tycker jag inte det är uppenbart att det var ett helt lyckat vägval.
Detta bygger jag på attt knappast kan ses som särdeles framgångsrikt mätt med tillgängliga måttstockar, d.v.s.
de granskningar som gjorts både generellt och de som gjorts med inriktning på samhällsviktiga sektorer som exempelvis sjukvård.
Låt oss komma ihåg att detta inte är den enda möjliga vägen att välja.
I Finland antogs i år en av informationshanteringsnämnden under finansministeriet som explicit undviker att hänvisa till någon standard: referensramar och ger inga anvisningar om tekniska lösningar, som kan förändras till och med snabbt.
Utifrån en riskbedömning som görs från fall till fall ska varje myndighet välja tillräckligt säkra tekniska lösningar som är lämpliga i den aktuella situationen.
Jag kommer ihåg att ansvariga för Normen i Norge förde samma resonemang i sina reglervården, man ville inte referera till någon särskild standard.
Uppfattningen var att det var möjligt att plocka ut det man ville ha ur standarder utan att behöva ansluta sig till en helhet som inte kunde kontrolleras av norsk sjukvård.
När standarder lämnar tekniska specifikationer och övergår till organisatorisk styrning uppstår paradoxala effekter.
Jag tänker nu på att ISO 27000 innehåller mycket allmänna krav, att det ska finnas informationsklassning men inte hur den ska utföras eller vilken normskala som ska tillämpas.
Varje organisation ska själv ta fram sitt eget komplexa ledningssystem med de komponenter som anvisas i standarden men utformningen och tillämpningen kommer att se väldigt olika ut, det tror jag varje erfaren konsult kan intyga.
Istället för centrala regler som specificerar olika lösningar får vi alltså en mängd olika regelverk som ska användas i samma infrastruktur.
Standarden leder alltså sannolikt till mindre standardisering på grund av sin inriktning på enskilda organisationer istället för på helhet.
Bräckligheten i kunskapsunderlaget och det fragmentiserade resultatet är två orsaker att ompröva ISO 27000 ställning i den offentliga verksamhetensi Sverige.
Vi behöver inte kasta ut barnet med badvattnet men vi måste våga ifrågasätta doktrinen även om de som har byggt upp en stark ställning med hjälp av standarden riskerar att ta illa upp.
Informationssäkerhet är en för viktig fråga för att vi ska ha råd med heliga principer som inte tål att diskuteras.
I mitt förra inlägg hävdade jag att arbetet med informationssäkerhet alltför ofta kännetecknas av byråkratiska aktiviteter utan reell säkerhetshöjande effekt men däremot med ett anspråkstagande av verksamheters resurser på ett orimligt sätt.
Det är ju inte heller enbart kärnverksamhetens resurser som används på ett sätt som kan etiskt ifrågasättas.
Att säkerhetsarbetet bedrivs utan hänsyn till hur effektiv användningen av resurser är samtidigt som den oavlåtliga klagovisan ljuder att säkerhetsarbetet får för litet resurser, ständigt för litet resurser, är paradoxalt.
För den som arbetar med säkerhet borde det ha högsta prioritet att få fram arbetssätt som ger största möjliga utdelning av säkerhetshöjande effekter i förhållanden till insatta resurser.
Tyvärr har jag sett mycket litet av den typen av analyser och jag kan t.o.m.
tycka att säkerhetsområdet får rejält med pengar sammantaget utan det riktigt framgår vad som kommit ut av det.
Rubriken på blogginlägget är aningen ironisk eftersom det väl nu är allmänt känt att effektiviseringar sällan leder till bättre verksamhet.
Jag tycker ändå att det är klädsamt om vi som jobbar informationssäkerhet, som är en stödfunktion, håller upp spegeln och ser vad vi kan göra när kärnverksamheten i många organisationer är hårt pressad av krav på besparingar.
Att försöka göra saker bättre och mer kostnadseffektiva behöver inte heller vara till nackdel för metodutveckling, jag dristar mig att anse att det skulle vara en fördel om det fanns ROI-perspektiv på både planerade och genomförda säkerhetsåtgärder.
Jag tror det skulle vara ett stort stöd för många informationssäkerhetsansvariga som nu ibland verkar beta av ett antal aktiviteter utan att kunna bedöma vad det egentligen leder till.
Vissa aktiviteter kan vara stora och dyrbara men det handlar också om annat där kostnaden kanske inte är så stor men effekten ännu mindre.
Att genomföra generiska e-utbildningar är enligt min erfarenhet tämligen bortkastat mensom initierat dem kan bocka av en ruta.
För mig betyder detta mekaniska tillvägagångssätt, förutom pengar och medarbetares tid i sjön, att organisationen invaggas i en vilseledande och farlig falsk trygghet.
Det tämligen obefintliga effektivitetspressen inom säkerhetsområdet, som är så kännbar i andra sektorer, tycker jag mig se leda till en lättja i tanke och i handling.
Det är lätt att glömma bort men informationssäkerhet handlar i grunden om att .
Har man inte det så har man inte en fungerande informationssäkerhet.
Med detta i bakhuvudet så kan den seriösa informationssäkerhetsarbetaren inte leva efter bekvämlighetsprincipen och hela tiden göra det som känns enklast.
Att enbart identifiera information som råkar finnas i system som man redan känner till är som, för att använda en mycket uttjatad bild, att leta efter den borttappade nyckeln under gatlyktan eftersom det är enklast.
Tyvärr är det så jag uppfattar rätt mycket av de insatser som går under beteckningen ”informationsklassning” som inte leder till kontroll över den information som är viktig för verksamheten utan den som redan finns bekvämt paketerad i en behållare a.k.a ett ”system”.
Ibland när jag får ”verktyg” för informationsklassning som är obegripligt efterfrågade presenterade för mig kan jag inte låta bli att fnissa till och tänka på min bekant som var kommunal it-chef på 1990-talet.
Hen hävdade att det var en underbar tillvaro där hen sågs som en wizzard som på vilken fråga som helst (i princip) från verksamheten kunde hacka ihop ett it-verktyg för att lösa en uppgift.
”Stöd” sågs helt enkelt som synonymt med någon slags programvara.
Tyvärr tycks denna uppfattning leva kvar bland många i informationssäkerhetsbranschen trots att det ofta är de icke-digitala delarna i en aktivitet som är svåra.
I informationsklassning (se nedan) är den stora frågan exempelvis att göra rätt analyser, inte att hålla reda på genomförda klassningar.
Innehåller verktygen dessutom generiska skyddsåtgärder uppstår en annan problematik: vem tar då egentligen ansvar för att det är korrekta skyddsåtgärder i förhållande till risken?
Efter denna salva känner jag mig förpliktigad att ge exempel på alternativ.
Här kommer därför ett förslag på arbetssätt motsvarande informationssäkerhetens kinderägg.
De tre fördelarna med mitt förslag är att man faktiskt arbetar med information – inte system, att man kan bygga upp en likvärdig säkerhet i likartade verksamheter och att kostnader i form av pengar och tid radikalt skulle kunna minskas samtidigt som får ökad kvalitet/säkerhet.
Med avsikt har jag valt en mycket säkerhetskänslig funktion som även är mycket vanligt förekommande: processen för läkemedelshantering i äldreomsorgen.
För att ge en kort bakgrund så ombesörjs äldreomsorgen med de 290 kommunerna som huvudman.
Kommunerna kan bedriva omsorgen själva eller anlita underleverantörer som privata vårdföretag.
Oavsett vilket så är det kommunen som har ansvar som sjukvårdshuvudman och ska därmed säkerställa att omsorgen bedrivs på ett säkert och likvärdigt sätt oavsett utförare.
En central del i omsorgen av äldre är läkemedelshanteringen.
Äldre som inte får rätt läkemedel i rätt dos vid rätt tidpunkt löper en avsevärd hälsorisk, i värsta fall med döden som utgång.
Omsorgen sker dygnet runt av ett antal medarbetare som vid varje givet tillfälle måste ha korrekt och spårbar information tillgänglig.
Samtidigt berör uppgifterna om läkemedel omsorgstagarens hälsotillstånd vilket gör dem till känsliga personuppgifter som måste omges med ett mycket starkt skydd mot obehörig åtkomst.
Utöver detta finns en särskild risk i läkemedelshanteringen, narkotiska preparat och även andra är mycket stöldbegärliga.
Även detta stärker det utpräglade behovet av spårbarhet där varje händelse kan följas och och kopplas till person som i en lång verifikationskedja.
En generisk processbeskrivning på övergripande nivå skulle kunna se ut så här.
Inga konstigheter i det men man kan gå ett fördjupande steg till utan att beskrivningen skulle tappa särskilt mycket i allmängiltighet med däremot fånga upp vilken information som hanteras, se detta utsnitt ur processen: Processen startar med att en av regionens läkare gör en läkemedelsordination vilket dokumenteras i regionens vårdsystem samt i den nationella läkemedelslistan.
Dessa moment ligger utanför processbeskrivningen ovan som startar med att information om ordination överförs till kommunen som en pappersutskrift vilket startar processen.
Den intresserade kan notera följande: Detta är inte på något sätt unikt för den här processen utan gäller för många andra.
Slutsatsen man kan dra är att om man seriöst så räcker det sannerligen inte med att ”klassa” ett enskilt system utan måste få kontroll över hela informationshanteringen.
Inte heller att enbart titta på digital information utan det är just helheten som måste fångas för att rätt åtgärder ska kunna vidtas.
Även för dataskyddet är detta en självklarhet – man kan liksom inte bara skydda personuppgifter i digital form.
I den ovan beskrivna processen finns t.o.m.
bärare som apodos-påsar som måste omhändertas på ett korrekt sätt.
Det kan tyckas ansträngande att inte bara få ägna sig åt färdigpaketerad information prydligt avgränsad i system men här finns istället stora effektivitetsvinster att göra.
Det går att klassa informationsmängden ”ordination” och så vidare så att det går att använda som en i samtliga kommuner oavsett vilka bärare man för tillfället råkar använda.
Dagens rekommendation från myndigheter och SKR är att 290 kommuner med vissa fall flera förvaltningar som bedriver äldreomsorg ska klassa system i varje förvaltning.
Dessutom måste samma manöver upprepas av de privata vårdgivare som anlitas av kommunerna.
Enligt beräkningar fanns 2019 14900 företag som ägnade sig åt vård och omsorg.
Jag har inte riktigt tid att fördjupa mig i exakt hur många av dessa som bedriver äldreomsorg men för saken skull så utgår jag från att det åtminstone finns 500 privata äldreboenden.
Sammantaget kanske det då behöver göras 850 klassningar av olika vårdgivare.
Låt oss höfta och säga att resursåtgången per klassning är minst 100 timmar inklusive förberedelser och dokumentation (detta är extremt lågt räknat med tanke på att det ofta är ett flertal deltagare på klassningarna) för att klassa ett system som stödjer en liten del av ordinationsprocessen.
Lustigt nog kommer det också att bli samma system som klassas gång på gång med varierande resultat.
Kontentan blir alltså bristande kontroll över informationen och bristande likvärdighet mellan olika äldreomsorgsverksamheter till en sammantagen resursåtgång av 85 000 timmar.
Betänk också att detta bara är en av flera processer bara i äldreomsorgen.
Mitt förslag är att man istället slår ihop sina påsar, tar fram gemensamma normerande klassningar skyddsnivåer.
Skyddsnivåerna måste då tas fram i stor öppenhet där det redovisas hur man ser på olika risker och hur de föreslagna skyddsåtgärderna avses reducera dessa.
Koppling till krav i föreskrifter med mera bör även finnas.
Skyddsnivåerna måste även innefatta skydd av andra bärare än system och molntjänster, t.ex.
fysiskt skydd av papper.
En jätteuppgift är att hålla skyddsnivåerna uppdaterade så att de inte ger förlegade rekommendationer.
Då ska vi komma ihåg att detta ändå skulle kräva en bråkdel av de resurser som skulle gå åt om varje vårdgivare skulle genomföra alla moment själv.
Jag kan mycket väl tänka mig att man i många fall även kan ge förslag på arbetsrutiner.
Vad skull då detta kunna innebära i praktiken?
Naturligtvis skulle ansvaret för säkerheten aldrig kunna delegeras men exempelvis en vårdgivare skulle kunna gå i ett bibliotek av olika verksamhetsprocesser, välja ut den aktuella och få fram en bild av generisk process samt en normerande klassning av typen nedan (fast ifylld): Därefter jämför vårdgivaren med sin egen verksamhet hur väl det presenterade materialet stämmer överens.
Gör det det i stora drag, kanske med litet annorlunda benämningar, så skulle vårdgivaren med detta stöd kunna ta sig ner till nivå att kunna köpa rätt skåp att förvara den enskilde vårdtagarens medicin i. Att krav på digitala lösningar ingår är naturligtvis självklart.
Som en bonus kan även krav på bevarande och gallring läggas in.
Det kan kännas som en överväldigande uppgift att ta itu med men minns då att den redan är överväldigande och idag tynger kärnverksamheten på ett orimligt sätt.
Kan vi åtminstone ta fram normerande klassningar för generiska processer i samhällsviktig verksamhet skulle vi ge möjlighet att höja samhällssäkerheten högst väsentligt och dessutom kunna reducera resursåtgången.
Eftersom myndigheterna med särskilt ansvar för informationssäkerhet förefaller skeptiska till den här typen av stöd finns det utrymme för andra aktörer att träda fram.
Statskontorets publikationer är en underskattad men ständig källa om inte till glädje så till mycket nyttig kunskap.
Under sommaren har jag en forskningsantologi kallad .
Min bedömning är att denna antologi är ett måste för den som arbetar med informationshantering eller informationssäkerhet i offentlig sektor.
Här får man så mycket sammanhang och tankar att man går ur boken som en tjänsteperson eller konsult stärkt och betydligt bättre rustad att hantera sitt uppdrag.
Ur en informationssäkerhetskonsults vinkel är det framför allt avsnitten om hur förpappring, managementbyråkrati, användning av standarder och konsulter riskerar leda inte bara till onödig administration utan också till bristande styrförmåga.
Tyvärr är det mycket som känns obehagligt välbekant.
Det är dystert att blir varse om hur det område man själv jobbar inom liksom man själv kanske är en förgiftad gåva till uppdragsgivaren, att det kostar mer än det smakar.
Vi kanske ödmjukt borde inseltför ofta ger upphov till mer byråkrati än nytta, till mer krångel än säkerhet.
En ständigt närvarande fråga borde vara hur kan vi skapa bättre säkerhet utan att tynga våra uppdragsgivare och utan att ta kraft från organisationernas verkliga uppgifter.
Hur mycket har alla de icke-fungerande ledningssystem inte kostat i pengar, incidenter och en falsk trygghet som hindrat att man vidtagit reella säkerhetsåtgärder.
Slutligen är det för mig oetiskt att ta mer resurser från kärnverksamheten till säkerhet om det inte går att påvisa att det är nödvändigt.
Givna frågor borde vara: Varför fungerar då så mycket avt så dåligt trots de avsevärda resurser som läggs på det från olika håll?
Efter att ha begrundat Statskontorets antologi vill jag på prov lansera hypotesen att många av informationssäkerhetens tillkortakommande beror på att arbetet bedrivits som en del i den new public management-trend som varit rådande i svensk förvaltning de senaste decennierna.
NPM diskuteras frekvent i antologin och många av dessa resonemang kan med lätthet översättas till informationssäkerhetsområdet.
Kännetecknande för NPM är bland annat en strävan att styrformerna i offentlig förvaltning ska likna de i privata företag.
Konsekvenserna blir i korthet decentralisering, ram/mål-styrning, standarder och en massa mätande.
Det som regleras är som ska göras men inte Ansvaret för hur åtgärder ska genomföras trycks ner i den decentraliserade strukturen.
Någon som kommer att tänka på den så omtalade ansvarsprincipen kanske?
NPM kan låta lockande men jag skulle säga att informationssäkerheten nationellt och i de enskilda organisationerna lidit stor skada av att det inte funnits en inriktning att ge tydliga direktiv om olika säkerhetsåtgärder ska utföras.
Det är en närmast kuslig suboptimering att varje organisation ska räkna ut allt själva.
Kravet på kortsiktig leverans och mätbarhet gör att det strategiska arbetet försummas.
Dessutom leder till en bristande samordning i en alltmer integrerad informationsinfrastruktur där en parts investering i säkerhet görs helt urarva genom att andra aktörer har gjort andra bedömningar och därmed inte infört samma skydd.
Fokus ligger också på dokument, standarder och rapportering, allt i enlighet med NPM:s styrfilosofi.
Jag tror inte att motståndet mot att få en konkretare styrning i säkerhetsfrågor ligger hos enskilda myndigheter, kommuner eller regioner, tvärtom är en vanlig utgångspunkt i diskussioner att man vill ha tydlighet och stöd i att veta vilka säkerhetsåtgärder som är adekvata och uppdaterade.
Snarare uppfattar jag att myndigheterna med föreskriftsrätt duckar och inte vill ta det ansvar som det innebär att peka med hela handen.
Det är liksom lättare att klaga på den bristande säkerheten i förvaltningen än att ge ett ändamålsenligt stöd.
Jag vill lansera ett förslag som jag haft sedan jag jobbade på MSB som exempel på hur vi skulle kunna bryta med ovanstående ineffektiva styrning och få en bättre och billigare säkerhet.
Mitt förslag är och har varit att erbjuda stöd i form av standardiserade skyddsnivåer och det jag kallar normerande klassningar.
Skyddsnivåer har jag skrivit om tidigare så därför koncentrerar jag mig på de normerande klassningarna.
Det mest uppenbara exemplet på hur det skulle kunna fungera gäller kommunal verksamhet.
Tänk er att det finns 290 kommuner med samma tio obligatoriska uppgifter.
Det leder till att man har i grunden har mycket likartade processer även om man ofta har egna beteckningar på förvaltningar, processer och informationsmängder.
I större kommuner kan det vara så att flera organisatoriska enheter ägnar sig åt samma slags verksamhet, exempelvis förskola eller äldreomsorg.
Man kan också anlita utomstående leverantörer för att driva verksamhet som till exempel ett äldreboende.
En viktig grundprincip för kommunal verksamhet är likvärdighet, dvs.
att invånare har rätt att förvänta sig samma kommunala service oavsett var man bor eller vem som är utförare.
I det här sammanhanget bör det tolkas som att invånare har rätt till samma säkerhet och integritet.
Detta uppnås dock knappast om informationsklassningar genomförs på tusentals olika sätt med helt olika resultat (jag kommer inte att ta upp SKR:s KLASSA här eftersom jag gjort det på annat ställe och kommit fram till att det inte är ett verktyg för informationsklassning utan möjligen för att ställa baskrav på enskilda system och som dessutom ger precis samma risk för olikartade bedömningar som om man inte använde verktyget).
Vad som skulle leda till både ensartade bedömningar och dramatiskt minskad resursåtgång är att göra normerande klassningar på prioriterade processer i kommunal verksamhet.
Man skulle då gå igenom en generisk process, exempelvis utbetalning av försörjningsstöd, se vilka informationsmängder som stödjer och skapas i de olika aktiviteterna i processen.
Därefter kan informationsmängderna klassas och den normerande klassningen användas av samtliga som utbetalar försörjningsstöd.
I och med att aktiviteter och informationsmängder är förvånansvärt konstanta över tid i många processer (tro mig, jag har gått igenom ett stort antal processer även i ett ”historiskt” perspektiv) så skulle denna grund kunna användas under lång tid.
Uppdateringar måste göras då exempelvis lagstiftning eller andra nya förutsättningar leder till att en förändrad bedömning blir nödvändig.
Även denna förvaltningsinsats har allt att vinna på att genomföras kollektivt och inte av varje informationsägare.
Och, observera, den normerande klassningen är bara ett stöd.
Det står varje informationsägare fritt att välja en annan nivå eftersom ansvaret för säkerheten kvarstår hos hen.
Ytterligare en poäng är att det här finns mycket stora samordningsvinster att göra även med dataskydd och arkiv.
Jamen systemen och it-tjänsterna säger ni uppbragt – varför finns inte de med i konceptet???
Det gör de faktiskt eftersom it-säkerheten hanteras i de standardiserade skyddsnivåerna och gör man sin processorienterade informationskartläggning rätt så identifierar man inte bara de digitala lösningar som används som bärare utan även de andra medier som faktiskt används.
Dessutom förekommer idag information i många fall i flera versioner på olika bärare så därför kan man inte gå nerifrån och upp.
Slutligen är bärarna inte alls lika konstanta som aktiviteter och informationsmängder så att ha dem som utgångspunkt för strategiskt styrning skulle vara göra sig själv en stor otjänst.
En passant kan sägas att samma synsätt sannolikt skulle kunna användas av SÄPO till allas nytta.
Att göra generiska säkerhetsskyddsanalyser för exempelvis kommuner och regioner skulle avlasta dessa aktörer och ge ett mer likvärdigt skydd.
(Jag flyr nu eftersom jag vet att detta är en helig ko som absolut inte får besudlas….).
Min förutsägelse är att det inte finns något ljus som automatiskt kommer att slås på i denna mörka byråkratiska tunnel utan det är vi själva genom att tänka fritt och nytt som måste skapa det.
Det är inte i mängden dokument säkerheten sitter.

Merparten av informationsmängderna är även de att betrakta som tämligen generiska Merparten av informationen hanteras i pappersform, detta särskilt i kritiska aktiviteter i processen En stor del av informationen finns på flera bärare samtidigt I hela processen är spårbarheten är essentiell för patientsäkerheten Har den här åtgärden en säkerhetshöjande effekt som står i paritet med den kostnad och krångel som den orsakar verksamheten?
Är den här åtgärden verkligen avpassad till och tar hänsyn till verksamhetens egentliga behov av säkerhet?
Indirekt: vet jag som vill lansera den tillräckligt mycket om verksamhetens behov för att kunna avgöra det?
Kommer den här åtgärden verkligen att fungera i praktiken eller är den en ren pappersprodukt?
Och kommer den även att fungera över tid, t.ex.
när konsulten lämnat skeppet?
Finns det verkligen inte ett effektivare sätt att reducera risken till en acceptabel nivå?

bred ha kontroll över sin information normerande klassning och vad hur.
hur

MENU MENU Postat av Rekommendationerna hänvisar inte till några allmänna standard er eller Postad i , , , Tagged , , , , , , , Postat av Postad i , , , , Tagged , , , , , , , , , Postat av Postad i , , , Tagged , , , , , , , Sök efter:

Tack Calle Lilius för bilderna!
Statlig förvaltningspolitik för 2020-talet

Under de (alltför) många år jag arbetat med informationssäkerhet har ingen företeelse varit mer omhuldad än de standarder som använts som stöd i arbetet.
När jag började var det BS 77 99 och nu har vi en hel 27000-familj.
Även om jag under alla år har haft en god hjälp av standarderna har jag aldrig riktigt kunna gripas av samma entusiasm som de många, inklusive utgivare av myndigheters föreskrifter, som sett standarderna som ett magiskt spö som det i princip räcker att hänvisa till så försvinner säkerhetsproblemen.
Jag har redan skrivit ett antal inlägg, bl a och berör den ganska problematiska övertro som finns i Sverige till standardens kraft att skapa bättre informationssäkerhet.
Med tiden har jag kommit att fråga mig om sättet att se på framför allt ISO 27000 kanske snarare stjälpt än hjälptt.
En rejäl tankeställare fick jag när jag hade uppdraget att försöka få in säkerhetsperspektivet i en utredning om e-hälsa.
Få saker har jag misslyckats så kapitalt med och en av orsakerna, förutom mina egna brister, var att både utredaren och utredningens sekretariat så fort frågan kom upp smashade bort den som en irriterande fluga med: vi gör en hänvisning till att standarder ska användas.
Eftersom jag inte förstår en vink när jag får den eller snarare bryr mig om den så fortsatte jag och försökte även få ett förtydligande vilka standarder som skulle användas och hur.
Som ni säkert förstår fick jag aldrig några svar på mina frågor utan det ansågs helt tillfyllest att säkerhetsproblem skulle hanteras via ”standarder”.
Självklart förstår jag lockelsen i att det skulle kunna fungera så.
Problemet är att det inte gör det.
Om man tittar bakåt så var standarder i industrisamhällets begynnelse en typ av nationella och internationella överenskommelser om framför allt utformningen av tekniska produkter och mått.
En av mina favoriter är standarden för avstånd mellan hålen för .
Det är ju ett sant kaos som väntar om hålslagen utformas hur som helst och ingen vet vilka pärmar som kan användas för vilka papper.
Men vad händer egentligen när man flyttar över standardiseringsidéen från vidden för järnvägsspår till hur organisationer ska styra olika verksamhetsområden?
När standarder som framtagits utan kontroll från lagstiftare och den egna förvaltningen ska leva sida vid sida med den ordinarie styrningen?
I en mycket intressant från Örebros universitet har författarna (Andersson, Karlsson och Hedström) genom diskursanalys försökt förstå hur framtagandet av standarder i 27000-serien egentligen går till.
Som en bakgrund gör de en åtskillnad mellan s.k.
de facto-standarder som ta fram av ett företag eller flera företag tillsammans som har ett konkret behov av standardisering.
Den andra typen av standarder benämns de jure-standarder som kan utvecklas av olika lagstiftande organ alternativt myndigheter eller av oberoende standardorganisationer som ISO.
27000-serien är alltså en de jure-standard men ligger utanför det lagstiftande området.
Artikeln lyfter också fram att denna typ av standarder strävar efter att skapa en konsensus av vad som bland experter inom området anses vara ”best practice” vilket även framgår tydligt i arbetet med informationssäkerhetsstandarden: De jure standards play a central role in information security, and organizations are increasingly required to demonstrate compliance with them ( ; ).
Det kan alltså ifrågasättas vad standardens ställningstagande egentligen bygger, om dess anspråk på att vila på ”best practice” uppfylls.
Eftersom den inte bygger på evidens skulle dess USP bestå just i en erfarenhetsbaserad kunskap.
Om inte denna grund finns påverkas naturligtvis standardens legitimitet.
Senare i artikeln framgår på ett litet roande och samtidigt avslöjande sätt hur ytterst få som deltar i standardarbetet även om man tågat omkring på standardiseringsmötena som en fåmansprocession under beteckningen ”Sweden”.
Artikelförfattarna gör en maktanalys av själva arbetet med framtagandet av standarder men jag tycker att en vidare maktanalys av hur en mycket liten krets knutna till standardarbetet har haft ett helt dominerande inflytande över svensk förvaltnings arbete med informationssäkerhet.
Resultatet har blivit en hegemonisk doktrin om att ISO 27000 är den enda framkomliga vägen att arbeta med informationssäkerhet i svensk förvaltning trots att denna doktrin vare sig bygger på evidens eller ”best practice”.
Så här 11 år efter att ISO 27000 pekades ut som vägledande för svenska myndigheters arbete med informationssäkerhet i MSB:s föreskrift MSBFS 2009:10 (ytterligare markerat i de följande föreskrifterna fram till den nu gällande MSBFS 2020:6) så tycker jag inte det är uppenbart att det var ett helt lyckat vägval.
Detta bygger jag på attt knappast kan ses som särdeles framgångsrikt mätt med tillgängliga måttstockar, d.v.s.
de granskningar som gjorts både generellt och de som gjorts med inriktning på samhällsviktiga sektorer som exempelvis sjukvård.
Låt oss komma ihåg att detta inte är den enda möjliga vägen att välja.
I Finland antogs i år en av informationshanteringsnämnden under finansministeriet som explicit undviker att hänvisa till någon standard: referensramar och ger inga anvisningar om tekniska lösningar, som kan förändras till och med snabbt.
Utifrån en riskbedömning som görs från fall till fall ska varje myndighet välja tillräckligt säkra tekniska lösningar som är lämpliga i den aktuella situationen.
Jag kommer ihåg att ansvariga för Normen i Norge förde samma resonemang i sina reglervården, man ville inte referera till någon särskild standard.
Uppfattningen var att det var möjligt att plocka ut det man ville ha ur standarder utan att behöva ansluta sig till en helhet som inte kunde kontrolleras av norsk sjukvård.
När standarder lämnar tekniska specifikationer och övergår till organisatorisk styrning uppstår paradoxala effekter.
Jag tänker nu på att ISO 27000 innehåller mycket allmänna krav, att det ska finnas informationsklassning men inte hur den ska utföras eller vilken normskala som ska tillämpas.
Varje organisation ska själv ta fram sitt eget komplexa ledningssystem med de komponenter som anvisas i standarden men utformningen och tillämpningen kommer att se väldigt olika ut, det tror jag varje erfaren konsult kan intyga.
Istället för centrala regler som specificerar olika lösningar får vi alltså en mängd olika regelverk som ska användas i samma infrastruktur.
Standarden leder alltså sannolikt till mindre standardisering på grund av sin inriktning på enskilda organisationer istället för på helhet.
Bräckligheten i kunskapsunderlaget och det fragmentiserade resultatet är två orsaker att ompröva ISO 27000 ställning i den offentliga verksamhetensi Sverige.
Vi behöver inte kasta ut barnet med badvattnet men vi måste våga ifrågasätta doktrinen även om de som har byggt upp en stark ställning med hjälp av standarden riskerar att ta illa upp.
Informationssäkerhet är en för viktig fråga för att vi ska ha råd med heliga principer som inte tål att diskuteras.
I mitt förra inlägg hävdade jag att arbetet med informationssäkerhet alltför ofta kännetecknas av byråkratiska aktiviteter utan reell säkerhetshöjande effekt men däremot med ett anspråkstagande av verksamheters resurser på ett orimligt sätt.
Det är ju inte heller enbart kärnverksamhetens resurser som används på ett sätt som kan etiskt ifrågasättas.
Att säkerhetsarbetet bedrivs utan hänsyn till hur effektiv användningen av resurser är samtidigt som den oavlåtliga klagovisan ljuder att säkerhetsarbetet får för litet resurser, ständigt för litet resurser, är paradoxalt.
För den som arbetar med säkerhet borde det ha högsta prioritet att få fram arbetssätt som ger största möjliga utdelning av säkerhetshöjande effekter i förhållanden till insatta resurser.
Tyvärr har jag sett mycket litet av den typen av analyser och jag kan t.o.m.
tycka att säkerhetsområdet får rejält med pengar sammantaget utan det riktigt framgår vad som kommit ut av det.
Rubriken på blogginlägget är aningen ironisk eftersom det väl nu är allmänt känt att effektiviseringar sällan leder till bättre verksamhet.
Jag tycker ändå att det är klädsamt om vi som jobbar informationssäkerhet, som är en stödfunktion, håller upp spegeln och ser vad vi kan göra när kärnverksamheten i många organisationer är hårt pressad av krav på besparingar.
Att försöka göra saker bättre och mer kostnadseffektiva behöver inte heller vara till nackdel för metodutveckling, jag dristar mig att anse att det skulle vara en fördel om det fanns ROI-perspektiv på både planerade och genomförda säkerhetsåtgärder.
Jag tror det skulle vara ett stort stöd för många informationssäkerhetsansvariga som nu ibland verkar beta av ett antal aktiviteter utan att kunna bedöma vad det egentligen leder till.
Vissa aktiviteter kan vara stora och dyrbara men det handlar också om annat där kostnaden kanske inte är så stor men effekten ännu mindre.
Att genomföra generiska e-utbildningar är enligt min erfarenhet tämligen bortkastat mensom initierat dem kan bocka av en ruta.
För mig betyder detta mekaniska tillvägagångssätt, förutom pengar och medarbetares tid i sjön, att organisationen invaggas i en vilseledande och farlig falsk trygghet.
Det tämligen obefintliga effektivitetspressen inom säkerhetsområdet, som är så kännbar i andra sektorer, tycker jag mig se leda till en lättja i tanke och i handling.
Det är lätt att glömma bort men informationssäkerhet handlar i grunden om att .
Har man inte det så har man inte en fungerande informationssäkerhet.
Med detta i bakhuvudet så kan den seriösa informationssäkerhetsarbetaren inte leva efter bekvämlighetsprincipen och hela tiden göra det som känns enklast.
Att enbart identifiera information som råkar finnas i system som man redan känner till är som, för att använda en mycket uttjatad bild, att leta efter den borttappade nyckeln under gatlyktan eftersom det är enklast.
Tyvärr är det så jag uppfattar rätt mycket av de insatser som går under beteckningen ”informationsklassning” som inte leder till kontroll över den information som är viktig för verksamheten utan den som redan finns bekvämt paketerad i en behållare a.k.a ett ”system”.
Ibland när jag får ”verktyg” för informationsklassning som är obegripligt efterfrågade presenterade för mig kan jag inte låta bli att fnissa till och tänka på min bekant som var kommunal it-chef på 1990-talet.
Hen hävdade att det var en underbar tillvaro där hen sågs som en wizzard som på vilken fråga som helst (i princip) från verksamheten kunde hacka ihop ett it-verktyg för att lösa en uppgift.
”Stöd” sågs helt enkelt som synonymt med någon slags programvara.
Tyvärr tycks denna uppfattning leva kvar bland många i informationssäkerhetsbranschen trots att det ofta är de icke-digitala delarna i en aktivitet som är svåra.
I informationsklassning (se nedan) är den stora frågan exempelvis att göra rätt analyser, inte att hålla reda på genomförda klassningar.
Innehåller verktygen dessutom generiska skyddsåtgärder uppstår en annan problematik: vem tar då egentligen ansvar för att det är korrekta skyddsåtgärder i förhållande till risken?
Efter denna salva känner jag mig förpliktigad att ge exempel på alternativ.
Här kommer därför ett förslag på arbetssätt motsvarande informationssäkerhetens kinderägg.
De tre fördelarna med mitt förslag är att man faktiskt arbetar med information – inte system, att man kan bygga upp en likvärdig säkerhet i likartade verksamheter och att kostnader i form av pengar och tid radikalt skulle kunna minskas samtidigt som får ökad kvalitet/säkerhet.
Med avsikt har jag valt en mycket säkerhetskänslig funktion som även är mycket vanligt förekommande: processen för läkemedelshantering i äldreomsorgen.
För att ge en kort bakgrund så ombesörjs äldreomsorgen med de 290 kommunerna som huvudman.
Kommunerna kan bedriva omsorgen själva eller anlita underleverantörer som privata vårdföretag.
Oavsett vilket så är det kommunen som har ansvar som sjukvårdshuvudman och ska därmed säkerställa att omsorgen bedrivs på ett säkert och likvärdigt sätt oavsett utförare.
En central del i omsorgen av äldre är läkemedelshanteringen.
Äldre som inte får rätt läkemedel i rätt dos vid rätt tidpunkt löper en avsevärd hälsorisk, i värsta fall med döden som utgång.
Omsorgen sker dygnet runt av ett antal medarbetare som vid varje givet tillfälle måste ha korrekt och spårbar information tillgänglig.
Samtidigt berör uppgifterna om läkemedel omsorgstagarens hälsotillstånd vilket gör dem till känsliga personuppgifter som måste omges med ett mycket starkt skydd mot obehörig åtkomst.
Utöver detta finns en särskild risk i läkemedelshanteringen, narkotiska preparat och även andra är mycket stöldbegärliga.
Även detta stärker det utpräglade behovet av spårbarhet där varje händelse kan följas och och kopplas till person som i en lång verifikationskedja.
En generisk processbeskrivning på övergripande nivå skulle kunna se ut så här.
Inga konstigheter i det men man kan gå ett fördjupande steg till utan att beskrivningen skulle tappa särskilt mycket i allmängiltighet med däremot fånga upp vilken information som hanteras, se detta utsnitt ur processen: Processen startar med att en av regionens läkare gör en läkemedelsordination vilket dokumenteras i regionens vårdsystem samt i den nationella läkemedelslistan.
Dessa moment ligger utanför processbeskrivningen ovan som startar med att information om ordination överförs till kommunen som en pappersutskrift vilket startar processen.
Den intresserade kan notera följande: Detta är inte på något sätt unikt för den här processen utan gäller för många andra.
Slutsatsen man kan dra är att om man seriöst så räcker det sannerligen inte med att ”klassa” ett enskilt system utan måste få kontroll över hela informationshanteringen.
Inte heller att enbart titta på digital information utan det är just helheten som måste fångas för att rätt åtgärder ska kunna vidtas.
Även för dataskyddet är detta en självklarhet – man kan liksom inte bara skydda personuppgifter i digital form.
I den ovan beskrivna processen finns t.o.m.
bärare som apodos-påsar som måste omhändertas på ett korrekt sätt.
Det kan tyckas ansträngande att inte bara få ägna sig åt färdigpaketerad information prydligt avgränsad i system men här finns istället stora effektivitetsvinster att göra.
Det går att klassa informationsmängden ”ordination” och så vidare så att det går att använda som en i samtliga kommuner oavsett vilka bärare man för tillfället råkar använda.
Dagens rekommendation från myndigheter och SKR är att 290 kommuner med vissa fall flera förvaltningar som bedriver äldreomsorg ska klassa system i varje förvaltning.
Dessutom måste samma manöver upprepas av de privata vårdgivare som anlitas av kommunerna.
Enligt beräkningar fanns 2019 14900 företag som ägnade sig åt vård och omsorg.
Jag har inte riktigt tid att fördjupa mig i exakt hur många av dessa som bedriver äldreomsorg men för saken skull så utgår jag från att det åtminstone finns 500 privata äldreboenden.
Sammantaget kanske det då behöver göras 850 klassningar av olika vårdgivare.
Låt oss höfta och säga att resursåtgången per klassning är minst 100 timmar inklusive förberedelser och dokumentation (detta är extremt lågt räknat med tanke på att det ofta är ett flertal deltagare på klassningarna) för att klassa ett system som stödjer en liten del av ordinationsprocessen.
Lustigt nog kommer det också att bli samma system som klassas gång på gång med varierande resultat.
Kontentan blir alltså bristande kontroll över informationen och bristande likvärdighet mellan olika äldreomsorgsverksamheter till en sammantagen resursåtgång av 85 000 timmar.
Betänk också att detta bara är en av flera processer bara i äldreomsorgen.
Mitt förslag är att man istället slår ihop sina påsar, tar fram gemensamma normerande klassningar skyddsnivåer.
Skyddsnivåerna måste då tas fram i stor öppenhet där det redovisas hur man ser på olika risker och hur de föreslagna skyddsåtgärderna avses reducera dessa.
Koppling till krav i föreskrifter med mera bör även finnas.
Skyddsnivåerna måste även innefatta skydd av andra bärare än system och molntjänster, t.ex.
fysiskt skydd av papper.
En jätteuppgift är att hålla skyddsnivåerna uppdaterade så att de inte ger förlegade rekommendationer.
Då ska vi komma ihåg att detta ändå skulle kräva en bråkdel av de resurser som skulle gå åt om varje vårdgivare skulle genomföra alla moment själv.
Jag kan mycket väl tänka mig att man i många fall även kan ge förslag på arbetsrutiner.
Vad skull då detta kunna innebära i praktiken?
Naturligtvis skulle ansvaret för säkerheten aldrig kunna delegeras men exempelvis en vårdgivare skulle kunna gå i ett bibliotek av olika verksamhetsprocesser, välja ut den aktuella och få fram en bild av generisk process samt en normerande klassning av typen nedan (fast ifylld): Därefter jämför vårdgivaren med sin egen verksamhet hur väl det presenterade materialet stämmer överens.
Gör det det i stora drag, kanske med litet annorlunda benämningar, så skulle vårdgivaren med detta stöd kunna ta sig ner till nivå att kunna köpa rätt skåp att förvara den enskilde vårdtagarens medicin i. Att krav på digitala lösningar ingår är naturligtvis självklart.
Som en bonus kan även krav på bevarande och gallring läggas in.
Det kan kännas som en överväldigande uppgift att ta itu med men minns då att den redan är överväldigande och idag tynger kärnverksamheten på ett orimligt sätt.
Kan vi åtminstone ta fram normerande klassningar för generiska processer i samhällsviktig verksamhet skulle vi ge möjlighet att höja samhällssäkerheten högst väsentligt och dessutom kunna reducera resursåtgången.
Eftersom myndigheterna med särskilt ansvar för informationssäkerhet förefaller skeptiska till den här typen av stöd finns det utrymme för andra aktörer att träda fram.
Statskontorets publikationer är en underskattad men ständig källa om inte till glädje så till mycket nyttig kunskap.
Under sommaren har jag en forskningsantologi kallad .
Min bedömning är att denna antologi är ett måste för den som arbetar med informationshantering eller informationssäkerhet i offentlig sektor.
Här får man så mycket sammanhang och tankar att man går ur boken som en tjänsteperson eller konsult stärkt och betydligt bättre rustad att hantera sitt uppdrag.
Ur en informationssäkerhetskonsults vinkel är det framför allt avsnitten om hur förpappring, managementbyråkrati, användning av standarder och konsulter riskerar leda inte bara till onödig administration utan också till bristande styrförmåga.
Tyvärr är det mycket som känns obehagligt välbekant.
Det är dystert att blir varse om hur det område man själv jobbar inom liksom man själv kanske är en förgiftad gåva till uppdragsgivaren, att det kostar mer än det smakar.
Vi kanske ödmjukt borde inseltför ofta ger upphov till mer byråkrati än nytta, till mer krångel än säkerhet.
En ständigt närvarande fråga borde vara hur kan vi skapa bättre säkerhet utan att tynga våra uppdragsgivare och utan att ta kraft från organisationernas verkliga uppgifter.
Hur mycket har alla de icke-fungerande ledningssystem inte kostat i pengar, incidenter och en falsk trygghet som hindrat att man vidtagit reella säkerhetsåtgärder.
Slutligen är det för mig oetiskt att ta mer resurser från kärnverksamheten till säkerhet om det inte går att påvisa att det är nödvändigt.
Givna frågor borde vara: Varför fungerar då så mycket avt så dåligt trots de avsevärda resurser som läggs på det från olika håll?
Efter att ha begrundat Statskontorets antologi vill jag på prov lansera hypotesen att många av informationssäkerhetens tillkortakommande beror på att arbetet bedrivits som en del i den new public management-trend som varit rådande i svensk förvaltning de senaste decennierna.
NPM diskuteras frekvent i antologin och många av dessa resonemang kan med lätthet översättas till informationssäkerhetsområdet.
Kännetecknande för NPM är bland annat en strävan att styrformerna i offentlig förvaltning ska likna de i privata företag.
Konsekvenserna blir i korthet decentralisering, ram/mål-styrning, standarder och en massa mätande.
Det som regleras är som ska göras men inte Ansvaret för hur åtgärder ska genomföras trycks ner i den decentraliserade strukturen.
Någon som kommer att tänka på den så omtalade ansvarsprincipen kanske?
NPM kan låta lockande men jag skulle säga att informationssäkerheten nationellt och i de enskilda organisationerna lidit stor skada av att det inte funnits en inriktning att ge tydliga direktiv om olika säkerhetsåtgärder ska utföras.
Det är en närmast kuslig suboptimering att varje organisation ska räkna ut allt själva.
Kravet på kortsiktig leverans och mätbarhet gör att det strategiska arbetet försummas.
Dessutom leder till en bristande samordning i en alltmer integrerad informationsinfrastruktur där en parts investering i säkerhet görs helt urarva genom att andra aktörer har gjort andra bedömningar och därmed inte infört samma skydd.
Fokus ligger också på dokument, standarder och rapportering, allt i enlighet med NPM:s styrfilosofi.
Jag tror inte att motståndet mot att få en konkretare styrning i säkerhetsfrågor ligger hos enskilda myndigheter, kommuner eller regioner, tvärtom är en vanlig utgångspunkt i diskussioner att man vill ha tydlighet och stöd i att veta vilka säkerhetsåtgärder som är adekvata och uppdaterade.
Snarare uppfattar jag att myndigheterna med föreskriftsrätt duckar och inte vill ta det ansvar som det innebär att peka med hela handen.
Det är liksom lättare att klaga på den bristande säkerheten i förvaltningen än att ge ett ändamålsenligt stöd.
Jag vill lansera ett förslag som jag haft sedan jag jobbade på MSB som exempel på hur vi skulle kunna bryta med ovanstående ineffektiva styrning och få en bättre och billigare säkerhet.
Mitt förslag är och har varit att erbjuda stöd i form av standardiserade skyddsnivåer och det jag kallar normerande klassningar.
Skyddsnivåer har jag skrivit om tidigare så därför koncentrerar jag mig på de normerande klassningarna.
Det mest uppenbara exemplet på hur det skulle kunna fungera gäller kommunal verksamhet.
Tänk er att det finns 290 kommuner med samma tio obligatoriska uppgifter.
Det leder till att man har i grunden har mycket likartade processer även om man ofta har egna beteckningar på förvaltningar, processer och informationsmängder.
I större kommuner kan det vara så att flera organisatoriska enheter ägnar sig åt samma slags verksamhet, exempelvis förskola eller äldreomsorg.
Man kan också anlita utomstående leverantörer för att driva verksamhet som till exempel ett äldreboende.
En viktig grundprincip för kommunal verksamhet är likvärdighet, dvs.
att invånare har rätt att förvänta sig samma kommunala service oavsett var man bor eller vem som är utförare.
I det här sammanhanget bör det tolkas som att invånare har rätt till samma säkerhet och integritet.
Detta uppnås dock knappast om informationsklassningar genomförs på tusentals olika sätt med helt olika resultat (jag kommer inte att ta upp SKR:s KLASSA här eftersom jag gjort det på annat ställe och kommit fram till att det inte är ett verktyg för informationsklassning utan möjligen för att ställa baskrav på enskilda system och som dessutom ger precis samma risk för olikartade bedömningar som om man inte använde verktyget).
Vad som skulle leda till både ensartade bedömningar och dramatiskt minskad resursåtgång är att göra normerande klassningar på prioriterade processer i kommunal verksamhet.
Man skulle då gå igenom en generisk process, exempelvis utbetalning av försörjningsstöd, se vilka informationsmängder som stödjer och skapas i de olika aktiviteterna i processen.
Därefter kan informationsmängderna klassas och den normerande klassningen användas av samtliga som utbetalar försörjningsstöd.
I och med att aktiviteter och informationsmängder är förvånansvärt konstanta över tid i många processer (tro mig, jag har gått igenom ett stort antal processer även i ett ”historiskt” perspektiv) så skulle denna grund kunna användas under lång tid.
Uppdateringar måste göras då exempelvis lagstiftning eller andra nya förutsättningar leder till att en förändrad bedömning blir nödvändig.
Även denna förvaltningsinsats har allt att vinna på att genomföras kollektivt och inte av varje informationsägare.
Och, observera, den normerande klassningen är bara ett stöd.
Det står varje informationsägare fritt att välja en annan nivå eftersom ansvaret för säkerheten kvarstår hos hen.
Ytterligare en poäng är att det här finns mycket stora samordningsvinster att göra även med dataskydd och arkiv.
Jamen systemen och it-tjänsterna säger ni uppbragt – varför finns inte de med i konceptet???
Det gör de faktiskt eftersom it-säkerheten hanteras i de standardiserade skyddsnivåerna och gör man sin processorienterade informationskartläggning rätt så identifierar man inte bara de digitala lösningar som används som bärare utan även de andra medier som faktiskt används.
Dessutom förekommer idag information i många fall i flera versioner på olika bärare så därför kan man inte gå nerifrån och upp.
Slutligen är bärarna inte alls lika konstanta som aktiviteter och informationsmängder så att ha dem som utgångspunkt för strategiskt styrning skulle vara göra sig själv en stor otjänst.
En passant kan sägas att samma synsätt sannolikt skulle kunna användas av SÄPO till allas nytta.
Att göra generiska säkerhetsskyddsanalyser för exempelvis kommuner och regioner skulle avlasta dessa aktörer och ge ett mer likvärdigt skydd.
(Jag flyr nu eftersom jag vet att detta är en helig ko som absolut inte får besudlas….).
Min förutsägelse är att det inte finns något ljus som automatiskt kommer att slås på i denna mörka byråkratiska tunnel utan det är vi själva genom att tänka fritt och nytt som måste skapa det.
Det är inte i mängden dokument säkerheten sitter.

Merparten av informationsmängderna är även de att betrakta som tämligen generiska Merparten av informationen hanteras i pappersform, detta särskilt i kritiska aktiviteter i processen En stor del av informationen finns på flera bärare samtidigt I hela processen är spårbarheten är essentiell för patientsäkerheten Har den här åtgärden en säkerhetshöjande effekt som står i paritet med den kostnad och krångel som den orsakar verksamheten?
Är den här åtgärden verkligen avpassad till och tar hänsyn till verksamhetens egentliga behov av säkerhet?
Indirekt: vet jag som vill lansera den tillräckligt mycket om verksamhetens behov för att kunna avgöra det?
Kommer den här åtgärden verkligen att fungera i praktiken eller är den en ren pappersprodukt?
Och kommer den även att fungera över tid, t.ex.
när konsulten lämnat skeppet?
Finns det verkligen inte ett effektivare sätt att reducera risken till en acceptabel nivå?

bred ha kontroll över sin information normerande klassning och vad hur.
hur

MENU MENU Postat av Rekommendationerna hänvisar inte till några allmänna standard er eller Postad i , , , Tagged , , , , , , , Postat av Postad i , , , , Tagged , , , , , , , , , Postat av Postad i , , , Tagged , , , , , , , Sök efter:

Tack Calle Lilius för bilderna!
Statlig förvaltningspolitik för 2020-talet

Antalet konsulter har tillväxt kanske inte explosionsartat men massivt under de senaste decennierna.
Det skulle föra för långt att ta upp alla bakomliggande orsaker till detta i ett kort blogginlägg.
Jag tänkte istället ägna mig åt litet självspäkning så här i slutet av sommaren och resonera litet om informationssäkerhetskonsulter och vilken eventuellt nytta eller skada vi kan bidra till.
För dessa resonemang har jag inte något specifikt stöd gällande konsulter inom informationssäkerhetsområdet men utgår från forskning angående managementkonsulteri generellt.
Tankarna som presenteras nedan bygger dock främst på mina egna erfarenheter från båda sidor upphandlingsbordet samt av de studier av de palimpsestlika konsultinsatser som man alltför ofta stöter på som konsult.
Det vill säga de ofta flerfaldiga lager av tidigare uppdrag som inte lett till något varaktigt säkerhetsarbete men som lever kvar som bortglömda power points, ibland regelverk som är copy paste ur standarden och som resignation i organisationen: ”vi har ju redan försökt och det gick inte”.
Marknaden för informationssäkerhetskonsulter har som sagt växt.
Många organisationer, både privata och offentliga, ser behov externa specialister för att förbättra sin säkerhet.
Men flera faktorer försvårar redan i upphandlingsskedet.
En sådan faktor är att det är marknad där ”varan” saknar en tydlig definition för vad ska egentligen en sådan konsult ha för bakgrund och kompetens?
När det inte ens finns en tydlig överenskommelse om vad informationssäkerhet ÄR och än mindre krav på enhetliga utbildningar med fastställt innehåll så är förvirring en självklar konsekvens.
Vanligaste förvirringen är sammanblandningen av informations- respektive it-säkerhet där både leverantör och kund ofta har inriktning på teknisk säkerhet snarare än den organisatoriska säkerhet som är grunden för informationssäkerheten.
Leverantör och kund kan med denna bakgrund ha helt olika uppfattningar om vad som ska levereras.
Genomgående har leverantörer ett kunskapsövertag – det är ju de som förväntas sitta på expertisen.
Om kunden inte har gjort ett ordentligt förarbete med analys av vilken typ specialiststöd man egentligen behöver kan leverantören på olika sätt styra vad som faktiskt kommer att levereras.
Detta moment 22, att man har alltid för litet intern kompetens för att kunna beskriva vad som behövs innan man har upphandlat kompetens, gäller inte bara för enskilda organisationer.
Under åren har jag sett ett rätt stort antal gemensamma ramavtal som haft samma brist.
Upphandlingen tycks formad av önskan att hitta en informationssäkerhetens Mary Poppins som bara glider in och fixar till saker utan att besvära organisationen.
Resultatet blir bland annat att rena teknikföretag kan kapa åt sig uppdrag där organisatorisk kompetens är helt nödvändig.
När ingen annan kan beskriva vad en ”informationssäkerhetsspecialist” är och vad som krävs för att arbeta som en sådan är det naturligtvis ett omöjligt krav att ställa att just den upphandlande organisationen ska göra det.
I ett antal upphandlingar och även anställningsförfarande har varit med om att några yrkesgrupper anser sig kompetenta även om de aldrig arbetat med informationssäkerhet, läs militärer och poliser.
Tidigare har jag skrivit om att informationssäkerhet fortfarande i hög grad är en erfarenhetsbaserad kunskap där juniora utövare lär sig av seniora dito.
Men hur ska krav på denna typ av erfarenhet ställas i en upphandling och hur mycket enklare vore det inte med någon typ av examen kompletterad med praktik under x antal år?
Under senare år har det dykt upp krav på att konsulter ska vara certifierade.
Detta menar jag är ett attraktivt villospår.
De certifieringar som ofta refereras till lider dels av att vara utformade främst för amerikanska förhållande, dels ha teknisk inriktning.
Det är inte till mycket hjälp när man ska få till en organisatorisk styrning i en svensk kommun eller myndighet.Själv skulle jag alltid ge företräde till en konsult med akademisk examen i samhällsvetenskapliga ämnen framför någon med aldrig så många certifieringar men utan examen.
Ett trick som ibland har använts när upphandlingarna inte varit tillräckligt tydliga i kraven är att leverantören erbjuder en senior konsult men det sedan i praktiken blir juniora konsulter som får genomföra uppdraget.
Till viss del kan sådana ageranden uppmuntras genom upphandlingens konstruktion och hur man hanterar dilemmat att å ena sidan försöka uppnå en trygg leverans av konsultkraft från leverantören, å andra sidan få tillgång till verkligt kvalificerade konsulter.
Om betoningen läggs på att leverantörens förmåga att leverera kvantitet finns det en risk att konsulter ses som utbytbara.
En annan nackdel är att mindre leverantörer utesluts från möjligheten att lämna anbud.
Med risk att trampa folk på tårna är min erfarenhet att många av de mest kvalificerade konsulterna inom informationssäkerhetsområdet väljer att starta eget eller att arbeta i mindre bolag så att satsa på kvantitet i upphandlingen kan leda till att man kanske missar kvalitet.
Sedan är den upphandlingstekniska utformningen som ska formulera vad kunden prioriterar.
Ska man göra en bred utannonsering eller räcker det med att vända sig till några få leverantörer?
Är det priset, kvaliteten eller tiden som är viktigast?
För offentliga organisationer finns också omfattande regelverk som LOU att följa när det gäller den här typen av frågor.
Ett mer grundläggande problem är hur man egentligen ska prissätta konsulttjänster.
Fortfarande är den vanliga linjen att man använder timpris vilket är förståeligt men ofta vilseledande.
För en duktig konsult kan naturligtvis leverera mycket mer kvalitet på kortare tid än en mer orutinerad.
Ur kundens synvinkel får man alltså mer kvalitet till lägre pris om man väljer en dyrare konsult (under förutsättning att den dyrare konsulten verkligen är bättre).
Det rimliga vore att sätta priset utifrån nyttan som levereras till kunden oavsett hur lång tid det tar att utföra uppdraget.
Nu är det ofta så att upphandlingar görs av ett visst antal timmar vilket om det kombineras med alltför stor betoning av timpriset leder till att kunden får en sämre konsult till ett högre sammanlagt pris.
Jag menar också att det fordras en ansenlig mängd icke-fakturerbar tid för att utveckla sin kompetens och hålla sig uppdaterad vilket påverkar det som blir timpris ut.
För en medveten kund bör detta vara en aspekt värd att noggrant analysera innan upphandlingsunderlag skickas ut.
Kunder väljer ofta att upphandla x antal timmar eller ett fastprisuppdrag för att få kontroll och inte en löpande räkning utan slut.
Själv brukar jag istället föreslå att kunden köper en timbank med fritt avrop.
Då ligger makten hos kunden som inte behöver avropa fler timmar än man faktiskt använder och dessutom, om man inte trivs med konsulten, kan kunden på ett smidigt sätt avsluta relationen.
Eftersom det ofta är svårt att avgöra hur omfattande uppdraget blir innan man börjar med en mer konkret planering så ger detta kunden en flexibilitet som på ett avgörande sätt kan minska kostnaderna för uppdraget.
Jag tycker också det är rimligt att leverantören tar risken i affären eftersom man har kunskapsövertaget och möjligheten att påverka uppdragets utförande.
Det handlar ju också om att ställa krav som går att utvärdera på ett bra sätt vilket ju är något enklare för tekniska prylar än då man ska köpa mänsklig kompetens.
Kompetensen är som sagt svår att beskriva vilket leder till att den är även är svår att kontrollera.
Med beaktande att kunden ofta inte har möjlighet att göra en riktigt rättvis bedömning så tycker jag ändå att det finns vissa krav som kan leda till en bättre uppfattning om vad leverantörens erbjudande innebär.
Exempelvis skulle jag numera som kund ställa krav på exakt vilka konsulter som är aktuella i anbudet samt efterfråga skriftprov och andra underlag som just dessa konsulter skrivit.
Vid referenstagning skulle jag försöka tala med andra än den eller de som konsulten arbetar närmast hos en tidigare uppdragsgivare eftersom jag upplever att det är rätt vanligt att det finns en aningen symbiotisk relation mellan exempelvis informationssäkerhetsansvarig hos kunden och konsulten.
Kunden bör också få möjlighet att träffa den tilltänkta konsulten för att skaffa sig en bättre bild av personen och det intryck den ger.
Särskilt vikt bör i samtalet läggas vid vilken faktiskt erfarenhet av och förståelse för kundens verksamhet som konsulten har.
Utan denna förförståelse kommer kunden att få betala för leverantörens kompetenshöjning då konsulten måste sätta sig in i förutsättningarna för kundens organisation.
Men inte ens dessa varianter på krav garanterar på något sätt att man hittar ”rätt” konsult.
Inte bara kunden behöver göra analyser av chansen/risken för att uppdraget avlöper framgångsrikt.
Även leverantören har all anledning att försöka klargöra hur redo kundens organisation är för genomförandet av det aktuella uppdraget.
Inte så sällan tackar jag nej till uppdrag.
Det kan handla om att kunden har satt en alldeles för snäv tidsram för att de organisatoriska åtgärderna ska hinna tas fram, processas, beslutas och genomföras eller att jag inte uppfattar att ledningen verkligen är beredd på vad som kommer att vara nödvändiga förutsättningar.
Om ett avtal sluts uppstår omedelbart ett antal nya frågeställningar.
En del av dem uppkommer genom att leverantören och kunden inte har riktigt samma intressen.
Många leverantörer är starkt inriktade på att genomföra uppdrag på sitt sätt, inte minst därför att det lönar sig bättre att ”ta från hyllan” än att utveckla saker tillsammans med kunden (såvida man inte har uppdrag på löpande räkning).
Att vara alltför lyhörd och explorativ kan äventyra vinsten i ett fastprisuppdrag med definierad leverans men även uppdrag med begränsat antal timmar.
Juniora konsulter är också av naturliga skäl rädda att släppa sargen och överge mallar som tagits fram av arbetsgivaren.
För en konsult är det också en svår balansgång mellan att göra för mycket alternativt för litet.
Det är ofta svårt frestande att ta över alltmer avt, alldeles särskilt om förväntan finns på att man ska vara Mary Poppinslikt allfixande.
Det är praktiskt för konsulten eftersom man då kan genomföra arbetet på sitt sätt vilket gör att man har kontroll och det på ett sätt går snabbare.
För kunden kan det dock bli en nackdel om konsulten blir alltför dominerande eftersom man då riskerar få en leverans som inte är avpassad för verksamheten och att behovet av att bygga upp egen kompetens försummas.
Om detta finns mycket mer att skriva men eftersom det är sommar och sol får det vänta till ett senare tillfälle.
Jag tror att vi måste bli mycket mer öppna om att det är svårt både att vara kund och att vara leverantör när det kommer till att upphandla konsulttjänster.
En förbättrad dialog i de enskilda uppdragen där konsulten är följsam och öppen inför hur kunden uppfattar leveransen höjer kvaliteten inte bara i uppdraget utan kan bidra till en långsiktig utveckling av branschen.
Ja, det verkar självklart men vid ett stort antal tillfällen har jag träffat på kunder som varit missnöjda med tidigare konsult men inte tyckt sig kunna nå fram utan istället valt att så snabbt som möjligt avsluta uppdraget.
Vi måste också ha diskussioner generellt om hur man får till en bra upphandling där kund och leverantör har samförstånd om vad och hur uppdraget ska levereras och med vilken kompetens.
Kanske kan informella men allmänt accepterade paketeringar av olika typer uppdrag tas fram.
Detta försvåras dock av att det inte finns någon sammanhållande branschorganisation.
En flink människa skulle ju också kunna ta fram en ratingsida där olika konsultinsatser betygssätt ungefär som ett restaurangbesök – det vore nog smärtsamt men nyttigt för många av oss.

MENU MENU Postat av Postad i , , Tagged , , , Sök efter:

Ingen kan idag förneka vikten av att förbättra informationssäkerheten i de samhällsviktiga verksamheterna.
Ett antal utredningar har under de senaste tre åren utmynnat i olika förslag på hur detta ska ske.
Tyvärr har fokus legat allt för mycket på reaktiva åtgärder som incidentrapportering och allt för litet på det förebyggande arbetet, detta trots att det ofta påpekats att de stora säkerhetsvinsterna kan göras genom olika typer av incidenter och säkerhetsproblem motverkas innan de uppstår.
För mig framstår den i särklass viktigaste förebyggande åtgärden att tillräcklig kompetens finns för att hantera informationssäkerhetsrelaterade frågor på olika nivåer.
För att uppnå detta krävs både episteme, fronesis och techne.
Det vill säga det måste finnas en vetenskaplig grund för att de åtgärder som vidtas är effektiva i förhållande till de problem de avses att lösa, att det måste finnas en praktisk kunskap hur fungerandeska bedrivas och det måste finnas en djupare förståelse att nya situationer kan hanteras.
Jag skulle vilja hävda att detta idag i allt för hög grad saknas.
Konkret kommer ett stort antal organisationers ledningar behöver ett kompetent stöd för att styra sittså att det motsvarar de risker som verksamheten är utsatt för och för att kunna tillvarata alla nya möjligheter som den pågående digitaliseringen innebär.
Jag pratar alltså inte om it-säkerhet som är inriktad på tekniska åtgärder utan informationssäkerhet som handlar om verksamhetsstyrning och information.
Utöver befintliga krav kommer även nya från bland annat dataskyddsförordningen, NIS, civilt försvar och en ny säkerhetsskyddslag.
Det gäller c.a.
350 myndigheter, 290 kommuner, ett tjugotal landsting/regioner och ett okänt antal privata aktörer som medverkar till att upprätthålla samhällsviktiga verksamhet.
En av de vanligaste frågorna jag får när jag besöker kommuner, regioner och myndigheter är vilka utbildningsmöjligheter som finns.
Hos de som får allt tyngre ansvar för det faktiskat finns såvitt jag kan bedöma en allt större medvetenhet om kompetensbehovet.
Till viss del fanns denna insikt även i den strategi för samhällets som MSB tog fram tillsammans med andra myndigheter.
Tyvärr har inte insikten utmynnat i några konkreta satsningar för att stödja utvecklandet av professionsinriktade utbildningar.
Även om behovet av kompetens är känt anvisas få vägar för kompetensförsörjningen.
Vare sig i den nationella säkerhetsstrategin eller i digitaliseringsstrategin, båda presenterade av regeringen 2017, nämns något om kompetensförsörjning inom informationssäkerhetsområdet.
Utredningar som SOU 2015:23 , SOU 2017:36 SOU 2017:114 liksom lagrådsremissen om ny säkerhetsskyddslag är lika renons på förslag annat än de som gäller utpekade tillsynsmyndigheter.
Den nationella strategin för informations- och cyberssäkerhet (Skr.
2016/17:213) skulle kunna inge ett visst hopp eftersom den faktiskt innehåller ett avsnitt som heter Öka kunskapen och främja kompetensutvecklingen.
Hoppet om att finna ett mål att tillgodose behovet av professionell kompetens generellt avtar dock snabbt då det visar sig att det som avses är att informera organisationer om sårbarheter och behovet av säkerhetsåtgärder samt att höja den enskilda användarens kunskap.
Samtliga strategier och utredningar tycks dock förutsätta att den kompetens som behövs kommer att finnas utan vidare styrning.
Jag delar inte denna tilltro till den osynliga handen.
Istället ser jag att vi står inför ett mycket stort och komplicerat kompetensförsörjningsbehov.
Bara det ett nyrekryteringsbehov av något hundratal informationssäkerhetsspecialister årligen till kommuner och landsting/regioner som kanske har samhällets mest komplexa informationssäkerhetsbehov måste uppmärksammas.
Många av oss som idag är verksamma inom informationssäkerhetsområdet saknar formell utbildning för våra jobb eftersom utbildningar helt enkelt inte funnits i någon högre grad (jag jämställer inte olika certifieringar med högskoleutbildning även om de säkert är bra på sitt sätt).
Därav ett stort fortbildningsbehov.
De kurser på högskolenivå som erbjuds idag via en sökning på antagning.se för hösten 2018 är antingen korta kurser eller har en renodlad teknisk inriktning.
Undantagen är masterutbildningar i Örebro som har ett handfull platser samt i Luleå där ett organisatoriskt perspektiv tillförs en huvudsak it-inriktad utbildning.
Detta räcker naturligtvis inte långt.
Mitt förslag är därför att en utredning tillsätts som tillåts koncentrera sig på hur behovet av kunskap och kompetens inom informationssäkerhetsområdet ska tillgodoses under de närmaste åren.
Utgångspunkten är att staten måste ta ett betydligt större ansvar för kunskapsförsörjning på en vetenskaplig nivå och för att kunskapen omsätts till kompetenshöjande åtgärder för prioriterade målgrupper i samhället.
Målen bör vara att det gemensamma utbildningsplaner för en treårig högskoleutbildning som informationssäkerhetsspecialist med inriktning på organisation och information, att det utbildas 50 informationssäkerhetsspecialister per år samt att varje kommun har tillgång till minimum en halvtids informationssäkerhetsspecialist.
Inom detta fält kan även utbildningar av typen ”informationssäkerhetsspecialist kommunal verksamhet” och ”informationssäkerhetsspecialist hälso- och sjukvård” kunna finnas.
Även fortbildningar för redan yrkesverksamma bör ingå i ett kunskapslyft för informationssäkerhetsområdet.
Utan denna typ av insats har jag mycket svårt att se hur alla andra mål för att höja samhällets informationssäkerhet ska kunna realiseras.

MENU MENU Postat av Postad i , , , , , , , Tagged , , , , , , , Sök efter:

Informations- och cybersäkerhet i Sverige Informationssäkerhet för samhällsviktiga och digitala tjänster, reboot – omstart för den digitala förvaltningen

Det är ju ett antal år sedan (ganska stort antal för att vara ärlig) jag läste mina första kurser i historia på universitetet men jag kommer fortfarande ihåg hur det inpräntades i oss att vårt främsta verktyg var källkritik.
Avgörande för att våra uppsatser skulle bedömas som ”bra” var att vi var skickliga på att kritiskt granska våra källor.
Den svenska historieforskningen var då präglad av bröderna Lauritz och Curt Weibull som under de första decennierna av nittonhundratalet genomförde ett radikalt paradigmskifte även om de naturligtvis inte visste att det kallades så.
Tidigare hade även den vetenskapliga historieforskningen i Sverige varit starkt tendentiös i nationalistisk riktning men bröderna Weibull hade genom sina kontakter med tyska forskare upptäckt den källkritiska skolan.
Genom sina forskningsinsatser där de menade att endast det som är faktiskt vetbart kan användas som underlag lyckades de skapa ny kunskap bland annat beträffande Snorre Sturlasson och drottning Kristina.
Kanske blev de litet väl inflytelserika, svenska historiker blev extremt försiktiga och litet grå under en lång period.
Curt Weibull, som levde och var aktiv tills han var 105 år, var en ständig varnagel för den historiker som försökte sig på en mer eskapistisk hållning.
Trots att det finns en hel del att anföra mot den källkritiska skolan har den blivit ett rättesnöre för mig.
Att vara källkritisk är ett förhållningssätt som bör tillämpas varhelst information förmedlas.
Att ständigt fråga sig vem som säger vad vid vilken tidpunkt och i vilket syfte är en allt nödvändigare ryggmärgsreflex i informationssamhället.
Att försöka ta reda på var informationen kommer ifrån, vad den bygger på, om det finns tydliga källhänvisningar, att den går att verifiera i andra källor och om det går att se att den är granskad av andra är basala kvalitetsfrågor när information i allt snabbare takt distribueras, återanvänds, förädlas eller förvanskas.
När allt fler börjar prata om källkritikens betydelse skulle det med denna bakgrund kunna ses som renodlat positivt.
Jag börjar ändå bli fundersam kring den betydelseförskjutning av begreppet som jag tycker mig se i vissa sammanhang.
Låt mig förtydliga; källkritik på det sätt som används av forskare och inom journalistiken måste vara ett förhållningssätt som tillämpas generellt.
För en forskare måste de egna källorna granskas minst lika hårt som då man opponerar på någon annans alster.
En journalist måste vara konsekvensneutral i sin källkritik och stå oberoende inför yttre påtryckningar och inför inre drivkrafter i bedömningen av vilka källor är trovärdiga.
Om dessa grundprinciper överges är det inte forskning, granskning eller journalistik man bedriver utan någon form av påverkansarbete.
Ytterligare ett förtydligande; jag tycker inte att det är fel med opinionsbildning, Att skapa opinion och att driva intressen är fundamentet i en demokrati, till och med en ekonomiskt driven lobbyverksamhet är en del av det offentliga samtalet.
Vad jag däremot reagerar på är att begreppet källkritik alltmer börjar användas av opinionsbildare som inte alls har för avsikt att ha ett konsekvent källkritiskt förhållningssätt.
Detta tillsammans med att åsiktmaterialet är en så stor del av medieutbudet i förhållande till journalistiskt material gör medborgarens försök att skapa sig en bild av förlopp som bygger på fakta betydligt svårare.
Ett pregnant exempel på detta är den om rysk informationspåverkan som mycket lägligt presenterades i samband med Folk och Försvar.
Rapportens innehåll och mycket stora akademiska brister är lysande beskrivet i podden Mediespanarnas senaste .
Lyssna gärna själva, jag kan dock avslöja att de erfarna medieforskarna i podden med emfas meddelar att de aldrig skulle godkänna rapport som en c-uppsats.
Orsaken till det kraftfulla underbetyget är bland annat metoder som författarna använt men även hanteringen av källor.
Även utan att vara medieforskare är det ganska lätt att se vissa av dessa problem i rapporten.
För den källkritiskt drillade var även lanseringen av rapporten något som väckte frågor.
Att rapporten lansering sammanföll med Folk och försvar kan naturligtvis tillskrivas en normal marknadsföringstaktik men att det inte går att härleda vem som egentligen står bakom den borde väcka även en entusiastisk ledarskribents nyfikenhet.
Alltså kanske den mest klassiska källkritiska instinkten som Curt Weibull visserligen inte kallade ”follow the money” men desto tydligare beskrev i olika sammanhang.
Trots detta fick den ett mycket stort genomslag samtidigt som konferensen i Sälen drog i gång.
Ledarskribenter i DN, Aftonbladet m.fl.
kommenterade den tacksamt i ordalag som att det nu äntligen fanns vetenskapligt belägg för de omfattande ryska desinformationsaktiviteter som man redan tidigare hävdat pågick, på Twitter berömde myndighetsföreträdare .
Vanligtvis hyfsat nyanserade tyckare blev uppeldade och uttryck landsförrädare .
Och det är just den här paradoxen som bekymrar mig.
Åsiktskribenter och myndighetsföreträdare som i andra sammanhang betonat faran med att förhålla sig okritisk till desinformation använder här själva illa underbyggda teorier när det passar deras narrativ (som författarna till rapporten skulle uttrycka det).
Rapportens ”resultat” har inte bara tagits som fakta, andra debattörer har anammat samma synsätt som författarna om det så kallade narrativet.
I den berättelsen framställs exempelvis de som uttalar tveksamhet mot NATO-anslutning antingen som duperade av Putin eller medvetet konspirerande med samme ryske härförare – som om det inte finns några andra rimliga orsaker till denna politiska uppfattning.
Att diskreditera alla åsikter som inte ligger i linje med de som ser sig som försvarsvänner är knappast en hållning som skapar tillit i det svenska samhället.
Det tyder snarare på, som Tomas Ramberg framhöll i senaste Det politiska , att röststarka journalister, debattörer och politiker börjat tillämpa en krigslogik där den som har från myndigheter avvikande åsikter stämplas som agent för främmande makt.
Det ironiska med krigslogik att den på olika sätt markerar det olämpliga med åsikter som strider mot statsmaktens officiella hållning, d.v.s.
just det pluralistiska samhälle som samma debattörer säger vara hotat.
Denna hållning ser jag som oförenlig med att samtidigt hävda att det är viktigt med en generell källkritik.
Källkritik är ett metodiskt granskande utifrån vissa gemensamma principer.
Att uppmana till vaksamhet mot endast en aktörs desinformationsaktiviteter när vi en värld där vi ständigt bombarderas med desinformation i olika former är inte ett källkritiskt förhållningssätt.
Ännu längre från källkritiken ligger att kategorisera uppfattningar som inte överensstämmer med en upplevd nationell doktrin i utrikespolitiska frågor som medlöperi med en utländsk makt.
Jag tror vi måste göra en tydlig skillnad på att granska och att försöka påverka opinionen.
Det psykologiska försvaret som nu dammas av har en svår balansuppgift framför sig.
Enligt MSB:s webbplats har syftet med psykologiska försvaret ytterst varit att säkerställa den svenska befolkningens försvarsvilja och motståndskraft mot påtryckningar och desinformation från motståndaren, inom ramen för ett – så långt det är möjligt under dessa extrema förhållanden – demokratiskt, öppet samhälle, med åsiktsfrihet och fria medier.
Ingen censur ska .
Observera att det uttrycks i preteritum, alltså att det syftet.
Vad syftet nu är tycks inte definierat utan utreds för närvarande.
Gissningsvis är väl syftet ungefär det samma vilket innebär att påverka befolkningsvilja, alltså ett fortlöpande påverkansarbete.
I detta sammanhang är det knappast välkommet med en källkritik som riktar sig mot den information som statsmakten vill ha förmedlad.
Händelserna i samband med den ovan nämnda rapporten visar väl ganska tydligt problemen med den typen av asymmetrisk källkritik.
Att då alltför flitigt använda begreppet källkritik tror jag kommer att bli ett stort hinder i den kommunikation som ska bedrivas för att stärka det psykologiska försvaret.
För att slutligen etablera några elementära sanningar: alla statsmakter inklusive Sverige bedriver ett aktivt påverkansarbete för att stärka sina positioner kort- och långsiktigt.
Desinformation förekommer i mycket stor omfattning men är inte enbart politiskt styrd, det finns mycket starka ekonomiska incitament.
Tilliten i det demokratiska samhället stärks inte om statsmakten eller aktörer som stödjer statsmaktens doktriner bygger sina utsagor om det utrikespolitiska läget på källor som inte håller för en närmare granskning.
Må vara att åsiktsproducenter som ledarskribenter fortsätter att ha en nära relation till försvarsmakten, journalister måste däremot ta sitt ansvar och vara kritiskt granskande även inom detta område.
Jag anser att Sverige liksom andra länder måste bedriva påverkansaktiviteter men jag anser samtidigt att det inte får leda till att man desinformerar om desinformationen.
I ett demokratiskt samhälle åvilar det alla som arbetar med säkerhet att inte vara alarmistiska, att inte sprida felaktig information även om den stödjer den linje man driver och att vara så öppen som möjligt.
En stilla önskan med en blinkning år bröderna Weibull är också att man inte annekterar begreppet källkritik om man bara tänker vara kritisk inför vissa källor utan låta det begreppet fortsätta att stå för ett konsekvent förhållningssätt.
Slutligen för transparensen: jag älskar Tjechov och har en russian blue men avskyr auktoritära regimer inklusive den ryska och är därför tacksam om jag omedelbart blir avförd som Putin-lover.
Det finns litet som vederlägger Anders R Olssons uppfattning att digitalisering i sig inte leder till ett mer demokratiskt samhälle trots att det är snart tjugo år sedan han formulerade den.
Digitala lösningar kan användas i vilket syfte som helst, eller som Olsson skrev att en förvaltning stödd av digitala lösningar ”lika gärna [kan] tjäna ett totalitärt som ett auktoritärt eller demokratiskt samhälle”.
Det innebär att det krävs ett aktivt arbete med någon form av mål för att digitaliseringen ska stärka demokratin.
Jag kommer här att utan närmare resonemang om varför det skulle vara det att utgå från premissen att det är bra att stärka demokratin.
Däremot behövs några preciseringar eftersom få begrepp kan ges så många betydelser som ”demokrati”, det finns inte bara ett sätt att se på vad demokrati är utan ett helt spektrum av olika tankegångar.
Utan att gå allt för djupt kan den ena extrempositionen sägas vara det minimalistiska förhållningssätt som de så kallade elitisterna förespråkar.
Ekonomen Joseph Schumpeter är kanske den mest kända företrädaren för denna skola som definitivt inte ville göra en ordagrann tolkning av begreppet och låta folket styra, snarare är målet en maktfördelning där någon typ av elitföreträdare tävlar om makten medelst val.
delar av befolkningen, tillåts rösta och därmed garantera att en maktväxling sker på ett ordnat sätt är demokratins enda syfte.
Ibland har detta jämförts med ett marknadsperspektiv med väljarna som kunder och politikerna som leverantörer.
I andra ändan av spektrumet finns de som ansluter sig till en deliberativ demokratisyn där det offentliga samtalet inför beslut ses som centralt.
Medborgare är ett subjekt som ska kunna bilda sig en autonom och välgrundad uppfattning i politiska frågor.
Kunskap, även moralisk sådan, är av central betydelse i detta perspektiv.
Båda dessa inriktningar liksom mellanläget deltagardemokrati har långa traditioner och handlar i grunden om olika syn på relationen mellan stat och individ, mellan elit och massa.
Det finns dock ytterligare en dimension i demokratibygget som kanske är av större betydelse då e-demokrati och digitalisering ska diskuteras.
För att få en fungerande demokrati krävs, menar t.ex.
statsvetarnestorn Lennart Lundquist, både komponenten folkmakt men också det benämns konstitutionalism.
Folkmakt handlar i huvudsak om den politiska beslutsdemokratin (även om Lundquist pekar på många fler möjliga nivåer) medan konstitutionalismen (som har en betydligt längre historia än folkmaktsdelen) berör rättsstaten.
Lundquist liksom Bo Rothstein definierar konstitutionalismen med tre komponenter: En liberal demokrati måste innefatta båda dessa dimensioner; får vi rösta men saknar individuella rättigheter och rättssäkerhet får vi vad som brukar kallas illiberal demokrati som till exempel i Ryssland.
Eller som Lundquist uttrycker det: Konstitutionalismen är nödvändig för att folkmakten ska kunna få uttryck, och folkmakten fordras för att garantera konstitutionalismen.
Denna insikt bör, menar jag, prägla även hur vi väljer att utveckla e-demokratin.
Regeringens digitaliseringssträvanden är idag inriktade på den offentliga förvaltningen vilket borde göra det nödvändigt att se på vilka medel som är möjliga använda för att stärka demokratin i den konstitutionella komponenten.
Goda förutsättningar finns att göra det då regeringen, förutom alla andra initiativ, även tillsatt en delegation för att skapa ökad tillit i styrningen av offentlig verksamhet.
I direktivet till delegationen nämns inte digitalisering och tyvärr har delegationen inte heller fått ett uppdrag att analysera konstitutionella förutsättningar som skulle kunna stärka demokratin och därigenom även skapa en högre grad samhällelig tillit.
Den samhälleliga tilliten är en avgörande motkraft mot de destabiliserande krafter som vi anses alltmer utsatta för och det kan därför vara värt att överväga om inte delegationen skulle kunna få ett tilläggsuppdrag att utreda just denna aspekt.
Frågeställningar som skulle kunna tas upp är hur de individuella rättigheterna kan och bör utformas i det alltmer digitala samhället.
Dessa rättigheter är ju på inget vis universellt definierade en gång för alla utan kan omformuleras utifrån de behov som nya förutsättningar i samhället skapar.
Personlig integritet är en typ av individuell rättighet vars status bör definieras till exempel.
Det deliberativa inslaget har varit starkt i den svenska demokratitraditionen med både folkrörelsetradition och offentlighetsprincipen.
Denne inriktning har delvis eroderat under de senaste decennierna genom bland annat vårt ivriga anammande av nyliberalism och New Public Management.
De auktoritära tendenserna blir också alltmer påtagliga i vår omvärld.
Vill vi återuppväcka en mer deliberativ tanke kräver det ett betydligt mer aktivt engagemang för öppenhet även hos myndigheter, kommuner och landsting.
Öppenhet är även en förutsättning för den rättssäkerhet och kontroll som ingår i den svenska konstitutionella demokratikomponenten.
Även här finns stora möjligheter till förbättring genom digitalisering men det förutsätter aktiva åtgärder från regering, myndigheter och kommuner.
Svaret på frågan i rubriken är alltså ”ja” men endast om det finns en vilja att digitaliseringen ska vara ett verktyg för en mer utvecklad demokrati.
I några kommande inlägg kommer jag att utveckla dessa frågeställningar.
Bland annat ska jag belysa hur öppenhet och personlig integritet som kan synas vara varandras motpoler egentligen är varandras förutsättningar ur demokratiskt perspektiv.
E-hälsa är en viktig del av digitaliseringen.
Även här finns den oklara målbild som jag skrev om i förra inlägget och vissa initiativ får nästan ses som paradexempel på där risk inte vägs mot en oklar nytta.
Ett sådant är de e-hälsokonton som handhas av eHälsomyndigheten.
Idag fanns i DN på nätet en som även publicerats tidigare där jag snabbt försöker sammanfatta några centrala säkerhetsproblem.
Regeringen har, som jag tidigare skrivit om, gått ut med den stolta ambitionen att Sverige ska bli bäst i världen på att använda digitaliseringens möjligheter.
Vad exakt detta betyder är svårt att få grepp om i den mosaik av initiativ som finns beskrivna på regeringens hemsida.
När jag nu går tillbaka i äldre dokument kan den något oklara inriktningen ses som en svenska tradition inom den statliga styrningen av digitaliseringen.
Den historiskt intresserade kan inte undgå att fundera över varför styrningen av detta område skiljer sig från andra stora samhällsprojekt som utbyggnaden av järnvägen under 1800-talet eller den massiva satsningen på välfärdsstaten från 1940-talet och trettio år framåt.
Nu har digitaliseringssträvandena pågått i princip sedan slutet av sjuttiotalet och de trettio till fyrtio åren skulle ge underlag för en ordentlig forskningsinsats i svensk förvaltningshistoria.
Min egen teori är att styrningen försvårats av huvudsakligen två faktorer; en disparat målbild och att den tekniska utvecklingen sammanfallit med ett stort politiskt skifte avseende offentlig förvaltning.
Teknikutveckling innebär ofta inledande entusiasm parad med en viss valhänthet i hanteringen av de nya möjligheterna, så även inom digitaliseringsområdet.
Svårigheten i att överblicka de nya möjligheterna leder till den disparata målbilden, digitaliseringen ses som svaret på om inte alla förvaltningsfrågor så i alla fall de flesta.
Digitaliseringen Under de senaste två decenniernas digitaliseringspolitik går det att urskilja ett stort antal mål som en ökad digitalisering förväntas leda till.
Ett axplock på mål är: Ofta har det varit svårt att se vilket syfte som olika initiativ egentligen avser att tillgodose, särskilt som man i marknadsföringen kanske framhåller underordnade motiv framför de verkliga.
Som ett exempel på detta uppfattar jag Mina meddelanden som framställts som en tjänst som efterfrågats av allmänheten.
I verkligheten tror jag vad varit pådrivande varit dels att ge privata operatörer till det stora adressregister som ligger i botten för att vidareutveckla tjänster, dels att reducera kostnader för myndigheterna.
För att raljera har den något banala doktrinen att digitaliseringen per se är ”bra” har skapat en anda där mål inte behöver tydliggöras, uppfyllas eller utvärderas.
Min uppfattning är snarare att digitalisering liksom andra tekniska utvecklingsfaser är oundviklig i någon mening men bör styras mot uttalade mål, inte minst för att intressekonflikter ska vara möjliga att diskutera.
När målen är oklara eller förskjuts i politiken bör detta föranleda en offentlig diskussion.
Parallellt med det vittomfattande hoppet om att digitaliseringen skulle tjäna som en mädchen für alles i förvaltningens alla hörn har svensk förvaltning genomgått ett starkt paradigmskifte genom att nyliberalismen alltmer kommit att bli en överideologi.
I både statlig och kommunal förvaltning har detta främst tagit sig uttryck genom New Public Managements (NPM) inträde som huvudsaklig styrpolicy.
Hur frestande det än är ska jag inte här fördjupa mig NPM:s alla irrvägar som fortfarande i höggradigt levande i exempelvis Nya Karolinska Sjukhuset (NKS).
I detta sammanhang vill jag bara betona hur NPM omvandlat medborgaren till kund eftersom detta är något som, menar jag, starkt påverkat synen på digitaliseringens mål.
I den statliga styrningen av digitaliseringen går det att urskilja en tydlig förskjutning där det under 1990-talet fanns en uttalad intention att sträva efter att utveckla demokratin med hjälp av digitala lösningar.
Nämnas kan till exempel IT-kommissionen som tillsattes av Carl Bildt 1994 resulterade bl.a.
i betänkandet ”Informationsteknologin – Vingar åt människans förmåga” som lyfte fram de nya demokratiska möjligheter som användandet av it skulle kunna leda till.
För den intresserade rekommenderar jag avhandlingen Från demokrati till e-demokrati av Gustav Lidén från som fördjupar sig i e-demokratibegreppet.
Idag är däremot frågan om att styra digitaliseringen så att den utgör en transformerande kraft även för den svenska demokratin osynlig, med något undantag för ett kapitel av Bjereld och Demker i temarapporten 2016:2 från Digitaliseringskommissionen .
(Ett tips förbifarten: buzz word i digitaliseringssammanhang är ”transformerande kraft” så ska du verka insatt – använd det flitigt.)
I Digitaliseringskommissionens finns även några lösa tankar om demokrati men jag måste erkänna att den förvånande bristen på skärpa i detta betänkande gör det svårt att tro att författarna ägnat något intresse alls åt frågan.
Koordinaten där digitalisering, demokrati och informationssäkerhet sammanstrålar ökar i intresse ju mer jag funderar på det och jag tänker därför ägna några inlägg åt frågeställningar som anknyter till detta.
Som inspiration kommer jag att ha den alltför tidigt bortgångne Anders R Olsson och den skrift om elektronisk han tog fram på Demokratiutredningens uppdrag 1999 där han bland annat skriver: Man kan alltså vänta sig att en kraftfullt IT-stödd offentlig förvaltning – om de nya systemen konstrueras och utvecklas på ett kompetent sätt – blir både billigare och effektivare.
Huruvida denna förnyelse samtidigt bidrar till att stärka demokratin vet vi inte.
Den billiga och effektiva offentliga förvaltningen kan lika gärna tjäna ett totalitärt som ett auktoritärt eller demokratiskt samhälle.
En grundsten i allt systematisktär att kartlägga de interna behoven och de externa kraven som ska inrikta hur informationssäkerheten ska utformas i organisationen.
Som externa krav brukar lagstiftning och villkor i avtal räknas upp.
Inget konstigt i det om det inte vore för den något selektiva tolkningen av vilken lagstiftning som är relevant för informationssäkerheten.
De legala krav som informationssäkerheten traditionellt har intresserat sig för, utifrån den militär-polisiära bakgrunden, är kraven på skydd mot obehörig åtkomst som fanns i sekretesslagen och säkerhetsskyddslagen.
Annan lagstiftning som syftar till att begränsa åtkomst förekommer i de juridiska analyser som jag sett genomföras på myndigheter och i företag även om, som jag tidigare hävdat, kopplingen mellan integritet och informationssäkerhet ofta är otillräcklig.
Däremot är det sällan somt tar hänsyn till den andra centrala aspekten som myndigheter har att tillgodose i sin informationshantering – öppenheten.
I Sverige är det till och med så att öppenhet är defaultläget; alla allmänna handlingar är offentliga såvida inte det finns krav i sekretesslagstiftning på motsatsen.
Detta förhållande är unikt för Sverige och Finland, i andra länder gäller det omvända.
När vi i år firar 250 årsjubileet av den svenska tryckfrihetsförordningen där offentlighetsprincipen är en viktig del förtjänar detta att uppmärksammas även inom informationssäkerhetsområdet.
Kanske bör vi se ändringen från den tidigare sekretesslagen till den nuvarande offentlighets- och sekretesslagen 2009 som en uppmaning att också utveckla informationssäkerhetsområdet.
En viktig utgångspunkt är en gemensam förståelse av att sekretessbelägga information innebär en begränsning av grundlagsfästa medborgerliga rättigheter eller som det uttrycks i OSL:s portalparagraf: Bestämmelserna innebär begränsningar i yttrandefriheten enligt regeringsformen, begränsningar i den rätt att ta del av allmänna handlingar som följer av tryckfrihetsförordningen samt, i vissa särskilt angivna fall, även begränsningar i den rätt att meddela och offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen.
Den enda rimliga tolkningen som yrkesutövare är att vi måste vara mycket varsamma och välgrundade då vi begränsar åtkomsten till information så att vi inte inskränker medborgerliga rättigheter.
Informationssäkerhetens uppdrag i offentlig verksamhet är inte att ängsligt sekretessbelägga så mycket information som möjligt utan att erbjuda stöd för att göra så väl avvägda bedömningar som möjligt.
Den andra slutsatsen som jag menar att vi bör dra är att vi har en minst lika viktig uppgift i att säkerställa att allmän och offentlig information hålls tillgänglig som att skydda det som faller under sekretess mot obehörig åtkomst.
Informationssäkerhetsarbetet har fyra mål: konfidentialitet, riktighet, spårbarhet och tillgänglighet.
De åtgärder som vidtas för att upprätthålla riktighet, spårbarhet och tillgänglighet är de som behövs för att kunna tillhandahålla myndigheters information så att offentlighetsprincipens andemening förverkligas.
Jag kan ana invändningar mot det här resonemanget.
Till exempel tror jag några skulle hävda att konsekvenserna av att inte kunna skydda mot obehörig åtkomst är allvarligare än att inte kunna upprätthålla en god offentlighetsstruktur.
Själv menar jag att vi måste kunna göra båda sakerna med samma engagemang.
Vi måste både sträva efter att ge ett så bra skydd som möjligt för det som kan skada den enskilde eller riket och att ge stöd för en så omfattande öppenhet som möjligt.
I dagens situation med flykt från fakta och där lögner avsiktligt eller oavsiktligt sprids med förödande följder är tillgången till korrekt och spårbar information hos offentliga institutionerna oumbärlig för det demokratiska samhället.
Offentlighetsprincipen är ett mäktigt motgift mot desinformation och informationssäkerhet är ett avgörande stöd för att kunna upprätthålla den!
Via nätet tassar jag virtuellt omkring och försöker förstå vad som händer i digitaliseringsfrågan bakom departementens dörrar.
Jag ber redan nu om ursäkt om jag misstolkat något – det är inte alldeles enkelt att få en överblick.
Jag börjar med att regeringen tillsatt en utredning för att: kartlägga och analysera i vilken utsträckning det förekommer lagstiftning som i onödan försvårar digital utveckling och samverkan inom den offentliga .
vilket innebär ställer man sig återigen inför uppgiften att försöka få ihop delarna på ett konstruktivt sätt.
Jag måste dock medge att att formuleringen ”lagstiftning som i onödan försvårar” får mig att hoppa om inte högt så åtminstone medelhögt.
Synsättet på lagstiftningens roll känns inte genuint respektfullt om man säger så.
Mer glädjande är att utredaren ska ta hänsyn till bland annat regeringens kommande strategi om informations- och cybersäkerhet innan man redovisar sitt uppdrag i mars 2018.
Utredningen kan ses som en pendang till den utredning som tillsattes i maj med uppdrag att: analysera och ge förslag till effektiv styrning av utveckling, införande och förvaltning av nationella digitala tjänster.
Utredaren ska enligt samma uppdrag, med utgångspunkt i de nationella digitala tjänsterna Mina meddelanden och Svensk e-legitimation, analysera tjänsterna och lämna förslag till utformning av: – organisering och ansvarsfördelning för de nationella digitala tjänsterna, – åtgärder och incitament för att uppnå en ökad användning av de nationella digitala tjänsterna, och – samverkan mellan offentlig och privat sektor i tillhandahållandet av de nationella digitala .
Den senare utredningen har redan fått ett för att analysera om det vore bra att skapa en ny myndighet för att stärka digitaliseringen.
Uppdraget inklusive eventuellt förslag om nya myndighetskonstruktioner ska redovisas i mars 2017(!).
Och det är här jag börjar fundera över hur regeringen ska få ihop digitalisering och informationssäkerhet.
Nu finns ju ett utmärkt tillfälle att lyckas och det vore, tror jag, fatalt om detta tillfälle inte tas.
Låt mig understryka att jag tycker det är väldigt bra att regeringen visar handlingskraft i digitaliseringen och att en ny myndighet mycket väl kan vara vägen framåt.
jag ställer mig tveksam till tidsschemat och till samordningen av de olika utredningarna.
Min personliga riskanalys tyder på att risken att informationssäkerhet och integritet inte kommer att få den tyngd som är nödvändig för ett långsiktigt bra resultat är överhängande.
Vi har alltså en utredning som ska bedöma de rättsliga förutsättningarna för digital samverkan som ska redovisa i mars 2018 medan en annan utredning ett år före de rättsliga förutsättningarna är klarlagda ska komma med färdiga organisatoriska förslag.
Till ytter mera visso ska utredningen om de rättsliga förutsättningarna ta hänsyn till en strategi alternativt flera strategier som ännu inte finns i sinnevärlden men som ska hantera följande: Det förändrade omvärldsläget gör att samhällets behov av informations- och cybersäkerhet har ökat påtagligt.
Digitaliseringen i samhället har bl.a.
inneburit nya former av kommunikation, datahantering och datalagring, vilket medfört nya risker och sårbarheter.
För att den digitala utvecklingen ska kunna fortsätta på ett säkert sätt behöver alla aktörer, såväl privata som offentliga, mer aktivt arbeta med informations och cybersäkerhet.
Regeringen avser därför att utarbeta en nationell strategi som omhändertar olika perspektiv för att kunna identifiera och möta utmaningar mot samhällets informations- och cybersäkerhet.
Det är också av central betydelse att genomföra EU-direktivet om åtgärder för en hög gemensam nivå av säkerhet i nätverk och informationssystem (NIS-direktivet).
högre krav på enskilda aktörer som bedriver samhällsviktig verksamhet och som är beroende av informationssystem.
Direktivet innehåller också skyldigheter för varje medlemsstat att anta en nationell strategi för ökad säkerhet i . Exakt hur strategin/strategierna ska tas fram och vad de ska innehålla är för mig litet oklart eftersom den enda mer officiella beskrivningen jag hittat finns i budgetpropositionen.
Men strategin/strategierna ska alltså, så vitt jag förstår, ta ut riktningen i allt från höjd beredskap till den effektivitetsinriktade vardagliga digitaliseringen, från kommunikationsinfrastuktur till ”informationssystem”.
Som sagt en omfattande uppgift som påtagligt rör åtminstone fyra departement.
Däremot omnämns inte den kanske mest påtagliga kravställaren på informationssäkerhetsåtgärder i närtid; dataskyddsförordningen.
Med risk för att upprepa mig så sker detta samtidigt som Integritetskommittén lagt fram ett som borde föranleda en stark oro även hos regeringen angående de brister som uppdagats i olika sektorer då det gäller hanteringen av personuppgifter.
I det här sammanhanget är det mest anmärkningsvärda med strategin/strategierna som tycks vara i det allra första fasen av sin tillblivelse ändå ska tjäna som underlag för ett förslag som ska läggas fram om drygt ett år.
Och om strategin är på samma nivå som strategier av denna typ plägar vara – ger den verkligen utredningen rätt underlag för frågeställningarna?
Är det inte mer konkretiserade inriktningar som skulle behövas, d.v.s.
Och så har vi ju förslaget till ny säkerhetsskyddslag som ligger och lurar i vassen… Om vi dessutom plussar på med att regeringen trycker på i den näringslivsstödjande inriktningen så är mångfalden av delvis disparata krav som ställs på den offentliga informationshanteringen överväldigande.
Som betraktare utanför departementen förfaller behovet av en samordnad plan lika överväldigande.
En alternativ turordning till ovanstående skulle vara att göra en inledande utredning med uppdrag att redovisa en sammantagen bild av förutsättningarna för digitaliseringen man utreder hur den ska organiseras nationellt.
I förutsättningar räknar jag då in kraven på informationssäkerhet i olika riktningar, t.ex.
cybersäkerhet men i lika hög grad som stöd för att skydda den personligheten enligt dataskyddsförordningen eller för att ge informationen den riktighet och spårbarhet som krävs för öppna data.
För att det här ska fungera skulle det vara lämpligt att regeringen inte bara initierade en utredning för att kartlägga de rättsliga förutsättningarna.
Även en som kartlade och analyserade behovet av informationssäkerhet för att stödja digitaliseringen skulle behövas som underlag för en informations- och cybersäkerhetsstrategi.
Man kan ställa sig den berättigade frågan om det egentligen är så intressant hur departementen organiserar sitt inre liv.
Just i det här fallet tycker jag det eftersom resultatet av vedermödorna ”drabbar” myndigheter, kommuner och landsting.
En brist på samordning inom departementen leder till bristande samordning och svårigheter att prioritera hos de redan hårt pressade objekten för styrning.
Kommunen säkerhetssamordnare får därmed i skarp drift försöka reda ut den samordning som departementen misslyckats med.
Ökade kostnader, ineffektivitet och sämre säkerhet är en ganska realistisk konsekvens.
Digitalisering förknippas ju ofta med innovation och nytänkande.
Den, i mitt tycke, fragmentiserade utredningsordningen riskerar leda till att större sammanhang inte upptäcks och att den nyorientering i organisationsfrågor som skulle behövas nog inte kommer att ske.
Jag har till exempel tidigare efterlyst attt mer ska drivas av de aktörer som har ett verksamhetsbehov av god säkerhet.
Det skulle bland annat vara de stora tillhandahållarna av digitaliserade tjänster liksom de som tillhandahåller e-hälsa som behöver ta krafttag om de ska infria dataskyddsförordningen, OECD:s inriktning m.m.
En tänkbar lösning skulle vara att lyfta över samordningen av detsom inte gäller civilt försvar till en ny digitaliseringsmyndighet.
Då skulle en organisatorisk samordning uppstå på nationell nivå som skulle förenkla för kommunen som ska försöka styra sin informationshantering så att den både är effektiv och säker.
Jag började skriva om konstruktiva vägar framåt men kände att det behövdes litet food for thought för att konkretisera närt inte fungerar.
För att göra problembilden angelägen tänker jag i det här inlägget skriva om den pågående digitalisering som det fästs mycket stora förhoppningar vid både inom e-förvaltning och e-hälsa.
Regeringens inriktning är att effektiviteten ska sporras, pengar ska sparas och tillgängligheten öka för både medarbetare och allmänhet genom digitalisering samt att Sverige ska bli bäst i världen på digitalisering.
Den nationella vinnarskallen går även igen på e-hälsoområdet där regeringen och SKL tillsammans i skriver i sin Vision e-hälsa 2025: År 2025 ska Sverige vara bäst i världen på att använda digitaliseringens och e-hälsans möjligheter i syfte att underlätta för människor att uppnå en god och jämlik hälsa och välfärd samt utveckla och stärka egna resurser för ökad självständighet och delaktighet i samhällslivet.
Premissen för det följande resonemanget är att om regeringens målsättning ska kunna uppnås måste digitaliseringen ske med hänsyn till den personliga integriteten och med stöd av ett systematiskt.
Detta är inte min personliga uppfattning utan den analys som både OECD och ENISA gjort angående digitalisering; informationssäkerhet och skydd av integriteten är förutsättningen för att det goda vi (och regeringen) vill ha ut av digitaliseringen ska bli verklighet.
Det är alltså tre ”klossar” som ska byggas ihop för en fungerande digitalisering.
Klossarna har olika status där digitaliseringen är det rationella syftet, integriteten en rättighet och informationssäkerheten en stödfunktion.
För den offentliga verksamhetens digitaliseringen sitter regeringen med kontroll över alla tre klossarna.
Man har utsett kommittéer, kommissioner och skapat myndigheter som E-delegationen, Digitaliseringskommissionen, E-legitimationsnämnden och eHälsomyndigheten för att stimulera och styra digitaliseringssträvandena.
Även för värnet att den personliga integriteten finns en myndighet som Datainspektionen och kommittéer som exempelvis .
Slutligen finns samma typ av statliga institutioner när det gäller informationssäkerhet som bland annat MSB och ett antal statliga utredningar om informationssäkerhet det senaste decenniet.
Men trots denna kontroll över medlen, hur lyckas hopfogandet av klossar?
För pröva detta utgår jag från två aktuella exempel på myndighetsutövande; eHälsomyndigheten och Digitaliseringskommissionen.
I detta inlägg hinner jag med endast eHälsomyndigheten men jag återkommer med Digitaliseringskommissionen i nästa inlägg.
Ehälsomyndigheten ska enligt regeringens förordning: ansvara för register och it-funktioner som öppenvårdsapotek och vårdgivare behöver ha tillgång till för en patientsäker och kostnadseffektiv läkemedelshantering.
Myndigheten ska vidare samordna regeringens satsningar på e-hälsa samt övergripande följa utvecklingen på e-hälsoområdet.
Det är alltså ett mycket tungt uppdrag som innebär att både samordna andra aktörer men att också tillhandahålla egna digitala tjänster.
Hälso- och sjukvård är en av de mest vitala uppgifterna i samhället samtidigt som sjukvårdens informationshantering innehåller mycket integritetskänsliga uppgifter om alla som bor i Sverige.
Ehälsomyndigheten borde därför rimligen ha den nationellt mest utvecklade nivån av informationssäkerhet inklusive åtgärder som skyddar den personliga integriteten.
Mitt intryck är dock att så inte är fallet.
För transparensen skull bör jag kanske påpeka att jag offentligt framförde synpunkter på myndighetens tjänst Hälsa för mig som skulle lanseras under 2015, t.ex.
och .
Jag var definitivt inte ensam om att vara frågande inför säkerheten Hälsa för mig, så var även Datainspektionen med flera.
För eHälsomyndigheten borde detta vara en oro att ta på allvar så jag går in och tittar på deras hemsida för att se hur de kommunicerar om informationssäkerhet och integritet.
Min walk-about på webbplatsen inger dock ingen trygghet.
När man beskriver sina satsningar finns säkerhet med som en men med en text som endast tar upp effektiv inloggning: Digitaliseringen ger stora möjligheter för förbättringar, men om ett stort antal tjänster används samtidigt blir det krångligt för användare med många inloggningar och tidskrävande administration av användarkonton.
Inom sjukvårds- och omsorgssektorn finns behov av lösningar som garanterar en patientsäker, kostnadseffektiv och praktisk åtkomst av e-tjänster inom och mellan olika organisationer.
När man skriver om utmaningarna inom e-hälsa lyfter man fram: En svårighet är att ingen vårdgivare har en heltäckande bild av dig som patient.
Däremot inte ett ord om utmaningen i att upprätthålla god integritet.
Tjänsten Hälsa för mig har följande underpresentation: Ett säkert utrymme Hälsa för mig är en frivillig, kostnadsfri och säker lagringsplats för information.
Du bestämmer själv vilken information du vill lagra på ditt hälsokonto.
Som användare identifierar du dig med svensk e-legitimation, till exempel bank-id eller mobilt bank-id.
Tjänsten och den tekniska lösningen är utformad i enlighet med relevant lagstiftning, bland annat personuppgiftslagen (PUL) och de krav på säkerhet den innehåller.
Du kan dela din information med andra privatpersoner som har registrerat ett eget konto i Hälsa för mig.
Det är du som bestämmer om du vill dela din information med närstående, och vilken information du i så fall vill dela.
eHälsomyndigheten kommer endast att lagra och tekniskt bearbeta din information för din räkning.
Vi har inte tillgång till din information.
Texten väcker fler frågor än vad den ger svar och jag letar vidare på webbplatsen efter mer exakt information om var patientinformationen lagras, på vilket sätt den är ”säker” och vem som har ansvar för den o.s.v.. Möjligen letar jag för dåligt men om jag som är en ganska van samt frisk internetanvändare inte kan hitta den informationen så är jag osäker på hur det går för andra.
Kanske är inte detta så märkligt.
I den ovan nämnda Vision 2015 ägnas både informationssäkerhet och integritet ett mycket förstrött intresse.
Här förekommer den alltför vanliga synen att integritet ska ”balanseras” mot andra intressen.
Den som har den uppfattningen kommer att få ett hårt uppvaknande om inte annat då dataskyddsdirektivet träder i kraft… Texten ger inte heller intrycket att ha tagits fram med medverkan av någon som arbetar med informationssäkerhet, detta då exempelvis begreppet säkerhetsskydd används på ett sätt som nog ingen professionell skulle göra.
Visionen undviker samvetsgrant att beskriva vad som avses med informationssäkerhet, den enda gång ordet används sägs det att är en ”princip”.
Detta är kanske orsaken till eHälsomyndigheten sedan helt undviker ordet i rapporten om sitt .
För att sammanfatta: det finns en myndighet med ansvar för ett väsentligt område för digitaliseringen – e-hälsa.
Integritetskommittén som regeringen tillsatt pekar i sitt delbetänkande på de stora risker för den personliga integriteten som finns i dagens hälso- och sjukvård samt att informationssäkerhet är ett väsentligt redskap för att skapa och upprätthålla integritet i vården.
I NISU, regeringens utredning om samhällets informationssäkerhet, backar man från att ta upp frågan om integritet och går inte heller in på samhällsviktiga verksamheters (som sjukvårdens) behov av s. I den vision som regeringen och SKL lade fram i år liksom eHälsomyndighetens rapport om sitt samordningsuppdrag spelar både integritet och informationssäkerhet minst sagt underordnade roller.
Detta trots dataskyddsförordningens ikraftträdande allt närmare med omfattande och nya krav på integritet vilket i sin tur ställer ännu större krav på informationssäkerhet.
Och i den mer konkreta tillämpningen ger eHälsomyndighetens webbplats inga ledtrådar om vilka åtgärder som vidtagits i för informationssäkerheten i Hälsa för mig sedan förra årets kritik.
I fallet e-hälsa är det, trots den oro som framförts, svårt att tycka att regeringen samordnat de tre klossarna digitalisering, integritet och informationssäkerhet på ett särskilt bra sätt.
Efter att ha spekulerat om varfört inte funkar har jag nu tänkt skriva några inlägg om vad som bör göras för att det ska fungera bättre.
Detta sammanfaller med att regeringen överlämnar en skrivelse till riksdagen angående Riksrevisionens om informationssäkerheten vid nio myndigheter.
Riksrevisionen bedömer att ” Regeringen instämmer i denna bedömning, som ju knappast kan komma som någon överraskning efter Riksrevisionens tidigare rapporter m.m., men avser bland annat att .
Det känns därför ganska självklart att detta första inlägg om konstruktiva åtgärder får handla om förutsättningar för en sådan strategi.
Att ta fram en strategi är inte något särskilt rafflande grepp, 2009 togs en sådan fram liksom en efterföljande handlingsplan några år senare.
Varken i regeringens skrivelse eller i Riksrevisionens rapport görs någon egentlig analys av varför de tidigare strategiska samordningsförsöken trots avsevärda resurser och mandat misslyckats.
En grundläggande utgångspunkt för mig har varit att det inte är särskilt meningsfullt att göra mer av samma sak om man märker att något inte fungerar.
Istället är det viktigt att ta ett steg tillbaka och analysera och göra nya problemformuleringar.
Detta tror jag i hög grad gäller om man ska ta ut strategiska riktpunkter.
En ny strategi bör därför föregås av ett mer omfattande förarbete och inte bestå av inskickade, icke samordnade önskelistor från myndigheter som har ansvar för olika säkerhetsområden.
I fallet med informationssäkerhet har jag försökt påvisa den stora oklarhet som råder om vad informationssäkerhet egentligen är och hur det försvårar för den enskilda organisationen, för de yrkesutövande och för samordning på nationell nivå.
Detta blir än tydligare om man läser regeringens något desorienterade skrivelse där det är svårt att greppa vad det egentligen är som ska samordnas.
Om vi tittar på den nationella spelplanen och bortser från de oklarheter som råder om informationssäkerhet är i första hand organisatorisk eller teknisk fråga så går det att urskilja en rad olika syften som staten länkar till ”informationssäkerhet” vad det nu än är.
För att övergripande beskriva de huvudsakliga syften som sällan definieras i förhållande till varandra kan jag räkna upp: Till detta kommer exempelvis de starka kraven från bland annat dataskyddsförordningen som i praktiken innebär högre nivå på spårbarhet, riktighet och konfidentialitet.
Dessa olika syften ska utan närmare inriktning från staten tillgodoses i de enskilda organisationerna.
Jag tror att det är här vi måste stanna till och inse att det inte är informationssäkerhet som det ställs krav på i de olika sammanhangen.
En enskild organisation har i de flesta fall i normalläget inget internt behov av den informationssäkerhet som staten ställer krav på exempelvis rörande det civila försvaret i höjd beredskap.
Att införa säkerhetsskyddsåtgärder är inte heller något som befrämjar andra säkerhetskrav som kan finnas i en löpande verksamhet som exempelvis hög tillgänglighet.
Statliga certifieringskrav på tekniska komponenter i e-förvaltning är knappast heller något som gynnar regeringens inriktning på att Sverige ska bli bäst i världen på att ta till vara digitaliseringens .
Jag behöver kanske inte fortsätta med exempel för att slå in min poäng – det finns tydliga intressekonflikter mellan olika typer av informationssäkerhet som staten ställer krav på.
Det finns också aktiviteter som starkt påverkar säkerhetsarbetet där det egentligen inte finns någon intressekonflikt men som ändå inte är samordnade.
Ett påtagligt exempel är att rapporteringskravet för it-incidenter till MSB inte är samordnat med i det tunga krav på incidentrapportering som följer av dataskyddsförordningen.
Ett förarbete till en strategi måste, menar jag, måla upp hela informationssäkerhetslandskapet för att kunna ta ut riktningen framåt.
Ironin i att NISU och utredningen om ny säkerhetsskyddslag lägger fram sina resultat samtidigt som två helt parallella spår som aldrig mötts kommer att upprepas i nya former om inte den nödvändiga överblicken skapas.
Överblicken över syften, förutsättningar och aktörer ger också en grundval för den styrmodell som rimligen måste finnas med som ett strategiskt verktyg för att nå målen.
En gemensam styrmodell innebär inte att samma styrmedel används överallt.
Jag föreställer mig att regelstyrning är nödvändig ur det civila försvarets perspektiv medan incitaments- och kunskapsstyrning blir centrala för regeringens digitaliseringssatsningar.
Men eftersom det är Söpple kommun som kommer att bli utsatt för de olika styrmedlen måste de integreras i en gemensam modell som också hanterar organisatoriska och ekonomiska förutsättningar.
Förutsägbarhet gällande krav och ekonomiska förutsättningar är nödvändigt då allt större del av den tidigare offentliga utförda verksamheten ombesörjs av privata aktörer.
Även detta förhållande måste avspeglas i den strategiska inriktningen.
Jag tror att en strategi måste vila på noggranna överväganden av hur staten ska organisera sin styrning och sitt stöd.
När civilt försvar alltmer blir MSB:s huvudfråga och myndighetens uppgift är mer att jämföra med den som Överstyrelsen för civil beredskap (ÖCB) hade fram till 2002 är det sannolikt mer lämpligt att detsom bedrivs i normalläget integreras med statens digitaliseringssatsning.
Analysen av vad som kan tänkas fungera bäst måste vara förutsättningslös och inte utgå från olika organisatoriska särintressen.
För mig är det en viktig princip attt måste styras av behov, inte av utbud.
Det gäller i den enskilda organisationen, och det bör gälla även på det nationella planet.
När en strategi ska tas fram bör det därför ske tillsammans med de som äger verksamheterna vars information skyddas, inte enbart av de aktörer som levererar säkerhetslösningar.
Min förhoppning är att strategin inte stressas fram på departementet av någon ensam handläggare utan att det sker i ett brett samarbete med kommuner, landsting, företag och myndigheter samt viktiga kravställare som Datainspektionen, E-hälsomyndigheten och eSam.
Jag har tidigare skrivit om att jag ser kommunikation som det centrala verktyget it och kanske det tydligast inte funkar.
Det här inlägger kommer att ytligt behandla om några aspekter av det vittomfattande ämnet, nämligen förutsättningar och förförståelse, innehåll och form.
Att kommunikationen inom informationssäkerhetsområdet har jag redan försökt beskriva i ett tidigare inlägg.
Det saknas arenor och samtalsformer för att utveckla kunskap och samsyn.
Det språkbruk och de metaforer som uppstår i denna dysfunktionella kultur gör även att vår kommunikation inte fungerar i samspelet med de vi vill engagera.
Ofta framstår både vi själva och det vi säger uppfattas som ovidkommande, auktoritärt, svårbegripligt och alarmistiskt (källa: de många verksamhetsföreträdare jag samverkat med under ett par decennier).
Själv uppfattar jag kommunikationen i informationssäkerhetsfrågor ibland som direkt vilseledande för civila organisationer.
Ett exempel är den nednötta metaforen om att skydda sina guldägg.
Den underförstådda tanken är att alla organisationer har avgränsade informationsmängder eller hård/mjukvara som ska skyddas mot främst obehörig åtkomst (?)
framför alla andra.
Detta menar jag är en feltolkning av hur dagens informations- och it-infrastrukturer fungerar där det snarare handlar om komplexa samband där olika men i många fall lika viktiga krav ställs på olika delar för att helheten ska fungera.
För att ta ett exempel från verkligheten så är det i en kommunal verksamhet meningslöst att försöka peka ut vad som skulle vara ”guldägg”.
I den kommunala äldreomsorgen bör det ställas mycket höga krav på tillgänglighet i trygghetslarmen, lika höga krav på riktighet och spårbarhet i journaldokumentationen och mycket höga krav på konfidentialitet i alla delar.
För den ekonomiska redovisningen kommer peakar i tillgänglighetskraven vid vissa perioder under bokföringsåret.
Jag kan fortsätta uppräkningen med att peka på PuL, algoritmer, webbplatser m.m., m.m.
men det enda jag vill komma fram till är att jakten på ”guldägg” leder tanken och därmed kommunikationen helt fel.
Andra vanliga påståenden på konferenser och i marknadsföring är att medarbetarna skulle vara det största problemet.
Detta påstående saknar belägg och den organisation som skulle se medarbetarna som den största risken tror jag får anledning att snabbt göra en förnyad riskanalys.
Den som tycker att ovanstående kan ses som bagateller behöver sannolikt mer övergripande argumentation om den problematiska kommunikationen.
Låt oss se ett grundscenario som både gäller i den enskilda organisationen och på ett nationellt plan.
Å ena sidan finns informationssäkerhetsexperterna som ser generella risker och som har organisatoriska och tekniska metoder för att reducera dessa risker (i alla fall hypotetiskt).
Å andra sidan finns det organisationer för vilka informationen är en resurs för verksamhetens olika processer.
Det är de senare som har den faktiska möjligheten och resurserna att genomföra informationssäkerhetsåtgärder.
För att uppnå fungerande informationssäkerhet krävs insatser från båda parter.
Enda sättet att skapa en sådan gynnsam situation är god kommunikation, den goda kommunikation som jag menar ofta saknas.
Resultatet blir alltför ofta att verksamhet och informationssäkerhet samexisterar som olja och vatten.
Trots att det är verksamheten som har behov av informationssäkerhet för att kunna leverera talar informationssäkerhetsspecialisten för döva öron.
Ett aktuellt exempel på hur det kan gå är när eHälsomyndigheten, som objektivt sett är en av de svenska organisationer som har mest behov av god informationssäkerhet, levererar två om framtiden och överhuvudtaget inte analyserar behovet av just informationssäkerhet .
Jag kommer återkomma till detta i ett senare inlägg.
Sammantaget är min erfarenhet som statlig tjänsteman som försökt förbättra informationssäkerheten inom e-förvaltning och e-hälsa att försöket mötts med en ganska avsevärd brist på förståelse från båda lägren.
De som arbetar med informationssäkerhet nationellt har haft begränsat intresse av och insikt om behovet av informationssäkerhet i verksamheter som är utpräglat civila.
De som arbetar med digitalisering i förvaltning och sjukvård har med två undantag sagt typ: ”jaja, det är säkert viktigt med säkerhet men det tar vi sedan när vi realiserat våra lösningar – säkerhet innebär ju bara en massa krångel som kan leda till att vi inte kan genomföra det vi vill.” Förutsättningen för kommunikationen är alltså en ömsesidig misstro som måste överbryggas.
Behovet av informationssäkerhet finns främst hos organisationerna själva även om det på aggregerad nivå naturligtvis i hög grad är ett samhällsintresse.
Ansvaret för kommunikationen ligger dock på informationssäkerhetsspecialisterna eftersom organisationerna inte är medvetna om sitt behov.
Här uppstår dock ett avgörande problem eftersom kommunikationen om informationssäkerheten som skapas i denna situation i de flesta fall är istället för .
Det är informationssäkerhetsspecialisterna som försöker sälja in sitt utbud av standardiserade synsätt och metoder till en verksamhet som har ett behov, ett behov som tyvärr formuleras på verksamhetens egna premisser.
Detta gäller även det nationella planet där det är myndigheterna med ett utbud som fått styra strategier och handlingsplaner, inte de civila verksamheterna med behov.
Och som alltid vid utbudsstyrning är det svårt att sätta nivån och inriktningen eftersom behovet inte är definierat – utmärkt situation för ett kommersiellt företag men knappast då man försöker styra med begränsade resurser.
Kommunikationen är en produkt av områdets kultur.
Den blir därför alltför ofta inriktad på envägskommunikation, förutsätter att de man riktar sig till är okunniga (”hur ska vi få dem att förstå”) samt på lösningar som är helt omöjliga i praktiken (som att använda signalskyddslösningar i sjukvården).
Den känslomässiga argumentationen kring attacker och antagonistiska hot lämnar mottagaren i ett rationellt limbo, kvar blir rädda människor underkastade olika auktoriteter.
Den auktoritära kommunikationsformen är naturligtvis också ett resultat av vår bristande kunskap inom informationssäkerhetsområdet (se tidigare inlägg), om man är osäker ger man sig ogärna in i dialog och diskussion.
Inte så få av de ”kommunikationsplaner” jag sett har enbart innehållit aktiviteter där avsändaren förmedlat budskap men inga aktiviteter av inlyssnande.
Hur ska vi då förbättra vår kommunikation så att organisationerna drivs av en inre motivation och på så sätt får ett ständigt förbättrat?
Jag tror det viktigaste förhållningssättet är att bestämma sig för en rollfördelning där informationssäkerhetsspecialisten (både i en enskild organisation och i form av myndigheter på nationell nivå) är en stödfunktion.
Informationssäkerheten tjänar istället syftet att organisationen ska kunna upprätthålla sitt uppdrag och sin leverans med tillräcklig kvalitet och utan störningar (i detta ligger naturligtvis även att kunna uppfylla externa krav).
För att kunna ge stöd måste informationssäkerhetsspecialisten förstå verksamheten, den unika informationshanteringen och de unika behoven.
Helt enkelt förstå att en pågående dialog, ett ömsesidigt utbyte är nödvändigt i lika hög grad för den som ska stödja som den blir stödd.

Individuella rättigheter Rättssäkerhet (the Rule of Law) Maktdelning Rationaliserade inköp och betalningsrutiner genom elektronisk handel (Toppledarforum) Ökad tillgänglighet till offentliga tjänster Effektivisering av offentlig sektor (både förvaltning och exempelvis sjukvård) Tillgång till offentlig information ur ett näringsperspektiv Samordning av olika delar av den offentliga sektorn Möjligheter för privata aktörer att verka inom välfärdssektorn E-demokrati Försvarsmaktens insatser Det civila säkerhetsskyddet av rikets säkerhet samt mot terrorism Det civila försvaret Samhällets krisberedskap Stöd till myndigheter, kommuner, företag m.m.
för deras egen verksamhet och i samverkan för e-förvaltning, e-hälsa m.m.

har varit Men innan internt utbudsstyrd behovsstyrd

Meny Inläggsnavigering

MENU MENU Postat av Postad i Postat av Postad i , Postat av Postad i , Postat av Postad i , Postat av Postad i , Postat av → Postad i , , Postat av Postad i , , , , Postat av Postad i , , , Postat av Postad i , , , , , , , , Tagged , , , , , Postat av Postad i , , Tagged , , , ← → Sök efter:

de granskade myndigheterna ligger på en nivå som är märkbart under vad som är tillräckligt ”.
”därför ta fram en nationell strategi för samhällets informations- och cybersäkerhet.” samma

Under senare år har frågan om säkerhetskultur blivit alltmer aktuell.
Att få medarbetare i en organisation att vara medvetna och motiverade i säkerhetsfrågor ses av allt fler som något som inte bara är ett komplement till den traditionella regelstyrningen.
Tidigare har jag skrivit om betydelsen av en profession inom informationssäkerhetsområdet.
Även för en profession är det centralt att ha någon form av kultur som både skapar gemenskap inom gruppen men också bär upp de handlingar, synsätt och värderingar som gruppen förmedlar till utomstående.
Kort sagt kan ett kollektivs kultur ge gruppen en enighet om mål och medel som inte bara beskrivs i standarder, strategier och andra dokument utan som ett socialt kitt och ett ethos.
Kultur handlar i första rummet inte om beteenden utan om det som ligger bakom beteenden, som innebörder, förståelser, idéer, värden, trosföreställningar, prioriteringar och förgivettaganden.
Kulturens betydelse finns belagd i en ganska ymnig forskning inom olika fält som jag inte här kommer att gå närmare in på utan bara som icke-expert nicka och säga: ja, detta verkar relevant även för oss som arbetar med informationssäkerhet.
Det kan verka flummigt men jag tror detta är en mer central fråga än vad det först kan tyckas eftersom den kulturella grunden kan peka ut vägen för gruppen långsiktigt.
De kulturella värderingarna ger också underlaget för prioriteringar i det vardagliga arbetet.
Sist men inte minst är en grupps kultur kärnan i den kommunikation som sker med de utanför för gruppen, de kulturella budskapen som gruppen förmedlar överröstar i princip alltid själv sakinnehållet i kommunikationen.
Eftersom jag ser kommunikation som det viktigaste verktyget i arbetet med informationssäkerhet blir därför kulturfrågan central.
Vad är då våra gemensamma värderingar och vad leder de till för beteenden?
Ingen har, såvitt jag vet, gjort en kulturanalys av aktiva inom säkerhetsområdet utan jag ska försöka uttolka de gemensamma tendenser jag tyckt mig se genom åren.
Redan nu ber jag om ursäkt för de kategoriska och säkert missvisande beskrivningar som följer men jag har för närvarande enbart tillgång till mina egna erfarenheter (vilket i sig är en del av kulturen eftersom denna typ av diskussion aldrig förs).
En första reflektion är att den militär-polisiära bakgrunden fortfarande vilar tung över oss.
Det tar sig många uttryck som i den metaforvärld som används där ”attacker”, ”hot” och ”antagonism” bara är några exempel.
Detta skapar naturligtvis en speciell atmosfär men eftersom det inte bara är så att tankar som styr ord utan i lika hög grad det omvända: att våra metaforer styr våra tankar kommer detta att påverka vårt agerande.
Jag dristar mig till att säga att traditionella informationssäkerhetsmänniskor finner det betydligt enklare att fokusera på ”attacker” än att inrikta sig på de störningar i informationshanteringen som uppstår av andra orsaker som uppdateringsfel, buggar, bristande rutiner, ineffektivitet som gör att medarbetarna är mer eller mindre tvungna att bryta mot reglerna m.m.
Vårt mindset är helt enkelt mer inriktat på attacker och det är också det vi kommunicerar exempelvis med ledningarna i de organisationer där vi verkar.
Men denna kulturella värdering kan leda oss fel även i praktisk handling för om ENISA har rätt i sin så är det inte antagonistiska hot som skapar flertalet störningar: Även om alla säkert kan vara överens om att incidentrapportering är problematiskt som underlag för att bedöma vad som egentligen händer och i ännu högre grad om vilka hot som finns är ENISA:s redovisning intressant, särskilt som det väl för Sveriges del inte finns någon som är mer relevant.
Om vi nu antar att ENISA:s uppgifter stämmer så är det stora problemet störningar i kommunikationen som leder till störningar i system.
Malicious actions är däremot en mycket liten kategori.
Flera rimliga frågor inställer sig som vad som orsakat störningarna i kommunikationen.
En annan vanlig kommentar när den här typen av siffror redovisas är att det finns ett stort mörkertal när det gäller attacker m.m.
Där är jag helt beredd att hålla med, vi ju är långt ifrån att ha en heltäckande redovisning av inträffade incidenter, rimligen är mörkertalet lika stort eller större när det gäller icke-antagonistiska incidenter.
Min poäng är i all enkelhet att den kulturella styrningen mot antagonistiska hot kan leda till felprioriteringar it.
Att vara inriktad på antagonistiska hot är också belönande i så måtto att det enklare att få uppmärksamhet både från ledningar och media om man pratar om spännande hotbilder med antagonister än om frågeställningarna tangerar den vardagliga verksamhetsutvecklingen.
I den nu rådande kulturen finns en påtaglig fara för att informationssäkerhetschefen medverkar till att ledningen beslutar om säkerhetsåtgärder som inte motsvarar den faktiska riskbilden.
Och här gömmer sig kanske också ett kulturellt problem eftersom det finns två mål för säkerhetsarbetet; att avvärja hot respektive att stödja att informationshanteringen uppfyller verksamhetens krav på konfidentialitet, riktighet, spårbarhet och tillgänglighet.
Det förstnämnda liknar mer än militär uppgift medan det andra är mer att jämföra med ett kvalitetsarbete och inbegriper en nära dialog med verksamheten.
Om vi ska arbeta mer aktivt med kulturfrågan måste vi förtydliga vilken som är vår gemensamma målbild och också vår roll.
För att skissa vidare på den kultur jag uppfattar finns i vårt sammanhang så ser jag också ett auktoritärt drag.
Detta drag har förmodligen samma militär-polisiära bakgrund som det tidigare men kanske det svaga kunskapsunderlag vi ofta har för det vi föreslår också spelar in.
Exempel på vad jag menar med det auktoritära draget är att jag tycker att det finns en övertro på regler och compliance jämfört med andra typer av styrning som mer bygger på diskussion och tvåvägskommunikation.
Jag uppfattar också att kultur och former för diskussioner som alltför litet öppna och ”akademiska”, kanske för att det inte forum som inbjuder till det.
De forum som finns är i de flesta fall konferenser där ”heliga” sanningar presenteras utan återkoppling.
Denna attityd förstärks genom att informationssäkerhetsspecialistens legitimitet oftare hämtas i externa krav som lagstiftning eller standarden än verksamhetens egna behov.
Det finns också dragning mot hemlighetsfullhet.
Detta kan härledas till när säkerhetsarbetet i första hand var inriktat på att skydda rikets säkerhet men kanske också till att vi har svårt att rationellt argumentera för olika åtgärder.
Det kan då vara enklare att antyda att det finns hot som tyvärr inte kan yppas än att tydligt redogöra för olika risker och låta ledningen eller verksamheten avgöra vad som är nödvändiga åtgärder.
Detta är en bräcklig position som jag också tror skapar osäkerhet hos många i branschen.
Jag uppfattar inställningen som felriktad därför att betoningen på det hemliga, förutom att göra de flesta samtal till återvändsgränder, också gör att andra lika viktiga frågor kommer helt i bakgrunden.
I myndigheter finns till exempel kravet på öppenhet i offentlighetsprincipen som ställer stora krav på riktighet och spårbarhet i de offentliga informationsflödena.
Informationssäkerhetsspecialisten har, i min mening, ett lika tungt uppdrag i att medverka till detta som att skydda mot obehörig åtkomst.
Detta är ett exempel på statusbalansen i kulturen, sekretess har högre status än öppenhet, men det finns även andra statusförhållanden som kan diskuteras.
Ett sådant är förhållandet mellan teknik och organisation som ofta omnämns som ”hårda” respektive ”mjuka” frågor.
Man behöver inte ha läst genusvetenskap för att tolka att den egentliga innebörden är att de hårda, manliga frågorna är aningen viktigare än de mjuka, kvinnliga.
Så är det i det övriga samhället och det finns inga skäl att tro att det set annorlunda ut inom informationssäkerhetsområdet.
I praktiken leder denna inställning ofta till en överbetoning av tekniska lösningar framför organisatoriska och också till ett ofta väl teknokratiskt förhållningssätt även i organisatoriska åtgärderna.
Det blir litet märkligt i kombination med standardens tydliga organisatoriska inriktning men det är en dissonans som har accepterats.
Slutligen är en annan viktig aspekt av kulturen den tydliga mansdominansen.
Jag ser det som ett svaghetstecken för en yrkeskår när det måste skapas särskilda forum för kvinnor vilket nu skett på flera håll.
Kanske känns det nödvändigt för att kunna leva vidare i den auktoritära och teknokratiska kultur som jag frammanat ovan.
Jag skulle dock hellre se att vi gick vidare och försökte utveckla en mer ändamålsenlig kultur för de uppgifter vi har att lösa och där alla kan delta i ett gemensamt samtal på lika villkor.
För att förena episteme och techne (och förhoppningsvis uppnå fronesis) så behöver professionen sina metoder.
Metoderna är i kunskapssamhället professionens verktyg och det som utgör grunden för en intern gemenskap och en extern uppfattning om vad en medlem i professionen kan utföra.
I detta sammanhang kommer jag att använda begreppet ”metod” som ett systematiskt och enhetligt sätt att utföra en viss aktivitet med ett beskrivet önskat resultat.
I teorin finns också ett antal metoder inom informationssäkerhetsområdet som riskanalys, informationsklassning, incident- och kontinuitetshantering.
Ledningssystem a´ la ISO 27000 kan också ses som en metametod där ovanstående metoder ingår som komponenter.
Frågan är dock hur väl metoderna uppfyller kraven på att vara systematiska, enhetliga och ha beskrivet önskat resultat.
Att metoderna är utvärderade och därmed sägas vara effektiva sedda till sitt syfte bör vara ytterligare ett krav för att de ska sägas fungera.
Förutom införandet av ledningssystem är sannolikt informationsklassning den mest upplyfta metoden för att uppnå bättre informationssäkerhet.
För att göra en snabb bedömning av metoder känns det därför ganska rimligt att titta litet närmare på klassningen så som den beskrivs.
Här har jag ett underlag på divergerande åsikter som uppstod när jag arbetade på MSB och dristade mig till att fram ett förslag på vägledning för informationsklassning.
Den informella remissen ledde till att det ramlade in en mängd svar från informationssäkerhetsmänniskor i framför allt myndigheter.
Jag planerar att använda dessa svar för en litet utförligare analys vid ett senare tillfälle – nu räcker det att säga att synpunkterna gick i alla riktningar och att alla var lika övertygade om att det sättet de uppfattade saken var det enda rätta.
Inte ens var man överens om det skulle heta ”klassning” eller ”klassificering”, ännu mindre om huruvida det är information eller system som ska klassas.
En litet märklig upplevelse vid genomläsningen var att själva syftet med informationsklassningen framstod som så odefinierat i ett antal av svaren, framför allt då man hade invändningar mot att jag i vägledningen beskrivit att informationsklassningen som metod också måste innehålla skyddsnivåer.
Lika fången som andra av min egen tankegång så har jag alltid föreställt mig det som meningslöst att klassa information om det inte leder till konkreta skyddsåtgärder.
Detta var dock inte en uppfattning som delades av alla.
Jag svävar fortfarande i ovisshet om vad då klassningen tjänar till och det är en av de många frågor som jag tycker det vore ytterst intressant att diskutera.
I paradgrenen informationsklassning saknas det alltså enhetlighet samt systematik.
Den bristande systematiken ligger bland annat i att klassningen som aktivitet inte har ett givet samband med andra aktiviteter som exempelvis riskanalys och inte heller beskrivs som en process vars resultat regelbundet utvärderas.
I vägledningen skrev jag till exempel djärvt att klassning ska ses som en form av risk- alternativt konsekvensanalys men fick mycket starkt mothugg mot detta och hur då det systematiska sambandet mellan riskanalysen och klassningen ser ut för dessa skribenter är fortfarande oklart för mig.
Det mest slående i svaren var att ofta saknades argument eller teori för den åsikt man förfäktade.
Istället var det redovisande av hur man själv i praktiken genomför sina klassningar eller, mest återkommande, hänvisningar till hur man tolkat ISO 27000.
Här ligger en viss ironi eftersom en del svar rörande klassningen där man hänvisar till standarden faktiskt går emot vad standarden säger, som när man hävdar att det system som ska klassas samtidigt som standarden uttryckligen säger att det är information.
Mycket av det som kan sägas om informationsklassning kan sägas också om ledningssystem som metod.
Förutom att syftet och genomförandet saknar enhetlighet är båda metoderna synnerligen icke utvärderade.
Jag under senare tid plöjt en hel del av den litteratur som finns på området och har ännu inte hittat några studier som exempelvis utvärderar olika metoder för informationsklassning, ej heller av om ledningssystem på det sätt som standarden föreskriver är ett effektivt sätt att styra informationssäkerhet i en organisation.
Och här måste jag gå in på helig mark och framföra ståndpunkten att ISO 27000, som gett mig så mycket stöd genom åren som yrkesverksam, inte så sällan snarare är ett hinder än en hjälp.
Eller, rättare sagt, vårt användande av standarden som en ersättning för utvärderade metoder utgör ett hinder för oss att bli mer professionella.
ISO 27000 definierar ett område som jag skulle vilja kalla organisatorisk styrning men innehåller ingenting om hur olika aktiviteter ska utföras, och är alltså ingen metod.
Som jag skrev inledningsvis skulle man kunna sträcka det till att standarden översiktligt beskriver en metametod men överlämnar till oss praktiserande att ta fram de konkreta, enhetliga, systematiska och utvärderade metoderna.
Denna metametod börjar kanske också bli litet anfrätt av tiden med sin inriktning på styrning av informationssäkerhet i organisation när information i allt högre grad flödar över organisationsgränser.
ISO 27000 har i många fall blivit en ersättning för metoder vilket vi måste erkänna för att komma vidare.
Istället för att i övermåttan peka på standarden som en bibel måste vi ta uppgiften med metodutveckling på allvar och skapa en gemensam plattform som uppfyller kraven på enhetlighet och systematik.
I ett tidigare inlägg skrev jag om vad jag uppfattar som ett bristande vetenskapligt stöd för detsom bedrivs.
Att inte kunna bottna sitt arbete i etablerad kunskap skapar av naturliga skäl avgörande hinder i det kunskapssamhälle som numera är vårt.
Men om vi kontrafaktiskt skulle anta att det fanns en välutvecklad akademisk kunskap om informationssäkerhet skulle inte denna kunskap vara tillräcklig för att få en verkligt fungerande informationssäkerhet i organisationer och i samhället i stort.
Det behövs också aktörer som vet ”hur” man ska göra, det vill säga tillför techne och fronesis till episteme.
Vad jag avser är en profession av låt oss kalla det informationssäkerhetsspecialister.
Behovet av att skapa nya professioner följer med utvecklingen av det moderna samhället från skråväsendets tillkomst under medeltiden till dagens på olika sätt legitimerade eller auktoriserade yrken.
Professionen skapar legitimitet åt yrkesutövarna, ”paketerar” deras kompetens så att den blir hanterbar även för externa parter som är intresserade av att använda den och, inte minst, utgör en dialogpartner för den akademiska kunskapsutvecklingen.
Den fruktbara relationen mellan profession och akademin kan kanske mest arketypiskt ses inom det medicinska fältet där läkarna genomgått en professionaliseringsprocess under mycket lång tid.
Numera har även andra yrkesgrupper som sjuksköterskor och fysioterapeuter gjort samma resa men för enkelhetens skull ska jag fortsättningsvis hålla fast vid läkarna som exempel.
För den som läst något om medicinhistoria är det uppenbart att samspelet mellan de praktiserande läkarna och den akademiska forskningen varit nödvändigt för att nå fram till dagens möjligheter att faktiskt bota, förebygga och lindra allehanda sjukdomstillstånd.
Sextonhundratalets fältskärer skulle inte genom praktiskt karvande i sårade soldater kunnat generalisera sin kunskap så att den skulle kunna beskriva sårinfektioner på ett allmängiltigt sätt.
Lika litet skulle de medicinska forskarna som faktiskt fanns vid denna tid kunnat avvara den praktiska kunskapen hos dem som dagligdags mötte patienter, om än med bensågen i högsta hugg.
För att detta samspel skulle kunna utvecklas på det fruktbara sätt som faktiskt skett var en viktig faktor att de praktiserande läkarna kom att utgöra en alltmer skarpt avgränsad profession med bestämd kompetens och enhetliga metoder.
Jag gör analogin till informationssäkerhetsområdet där vi har samma behov av att förena teori och praktik.
En professionell yrkesutövning kan borga för den kvalitet som är nödvändig i den praktiskt utövande delen av kunskapsområdet och av denna anledning bör en profession av informationssäkerhetsspecialister skapas.
Utvecklandet av en profession är som sagt den normala gången inom olika kunskapsområden och det finns också en omfattande forskning på temat.
Både inom gruppen själv och för externa parter som arbetsgivare in spe måste det gå att beskriva vad professionens eller (USP) är och också skapa organisatoriska strukturer för att upprätthålla denna USP.
Några av de moment i professionsbildandet som brukar tas upp litteraturen är följande: En grund då en profession vill formalisera sig är att man annekterar ett kunskapsområde och hävdar att den egna gruppen är den främsta/enda som äger denna kunskap, jämför läkare och medicinen.
Förutsättningen är att det går att definiera kunskapsområdet på ett sätt som både gruppen internt och omvärlden kan vara eniga om.
Här finns ett problem för informationssäkerhetsspecialisterna om den beskrivningen av oklarheten i vad kunskapsområdet egentligen består i godtas.
Är det en organisatorisk eller teknisk kompetens som utgör kärnan för att bara ta en av de många frågor som kan ställas.
För att få tillhöra en profession måste det definieras vilken teoretisk och praktisk kunskap man måste besitta.
Det måste också finnas en procedur som är erkänd även av utomstående som garanterar att de som utger sig för att tillhöra professionen verkligen kan antas inneha den rätta kompetensen.
Det räcker alltså inte med att man själv kallar sig ”informationssäkerhetsexpert” eller att man har lösliga grupperingar av typen communities.
En ganska självklar del i detta är en vilket idag saknas inom informationssäkerhetsområdet.
De utbildningar som erbjuds på högskolenivå (vilket vi väl får anta är rimligt att kräva) har ett mycket spretigt innehåll från ”Internationella aktörer och regelverk” till ”It-forensik” för att bara ta ett par exempel från högskolekurser som beskriver sig som utbildning i informationssäkerhet.
Andra utbildningar går in på ren it-säkerhet eller på praktiska metoder men kunskapsområdets otydlighet avspeglar sig i utbildningsutbudet.
Om vi tittar på innehållet i olika populära certifieringar blir bilden än mer otydlig, i en CISSP-certifiering uppges bland annat telekommunikation och mjukvaruutveckling ingå.
Kravet på formaliserad utbildning blir därmed i dag svårt att uppfylla liksom två andra vanliga krav på en profession: inträdeskrav och avgränsning av de som inte hör dit.
För att sammanfatta så kan vem som helst oavsett utbildning, erfarenhet eller personlig lämplighet utge sig för att vara informationssäkerhetsspecialist utan att någon kan hävda motsatsen.
En profession definieras inte bara av kunskap utan också av de specifika normer och den kultur som dess medlemmar ansluter sig till.
Exempel på detta är, förutom läkaretiken, de normer som upprätthålls av advokatsamfundet.
Det innebär också en över de som yrkestitel som följer med professionen.
Detta förutsätter i sin tur någon form av kollegial organisation som kan utöva kontroll och utveckla en yrkesmässig kultur och etik.
Idag saknas flertalet av de förutsättningar som krävs för en professionalisering inom informationssäkerhetsområdet.
Behovet är av en sådan är dock stort och om man ska dra slutsatser av andra yrkesgruppers historia måste frågan drivas av de yrkesverksamma själva.
En svårighet är att det inte finns fackföreningar eller starka intresseföreningar inom området som skulle kunna inleda en sådan process.
Ett första steg är att börja diskutera framtiden på ett öppet sätt och försöka hitta vägar framåt.
Är lämpligt med ett brett anslag där hela den spännvidd som nu ryms under beteckningen informationssäkerhet men med en specialisering på samma sätt som läkarkåren?
Eller bör vi resonera oss fram till en tydligare avgränsning mot it-säkerhet och cybersäkerhet?
Frågorna är många men än saknas forat att diskutera dem i. Som redan framgått är det svårt att ens ge en enhetlig och allmänt accepterad definition av begreppet informationssäkerhet.
Att då kunna beskriva kunskapsområdet informationssäkerhet blir därför av naturliga skäl minst lika svårt.
Ändå menar jag att den enda verkliga legitimitet som informationssäkerhetsområdet kan uppnå måste gå genom att kunna motivera synsätt, metoder och investeringar med ett kunskapsunderlag.
Kunskapsunderlaget måste därför vara av en sådan karaktär att det kan accepteras av de aktörer som vi vill ska anamma synsätten, använda metoderna och göra investeringarna.
Om vi inte kan argumentera utifrån en rationell position återstår att försöka övertyga med känslor eller utifrån särintressen alternativt mycket smalt perspektiv som att exempelvis isolera risk och se den som helt dominerande.
Min uppfattning är att vi idag är ganska långt ifrån att ha ett gemensamt kunskapsunderlag.
Kvaliteten på kunskapsunderlaget kan också ifrågasättas av flera skäl, bland annat inte oväsentliga delar har sitt ursprung i rapporter från bolag som säljer säkerhetsprodukter.
Ett kanske ännu större problem är att det saknas arenor för kunskapsutveckling utanför akademin där en professionell diskussion kan föras.
Istället skulle jag vilja hävda att området präglas av ett anti-intellektuellt förhållningssätt som leder till en stagnation också när det gäller att ta fram praktiskt fungerande lösningar för att förbättra säkerheten.
Utan att gå tvärdjupt är en rimlig utgångspunkt för ett kunskapsområde att det har olika lager av kunskapsnivåer inklusive en teoretisk grund.
För att ett auktoritativt stöd i detta men också skapa en ganska enkel pedagogik tar jag hjälp av Aristoteles som delade upp kunskapen i fem former av vilka jag endast kommer att diskutera tre: (vetenskaplig kunskap, påståendekunskap, veta att) (praktisk-produktiv kunskap, färdighetskunskap, veta hur), (praktisk klokhet, det goda omdömet, veta när) För den som vill veta mer om detta på ett enkelt sätt rekommenderar jag denna .
Min känsla har länge varit att det som uppfattas som kunskap inom informationssäkerhetsområdet går att hänföra till techne med betoning på enkla tumregler och tekniska lösningar.
Många duktiga informationssäkerhetsmänniskor har haft rejäla mått av fronesis så att de kunnat tillämpa den fyrkantiga techne-kunskapen på ett bra sätt i sina organisationer.
Däremot så uppfattar jag att episteme, den vetenskapliga kunskapen med krav på generaliserbarhet och mätbarhet, i hög grad saknas inom informationssäkerhetens kärnområde.
Vad jag då avser är att exempelvis en övergripande teoribildning på det som är vanlig inom samhällsvetenskapliga områden inte riktigt går identifiera i många av de vetenskapliga texter som publiceras om informationssäkerhet.
Det har också ofta slagit mig att jag sällan sett att etablerade uppfattningar och metoder prövas på ett vetenskapligt sätt.
För att snabbtesta mina egna fördomar har gjorde jag en sökning i svenska databaser på aktuell forskning om informationssäkerhet och fick fram några hundra publikationer som jag granskade snabbt och översiktligt utan anspråk på någon som helst vetenskaplighet.
Den som själv gå igenom samma material kan följa den här och den .
I beskrivningarna har jag försökt utläsa om det finns en teoretisk utgångspunkt som på försöker beskriva ett ontologiskt perspektiv om hur informationshantering och informationssäkerhet samverkar och vad informationssäkerhet .
Jag har också försökt läsa ut huruvida författarna verkligen ifrågasatt de etablerade synsätten och metoderna samt prövat dess effektivitet och relevans på ett ”objektivt” sätt.
Slutligen har jag tittat på inom vilken disciplin texten är skriven och om den förefaller vara övervägande organisatorisk eller tekniskt orienterad.
Efter denna snabba och djupt orättvisa genomgång tycker jag mig ändå se vissa tendenser.
Oklarheten i begreppet informationssäkerhet som jag tidigare skrivit om gestaltas också i de vetenskapliga texterna och leder till en spretighet.
Begreppet tycks kunna stå för renodlat tekniska lösningar (som jag kanske hellre skulle kalla it-säkerhet) som organisatoriska.
I de fall där jag läst sammanfattningarna är denna begreppsförvirring och ontologiska brist inte något som författarna tycks uppfatta som ett problem.
Inte heller verkar ontologin i grundbegreppen konfidentialitet, riktighet, tillgänglighet, spårbarhet alternativt CIA-begreppen utgjort en frågeställning i området.
Flertalet texter är skrivna av forskare med teknisk eller systemvetenskaplig bakgrund.
Detta leder till två helt olika problem.
Det första är att fokus ofta kommer att ligga på tekniska lösningar istället för organisatorisk styrning trots att man säger sig skriva om informationssäkerhet.
Det andra är att det är forskare med teknisk eller systemvetenskaplig bakgrund som skriver om organisatoriska frågor vilket ligger utanför deras egentliga kompetensområde, något som kan leda till att de inte helt har de redskap som krävs för en organisatoriskt inriktad forskning.
Sammantaget leder det till att den organisatoriska styrningen bli styvmoderligt behandlad.
Ett genomgående drag är att etablerade synsätt och metoder förefaller förutsättas vara fungerande och effektiva.
Detta gäller i hög grad de mer organisatoriskt inriktade texterna som kan handla om mätning, compliance och säkerhetskultur för att ta några exempel.
Detta gäller även då man exempelvis tittar på mognadsmodeller där mognaden kan ses som en slags compliance till etablerade synsätt och metoder.
Förutom compliance är fenomenologi i en relativt vanlig form av studie.
Det kan handla om hur medarbetare, patienter eller någon annan grupp uppfattar säkerhetsåtgärder eller -behov.
Inte heller här tycks metoder egentligen ifrågasättas utan snarare är det uppfattningarna om dem som kan behöva ändras.
Trots inriktningen mot compliance är det få texter som undersöker värdet av de åtgärder som compliance-kravet gäller.
Att vara compliant till kravet att ha bland annat en incidenthantering följs inte av en undersökning av effektiviteten i olika metoder för incidenthantering för att ta ett hypotetiskt exempel.
Att studera metoder och delta i metodutveckling förekommer dock inom rent tekniska frågeställningar.
Forskning är naturligtvis inte den enda källan till kunskap men det finns frågeställningar inom informationssäkerhetsområdet där jag uppfattar att en vetenskaplig metod är lämplig för att skapa nödvändig kunskap.
Det gäller både en slags grundforskning på ontologisk nivå och för insatser för att på ett vetenskapligt sätt skapa en evidensbaserad kunskap kring effektiviteten i olika, framförallt organisatoriska, metoder.
Denna typ av frågeställningar kan svårligen hanteras av enskilda informationssäkerhetsansvariga eller av enskilda organisationer.
Informationssäkerhetsområdet har stort fokus på techne vilket sannolikt leder till ineffektiva och bakåtblickande metoder.
Det är svårt att föreställa sig samma lösliga relation till evidens inom andra områden som trafiksäkerhet eller medicin trots att dessa områden måste sägas ha likartade tekniska eller hantverksmässiga bakgrund som informationssäkerhet.
Min tes är ju informationssäkerheten inte tycks hålla måttet och följaktligen anser jag kan det finnas anledning att även inom detta område inta den förkättrade normkritiska positionen och ifrågasätta även de mest etablerade sanningarna.
Att forskningen går från att anti-intellektuellt handla om ett slags hantverk till att ge frågorna den analytiska och intellektuellt utmanande behandling som de i sanning kräver.
Att gå från ett förhållningssätt som är konserverande till att bli ett explorativt som ligger i linje med den snabba organisatoriska och tekniska utveckling som sker.
För detta krävs kreativa och odogmatiska forskare som banar väg, skapar ny kunskap och ger oss andra underlag för en förbättrad praktik.
För att ta emot den mer utmanande kunskapsproduktion som skulle bli resultatet krävs en profession som har samma förhållningssätt inom techne och fronesis samt plattformar att mötas på.
Som jag skrev inledningsvis är en av de stora bristerna att den typen av plattformar saknas idag och att ingen nationell aktör känner sig manad att ta på sig ett sådant ansvar.
I nästa inlägg ska jag skriva om professionen – kanske finns det i en stärkt professionalisering en möjlighet till ett mer professionellt kunskapsbygge?
Hunnen så långt i mitt funderande får jag tips om en som visserligen är från 2008 men som bekräftar att några av de intryck jag beskrivit är problem kända sedan tidigare som exempelvis bristen på empiri och, som i citatet nedan, på teoribildning: .
Det tycks alltså finnas fler som funderar över från vilken kunskapsgrund vi egentligen utgår.
Här kommer ett litet mellanspel i min långa rant om varför informationssäkerheten inte funkar.
Istället ska jag ägna ytterligare några rader åt e-hälsa.
I slutet av september inträffade ett nytt stort it-haveri i Stockholms läns landsting (SLL) där flera sjukhus drabbades på ett sådant sätt att patientsäkerheten uppgavs .
I SLL:s digitala lösningar har större incidenter skett vid ett antal tillfällen under de senaste åren och det var bara någon månad sedan en mycket allvarlig händelse skedde i . Som samhällsmedlem och patient in spe med viss insikt om hur det ser ut på e-hälsoområdet är jag djupt oroad.
Trots att de många och allvarliga incidenterna som utgör en stor risk för patientsäkerheten och för patienternas integritet tycks insikten om de stora problemen med säkerhet inte engagera vårdens makthavare nämnvärt.
Pliktskyldigt sägs några fraser om säkerhet, sedan störtar samtalet vidare med muntra trumpetstötar om att Sverige ska bli bäst i världen på e-hälsa vilket inte förefaller innebära att vi ska bli bäst i världen på en e-hälsa.
Digitalisering beskrivs i närmast messianska former och diskussionsklimatet är av en sådan karaktär att det problematiserande som är nödvändigt för alla framgångsrika utvecklingsprojekt avvisas kategoriskt och sägs till och med vara ”förbjudet”.
Jag ser detta i sig som djupt problematiskt eftersom digitaliseringen, liksom alla andra större samhällsförändringar, innebär reella intressekonflikter som måste hanteras på ett rationellt sätt.
Detta gäller även inom informationssäkerhetsområdet specifikt där till exempel tillgänglighet och skydd mot obehörig åtkomst alltid måste balanseras mot varandra.
Historiskt har ,enligt min uppfattning, flertalet e-hälsolösningar hastats fram utan gemensam strategi i meningen långsiktig målbild och långsiktig planering där behov och beroenden är analyserade och utvärderade i en öppen diskussion.
Alltför ofta har mycket kostsamma och administrativt krävande lösningar (tänk exempelvis NPÖ) dykt upp utan att behov, säkerhet och kvalitet har klarlagts.
Efter att ett stort antal miljoner flödat in i de ofärdiga projekten har de försvunnit till en kyrkogård av misslyckade visioner.
När jag läste följande tweet kändes den därför som ett mycket tråkigt exempel på att vårdens makthavare tycks oförmögna att lära sig av tidigare misstag: I mitt förra inlägg hävdade jag att det är svårt att säga vad informationssäkerhet egentligen är.
En fråga som nära ansluter till detta är vad målet för arbetet med informationssäkerhet är.
Jag uppfattar den frågan som central att analysera både för informationssäkerhet som kunskapsområde och för den enskilda organisationen som inleder eller redan har ett fortlöpande arbete för att hantera den egna informationen på ett säkrare sätt.
Om målet inte är klarlagt är risken överhängande att informationssäkerhet blir ett självändamål.
Detta skulle strida mot en av mina mest grundläggande övertygelser;drig kan ha ett existensberättigande i sig själv utan måste se som en stödfunktion.
Då måste man dock veta vad det är som ska stödjas.
Informationssäkerheten så som vi känner den idag (om vi nu gör det) har en kort historia.
Med det menar jag inte bara begreppet informationssäkerhet vars tidigaste belägg tror jag finns på 1970-talet.
Däremot har vissa synsätt och metoder en betydligt längre historia.
Att skydda information mot obehörig åtkomst är något som skett med olika metoder är i princip lika gammalt som skrivkonsten i olika former.
Även metoder för spårbarhet som signering och för riktighet som vidimering blivit alltmer standardiserade i Europa sedan medeltiden och framåt, och då kanske främst som stöd i det alltmer intensiva ekonomiska livet.
Detta finns ganska väl beskrivet på annat håll men inom informationssäkerhetsområdet har traditionen ofta snarare hämtats från militär och polisiär verksamhet.
Målet för aktiviteterna har som en följd av detta formulerats utifrån militär/polisiära behov snarare än det från det civila samhällets behov av säkra ekonomiska transaktioner, rättssäkerhet för den enskilde och det enskilda företagets möjlighet att ha stöd för sina affärer.
I detta perspektiv är syftet med informationssäkerheten att framför allt skydda staten i någon mening, inte den enskilda verksamheten och allra minst den enskilda individen.
Den militär-polisiära bakgrunden påverkar fortfarande området starkt vilket gör målet för arbetet otydligt – är det nationens intresse som står i förgrunden eller är det vardagliga arbetet i en organisation som på bästa sätt försöker upprätthålla sin egen verksamhet med tillräcklig effektivitet och kvalitet?
Är det de externa kraven för att skydda statens intressen som ska vara det som ska lyftas fram som den främsta målbilden eller är det de interna behoven?
Innan någon börjar rasa ska jag vara tydlig: självklart menar jag inte att det går att enbart tillgodose externa krav eller enbart tillfredsställa interna behov – alla organisationer måste göra båda delar.
Vad jag menar är att det inte längre kan vara tillräckligt att se till externa krav i form av säkerhetsskyddslagen.
Inte heller går det enligt min erfarenhet att med någon större framgång att använda merparten av de informationssäkerhetsmetoder framtagna för militära eller polisiära syften i en tidspressad civil informationshantering.
Min slutsats är därmed att målet fört måste vara att stödja den enskilda organisationen, eller idag snarare informationssamverkande organisationer, att klarlägga sitt eget behov av informationssäkerhet inklusive olika typer av externa krav som riktas mot organisationen/organisationerna.
Föga revolutionerande slutsats kan tyckas, särskilt som den är i stark harmoni med ISO 27000 förutom i avseendet att standarden är helt inriktad på en autonom organisation och inte på e-samhällets allt tätare integration av informationshanteringen.
Om målet accepteras är dock konsekvenserna att ta på allvar.
Den viktigaste konsekvensen är informationssäkerhet som kunskapsområde måste kunna erbjuda effektiva sätt att avgöra vad som organisationens/organisationernas faktiska behov.
Det innebär också möjligheten att det måste finnas en öppenhet för att ledningen inte önskar särskilt mycket säkerhet utan är beredd att ta risken eftersom målet inte är så mycket säkerhet som möjligt.
När ledningen gör bedömningen kommer den att ta hänsyn till ett antal faktorer som den formulerar som verksamhetens behov inklusive att följa relevant lagstiftning.
Relevant lagstiftning är för de flesta civila organisationer i mindre grad säkerhetsskyddslagen medan alla organisationer som hanterar personuppgifter måste leva efter dataskyddsförordningen.
Myndigheter ska dessutom hantera sin information enligt offentlighetslagstiftningen vilket förutsätter god ordning på riktighet och spårbarhet.
Informationssäkerhet är alltså i sig inte ett mål utan ett medel som kan tjäna olika mål som exempelvis god integritet och god offentlighetsstruktur – vilket kan leda till intressanta intressekonflikter.
Detta ligger ganska långt ifrån det traditionella militära perspektivet att vissa handlingar som innehåller specifik information ska stämplas med sekretessmarkering och sedan hanteras enligt väl reglerade metoder.
Att kunna beskriva informationssäkerheten som ett medel är därför ett mål i sig.
Ett mål som ställer krav på kommunikation mellanoch verksamheten.
När verksamheten frågar ”vad ska informationssäkerheten egentligen vara bra för?” är detta en rimlig utgångspunkt och en bra prövosten förför att kunna motivera sitt arbete.
Jag tror vi idag är ganska långt ifrån denna typ av målformulering för vårt arbete.
Alltför ofta motiveras säkerhetsarbetet utifrån ett ganska alarmistiskt agiterande utifrån generella hot.
Verksamhetsanknytning i form av bedömning av de egna riskerna eller genom informationsklassning har ju i de genomförda undersökningarna inte visat sig förekomma i närheten av det som föreskrifter och annat stipulerar.
Den otydliga målbilden kan också göra det svårt att hitta en fungerande yrkesroll som ju snarast bör vara en konsultativ och stödjande funktion än en som söker sin legitimitet främst i externa krav som lagstiftning.
När omvärlden präglas inte bara av en stark teknikutveckling utan även en snabb organisatorisk förändring där offentliga och privata verksamheter delar informationshantering kan inte målet vara enbart att skydda statens intresse.
Istället måste målbilden vara tydlig men dynamisk och anpassad till den verksamhet som ska skyddas med hjälp av informationssäkerheten.
Först då kommer en verklig drivkraft att förbättra informationssäkerheten att komma inifrån verksamheterna själva.
Mitt eget utopiska mål är den osynliga informationssäkerheten, när den är så inarbetad i verksamhetens rutiner att ingen tänker på att den finns och risker ur säkerhetssynpunkt bedöms på samma sätt som andra risker utifrån hur de påverkar verksamhetens resultat.
I detta inlägg ska jag inrikta mig på några mer generella frågor för området som också bör vara frågor som den som inte lever och andas informationssäkerhet borde ställa.
Ett ganska modest krav är att på ett hyfsat entydigt sätt kunna definiera vad informationssäkerhet är.
Detta är dock svårare än vad det först kan förefalla.
Inte ens om det är ett slags tillstånd eller en förmåga är klart.
Jag ska här endast ta upp några av de frågor man kan ha anledning att ställa sig angående vad informationssäkerhet ska anses vara.
En definition som säkert kommer att användas av många är den som finns med i den terminologi som sammanställts inom SIS: Denna definition har övertagits av MSB i den nya föreskriften MSBFS 2016:1 trots att myndigheten i andra sammanhang talar om ”förmåga” alternativt ”tillstånd” i andra sammanhang.
Jag ska inte detta sammanhang gå in på ISO 27000 och dess översättning i detta sammanhang utan här endast koncentrera mig på det sätt som terminologin definierar begreppet.
I ordet ”bevara” finns en implicit föreställning om att en vald informationsmängd är en entitet som har initiala egenskaper som ska bibehållas i en kortare eller mindre hantering.
Detta är ett ganska egenartat synsätt som sannolikt är hämtat från ett tidigare tekniskt utvecklingsskede, kanske en slags databastänkande, där man är upptagen av transaktioner inom ett enskilt system.
Att ställa krav på informationens kvalitet före instoppandet i systemet eller vid sammanställning till nya informationsmängder ligger utanför definitionen.
I värsta fall skullet alltså leda till att felaktig information förblir felaktig eftersom då den ursprungliga riktigheten ”bevaras”.
Beskrivningen indikerar också ett statiskt förhållande där informationen liksom inkapslad färdas i ett system.
Detta stämmer inte heller särskilt väl med den informationsinfrastruktur som har växt fram där information hela tiden sammanställs, förändras och kommuniceras i nya strukturer.
Informationssäkerheten borde då syfta till att förändras och skapa en tillräcklig nivå av skydd under informationshanteringsprocessen/erna.
Personligen måste jag därför medge att ”bevarande” är en definition som inte känns relevant.
”Tillstånd” eller ”förmåga” är alternativ som skulle ge andra möjligheter men oavsett vilket begrepp som väljs borde det bygga på en mer Trots att informationssäkerhetsområdet inte bygger på tung akademisk forskning på en ontologisk nivå, till exempel rörande vad informationssäkerhet skulle sägas vara, finns det vissa hangups där det hänvisats till akademin.
Den sådan är begreppet ”spårbarhet” som av informationssäkerhetens purister inte anses ha samma autonoma värde som exempelvis riktighet och tillgänglighet.
Purismen i denna fråga känns inte särskilt väl underbyggd.
Mig veterligen inte finns någon begreppsmodellering genomförd över något av begreppen och inte heller är översättningen av den så kallade CIA-triaden ( och ) till konfidentialitet, riktighet och tillgänglighet klockren.
skulle knappast översättas till ”riktighet” i något annat sammanhang, särskilt som riktighet i SIS terminologi anges som vilket återigen antyder ett synsätt som utgår från databashantering.
Rent praktiskt är spårbarhet ett begrepp som är av stor betydelse i transaktionstäta verksamheter som bank, finans och sjukvård samt för att stödja integritetskrav.
Spårbarhet är också mycket tydligt kopplat till konkreta åtgärder som loggning – ändå väljs det bort utan närmare förklaring.
Detta är bara ett exempel på att själva grundelementen i beskrivningen av informationssäkerheten saknar verkligt definition vilket ger möjlighet till vitt skilda tolkningar och närmast trosläror om vad informationssäkerhet egentligen är.
Ett annat tolkningsproblem är skillnaden mellan informationssäkerhet å ena sidan och it-säkerhet å den andra.
Att de som inte har informationssäkerhet har svårt att uppfatta skillnaden är inte så konstigt men att även de som arbetar med informationssäkerhet vacklar i distinktionen är ett tydligt tecken på osäkerheten i begreppet informationssäkerhet.
För mig framstår det som att informationssäkerhet i i första hand är en organisatorisk stödfunktion som ska ge ledningen stöd i att styra sin verksamhets resurser så att de skyddar informationen på ett sätt som stöder verksamhetens mål.
Detta uppfattar jag också som kärnan i ISO 27000 som ju är helt inriktad på att skapa ett ledningssystem som ska ge en organisatorisk förmåga till styrning av informationshanteringen.
It-säkerhet är i detta perspektiv de tekniska åtgärder som ska vidtas för att svara på de krav som ledningssystemet ställer.
Många verksamma inom informationssäkerhetsområdet tycks inte dela denna uppfattning utan ser informationssäkerhet som synonymt med it-säkerhet.
Även denna basala fråga skulle behöva analyseras och få en mer allmänt accepterad förklaring.
Detta är bara några frågor där det enligt min uppfattning råder oklarhet och där utrymmet för analys och vidareutveckling är mycket stort.
I nästa inlägg ska jag ge mig på målet för arbetet mehöll häromveckan ett föredrag på Dataföreningen med ovanstående titel.
Min tes, eller mitt påstående snarare, är att arbetet med att få en fungerande informationssäkerhet inte fungerar särskilt bra.
Detta gäller både i den enskilda organisationen och på en nationell nivå.
Kanske överraskade föredragets inriktning några av de ganska många åhörarna eftersom det mer handlade om ”våra” interna problem, alltså vi som arbetar professionellt med informationssäkerhet och inte de yttre förhållanden som vanligtvis diskuteras.
Detta är dock frågor som jag funderat ganska länge på och där jag under föredraget förde fram ett antal aspekter som jag menar påverkar den nuvarande situationen med en otillräcklig informationssäkerhet.
I hopp om att fler i informationssäkerhetsbranschen ska känna sig motiverade att bidra med egna erfarenheter och reflektioner tänkte jag skriva några blogginlägg med utgångspunkt från det föredrag jag höll.
Först kanske påståendet i titeln ändå måste utvecklas något.
Visserligen är det svårt att säga vad ”fungerar bra” skulle kunna vara.
Detta understryks genom att det i hög grad saknas forskning på området och andra typer av offentligt redovisade undersökningar.
Det känns också otillräckligt att bara vidareförmedla utsagor från olika särintressen eller vad talskrivare lämnat till Anders Ygeman att framföra angående läget.
I den som sammanställdes av ett antal myndigheter 2015 bygger man sina spaningar på 103 angivna referenser.
Problemet är bara att den absoluta huvuddelen av referenserna är inriktade på en extern hotbild, i bästa fall något om incidenter i it-system som går att hänföra vissa specifika antagonistiska hot, men ingen av referenserna förefaller ha ägnat sig åt störningar i verksamheter.
Det vill säga störningar i informationshanteringen som påverkar verksamheten och som då lika gärna skulle kunna bero på hårdvarufel som vid Tieto-incidenten 2011 som på antagonistiska attacker.
Detta har naturligtvis inte hindrat rapportförfattarna att dra slutsatser om trender men för den som verkligen är intresserad av hur informationssäkerheten fungerar är det alldeles otillräckligt.
Låt oss ändå vara överens om att det finns starka indikationer på att det händer ett stort antal incidenter och att realiserade incidenter är ett tecken på att vidtagna säkerhetsåtgärder inte skyddar verksamheten på ett rimligt sätt.
En mer systematisk genomgång av incidenter som drabbat verksamheter och privatpersoner tror jag skulle visa att huvuddelen skulle gå att undvika med väl kända metoder som exempelvis bättre kontroll över uppdateringar i it-tjänster.
En nackdel med incidentbegreppet är att det har en tendens att enbart fånga upp mer uppseendeväckande och kanske antagonistiska situationer.
Störningar av mindre dramatisk karaktär men som kan påverka verksamheten sammantaget på ett mer negativt sätt får inte samma uppmärksamhet vilket kan leda till felprioriteringar i åtgärdsarbetet.
Ett annat sätt försöka bedöma omt är funktionellt är ett klassiskt compliance-perspektiv; att kontrollera om regler efterlevs.
Inte heller här finns ett stort generellt underlag att luta sig emot.
Inom offentlig sektor har dock de senaste åren har ett antal rapporter visat att den systematiska informationssäkerheten i myndigheter, landsting och kommuner har stora brister, ja till och med att den vissa fall tycks bli sämre snarare än bättre.
Sammantaget är alltså inte bilden ljus.
I och med att informationssäkerheten tycks fungera illa i de enskilda organisationerna kan den knappast fungera bättre på en aggregerad nationell nivå.
Kanske måste ändå förhållandet att vi inte kan ge en uppfattning om hur bra eller dålig informationssäkerheten det tydligaste tecknet på att det inte fungerar bra.
För att komma in på kärnfrågorna är det tre (bort)förklaringar till varför informationssäkerheten inte fungerar som jag skulle vilja utesluta: Eftersom det inte heller finns en sammantagen beskrivning av hur mycket pengar som satsas på att förbättra informationssäkerheten är det inte möjligt att säga att det är ekonomiska skäl som förhindrar utvecklandet av en bättre säkerhet.
I Riksrevisionens senaste om informationssäkerhet beskrivs också svårigheterna med att försöka bedöma kostnaderna.
Nationellt har det också investerats inte obetydliga medel i olika myndigheters stöd för informationssäkerhet.
Eftersom inte effekten av dessa medel utvärderats mer än mycket översiktligt av Riksrevisionen är det svårt att säga att det skulle vara för litet eller för mycket.
Min poäng är denna: om det finns beskrivet vad som bör göras för att reducera olika risker för verksamheten är det svårt att uppskatta vilka medel som skulle behövas och ledningar på olika nivåer är, med all rätt, tveksamma till att tillföra ytterligare pengar.
Bollen är därmed tillbaka som en skråfråga: om vi anser att det finns ekonomiska orsaker till att informationssäkerheten inte fungerar så måste vi bli mycket bättre på att beskriva vad pengarna skulle användas till och vad organisationen (eller nationen) skulle ha för nytta av det.
Det här är ju en verklighetsbeskrivning som ofta återkommer och som på något underförstått sätt antas utgöra ett skäl till att informationssäkerheten inte håller måttet.
Men vad är egentligen kausaliteten i det här sammanhanget, om det nu finns en sådan?
Om informationssäkerhet vore en aspekt som vunnit hög acceptans i samhället, i organisationerna, hos utvecklare av it-tjänster m.fl.
så skulle ju frågeställningen vara integrerad som en naturlig del i utveckling av tjänster, produkter och infrastruktur.
Iställeten kostnad och en motpol till effektivitet vilket gör att lösningar för att förbättra säkerheten, om de över huvud taget implementeras, inte är effektiva och ofta ligger som olja på vattnet, ofullständigt integrerade.
Som en jämförelse skulle det vara svårt att tänka sig att trafiksäkerheten skulle vara något som tilläts hamna i bakvattnet numera.
Så kanske det var i ett tidigare skede men genom ett idogt forsknings- och opinionsarbete har säkerhet en mycket hög prioritet i trafikpolitiken.
Återigen faller alltså ansvaret tillbaka på oss själva och förmåga att sälja in informationssäkerheten.
Det är få meningar som jag så ofta hört upprepas i professionella sammanhang som uttrycket: ”ledningen förstår inte”.
Ofta blir detta den tröstande förklaringen till varför man inte når framgång med sina informationssäkerhetsprojekt och självklart ligger det mycket i det.
Det går inte att smyga in informationssäkerheten i organisationen bakom ryggen på ledningen.
Även här handlar det dock om att kunna presentera vikten av informationssäkerhet så ledningen ser poängen ur sitt perspektiv – att det gynnar organisationens möjlighet att uppfylla sitt uppdrag.
Ser ledningen inte behovet av informationssäkerhet är det inte heller rationellt att införa exempelvis ett LIS.
Ledningens bristande förståelse kan därmed, menar jag, inte ses som en autonom förklaring till bristande informationssäkerhet utan som att ledningen inte fått tillräckligt bra argument för att organisationen ska bedriva ett systematiskt.
I de följande inläggen ska jag lyfta fram förhållanden som jag ser både som verkliga orsaker till bristande informationssäkerhet och som möjliga att påverka för oss som arbetar med informationssäkerhet.
Sjukvårdsminister Gabriel Wikström har nu uttalat att uppgifter kring aborter ska hanteras som övriga patientuppgifter i vården .
Detta är intressant eftersom hans resonemang ställer ett antal principiella frågor på sin spets.
För att inte bli alltför tjatig kommer jag här att lämna den ständigt återkommande falska motsättningen mellan patientsäkerhet å ena sidan och integritet å den andra där hän även om den är högst relevant.
Insamlandet av känsliga personuppgifter i register sker för det ”greater good”, alltså inte för den enskilda patientens patientsäkerhet.
Få, särskilt i Sverige, skulle argumentera emot den medicinska registerforskningens stora betydelse både för enskilda och för samhället i stort.
Det finns en mycket lång tradition att använda medicinska och andra personuppgifter för forskningsändamål så det får sägas finnas en stor acceptans att vara leverantör till allehanda forskning.
Betydelsen av möjlighet till registerforskning har också fått en aktuell beskrivning i Bengt Westerbergs 2014 .
Förutsättningen för att upprätthålla legitimiteten i registerforskningen är att patienternas integritet i hanteringen vilket Bengt Westerberg uttryckligen hade att utreda.
Han har dock fått kritik för att inte tillräckligt att beakta den intresseavvägning som måste göras och inte heller att ta hänsyn till den kritik som Datainspektionen framfört gällande brister i säkerheten i registerhanteringen.
När Gabriel Wikström nu presenterar sitt förslag lyser hela denna diskussion med sin frånvaro.
Istället sker en märklig omformulering där integriteten i hanteringen av patientuppgifter ses som att man tabubelägger vissa åkommor.
Den ganska självklara och lagstadgade uppfattningen att känsliga uppgifter om hälsa ska hanteras så att de bara är tillgängliga för de som deltar i vården av den enskilda patienten framställs som en litet gammaldags känsla av skam.
Underförstått ska en modern och neurosfri människa glatt dela med sig av dessa uppgifter till de instanser och företag som tycker sig ha nytta av dem.
Förutom att det strider mot det etiska ställningstagande som finns hos allmänheten och i rådande lagstiftning är det också djupt störande ur andra synpunkter.
Uppgifter om sexuell hälsa inklusive abort kan utgöra en verklig risk för patienten om de kommer i orätta händer.
Risken för hedersvåld och vanlig ”hederligt svensk” kvinnomisshandel finns om uppgifter om abort kommer i orätta händer.
Tyvärr har även RFSU som annars brukar vara vaksamma för kvinnors rättigheter negligerat denna .
Ministern hävdar att det saknas anledning för oro.
Registren kommer att omges med nödvändig säkerhet och dessutom finns det inga uppgifter om incidenter i tidigare registerhantering.
Båda dessa påståenden måste som ytterst tveksamma.
Säkerheten i registerhanteringen är en förlängning av säkerheten hos de vårdgivare som lämnar uppgifter till registren.
Det räcker kanske med att ta ett enda aktuellt som visar på skakigheten i den generella informationssäkerheten i sjukvården och dessutom tillägga att det i dag inte sker någon systematisk insamling av it-incidenter i sjukvården över huvud taget.
Jag vågar, utan att darra på manschetten, att informationssäkerheten som är förutsättningen för integriteten i sjukvården är klart undermålig och att ministern därför saknar fog för sitt lugnande besked kring hanteringen.
Datainspektionens utlåtanden om själva registren indikerar även de på påtagliga brister.
Det är inte bara för forskning som sjukvårdshuvudmännen och andra vill återanvända uppgifter insamlade i samband med patientens vård.
I en något märklig förra veckan hävdar ett antal administratörer med emfas rätten till patientuppgifterna.
Självklart finns ett ekonomiskt och etiskt intresse av att säkerställa att de ersättningar som privata vårdgivare erhåller från sjukvårdshuvudmännen verkligen går till vård av patienter.
Det är dock ett logiskt felslut att med svepande formuleringar om tystnadsplikt hävda att det innebär att administratörer hos landstingen måste ha direktåtkomst till alla patienters person- och hälsouppgifter hos de privata vårdgivarna.
För att försöka förtydliga frågan.
Det finns starka och legitima skäl att använda patientuppgifter för andra ändamål än för vården av den enskilda patienten.
Det finns också laglig rätt att göra detta för sjukvårdshuvudmän och vårdgivare.
Men detta måste ske så att patientens integritet kan skyddas och det är sjukvårdshuvudmännens ansvar att skapa säkra lösningar för både uppföljning och forskning.
Detta är naturligtvis ingen omöjlighet att åstadkomma om viljan finns.
Istället för att formulera indignerade debattinlägg om hur integriteten hindrar sjukvårdshuvudmännens administration är det detta man bör koncentrera sig på.
Jag skrev själv ett i Läkartidningen 2010 om möjligheten att avidentifiera patientuppgifter för att öka säkerheten.
Jag tycker fortfarande att det är den typen av lösningar som borde analyseras närmare, särskilt nu när informationssystem inom hälso- och sjukvård i allt högre grad blivit attraktiva mål för externa parter.
Aktörer inom hälso- och sjukvårdsområdet måste också ta risken med integritetsbrott för den enskilda patienten på allvar.
Och när det gäller abortregistret och de undersystem som ska leverera information till registret så måste hanteringen utformas så att det skyddar den egentliga riskägaren, nämligen den kvinna som riskerar sitt liv och sin hälsa om informationen kan läsas av fel personer.
2011 blev jag utsedd som deltagare i en referensgrupp när Socialstyrelsen skulle revidera sin föreskrift om informationshantering och journalföring inom hälso- och sjukvård SOSFS 2008:14.
Föreskriften innehöll en hel del om informationssäkerhet men vården har i ringa grad efterlevt dessa regler vilket Socialstyrelsens egna visade redan 2011 som till exempel gällande Karolinska universitetssjukhuset.
Vårdens informationssäkerhet har knappast blivit bättre sedan dess och det kan väl därför ses som positivt att Socialstyrelsen nu 2016 äntligen ha kommit i mål med den nya föreskriften.
har beteckningen HSLF-FS 2016:40 Journalföring och behandling av personuppgifter i hälso- och sjukvården.
I korthet innebär föreskriften och de allmänna råden ett tydligare krav på vårdgivare att införa ett ledningssystem för informationssäkerhet så att rätt nivå på konfidentialitet, riktighet, tillgänglighet och spårbarhet kan utvecklas och upprätthållas.
Några reflektioner kan dock göras i samband med föreskriftens ikraftträdande.
En föreskrift är en reglering på detaljerad nivå.
När det gäller vårdens informationssäkerhet och e-hälsa saknas dock en strategisk inriktning och en beskrivning av hur vårdens informationshantering på övergripande nivå ska styras så att informationssäkerheten ska förbättras.
En överenskommelse har gjorts mellan staten och Sveriges Kommuner och Landsting som kalla 2025 som en ny version av den tidigare Nationella e-hälsostrategin.
Vision är nog rätta benämningen med tanke på lösligheten i inriktningen där visserligen ”säkerhet” nämns ett antal gånger men under mycket oklara former.
Den heta frågan vem som egentligen har ansvaret för att säkerheten ska bli bättre undviks sorgfälligt.
Även på samma fluffiga sätt skrivit om att det är bra med informationssäkerhet men inte hur detta ska gå till.
Undertexten är påfallande oftaternativt integritet måste ”balanseras” mot exempelvis patientsäkerhet eller effektivitet, d.v.s.
att informationssäkerhet och skyddet av integriteten skulle hindra att patienten skulle få bra och effektiv vård.
Det enda som är tydligt är att många inflytelserika personer inom e-hälsoområdet tycks ha en dimmig uppfattning om vad informationssäkerhet är och därmed inte ser att rätt utformad informationssäkerhet leder till såväl till bättre patientsäkerhet och effektivitet som till skydd för integritet.
Den aktuella föreskriften, som kan ses som den nedersta delen i en hierarki av styrande dokument, fångar upp detta men eftersom den mer övergripande styrningen inte går i samma riktning riskerar föreskriften att liksom sin föregångare att bli utan verkan.
Socialstyrelsen har endast mandat att rikta föreskrifter till de enskilda vårdgivarna.
Föreskriften säger därmed egentligen till varje landsting eller privat vårdgivare att de ska ha ett ledningssystem för och det är naturligtvis en viktig grundprincip.
Men alltmer av vårdens informationshantering sker utanför vårdgivarens kontroll exempelvis i form av att en privat vårdgivare är tvungen att använda den upphandlande sjukvårdshuvudmannens system och rutiner.
Framför allt sker dock alltmer av hanteringen med stöd av gemensamma och nationella tjänster som vårdgivarna i praktiken är nödgade att använda för att kunna bedriva sin verksamhet och föreskriftens räckvidd innefattar exempelvis inte E-hälsomyndigheten eller Inera.
Detta blir ett olösligt dilemma för den säkerhetsmedvetna vårdgivaren.
Å ena sidan stipulerar det egna ledningssystemet att man måste formulera krav på säkerhet hos externa parter som hanterar ens information, å andra sidan har man ingen möjlighet att göra det i förhållande de stora aktörerna som hanterar alltmer av ens information.
Kvar står vårdgivaren med ansvaret gentemot patienterna och den bristande legitimiteten hos det egna ledningssystemet.
Föreskriften matchar alltså inte behovet av styrning av informationssäkerhet i den alltmer omfattande e-hälsan.
Visionen för e-hälsa 2015 sägs vara: I detta borde ingå en stor satsning på att förbättra informationssäkerheten inom vården.
Det finns dock ett ömsesidigt ointresse där e-hälsans banerförare i mycket liten omfattning ser betydelsen av informationssäkerhet samtidigt som instanserna med ansvar för informationssäkerhet inte aktivt stödjer vården.
Svaret på frågan i rubriken är nog tyvärr: nej, inte särskilt mycket.
Vad som skulle behövas vore en ordentlig utredning av vårdens behov av informationssäkerhet som skulle kunna ligga till grund för framtidens visioner.
En bredare utredning skulle också kunna lägga grunden för en bättre kommunikation mellan vårdens representanter och företrädare för informationssäkerhetsområdet.
Med en samsyn kring behov och möjligheter finns en väg framåt som skulle gagna inte bara de enskilda patienterna utan samhället i stort.

men en formaliserad utbildning kollegial kontroll attribut en episteme techne fronesis är säker konfidentialitet riktighet tillgänglighet För litet pengar Att den generella it-utvecklingen går så mycket snabbare än informationssäkerhetsutvecklingen att gapet blir större och större Ledningen förstår inte

Meny Inläggsnavigering

En profession behöver metoder

Behovet av en profession Krav på en profession Informationssäkerhetens professionalisering – hur ska vi gå vidare?
Kunskap och informationssäkerhet Episteme, Fronesis, Techne Intryck Och vad blir konsekvensen?
Vad är informationssäkerhet?
Låt oss vara överens om att det inte fungerar bra Tre saker som inte är huvudproblemet

Definition av kunskapsområde Krav på teoretisk och praktisk kunskap som säkerställs genom etablerad procedur Normer och kultur

MENU MENU Postat av Postad i , , Tagged , , postat av Postad i , , , , Tagged , , , , , , Postat av Postad i , , , Tagged , , , , Postat av Postad i , Tagged , , , , , postat av → Postad i , , , Tagged , , , , , Postat av Postad i , , Tagged , , , Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , Tagged , , , Postat av Postad i , , , Tagged , , , Postat av Postad i , , Tagged , , , ← → Sök efter:

Confidentiality, integrity availability Integrity skydd mot oönskad förändring sin egen verksamhet År 2025 ska Sverige vara bäst i världen på att använda digitaliseringens och ehälsans möjligheter i syfte att underlätta för människor att uppnå en god och jämlik hälsa och välfärd samt utveckla och stärka egna resurser för ökad självständighet och delaktighet i samhällslivet.

Av en händelse ser jag att Daniel Forslund, liberalt landstingsråd för (L) i Stockholms läns landsting med ansvar för innovation, eHälsa, IT-utveckling och patientnära tjänster, på en PR-site för ett it-bolag gör ett intressant uttalande .
Sammanhanget för uttalandet kan i sig tyckas symptomatiskt med tanke på den ofta litet väl nära relation som funnits mellan sjukvårdspolitiker, landstingstjänstemän och it-leverantörerna men den frågan lämnar jag för tillfället.
Det som är intressant är följande avsnitt apropå de tre stora sjukvårdshuvudmännens satsning på en ny it-plattform: För den medborgare och/eller patient som inte haft insyn vare sig i den rådande ideologin inom sjukvården eller i den praktiska verkligheten måste detta uttalande vara ganska häpnadsväckande.
Är det inte en självklarhet att integritet och patientsäkerhet måste kunna upprätthållas samtidigt?
Tyvärr är svaret att under de senaste decennierna har integriteten i sjukvården steg för steg nedmonterats både som värdering och i utformningen av den informationshantering som ska stödja vårdprocesserna.
Detta är inte enbart min personliga uppfattning utan finns även som en av de slutsatser som Integritetskommittén dragit i sin kartläggning ”Hur står det till med integriteten” http://www.regeringen.se/pressmeddelanden/2016/06/kartlaggning-identifierar-allvarliga-risker-for-den-personliga-integriteten/.
Tyvärr har inte de utredningar som skett inom e-hälsoområdet heller sett detta som en prioriterad fråga.
Förhållningssättet till integritet som funnits med i digitaliseringsprocessen av vården ända sedan dess inledande faser är att det har målats upp en motsatsställning mellan patientsäkerhet och integritet.
Det har också funnits ett mycket svagt intresse hos sjukvårdshuvudmän, vårdgivare och it-leverantörer att göra den insats som krävs för att få en styrning av informationshanteringen och systemen/tjänsterna så att båda dessa värden kan uppnås samtidigt.
Min tolkning är att man istället anpassat etik och lagstiftning efter tekniska brister.
Integritetsfrågorna har också lyfts bort från de myndigheter som normalt arbetar med att reglera och tillsyna informationshanteringen i vården, t.ex.
IVO och tidigare Socialstyrelsen.
Tidigare skedde en gemensam intresseavvägning mellan patientssäkerhet och integritet inom samma myndighet som dessutom hade vården i sin helhet som uppdrag.
Nu förväntas Datainspektionen med sina begränsade resurser och mandat försöka styra hanteringen av personuppgifter i rätt riktning inom vården.
Intresseavvägningen mellan patientssäkerhet och integritet har därmed flyttats till den enskilde vårdgivaren som ska uttolka de olika myndigheternas icke samordnade reglering i en informationshantering som däremot blir alltmer gemensam.
Dessutom har tillsynen av de regler för skydd av integritet som faktiskt finns varit otillräcklig.
Det är inte enbart tekniken som varit orsak till att integritetens allt lägre prioritet.
Både organisationsförändringar och förändrade vårdformer har starkt påverkat synen på avgränsning och ansvar för informationen.
För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård.
Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades).
Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman.
Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän.
Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring.
Vid sidan om offentlighetslagstiftningen fanns patientjournallagen som gav vårdgivarna ansvar att både säkerställa patientsäkerhet och integritet.
Socialstyrelsen hade tillsyn enligt patientjournallagen även i de delar som gällde att värna patientens integritet.
Det fanns också en yrkesgrupp som var utbildad för att professionellt hantera vårdinformation – läkarsekreterarna.
Vi som under stark motvind försökt driva integritetsfrågan i sjukvården har bemötts med i princip alla de logiska fallacier som finns i den här både lärorika och underhållande uppräkningen .
Särskilt populära har i min anekdotiska erfarenhet varit: Det kanske vanligaste har ändå varit härskartekniker som tystnad och osynliggörande vilket kanske varit det tråkigaste eftersom det lett till att en mer seriös diskussion inte förts och viktiga intresseavvägningar inte gjorts.
Själv hoppas jag på en mer rationell diskussion som klarar att beakta flera intressen samtidigt.
Integritet har trots detta blivit en allt viktigare fråga i e-samhället och det är naturligtvis positivt att makthavare inom sjukvården också uppfattar det.
Det är bara att hoppas på att det finns en seriös vilja att verkligen åstadkomma detta i 3R-projektet även om det är svårt att tolka in det i det dokument som det hänvisas till http://www.sll.se/Global/Politik/Politiska-organ/Landstingsfullmaktige/2016/2016-06-14-15/forslag-41sid19.pdf.
I beslutet om upphandlingsunderlag står det: Inte så mycket om integritet alltså.
Frågan i rubriken får vara obesvarad ett tag till.
It-incidenter och andra störningar som påverkar informationshanteringen är och kontinuitetshantering i ett informationssäkerhetsperspektiv är en allt hetare fråga.
Detta förstärks naturligtvis av att vårt beroende till informationshanteringen är i ständig tillväxt liksom riskerna, både de medialt tacksamma antagonistiska hoten och de mer vardagliga som uppdateringar som misslyckas, buggar och hårdvaruproblem.
Utan tillgång till information och kommunikation befinner sig organisationer snabbt i krisläge.
Stora resurser ofta behövs för att åtgärda orsaken till incidenten och för återställelse till normalfunktion men också för att upprätthålla verksamhetsprocesserna med reservrutiner.
I idealläget finns en planering för åtgärder, återställelse och verksamhetsprocessernas reservrutiner samt, inte minst viktigt, för kommunikation med medarbetare och externa intressenter.
Planerna är övade, samordnade och ständigt förbättrade.
Organisationen är också medveten om att det inte bara är tillgängligheten som påverkas av avbrottet, det finns även stora risker för obehörig åtkomst och för negativa konsekvenser för riktighet och spårbarhet.
I verkligheten är i idealläget ganska långt borta vilket inte bara är en personlig erfarenhet utan framgår också från de undersökningar som gjorts av statliga myndigheter och kommuner.
Hur det står till i privata företag finns det ingen lika heltäckande undersökning av men indicierna är starka på en liknande situation även där.
Tyvärr gäller detta även verksamheter som allmänheten har stora förväntningar på ska kunna fungera även under svåra omständigheter, som sjukvården.
Den kanske mest genomarbetade analysen av dessa litet skrämmande förhållanden gjordes av Tom Andersson i en mycket intressant av läkemedelshanteringen i Västra Götalandsregionen.
Utöver de reflektioner som Tom Andersson själv gör i studien finns det några övergripande faktorer som jag anser gör det svårt för den som villa skapa en fungerande kontinuitetshantering i den egna organisationen.
Den kanske mest avgörande är att i princip alla offentliga och privata organisationer idag av sina uppdragsgivare förväntas planera enbart för ett ständigt normalläge.
Att i budgetdiskussioner hävda att det behövs en marginal, litet luft i systemet, litet extrakapacitet att ta till i händelse av störningar skulle i bästa fall väcka förvånade huvudskakningar.
Lean är möjligen en organisationsfilosofi på utgående men önskan att slimma verksamhetsprocesserna till allra nödvändigaste är numera etablerad i flertalet organisationer.
Tyvärr är det oundvikligt att en fungerande kontinuitetshantering kräver att organisationen ska klara situationer utanför normalläget vilket innebär extra resurser både för själva åtgärds- och återställelsearbetet och för reservrutiner som dessutom måste övas för att fungera.
En stor del av tidigare offentligt finansierad och offentligt utförd verksamhet överförts till privata utförare utan att avtalen innehåller krav på att utföraren ska ha en kontinuitetshantering vilket ytterligare försvårar situationen.
Även den som fått budget och sanktion för att skapa en kontinuitetsplan för informationshanteringen i den egna organisationen kommer att ha en svårhanterlig uppgift framför sig.
Informationshanteringen sker inte längre enbart i den egna organisationen utan är en del i ett komplext samspel med andra.
En processkartläggning över en verksamhetsprocess beroenden till olika tjänster och resurser för informationshantering som dessutom ständigt förändras är ett nödvändigt underlag.
Att få kontroll över denna helhet och skapa förutsättningar för att kunna hantera störningar är inget som går att lösa i ett projekt utan kräver ett systematiskt och uthålligt arbete där många interna och externa parter måste vara involverade.
I många sammanhang finns den outtalade förutsättningen att organisationer har en generell kontinuitetshantering som det går att komplettera med informationssäkerhetsaspekterna.
I ett sådant scenario finns redan modell och andra viktiga komponenter som ansvarsfördelning på plats.
Tyvärr är min erfarenhet att detta sällan är hur verkligheten beskaffad i flertalet organisationer.
Vad som finns är kanske en krisledningsorganisation men ingen faktisk planering eller övning av händelser då centrala resurser faller bort.
Den informationssäkerhetsansvarige får då arbeta i underläge och ta ansvar för mycket mer än vad som ligger i rollens mandat och uppgifter.
Här tror jag många informationssäkerhetsansvariga resignerar och med viss förtvivlan grubblar över hur de ska kunna göra det som de ändå vet är en mycket viktig del i uppdraget.
Varken för den generella kontinuitetshanteringen eller den som är specifikt inriktad på informationssäkerhet finns det mycket stöd att hämta.
Detta trots att förmågan att upprätthålla den verksamheten vid större störningar och kriser är ett ansvar som i det svenska krishanteringssystemet ligger på den enskilda organisationen.
Det finns naturligtvis standarder och konsultföretag som kan hjälpa till men någon nationell modell eller metod finns inte etablerad även om detta efterfrågats av bland annat kommuner.
Att plocka fram en egen modell eller metod framstår säkerligen för de flesta medelstora och små organisationer som övermäktigt.
Ur ett samhällsperspektiv är det också en suboptimering om alla organisationer ska ta fram egna varianter som dessutom inte är koordinerade sinsemellan.
Denna dystra bild får ändå inte göra oss passiva eftersom kontinuitetshanteringen är så betydelsefull för oss både i den enskilda organisationen och på en samhällsnivå.
Nedan följer några tips som ändå kan underlätta arbetet.
Det finns vissa återkommande anekdotiska exempel inom informationssäkerhetsområdet som ska beskriva en situation eller ett problem.
Vissa har jag säkert använt själv vid olika tillfällen.
Men när man hört något litet för många gånger börjar i alla fall jag begrunda vad som är den egentliga innebörden i exemplet – vad vill man ha sagt?
Och därefter funderar jag på vad effekten hos åhörarna, blir den verkligen den som eftersträvas?
Ett sådant återkommande exempel i presentationer, föreläsningar och utbildningar handlar om lösenord.
Antingen genom att beskriva det hela som en personlig upplevelse eller en mer generell företeelse så säger vi (även jag har gjort det någon gång för länge sedan…) att användare haft lösenord på post it-lappar fästa vid skärmen eller under skrivbordsunderlägget.
Samma exempel återkommer i tips för bättre säkerhet som och .
Det är uppenbarligen en bild som säkerhetsmänniskor finner effektfull trots att skrivbordsunderläggen i ärlighetens namn numera är sällsynta.
Ofta berättas detta med ett överseende, eller ännu värre; ett smått föraktfullt, leende som låter påskina att medarbetarna inte förstår sig på alternativt inte bryr sig om säkerhet.
Min erfarenhet är att detta är en helt felaktig uppfattning.
I princip alla verksamheter som jag jobbat i, och inte minst inom vården, är de allra flesta medarbetare mycket engagerade i att göra ett bra jobb.
Detta inkluderar även att följa de säkerhetsregler som finns.
Att sedan lösenordshanteringen ändå kan vara litet si och så tror jag beror på flera faktorer.
En väsentlig elefant i rummet är att det jobbigt att hantera lösenord på det sätt som sker nu.
Sedan mitten av 90-talet har det utlovats single sign-on-lösningar men få har hittills skådat fungerande lösningar i verkligheten.
Istället fortsätter det som förut med allt längre lösenord, olika lösenord i de allt fler applikationer som används på arbetsplatserna och med krav på byten var tredje månad.
I en stressig arbetssituation kan jag inte annat än ha förståelse för att medarbetare söker genvägar.
I vårt privatliv kan vi använda olika lösningar som automatgenererar hyfsat säkra lösenord men i arbetsmiljön är många kvar på ruta ett.
En annan faktor är kommunikationen om lösenord.
När jag läser och hör hur reglerna för lösenordshantering kommuniceras med medarbetare är det sällan med någon motivation eller beskrivning av vari risken ligger om lösenordet är för kort eller används längre än ett kvartal.
Detta tror jag är en mer generell problematik inom säkerhetsområdet.
Alltför ofta använder vi olika former av envägskommunikation och dessutom utan att ge tillräckligt bra förklaringar hur bristande tillämpningar av säkerhetsåtgärder påverkar kvaliteten och effektiviteten i verksamheten.
Jag ser det hela framför mig som en våg där goda förklaringar gör säkerhetsåtgärden uppfattas som motiverad och krångligheten acceptabel.
Slutligen är ett problem att det tycks finnas mycket litet evidens om lösenord, hur långa de bör vara och hur ofta de bör bytas.
Vi går på det som litet slängigt brukar kallas ”best practice” vilket kan tolkas som ”vi tror att det här det bästa sättet att göra det men har inga belägg för det”.
Att beläggen är svaga gör vår egen argumentation svag vilket gör det svårare att övertyga andra vilket sannolikt är en förklaring till att vi hellre kör ut en oemotsagd regel än har en mer djuplodande diskussion om risker med verksamheten.
Jag tror inte medarbetare känner sig särskilt motiverade av den här typen av exempel hur ”dumma” andra medarbetare i samma situation är.
Förmodligen kommer istället antingen en viss skamsenhet över att man inte själv heller alltid lyckas leva upp till de krångliga reglerna eller så fnyser man invärtes och tänker: ”det är ju lätt att säga när man inte vet hur det fungerar här och hur stressigt det är”.
I båda fallen tapparkontakten med sin publik.
Sammantaget drar jag tre slutsatser av ovanstående.
Att det inte är så konstigt att medarbetare gömmer lösenord under de imaginära skrivbordsunderläggen.
Att vi måste hitta bättre fungerande säkerhetslösningar både i bemärkelsen att de fungerar effektivt mot beskrivna risker och i bemärkelsen att de går att använda på ett inte alltför tyngande sätt för medarbetare.
Att vi måste bli bättre på att belägga de säkerhetslösningar vi föreslår med evidens istället för att hänvisa till ”best practice”.
Med tanke på att behovet av informationssäkerhet kommer att öka alltmer måste vi kunna både för oss själva och för de organisationer vi verkar i visa att vågen är i balans; att de tyngande rutiner och åtgärder vi förordar är motiverade.
Förhoppningsvis har det inte förbigått någon att2018 kommer att ersätta den svenska personuppgiftslagen.
Dataskyddsförordningen innebär att den enskildes rättigheter gällande skydd av personuppgifter stärks medan kraven blir strängare för myndigheter, företag och andra organisationer som hanterar personuppgifter.
Ett förbättrat integritetsskydd är verkligen välkommet med tanke på hur det ser ut på integritetsfronten idag.
Den kartläggning av som genomförts av Integritetskommittén genomfört (för transparensen skull är det väl bäst att meddela att jag suttit som expert i kommittén) visar på allvarliga brister i skyddet för den enskildes integritet i olika verksamheter.
Särskilt bekymmersam beskrivs situationen i hälso- och sjukvården vilket inte på något sätt förvånar den som har någon inblick i hur sjukvårdens informationshantering är utformad idag.
Jag kommer att återkomma till den fråga i ett senare inlägg men för den intresserade går det bra att ladda ner utredningen i sin helhet .
Ett kapitel där jag varit närmare involverad handlar om integritet och informationssäkerhet.
Dessa två storheter är nära länkade i ett antal avseenden.
Skyddet för den personliga integriteten ingår med självklarhet i aspekten ”konfidentialitet” och att skapa förutsättningar för att upprätthålla integritet är därmed ett mål fört i en organisation.
Informationssäkerhetsarbetets arsenal av åtgärder är de samma som måste användas i skyddet för integriteten.
Detta kan tyckas vara självklarheter och sammankopplingen har gjorts på det nationella planet exempelvis i den så kallade Infosäk-utredningen som lade fram sitt slutbetänkande Säker information.
I utredningen föreslogs som en av tio mål i en svensk informationssäkerhetsstrategi vara att skapa förtroende, trygghet, säkerhet, och öka integritetsskyddet.
Tråkigt nog kan detta ses som en startpunkt för en nu decennielång tradition i det nationellat (liksom i e-förvaltnings- och e-hälsosatsningar på nationella planet); att säga att integritet är ett viktigt mål men inte komma med några konkreta förslag på åtgärder för att uppnå målet.
Se även , och .
I NISU var utredarens uppdrag bland annat att: Uppdraget kan tolkas som något otydligt då ordet integritet visserligen ingår men sannolikt i samma betydelse som det engelska Detta är ett återkommande problem som , att begreppet integritet används i två helt olika betydelser inom informationssäkerhetsområdet.
Den första betydelsen är den definition av den personliga integriteten som återfinns exempelvis i personuppgiftslagen.
Den andra har sitt ursprung i EU:s definition av informationssäkerhet där användningen av begreppet är synonymt med det engelska .
Begreppet avser i detta sammanhang att en databas, ett nätverk, ett system alternativt en informationsmängd är skyddad från oavsiktlig förändring eller förlust av information.
NISU väljer att över huvud taget inte behandla den personliga integriteten: Av vilken orsak utredaren gör denna avgränsning motiveras inte närmare.
Därmed avviker NISU från det förhållningssätt som exempelvis ENISA och OECD rekommenderar.
The European Union Agency for Network and Information Security (ENISA) har uppdraget att samordna EU:s arbete med nät- och informationssäkerhet.
Integritetsfrågorna är en inte oväsentlig del av ENISA:s arbete där värnet av den personliga integriteten ses som en förutsättning för den it-utveckling som ska ge en viktig grund för den ekonomiska utveckling som eftersträvas för Europa.
Som en följd av detta har ENISA genomfört olika insatser som bland annat resulterat i ett antal publikationer som behandlar integritet från policynivå ner till teknisk tillämpning.
ENISA gjorde 2014 en ambitiös guide som beskriver hur skyddet av integritet kan utformas i praktiken i it-relaterade tjänster och system.
De har här utvidgat begreppet för konceptet till att gälla Privacy and Data Protection by Design.
I inledningen till vägledningen summeras integriteten i ett EU-perspektiv från ett överordnat värde till tekniska åtgärder som byggs in i it-lösningar: Även för OECD (Organisation for Economic Co-operation and Development)har informationssäkerhet och integritet ett nära samband vilket bland annat demonstreras av en arbetsgrupp för informationssäkerhet och integritet (Working Party on Information Security and Privacy in the Digital Economy – WPSPDE).
Från Sveriges sida har Post- och telestyrelsen (PTS) deltagit i arbetet.
2015 presenterades den senaste vägledningen i informationssäkerhetsfrågor, Digital Security Risk Management, där ett viktigt paradigmskifte genomförts då man säger att informationssäkerhet inte är en teknisk fråga utan en ekonomisk.
Informationssäkerheten ska därmed kopplas till den positiva ekonomiska utveckling som är OECD:s syfte.
OECD har lyft fram integritetsfrågorna som en viktig framgångsfaktor för den ekonomiska utvecklingen.
Skydd av personuppgifter vid dataöverföring och datalagring måste vara utformat så att det underlättar för fria dataflöden över landsgränser.
2013 kom en ny version av The OECD Privacy Framework där organisationen framhåller att man under decennier spelat en viktig roll i främjandet av integritet som ett fundamentalt värde och som ett villkor för ett fritt flöde av personuppgifter över landsgränser.
I ramverket ingår ett antal principer bland annat rörande insamling av personuppgifter, datakvalitet, syftet, användningen, säkerhet, öppenhet, individens rättigheter samt ansvar för datahanteringen.
Vad som tillkommit i revisionen 2013 är att man förordar ett riskbaserat förhållningssätt på samma sätt som i övrigtsamt krav på incidentrapportering.
Här är OECD:s linje att det bör finnas en nationell strategi för hantering av personuppgifter.
Eftersom i princip alla organisationer hanterar personuppgifter i större eller mindre omfattning så har också i princip alla organisationer legala krav på hur hanteringen ska ske.
De flesta organisationer har också behov av att kunna uppvisa en ansvarsfull hantering av personuppgifter för att kunna upprätthålla sin legitimitet och för att kunna skapa tillit hos olika omgivande aktörer.
Legitimiteten som kommer av förmågan att kunna upprätthålla den personliga integriteten har, som både ENISA och OECD understryker, en stark påverkan på ekonomisk utveckling på både samhälls- och aktörsnivå.
Kort sagt kan informationssäkerhet ha en mycket viktig funktion även för den ekonomiska utvecklingen nationellt och internationellt.
Att man i Sverige då valt en linje med svaga kopplingar mellan områdena är märkligt.
Förhoppningsvis kan svenska myndigheter samordna sig i konkreta frågor som att MSB:s obligatoriska it-incidentrapportering integreras med den rapportering av incidenter som ska utifrån kraven i dataskyddsförordningen så dubbelrapportering undviks.
Men för att stödja olika verksamheter så att de kan bedriva ettsom stödjer de allt starkare kraven på skydd av personliga integriteten kommer enligt min bedömning att kräva betydligt mer.
Detta kommer jag att återkomma till i ett senare inlägg.
Almedalsveckan är slut, politiker, leverantörer, offentliga tjänstemän och lobbyister har åkt hem efter en hektisk vecka av nätverkande.
Som vanligt har deltagarna och seminarierna blivit fler än året förut.
Bara myndigheterna har lagt ner drygt 23 miljoner på sitt deltagande enligt en som SVT gjort.
Det vore enkelt att här infoga någon liten sarkastisk kommentar men jag väljer att avstå.
Hellre än ett slentriangnäll vill jag reflektera litet om det nätverkande som Almedalen är en så tydlig symbol för.
Få ord kan idag sägas med samma entydigt positiva konnotationer som ”nätverkande”.
Vad ordet egentligen betyder är däremot oklart, det är litet kontakter, workshops, mingel, sociala medier och samverkan.
En slutsats man kan dra om man googlar på nätverkande är att det inte är ett planlöst umgänge utan nätverkandet framställs alltid som ett socialt umgänge med ett syfte, från att det är bra att ha ett socialt nätverk vid ett sorgearbete till yrkesmässiga nätverk som ska leda till jobb eller gemensamma prestationer.
Det organiserade nätverkande, som i Almedalen, kan se som en motsats till den formella byråkratin av weberianskt snitt där förenklat en organisation har en uppgift som ska utföras och detta sker genom tydliga roller, ansvar och regler.
Procedurerna är fördefinierade och reglerade.
Byråkraternas kompetens, oavsett om de är jurister eller ingenjörer, är definierad och legitimerad.
Nätverkandet sker istället över organisationsgränser, i de flesta fall utan närmare uppdrag och regler.
Deltagarnas kompetens är i det närmaste per definition skiftande och i en så löslig form som ett nätverk är ansvarsutkrävande inte en fråga.
Tillträdet till nätverket är inte meritokratiskt utan sker ofta delvis genom relationer.
I ett samhälle med hög utvecklingstakt har den traditionella byråkratin, när ständigt nya frågor ska hanteras är det inte möjligt att ständigt tillämpa fördefinierade procedurer.
I den svenska förvaltningshistorien skedde ett skifte från 1950-talet då de stora välfärdssatsningarna byggdes upp och detaljstyrningen alltmer övergick mot ramlagstiftning och mer omfattande delegationer.
Mina byråkratiska erfarenheter under senare år tyder på att den svenska förvaltningen nu i delar pendlat från Weber till att alltmer bedrivas i form av samverkan och nätverk.
Denna utveckling svarar i vissa delar på verkliga behov; det krävs kreativitet, olika perspektiv och samhällets bästa resurser oavsett organisatorisk tillhörighet för att hantera de stora framtidsfrågorna långsiktigt.
Men det finns också fallgropar när myndighetsuppdrag och andra samhälleliga åtaganden exekveras i samverkansprojekt utan formalisering.
Elementära krav som ställs på myndigheters arbete i övrigt som öppenhet, insyn och representativitet är svårt att upprätthålla.
Kanske viktigast, i ljuset av den senaste tidens händelser i myndighetsvärlden, är svårigheten för statliga och kommunala tjänstemän att agera på ett sakligt och opartiskt sätt.
I en miljö där offentliga tjänstemän förväntas utveckla personliga relationer med leverantörer och representanter för intressegrupper kan det bli mycket svårt att fatta beslut på ett opartiskt sätt.
Det finns en stor risk för vänskapskorruption men också det som Mikael Holmqvist, professor i företagsekonomi, beskriver i sin bok om Djursholm och den maktelit som bor där: konsekrati.
Konsekrati innebär maktstrukturer som fostrar och premierar särskilda beteenden, attityder, yttre företräden och manér där de som anammar dessa också får inflytande i strukturen.
Under årets Almedalsvecka var digitalisering ett hett tema.
Med all rätt ser allt fler digitalisering som ett samhällsprojekt för att skapa en gemensam infrastruktur där staten har ett stort ansvar.
Mer luddigt är däremot hur denna infrastruktur bör skapas och vari den bör bestå.
Trots att stora offentliga satsningar faktiskt gjorts under ett par decennier både inom förvaltning och inom hälso- och sjukvård står vi fortfarande idag i en tämligen ofärdig digitalisering.
En orsak till detta kan vara att staten i alltför hög grad överlåtit planering och styrning av digitalisering till olika nätverksstrukturer istället för att tänka som om det handlat om att anlägga järnvägar.
Och om programvaruleverantörer får ett starkt inflytande kommer tyngdpunkten sannolikt inte att ligga på långsiktig utveckling av basfunktioner utan på de programvaror som finns tillgängliga.
Några reflektioner efter att ha deltagit i olika samverkansformer inom digitaliseringsområdet som varit av mer levererande karaktär och inte bara för erfarenhetsutbyte.
För det första har det varit svårt att få en överblick.
Överblick över mål, beroenden och ansvar för att ta några exempel.
Eftersom denna typ av samverkansform ligger vid sidan om den ordinarie myndighetsstrukturen samtidigt som deltagarna är anställda av myndigheter är det svårt att säga vilket ansvar som myndigheterna faktiskt har och hur de ska styra arbetet i samverkansgruppen.
Det gör också att det är mycket svårt att skapa en fungerande insyn i beslutsprocessen, alltså en slags demokratiskt underskott.
Samverkan i nätverk eller tidsbegränsade konstellationer skapar en stress, inte sällan uppkommen av politiska agendor.
Nätverket vill visa snabba resultat och goda exempel eftersom man har kort tid på sig.
Utrymmet för att lösa verkliga eller uppfattade målkonflikter som till exempel frågor kopplade till säkerhet eller integritet är mycket begränsat.
Tendensen förstärks då it-leverantörer och konsulter tas in i arbetet eftersom myndigheters gemensamma digitaliseringsprojekt naturligtvis både är en god inkomstkälla och ett alldeles utmärkt skyltfönster för de egna tjänsterna.
Och här kan en ohelig allians skapas: samverkansgruppen har ett behov av konkreta lösningar men har ingen långsiktig strategi, leverantören har en tjänst som vill flyga högre på marknaden och managementkonsulten kan knyta ihop alltihop till ett koncept som ser behovsstyrt ut.
Voila – ett digitaliseringsprojekt!
Och om det inte fungerar, inte är effektivt eller har säkerhetsbrister så har samverkansgruppen upplösts, leverantören har bara gjort vad som ”beställts” och konsulten har gått vidare när det uppdagas och inget ansvar kan utkrävas.
Ovanstående kan låta cyniskt men man kan välja att se alla inblandade som organisationsformens offer.
Samverkansgrupper har inget starkt mandat, framför allt inte långsiktigt och detta har, anser jag, varit ett stort hinder för en effektiv digitalisering.
Att digitaliseringen skett utan egentlig strategi, mandat och traditionell myndighetsstruktur och i tillfälliga gruppkonstellationer har också lett till ett starkt personberoende.
Vilken kompetens som är nödvändig för att arbeta med digitaliseringen är inte tydlig och jag tror att detta skapat en stark gruppkänsla hos de som varit involverade i de större projekten – man är där som person och inte så mycket på formella meriter.
Digitaliseringen har därför fungerat mer som en konsekrati än en meritokrati.
Min upplevelse är att denna gruppgemenskap som saknat formell grund skapat en kultur där det varit svårt att hantera komplicerade frågor och att härbärgera olika åsikter.
Sammantaget har inte det svenska sättet att bedriva digitaliseringen varit så framgångsrikt som det skulle finnas förutsättningar för.
Fragmentiseringen har inte lett till goda resultat, inte skapat tillit och, vilket är min huvudfråga, haft mycket svårt att hantera informationssäkerhetsfrågor.
Trots den stora enigheten om värdet att den digitala informationshanteringen så har säkerhetsfrågorna negligerats och det saknas idag samarbetsformer för att kunna styra säkerheten i det alltmer gemensamma informationsflödena.
Detta bör naturligtvis även ses som ett tillkortakommande för oss som arbetar med informationssäkerhet där vi har vår egen konsekrati som inte prioriterat stöd för bättre säkerhet i digitaliseringen, mer om detta i ett senare inlägg.
Om alla är överens om att det är dags att satsa fullt ut på den digitala revolutionen så är det också dags att ta digitaliseringen på allvar.
Ta litet av nätverksresurserna, lägg till litet mer och satsa i långsiktiga organisationsformer med ett starkt mandat och ansvar i digitaliseringsfrågor.
Samverkan med olika aktörer är lika nödvändig som tidigare men måste ske på ett sätt så att inte olika särintressen får vara vare sig de som formulerar problemet eller kommer med snabba lösningar.
Om det skapas en litet grå och tråkig e-myndighet som inte enbart behöver ägna sig åt politik och publikfriande lösningar utan får möjlighet att uthålligt få bygga en infrastruktur med osexiga delar som gemensam informationsmodell så finns det hopp för framtiden.
Låt informationssäkerhet för normalläget ingå som ett uppdrag för myndigheten och se säkerheten som en kvalitetsfråga.
Då kan även informationssäkerhet bli en paradfråga för digitaliseringen på samma sätt som trafiksäkerhetsfrågor varit det för svensk transportinfrastruktur.
Vad ska det första blogginlägget handla om?
Det finns en uppsjö av intressanta frågor som bara ligger och väntar på att ventileras, alltifrån teoretiska frågor som vad informationssäkerhet är till hur man genomför en bra riskanalys i praktiken.
Jag bestämde mig dock för en rivstart; att ta upp den så omtalade ledningsfrågan som i alla sammanhang framhålls som förutsättningen för attt ska lyckas.
Ledningens engagemang ni vet… Genom åren har jag träffat ett mycket stort antal informationssäkerhetsansvariga (med litet olika titlar).
Den mest återkommande förklaringen till att säkerheten inte är så bra som man skulle vilja är att ledningen inte lyssnar, inte intresserar sig, inte förstår varför informationssäkerhet är så viktigt.
Ledsna och irriterade säkerhetsmänniskor beskriver hur de ihärdigt försöker förklara för till synes oengagerade ledningar allt som borde göras, vilka risker som finns och vad lagstiftningen säger.
Ibland lyckasfaktiskt upprätta en relation med ledningen, hen kanske till och med får vara adjungerad i ledningsgruppen eller åtminstone vara en fast punkt på agendan en gång i kvartalet.
I de mest lyckade ögonblicken inser ledningen att informationssäkerhet är en förutsättning för att organisationen ska kunna leverera det man har som mål på ett bra sätt.
Ofta är dessa lyckosamma relationer, enligt min erfarenhet, mycket personberoende och med dagens snabba arbetsmarknad så riskerar de snabbt att upplösas.
Vad jag talar om är inte att lyckas med att få ledningen att besluta om att införa ett ledningssystem, vilket inte behöver vara så svårt – särskilt inte med en omedveten ledning som tror att det gäller att besluta några dokument så är det klart.
Men att skapa en god säkerhetskultur där både ledning och medarbetare är engagerade i säkerhetsfrågor, vaksamma för nya risker och beredda att ständigt utveckla säkerhetsarbetet, det är något helt annat.
För att komma vidare tror jag att vi säkerhetsmänniskor måste omformulera frågan.
Istället för att se ledningens bristande engagemang som grundad i att ledningen inte förstår vikten av säkerhet så tror jag att vi måste se på oss själva.
Hur väl förstår vi verksamheten och dess säkerhetsbehov, vilka aspekter som är prioriterade för ledningen och hur vi få säkerhetsarbetet att stödja dessa prioriteringar?
Informationssäkerhet har inget egenvärde utan måste ställas i relation till behoven i den verksamhet där man verkar där behov kan vara förmågan att leva upp till externa krav som lagstiftning men också så mycket mer.
Själv har jag träffat många ledningsgrupper både som anställd och som konsult.
Framgången med att lyckas övertyga ledningarna om hur central informationssäkerhetsfrågan är har varierat och om jag försöker summera vad som funkat och vad som inte funkat i punktform ser det ut så här: Detta var några tankar kring ledningens engagemang.

Strawman: om du är för integritet och ser att den frågan inte hanterats i digitaliseringsprojekt så är du emot digitalisering i sig och vill gå tillbaka till pappersjournaler och hur bra var det med alla som sprang i journalarkiven?
Black or white: om du är för integritet så är du emot patientsäkerhet eftersom det framställs som omöjligt att vara för både och.
Anecdotal: Eftersom det inte finns någon egentlig sammanställning och utvärdering av vilka brister i informationshanteringen som lett till vårdskador så har ofta begränsningar i informationstillgången framställts som orsaken medan det kanske snarare handlat om bristande riktighet eller spårbarhet – detta bevisat genom egna anekdotiska bevis (vilket även kan ses som false cause, det vill säga att man skapar en korrelation som inte kan underbyggas).
Bandwagon: I och med att det funnits en gemensam acceptans för bristande integritet bland sjukvårdspolitiker och andra makthavare i vården så har det varit lätt att implicit och explicit driva en linje innebärande ”att alla gör så och varför skulle vi då ha krav på oss att göra annorlunda?”.
Appeal to authority: Mycket kraftfullt har varit att framställa läkare, annan vårdpersonal och vissa starka patientföreningar som innehavare av sanningen som inte går att motsäga.
Att de representerar särintressen har inte alltid framkommit.
Begging the question: Ett vanligt exempel som jag fått höra sedan början av nittiotalet är: ”tänk när någon kommer in medvetslös på akuten och vi kan rädda hen om vi bara får tillgång till all information – hur kan du vara emot det?” I detta exempel ligger ju antal inbäddade förutsättningar som att detta är den vårdsituation som vi bör ha som mall för alla andra (vilket även är ett exempel på composition/division) och att den som förespråkat integritet därmed sagt att det aldrig finns undantag eller speciella rutiner.
Prioritera verksamhetsprocesser.
Vid en större störning kommer det inte att vara möjligt att upprätthålla all verksamhet utan de resurser i form av exempelvis tjänster, kommunikation och medarbetare måste användas för de processer som ledningen prioriterar.
Prioriteringen ska inte ske under störningen utan under exempelvis verksamhetsplanering.
Kartlägg beroenden.
Genom processkartläggning går det att identifiera vilken information och vilka bärare som är nödvändiga för att upprätthålla processen.
Det ger också ett bra underlag för it-ansvariga att ta fram den planering som ska ske mellan olika tjänster och andra it-resurser.
Håll planeringen så enkel som möjligt.
Alltför komplexa planer blir snabbt inaktuella och dessutom svåra att hantera i ett kritiskt läge.
Det är sällan intressant att gå djupare i olika tänkbara orsaker till störningen utan det är störningens effekter på verksamheten som är det intressanta.
Att koncentrera sig på effekterna gör också planeringen enklare än att ha en mängd olika alternativ utifrån olika orsaker till störningar.
Se till att ledningen är beslutsför.
Under ett akut skede måste ett antal beslut tas som ligger utanför det som är möjligt att planera och då måste de som har en ledningsfunktion känna sig trygga i att de får fatta beslut.
Förbered för kommunikation.
God kommunikation med de egna medarbetarna och med intressenter utanför den egna verksamheten är oumbärlig både före, under och efter en större störning.
Öva, öva,öva!
Övningar kan ske under mycket anspråkslösa former som exempelvis på en arbetsplatsträff där man går igenom ett scenario och simulerar de steg som planen innehåller.
Mycket nyttigt både för planen,och verksamheten.
Detaljerade beskrivningar av tekniska problem och tekniska lösningar – ledningsgrupper har sällan den tekniska kompetensen så att de uppskattar detta.
Långrandig och överdrivet heltäckande rapportering – ledningen har ju anställtför att ha kompetens vilket också innebär kompetens att sålla fram det som relevant.
Att hämta alltför mycket av argumentationen ur lagstiftning – självklart inser alla ledningar att lagstiftning måste följas men det är liksom inte huvuduppgiften för verksamheten.
Att var alltför ängslig och ovillig att inse att riskhantering innebär att leva med vissa risker – informationssäkerhet skiljer sig inte från andra områden och en fungerande ledning tar alltid risker och kommer att göra det även när det gäller informationssäkerhet.
Att presentera risker och brister utan komma med förslag om åtgärder – denna typ av kommunikation gör ofta att ledningar går i baklås och är oförmögna att hantera problemet.
Att vara alarmistisk och försöka ”skrämma” ledningen till att vidta åtgärder – detta är det absolut sämsta sättet att kommunicera kring säkerhet och leder enligt min erfarenhet osvikligen till att ledningsgruppen stänger av och försöker undvika kontakt i fortsättningen.
Att försöka sätta sig i ledningens position och försöka förstå vad det är de vill veta – att känna till ledningens inriktning och kunna anknyta till den underlättar påtagligt kommunikationen.
Att försöka sätta sig in i vad ledningen kan och vet om informationssäkerhet och anpassa kommunikationen därefter – ofta utgår vi ifrån att de vi talar med vet mycket mer än vad de faktiskt gör.
Om man respekterar de man pratar med och deras förförståelse av ämnet är det också mycket lättare att nå fram.
Att genomföra riskanalyser med ledningen – riskanalyser ger ledningsgrupper möjlighet att själva reflektera kring risker vilket gör att de får en egen relation till frågan.
Att alltid kommunicera specifikt om den egna organisationen och dess behov – ledningar har sällan tålamod med abstraktioner, däremot om det finns en uppenbar verksamhetsnytta i den egna organisationen blir ämnet mycket intressantare.
Att presentera hur brister leder till konkreta konsekvenser i verksamheten – de tekniska orsakerna är ofta ointressanta, däremot innebär konsekvenser i verksamheten också konsekvenser för ledningen vilket får dem att lystra.
Att göra ledningsgruppen beslutsför – ledningars funktion är att fatta beslut och att då ta fram väl underbyggda underlag om risker och åtgärder för att reducera dem som det går att fatta beslut om gör de flesta ledningar vänligt stämda.

är egentligen Funkar inte: Funkar:

Meny Inläggsnavigering

MENU MENU Postat av Postad i , , , , , Tagged , , , , Postat av Postad i , Tagged , , , Postat av Postad i , Tagged , , , Postat av Postad i , Tagged , , , , Postat av Postad i , , Tagged , Postat av Postad i , Tagged , , , → Sök efter:

Satsningen på en ny plattform som nu ska göras innebär att man nu kan öka både patientsäkerheten och integritetsskyddet på ett sätt som varit svårt tidigare.
– Förut har man varit tvungen att kompromissa mellan dem.
Man har låst in data i respektive system vilket gett ett bra integritetsskydd men en sämre patientsäkerhet, men för första gången kan man nu höja nivån på båda samtidigt.
Dagens tekniska system gör det möjligt att ha gemensamma databaser och ändå sätta behörigheter på informationen.
Om du är kvinna och bryter ett ben behöver ortopeden inte ha tillgång till dina gynrapporter till exempel.
Vi kan också kravställa spårbarhet, vem som läst din information, på ett annat sätt, samtidigt som vi kan öka patientsäkerheten, säger Daniel Forslund.
Kärnsystemet ska stödja följande skapa incitament för verksamhetsutveckling, inklusive arbete med standardisering kopplat till begrepp som process, teknik, patientsäkerhet och kvalitet etablera förutsättningar för arbetet med en gemensam informationsstruktur omfattande informationsmodeller och termer/begrepp system ge invånaren en ökad tillgänglighet till och enklare kommunikation med vården Stockholms läns landsting ge invånaren möjlighet till att ta aktiv del i och ansvar för sin hälsa och sjukvård ge vårdverksamheten tillgång till en användarvänlig informationsmiljö i realtid med besluts- och processtöd ge kvalitetssäkrad information för att kunna utveckla vårdens processer och dess arbetssätt ge verktyg för forskning, utveckling och utbildning ge ett lättillgängligt verktyg för myndigheter och vårdgivare så att arbetet med kvalitets- och ledningssystem underlättas.
Regeringens skrivelse 2009/10:124 Samhällets krisberedskap – stärkt samverkan för ökad säkerhet Strategi för samhällets informationssäkerhet 2010-2015 SOU 2015:23 Informations- och cybersäkerhet i Sverige.
Strategi och åtgärder för säker information i staten (NISU) föreslå övergripande mål för samhällets, och hur Sverige ska upprätthålla säkerhet och integritet i samhällsviktig it-infrastruktur.
integrity I de delar utredningens förslag skulle kunna påverka den enskildes personliga integritet föreslår utredningen ytterligare utredningsåtgärder för att väga in sådana aspekter.

Almedalsveckan är slut, politiker, leverantörer, offentliga tjänstemän och lobbyister har åkt hem efter en hektisk vecka av nätverkande.
Som vanligt har deltagarna och seminarierna blivit fler än året förut.
Bara myndigheterna har lagt ner drygt 23 miljoner på sitt deltagande enligt en som SVT gjort.
Det vore enkelt att här infoga någon liten sarkastisk kommentar men jag väljer att avstå.
Hellre än ett slentriangnäll vill jag reflektera litet om det nätverkande som Almedalen är en så tydlig symbol för.
Få ord kan idag sägas med samma entydigt positiva konnotationer som ”nätverkande”.
Vad ordet egentligen betyder är däremot oklart, det är litet kontakter, workshops, mingel, sociala medier och samverkan.
En slutsats man kan dra om man googlar på nätverkande är att det inte är ett planlöst umgänge utan nätverkandet framställs alltid som ett socialt umgänge med ett syfte, från att det är bra att ha ett socialt nätverk vid ett sorgearbete till yrkesmässiga nätverk som ska leda till jobb eller gemensamma prestationer.
Det organiserade nätverkande, som i Almedalen, kan se som en motsats till den formella byråkratin av weberianskt snitt där förenklat en organisation har en uppgift som ska utföras och detta sker genom tydliga roller, ansvar och regler.
Procedurerna är fördefinierade och reglerade.
Byråkraternas kompetens, oavsett om de är jurister eller ingenjörer, är definierad och legitimerad.
Nätverkandet sker istället över organisationsgränser, i de flesta fall utan närmare uppdrag och regler.
Deltagarnas kompetens är i det närmaste per definition skiftande och i en så löslig form som ett nätverk är ansvarsutkrävande inte en fråga.
Tillträdet till nätverket är inte meritokratiskt utan sker ofta delvis genom relationer.
I ett samhälle med hög utvecklingstakt har den traditionella byråkratin, när ständigt nya frågor ska hanteras är det inte möjligt att ständigt tillämpa fördefinierade procedurer.
I den svenska förvaltningshistorien skedde ett skifte från 1950-talet då de stora välfärdssatsningarna byggdes upp och detaljstyrningen alltmer övergick mot ramlagstiftning och mer omfattande delegationer.
Mina byråkratiska erfarenheter under senare år tyder på att den svenska förvaltningen nu i delar pendlat från Weber till att alltmer bedrivas i form av samverkan och nätverk.
Denna utveckling svarar i vissa delar på verkliga behov; det krävs kreativitet, olika perspektiv och samhällets bästa resurser oavsett organisatorisk tillhörighet för att hantera de stora framtidsfrågorna långsiktigt.
Men det finns också fallgropar när myndighetsuppdrag och andra samhälleliga åtaganden exekveras i samverkansprojekt utan formalisering.
Elementära krav som ställs på myndigheters arbete i övrigt som öppenhet, insyn och representativitet är svårt att upprätthålla.
Kanske viktigast, i ljuset av den senaste tidens händelser i myndighetsvärlden, är svårigheten för statliga och kommunala tjänstemän att agera på ett sakligt och opartiskt sätt.
I en miljö där offentliga tjänstemän förväntas utveckla personliga relationer med leverantörer och representanter för intressegrupper kan det bli mycket svårt att fatta beslut på ett opartiskt sätt.
Det finns en stor risk för vänskapskorruption men också det som Mikael Holmqvist, professor i företagsekonomi, beskriver i sin bok om Djursholm och den maktelit som bor där: konsekrati.
Konsekrati innebär maktstrukturer som fostrar och premierar särskilda beteenden, attityder, yttre företräden och manér där de som anammar dessa också får inflytande i strukturen.
Under årets Almedalsvecka var digitalisering ett hett tema.
Med all rätt ser allt fler digitalisering som ett samhällsprojekt för att skapa en gemensam infrastruktur där staten har ett stort ansvar.
Mer luddigt är däremot hur denna infrastruktur bör skapas och vari den bör bestå.
Trots att stora offentliga satsningar faktiskt gjorts under ett par decennier både inom förvaltning och inom hälso- och sjukvård står vi fortfarande idag i en tämligen ofärdig digitalisering.
En orsak till detta kan vara att staten i alltför hög grad överlåtit planering och styrning av digitalisering till olika nätverksstrukturer istället för att tänka som om det handlat om att anlägga järnvägar.
Och om programvaruleverantörer får ett starkt inflytande kommer tyngdpunkten sannolikt inte att ligga på långsiktig utveckling av basfunktioner utan på de programvaror som finns tillgängliga.
Några reflektioner efter att ha deltagit i olika samverkansformer inom digitaliseringsområdet som varit av mer levererande karaktär och inte bara för erfarenhetsutbyte.
För det första har det varit svårt att få en överblick.
Överblick över mål, beroenden och ansvar för att ta några exempel.
Eftersom denna typ av samverkansform ligger vid sidan om den ordinarie myndighetsstrukturen samtidigt som deltagarna är anställda av myndigheter är det svårt att säga vilket ansvar som myndigheterna faktiskt har och hur de ska styra arbetet i samverkansgruppen.
Det gör också att det är mycket svårt att skapa en fungerande insyn i beslutsprocessen, alltså en slags demokratiskt underskott.
Samverkan i nätverk eller tidsbegränsade konstellationer skapar en stress, inte sällan uppkommen av politiska agendor.
Nätverket vill visa snabba resultat och goda exempel eftersom man har kort tid på sig.
Utrymmet för att lösa verkliga eller uppfattade målkonflikter som till exempel frågor kopplade till säkerhet eller integritet är mycket begränsat.
Tendensen förstärks då it-leverantörer och konsulter tas in i arbetet eftersom myndigheters gemensamma digitaliseringsprojekt naturligtvis både är en god inkomstkälla och ett alldeles utmärkt skyltfönster för de egna tjänsterna.
Och här kan en ohelig allians skapas: samverkansgruppen har ett behov av konkreta lösningar men har ingen långsiktig strategi, leverantören har en tjänst som vill flyga högre på marknaden och managementkonsulten kan knyta ihop alltihop till ett koncept som ser behovsstyrt ut.
Voila – ett digitaliseringsprojekt!
Och om det inte fungerar, inte är effektivt eller har säkerhetsbrister så har samverkansgruppen upplösts, leverantören har bara gjort vad som ”beställts” och konsulten har gått vidare när det uppdagas och inget ansvar kan utkrävas.
Ovanstående kan låta cyniskt men man kan välja att se alla inblandade som organisationsformens offer.
Samverkansgrupper har inget starkt mandat, framför allt inte långsiktigt och detta har, anser jag, varit ett stort hinder för en effektiv digitalisering.
Att digitaliseringen skett utan egentlig strategi, mandat och traditionell myndighetsstruktur och i tillfälliga gruppkonstellationer har också lett till ett starkt personberoende.
Vilken kompetens som är nödvändig för att arbeta med digitaliseringen är inte tydlig och jag tror att detta skapat en stark gruppkänsla hos de som varit involverade i de större projekten – man är där som person och inte så mycket på formella meriter.
Digitaliseringen har därför fungerat mer som en konsekrati än en meritokrati.
Min upplevelse är att denna gruppgemenskap som saknat formell grund skapat en kultur där det varit svårt att hantera komplicerade frågor och att härbärgera olika åsikter.
Sammantaget har inte det svenska sättet att bedriva digitaliseringen varit så framgångsrikt som det skulle finnas förutsättningar för.
Fragmentiseringen har inte lett till goda resultat, inte skapat tillit och, vilket är min huvudfråga, haft mycket svårt att hantera informationssäkerhetsfrågor.
Trots den stora enigheten om värdet att den digitala informationshanteringen så har säkerhetsfrågorna negligerats och det saknas idag samarbetsformer för att kunna styra säkerheten i det alltmer gemensamma informationsflödena.
Detta bör naturligtvis även ses som ett tillkortakommande för oss som arbetar med informationssäkerhet där vi har vår egen konsekrati som inte prioriterat stöd för bättre säkerhet i digitaliseringen, mer om detta i ett senare inlägg.
Om alla är överens om att det är dags att satsa fullt ut på den digitala revolutionen så är det också dags att ta digitaliseringen på allvar.
Ta litet av nätverksresurserna, lägg till litet mer och satsa i långsiktiga organisationsformer med ett starkt mandat och ansvar i digitaliseringsfrågor.
Samverkan med olika aktörer är lika nödvändig som tidigare men måste ske på ett sätt så att inte olika särintressen får vara vare sig de som formulerar problemet eller kommer med snabba lösningar.
Om det skapas en litet grå och tråkig e-myndighet som inte enbart behöver ägna sig åt politik och publikfriande lösningar utan får möjlighet att uthålligt få bygga en infrastruktur med osexiga delar som gemensam informationsmodell så finns det hopp för framtiden.
Låt informationssäkerhet för normalläget ingå som ett uppdrag för myndigheten och se säkerheten som en kvalitetsfråga.
Då kan även informationssäkerhet bli en paradfråga för digitaliseringen på samma sätt som trafiksäkerhetsfrågor varit det för svensk transportinfrastruktur.

Meny Nätverk

MENU MENU Postat av Postad i , , Tagged , Sök efter:

Det finns vissa återkommande anekdotiska exempel inom informationssäkerhetsområdet som ska beskriva en situation eller ett problem.
Vissa har jag säkert använt själv vid olika tillfällen.
Men när man hört något litet för många gånger börjar i alla fall jag begrunda vad som är den egentliga innebörden i exemplet – vad vill man ha sagt?
Och därefter funderar jag på vad effekten hos åhörarna, blir den verkligen den som eftersträvas?
Ett sådant återkommande exempel i presentationer, föreläsningar och utbildningar handlar om lösenord.
Antingen genom att beskriva det hela som en personlig upplevelse eller en mer generell företeelse så säger vi (även jag har gjort det någon gång för länge sedan…) att användare haft lösenord på post it-lappar fästa vid skärmen eller under skrivbordsunderlägget.
Samma exempel återkommer i tips för bättre säkerhet som och .
Det är uppenbarligen en bild som säkerhetsmänniskor finner effektfull trots att skrivbordsunderläggen i ärlighetens namn numera är sällsynta.
Ofta berättas detta med ett överseende, eller ännu värre; ett smått föraktfullt, leende som låter påskina att medarbetarna inte förstår sig på alternativt inte bryr sig om säkerhet.
Min erfarenhet är att detta är en helt felaktig uppfattning.
I princip alla verksamheter som jag jobbat i, och inte minst inom vården, är de allra flesta medarbetare mycket engagerade i att göra ett bra jobb.
Detta inkluderar även att följa de säkerhetsregler som finns.
Att sedan lösenordshanteringen ändå kan vara litet si och så tror jag beror på flera faktorer.
En väsentlig elefant i rummet är att det jobbigt att hantera lösenord på det sätt som sker nu.
Sedan mitten av 90-talet har det utlovats single sign-on-lösningar men få har hittills skådat fungerande lösningar i verkligheten.
Istället fortsätter det som förut med allt längre lösenord, olika lösenord i de allt fler applikationer som används på arbetsplatserna och med krav på byten var tredje månad.
I en stressig arbetssituation kan jag inte annat än ha förståelse för att medarbetare söker genvägar.
I vårt privatliv kan vi använda olika lösningar som automatgenererar hyfsat säkra lösenord men i arbetsmiljön är många kvar på ruta ett.
En annan faktor är kommunikationen om lösenord.
När jag läser och hör hur reglerna för lösenordshantering kommuniceras med medarbetare är det sällan med någon motivation eller beskrivning av vari risken ligger om lösenordet är för kort eller används längre än ett kvartal.
Detta tror jag är en mer generell problematik inom säkerhetsområdet.
Alltför ofta använder vi olika former av envägskommunikation och dessutom utan att ge tillräckligt bra förklaringar hur bristande tillämpningar av säkerhetsåtgärder påverkar kvaliteten och effektiviteten i verksamheten.
Jag ser det hela framför mig som en våg där goda förklaringar gör säkerhetsåtgärden uppfattas som motiverad och krångligheten acceptabel.
Slutligen är ett problem att det tycks finnas mycket litet evidens om lösenord, hur långa de bör vara och hur ofta de bör bytas.
Vi går på det som litet slängigt brukar kallas ”best practice” vilket kan tolkas som ”vi tror att det här det bästa sättet att göra det men har inga belägg för det”.
Att beläggen är svaga gör vår egen argumentation svag vilket gör det svårare att övertyga andra vilket sannolikt är en förklaring till att vi hellre kör ut en oemotsagd regel än har en mer djuplodande diskussion om risker med verksamheten.
Jag tror inte medarbetare känner sig särskilt motiverade av den här typen av exempel hur ”dumma” andra medarbetare i samma situation är.
Förmodligen kommer istället antingen en viss skamsenhet över att man inte själv heller alltid lyckas leva upp till de krångliga reglerna eller så fnyser man invärtes och tänker: ”det är ju lätt att säga när man inte vet hur det fungerar här och hur stressigt det är”.
I båda fallen tapparkontakten med sin publik.
Sammantaget drar jag tre slutsatser av ovanstående.
Att det inte är så konstigt att medarbetare gömmer lösenord under de imaginära skrivbordsunderläggen.
Att vi måste hitta bättre fungerande säkerhetslösningar både i bemärkelsen att de fungerar effektivt mot beskrivna risker och i bemärkelsen att de går att använda på ett inte alltför tyngande sätt för medarbetare.
Att vi måste bli bättre på att belägga de säkerhetslösningar vi föreslår med evidens istället för att hänvisa till ”best practice”.
Med tanke på att behovet av informationssäkerhet kommer att öka alltmer måste vi kunna både för oss själva och för de organisationer vi verkar i visa att vågen är i balans; att de tyngande rutiner och åtgärder vi förordar är motiverade.

är

MENU MENU Postat av Postad i , Tagged , , , Sök efter:

Vad ska det första blogginlägget handla om?
Det finns en uppsjö av intressanta frågor som bara ligger och väntar på att ventileras, alltifrån teoretiska frågor som vad informationssäkerhet är till hur man genomför en bra riskanalys i praktiken.
Jag bestämde mig dock för en rivstart; att ta upp den så omtalade ledningsfrågan som i alla sammanhang framhålls som förutsättningen för attt ska lyckas.
Ledningens engagemang ni vet… Genom åren har jag träffat ett mycket stort antal informationssäkerhetsansvariga (med litet olika titlar).
Den mest återkommande förklaringen till att säkerheten inte är så bra som man skulle vilja är att ledningen inte lyssnar, inte intresserar sig, inte förstår varför informationssäkerhet är så viktigt.
Ledsna och irriterade säkerhetsmänniskor beskriver hur de ihärdigt försöker förklara för till synes oengagerade ledningar allt som borde göras, vilka risker som finns och vad lagstiftningen säger.
Ibland lyckasfaktiskt upprätta en relation med ledningen, hen kanske till och med får vara adjungerad i ledningsgruppen eller åtminstone vara en fast punkt på agendan en gång i kvartalet.
I de mest lyckade ögonblicken inser ledningen att informationssäkerhet är en förutsättning för att organisationen ska kunna leverera det man har som mål på ett bra sätt.
Ofta är dessa lyckosamma relationer, enligt min erfarenhet, mycket personberoende och med dagens snabba arbetsmarknad så riskerar de snabbt att upplösas.
Vad jag talar om är inte att lyckas med att få ledningen att besluta om att införa ett ledningssystem, vilket inte behöver vara så svårt – särskilt inte med en omedveten ledning som tror att det gäller att besluta några dokument så är det klart.
Men att skapa en god säkerhetskultur där både ledning och medarbetare är engagerade i säkerhetsfrågor, vaksamma för nya risker och beredda att ständigt utveckla säkerhetsarbetet, det är något helt annat.
För att komma vidare tror jag att vi säkerhetsmänniskor måste omformulera frågan.
Istället för att se ledningens bristande engagemang som grundad i att ledningen inte förstår vikten av säkerhet så tror jag att vi måste se på oss själva.
Hur väl förstår vi verksamheten och dess säkerhetsbehov, vilka aspekter som är prioriterade för ledningen och hur vi få säkerhetsarbetet att stödja dessa prioriteringar?
Informationssäkerhet har inget egenvärde utan måste ställas i relation till behoven i den verksamhet där man verkar där behov kan vara förmågan att leva upp till externa krav som lagstiftning men också så mycket mer.
Själv har jag träffat många ledningsgrupper både som anställd och som konsult.
Framgången med att lyckas övertyga ledningarna om hur central informationssäkerhetsfrågan är har varierat och om jag försöker summera vad som funkat och vad som inte funkat i punktform ser det ut så här: Detta var några tankar kring ledningens engagemang.

Detaljerade beskrivningar av tekniska problem och tekniska lösningar – ledningsgrupper har sällan den tekniska kompetensen så att de uppskattar detta.
Långrandig och överdrivet heltäckande rapportering – ledningen har ju anställtför att ha kompetens vilket också innebär kompetens att sålla fram det som relevant.
Att hämta alltför mycket av argumentationen ur lagstiftning – självklart inser alla ledningar att lagstiftning måste följas men det är liksom inte huvuduppgiften för verksamheten.
Att var alltför ängslig och ovillig att inse att riskhantering innebär att leva med vissa risker – informationssäkerhet skiljer sig inte från andra områden och en fungerande ledning tar alltid risker och kommer att göra det även när det gäller informationssäkerhet.
Att presentera risker och brister utan komma med förslag om åtgärder – denna typ av kommunikation gör ofta att ledningar går i baklås och är oförmögna att hantera problemet.
Att vara alarmistisk och försöka ”skrämma” ledningen till att vidta åtgärder – detta är det absolut sämsta sättet att kommunicera kring säkerhet och leder enligt min erfarenhet osvikligen till att ledningsgruppen stänger av och försöker undvika kontakt i fortsättningen.
Att försöka sätta sig i ledningens position och försöka förstå vad det är de vill veta – att känna till ledningens inriktning och kunna anknyta till den underlättar påtagligt kommunikationen.
Att försöka sätta sig in i vad ledningen kan och vet om informationssäkerhet och anpassa kommunikationen därefter – ofta utgår vi ifrån att de vi talar med vet mycket mer än vad de faktiskt gör.
Om man respekterar de man pratar med och deras förförståelse av ämnet är det också mycket lättare att nå fram.
Att genomföra riskanalyser med ledningen – riskanalyser ger ledningsgrupper möjlighet att själva reflektera kring risker vilket gör att de får en egen relation till frågan.
Att alltid kommunicera specifikt om den egna organisationen och dess behov – ledningar har sällan tålamod med abstraktioner, däremot om det finns en uppenbar verksamhetsnytta i den egna organisationen blir ämnet mycket intressantare.
Att presentera hur brister leder till konkreta konsekvenser i verksamheten – de tekniska orsakerna är ofta ointressanta, däremot innebär konsekvenser i verksamheten också konsekvenser för ledningen vilket får dem att lystra.
Att göra ledningsgruppen beslutsför – ledningars funktion är att fatta beslut och att då ta fram väl underbyggda underlag om risker och åtgärder för att reducera dem som det går att fatta beslut om gör de flesta ledningar vänligt stämda.

Meny Författare:

MENU MENU admin Postat av Postad i , Tagged , , , Sök efter:

Av en händelse ser jag att Daniel Forslund, liberalt landstingsråd för (L) i Stockholms läns landsting med ansvar för innovation, eHälsa, IT-utveckling och patientnära tjänster, på en PR-site för ett it-bolag gör ett intressant uttalande .
Sammanhanget för uttalandet kan i sig tyckas symptomatiskt med tanke på den ofta litet väl nära relation som funnits mellan sjukvårdspolitiker, landstingstjänstemän och it-leverantörerna men den frågan lämnar jag för tillfället.
Det som är intressant är följande avsnitt apropå de tre stora sjukvårdshuvudmännens satsning på en ny it-plattform: För den medborgare och/eller patient som inte haft insyn vare sig i den rådande ideologin inom sjukvården eller i den praktiska verkligheten måste detta uttalande vara ganska häpnadsväckande.
Är det inte en självklarhet att integritet och patientsäkerhet måste kunna upprätthållas samtidigt?
Tyvärr är svaret att under de senaste decennierna har integriteten i sjukvården steg för steg nedmonterats både som värdering och i utformningen av den informationshantering som ska stödja vårdprocesserna.
Detta är inte enbart min personliga uppfattning utan finns även som en av de slutsatser som Integritetskommittén dragit i sin kartläggning ”Hur står det till med integriteten” http://www.regeringen.se/pressmeddelanden/2016/06/kartlaggning-identifierar-allvarliga-risker-for-den-personliga-integriteten/.
Tyvärr har inte de utredningar som skett inom e-hälsoområdet heller sett detta som en prioriterad fråga.
Förhållningssättet till integritet som funnits med i digitaliseringsprocessen av vården ända sedan dess inledande faser är att det har målats upp en motsatsställning mellan patientsäkerhet och integritet.
Det har också funnits ett mycket svagt intresse hos sjukvårdshuvudmän, vårdgivare och it-leverantörer att göra den insats som krävs för att få en styrning av informationshanteringen och systemen/tjänsterna så att båda dessa värden kan uppnås samtidigt.
Min tolkning är att man istället anpassat etik och lagstiftning efter tekniska brister.
Integritetsfrågorna har också lyfts bort från de myndigheter som normalt arbetar med att reglera och tillsyna informationshanteringen i vården, t.ex.
IVO och tidigare Socialstyrelsen.
Tidigare skedde en gemensam intresseavvägning mellan patientssäkerhet och integritet inom samma myndighet som dessutom hade vården i sin helhet som uppdrag.
Nu förväntas Datainspektionen med sina begränsade resurser och mandat försöka styra hanteringen av personuppgifter i rätt riktning inom vården.
Intresseavvägningen mellan patientssäkerhet och integritet har därmed flyttats till den enskilde vårdgivaren som ska uttolka de olika myndigheternas icke samordnade reglering i en informationshantering som däremot blir alltmer gemensam.
Dessutom har tillsynen av de regler för skydd av integritet som faktiskt finns varit otillräcklig.
Det är inte enbart tekniken som varit orsak till att integritetens allt lägre prioritet.
Både organisationsförändringar och förändrade vårdformer har starkt påverkat synen på avgränsning och ansvar för informationen.
För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård.
Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades).
Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman.
Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän.
Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring.
Vid sidan om offentlighetslagstiftningen fanns patientjournallagen som gav vårdgivarna ansvar att både säkerställa patientsäkerhet och integritet.
Socialstyrelsen hade tillsyn enligt patientjournallagen även i de delar som gällde att värna patientens integritet.
Det fanns också en yrkesgrupp som var utbildad för att professionellt hantera vårdinformation – läkarsekreterarna.
Vi som under stark motvind försökt driva integritetsfrågan i sjukvården har bemötts med i princip alla de logiska fallacier som finns i den här både lärorika och underhållande uppräkningen .
Särskilt populära har i min anekdotiska erfarenhet varit: Det kanske vanligaste har ändå varit härskartekniker som tystnad och osynliggörande vilket kanske varit det tråkigaste eftersom det lett till att en mer seriös diskussion inte förts och viktiga intresseavvägningar inte gjorts.
Själv hoppas jag på en mer rationell diskussion som klarar att beakta flera intressen samtidigt.
Integritet har trots detta blivit en allt viktigare fråga i e-samhället och det är naturligtvis positivt att makthavare inom sjukvården också uppfattar det.
Det är bara att hoppas på att det finns en seriös vilja att verkligen åstadkomma detta i 3R-projektet även om det är svårt att tolka in det i det dokument som det hänvisas till http://www.sll.se/Global/Politik/Politiska-organ/Landstingsfullmaktige/2016/2016-06-14-15/forslag-41sid19.pdf.
I beslutet om upphandlingsunderlag står det: Inte så mycket om integritet alltså.
Frågan i rubriken får vara obesvarad ett tag till.

Strawman: om du är för integritet och ser att den frågan inte hanterats i digitaliseringsprojekt så är du emot digitalisering i sig och vill gå tillbaka till pappersjournaler och hur bra var det med alla som sprang i journalarkiven?
Black or white: om du är för integritet så är du emot patientsäkerhet eftersom det framställs som omöjligt att vara för både och.
Anecdotal: Eftersom det inte finns någon egentlig sammanställning och utvärdering av vilka brister i informationshanteringen som lett till vårdskador så har ofta begränsningar i informationstillgången framställts som orsaken medan det kanske snarare handlat om bristande riktighet eller spårbarhet – detta bevisat genom egna anekdotiska bevis (vilket även kan ses som false cause, det vill säga att man skapar en korrelation som inte kan underbyggas).
Bandwagon: I och med att det funnits en gemensam acceptans för bristande integritet bland sjukvårdspolitiker och andra makthavare i vården så har det varit lätt att implicit och explicit driva en linje innebärande ”att alla gör så och varför skulle vi då ha krav på oss att göra annorlunda?”.
Appeal to authority: Mycket kraftfullt har varit att framställa läkare, annan vårdpersonal och vissa starka patientföreningar som innehavare av sanningen som inte går att motsäga.
Att de representerar särintressen har inte alltid framkommit.
Begging the question: Ett vanligt exempel som jag fått höra sedan början av nittiotalet är: ”tänk när någon kommer in medvetslös på akuten och vi kan rädda hen om vi bara får tillgång till all information – hur kan du vara emot det?” I detta exempel ligger ju antal inbäddade förutsättningar som att detta är den vårdsituation som vi bör ha som mall för alla andra (vilket även är ett exempel på composition/division) och att den som förespråkat integritet därmed sagt att det aldrig finns undantag eller speciella rutiner.

MENU MENU Postat av Postad i , , , , , Tagged , , , , Sök efter:

Satsningen på en ny plattform som nu ska göras innebär att man nu kan öka både patientsäkerheten och integritetsskyddet på ett sätt som varit svårt tidigare.
– Förut har man varit tvungen att kompromissa mellan dem.
Man har låst in data i respektive system vilket gett ett bra integritetsskydd men en sämre patientsäkerhet, men för första gången kan man nu höja nivån på båda samtidigt.
Dagens tekniska system gör det möjligt att ha gemensamma databaser och ändå sätta behörigheter på informationen.
Om du är kvinna och bryter ett ben behöver ortopeden inte ha tillgång till dina gynrapporter till exempel.
Vi kan också kravställa spårbarhet, vem som läst din information, på ett annat sätt, samtidigt som vi kan öka patientsäkerheten, säger Daniel Forslund.
Kärnsystemet ska stödja följande skapa incitament för verksamhetsutveckling, inklusive arbete med standardisering kopplat till begrepp som process, teknik, patientsäkerhet och kvalitet etablera förutsättningar för arbetet med en gemensam informationsstruktur omfattande informationsmodeller och termer/begrepp system ge invånaren en ökad tillgänglighet till och enklare kommunikation med vården Stockholms läns landsting ge invånaren möjlighet till att ta aktiv del i och ansvar för sin hälsa och sjukvård ge vårdverksamheten tillgång till en användarvänlig informationsmiljö i realtid med besluts- och processtöd ge kvalitetssäkrad information för att kunna utveckla vårdens processer och dess arbetssätt ge verktyg för forskning, utveckling och utbildning ge ett lättillgängligt verktyg för myndigheter och vårdgivare så att arbetet med kvalitets- och ledningssystem underlättas.

Vad ska det första blogginlägget handla om?
Det finns en uppsjö av intressanta frågor som bara ligger och väntar på att ventileras, alltifrån teoretiska frågor som vad informationssäkerhet är till hur man genomför en bra riskanalys i praktiken.
Jag bestämde mig dock för en rivstart; att ta upp den så omtalade ledningsfrågan som i alla sammanhang framhålls som förutsättningen för attt ska lyckas.
Ledningens engagemang ni vet… Genom åren har jag träffat ett mycket stort antal informationssäkerhetsansvariga (med litet olika titlar).
Den mest återkommande förklaringen till att säkerheten inte är så bra som man skulle vilja är att ledningen inte lyssnar, inte intresserar sig, inte förstår varför informationssäkerhet är så viktigt.
Ledsna och irriterade säkerhetsmänniskor beskriver hur de ihärdigt försöker förklara för till synes oengagerade ledningar allt som borde göras, vilka risker som finns och vad lagstiftningen säger.
Ibland lyckasfaktiskt upprätta en relation med ledningen, hen kanske till och med får vara adjungerad i ledningsgruppen eller åtminstone vara en fast punkt på agendan en gång i kvartalet.
I de mest lyckade ögonblicken inser ledningen att informationssäkerhet är en förutsättning för att organisationen ska kunna leverera det man har som mål på ett bra sätt.
Ofta är dessa lyckosamma relationer, enligt min erfarenhet, mycket personberoende och med dagens snabba arbetsmarknad så riskerar de snabbt att upplösas.
Vad jag talar om är inte att lyckas med att få ledningen att besluta om att införa ett ledningssystem, vilket inte behöver vara så svårt – särskilt inte med en omedveten ledning som tror att det gäller att besluta några dokument så är det klart.
Men att skapa en god säkerhetskultur där både ledning och medarbetare är engagerade i säkerhetsfrågor, vaksamma för nya risker och beredda att ständigt utveckla säkerhetsarbetet, det är något helt annat.
För att komma vidare tror jag att vi säkerhetsmänniskor måste omformulera frågan.
Istället för att se ledningens bristande engagemang som grundad i att ledningen inte förstår vikten av säkerhet så tror jag att vi måste se på oss själva.
Hur väl förstår vi verksamheten och dess säkerhetsbehov, vilka aspekter som är prioriterade för ledningen och hur vi få säkerhetsarbetet att stödja dessa prioriteringar?
Informationssäkerhet har inget egenvärde utan måste ställas i relation till behoven i den verksamhet där man verkar där behov kan vara förmågan att leva upp till externa krav som lagstiftning men också så mycket mer.
Själv har jag träffat många ledningsgrupper både som anställd och som konsult.
Framgången med att lyckas övertyga ledningarna om hur central informationssäkerhetsfrågan är har varierat och om jag försöker summera vad som funkat och vad som inte funkat i punktform ser det ut så här: Detta var några tankar kring ledningens engagemang.

Detaljerade beskrivningar av tekniska problem och tekniska lösningar – ledningsgrupper har sällan den tekniska kompetensen så att de uppskattar detta.
Långrandig och överdrivet heltäckande rapportering – ledningen har ju anställtför att ha kompetens vilket också innebär kompetens att sålla fram det som relevant.
Att hämta alltför mycket av argumentationen ur lagstiftning – självklart inser alla ledningar att lagstiftning måste följas men det är liksom inte huvuduppgiften för verksamheten.
Att var alltför ängslig och ovillig att inse att riskhantering innebär att leva med vissa risker – informationssäkerhet skiljer sig inte från andra områden och en fungerande ledning tar alltid risker och kommer att göra det även när det gäller informationssäkerhet.
Att presentera risker och brister utan komma med förslag om åtgärder – denna typ av kommunikation gör ofta att ledningar går i baklås och är oförmögna att hantera problemet.
Att vara alarmistisk och försöka ”skrämma” ledningen till att vidta åtgärder – detta är det absolut sämsta sättet att kommunicera kring säkerhet och leder enligt min erfarenhet osvikligen till att ledningsgruppen stänger av och försöker undvika kontakt i fortsättningen.
Att försöka sätta sig i ledningens position och försöka förstå vad det är de vill veta – att känna till ledningens inriktning och kunna anknyta till den underlättar påtagligt kommunikationen.
Att försöka sätta sig in i vad ledningen kan och vet om informationssäkerhet och anpassa kommunikationen därefter – ofta utgår vi ifrån att de vi talar med vet mycket mer än vad de faktiskt gör.
Om man respekterar de man pratar med och deras förförståelse av ämnet är det också mycket lättare att nå fram.
Att genomföra riskanalyser med ledningen – riskanalyser ger ledningsgrupper möjlighet att själva reflektera kring risker vilket gör att de får en egen relation till frågan.
Att alltid kommunicera specifikt om den egna organisationen och dess behov – ledningar har sällan tålamod med abstraktioner, däremot om det finns en uppenbar verksamhetsnytta i den egna organisationen blir ämnet mycket intressantare.
Att presentera hur brister leder till konkreta konsekvenser i verksamheten – de tekniska orsakerna är ofta ointressanta, däremot innebär konsekvenser i verksamheten också konsekvenser för ledningen vilket får dem att lystra.
Att göra ledningsgruppen beslutsför – ledningars funktion är att fatta beslut och att då ta fram väl underbyggda underlag om risker och åtgärder för att reducera dem som det går att fatta beslut om gör de flesta ledningar vänligt stämda.

Meny Ledningen

MENU MENU Postat av Postad i , Tagged , , , Sök efter:

Eftersom frågan om spårbarhetens vara eller icke vara som en självständig aspekt av informationssäkerhet är återkommande diskuterad ska jag här göra ett inlägg i frågan.
Bakgrunden är den så kallade CIA-triaden som kommer från engelskans Confidentiality, Integrity och Availability vilket ofta på svenska översatts till konfidentialitet, riktighet och tillgänglighet.
Detta är kanske inte en optimal översättning vilket möjligen är en delorsak till de olika uppfattningar som finns om hur detta ska tolkas.
Huvudorsaken skulle jag dock vilja hävda att det med förvånande kraft hävdas att det bara finns en möjlig beskrivning av vad arbetet med informationssäkerhet syftar till och att det fångas i den svenska definitionen.
Vi (inte så få) som vill problematisera begreppen för att få dem mer anpassade till de behov vi uppfattar finns möts av tystnad.
För att ge så gott underlag som möjligt för en diskussion ska jag försöka vara tydlig och transparent som möjligt i min argumentation och hoppas att få svar i samma anda.
Utgångspunkten för mitt resonemang är ett statement som jag mer uppfattar som en dogm och som ofta formuleras som kofindentialitet, riktighet och tillgänglighet är den verkliga kärnaspekterna i informationssäkerheten och att spårbarhet är en osjälvständig stödfunktion till de övriga tre.
Nyligen såg jag det formulerat som fast sats: konfidentialitet, riktighet och tillgänglighet är tillstånd, spårbarhet en förmåga.
Vare sig eller kan härledas ur ISO/IEC 27000:2018 (ordlistan för 27000-serien) som genomgående använder property som exempelvis: property of accuracy and completeness Property kan översättas som egenskap.
Inte heller i den terminologi som tagits fram av en arbetsgrupp i SIS: Teknisk Rapport SIS-TR 50:2015 (kan tyvärr inte länka eftersom den inte är fritt tillgänglig) återfinns tillstånd respektive förmåga i denna betydelse.
I rapportens inledning står det: Informationssäkerhet handlar därför om hur informationens konfidentialitet, riktighet och tillgänglighet ska bevaras så att organisationens krav kan uppfyllas.
Dessa egenskaper kompletteras ibland även med en eller flera andra egenskaper, såsom spårbarhet, oavvislighet, ansvarighet, autenticitet och auktorisation.
Här definieras alltså konfidentialitet, riktighet och tillgänglighet som men så även bland annat spårbarhet.
I övrigt förekommer begreppet tillstånd litet här och var men aldrig på det sätt som i satsen ovan.
Närmast kommer man i beskrivningen av informationssäkerhetsmodell: Enheterna i ett system indelas i logiska grupper av subjekt (användare och deras processer), objekt och resurser.
Egenskaper hos ett önskvärt, ”säkert” tillstånd definieras och det visas att varje tillståndsövergång bevarar säkerheten vid övergång från ett till-stånd till ett annat.
Ett säkert tillstånd kräver att samtliga tillåtna åtkomstfall överensstämmer med fastställda säkerhetsregler.
Jag tolkar denna beskrivning liksom de andra tillstånd som ändå förekommer i handboken (exempelvis av redundans, anonymitet m.m.)
som en sammansatt helhet som resulterar från flera/många säkerhetsaktiviteter.
Riktighet definieras exempelvis som endast: skydd mot oönskad förändring vilket jag gissar ska läsas med en koppling bakåt till inledningen; att det är en eller möjligen en funktion.
Synsättet att det finns etablerade definitioner som ”tillstånd” respektive ”förmåga” verkar vara en uppfattning som får anses begränsat till vissa företrädare i Sverige som inte har stöd i den terminologi som tagits fram.
Detta synsätt verkar inte hämtat från något internationellt etablerat sammanhang vilket det räcker att göra en slö koll på Wikipedia för att upptäcka.
I artikeln Informations security anges som key concepts som första punkt CIA- triaden med följande beskrivning The CIA triad of confidentiality, integrity, and availability is at the heart of information security.
Inte heller i den svenska akademiska diskussionen förefaller det finnas konsensus eller ens en särskilt omfattande diskussion om CIA-begreppen.
Det gör att jag särskilt höjer på ett ögonbryn då akademiker på högre nivå utan närmare förklaring anammar satser som den ovan beskrivna utan förtydliganden.
Jag är helt enig i att detta är ett key concept – då borde det förtjäna en behandling på akademisk nivå som motsvarar dess betydelse.
Fördelen med att det saknas etablerade och allmänt accepterade definitioner är att det skapar en frihet att undersöka vilket förhållningssätt som är mest ändamålsenligt och samtidigt logiskt konsistent åtminstone på en basal nivå.
Personligen finner jag inte begreppen tillstånd respektive förmåga som särskilt tydliggörande men möjligen kan en begreppsmodellering där tankarna om detta redovisas på ett öppet sätt uppenbara en logik som jag missat.
Om vi ändå i detta sammanhang kan utgå från att det finns ett antal egenskaper som är centrala för att skapa god informationssäkerhet så är nästa fråga vilka dessa är.
Inte heller här råder den fullständiga enighet om CIA-triaden vilket man ibland kan förledas att tro.
Parkerian Hexad konstruerades redan 1998 av som adderade tre aspekter till den ursprungliga triaden: Authenticity, Availability och Utility.
Även aktuella svenska exempel på kritisk diskussion om CIA triaden.
Det av MSB finansierade forskningsprojektet SECURIT landade bland annat i antologin där ett bidrag ( av Björn Lundgren) starkt ifrågasätter CIA-triaden.
Jag kanske inte är helt övertygad om den modell som forskaren anser borde ersätta CIA-triaden men i detta sammanhang är det ändå viktigt att poängtera att det är väl värt att diskutera frågan.
ISO 27000 öppnar ju också upp för att triaden kan kompletteras med ytterligare egenskaper vilket också sker exempelvis i själva standarden i avsnittet om kryptering.
Noterbart är att ISO-standarderna inte har en konsistent hantering av begreppen sinsemellan trots att de riktar sig mot samma objekt (i detta fall informationshantering).
I SS-ISO 30300 (hantering av verksamhetsinformation) anges målen vara vilket är snubblande nära ISO 27000 men med andra definitioner.
I SS-ISO 15489 (Dokumenthantering) är ett tillkommande mål autenticitet.
Här bör en begreppsmodellering göras, särskilt som SS-ISO 30300 börjat spridas främst genom SKL.
Även här finns alltså ett behov av att göra sig redo för att öppna upp och diskutera om och hur centrala begrepp ska användas.
Själv menar jag att det finns skäl för att se närmare även på autenticitet men här ska jag koncentrera mig på spårbarhet.
Istället för att som nu negligera spårbarhetsbegreppet finns det anledning att lyfta upp det och se hur dess betydelse ökat under de senaste årtiondena och detta i flera dimensioner.
För det första är det den mest självklara dimensionen att på ett säkert sätt kunna följa vad som hänt i informationshanteringen både som en följd av mänsklig aktivitet och som tekniska händelser.
I det allt mer transaktionstäta informationsflödena där en mängd aktörer är detta en alltmer central funktion.
Här gäller detta att även uppfatta egenskapen spårbarhet som en negation, det vill säga att undvika spårbarhet till exempel som skydd för den personliga integriteten.
För att bara räkna upp några krav som inte endast omfattar informationens konfidentialitet, riktighet eller tillgänglighet utan där det också ställer krav på en hög grad av spårbarhet: Kraven på spårbarhet har också en tydlig koppling till konkreta säkerhetsåtgärder där loggning är den främsta åtgärden för att skapa spårbarhet i it-tjänster.
Loggning sker även i ett antal andra typer som i inpasseringskontrollssystem, telefoni, chatt och andra kommunikationslösningar.
I den manuella informationshanteringen kan det behöva finnas rutinerna som bland annat kan omfatta signering, vidimering, kontrollerad versionshantering och kvittensförfarande.
Observera också att om dessa åtgärder inte kan matchas mot ett definierat krav på spårbarhet kan det innebära stora merkostnader, inkräktande på den personliga integriteten och ytterst leda till lagöverträdelser om det inte går att motivera åtgärden.
För att illustrera behovet inom den samhällsviktiga verksamheten sjukvård finns det gott stöd att hämta i det paper som presenterades av Ella Kolkowska, Karin Hedström och Fredrik Karlsson vid Örebro University på en konferens redan 2009: (tillgängligt via DIVA).
Spårbarheten är alltså direkt kopplad till målsättningen för kärnverksamheten och ytterst till patientsäkerheten.
Att då som SKL ta bort spårbarheten ur sitt klassningsverktyg förefaller inte direkt som att anpassa säkerheten efter verksamhetens behov och inte heller att värna sina medlemmars intressen.
Observera också att spårbarhet inte enbart handlar om att spåra användares aktiviteter utan själva informationen.
Här finns en naturlig övergång till de andra syften som spårbarheten kommer att behöva tjäna i allt högre grad.
Den första är för att skapa autenticitet, en kvalitet som blir allt mer uppenbart nödvändig.
Spårbarhet är en tydlig faktor för att kunna skapa autenticitet och oavvislighet vilket är ett krav från arkivsidan.
I den informationshantering som sker i offentlig sektor borde alltså rimligen spårbarhet upphöjas till triadnivå, särskilt sett till kravet på rättssäkerhet och att kunna tillhandahålla information för forskningsändamål.
Jag lämnar nu autenticiteten i förhoppningen att övertygelsen om betydelsen är väl känd.
Istället ska jag skriva om något som tilltar ännu mer i betydelse, nämligen möjligheten att reproducera information.
Idag sammanställs den information som visas på skärmen från ett växande antal källor, olika tjänster och applikationer.
För att kunna reproducera information såsom den såg ut vid ett visst givet tillfälle kommer att krävas allt mer avancerade funktioner av spårbarhet.
Den som har följt ett it-avbrott på närmare håll vet att den inte enbart leder till tillgänglighetsproblem utan även till en rad andra negativa konsekvenser.
En sådan är att man ofta får versionsproblem där blir svårt att säkerställa vilken den senaste versionen av olika informationstyper var.
När fel version av en delmängd körs kan det skapa mycket stora problem där hela tilltron till informationslösningen kan gå om intet.
En fatal variant är när information förlorats utan att det går att spåra att den försvunnit.
För att sammanfatta: jag kan inte se att det finns något stöd för att begreppen tillstånd respektive förmåga är etablerade som beskrivning för olika aspekter av informationssäkerhet utan snarare att skulle vara det mest använda internationellt begreppet vilket också används i ISO 27000.
Det görs heller ingen hierarkisk skillnad mellan egenskaper av den typ som framgår i uppdelningen tillstånd/förmåga.
För att försöka vara vitsig är det svårt att spåra var uppfattningen om tillstånd/förmåga har uppstått och på vilka grunder.
CIA-triadens uppräkning av egenskaper är återkommande diskuterad och kan kompletteras vid behov även enligt ISO 27000 med till exempel spårbarhet.
I detta sammanhang vill jag understryka att en portalprincip i ISO 27000en ska anpassas till verksamhetens behov, det är alltså inte standarden i sig som skapar låsningar.
Om en uppfattning är att standarden kan anpassas till verksamhetens/samhällets behov menar jag att det gör det omöjligt att använda standarden som stöd för nationell (eller lokal) styrning av informationssäkerhet.
Det finns ju liksom inget egenintresse i att följa en standard.
Det skulle behövas en riktigt djupborrande analys på flera nivåer av hanteringen av aspekten spårbarhet i Sverige.
Jag när fortfarande ett hopp om att de som ger uttryck för starka åsikter gällande spårbarhet kan ta sig tiden att utveckla hur de tänker och inte bara konstatera sin uppfattning.
Detta är inte bara en teoretisk tankelek utan frånvaron av spårbarhet eller motsvarande som styrmedel för informationssäkerheten får mycket allvarliga konsekvenser för bland annat hälso- och sjukvård men även för förmågan att upprätthålla kontinuitet, för dataskydd och för det långsiktiga bevarandet.
Ett särskilt problem ligger i att det inte går att ta del av vare sig de resonemang som ligger bakom olika ställningstaganden eller själva standardtexterna eftersom de inte fritt tillgängliga trots att de utgör underlag t.o.m.
för föreskrifter.
Denna bristande offentlighetsstruktur har jag skrivit ett annat blogginlägg om Ett typiskt tecken för en dogm är att bevarandet av dogmen är viktigare än de negativa konsekvenser dess tillämpning får.
Jämför exempelvis med katolska kyrkans dogm att preventivmedel inte är tillåtna.
Dogmen är orubbad trots de uppenbara negativa konsekvenser detta får i form av könssjukdomar och oönskade graviditeter vilket i sin tur leder till illegala aborter med oerhört lidande och död.
I fallet med katolska kyrkan går det ändå att se vem som har ansvar för dogmerna med de dödliga konsekvenserna men vem tar ansvar för dogmer inom informationssäkerhetsområdet och de eventuella konkreta följder de kan få?
Informationssäkerhet är inte en religion och vi har inget stöd av högra makter (tror jag).
Därför när jag en from förhoppning att vi gemensamt ska försöka eliminera de drag av dogmatism som ändå florerar.
För att hantera de enorma säkerhetsutmaningar vi står inför har vi inte råd att bygga säkerhetsåtgärder på resonemang som inte tål att prövas utan vi kommer istället att behöva pröva våra intellekt till det yttersta för att åter och åter hitta de bästa lösningarna.
Och vi måste inse att detta inte är teoretiska övningar utan de val vi gör leder till goda eller mindre goda resultat i praktiken och där det ligger ett stort ansvar på oss som arbetar med informationssäkerhet.
Slutligen kan jag inte undgå att tycka att myndigheter inom informationssäkerhetsområdet är de som tillsammans med akademin måste ta ett särskilt ansvar för bryta ner dogmer och bygga kunskap som samhället kan använda.
Nu ser jag fram emot en mängd kloka motargument!
En mig närstående berättade att biblioteket där hen jobbar har en dystopihylla på barn- och ungdomsavdelningen.
Så populär är den dystopiska genren för barn att den kräver en egen hylla.
Jämfört med den yviga diskussionen om tysthetsnormen på bibliotek känns det här som en viktigare fråga för mig: varför har dystopin blivit ett så dominerande narrativ, så dominerande att även barn måste få en rejäl dos av dyster framtid?
Det är alltid svårt att bedöma sin nutid men detta är bara ett tecken på att vi för närvarande lever i en tid av ett ökande materiellt välstånd, längre livslängd, ett minskat terrorhot (i alla fall i Europa) och, sett i ett längre perspektiv, färre konflikter men med en känsla av att vi vandrar på avgrundens rand.
Egendomligt nog är oron i mindre grad riktad mot reella hot som klimatsituationen.
Undersökningar liknande den ger en ganska entydig bild av den bristande tilltron till framtiden bland unga.
Flera av senare tids mest populära serier som The handmaids tale (som bygger på min gamla favorit Atwoods bok) är också dystopier.
Inte bara barnen utan även vuxna antingen får sin redan dystra världsbild bekräftad eller influeras till en sådan via masskulturen.
Den dystopiska världsbilden fördystrar inte bara den enskilda människans liv utan avspeglar ett samhälle av rädda människor.
Att rädda människor är mer lättstyrda och mer beredda att underordna sig starka ledare som säger sig kunna erbjuda skydd är väl utforskat, bland annat av Zygmunt Bauman i verk som den Flytande rädslan.
Det förenande kännetecknet för dystopierna är ett auktoritärt styre vilket känns aktuellt även utanför fiktionens värld.
Kanske kan den skräck vi känner för de fiktiva tyrannierna i allt från Harry Potter till vuxenlitteratur omvandlas till en kraft för att förhindra auktoritära tendenser i verkligheten.
Efter att ha läst Timothy Snyders On tyranny, en kort bestseller med hög densitet, funderar jag över om dystopierna på ett olyckligt sätt medverkar till att vi accepterar auktoritära tendenser som oundvikliga.
De auktoritära tendensernas återkomst riskerar att urholka demokratin och på sikt leda till tyranni.
On tyranny beskriver faktorer som historiskt sett har berett vägen för tyranni och vad en ansvarsfull individ kan göra för att motverka att dessa faktorer får genomslagskraft.
Exemplen är hämtade dels från nazismens genombrott i Tyskland, dels det sovjetiska tyranniet.
On tyranny ger uppmaningar som att slå vakt om språket, om sanningen, om institutionerna, om integriteten, om yrkesetik och om att våga stå för en egen åsikt.
Börjar vi ge vika och kompromissa eller, ännu värre, agera som en del i den kraft som vill underminera demokrati, öppenhet och integritet så kan en snabb förflyttning ske till ett auktoritärt styrelseskick.
Exempel på rörelser i den riktningen finns i flera europeiska länder idag och det finns ingen anledning att tro att Sverige skulle vara immunt.
Det kan förtjäna att understrykas att förflyttningen mot auktoritära styren i dagens Europa i huvudsak varit interna angelägenheter och jag tänkte därför i detta sammanhang inte fokusera på vår stora stygga granne i öst utan på vad vi kan göra själva.
En möjlig slutsats utifrån den historiska erfarenheten är att ett samhälle som genomsyras av tillit är det som har bäst motståndskraft mot auktoritära styren.
Vi bör alltså inte hålla ögonen öppna enbart för de auktoritära tendenserna utan även för förhållanden i samhället som antingen skapar eller eroderar tillit.
Den tillitsdelegation som Ardalan Shekarabi tillsatt är sannolikt ett positivt steg i rätt riktning men otillräckligt eftersom målet för delegationens arbete är att ”styrningen av den offentliga förvaltningen i högre utsträckning ska baseras på ”.
Det handlar i huvudsak om saker som att föreslå nya styrmodeller i den offentliga förvaltningen som kan ersätta New public management-modeller som visat sig tämligen destruktiva, d.v.s.
tillit i förhållandet mellan regeringen och myndigheterna istället för detaljerade och mätbara kontrollprogram.
Mycket bra självklart men som sagt otillräckligt för att skapa tillit hos innevånarna i förhållande till staten eller samhället i ett vidare perspektiv.Ändå ska inte verkligen inte myndigheters roll som samhällsbärande institutioner underskattas.
Här finns ett samspel mellan att myndigheterna måste göra sitt yttersta för att få förtroende men också att medborgarna, media och debattörer accepterar ett ansvar för myndigheters och andra institutioners möjlighet att fungera.
En uppfordrande maning från Snyder som känns omodern i dagens skräniga politiska klimat är att vi måste försvara våra institutioner: It is the institutions that helps us to preserve decency.
Det här är naturligtvis ett något obekvämt perspektiv, vana som vi är att få gnälla på allt.
Jag är dock beredd att köpa Snyders resonemang och ska själv försöka komma bort från slentriangnällandet och bli mer konstruktiv.
Min övertygelse om att detta är viktigt stärktes då jag häromdagen läste en terrorismforskare hundvissla om att ”Sverige” accepterar att kriminella spränger polisbilar.
Med Snyders text färsk i minnet gjorde jag en ansträngning för att se något som helst positivt i att hen utnyttjar sin stora plattform för att göra den här typen av utspel som knappast har med verkligheten att göra.
Jag kan inte se någon sådan positiv effekt – bara att tilliten i samhället minskar.
Det måste dock poängteras att försvara institutioner som sådana inte innebär att de inte får kritiseras.
Tvärtom måste ett ständigt förbättringsarbete pågå men det måste ske med respekt för institutionerna som just institutioner.
Om vi kan vara överens om premissen att tillit är en motkraft mot auktoritära synsätt så vill jag nu gå ett steg längre och säga att vi som arbetar med frågor inom informationshantering, säkerhet och integritet har en möjlighet att i någon liten mån påverka en förflyttning i rätt riktning.
Det kräver dock kulturförskjutning inom kåren mot ett arbete tydligare grundat i värderingar och även en uppgörelse med den anti-intellektuella och delvis auktoritära hållning som alltför ofta präglar synsätt och arbetsformer.
Vikten av att förankra säkerhetsåtgärder i värderingar innebär en förståelse av att ”säkerhet” inte har ett existensberättigande i sig själv utan måste vara kopplat till att utveckla och skydda värden i organisationen, och på samhällsnivå; värden för samhället.
De materiella värdena är enkla att identifiera men i förhållandet till tillit så är det, som jag uppfattar det, framför allt öppenhet, korrekthet och respekt för den enskildes integritet.
Att detta inte faller sig alldeles naturligt för alla som jobbar med säkerhet förstår jag utifrån att ha blivit kallad både integritetsextremist och öppenhetsfundamentalist (med viss glimt i ögat) av kollegor.
Och att göra sig fri från det anti-intellektuella handlar väsentligen om att erkänna att informationshantering och säkerhet befinner sig i ett territorium av ständiga dilemman där förmågan till relevanta problemformuleringar är helt central för att vara en positiv kraft.
I detta ligger naturligtvis även förmågan att tänka och att kunna ta till sig ny kunskap samt att inse att det inte finns absoluta sanningar.
Även här föreställer jag mig en ganska mödosam process för att utveckla kåren mot en mer ändamålsenlig kultur.
Låt mig ta några exempel på frågor där säkerhetsarbete kan stärka eller stjälpa tilliten.
Den mest näraliggande proberstenen är dataskyddsförordningen som träder i kraft i maj och vars syfte är stärka den personliga integriteten (och den gemensamma europeiska marknaden).
Vi är väl ett antal som både arbetat med informationssäkerhet och integritetsfrågor, t.ex.
som PUO, men min personliga erfarenhet är att integritet försätter många säkerhetsmänniskor i ett ambivalent tillstånd.
Å ena sidan finns det redan idag lagstiftning som ska skydda integriteten och som förutsätter att informationssäkerheten medverkar till detta, å andra sidan är åtgärder som olika typer övervakning centrala i säkerhetsarbetet.
Integritet och övervakning går inte att förena utan en djupare analys där det måste finnas en beredskap för att den övervakning som skulle vara eftersträvansvärd ur ett rent säkerhetsperspektiv inte går att införa på grund av den inskränker den personliga integriteten.
Den lagstiftning som redan finns angående integritetsskydd efterlevs i många fall inte.
Jag tror inte heller att lagstiftning är tillräckligt utan att relationen mellan värderingar och lagstiftning är mer komplex än vad som framskymtar i dessa mycket seniora jurister .
Värdering och lagstiftning är helt enkelt inte synonymt (för att ta det mest slitna exemplet otrohet som inte är förbjudet men som det finns en stark värdering kring).
För att kunna hantera det återkommande dilemmat mellan integritet (som lagstiftningen kräver) och övervakning måste man ha stöd i värderingar, att verkligen bottna i att integritet är ett viktigt värde och själv aktivt verka för att förbättra den.
Lyckas man med det bidrar man till tilliten inte bara genom att slå vakt om integriteten utan även genom att på ett seriöst och öppet sätt visa att världen inte är svart-vitt utan kräver avvägningar och kompromisser.
Integritet har en tendens att frammana svart-vita resonemang och dessutom märkliga motsatsförhållanden som leder tanken fel.
Jag har tidigare skrivit om den falska dikotomi (ett argumentationsfel där det förutsätts att det bara finns två alternativ, men där det egentligen skulle kunna vara så att båda dessa alternativ är falska eller att dessa inte behöver utesluta varandra) som använts när det gäller integriteten i sjukvården.
Där har nu under 25 år patientsäkerhet ställts mot integritet trots att det är fullt möjligt att uppnå både och.
Denna falska motsättning har upprätthållits av sjukvårdens makthavare på olika nivåer och av programvaruleverantörer och är märkligt seglivad och reproduceras i alla sammanhang rörande digitalisering och e-hälsa, explicit och implicit.
Ett nytt exempel på detta är den rapport som Myndigheten för vård- och omsorgsanalys publicerade i . Rapportens syfte är att beskriva till vilket man haft stöd i enkätundersökning.
Trots den goda intentionen att ta reda på befolkningens inställning till tillgången till vårduppgifter menar jag att man hamnar i ett etiskt moras när man läser enkätens beskrivning av verkligheten och de frågor som respondenterna förväntas besvara.
Ett exempel på bakgrund: Sjukvårdspersonal har inte alltid tillgång till dina journaler som förts på andra vårdenheter.
Till exempel kan det vara så att läkaren på din vårdcentral inte kan se journalen från specialistläkare som du träffat på sjukhus.
Nu tas initiativ för att se till att olika vårdenheter ska kunna se varandras journaler, så att den vårdpersonal du träffar har tillgång till viktig information om dig.
Det är bara personal som deltar i vården av dig eller som på andra sätt behöver uppgifterna för sitt arbete som har rätt att läsa din journal.
Men detta kan ändå medföra en ökad risk att personal som inte har rätt till det läser dina uppgifter.
Redan beskrivningen sätts förutsättningen att patienten måste gå med på en ökad risk för obehörig åtkomst för att få den självklara nyttan av att behöriga vårdgivare ska få rätt underlag för sin behandling.
Samtidigt beskrivs den obehöriga åtkomsten som ett undantag Andra studier och källor pekar emellertid på att hanteringen av digitala hälsouppgifter inte alltid lever upp till dessa förväntningar på säker hantering.
trots att det är väl känt inte minst genom Datainspektionens försorg att personal som inte alls behöver det har tillgång till känslig information i sjukvården är regel idag, inte ett undantag.
När respondenten får frågor som om gissar jag att flertalet förutsätter att det endast är personal som aktivt deltar i respondentens vård som avses.
Den falska dikotomin finns ständigt som en bakgrund som när man i intervjuerna frammanar en situation på liv och död: Anser du att all vårdpersonal som du kommer i kontakt med bör kunna se (allt) ditt journalinnehåll?
a. Vilka uppgifter anser du bör vara synliga – om något – för vårdpersonal på till exempel akutmottagningen?
istället för att fråga om respondenten anser att alla inom en region inklusive fotvårdsterapeuter bör få se din psykjournal.
Min generella invändning mot rapporten, vid sidan om den falska dikotomin, är att den riktar hypotetiska frågor om specifika förhållanden där respondenterna med största sannolikhet har mycket litet kunskap som hur informationshanteringen sker, vårdens organisation och rådande säkerhets- och integritetsförhållanden.
En radikal tanke är att föreställa sig att enkäten utformats utifrån dagens verkliga situation med frågor som: Hur upplever du att tusentals anställda som inte alls deltar i din vård har tillgång till all vårdinformation och det heller inte finns rutiner för att i efterhand på ett rimligt effektivt sätt kontrollera eventuell felaktig åtkomst?
Detta innebär också en möjlighet att förändra information så att du riskerar allvarlig felbehandling.
Jag tror att den typen att frågor skulle ge en mer rättvisande bild av hur människor faktiskt bedömer sin önskan om integritet.
Svarsfrekvensen når inte upp till 30 procent vilket kan vara ett tecken på att många tilltänkta respondenter uppfattade sin förmåga att besvara frågorna som begränsad.
Det har inte utgjort något hinder för de slutsatser som presenteras i rapporten.
Jag kommer säkert att återkomma till den här rapporten då den trots sina brister och luddiga slutsatser med säkerhet kommer att användas i olika e-hälsosammanhang som ett stöd för lösningar med bristfälliga integritetskrav.
Ur ett tillitsperspektiv är det också negativt inte bara på det sätt som beskrivs i rapporten: Westins många studier har också påvisat ett starkt samband mellan graden av tillit till institutioner och inställningen till integritetsskydd.
utan också genom att institutionernas förmåga att värna den enskildes integritet påverkar tilliten.
Med den integritetssyn som signaleras i rapporten riskerar integriteten att påverkas i negativ riktning vilket i sin tur kan leda till en sänkt tillit.
Detta stärks ytterligare av den bild av verkligheten som ges inte rimmar med de granskningar av faktiska förhållanden som gjorts.
För mig blir detta ett dubbelfel sett med spaning på tillit: först de verkliga bristerna i sjukvården, därefter att de ignoreras.
Samma osäkerhet om vilken verklighet vi pratar om infinner sig lätt när det gäller säkerhetsåtgärder.
Ett uppenbart exempel är övervakningskameror.
Vetenskapligt finns det svaga för att övervakningskameror minskar kriminalitet utom då de placeras i parkeringshus.
Ändå lyfts övervakningskameror ständigt fram som ett sätt att visa handlingskraft, inte minst för att bekämpa brottslighet i utsatta områden.
Jag förutsätter att flertalet som argumenterar för fler kameror är väl medvetna om den bristande effektiviteten i åtgärden men av andra skäl ändå framhärdar i sin argumentation.
Som jag ser det leder ineffektiva säkerhetsåtgärder till en falsk trygghet eller till att själva säkerhetsåtgärderna ger belägg för att människor borde känna sig orolig eller till att alerta medborgare inser att de blir ”lurade” av myndigheterna.
Inget av dessa tre alternativ skapar en större tillit i samhället.
De bör dock få oss som arbetar med säkerhet att fundera över vilka direkta och indirekta konsekvenser vårt säkerhetsarbete kan få och att våga ifrågasätta den reella säkerhetshöjande effekten av olika åtgärder.
Avvägningen mellan integritet och vilket annat värde som helst behöver inte med nödvändigt leda till att vilket värde som helst är viktigare.
Den ambivalens som finns hos många säkerhetsmänniskor inför integritetsfrågorna finns i minst lika hög grad inför öppenhet.
Öppenhetens betydelse för samhällelig tillit är knappast ifrågasatt av någon och för svenska förhållanden finns det en stor mängd statsvetenskapliga studier om detta så jag finner det överflödigt att länka till någon enskild av dessa studier.
Den intresserade kan börja med Bo Rothstein och sedan gå vidare.
Sverige har ju också unika förutsättningar för att ge insyn i myndigheters verksamhet genom offentlighetsprincipen.
Även här finns dock ett glapp mellan lagstiftningen och de värderingar som myndigheter och enskilda tjänstemän har.
För att offentlighetsprincipen ska fungera i praktiken krävs en vilja att tillhandahålla information även om det kan leda till negativa konsekvenser för myndigheten.
Den kultur som finns inom säkerhetsområdet bär på ett arv där huvuduppgiften har varit att säkerställa att hemlig information inte blir tillgänglig för obehöriga.
Resultatet blir en osäkerhet som gör att sekretesstämpeln kommer fram för flitigt när det gäller säkerhetsrelaterad information.
Att möjligheten att sekretessbelägga information tillämpas i allt vidare utsträckning uppmärksammas av grävande journalister .
Öppenheten är basen för tillit men också ett viktigt verktyg för att kunna bedriva den källkritik som är nödvändig i ett klimat där falska nyheter och påverkansaktiviteter florerar.
Men även källkritik måste utgå från rimliga värderingar som ger tillit.
För mig som är danad i Lauritz Weibulls hårda källkritiska skola är det centralt att det källkritiska förhållningssättet tillämpas även på grunden för de egna utsagorna.
Om inte denna princip anses giltig uppfattar jag det som att vi tar ett steg mot den asymmetriska situation som råder under auktoritära regimer där enbart andra nationers påverkansförsök nagelfars medan utsagor som gynnar den egna ståndpunkten okritiskt anammas.
Tecken på sådana tendenser av överdrivet välvilligt mottagande har uppmärksammats av bland annat podden Mediespanarna rörande en undermålig rapport om rysk .
Problemet är att de som har det lovvärda syftet att avslöja rysk desinformation själva blir desinformatörer.
Det är dags att avrunda detta långa och pretentiösa inlägg med att komma några förhoppningar inför det nya året, förhoppningar som känns alldeles särskilt aktuella den här veckan då Folk och försvar drar i gång samtidigt som valåret inleds.
En första förhoppning är att vi alla har ett ansvar för att medverka till att skapa tillit i samhället.
Vi som arbetar med säkerhet bör låta vårt arbete styras av värderingar som skyddar öppenhet, integritet och demokrati.
Vi måste också våga ifrågasätta våra egna sanningar och tillämpa en systematisk källkritik där det också är tillåtet att ha fel.
Ta stöd i Timothy Snyders uppmaningar och se hur du kan omsätta dem i ditt arbete.
Läs och se dystopier men motverka att de förverkligas genom att vara extra vaksamma mot alla steg som går i en auktoritär riktning, som inskränker öppenhet och demokrati samt medborgarens möjlighet att hävda sina rättigheter även i förhållande till den egna statsmakten.
Undvik att gå in i starkt polariserade lägen som skapar falska dikotomier som att vi antingen är fullständigt naiva eller att ett storkrig står för dörren vilket legitimerar inskränkningar i öppenheten och andra demokratiska rättigheter.
Och var inte rädd, rädsla urholkar inte bara själen utan även samhället.
Som jag litet surt påpekat några gånger är kunskapsgrunden fört påfallande svagt.
Det är därför en händelse av stort intresse när en ny forskningsantologi inom informationssäkerhetsområdet publiceras som nu då presenteras.
Än mer så när den är inriktad på organisation och inte enbart teknik som den övervägande del av de svenska forskningsinsatser varit.
Antologin bygger på resultatet från ett antal olika forskargrupper som finansierats av MSB i ett femårigt forskningsprogram relaterat till frågor om informationssäkerhetskultur.
I programmet genomfördes en omfattande enkätundersökning som använts av flera av de ingående forskningsgrupperingarna.
Att det är ett konglomerat av olika discipliner som deltagit är både en styrka och en svaghet i antologin.
Styrka eftersom det ger en i delar ny och intressant belysning av informationssäkerhet, svaghet då den röda tråden i antologin känns väl tunn och att det mer har handlar om paketering än en reell knytning till just säkerhetskultur.
Att det inte är ett inarbetat forskningsområde visar sig också i att den litteratur som använts i förvånande hög grad är utgiven för tio år sedan eller mer.
Först två allmänna reflektioner efter genomläsning.
För det första beskrivs informationssäkerhet påfallande ofta direkt och indirekt som en statisk entitet, d.v.s.
på ett icke-relationellt sätt, som här t.ex: Informationssäkerhetskultur kan vara bra såväl som dålig.
Den är bra om den gynnar .
Jag menar att informationssäkerheten inte är ett värde i sig utan att det är organisationens intressen som ska gynnas av informationssäkerhetskulturen, d.v.s.
att den goda informationssäkerhetskulturen stödjer organisationen i att identifiera sitt behov av olika informationssäkerhetsåtgärder.
Den andra reflektionen är den i mitt tycke en övertro på regelstyrning.
I några av inläggen framstår det som att informationssäkerhetskulturens främsta och möjligen enda uppgift är att motivera medarbetarna att följa regler.
Med erfarenhet från att vara informationssäkerhetsansvarig alternativt konsult i rätt många organisationer har jag upplevt att det stora behovet av säkerhetskultur är att den lägger grunden för en dialog om informationssäkerhet.
Verksamheten måste vara involverad eftersom det är den som känner de egentliga behoven av säkerhet men behöver hjälp med att kanalisera dem och över huvud taget definiera dem som säkerhetsrelaterade.
I detta är exempelvis verksamhetens förmåga och intresse av att uppmärksamma risker och kommunicera dem.
Och när det gäller styrningen är det också aningen förvånande att ledarskap inte diskuteras – när organisationskultur i allmänhet brukar ses som i en nära samvariation med ledarskap.
Här tänker jag inte enbart på det generella ledarskapet i en organisation.
Minst lika viktigt är det ledarskap som de som arbetar med informationssäkerhet utövar både nationellt och i sina respektive organisationer.
Min uppfattning, som saknar vetenskapligt belägg, är att detta ledarskap fortfarande är starkt präglat av en patriarkal kultur hämtad från en militär-polisiär tradition som är illasittande i de flesta moderna organisationer.
Detta kommer ytterligare att förstärkas när Metoo-revolutionen, som inte bara handlar om sextrakasserier utan även manligt maktmissbruk bland annat på arbetsplatser, rullar vidare.
Några av inläggen läser jag med känsla av: var det inte mer?
Det är inte sååå upphetsande med en slutsats som att tjänstemän som arbetar i regelföljande organisationsklimat anammar informationssäkerhetsregler bättre än tjänstemän i organisationer utan detta klimat.
Eller att informationssäkerhetskulturen gynnas av att ledningen uttrycker att informationssäkerhet är en viktig fråga för organisationen (även om detta ändå touchar ledarskapsfrågan som jag tidigare skrev att jag saknade).
I andra fall blir jag uppriktigt förbryllad.
Avsnittet om ”praktikanpassad informationssäkerhetspolicy” blandar alla nivåer av styrande dokument på ett sätt som jag som strukturfascist känner mig ytterst obekväm med.
Bara att skriva informationssäkerhetspolycier i plural … Ett annat exempel som leder grubbel är detta: Historiskt sett baserast på tre tekniskt orienterade principer: , och .
Författarna vill komplettera dem med ”organisatoriskt orienterade och beteendebaserade principer som ansvar, rollintegritet, förtroende och etiskt handlande”.
Jag gillar känslan av att få mattan undanryckt under fötterna, för mig har aspekterna konfidentialitet, riktighet, tillgänglighet och spårbarhet varit definitioner av vad som ska uppnås i tillräcklig grad med både organisatoriska och tekniska åtgärder.
Tyvärr kan jag inte säga att den nya vinklingen som författarna från Handelshögskolan i Örebro lanserar känns uppenbar ens vid en närmare genomläsning.
”CIA”-begreppen ifrågasätts även av filosofen Björn Lundgren som vill ersätta dem med den s.k.
Trots att jag har en del högskolepoäng i filosofi går mig delar av hans resonemang förbi, kanske för att jag fastnar på ett tidigt skede eftersom det förefaller som om hans utgångspunkt är att det finns ett läge där information är ”säker”.
I min uppfattning strider detta mot det riskbaserade säkerhetsarbetet där det snarare handlar om att rikta in sig mot ett ständigt rörligt mål och få en acceptabel riskmiljö.
Andra inlägg är mer givande.
Den etnologiska studien av den konfliktfyllda kultur som råder runt framtagandet av informationssäkerhetsstandarder bör leda till eftertanke men har också vissa (ofrivilligt?)
komiska inslag.
Flera av inläggen handlar om informationssäkerhet i hälso- och sjukvård och det är kanske här antologin är som mest intressant särskilt med den tydliga kopplingen till integritetsfrågor.
När nu många nya aktörer börjat visa intresse för integritetsfrågor i samband med dataskyddsförordningen har det ett generellt intresse.
Jag ska därför göra en fördjupning rörande ett av antologins inlägg.
Jag har i olika sammanhang ifrågasatt säkerheten och hanteringen av personuppgifter i den nationella tjänsten Hälsa för mig och kan därför säkert uppfattas som jävig men vill ändå hävda att Peter Johanssons och Sofie Hellbergs bidrag som handlar om den tjänsten är det mest givande avsnittet i antologin.
Detta inte enbart för att sjukvårdens informationssäkerhet och hantering av integritetsfrågor är så viktiga i sig utan också för att de frågeställningar de lyfter fram kan generaliseras.
Bidraget inleds med en effektiv genomgång av tidigare forskning om integritet samt om några möjliga synsätt.
Själva förordar de ett s.k.
kontextdrivet förhållningssätt i motsats att försöka skapa en allomfattande och evig definition av integritetsbegreppet: Vi delar uppfattningen om att nyckeln till att förstå och hantera personlig integritet ligger det sammanhang där integritetsfrågorna uppstår.
En fördel med detta förhållningssätt är att man redan i designfasen av nya tekniker och system kan inkludera skydd för den personliga integriteten eller sätt upp regler kring nya teknikers användningsområden.
Utan ett sådant kontextdrivet förhållningssätt finns en risk att man vare sig kan identifiera eller hantera situationer där den personliga integriteten .
Detta stämmer väl med privacy by design (som ju föreskrivs i dataskyddsförordningen) även om jag hellre skulle beskriva det som privacy by design i än i system.
Forskarna identifierar de två parallella trenderna där accelererande mängder information insamlas och bearbetas samtidigt som individen får en ökad tillgång till information om sig själv.
Med denna bakgrund studerar forskarna den tidigare regeringens satsning på tjänsten Hälsa för mig.
Hur ansvaret för säkerhet och integritet ska fördelas i det informationshanteringslandskapet är inte uppenbart vilket caset med Hälsa för mig visar.
Att trycka ner ansvaret till individen med krav på hen själv ska ”styra” sin integritet har varit en bekväm lösning som myndigheter och tjänsteleverantörer.
Individens möjlighet att göra rimliga avvägningar är av flera skäl mycket begränsad av att hen inte kan överblicka användningen av informationen, konsekvenserna av detta och dessutom är i ojämn maktrelation med leverantören av tjänsten.
En egen reflektion är att författarna i marginalen låter ett inslag i den kultur som formats runt e-hälsa skymta fram när man skriver: Att personlig integritet är något som kan upplevas stå i vägen för e-hälsoutvecklingen har vi noterat vid olika e-hälsokonferenser.
Där har vi lyssnat på olika talare som raljerat över ”integritetsivrare”, vilket vi uppfattar som mycket problematiskt då det appliceras svepande på bland annat läkare och patientföreningar som representerar särskilt sårbara .
Potentiellt negativa effekter för integriteten tonas .
Detta är en kultur jag känner igen sedan åtminstone början av nittiotalet.
Som verksam inom informationshanteringen i vården blev jag vittne till ett tydligt perspektivskifte.
Från att tystnadsplikt och integritet hade varit kärnvärden i läkarkåren och vården i stort skedde en snabb relativisering (ja, jag vet att allt inte var idealiskt tidigare heller men pratar här om de uttalade etiska ståndpunkterna).
Relativiseringen av integriteten blev ett förhållningssätt som funnits med i digitaliseringsprocessen av vården ända sedan dess begynnelse, där det har målats upp en motsatsställning mellan patientsäkerhet och integritet.
Bakgrunden till detta är att det har funnits en motvilja hos sjukvårdshuvudmän, vårdgivare och systemleverantörer att göra den insats som krävs för att få en styrning av informationshanteringen och systemen/tjänsterna så att båda dessa värden kan uppnås samtidigt.
Min uppfattning är att denna relativisering främst bottnade i att sjukvårdshuvudmännen m.fl.
inte prioriterade att ta fram organisatoriska beskrivningar av hur ”vårdrelation” ska definieras, d.v.s.
vilka medarbetare som verkligen har anledning att ta del av den enskilda patientens vårdinformationen.
Detta kompletterat med att systemleverantörerna inte klarade av att leverera digitala lösningar med en för ändamålet avpassad behörighetshantering gjorde att den personliga integriteten framställdes som ett hinder för verksamheten och ett hot för patienten.
Ett tydligt tecken var den ständigt återkommande bilden på konferenser och andra sammanhang där det beskrevs hur en medvetslös patient kommer in på akuten och personalen p.g.a.
att patienten kan ge samtycke inte kommer åt information som överkänslighet eller annan medicinsk bakgrund med följd av att patienten avlider.
Att flertalet patienter inte är medvetslösa, inte på akuten och att behörighetsstyrningen kan ske situationsanpassat försvann i detta scenario som gjorde det överväldigande tydligt för många att integritet är av ondo.
En rådande doktrin var också att behörighetsstyrning var onödigt och att loggning var lösningen på kontroll av åtkomst.
Att loggning i detta syfte skulle kräva att det är mycket tydligt vem som har åtkomsträtt, d.v.s.
i princip samma förutsättning som för den behörighetshantering som man sa sig inte kunna åstadkomma, förträngdes.
Effekten blev usel informationssäkerhet samt att etiken och i förlängningen lagstiftning anpassades efter organisatoriska och tekniska brister.
Detta vore ytterst intressant att läsa om i en forskningsstudie.
Den inneboende paradoxen med självstyrd integritet samtidigt som individen inte har det egentliga valet eller möjligheten att styra begränsningen av användningen av personuppgifter är inte unik för Hälsa för mig.
Den möjlighet att spärra uppgifter som patienten fick i patientdatalagen (PDL) 2008 har i praktiken inte realiserats utan på många sätt motarbetats av vårdgivare.
Bidraget om Hälsa för mig och den bristande integritetsanalysen i det projektet illustrerar en historisk utveckling formad genom tekniska ofullkomligheter men därefter stödd av en säkerhetskultur som legitimerar den bristande säkerheten, ja rent av gör den till en dygd.
Den bristande analysen i fråga om integritet i Hälsa för mig har lett till att Datainspektionen listat ett antal förelägganden som måste åtgärdas innan tjänsten kan tas i bruk.
E-hälsomyndigheten har överklagat detta till f men i dagsläget verkar det oklart om tjänsten kommer att kunna tas i bruk.
För mig är detta antologins absolut viktigaste bidrag när det gäller att vissa betydelsen av en positiv respektive negativ informationssäkerhetskultur.
Dessutom att den kulturella påverkan på intet sätt är begränsad till en enskild organisation utan kan omfatta en hel sektor.
Här finns verkligen möjlighet till vidare forskning.
I dessa dataskyddsförordningstider är det också av stor betydelse att visa att integritet inte handlar om teknikaliteter utan om kultur och värderingar.
Sammantaget illustrerar antologin ett spretigt kunskapsområde med oklar teori och en ganska lång väg kvar att gå.
Svaret på frågan i rubriken tycker jag mig kunna se som: ja, det finns både positiv och negativ informationssäkerhetskultur och vi måste förstå mer för att kunna stärka den positiva kulturen.
På svenska är ”säkerhet” ett begrepp medan på engelska finns både ”safety” och ”security”.
Begreppen används i kunskapsområden relaterade till säkerhetsfrågor som till exempel inom trafiksäkerhet.
I korthet innebär safety åtgärder för att motverka oavsiktliga fel, misstag, negativa avvikelser, produktfel o.s.v.
medan security är skydd mot avsiktliga, antagonistiska hot.
Det är en avgörande skillnad mellan de risker som safety-åtgärder avser att reducera jämfört med security-relaterade risker.
Information security är också ett område som traditionellt varit inriktat mot antagonistiska hot vilket i hög grad har övertagits av de svenska aktörerna inom informationssäkerhetsområdet.
Både på engelska och svenska är spåren från denna bakgrund mycket tydliga.
Jag har länge funderat över varför det rådande paradigmet inom informationssäkerhetsområdet fortfarande är så inriktat på antagonistiska hot.
Det anspråkslösa empiriska material som finns kring vilken typ störningar i informationshanteringen som ger stor verksamhetspåverkan tyder ju snarare på att det stora problemet ligger i exempelvis bristande uppdateringar i it-lösningar.
Om syftet medt är att reducera störningar som påverkar olika verksamheters möjlighet att upprätthålla sin leverans med acceptabel kvalitet så förefaller fokuseringen på antagonistiska hot kontraproduktiv.
Trots att jag tror att de flesta som sysslat med informationssäkerhet vet att det förhåller sig på det här sättet, både när det gäller hotbilden och fokuseringen på antagonistiska hot, är det märkligt besvärligt att föra en diskussion om frågan.
Orsaken till att det är svårt att diskutera frågan är att security-begreppet skapat en hegemoni som så starkt styr synsätt och de underliggande begreppen och därmed skapar ett paradigm där andra synsätt utesluts.
Att tala om paradigm i samband med informationssäkerhet kan ju tyckas både paradoxalt och onödigt teoretiserande.
Paradoxalt eftersom jag tidigare hävdat att informationssäkerhetsområdet är anti-intellektuellt och paradigm kan ju tolkas som ett akademiskt genomarbetat teoribygge.
Detta är dock en felsyn eftersom ett paradigm ofta helt eller i delar är ett omedvetet tolkningsmönster, integrerat i iakttagarens blick.
Det är också det som gör det svårhanterligt, paradigmet ligger som ett filter över verkligheten och gör att endast det som går att passa in i tolkningsmönstret slipper in.
En situation som gjorde mig brydd och som kan illustrera paradigmets kraft var när jag deltog i ett arbete på en myndighet som förutsatte att vi kunde nå fram till en definition av vad en incident är.
Med min bakgrund i verksamhetsnära informationssäkerhet var det uppenbart att begreppet incident som måste innefatta alla typer av händelser i informationshanteringen som leder till störningar i verksamheten.
Eftersom både it, informationshantering och informationssäkerhet har sitt existensberättigande som stödfunktioner för kärnverksamhetens processer så är grundorsaken till en störning för verksamheten irrelevant, antagonistisk eller inte.
Detta synsätt delades dock inte alls av deltagaren som skulle tillföra ett it-säkerhetsperspektiv.
Hen hävdade outtröttligt att endast händelser med ett antagonistiskt ursprung kan innefattas i begreppet incidenter.
Buggar, uppdateringsfel och brister i rutiner, oavsett hur dramatiska effekter på verksamheten de får, är inte incidenter enligt detta synsätt.
Varje möte i vår arbetsgrupp strandade på denna fråga.
När jag försökte framföra att denna definition av begreppet, bortsett från allt annat, även skulle leda till stora praktiska problem eftersom det ibland kan ta dygn eller ännu längre innan det går att hitta orsaken till en störning.
Ska de då räknas som incidenter och hanteras enligt fastställd incidentrutin eller inte?
Och ska en organisation ha två olika rutiner för ”negativa händelser” i informationshanteringen beroende på dess upphov trots att verksamhetspåverkan är exakt den samma?
Jag kan nu se orsaken till att vi inte kunde kommunicera på ett konstruktivt sätt i denna viktiga fråga var security-paradigmet så skymde sikten att de verkliga frågeställningarna försvann.
Att det skulle vara onödigt teoretiskt att tala om paradigm är kanske ett allvarligare felslut eftersom det är just den medvetna eller omedvetna teorin som stödjer oss i att hantera de högst praktiska frågor som leder till en bättre informationssäkerhet.
Jag tänker ganska ofta på en organisation i flygbranschen där jag var konsult under några månader och intervjuade ett stort antal personer.
Det slående var att alla som var oinvigda i informationssäkerhetens mysterier men väl insatta i trafik och kommunikation frågade om jag avsåg security eller safety när jag pratade om informationssäkerhet.
För dem var distinktionen självklar och funktionell; att ha säkerhetskontroller på flygplatser för att förhindra terrorister är en viktig uppgift men minst lika viktigt är att ta bort isen från flygplansvingar så att planet fungerar på bästa sätt.
Som passagerare är jag ytterst tacksam för den vikt som läggs vid safety-frågor som sannolikt har större betydelse för att så få trots allt blir skadade i trafiken generellt.
Detta gäller inte bara flyget naturligtvis.
Säkerhetsbältet i bilen skyddar mig inte mot terrorister men sannolikheten för att råka ut för en oavsiktlig trafikolycka bedömer jag som betydligt större och säkerhetsbältets påverkan på dödade och skadade i trafiken kan knappast överskattas.
Jag vill därför förorda att vi börjar arbeta mot ett paradigmskifte där ”Information Safety” blir lika prioriterat som ”Information Security”.
Det betyder att något överge krigsretoriken med ständiga antagonister, attacker och hot och mer inrikta sig på ett kvalitetsarbete i den gråa vardagen, att prioritera upp uppdateringar, rutiner, dokumentation, planering och utvärdering på ett systematiskt sätt.
Att kunna upprätthålla två samtidiga perspektiv är nödvändigt om vi verkligen vill att viktiga verksamheter ska kunna upprätthållas med tillräcklig kvalitet.
Av en händelse ser jag att Daniel Forslund, liberalt landstingsråd för (L) i Stockholms läns landsting med ansvar för innovation, eHälsa, IT-utveckling och patientnära tjänster, på en PR-site för ett it-bolag gör ett intressant uttalande .
Sammanhanget för uttalandet kan i sig tyckas symptomatiskt med tanke på den ofta litet väl nära relation som funnits mellan sjukvårdspolitiker, landstingstjänstemän och it-leverantörerna men den frågan lämnar jag för tillfället.
Det som är intressant är följande avsnitt apropå de tre stora sjukvårdshuvudmännens satsning på en ny it-plattform: För den medborgare och/eller patient som inte haft insyn vare sig i den rådande ideologin inom sjukvården eller i den praktiska verkligheten måste detta uttalande vara ganska häpnadsväckande.
Är det inte en självklarhet att integritet och patientsäkerhet måste kunna upprätthållas samtidigt?
Tyvärr är svaret att under de senaste decennierna har integriteten i sjukvården steg för steg nedmonterats både som värdering och i utformningen av den informationshantering som ska stödja vårdprocesserna.
Detta är inte enbart min personliga uppfattning utan finns även som en av de slutsatser som Integritetskommittén dragit i sin kartläggning ”Hur står det till med integriteten” http://www.regeringen.se/pressmeddelanden/2016/06/kartlaggning-identifierar-allvarliga-risker-for-den-personliga-integriteten/.
Tyvärr har inte de utredningar som skett inom e-hälsoområdet heller sett detta som en prioriterad fråga.
Förhållningssättet till integritet som funnits med i digitaliseringsprocessen av vården ända sedan dess inledande faser är att det har målats upp en motsatsställning mellan patientsäkerhet och integritet.
Det har också funnits ett mycket svagt intresse hos sjukvårdshuvudmän, vårdgivare och it-leverantörer att göra den insats som krävs för att få en styrning av informationshanteringen och systemen/tjänsterna så att båda dessa värden kan uppnås samtidigt.
Min tolkning är att man istället anpassat etik och lagstiftning efter tekniska brister.
Integritetsfrågorna har också lyfts bort från de myndigheter som normalt arbetar med att reglera och tillsyna informationshanteringen i vården, t.ex.
IVO och tidigare Socialstyrelsen.
Tidigare skedde en gemensam intresseavvägning mellan patientssäkerhet och integritet inom samma myndighet som dessutom hade vården i sin helhet som uppdrag.
Nu förväntas Datainspektionen med sina begränsade resurser och mandat försöka styra hanteringen av personuppgifter i rätt riktning inom vården.
Intresseavvägningen mellan patientssäkerhet och integritet har därmed flyttats till den enskilde vårdgivaren som ska uttolka de olika myndigheternas icke samordnade reglering i en informationshantering som däremot blir alltmer gemensam.
Dessutom har tillsynen av de regler för skydd av integritet som faktiskt finns varit otillräcklig.
Det är inte enbart tekniken som varit orsak till att integritetens allt lägre prioritet.
Både organisationsförändringar och förändrade vårdformer har starkt påverkat synen på avgränsning och ansvar för informationen.
För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård.
Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades).
Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman.
Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän.
Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring.
Vid sidan om offentlighetslagstiftningen fanns patientjournallagen som gav vårdgivarna ansvar att både säkerställa patientsäkerhet och integritet.
Socialstyrelsen hade tillsyn enligt patientjournallagen även i de delar som gällde att värna patientens integritet.
Det fanns också en yrkesgrupp som var utbildad för att professionellt hantera vårdinformation – läkarsekreterarna.
Vi som under stark motvind försökt driva integritetsfrågan i sjukvården har bemötts med i princip alla de logiska fallacier som finns i den här både lärorika och underhållande uppräkningen .
Särskilt populära har i min anekdotiska erfarenhet varit: Det kanske vanligaste har ändå varit härskartekniker som tystnad och osynliggörande vilket kanske varit det tråkigaste eftersom det lett till att en mer seriös diskussion inte förts och viktiga intresseavvägningar inte gjorts.
Själv hoppas jag på en mer rationell diskussion som klarar att beakta flera intressen samtidigt.
Integritet har trots detta blivit en allt viktigare fråga i e-samhället och det är naturligtvis positivt att makthavare inom sjukvården också uppfattar det.
Det är bara att hoppas på att det finns en seriös vilja att verkligen åstadkomma detta i 3R-projektet även om det är svårt att tolka in det i det dokument som det hänvisas till http://www.sll.se/Global/Politik/Politiska-organ/Landstingsfullmaktige/2016/2016-06-14-15/forslag-41sid19.pdf.
I beslutet om upphandlingsunderlag står det: Inte så mycket om integritet alltså.
Frågan i rubriken får vara obesvarad ett tag till.

Tillförlitlighet Äkthet Integritet (oförändrad) Användbarhet avtalshantering ansvarsutkrävande interna kontrollsystem upptäckt av avvikelser teknisk övervakning dataskydd patientsäkerhet medarbetares integritet medarbetares rättssäkerhet brottsutredning forensik fysiskt skydd Strawman: om du är för integritet och ser att den frågan inte hanterats i digitaliseringsprojekt så är du emot digitalisering i sig och vill gå tillbaka till pappersjournaler och hur bra var det med alla som sprang i journalarkiven?
Black or white: om du är för integritet så är du emot patientsäkerhet eftersom det framställs som omöjligt att vara för både och.
Anecdotal: Eftersom det inte finns någon egentlig sammanställning och utvärdering av vilka brister i informationshanteringen som lett till vårdskador så har ofta begränsningar i informationstillgången framställts som orsaken medan det kanske snarare handlat om bristande riktighet eller spårbarhet – detta bevisat genom egna anekdotiska bevis (vilket även kan ses som false cause, det vill säga att man skapar en korrelation som inte kan underbyggas).
Bandwagon: I och med att det funnits en gemensam acceptans för bristande integritet bland sjukvårdspolitiker och andra makthavare i vården så har det varit lätt att implicit och explicit driva en linje innebärande ”att alla gör så och varför skulle vi då ha krav på oss att göra annorlunda?”.
Appeal to authority: Mycket kraftfullt har varit att framställa läkare, annan vårdpersonal och vissa starka patientföreningar som innehavare av sanningen som inte går att motsäga.
Att de representerar särintressen har inte alltid framkommit.
Begging the question: Ett vanligt exempel som jag fått höra sedan början av nittiotalet är: ”tänk när någon kommer in medvetslös på akuten och vi kan rädda hen om vi bara får tillgång till all information – hur kan du vara emot det?” I detta exempel ligger ju antal inbäddade förutsättningar som att detta är den vårdsituation som vi bör ha som mall för alla andra (vilket även är ett exempel på composition/division) och att den som förespråkat integritet därmed sagt att det aldrig finns undantag eller speciella rutiner.

integrity inte alltid

Integritet och hälso- och sjukvård

MENU MENU Postat av Postad i , , , Tagged , , , , , , Postat av Postad i , , Tagged , , , Postat av Postad i , , , Tagged , , , Postat av Postad i , , , , , Postat av → Postad i , , Postat av Postad i , , , , , Tagged , , , , Sök efter:

tillstånd förmåga egenskaper egenskap Informationssäkerhet och organisationskultur Vad är säker kultur Information Security Goals in a Swedish Hospital egenskap Befolkningens inställning till nytta och risker med digitala hälsouppgifter Vad är din uppfattning om att olika vårdenheter får tillgång till varandras journaler?
Informationssäkerhet och sekretess riktighet tillgänglighet processer Satsningen på en ny plattform som nu ska göras innebär att man nu kan öka både patientsäkerheten och integritetsskyddet på ett sätt som varit svårt tidigare.
– Förut har man varit tvungen att kompromissa mellan dem.
Man har låst in data i respektive system vilket gett ett bra integritetsskydd men en sämre patientsäkerhet, men för första gången kan man nu höja nivån på båda samtidigt.
Dagens tekniska system gör det möjligt att ha gemensamma databaser och ändå sätta behörigheter på informationen.
Om du är kvinna och bryter ett ben behöver ortopeden inte ha tillgång till dina gynrapporter till exempel.
Vi kan också kravställa spårbarhet, vem som läst din information, på ett annat sätt, samtidigt som vi kan öka patientsäkerheten, säger Daniel Forslund.
Kärnsystemet ska stödja följande skapa incitament för verksamhetsutveckling, inklusive arbete med standardisering kopplat till begrepp som process, teknik, patientsäkerhet och kvalitet etablera förutsättningar för arbetet med en gemensam informationsstruktur omfattande informationsmodeller och termer/begrepp system ge invånaren en ökad tillgänglighet till och enklare kommunikation med vården Stockholms läns landsting ge invånaren möjlighet till att ta aktiv del i och ansvar för sin hälsa och sjukvård ge vårdverksamheten tillgång till en användarvänlig informationsmiljö i realtid med besluts- och processtöd ge kvalitetssäkrad information för att kunna utveckla vårdens processer och dess arbetssätt ge verktyg för forskning, utveckling och utbildning ge ett lättillgängligt verktyg för myndigheter och vårdgivare så att arbetet med kvalitets- och ledningssystem underlättas.

Tre rapporter rörande obligatorisk incidentrapportering har kommit sedan årsskiftet: två från MSB och en från IMY (Integritetsskyddsmyndigheten).
Spännande läsning men säger rapporterna något väsentligt som jag kan dra nytta av i mitt säkerhetsarbete?
Under senare år har det nationella och även europeiska säkerhetsarbetet präglats av en klockarkärlek till obligatorisk inrapportering av incidenter.
Själv känner jag mig mer ambivalent.
Å ena sidan kan det tyckas som en självklarhet att det ska finnas en nationell lägesbild över vad som händer både för det akuta läget men även för att dra nytta av erfarenheterna som det brukar heta.
Å andra sidan är incidentrapportering en aktivitet som rusar i komplexitet när man bara börjar skrapa på ytan, det räcker att försöka rigga en fungerande process i den egna organisationen för att inse det.
Se bara den enkla processbeskrivning jag tagit fram som stöd för den enskilda organsiationer: Tyvärr måste jag medge att jag inte är alldeles övertygad om att kvantitativa insamlingar av något så komplext som incidenter är det bästa sättet att bringa klarhet i vilka verksamhetsstörningar och andra typer av realiserade hot som kan kopplas till it-incidenter (vilket är det som MSB och NIS-direktivet fokuserar på).
Förutom att det tynger de inrapporterande verksamheterna i kritiska faser undrar jag generellt om kvaliteten på rapporteringen och vilken säkerhetshöjande effekt den har.
Generellt är det ett problem att det saknas systematik i det nationella säkerhetsarbetet.
I myndigheter, kommuner, regioner och företag försöker vi få till en PDCA-snurra med ett tydligt C men i de nationella satsningarna för att stödja säkerhetsarbetet tycks inte utvärdering ses som ett nödvändigt steg.
För att ta ett par exempel så har jag frågat MSB om vilken utvärdering som skett av det s.k.
Metodstödet som ligger ute Informationssäkerhet.se och vilken säkerhetshöjande effekt det haft samt ställt samma typ av fråga till SKR angående KLASSA.
I båda fallen var svaret att man inte genomfört någon utvärdering och några planer i den riktningen nämndes inte heller.
Det finns en risk att mycket blir vad jag brukar kalla ”religiös säkerhet”, d.v.s.
åtgärder som vidtas i god tro men där det krävs just tro istället för evidens för att se resultaten.
Ofta handlar det om det som jag redan skrivit om som Graeberskt: när arbetet stannar vid dokument som skrivs, mallar som fylls i, enkäter som besvaras och engångsutbildningar som inte leder till någon djupare kunskap.
När en kommun glatt skriver om att deras styrande dokument blivit ”godkända” av tillsynsmyndigheten men att man inte tittat på hur det faktiskt ser ut i verkligheten tycker jag mig leva i Graebers värld av BS jobs.
Det finns en risk att nationell incidentrapportering blivit så populär just för att den kan röra sig i denna värld.
Vad kommer man då fram till i rapporterna?
För att få litet grepp om frågan har jag gjort en sammanställning av 2020 års inrapporterade incidenter: Jag har tagit del av den granskningsrapport som KPMG genomfört på uppdrag av Region Stockholm efter 1177-skandalen och som av en händelse (?)
publicerades dagen för midsommarafton.
Rapportens omfång motsvarar på intet sätt skandalens omfång utan är ett luftigt dokument på 14 sidor inklusive bilagor.
Att rapporten är tunn räknat i sidor behöver naturligtvis inte påverka skärpan i analysen men som rätt luttrad granskare av informationssäkerhet känns de 14 sidorna som rätt kraftigt i obalans med uppdragets genomförande och omfattning: Granskningen har omfattat en kombination av IT-revision, inhämtning av information från tillgänglig dokumentation av karaktären styr- och stöddokument, uppföljningsrapporter samt intervjuer med nyckelpersoner.
Granskningen har utgått från vedertagna granskningsmetoder inom området informationssäkerhet, vilket omfattat såväl Vårdgivaren och dennes underleverantörer som Region Stockholm genom HSF.
En lista över de personer som intervjuats återfinns i bilaga 2.
Granskningen har genomförts under maj-juni 2019.
Vidare är rapportens utformning i avvikelseformat där endast väsentliga iakttagelser har lyfts fram med förslag på förbättringsåtgärder, inklusive eventuella behov att förtydliga avtal, uppföljningsrutiner och processer för att minimera att motsvarande inträffar igen.
Att på så få sidor beskriva Region Stockholms, Medhelps och ett antal underleverantörers styrning av sin informationssäkerhet, vad som gått fel och vad som bör göras för att undvika att systemfel som det inträffade upprepas känns inte riktigt seriöst.
Den sammanfattande bedömningen är dock på allvar oroande: Vår övergripande bedömning är att HSF bör se över kravställningen på informationssäkerheten i samband med upphandlingar samt att uppföljningsprocessen behöver struktureras och formaliseras för icke funktionella krav, däribland informationssäkerhet.
I allt väsentligt behöver kravställningen preciseras för att säkerställa att leverantörerna är införstådda i HSF:s förväntningar, men även för att öka den interna förståelsen för hur kraven ska följas upp.
Att avtalskraven beträffande informationssäkerhet är allmänt hållna, samtidigt som standarden inom området inte är fullt integrerad i HSF:s verksamhet, innebär i praktiken att Vårdgivarens hantering av informationssäkerhet endast har följts upp i begränsad omfattning.
Vad gäller Vårdgivaren kan vi konstatera att det inte finns något dokumenterat ledningssystem för informationssäkerhet samt att det förekommit brister i rutinen för utvärdering och uppföljning av underleverantörer till vårdtjänsten.
Vi noterar dock att Vårdgivaren, sedan incidenten, arbetar med en åtgärdsplan för att förbättra informationssäkerheten, rutiner beträffande kontroll av leverantörer samt planerar för en certifiering inom ISO 27001.
Vi noterar att de akuta bristerna hänförliga till incidenten har hanterats, bland annat genom den skyndsamma nedstängningen av den felkonfigurerade servern, uppsägningen av avtalet med underleverantören som givit upphov till incidenten samt inhämtandet av all patientinformation till Vårdgivarens egen tekniska lösning.
Vi har dock identifierat ett antal framåtblickande förbättringsområden som rör HSF:s övergripande arbetssätt beträffande informationssäkerhet, fördelningen av roller och ansvar samt metoden för hantering och uppföljning av leverantörer.
Vidare har vi även identifierat åtgärder hänförliga till Vårdgivarens arbete med informationssäkerhet och den planerade ISO-certifieringen samt sättet till vilket Vårdgivaren arbetar med att vidareförmedla HSF:s avtalskrav beträffande informationssäkerhet.
HSF är alltså Hälso- och sjukvårdsförvaltningen i Region Stockholm och vårdgivaren Medhelp.
Att Region Stockholm inte lyckas formulera tydliga säkerhetskrav i upphandlingar i en så central tjänst som 1177 är i sig skandalöst.
Att sedan Medhelp som vårdgivare helt saknar ledningssystem för informationssäkerhet och att Region Stockholm inte ens ställt krav på en så grundläggande nivå är information som bekräftar min bild att den svenska sjukvården fortfarande ignorerar behovet av informationssäkerhet.
1177-skandalen var trots allt bara sten som vändes, om än stor.
Det som verkligen oroar är de brister i Region Stockholm säkerhetsarbete som avslöjas indirekt i rapporten.
Dessa brister gör det mycket sannolikt att 1177 bara är en del i större systemfel där patienters hälsa och integritet är i en ständig riskzon om rapportens uppgifter stämmer.
Ta till exempel följande iakttagelse från granskarna: HSF saknar ett fullständigt ledningssystem för informationssäkerhet (LIS).
Enligt den regionsövergripande informationssäkerhetspolicyn ska varje nämnd införa ett lokalt ledningssystem för informationssäkerhet.
I förekommande fall har HSF tagit fram lokala styrande dokument för informationssäkerhet, men dessa återspeglar i allt väsentligt de styrdokument som finns på regional nivå.
Graden av verksamhetsanpassning är relativt låg och förvaltningen har inte tagit fram några instruktioner eller utvecklat processer för hanteringen av informationssäkerhet.
Vi noterar att instruktioner håller på att arbetas fram, men dessa berör hanteringen av portabel IT-utrustning och syftar således inte till att tydliggöra riktlinjerna för hur förvaltningen.
Region Stockholm har alltså inte tagit fram säkerhetsregler för avpassade för sjukvården utan i huvudsak nöjt sig med de generella för regionen (trots att det funnits en föreskrift att så ska göras sedan 2008 SOSFS 2008:14) och att man inte heller är på väg att göra det för mer än för bärbar utrustning.
Jag tror redan den som rent tillfälligt jobbat med informationssäkerhet i vården förstår hur mycket arbete och eftertanke som krävs för att anpassa generella regler så att de fungerar i vården, t.ex.
bara att ge en uttolkning av ansvasförhållandena för informationshanteringen är en mycket komplex fråga.
Situationen i Region Stockholm gäller även hos Medhelp som inte heller har förmåga att ställa relevanta krav på sina underleverantörer: Processer och rutiner ska finnas för att säkerställa uppfyllandet av Socialstyrelsens krav på informationssäkerhet.
Vårdgivaren har inget dokumenterat LIS och det är vår bedömning att vissa processer saknas för att kunna försäkra att kraven uppfylls.
Vi noterar exempelvis att Vårdgivaren, i enlighet med vedertagna standarder och god praxis, inte har ställt ändamålsenliga krav på samt följt upp leverantörers hantering av informationssäkerhet.
Vidare anger Socialstyrelsen att vårdgivare ska ha en informationssäkerhetspolicy som anger mål och inriktning på verksamhetens arbete med informationssäkerhet.
Vi har identifierat att Vårdgivaren har antagit en informationssäkerhetspolicy i maj 2019.
Vi noterar i sammanhanget att Vårdgivaren planerar för en certifiering inom ISO 27001 till kvartal 2, 2020 samt har ett ledningssystem för GDPR.
Den här råttan-på-repet situationen illustrerar väl varför startpunkten för att förbättra säkerheten i vården på måste ligga på sjukvårdshuvudmännen eftersom det är huvudmännen som utformar förutsättningarna för de övriga aktörerna.
Tyvärr har ju lagstiftning och föreskrifter i huvudsak varit inriktade på vårdgivarna vilka i praktiken numera har svårt att ens den egna informationssäkerheten eftersom informationen hanteras i gemensamma lösningar.
Det är därför extra nedslående när sjukvårdshuvudmännen väljer att inte driva frågan ens i den egna verksamheten och inte heller att respektera de föreskrifter som finns.
Framför allt är det en fråga där det inte skulle behövas en föreskrift för att få de styrande i Sveriges största sjukvårdshuvudman att inse behovet av att styra informationshanteringen så att patienterna kan lita på att få god och säker vård.
I den kommentar som regionens ansvariga för vård upprepar man att man ska införa emen fokuserar i åtgärderna huvudsakligen på underleverantörerna.
Men att styra underleverantörerna utan ett eget fungerande regelverk är ett moment 22 som även granskarna noterar: HSF ställer inte tillräckligt tydliga krav på sina privata vårdgivare vad gäller deras informationssäkerhet.
Kravställningen på informationssäkerhet sker genom tillämpningen av en standardbilaga, vilken anger att leverantörer/vårdgivare ska följa regionövergripande styrande dokument för informationssäkerhet.
Vi noterar att de styrande dokumenten, i sin tur, anger att informationssäkerheten hos de som arbetar på uppdrag av Region Stockholm ska regleras genom avtal.
Vår bedömning är att dessa hänvisningar kan ge upphov till skiljande uppfattningar gällande kravbilden på informationssäkerheten.
Med hänsyn till att Socialstyrelsen anger som krav att vissa kontrollmål ska uppfyllas beträffande informationssäkerheten, företrädesvis med stöd av ett LIS enligt standarder i ISO 27000-serien, är det även vår bedömning att HSF:s tillkommande avtalskrav endast ger en begränsad effekt vad gäller att tydliggöra förväntningarna på de privata vårdgivarna.
Jag ska inte tjata mer om hur uppseendeväckande det är att Region Stockholm trots föreskrifter, alla incidenter och trots alla granskningar genom åren ändå inte prioriterar att införa ens ett regelverk för vården att utgå ifrån.
Det gör att man vare sig kan ha ett internt systematiskteller ställa relevanta krav på underleverantörer, det senare framgår på ett nästan tragikomiskt sätt i relationen med Medhelp.
Informationssäkerheten i vården är ingen ny fråga utan har varit uppmärksammad sedan åtminstone första hälften av nittiotalet.
Den stora frågan är Region Stockholm (och övriga sjukvårdshuvudmän) år efter år undviker att komma till rätta med bristerna.
Varför tycker man att det är rimligt att utsätta verksamheten och patienterna för de stora risker som den bristande säkerheten leder till samtidigt som man är beredd att investera ofattbara resurser i experiment som NKS?
Och nej, det går inte att säga att 1177 var ett undantag från en i övrigt fungerande situation.
KPMG:s rapport är den senaste i en rad av rapporter som visar att den bristande säkerheten är ett systemfel som genomsyrar hela den svenska vården – har man inte styrning av informationssäkerheten så finns den inte mer än fläckvis och utan möjlighet att reducera riskerna.
En relaterad fråga är om NIS-direktivet kommer att ha någon positiv inverkan över huvud taget eller om även denna styrning mot ekommer att ignoreras.
Om läsaren tycker att jag ger en alltför mörk bild av Region Stockholms informationssäkerhet rekommenderar jag att ni läser KPMG:s knapphändiga rapport som ändå ger en antydan om regionens förmåga rörande informationssäkerhet.
Tillägg 2019-06-24: Lägger ut rapporten som pdf här: Först en disclaimer.
Denna text är skriven med ett visst undertryckt ursinne.
Under 7-8 år under mina vittflygande studier jobbade jag samtidigt på ett boende för psykiskt funktionsnedsatta barm och ungdomar.
Den erfarenheten gör att jag framförallt tänker på de patienter och anhöriga som drabbats av 1177-skandalen men också på den vårdpersonal som till skillnad från digitaliseringsbyråkrater, ”visionärer” och ”evangelister” möter patienter.
De ska nu leva i oro över hur deras arbetsgivare hanterar den information som de i förtroende tar emot och där samtal från hjälpsökande patienter studsar vidare för hantering i Thailand.
Jag jobbade också i ett landsting under 90-talet då politiker, it-leverantörer och byråkrater gick in i en lustiger dans om digitalisering som var mycket lösligt kopplad till verksamhetsbehov.
Att försöka skjuta in frågor om informationssäkerhet eller kvalitet i informationshanteringen stämplades som närmast illojalt eller i bästa fall som tugg som man måste genomlida innan man gick vidare precis som förut.
Filifjonkan på bilden har inte bara med ångestridna patienter att göra utan också känslan av den annalkande katastrofen som hon symboliserar.
Det finns inget som är så lätt som att förutspå framtiden i efterhand.
Många är nu chockade och totalt överraskade över vad som framkommit om 1177 och dess underleverantörer.
Att försöka påpeka vikten av god informationssäkerhet vid digitaliseringen har som sagt varit ett arbete i stark motvind för att inte säga full stormstyrka i 25 år.
Ofta har den berättigade oron för den alltmer bristande säkerheten inom vård-it utmålats som ett Filifjonka-aktigt beteende och att varningarna för riskerna skulle ha lika litet med vår verklighet att göra som Filifjonkans permanenta ängslighet i Mumindalens idyll.
När det nu exempelvis framkommer att Region Värmland har anlitat en underleverantör för att hantera den extremt känsliga informationen i telefonrådgivning endast med dessa säkerhetskrav: Leverantören ska skydda sin information mot otillbörlig åtkomst och förstörelse i enlighet med gällande lagar, förordningar och föreskrifter.
Hur skyddet genomförs ska dokumenteras.
Leverantören ska på begäran kunna uppvisa denna dokumentation för landstinget.
Leverantören ska följa landstingets vid var tid gällande riktlinjer för informationssäkerhet.
ger det en indikation om hur relevant oron faktiskt var/är.
Observera att inga ytterligare krav ställts till exempel i form av en säkerhetsbilaga som förtydligar vad det är man vill ha, inte ens ett personuppgiftsbiträdesavtal i någondera riktningen finns.
Otroligt nog verkar hela den massiva hypen kring dataskyddsförordningen gått regionen förbi.
Med tanke på att hela härvan ännu inte är utredd ska jag, för att undvika förhastade slutsatser, inte kommentera alla juridiska och tekniska detaljer.
Enkla lösningar är det redan alltför många som kommer med.
Inte heller finner jag det meningsfullt att ägna mer tid åt den lyteskomik som svaren från de olika leden i leverans av telefontjänsten i 1177 gett utrymme för.
Istället ska jag försöka ringa något av det systemfel som ligger som grund för den uppkomna situationen.
Grundproblemet ligger i att vård-it i Sverige under trettio år har fått växa fram inte som en sammanhängande infrastruktur utan som en brädhög där olika aktörer kunnat lägga på sin egen bräda utan att behöva ta hänsyn till någon gemensam plan.
Detta skapar naturligtvis en låg grad av funktionalitet trots de enorma resurser som lagts på digitaliseringen men dessutom har det också skapar de oöverblickbara säkerhetsrisker som 1177-skandalen är ett av de mest flagranta exemplen på.
Den främsta säkerhetsrisken är att det i många fall är omöjligt att klarlägga ansvaret för säkerheten vilket med all önskvärd tydlighet framgår i fallet med 1177.
Intuitivt skulle nog de flesta säga att det största ansvaret ligger hos sjukvårdshuvudmännen, det vill säga främst regionerna/landstingen som i den svenska förvaltningsmodellen delegerats ansvaret för och där ansvaret definieras i hälso- och sjukvårdslagen: Med huvudman avses i denna lag det landsting eller den kommun som enligt lagen ansvarar för att erbjuda hälso- och sjukvård.
Inom en huvudmans geografiska område kan en eller flera vårdgivare bedriva verksamhet.
När det gällde hanteringen av information inklusive säkerhet var detta ansvar inte särskilt besvärligt att definiera på den tiden då landstingen också utförde den absoluta merparten av vården.
Då var journalerna allmänna handlingar som tillhörde landstinget och det också ställdes tydliga krav på hanteringen (ja, jag vet att det inte alltid funkade jättebra i verkligheten men jag rör mig nu på systemnivå).
I och med kommunalisering (ÄDEL) och privatiseringsvågen blev ansvaret otydligare.
Som en andra skänkel i saxen som klippte av tydligheten i ansvarsfördelningen fungerade rörelsen mot alltfler samarbeten mellan landsting som exempelvis Sjunet och de nationella tjänsterna.
Det är här jag menar att juridiken inte hängt med, inte genom att ställa krav på integritet i det nya landskapet.
Det juridiska ansvaret läggs nämligen främst på vårdgivaren: Med vårdgivare avses i denna lag statlig myndighet, landsting, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet.
Vårdgivaren kan vara vilken aktör som helst som bedriver någon form av vård, till exempel Medhelp.
Denne har också ansvaret för informationssäkerheten vilket mycket specifikt beskrivs i Socialstyrelsens föreskrift med regler för vårdens Problemet är bara att den mest säkerhetsmedvetne vårdgivaren ändå inte kan hålla sig för sig själv utan måste fungera i brädhögen av oklara ansvar eftersom man till exempel med nödvändighet måste använda bland annat nationella tjänster.
I och med detta faller alla de många goda råd som även säkerhetsexperter av olika dignitet framfört de senaste dagarna om att det bara är att ha tydliga upphandlingsrutiner, följa upp krav o.s.v.
Inte ens dataskyddet faller ut som man skulle kunna tro när man läser i avtalet mellan Region Stockholm och Medhelp och ser att regionen är personuppgiftsbiträde åt Medhelp och inte tvärtom….
Det som måste understrykas är att den digitala världen inte bygger på bilaterala relationer utan på multilaterala och att vi saknar verktyg att hantera den nya situationen.
Även trogna gamla kämpar som tillsynsvapnet riskerar att bli tandlöst eftersom tillsynen gäller enskilda organisationer.
Att skapa ansvarsförhållanden och möjlighet till ansvarsutkrävande avpassade för multilaterala infrastrukturer bedömer jag som den mest fundamentala säkerhetsåtgärden för vård-it.
Detta är inte något som en enskild vårdgivare kan ta ansvar för utan måste byggas upp på nationell nivå.
Tyvärr har denna grundläggande förutsättning totalt negligerats i de utredningar om e-hälsa som genomfört under senare år.
Mer om de moderna strukturerna finns att läsa i den nyligen utkomna antologin .
Ansvaret är alltså idag osynkroniserat med den nationella informationsinfrastrukturen och även med den tekniska infrastrukturen.
Ändå tror jag det är viktigt med ett ansvarsutkrävande.
Tyvärr kommer nog inte Region Stockholms innovationsregionråd ta sitt ansvar och avgå, inte heller hans motsvarigheter i Region Värmland och Sörmland.
SKL:s programansvarige för e-hälsa kommer att på motsvarande sätt skjuta ansvaret ifrån sig och Inera har snabbt varit ute och sagt att de går skuldfria ur denna förödande situation.
Tyvärr, inte för att vi behöver ett melodramatiskt utspel som när Toyota-chefen gråtande bad om ursäkt för sina fel eller syndabockar, men för att ge en reboot för vård-it.
Om ett antal digitaliseringspotentater inom vården åtminstone hade omdömet att säga: ”jag har villigt tagit emot all cred för att framstå som nyskapande och innovativ, nu tar jag lika villigt mitt ansvar när det visar sig att vi kört totalt fel inom e-hälsoområdet.”.
Detta vore en mycket viktig signal att vi nu inte ska fortsätta som förut utan gå in i en ny tid.
Det jag skriver ovan kan nog de flesta hålla med om på någon nivå men varför ser det då ut som det gör?
Jag skulle vilja hävda att det inte enbart beror på inkompetens utan i lika hög grad på attityd, möjligen arrogans.
Detta är en något nedslående tanke för sannolikheten för att kunna omvandla inkompetens till kompetens är större en att rå på decennier av negativ säkerhetskultur.
Jag förstår att det är mycket behagligare att ständigt mana framåt och inte hänga upp sig på problem och hinder.
I 1177-skandalen är patientens integritet som allvarligt skadats vilket är ett värde som talföra debattörer inom digitaliseringen och e-hälsa till och med i många sammanhang förnekat.
Den bristande samordningen kan också ses som ett resultat av SKL:s framgångsrika arbete som lobbyorganisation.
SKL är en intresseorganisation för regioner och kommuner som arbetsgivare och har med stor frenesi hävdat det kommunala självstyret inom hälso- och sjukvård.
Varje försök till styrning från staten nagelfars och min bedömning är att staten efter nedmonteringen av Socialstyrelsen inte ens har möjlighet till en effektiv myndighetsstyrning vilket lämnat fältet ännu mer fritt för SKL.
Ur ett samhällsperspektiv har det även lett till en starkt minskad insyn eftersom SKL, trots att man är helt finansierad av offentliga medel, inte lyder under offentlighetsprincipen.
Vad som pågår inom SKL och vilken agenda som drivs är därför svårgenomträngligt.
Under den tid jag jobbade på MSB och, bland annat inspirerad av den norska lösningen Normen, försökte få till en styrning bättre avpassad till de multilaterala relationerna fick jag ofta känna av SKL:s maktanspråk.
Ärligt talat så var intresset inte särskilt stort ens i min egen myndighet och inte heller i de andra myndigheter som hade uppdrag i någon form som påverkade säkerhetsaspekterna i vården.
Men var det ett svalt umgänge i myndighetssfären så var SKL:s engagemang i frågan på nollpunkten.
Mitt käcka erbjudande om att MSB skulle kunna samordna och tillföra väsentliga resurser och kompetens för att göra den så skakiga informationssäkerheten i vården bättre möttes mycket kallsinnigt.
Budskapet var att detta var en uppgift som regionerna kunde klara själva (med SKL:s hjälp) och att myndigheter inte hade i territoriet att göra.
Själv kände jag mig som en ovälkommen budbärare från de många medlemsorganisationer som satt med sin usla säkerhetssituation utan reell möjlighet att göra något åt den.
Med ett avancerat tjat lyckades det till slut att få SKL att skriva under den gemensamma strategi som jag tagit fram som underlag och som nu litet patetiskt ligger kvar på MSB .
Någon gemensam styrning á la Normen är lika fjärran som då strategin skrevs.
SKL har alltså haft alla möjligheter att själva ta fram de stöd som så väl skulle behövas i deras medlemsorganisationer.
Så har inte skett förutom det tveksamma verktyget för informationsklassning som jag skrivit om Något gemensamt regelverk för att hantera den multilaterala ansvarssituationen inom vården kan jag fortfarande inte hitta på SKL: s webbsida.
Intressant nog har ju inte SKL något formellt ansvar för informationssäkerheten i vården eftersom man är en intresseorganisation och kommer säkerligen inte att påta sig något sådant nu heller.
När nu nästa trend är AI i vården blir man inte direkt lugnare, särskilt inte när SKL:s programansvarige för e-hälsa ifrågasätter lagstiftningen snarare än ansvarskänslan hos införarna som .
I mina dystrare stunder tror jag vi nått vår kollektiva inkompetensnivå där vi ska skapat ett it-monster som ingen längre kan styra.
Vi har en situation med i princip outtömliga tekniska möjligheter promotas av aggressiva leverantörer.
Tekniken möter en omogen organisationsstruktur där verklig styrning ersatts av fritt spelrum för särintressen.
Till detta kommer den bristande självinsikten om att det är så här det ser ut och den negativa säkerhetskulturen inom vården.
Och slutligen juridik och företrädare för informationssäkerhet som fortsätter att leverera lösningar gjorda för enstaka organisationer eller möjligen bilaterala relationer vilken inte är till någon större hjälp i den dagens multilaterala arkitekturer.
Självklart kan vi inte ge upp utan istället ställa oss frågan hur vi kan genomföra de absolut nödvändiga förändringar som skulle göra vård-it till en seriös verksamhet.
Här vill jag anslå en ny ton för att markera att detta är mycket komplexa frågor som vi idag i huvudsak saknar svar på.
Det är inte enkla förbättringar av upphandlingsrutiner som kan leda framåt utan förändringar av en helt annan dimension som är nödvändiga.
Det är inte beställningar mellan kund och leverantör som är det verkliga problemet utan beställningen från regeringen till sjukvårdshuvudmännen som inte fungerar där sjukvårdshuvudmännen som leverantörer inte klarar av att skapa en säker vård-it.
Mina förslag, som jag inte när något större hopp om att de kommer att anammas, är att likna vid ett undantagstillstånd.
Det kan tyckas dramatiskt men allvaret i situationen kräver extraordinära åtgärder .
Parallellt med åtgärderna bör även en attitydförskjutning initieras där vi slutar se digitalisering som ett självändamål utan blir förmögna att ta in olika perspektiv som till exempel säkerhet.
Utgångspunkten bör också att det är en nationell struktur som ska byggas och förvaltas där de gamla organisationsgränserna inte längre får sätta käppar i hjulet.
Här kan man ana att en del integritetsnihilister vädrar morgonluft men bedra er inte; målet är att stärka integriteten, inte nedmontera den ytterligare!
Det har knappast gått någon förbi att det under några år nu rasar in nya eller nygamla regleringar gäller olika aspekter av informationssäkerhet: dataskyddsförordningen, lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet), ny säkerhetsskyddslag och sedan litet civilt försvar på det.
Samtliga av ovanstående regleringar ”drabbar” primärkommunerna.
En egenhet för primärkommunerna generellt är att kravbördan inom alla områden drabbar samtliga kommuner lika hårt oavsett om de har 4000 invånare eller 900 000.
Detsamma gäller för ovan nämnda nya lagar.
Kommunerna har den, vid sidan om sjukvården, mest komplexa kravbilden på informationssäkerhet i samhället redan från början i kombination med att flertalet av små och medelstora kommuner alltför ofta helt eller delvis saknar den kompetens som behövs för att hantera situationen.
För att uppnå målbilden; ett säkrare Sverige, behöver de ansvariga myndigheterna därmed anstränga sig till det yttersta för att ge ett stöd som fungerar till kommunerna.
Att inta en hållning av typen ”det är deras eget ansvar” är helt meningslöst och kontraproduktivt eftersom det objektivt sett saknas förutsättningar för att de skulle kunna lyckas med det.
Ytterligare en aktör i detta är SKL som under senare påtagit sig ett allt större operativt ansvar i frågor bland annat av denna typ.
Nu är det alltså litet upp till bevis-läge.
Jag ska därför göra en liten kontrollrunda för att se vilken information och stöd Söpple kommun kan räkna med när det gäller NIS och därefter göra en sequel om säkerhetsskyddslagen.
Först en kort bakgrund.
NIS-direktivet antogs av Europaparlamentet 2016 och den svenska lag som följden av detta, lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, trädde med tillhörande förordning i kraft 1 augusti 2018.
Målsättningen med direktivet och följaktligen med lagen är att hög gemensam nivå på säkerhet i nätverk och informationssystem.
Lagstiftningen är inriktad på de nätverk och informationssystem som stödjer samhällsviktiga tjänster i sju sektorer (energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten, digital infrastruktur) samt i digitala tjänster.
Det är inte i en begreppsvärld klar som ett vårregn vi rör oss i här vilket gör att jag hänvisar den intresserade till definitionerna i lag och förordning för att själv bilda sig en uppfattning om den exakta betydelsen i begreppen.
Viktig avgränsning är att lagen inte gäller för verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen.
Däremot gäller den för både offentlig och privat verksamhet.
För att uppnå bättre säkerhet är de främst två krav lagen riktar in sig på.
För det första ska leverantörerna av samhällsviktiga tjänster bedriva einklusive riskanalyser och incidenthantering.
Av någon anledning betonas det särskilt att man också ska vidta åtgärder för att reducera de risker man upptäcker(!).
Man skulle kunna tycka att det är en ganska självklar del i emen lagstiftaren känner ändå att detta måste påpekas.
För det andra är det universalmedlet incidentrapportering som jag i förtroende vill meddela att jag tror är tecknet på att det offentliga säkerhetsarbetet har fastnat i en NPM-fälla.
Det vill säga att tvinga ett antal decentraliserade verksamheter att rapportera in uppgifter som man inte sedan vet vad man ska göra med.
Lagen innehåller också nyheten att leverantörerna av samhällsviktiga och digitala tjänster ska tillsynas vilket i sin tur bygger på att de som lagen berör själva ska anmäla sig till tillsynsmyndigheten.
Om så inte sker, om man inte vidtar korrekta säkerhetsåtgärder eller inte rapporterar incidenter kan en sanktionsavgift tas ut av tillsynsmyndigheten.
Efter dataskyddsförordningen kan ordet ”sanktionsavgift” väcka viss panik men i lagen om informationssäkerhet för samhällsviktiga och digitala tjänster sägs En sanktionsavgift ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor.
10 miljoner kan ju vara skrämmande för en liten kommun men för en större organisation kan det som en summa värd att gambla med.
Vad som är skrämmande är att det inte är en tillsynsmyndighet utan sex förutom MSB: Sammanfattningsvis är min bedömning att det är minst lika omfattande krav som ställs i den här lagen som i dataskyddsförordningen.
Att bedriva ett systematiskt och riskbaseratär en mycket komplex uppgift som de statliga myndigheterna inte lyckas leva upp på något särskilt övertygande sätt trots att kravet funnits i föreskrift i snart ett decennium.
Nu vidgas kretsen som skulle uppfylla den målbilden till även kommuner och landsting vilkas möjlighet att realisera den är långt, långt sämre än de statliga myndigheternas.
Och så till ett stort antal företag som kommer att ta in kravet i sin affärsplanering och vara extremt intresserade av att förstå exakt vad som krävs eftersom säkerhet kostar.
Missförstå mig rätt.
Jag är den första att hävda nödvändigheten av att bedriva eoch då särskilt i kommuner och landsting.
Hur starkt jag än uttrycker den övertygelsen framstår det som ett understatement.
Men för att uppnå detta måste man förstå förutsättningarna.
Jag ska därför här göra ett litet tankeexperiment för att försöka förstå hur den nya lagstiftningen landar i en medelstor kommun som vi kan kalla Söpple kommun.
En första observation är när vi tittar på de obligatoriska uppgifterna för en kommun är att Söpple kommun kommer att få fem tillsynsmyndigheter: Energimyndigheten eftersom man har ett kommunalt elbolag, Transportstyrelsen eftersom man har kommunal kollektivtrafik, IVO eftersom man bedriver hälso- och sjukvård bland annat inom äldrevården, Livsmedelsverket eftersom man producerar och levererar dricksvatten och PTS eftersom man har ett stadsnät (jag har inte här gjort någon skillnad på om det är kommunala bolag).
Söpple kommun måste alltså vara beredda på att dessa fem olika myndigheter kan komma på tillsynsbesök.
Vilka förutsättningar har då Söpple kommun som med sina 24 000 invånare kan sägas vara en normalstor kommun.
I kommunen finns ingen informationssäkerhetsansvarig utan frågan ligger under it vilket också är normalt men olyckligt.
Man har påbörjat en sondering med två grannkommuner för att gemensamt kunna inrätta en tjänst som informationssäkerhetssamordnare vilket suttit hårt åt eftersom varje utgift ställs mot personal i äldreomsorgen.
Tyvärr har man redan insett att även om man lyckas få beslut om medel för en sådan tjänst kommer det att bli extremt svårt att hitta en sökande som både har kompetens och är villig att flytta till Söpple.
Sannolikheten för att hitta någon i kommunen är mycket låg, det finns inga utbildningar för att snabbt utbilda en redan anställd och de som finns på marknaden kan definitivt få bättre betalt än i kommunal verksamhet.
Jag vill bara här återigen understryka att informationssäkerhet i en kommun är på en svårighetsgrad som få informationssäkerhetsansvariga i statlig verksamhet någonsin råkar ut för så är det någonstans kompetens verkligen behövs så är det i kommunerna.
Både tjänstemannaledningen och den politiska ledningen i Söpple kommun är yrvakna.
De har inte hört talas om något NIS-direktiv och har precis tagits sig igenom pärsen med dataskyddsförordningen.
Min hypotes om okunskapen i Söpple bygger jag på att det är just det förhållande som jag stött på när jag varit i kontakt med ett stort antal kommunala företrädare.
För att göra en bedömning om varför beredskapen inför NIS är så låg så gjorde jag i förra veckan en rundvandring på MSB:s och de övriga tillsynsmyndigheternas samt SKL:s webbplatser för att se vilken information som fanns om NIS där.
På MSB:s webbplats finns en sida med undersidor som i huvudsak bygger på vad som står i lag, förordning och MSB:s . Hur olika aktörer ska göra för att de ska kunna klara en tillsyn står det däremot mycket litet om, där hänvisar man till det så kallade Metodstödet som på en tämligen abstrakt nivå går igenom olika aktiviteter som kan ingå i ett systematiskt säkerhetsarbete.
Vällovligt men inte särskilt användbart för en kommun med de mycket konkreta frågor som måste lösas i detta sammanhang – bara en sådan sak som att hantera nämndorganisationen… Ytterligare en komplikation är att man tungt lutar sig mot en standard som inte är fritt tillgänglig, något som kan bli mycket besvärligt när tillsynsaktiviteterna sätter igång.
Det går liksom inte att kräva att varje organisation som ska tillsynas måste köpa standarderna för att veta vad de är tvungna att göra.
Skyldigheterna måste framgå av föreskriften och vara möjliga att granska även i ett offentlighetsperspektiv.
Övriga tillsynsmyndigheter har inte heller de såvitt jag kan se ingen information riktad till kommunerna specifikt.
I vissa fall tycker jag dock att den generella information de erbjuder är överlägsen den som finns på MSB:s webbplats som Energimyndighetens frågor och svar som ger rediga besked i en del kniviga .
Mest sparsmakad är kanske IVO som egentligen bara konstaterar att man är Inte heller SKL erbjuder sina uppdragsgivare något överflöd av information i . Webbplatserna gav alltså inte något bra stöd för Söpple kommun att ta tag i frågan men det är kanske inte den vägen som är den primära för att sprida information till kommunerna – för att börja söka där måste man ju först veta att det finns ett NIS-direktiv.
Jag skickade därför ett mail till MSB.
PTS, Livsmedelsverket, Energimyndigheten, IVO och Transportstyrelsen med följande lydelse: Hej!
Jag skulle vilja ta del av information angående lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet) som x (d.v.s.
den aktuella myndigheten) skickat direkt till kommuner.
Samma meddelande lade jag in i frågelåda på SKL:s webbplats och jag kan redan nu avslöja att jag inte fått något svar på detta.
När det gäller myndigheterna kan man sammanfattningsvis säga att det endast är MSB som skickat ut någon information direkt till kommunerna och då inte till kommunerna specifikt eftersom det handlar om missiven till föreskrifterna när de gått ut på remiss.
Detta skedde sista augusti.
MSB har deltagit i en träff i nätverketkommuner (KIS) och har en frågelåda på webbplatsen där man kan skicka in mail.
Dessa frågor är dock inte ännu synliga för någon annan än den som skickat frågan.
Livsmedelsverket har tagit fram en broschyr som man delat ut på en konferens om dricksvatten.
I övrigt säger sig tillsynsmyndigheterna invänta att MSB ska samordna dem.
Så här fyra månader efter att lagen trätt i kraft är det svårt att inte jämföra med hur vi blev fullständigt översköljda från olika håll med information om dataskyddsförordningen.
Datainspektionen måste faktiskt få en eloge för att man redan ett par år innan det äntligen blev 25 maj 2018 byggde upp informationskanaler både IRL och på sin webbplats.
Jag kommer med särskild glädje ihåg en realtidschatt för kanske två år sedan då det gick att ställa alla möjliga frågor till myndighetens kunniga jurister.
För aktiva personuppgiftsansvariga har det varit fullt möjligt att planera och bygga upp de nödvändiga funktionerna i sin organisation.
Att det sedan inte alltid blivit så är en annan fråga.
Att Datainspektionen bedrivit ett aktivt informationsarbete i god tid innan dataskyddsförordningen blev verklighet gör att de tillsyner man raskt kommit igång med känns rimliga.
Samma sak kan inte sägas i fallet med NIS-direktivet som trots att det varit känt på central nivå i flera år inte alls åtföljts av samma förberedelser.
Utifrån vad jag hittills sett kan mycket väl frågan fortfarande vara helt okänd i Söpple kommun men även hos andra både offentliga och privata aktörer.
Nu verkar ju inte tillsynsmyndigheterna kommit igång än vilket måste vara lika bra sett till det rådande läget när det gäller information och stöd.
Meningen med tillsyn är inte att skapa ett blame game och inte heller innebär tillsyn i sig några förbättringar om det inte tydligt framgår vad som ska göras (jag hävdar detta med viss emfas efter att ha jobbat med tillsyn ett antal år).
Tyvärr tycker jag mig spåra en omedveten trend inom både säkerhet och digitalisering att information från myndigheter främst sker muntligt på konferenser m.m.
Förutom den otydlighet och det breda tolkningsutrymme som övergivandet av skriftlig information innebär gör det att informationen inte når utanför de invigdas krets.
Det är inte heller möjligt att fördjupa sig, gå tillbaka, sprida vidare och att ha kontroll över att det är korrekt information som förmedlas.
Nu när olika lagstiftningar dessutom ska samexistera i en mängd organisationer krävs betydligt djupare resonemang än de som kan förmedlas via en power point-presentation.
För att göra en u-sväng i mitt argumenterande kanske det finns fördelar med att det ännu spridits information och stöd gällande lagen om informationssäkerhet för samhällsviktiga och digitala tjänster.
Nu kanske det finns möjlighet att ta ett nationellt ansvar och samordna de olika regleringarna så att inte varje kommun behöver sitta och försöka få ihop olika lagstiftningar och hur de ska uttolkas för den egna verksamheten?
Låt oss hoppas det.
För att de här nya regleringarna dels ska få genomslag, dels leda till säkerhetshöjande effekter krävs mycket tydlig information om som ska göras till som ska göra något samt stöd för det ska göras, d.v.s.
Dessutom, snälla, behövs samordning så att det blir en enhetlig kravbild.
Utan starkt stöd, gemensam prioritering och samordning kommer Söpple kommun vare sig att klara NIS-direktivet eller säkerhetsskyddslagen.
För kommuner som Söpple där egen kompetens i hög grad saknas tror jag att vi måste tänka mycket mer i fasta skyddsnivåer och ett mycket välutvecklat centralt stöd för att det inte bara ska bli både dålig säkerhet och dålig stämning.Men vem är det då som ska ta ansvar för helheten?
Kanske behövs det rent av en ny informationssäkerhetsutredning som utgår från verklighetens utförare av informationssäkerhet och vad de behöver för att klara uppgiften?
Jag tror helt enkelt vi har råd att leva i en drömvärld där olika aktörer oberoende av varandra pekar på vad de vill ha men ingen talar om för Söpple kommun få ihop det i den egna verksamheten.
Förtydligande: jag har efter jag publicerade detta fått ett påpekande att kommunens stadsnät sannolikt inte faller under NIS men däremot under lagen om elektronisk kommunikation (LEK) som har likartade krav som NIS.
Effekten för Söpple kommun blir alltså ungefär densamma i slutändan.
Efter att ha spekulerat om varfört inte funkar har jag nu tänkt skriva några inlägg om vad som bör göras för att det ska fungera bättre.
Detta sammanfaller med att regeringen överlämnar en skrivelse till riksdagen angående Riksrevisionens om informationssäkerheten vid nio myndigheter.
Riksrevisionen bedömer att ” Regeringen instämmer i denna bedömning, som ju knappast kan komma som någon överraskning efter Riksrevisionens tidigare rapporter m.m., men avser bland annat att .
Det känns därför ganska självklart att detta första inlägg om konstruktiva åtgärder får handla om förutsättningar för en sådan strategi.
Att ta fram en strategi är inte något särskilt rafflande grepp, 2009 togs en sådan fram liksom en efterföljande handlingsplan några år senare.
Varken i regeringens skrivelse eller i Riksrevisionens rapport görs någon egentlig analys av varför de tidigare strategiska samordningsförsöken trots avsevärda resurser och mandat misslyckats.
En grundläggande utgångspunkt för mig har varit att det inte är särskilt meningsfullt att göra mer av samma sak om man märker att något inte fungerar.
Istället är det viktigt att ta ett steg tillbaka och analysera och göra nya problemformuleringar.
Detta tror jag i hög grad gäller om man ska ta ut strategiska riktpunkter.
En ny strategi bör därför föregås av ett mer omfattande förarbete och inte bestå av inskickade, icke samordnade önskelistor från myndigheter som har ansvar för olika säkerhetsområden.
I fallet med informationssäkerhet har jag försökt påvisa den stora oklarhet som råder om vad informationssäkerhet egentligen är och hur det försvårar för den enskilda organisationen, för de yrkesutövande och för samordning på nationell nivå.
Detta blir än tydligare om man läser regeringens något desorienterade skrivelse där det är svårt att greppa vad det egentligen är som ska samordnas.
Om vi tittar på den nationella spelplanen och bortser från de oklarheter som råder om informationssäkerhet är i första hand organisatorisk eller teknisk fråga så går det att urskilja en rad olika syften som staten länkar till ”informationssäkerhet” vad det nu än är.
För att övergripande beskriva de huvudsakliga syften som sällan definieras i förhållande till varandra kan jag räkna upp: Till detta kommer exempelvis de starka kraven från bland annat dataskyddsförordningen som i praktiken innebär högre nivå på spårbarhet, riktighet och konfidentialitet.
Dessa olika syften ska utan närmare inriktning från staten tillgodoses i de enskilda organisationerna.
Jag tror att det är här vi måste stanna till och inse att det inte är informationssäkerhet som det ställs krav på i de olika sammanhangen.
En enskild organisation har i de flesta fall i normalläget inget internt behov av den informationssäkerhet som staten ställer krav på exempelvis rörande det civila försvaret i höjd beredskap.
Att införa säkerhetsskyddsåtgärder är inte heller något som befrämjar andra säkerhetskrav som kan finnas i en löpande verksamhet som exempelvis hög tillgänglighet.
Statliga certifieringskrav på tekniska komponenter i e-förvaltning är knappast heller något som gynnar regeringens inriktning på att Sverige ska bli bäst i världen på att ta till vara digitaliseringens .
Jag behöver kanske inte fortsätta med exempel för att slå in min poäng – det finns tydliga intressekonflikter mellan olika typer av informationssäkerhet som staten ställer krav på.
Det finns också aktiviteter som starkt påverkar säkerhetsarbetet där det egentligen inte finns någon intressekonflikt men som ändå inte är samordnade.
Ett påtagligt exempel är att rapporteringskravet för it-incidenter till MSB inte är samordnat med i det tunga krav på incidentrapportering som följer av dataskyddsförordningen.
Ett förarbete till en strategi måste, menar jag, måla upp hela informationssäkerhetslandskapet för att kunna ta ut riktningen framåt.
Ironin i att NISU och utredningen om ny säkerhetsskyddslag lägger fram sina resultat samtidigt som två helt parallella spår som aldrig mötts kommer att upprepas i nya former om inte den nödvändiga överblicken skapas.
Överblicken över syften, förutsättningar och aktörer ger också en grundval för den styrmodell som rimligen måste finnas med som ett strategiskt verktyg för att nå målen.
En gemensam styrmodell innebär inte att samma styrmedel används överallt.
Jag föreställer mig att regelstyrning är nödvändig ur det civila försvarets perspektiv medan incitaments- och kunskapsstyrning blir centrala för regeringens digitaliseringssatsningar.
Men eftersom det är Söpple kommun som kommer att bli utsatt för de olika styrmedlen måste de integreras i en gemensam modell som också hanterar organisatoriska och ekonomiska förutsättningar.
Förutsägbarhet gällande krav och ekonomiska förutsättningar är nödvändigt då allt större del av den tidigare offentliga utförda verksamheten ombesörjs av privata aktörer.
Även detta förhållande måste avspeglas i den strategiska inriktningen.
Jag tror att en strategi måste vila på noggranna överväganden av hur staten ska organisera sin styrning och sitt stöd.
När civilt försvar alltmer blir MSB:s huvudfråga och myndighetens uppgift är mer att jämföra med den som Överstyrelsen för civil beredskap (ÖCB) hade fram till 2002 är det sannolikt mer lämpligt att detsom bedrivs i normalläget integreras med statens digitaliseringssatsning.
Analysen av vad som kan tänkas fungera bäst måste vara förutsättningslös och inte utgå från olika organisatoriska särintressen.
För mig är det en viktig princip attt måste styras av behov, inte av utbud.
Det gäller i den enskilda organisationen, och det bör gälla även på det nationella planet.
När en strategi ska tas fram bör det därför ske tillsammans med de som äger verksamheterna vars information skyddas, inte enbart av de aktörer som levererar säkerhetslösningar.
Min förhoppning är att strategin inte stressas fram på departementet av någon ensam handläggare utan att det sker i ett brett samarbete med kommuner, landsting, företag och myndigheter samt viktiga kravställare som Datainspektionen, E-hälsomyndigheten och eSam.
Här kommer ett litet mellanspel i min långa rant om varför informationssäkerheten inte funkar.
Istället ska jag ägna ytterligare några rader åt e-hälsa.
I slutet av september inträffade ett nytt stort it-haveri i Stockholms läns landsting (SLL) där flera sjukhus drabbades på ett sådant sätt att patientsäkerheten uppgavs .
I SLL:s digitala lösningar har större incidenter skett vid ett antal tillfällen under de senaste åren och det var bara någon månad sedan en mycket allvarlig händelse skedde i . Som samhällsmedlem och patient in spe med viss insikt om hur det ser ut på e-hälsoområdet är jag djupt oroad.
Trots att de många och allvarliga incidenterna som utgör en stor risk för patientsäkerheten och för patienternas integritet tycks insikten om de stora problemen med säkerhet inte engagera vårdens makthavare nämnvärt.
Pliktskyldigt sägs några fraser om säkerhet, sedan störtar samtalet vidare med muntra trumpetstötar om att Sverige ska bli bäst i världen på e-hälsa vilket inte förefaller innebära att vi ska bli bäst i världen på en e-hälsa.
Digitalisering beskrivs i närmast messianska former och diskussionsklimatet är av en sådan karaktär att det problematiserande som är nödvändigt för alla framgångsrika utvecklingsprojekt avvisas kategoriskt och sägs till och med vara ”förbjudet”.
Jag ser detta i sig som djupt problematiskt eftersom digitaliseringen, liksom alla andra större samhällsförändringar, innebär reella intressekonflikter som måste hanteras på ett rationellt sätt.
Detta gäller även inom informationssäkerhetsområdet specifikt där till exempel tillgänglighet och skydd mot obehörig åtkomst alltid måste balanseras mot varandra.
Historiskt har ,enligt min uppfattning, flertalet e-hälsolösningar hastats fram utan gemensam strategi i meningen långsiktig målbild och långsiktig planering där behov och beroenden är analyserade och utvärderade i en öppen diskussion.
Alltför ofta har mycket kostsamma och administrativt krävande lösningar (tänk exempelvis NPÖ) dykt upp utan att behov, säkerhet och kvalitet har klarlagts.
Efter att ett stort antal miljoner flödat in i de ofärdiga projekten har de försvunnit till en kyrkogård av misslyckade visioner.
När jag läste följande tweet kändes den därför som ett mycket tråkigt exempel på att vårdens makthavare tycks oförmögna att lära sig av tidigare misstag: Jag höll häromveckan ett föredrag på Dataföreningen med ovanstående titel.
Min tes, eller mitt påstående snarare, är att arbetet med att få en fungerande informationssäkerhet inte fungerar särskilt bra.
Detta gäller både i den enskilda organisationen och på en nationell nivå.
Kanske överraskade föredragets inriktning några av de ganska många åhörarna eftersom det mer handlade om ”våra” interna problem, alltså vi som arbetar professionellt med informationssäkerhet och inte de yttre förhållanden som vanligtvis diskuteras.
Detta är dock frågor som jag funderat ganska länge på och där jag under föredraget förde fram ett antal aspekter som jag menar påverkar den nuvarande situationen med en otillräcklig informationssäkerhet.
I hopp om att fler i informationssäkerhetsbranschen ska känna sig motiverade att bidra med egna erfarenheter och reflektioner tänkte jag skriva några blogginlägg med utgångspunkt från det föredrag jag höll.
Först kanske påståendet i titeln ändå måste utvecklas något.
Visserligen är det svårt att säga vad ”fungerar bra” skulle kunna vara.
Detta understryks genom att det i hög grad saknas forskning på området och andra typer av offentligt redovisade undersökningar.
Det känns också otillräckligt att bara vidareförmedla utsagor från olika särintressen eller vad talskrivare lämnat till Anders Ygeman att framföra angående läget.
I den som sammanställdes av ett antal myndigheter 2015 bygger man sina spaningar på 103 angivna referenser.
Problemet är bara att den absoluta huvuddelen av referenserna är inriktade på en extern hotbild, i bästa fall något om incidenter i it-system som går att hänföra vissa specifika antagonistiska hot, men ingen av referenserna förefaller ha ägnat sig åt störningar i verksamheter.
Det vill säga störningar i informationshanteringen som påverkar verksamheten och som då lika gärna skulle kunna bero på hårdvarufel som vid Tieto-incidenten 2011 som på antagonistiska attacker.
Detta har naturligtvis inte hindrat rapportförfattarna att dra slutsatser om trender men för den som verkligen är intresserad av hur informationssäkerheten fungerar är det alldeles otillräckligt.
Låt oss ändå vara överens om att det finns starka indikationer på att det händer ett stort antal incidenter och att realiserade incidenter är ett tecken på att vidtagna säkerhetsåtgärder inte skyddar verksamheten på ett rimligt sätt.
En mer systematisk genomgång av incidenter som drabbat verksamheter och privatpersoner tror jag skulle visa att huvuddelen skulle gå att undvika med väl kända metoder som exempelvis bättre kontroll över uppdateringar i it-tjänster.
En nackdel med incidentbegreppet är att det har en tendens att enbart fånga upp mer uppseendeväckande och kanske antagonistiska situationer.
Störningar av mindre dramatisk karaktär men som kan påverka verksamheten sammantaget på ett mer negativt sätt får inte samma uppmärksamhet vilket kan leda till felprioriteringar i åtgärdsarbetet.
Ett annat sätt försöka bedöma omt är funktionellt är ett klassiskt compliance-perspektiv; att kontrollera om regler efterlevs.
Inte heller här finns ett stort generellt underlag att luta sig emot.
Inom offentlig sektor har dock de senaste åren har ett antal rapporter visat att den systematiska informationssäkerheten i myndigheter, landsting och kommuner har stora brister, ja till och med att den vissa fall tycks bli sämre snarare än bättre.
Sammantaget är alltså inte bilden ljus.
I och med att informationssäkerheten tycks fungera illa i de enskilda organisationerna kan den knappast fungera bättre på en aggregerad nationell nivå.
Kanske måste ändå förhållandet att vi inte kan ge en uppfattning om hur bra eller dålig informationssäkerheten det tydligaste tecknet på att det inte fungerar bra.
För att komma in på kärnfrågorna är det tre (bort)förklaringar till varför informationssäkerheten inte fungerar som jag skulle vilja utesluta: Eftersom det inte heller finns en sammantagen beskrivning av hur mycket pengar som satsas på att förbättra informationssäkerheten är det inte möjligt att säga att det är ekonomiska skäl som förhindrar utvecklandet av en bättre säkerhet.
I Riksrevisionens senaste om informationssäkerhet beskrivs också svårigheterna med att försöka bedöma kostnaderna.
Nationellt har det också investerats inte obetydliga medel i olika myndigheters stöd för informationssäkerhet.
Eftersom inte effekten av dessa medel utvärderats mer än mycket översiktligt av Riksrevisionen är det svårt att säga att det skulle vara för litet eller för mycket.
Min poäng är denna: om det finns beskrivet vad som bör göras för att reducera olika risker för verksamheten är det svårt att uppskatta vilka medel som skulle behövas och ledningar på olika nivåer är, med all rätt, tveksamma till att tillföra ytterligare pengar.
Bollen är därmed tillbaka som en skråfråga: om vi anser att det finns ekonomiska orsaker till att informationssäkerheten inte fungerar så måste vi bli mycket bättre på att beskriva vad pengarna skulle användas till och vad organisationen (eller nationen) skulle ha för nytta av det.
Det här är ju en verklighetsbeskrivning som ofta återkommer och som på något underförstått sätt antas utgöra ett skäl till att informationssäkerheten inte håller måttet.
Men vad är egentligen kausaliteten i det här sammanhanget, om det nu finns en sådan?
Om informationssäkerhet vore en aspekt som vunnit hög acceptans i samhället, i organisationerna, hos utvecklare av it-tjänster m.fl.
så skulle ju frågeställningen vara integrerad som en naturlig del i utveckling av tjänster, produkter och infrastruktur.
Iställeten kostnad och en motpol till effektivitet vilket gör att lösningar för att förbättra säkerheten, om de över huvud taget implementeras, inte är effektiva och ofta ligger som olja på vattnet, ofullständigt integrerade.
Som en jämförelse skulle det vara svårt att tänka sig att trafiksäkerheten skulle vara något som tilläts hamna i bakvattnet numera.
Så kanske det var i ett tidigare skede men genom ett idogt forsknings- och opinionsarbete har säkerhet en mycket hög prioritet i trafikpolitiken.
Återigen faller alltså ansvaret tillbaka på oss själva och förmåga att sälja in informationssäkerheten.
Det är få meningar som jag så ofta hört upprepas i professionella sammanhang som uttrycket: ”ledningen förstår inte”.
Ofta blir detta den tröstande förklaringen till varför man inte når framgång med sina informationssäkerhetsprojekt och självklart ligger det mycket i det.
Det går inte att smyga in informationssäkerheten i organisationen bakom ryggen på ledningen.
Även här handlar det dock om att kunna presentera vikten av informationssäkerhet så ledningen ser poängen ur sitt perspektiv – att det gynnar organisationens möjlighet att uppfylla sitt uppdrag.
Ser ledningen inte behovet av informationssäkerhet är det inte heller rationellt att införa exempelvis ett LIS.
Ledningens bristande förståelse kan därmed, menar jag, inte ses som en autonom förklaring till bristande informationssäkerhet utan som att ledningen inte fått tillräckligt bra argument för att organisationen ska bedriva ett systematiskt.
I de följande inläggen ska jag lyfta fram förhållanden som jag ser både som verkliga orsaker till bristande informationssäkerhet och som möjliga att påverka för oss som arbetar med informationssäkerhet.
It-incidenter och andra störningar som påverkar informationshanteringen är och kontinuitetshantering i ett informationssäkerhetsperspektiv är en allt hetare fråga.
Detta förstärks naturligtvis av att vårt beroende till informationshanteringen är i ständig tillväxt liksom riskerna, både de medialt tacksamma antagonistiska hoten och de mer vardagliga som uppdateringar som misslyckas, buggar och hårdvaruproblem.
Utan tillgång till information och kommunikation befinner sig organisationer snabbt i krisläge.
Stora resurser ofta behövs för att åtgärda orsaken till incidenten och för återställelse till normalfunktion men också för att upprätthålla verksamhetsprocesserna med reservrutiner.
I idealläget finns en planering för åtgärder, återställelse och verksamhetsprocessernas reservrutiner samt, inte minst viktigt, för kommunikation med medarbetare och externa intressenter.
Planerna är övade, samordnade och ständigt förbättrade.
Organisationen är också medveten om att det inte bara är tillgängligheten som påverkas av avbrottet, det finns även stora risker för obehörig åtkomst och för negativa konsekvenser för riktighet och spårbarhet.
I verkligheten är i idealläget ganska långt borta vilket inte bara är en personlig erfarenhet utan framgår också från de undersökningar som gjorts av statliga myndigheter och kommuner.
Hur det står till i privata företag finns det ingen lika heltäckande undersökning av men indicierna är starka på en liknande situation även där.
Tyvärr gäller detta även verksamheter som allmänheten har stora förväntningar på ska kunna fungera även under svåra omständigheter, som sjukvården.
Den kanske mest genomarbetade analysen av dessa litet skrämmande förhållanden gjordes av Tom Andersson i en mycket intressant av läkemedelshanteringen i Västra Götalandsregionen.
Utöver de reflektioner som Tom Andersson själv gör i studien finns det några övergripande faktorer som jag anser gör det svårt för den som villa skapa en fungerande kontinuitetshantering i den egna organisationen.
Den kanske mest avgörande är att i princip alla offentliga och privata organisationer idag av sina uppdragsgivare förväntas planera enbart för ett ständigt normalläge.
Att i budgetdiskussioner hävda att det behövs en marginal, litet luft i systemet, litet extrakapacitet att ta till i händelse av störningar skulle i bästa fall väcka förvånade huvudskakningar.
Lean är möjligen en organisationsfilosofi på utgående men önskan att slimma verksamhetsprocesserna till allra nödvändigaste är numera etablerad i flertalet organisationer.
Tyvärr är det oundvikligt att en fungerande kontinuitetshantering kräver att organisationen ska klara situationer utanför normalläget vilket innebär extra resurser både för själva åtgärds- och återställelsearbetet och för reservrutiner som dessutom måste övas för att fungera.
En stor del av tidigare offentligt finansierad och offentligt utförd verksamhet överförts till privata utförare utan att avtalen innehåller krav på att utföraren ska ha en kontinuitetshantering vilket ytterligare försvårar situationen.
Även den som fått budget och sanktion för att skapa en kontinuitetsplan för informationshanteringen i den egna organisationen kommer att ha en svårhanterlig uppgift framför sig.
Informationshanteringen sker inte längre enbart i den egna organisationen utan är en del i ett komplext samspel med andra.
En processkartläggning över en verksamhetsprocess beroenden till olika tjänster och resurser för informationshantering som dessutom ständigt förändras är ett nödvändigt underlag.
Att få kontroll över denna helhet och skapa förutsättningar för att kunna hantera störningar är inget som går att lösa i ett projekt utan kräver ett systematiskt och uthålligt arbete där många interna och externa parter måste vara involverade.
I många sammanhang finns den outtalade förutsättningen att organisationer har en generell kontinuitetshantering som det går att komplettera med informationssäkerhetsaspekterna.
I ett sådant scenario finns redan modell och andra viktiga komponenter som ansvarsfördelning på plats.
Tyvärr är min erfarenhet att detta sällan är hur verkligheten beskaffad i flertalet organisationer.
Vad som finns är kanske en krisledningsorganisation men ingen faktisk planering eller övning av händelser då centrala resurser faller bort.
Den informationssäkerhetsansvarige får då arbeta i underläge och ta ansvar för mycket mer än vad som ligger i rollens mandat och uppgifter.
Här tror jag många informationssäkerhetsansvariga resignerar och med viss förtvivlan grubblar över hur de ska kunna göra det som de ändå vet är en mycket viktig del i uppdraget.
Varken för den generella kontinuitetshanteringen eller den som är specifikt inriktad på informationssäkerhet finns det mycket stöd att hämta.
Detta trots att förmågan att upprätthålla den verksamheten vid större störningar och kriser är ett ansvar som i det svenska krishanteringssystemet ligger på den enskilda organisationen.
Det finns naturligtvis standarder och konsultföretag som kan hjälpa till men någon nationell modell eller metod finns inte etablerad även om detta efterfrågats av bland annat kommuner.
Att plocka fram en egen modell eller metod framstår säkerligen för de flesta medelstora och små organisationer som övermäktigt.
Ur ett samhällsperspektiv är det också en suboptimering om alla organisationer ska ta fram egna varianter som dessutom inte är koordinerade sinsemellan.
Denna dystra bild får ändå inte göra oss passiva eftersom kontinuitetshanteringen är så betydelsefull för oss både i den enskilda organisationen och på en samhällsnivå.
Nedan följer några tips som ändå kan underlätta arbetet.

Inför ett moratorium inom vård-it och inför inte några nya lösningar som inte är absolut nödvändiga.
Gör en heltäckande genomgång av säkerhetsbristerna inom den svenska vård-it.
Stärk Socialstyrelsens roll i förhållande till sjukvårdshuvudmän vårdgivare när det gäller vårdens informationshantering.
Detta bör även gälla myndigheter som främst ska leverera e-tjänster som E-hälsomyndigheten.
Utred hur ansvarsförhållandena för informationshanteringen i vården ser ut och hur de borde se ut.
En central fråga är det reella ansvarsutkrävandet.
Säkerställ att även det långsiktiga behovet av vårdinformationen beaktas, både den enskilda patientens behov och samhällets behov av informationen för forskningsändamål.
Ta fram en strategi och en arkitektur för den nationella nivån som inte bara är fluff.
Ta fram en gemensam styrmodellvården och låt den förvaltas av myndigheter – inte av intresseorganisationer eller utförare i första hand.
Skapa ett ackrediteringssystem för anslutning till den nationella arkitekturen.
Skapa verktyg för systematisk uppföljning av informationssäkerheten inom vård-it och lita inte på att tillsyn av enskilda organisationer skapar säkerhet.
Utveckla utbildningar för de somen i vården.
Utveckla ett forskningsprogram för informationssäkerhetsstyrning i miljöer med multilaterala ansvarsförhållanden.
Försvarsmaktens insatser Det civila säkerhetsskyddet av rikets säkerhet samt mot terrorism Det civila försvaret Samhällets krisberedskap Stöd till myndigheter, kommuner, företag m.m.
för deras egen verksamhet och i samverkan för e-förvaltning, e-hälsa m.m.
Prioritera verksamhetsprocesser.
Vid en större störning kommer det inte att vara möjligt att upprätthålla all verksamhet utan de resurser i form av exempelvis tjänster, kommunikation och medarbetare måste användas för de processer som ledningen prioriterar.
Prioriteringen ska inte ske under störningen utan under exempelvis verksamhetsplanering.
Kartlägg beroenden.
Genom processkartläggning går det att identifiera vilken information och vilka bärare som är nödvändiga för att upprätthålla processen.
Det ger också ett bra underlag för it-ansvariga att ta fram den planering som ska ske mellan olika tjänster och andra it-resurser.
Håll planeringen så enkel som möjligt.
Alltför komplexa planer blir snabbt inaktuella och dessutom svåra att hantera i ett kritiskt läge.
Det är sällan intressant att gå djupare i olika tänkbara orsaker till störningen utan det är störningens effekter på verksamheten som är det intressanta.
Att koncentrera sig på effekterna gör också planeringen enklare än att ha en mängd olika alternativ utifrån olika orsaker till störningar.
Se till att ledningen är beslutsför.
Under ett akut skede måste ett antal beslut tas som ligger utanför det som är möjligt att planera och då måste de som har en ledningsfunktion känna sig trygga i att de får fatta beslut.
Förbered för kommunikation.
God kommunikation med de egna medarbetarna och med intressenter utanför den egna verksamheten är oumbärlig både före, under och efter en större störning.
Öva, öva,öva!
Övningar kan ske under mycket anspråkslösa former som exempelvis på en arbetsplatsträff där man går igenom ett scenario och simulerar de steg som planen innehåller.
Mycket nyttigt både för planen,och verksamheten.

en varför vad de hur säker För litet pengar Att den generella it-utvecklingen går så mycket snabbare än informationssäkerhetsutvecklingen att gapet blir större och större Ledningen förstår inte

Låt oss vara överens om att det inte fungerar bra Tre saker som inte är huvudproblemet

MENU MENU Postat av → Postad i , , , , , , , Tagged , , , , , , , Postat av Postad i , , , , Tagged , , , , , , Postat av Postad i , , , , , Tagged , , , , , , Postat av Postad i , , , , Tagged , , , , , Postat av Postad i , , , , , , , , Tagged , , , , , postat av → Postad i , , , Tagged , , , , , Postat av Postad i , , , Tagged , , , Postat av Postad i , Tagged , , , Sök efter:

de granskade myndigheterna ligger på en nivå som är märkbart under vad som är tillräckligt ”.
”därför ta fram en nationell strategi för samhällets informations- och cybersäkerhet.” samma

Tre rapporter rörande obligatorisk incidentrapportering har kommit sedan årsskiftet: två från MSB och en från IMY (Integritetsskyddsmyndigheten).
Spännande läsning men säger rapporterna något väsentligt som jag kan dra nytta av i mitt säkerhetsarbete?
Under senare år har det nationella och även europeiska säkerhetsarbetet präglats av en klockarkärlek till obligatorisk inrapportering av incidenter.
Själv känner jag mig mer ambivalent.
Å ena sidan kan det tyckas som en självklarhet att det ska finnas en nationell lägesbild över vad som händer både för det akuta läget men även för att dra nytta av erfarenheterna som det brukar heta.
Å andra sidan är incidentrapportering en aktivitet som rusar i komplexitet när man bara börjar skrapa på ytan, det räcker att försöka rigga en fungerande process i den egna organisationen för att inse det.
Se bara den enkla processbeskrivning jag tagit fram som stöd för den enskilda organsiationer: Tyvärr måste jag medge att jag inte är alldeles övertygad om att kvantitativa insamlingar av något så komplext som incidenter är det bästa sättet att bringa klarhet i vilka verksamhetsstörningar och andra typer av realiserade hot som kan kopplas till it-incidenter (vilket är det som MSB och NIS-direktivet fokuserar på).
Förutom att det tynger de inrapporterande verksamheterna i kritiska faser undrar jag generellt om kvaliteten på rapporteringen och vilken säkerhetshöjande effekt den har.
Generellt är det ett problem att det saknas systematik i det nationella säkerhetsarbetet.
I myndigheter, kommuner, regioner och företag försöker vi få till en PDCA-snurra med ett tydligt C men i de nationella satsningarna för att stödja säkerhetsarbetet tycks inte utvärdering ses som ett nödvändigt steg.
För att ta ett par exempel så har jag frågat MSB om vilken utvärdering som skett av det s.k.
Metodstödet som ligger ute Informationssäkerhet.se och vilken säkerhetshöjande effekt det haft samt ställt samma typ av fråga till SKR angående KLASSA.
I båda fallen var svaret att man inte genomfört någon utvärdering och några planer i den riktningen nämndes inte heller.
Det finns en risk att mycket blir vad jag brukar kalla ”religiös säkerhet”, d.v.s.
åtgärder som vidtas i god tro men där det krävs just tro istället för evidens för att se resultaten.
Ofta handlar det om det som jag redan skrivit om som Graeberskt: när arbetet stannar vid dokument som skrivs, mallar som fylls i, enkäter som besvaras och engångsutbildningar som inte leder till någon djupare kunskap.
När en kommun glatt skriver om att deras styrande dokument blivit ”godkända” av tillsynsmyndigheten men att man inte tittat på hur det faktiskt ser ut i verkligheten tycker jag mig leva i Graebers värld av BS jobs.
Det finns en risk att nationell incidentrapportering blivit så populär just för att den kan röra sig i denna värld.
Vad kommer man då fram till i rapporterna?
För att få litet grepp om frågan har jag gjort en sammanställning av 2020 års inrapporterade incidenter: Efter långt om länge släppte nu äntligen Datainspektionen (snart Integritetsskyddsmyndigheten) sina av åtta vårdgivare.
Även om jag var väl förberedd på innehållet så är det en chockerande dyster läsning när den fulla konsekvensen av vad jag redan visste blev förtydligad på detta sätt.
Låt mig först understryka att det Datainspektionen ställer krav på inte är några nya krav för vården utan de har funnits sedan länge bland annat i Socialstyrelsens och i PuL.
De brister som framkommer i granskningar har inte heller de nyhetens behag utan är de samma som i de granskningar av vården som Socialstyrelsen respektive Datainspektionen gjorde typ 2012.
Det är alltså inte så att vårdgivarna är tagna på sängen med helt ny rafflande krav utan det är väl kända försummelser som regioner och vårdgivare medvetet underlåtit att rätta till.
Egentligen räcker det att läsa följande stycke i granskningen gällande Capio S:t Görans Sjukhus AB för att se vidden av hur undermålig säkerheten och skyddet för integriteten är: Ytterligare försvårande omständigheter är att behandlingen av uppgifter om patienter i huvudjournalsystemet hör till kärnan i en vårdgivares verksamhet, att behandlingen omfattar många patienter och möjligheten till åtkomst avser en stor andel av de anställda.
Inom ramen för den inre sekretessen har mer än 2700 medarbetare åtkomst till uppgifter som rör närmare 490 000 patienter.
Utöver det har mer än 600 medarbetare, inom ramen för den sammanhållna journalföringen, åtkomstmöjligheten till uppgifter rörande cirka 3 patienter i TakeCare.
För att strö ytterligare salt i såret kan man läsa om Aleris sjukvård AB: Aleris har ett dokument som benämns ”Behovs-och riskanalys-TakeCare”.
Dokumentet har sett ut som det gör idag sedan den 28 maj 2012 då Take Care infördes och gäller både för den inre sekretessen och inom ramen för den sammanhållna journalföringen.
Av dokumentet framgår de olika profilerna, så kallade behörighetsgrupper.
Dokumentet visar bland annat läsrättigheterna samt skrivrättigheterna för respektive behörighetsgrupp.
Alla profiler förutom tekniker har tilldelats läsbehörighet till uppgifterna i TakeCare.
Då ska noteras att man hade 796 350 unika patienter i maj 2019 och 1058 aktiva användarkonton av vilket det absoluta flertalet alltså har läsrättigheter till samtliga patienter oavsett om de har en vårdrelation eller inte.
Att Aleris slänger fram en oförändrad riskanalys från 2012 säger nog det mesta om nivån på säkerhetsarbetet liksom när Capio hävdar att de visst har en behov- och riskanalys men att den av okänd anledning är borttappad.
Capio St Göran fick 30 miljoner i sanktionsavgift och Aleris Sjukvårds AB 15 miljoner (plus ytterligare 12 miljoner från sitt andra bolag Aleris Närsjukvård AB) men de är långt ifrån unika.
Bristerna hos övriga granskade vårdgivare (granskningen av Kry ännu ej beslutad) bekräftar det vi redan vet bland annat från tidigare granskningar.
Säkerheten i den svenska sjukvården är helt undermålig och det gäller inte bara vad gäller integritetsrelaterade frågor som de Datainspektionen granskat utan generellt.
Jag har begärt en större del av underlagen från Datainspektionens granskningar och ska fördjupa mig ytterligare i dem.
I detta blogginlägg ska jag ta upp några fenomen som aktualiseras i de granskningsfynd som presenteras i de offentliggjorda rapporterna.
Utgångspunkten är att den usla säkerhet som indikeras genom granskningarna är en följdriktig konsekvens av ett konsekvent förhållningssätt till integritet och säkerhet i vården från olika aktörer.
För att förstå hur samtliga granskade vårdgivare (Kry inte inräknade än så länge) så flagrant bryter mot lagstiftningen måsta man känna till att lagtrots när det gäller integritet och säkerhet i digitala lösningar är normen i den svenska vården – inte undantaget.
Att endast medarbetare med vårdrelation eller något annat mycket tydligt definierat skäl ska ha åtkomst till patientuppgifter är ett krav som har kommit med dataskyddsförordningen utan har funnits i princip sedan journalerna övergick från att vara räkenskapsmaterial till att vara vårddokumentation.
Vi rör oss alltså någonstans i början av förra seklet (hur gärna skulle jag inte vilja gå in på detaljerna i denna historia men inser att alla kan inte vara totala journalnördar – skulle någon vilja veta mer så får ni skicka ett mail).
På den tiden pappersjournalerna gällde fanns de inlåsta i journalarkiv med strikta regler för vem som fick ta del av dem.
Det kan sägas att ha rått en minimalistisk åtkomstprincip innan begreppet var uppfunnet.
Återkommande klagomål fanns på att det var för många som ändå kunde slinka in och läsa det de inte fick men möjligheten får ändå säga vara mikroskopisk jämfört med det som skildras i de aktuella granskningsrapporterna.
När de tidiga journalsystemen introducerades på slutet av 1980-talet hade de inte funktionalitet för en effektiv behörighetsstyrning på individ- och rollnivå vilket var ett första steg på färden mot dagens situation.
Istället för att tvinga leverantörerna tillbaka till ritbordet för att konstruera system som följde lagstiftningen började man (med ”man” avses i det följande den grupp av leverantörer, it-chefer, byråkrater, politiker och andra makthavare inom vården som ansvarat för digitaliseringen) tänja på normerna och hävda att det gick lika bra att styra med logguppföljning som med behörigheter.
Istället för att organisatoriskt och tekniskt begränsa åtkomsten hävdade man att logguppföljning var en jämförbar säkerhetsåtgärd (!).
Denna för svensk sjukvård unika bedömning var ett fatalt vägval ligger bakom en stor del av de säkerhetsproblem som finns i vården idag.
De negativa konsekvenserna begränsas inte enbart till att det på dryga tjugo år utvecklats de organisatoriska och tekniska lösningar som är nödvändiga för följa lagen och ha ens ett basalt skydd för patientuppgifterna.
Det har även lett till att man för att motivera det stora felsteget gjort dygd av nödvändigheten genom att hävda att ALLA inom sjukvården behöver tillgång till ALLA patientuppgifter hela tiden – allt annat vore en risk för patientsäkerheten.
I målande ordalag beskrevs hur nödvändig patientinformation inte skulle finnas tillgänglig för vårdpersonalen vid behandlingar olika slag vilket skrämde upp en hel del läkare och sköterskor som därmed köpte den konstruerade motsättningen mellan patientsäkerhet och integritet.
Det ledde till en ond spiral där krav på korrekt behörighetshanteringen inte ens ställts vid upphandlingar och stora utvecklingsprojekt trots att lagstiftningen är tydlig på denna punkt vilket i sin tur knappast motiverat leverantörer av vårdinformationssystem att utveckla sådan funktionalitet.
Det är därför en särskild glädje att Datainspektionen i granskningen av Capio S:t Göran slår fast att loggning kan ersätta att begränsa åtkomst via behörighetshantering: Capio S:t Görans anger att de använder systematisk logguppföljning för att reducera risken för att medarbetare otillbörligen tar del av patientuppgifter.
Datainspektionen konstaterar att patientdatalagen inte lämnar något utrymme förvårdgivare att kompensera frånvaron av behovs-och riskanalys, eller en allt för bred tilldelning av behörighet tillåtkomst, med en omfattande logguppföljning.
Inte heller fiktiva åtkomsthinder som ”journalfilter” eller ”aktiva val” godkänns av Datainspektionen som tillräckligt för att begränsa åtkomsten vilket kan vara en bra tumregel att ha med sig in framtida projekt.
Det känns också bra att Datainspektionen drar undan mattan för det i digitala sammanhanget urgamla svepskälet för att ha lagstridig hantering av personuppgifter, nämligen att hävda att man har en akutverksamhet.
Ytterligare en konsekvens är att den lättsinniga hållningen till lagstiftning sedan dess blivit en tradition inom vård-it.
Ett aktuellt exempel är när Region Skåne först beslutat att medvetet gå emot bättre vetande och upphandla en som går emot dataskyddslagstiftningen och sedan i sista minuten sig.
Hur mycket denna utsvävning kostat i pengar och förlorad tid är oklart.
Argumentationsfelen för att använda exempelvis molntjänster är desamma som medvetet praktiserats under par decennier i vården: ”ja men det blir ju bättre än det vi har” och så bygger man fast sig i bristfällig lösning som det tar åratal att ta sig ur istället för att ställa rätt säkerhetskrav från början och se till att de levereras.
Själv kan jag inte räkna alla gånger som jag, när jag påpekat brister i tänkta lösningar, fått kommentarer som ”ja men det är ju bättre än det som finns idag”, d.v.s.
att legitimera kända risker i nya lösningar med den falska jämförelsen med dagsläget.
Detta är ytterligare en väsentlig bakgrund till dagens situation och som bygger på samma knäppa riskhantering som är den andra återkommande bristen i Datainspektionens aktuella granskningar, nämligen risk- och sårbarhetsanalyser där vårdgivarna återkommande endast analyserar och inte risker.
För en sansad människa framstår det kanske som obegripligt varför man över huvud taget bryr sig om att göra riskanalyser om man inte är intresserad av att identifiera och reducera risker.
Jag ser det mer som en del i den svenska digitaliseringskulturen där det inte får finnas problem utan vi ständigt är glittrande glada.
Och har vi inte identifierat några risker så behöver vi ju inte några säkerhetsåtgärder och då är ”utmaningen” (inte problemet) obefintlig.
Tydliga ansvarsförhållanden är grunden för all fungerande säkerhet.
Saknas denna förutsättningen kommer säkerheten oundvikligen att bli lidande och det går inte heller att genomföra ett ansvarsutkrävande.
I den trassliga spaghettistruktur som är svensk vård-it blir detta synligt även i Datainspektionens granskningar.
En konstruktion som skulle behöva synas beskrivs i rapporten om Aleris Sjukvård AB: Federation Samverkan TakeCare (FSTC) är beställare av journalsystemet Take Care och Compu Group Medical (CGM) är leverantör av journalsystemet och ansvarar för de funktioner som systemet har för att styra behörigheter.
Alla funktioner i journalsystemet är skapade av CGM, men det är Aleris som väljer vilka funktioner som en viss personalkategori ska ha tillgång till bland de funktioner som finns inlagda.
Aleris har inga tekniska möjligheter att göra ändringar i Take Care eftersom Aleris inte har någon rådighet över journalsystemet.
Aleris är endast användare av systemet.
Aleris har inte kunnat ställa några krav på CGM vid upphandlingen av journalsystemet.
Bolaget har till exempel påpekat att det funnits problem med journalsystemet bestående i, så vitt avser behörighetstilldelningen, att systemet inte kan separera läs-och utskriftbehörigheter för en läsfunktion.
CGM har inte varit intresserade av att ändra detta trots synpunkter från Aleris.
Det är FSTC som kan beställa ändringar av funktionerna och det är sedan upp till CGM om de vill utföra ändringarna eller inte.
Aleris har en representant i FSTC som kan framföra Aleris önskemål.
Aleris har dock inte fått något gehör för bolagets synpunkter.
Här förefaller det alltså omöjligt för vårdgivaren som även är personuppgiftsansvarig att genomdriva sina säkerhetskrav eftersom en organisation utan formellt ansvar förhindrar det.
Om vi nu hypotetiskt litar blint på att Aleris verkligen ställt rätt säkerhetskrav är det alltså FSTC som drivs av Region Stockholm som inte bara förorsakat kränkningar av ett mycket stort antal patienters integritet utan också ”användarna” Aleris sanktionsavgifter.
Det borde finnas ett intresse åtminstone från ”användarna” att reda ut ansvarsförhållandena och skapa garantier för att man kan få påverkansmöjlighet på de gemensamma it-systemen så at de följer lagstiftningen även om regionen inte prioriterar den frågan.
Trots att det i övrigt finns en mycket god säkerhetskultur i vården har man alltså inte lyckats inympa informationssäkerhet i den.
Det huvudsakliga ansvaret för detta ligger naturligtvis hos regionerna som sjukvårdshuvudmän tillsammans med SKR som sedan mitten av 90-talet utlovat gemensamma regler för informationssäkerhet men hittills inte lyckats uppvisa något som ens liknar det.
Är det någonstans där Datainspektionen bör göra nästa granskning så är det hos SKR:s it-bolag Inera.
Detta är särskilt angeläget eftersom lösningar som NPÖ som tillhandahålls av Inera saknar adekvat behörighetshantering (se ovan) som inte bara drabbar den enskilde vårdgivare utan samtliga vårdgivare som använder.
En annan aktör som väcker viss tveksamhet är IVO vars granskningar hittills inte alls verkar ha genomförts på samma grundliga nivå som Datainspektionen.
Några granskade verksamheter hänvisar till granskningar som IVO gjort och som på något sätt skulle gett klartecken för den säkerhetsnivå som de nu ligger på.
Förhoppningsvis kan tillsynsansvaret i och med NIS-direktivet leda till att IVO utvecklar sina granskningsmetoder.
Jag tror att det är centralt att myndigheterna samverkar här och ser informationssäkerheten i ett helhetsperspektiv och förstår att det är en sammanhängande säkerhetsarkitektur där brister i ett hänseende skapar risker på flera olika sätt.
Det skulle även vara en fördel att ha gemensamma granskningsmetoder och kanske t.o.m.
genomföra granskningar tillsammans.
Många tillsynsmyndigheter kan lära sig mycket genom att studera med vilken noggrannhet och stringens Datainspektionens granskningar genomförts.
I rättvisans namn ska sägas att vården inte fått särskilt mycket hjälp från myndighetshåll att utveckla sin säkerhet.
Jag har tidigare om att MSB:s knytning till ISO 27000 och det metodstöd som utvecklats i denna anda knappast är till hjälp för vårdens infrastruktur och jag kan inte heller se andra satsningar som tagits fram för att stödja denna i sanning samhällsviktiga verksamhet.
Datainspektionens granskningar som endast rör ett par aspekter av säkerheten borde ge upphov till ett större samordnande projekt lett av myndigheter för att långsiktigt höja vården säkerhet eftersom detta är en fråga som regionerna med all önskvärd tydlighet visat att de inte klarar av.
En helt nödvändig insats är att tvinga regioners och SKR:s makthavare att erkänna att det finns ett mycket stort säkerhetsunderskott i vården och istället för att stoppa huvudet i ta sitt ansvar och börja bygga för framtiden.
Ibland behöver vi ta ett steg tillbaka och betrakta en till synes fast definierad problemformulering på litet avstånd för att se om det är ett tillräckligt bra sätt att förstå en viktig fråga eller om det kanske finns andra sätt att betrakta den.
Jag ska nu göra ett försök att vidga frågan om integritet i förhållande till vårdinformation i synnerhet men även till den information som skapas och bearbetas i offentliga verksamhet i allmänhet.
När vi pratar om den personliga integriteten idag handlar det i de flesta sammanhang om teknik som åtkomst till personuppgifter i it-system eller övervakningskameror.
Jag tror att detta är en alldeles för begränsade problemformulering när vi ser hur personuppgifter är det högoktaniga bränslet för multinationella företag som jag skrivit om .
Samma fenomen beskrivs i den mycket välförtjänt hyllade och lästa Konsulterna av Anna Gustafsson och Lisa Röstlund.
Vår nuvarande inställning bygger på att obehörig åtkomst till uppgifterna skulle skada vårt anseende, att intima uppgifter om oss själva skulle bli kända för ”fel” personer.
Det är en rättighetstradition som bygger på tanken att vi har en rätt till en privat sfär och även till att kontrollera ”bilden” av oss själva.
Det är i min mening en alldeles rimlig uppfattning att känsliga uppgifter om oss endast ska vara åtkomliga för de som verkligen behöver dem, t.ex.
för att ge oss rätt vård.
Det är också en inriktning som fungerat i den svenska vården sedan patientjournalerna övergick från att vara räkenskapsmaterial till att bli stöd för vård och behandling.
En snabb och hårdragen exposé skulle kunna se ut som följer.
I och med att den svenska vården till sin absoluta merpart varit offentligt finansierad och offentligt utförd under i princip hela 1900-talet har vårdinformationen varit allmänna handlingar som ägts av vårdgivaren och i väsentliga delar bevarats i och med att sjukvårdshuvudmännen (landsting/regioner) har åtagit sig att bevara alla läkarförda journaler för all framtid.
Förutom att detta förhållande har gynnat patienterna som kunnat få vård grundad på vederhäftig information har det gett Sverige ett unikt forskningsläge med tillgång till en hel befolknings data om hälsa och vård i ett välordnat system.
Förutom att det är lätt glömma bort att vi faktiskt haft mycket väl utvecklad hantering av patientdata i över ett sekel är det också lätt att glömma bort att detta bygger på ett samhällskontrakt som kan ses som en del i den svenska välfärdsstaten.
Ungefär: högkvalitativ vård och en avancerad forskning finansieras via skatten och dina vårduppgifter används för att ge dig själv och andra patienter bättre vård.
Förutsättningen för kontraktet var 1) att patientuppgifterna användes för etiskt prövad akademisk forskning och 2) att patientuppgifterna omgavs med sekretess och att det fanns hög grad av spårbarhet i vilka som tagit del av dem.
Jag vet att så fort man säger eller skriver att patientuppgifterna omgavs med höga krav på sekretess så kommer det alltid ett antal människor rusande och återger hårresande berättelser från gamla journalarkiv.
Min utgångspunkt är vad lagstiftning i form av bland annat patientjournallagen betonade och studier som gjorts av journalhantering under 60-80-talet samt de mycket konkreta erfarenheter jag har av praktisk journalhantering samt sekretessmedvetande från ett antal år i olika typer av vårdverksamheter.
Personligen har jag tycket att detta varit ett bra samhällskontrakt som bygger på ett stort mått av tillit och har ofta argumenterat emot dem som menat att patienten själv ska äga sin journal eftersom det, enligt mig, skulle leda till stora nackdelar både för patienten och för samhället.
Tyvärr har jag varit tvungen att börja ompröva detta efter de senaste decenniernas digitalisering inom sjukvården.
Om vi tar det aktuella exemplet Region Stockholms för hälsodata liksom NKS intention att lämna ut stora mängder patientdata via BCG till amerikanska företag måste vi kanske övergå till ett annat sätt att se på integritet.
Kanske måste vi lämna den traditionella svenska uppfattning och se på integritet som en äganderätt vilket är ett synsätt som varit etablerat i mer konservativa tanketraditioner som exempelvis Nozick med efterföljare.
Det skulle i detta alltmer kommersialiserade sammanhang där personuppgifter blivit guldet eller kunna tolkas som att din äganderätt av dig själv också innebär att du också äger den eftertraktade resursen som dina personuppgifter utgör.
Om du äger uppgifterna måste också ha rätten att avgöra hur de får användas utöver exempelvis vad vården kräver.
Detta är ett synsätt som går emot den rådande trenden inom svensk sjukvård där inte ens tycker de mycket begränsade möjligheter till samtycken ska få finnas kvar utan hanteringen av personuppgifter ska ske långt över huvudet på patienterna.
En randanmärkning är att sjukvårdspolitiker och SKL inte riktigt tycks acceptera gällande lagstiftning som den gällande spärrar, integritet eller molntjänster.
Istället för att inrätta sina verksamheter så att de följer lagstiftningen lägger man all energi på att argumentera för att lagstiftningen ska ändras.
Det känns inte som allt igenom konstruktivt förhållningssätt och min uppfattning är att detta är en delförklaring till den haltande digitaliseringen av vården.
I ovan refererade debattartikel förefaller inriktningen vara att patientuppgifterna generellt liksom i centret för hälsodata få användas för random ändamål för var går gränserna för ändamål som exempelvis life science, kvalitetsutveckling och uppföljning?
Det är aningen förbryllande att de politiker som kallar sig liberala tycks minst intresserade av liberala värderingar och individers rättigheter utan har en närmast kinesiskt touch i synen på relationen mellan individ, kapital och staten.
När jag läser om Centrum för hälsodata tänker jag också hur Region Stockholm ständigt upprepade bristande affärssinne som i utförsäljningar av allmän egendom till totala underpriser.
Nu ska man sälja hälsodata till ”självkostnadspris”.
Varför ska kommersiella företag inte betala marknadspris för den råvara som personuppgifterna utgör?
Även om det i mina ögon är en olycklig utveckling inte minst för den medicinska forskningen vill jag ändå pröva tanken på hur det skulle se ut om vi ägde vår egen patientinformation.
Det finns liksom ingen fördel för svenska patienter att lämna data till amerikanska försäkringsbolag eller som stöd till företagen i det som Zuboff kallar den multinationella övervakningskapitalismen.
Om vi ska ersätta tillitsbaserade relationer med kommersiella måste detta ske på ett sätt som inte bara gynnar den ena parten.
Vi skulle kunna laborera med möjligheten till en digital valfrihet där man som patient fick en äganderätt till sina patientuppgifter och därmed kunna bestämma över hur de får hanteras.
Exempelvis kryssa i ett formulär med alternativ som Mina patientuppgifter får användas: Till detta kan läggas verklig anonymisering som alternativ på samtliga val.
Patienten kanske ska erbjudas möjligheten att få ta ut ersättning då personuppgifterna säljs till kommersiella aktörer och då inte ”självkostnadspris” utan ett reellt pris.
Detta tror jag vore ett bra sätt att återföra makten till patienten, sätta till press på sjukvårdshuvudmännen att ta frågan på allvar och att utveckla privacy by design vilket ju är ett lagkrav för de som glömt bort det.
Ett annat resultat vore möjligen också att patientföreningar som representerar patientens olika intressen kunde bildas och utgöra ett komplement till de patientföreningar vars oberoende kan . En ny sorts patientföreningar skulle kunna bli förhandlingspartners och förhandla fram bättre priser än självkostnadspris för råvaran.
Tanken svindlar för vilka möjligheter som skulle kunna öppnas.
Resonemanget om en digital valfrihet för individen kan med fördel även tas in i diskussionerna om öppna data.
Jag är inte säker på om jag håller med mig själv men jag tror vi som verkligen är intresserad av den personliga integriteten måste börja fundera på hur vi ska kunna hitta verktygen i en ny tid.
Jag har tagit del av den granskningsrapport som KPMG genomfört på uppdrag av Region Stockholm efter 1177-skandalen och som av en händelse (?)
publicerades dagen för midsommarafton.
Rapportens omfång motsvarar på intet sätt skandalens omfång utan är ett luftigt dokument på 14 sidor inklusive bilagor.
Att rapporten är tunn räknat i sidor behöver naturligtvis inte påverka skärpan i analysen men som rätt luttrad granskare av informationssäkerhet känns de 14 sidorna som rätt kraftigt i obalans med uppdragets genomförande och omfattning: Granskningen har omfattat en kombination av IT-revision, inhämtning av information från tillgänglig dokumentation av karaktären styr- och stöddokument, uppföljningsrapporter samt intervjuer med nyckelpersoner.
Granskningen har utgått från vedertagna granskningsmetoder inom området informationssäkerhet, vilket omfattat såväl Vårdgivaren och dennes underleverantörer som Region Stockholm genom HSF.
En lista över de personer som intervjuats återfinns i bilaga 2.
Granskningen har genomförts under maj-juni 2019.
Vidare är rapportens utformning i avvikelseformat där endast väsentliga iakttagelser har lyfts fram med förslag på förbättringsåtgärder, inklusive eventuella behov att förtydliga avtal, uppföljningsrutiner och processer för att minimera att motsvarande inträffar igen.
Att på så få sidor beskriva Region Stockholms, Medhelps och ett antal underleverantörers styrning av sin informationssäkerhet, vad som gått fel och vad som bör göras för att undvika att systemfel som det inträffade upprepas känns inte riktigt seriöst.
Den sammanfattande bedömningen är dock på allvar oroande: Vår övergripande bedömning är att HSF bör se över kravställningen på informationssäkerheten i samband med upphandlingar samt att uppföljningsprocessen behöver struktureras och formaliseras för icke funktionella krav, däribland informationssäkerhet.
I allt väsentligt behöver kravställningen preciseras för att säkerställa att leverantörerna är införstådda i HSF:s förväntningar, men även för att öka den interna förståelsen för hur kraven ska följas upp.
Att avtalskraven beträffande informationssäkerhet är allmänt hållna, samtidigt som standarden inom området inte är fullt integrerad i HSF:s verksamhet, innebär i praktiken att Vårdgivarens hantering av informationssäkerhet endast har följts upp i begränsad omfattning.
Vad gäller Vårdgivaren kan vi konstatera att det inte finns något dokumenterat ledningssystem för informationssäkerhet samt att det förekommit brister i rutinen för utvärdering och uppföljning av underleverantörer till vårdtjänsten.
Vi noterar dock att Vårdgivaren, sedan incidenten, arbetar med en åtgärdsplan för att förbättra informationssäkerheten, rutiner beträffande kontroll av leverantörer samt planerar för en certifiering inom ISO 27001.
Vi noterar att de akuta bristerna hänförliga till incidenten har hanterats, bland annat genom den skyndsamma nedstängningen av den felkonfigurerade servern, uppsägningen av avtalet med underleverantören som givit upphov till incidenten samt inhämtandet av all patientinformation till Vårdgivarens egen tekniska lösning.
Vi har dock identifierat ett antal framåtblickande förbättringsområden som rör HSF:s övergripande arbetssätt beträffande informationssäkerhet, fördelningen av roller och ansvar samt metoden för hantering och uppföljning av leverantörer.
Vidare har vi även identifierat åtgärder hänförliga till Vårdgivarens arbete med informationssäkerhet och den planerade ISO-certifieringen samt sättet till vilket Vårdgivaren arbetar med att vidareförmedla HSF:s avtalskrav beträffande informationssäkerhet.
HSF är alltså Hälso- och sjukvårdsförvaltningen i Region Stockholm och vårdgivaren Medhelp.
Att Region Stockholm inte lyckas formulera tydliga säkerhetskrav i upphandlingar i en så central tjänst som 1177 är i sig skandalöst.
Att sedan Medhelp som vårdgivare helt saknar ledningssystem för informationssäkerhet och att Region Stockholm inte ens ställt krav på en så grundläggande nivå är information som bekräftar min bild att den svenska sjukvården fortfarande ignorerar behovet av informationssäkerhet.
1177-skandalen var trots allt bara sten som vändes, om än stor.
Det som verkligen oroar är de brister i Region Stockholm säkerhetsarbete som avslöjas indirekt i rapporten.
Dessa brister gör det mycket sannolikt att 1177 bara är en del i större systemfel där patienters hälsa och integritet är i en ständig riskzon om rapportens uppgifter stämmer.
Ta till exempel följande iakttagelse från granskarna: HSF saknar ett fullständigt ledningssystem för informationssäkerhet (LIS).
Enligt den regionsövergripande informationssäkerhetspolicyn ska varje nämnd införa ett lokalt ledningssystem för informationssäkerhet.
I förekommande fall har HSF tagit fram lokala styrande dokument för informationssäkerhet, men dessa återspeglar i allt väsentligt de styrdokument som finns på regional nivå.
Graden av verksamhetsanpassning är relativt låg och förvaltningen har inte tagit fram några instruktioner eller utvecklat processer för hanteringen av informationssäkerhet.
Vi noterar att instruktioner håller på att arbetas fram, men dessa berör hanteringen av portabel IT-utrustning och syftar således inte till att tydliggöra riktlinjerna för hur förvaltningen.
Region Stockholm har alltså inte tagit fram säkerhetsregler för avpassade för sjukvården utan i huvudsak nöjt sig med de generella för regionen (trots att det funnits en föreskrift att så ska göras sedan 2008 SOSFS 2008:14) och att man inte heller är på väg att göra det för mer än för bärbar utrustning.
Jag tror redan den som rent tillfälligt jobbat med informationssäkerhet i vården förstår hur mycket arbete och eftertanke som krävs för att anpassa generella regler så att de fungerar i vården, t.ex.
bara att ge en uttolkning av ansvasförhållandena för informationshanteringen är en mycket komplex fråga.
Situationen i Region Stockholm gäller även hos Medhelp som inte heller har förmåga att ställa relevanta krav på sina underleverantörer: Processer och rutiner ska finnas för att säkerställa uppfyllandet av Socialstyrelsens krav på informationssäkerhet.
Vårdgivaren har inget dokumenterat LIS och det är vår bedömning att vissa processer saknas för att kunna försäkra att kraven uppfylls.
Vi noterar exempelvis att Vårdgivaren, i enlighet med vedertagna standarder och god praxis, inte har ställt ändamålsenliga krav på samt följt upp leverantörers hantering av informationssäkerhet.
Vidare anger Socialstyrelsen att vårdgivare ska ha en informationssäkerhetspolicy som anger mål och inriktning på verksamhetens arbete med informationssäkerhet.
Vi har identifierat att Vårdgivaren har antagit en informationssäkerhetspolicy i maj 2019.
Vi noterar i sammanhanget att Vårdgivaren planerar för en certifiering inom ISO 27001 till kvartal 2, 2020 samt har ett ledningssystem för GDPR.
Den här råttan-på-repet situationen illustrerar väl varför startpunkten för att förbättra säkerheten i vården på måste ligga på sjukvårdshuvudmännen eftersom det är huvudmännen som utformar förutsättningarna för de övriga aktörerna.
Tyvärr har ju lagstiftning och föreskrifter i huvudsak varit inriktade på vårdgivarna vilka i praktiken numera har svårt att ens den egna informationssäkerheten eftersom informationen hanteras i gemensamma lösningar.
Det är därför extra nedslående när sjukvårdshuvudmännen väljer att inte driva frågan ens i den egna verksamheten och inte heller att respektera de föreskrifter som finns.
Framför allt är det en fråga där det inte skulle behövas en föreskrift för att få de styrande i Sveriges största sjukvårdshuvudman att inse behovet av att styra informationshanteringen så att patienterna kan lita på att få god och säker vård.
I den kommentar som regionens ansvariga för vård upprepar man att man ska införa emen fokuserar i åtgärderna huvudsakligen på underleverantörerna.
Men att styra underleverantörerna utan ett eget fungerande regelverk är ett moment 22 som även granskarna noterar: HSF ställer inte tillräckligt tydliga krav på sina privata vårdgivare vad gäller deras informationssäkerhet.
Kravställningen på informationssäkerhet sker genom tillämpningen av en standardbilaga, vilken anger att leverantörer/vårdgivare ska följa regionövergripande styrande dokument för informationssäkerhet.
Vi noterar att de styrande dokumenten, i sin tur, anger att informationssäkerheten hos de som arbetar på uppdrag av Region Stockholm ska regleras genom avtal.
Vår bedömning är att dessa hänvisningar kan ge upphov till skiljande uppfattningar gällande kravbilden på informationssäkerheten.
Med hänsyn till att Socialstyrelsen anger som krav att vissa kontrollmål ska uppfyllas beträffande informationssäkerheten, företrädesvis med stöd av ett LIS enligt standarder i ISO 27000-serien, är det även vår bedömning att HSF:s tillkommande avtalskrav endast ger en begränsad effekt vad gäller att tydliggöra förväntningarna på de privata vårdgivarna.
Jag ska inte tjata mer om hur uppseendeväckande det är att Region Stockholm trots föreskrifter, alla incidenter och trots alla granskningar genom åren ändå inte prioriterar att införa ens ett regelverk för vården att utgå ifrån.
Det gör att man vare sig kan ha ett internt systematiskteller ställa relevanta krav på underleverantörer, det senare framgår på ett nästan tragikomiskt sätt i relationen med Medhelp.
Informationssäkerheten i vården är ingen ny fråga utan har varit uppmärksammad sedan åtminstone första hälften av nittiotalet.
Den stora frågan är Region Stockholm (och övriga sjukvårdshuvudmän) år efter år undviker att komma till rätta med bristerna.
Varför tycker man att det är rimligt att utsätta verksamheten och patienterna för de stora risker som den bristande säkerheten leder till samtidigt som man är beredd att investera ofattbara resurser i experiment som NKS?
Och nej, det går inte att säga att 1177 var ett undantag från en i övrigt fungerande situation.
KPMG:s rapport är den senaste i en rad av rapporter som visar att den bristande säkerheten är ett systemfel som genomsyrar hela den svenska vården – har man inte styrning av informationssäkerheten så finns den inte mer än fläckvis och utan möjlighet att reducera riskerna.
En relaterad fråga är om NIS-direktivet kommer att ha någon positiv inverkan över huvud taget eller om även denna styrning mot ekommer att ignoreras.
Om läsaren tycker att jag ger en alltför mörk bild av Region Stockholms informationssäkerhet rekommenderar jag att ni läser KPMG:s knapphändiga rapport som ändå ger en antydan om regionens förmåga rörande informationssäkerhet.
Tillägg 2019-06-24: Lägger ut rapporten som pdf här: Även för den som är relativt insatt i svensk hälso- och sjukvård och dessutom fortlöpande läst DN:s långa rapportering om alla turer i NKS:s skandalen är ”Kampen om Karolinska.
Konsulterna” av journalisterna Anna Gustafsson och Lisa Röstlund en upprörande och i vissa stycken hjärtslitande läsning.
Sammanställningen av en lång rad av medvetna beslut av den politiska majoriteten under ett antal år som lett till en alltmer katastrofal situation är skakande och i förstone närmast obegriplig.
Att denna politiska revolution av den stockholmska sjukvården kunnat genomföras trots att den kantats av ekonomiska haverier i en hittills okänd skala, personal som flyr eller är helt uppgivna samt i sin yttersta konsekvens patienter som faktiskt dör på grund av omorganisationen.
Boken ger en mycket grundlig och researchad beskrivning av förloppet, dessutom välskriven.
Jag kommer inte här att gå in på djupet i boken utan rekommenderar den som sommarläsning för alla.
Som konsult kan jag särskilt uppmuntra andra konsulter läsning och därefter visst begrundade av vilken skada man kan göra om man som konsult driver sin egen agenda i kundens organisation.
Det är inte en särskilt hårfin skillnad mellan att ha integritet och att driva sina egna intressen hos kunden.
Efter att ha arbetat i offentlig sektor är det vissa drag i historien obehagligt välbekanta som övertron på att gigantiska omorganisationer löser problem och managementkonsulter som löper amok och kör över alla som har någon slags kompetens, d.v.s.
Den tystnadskultur som drivits fram vid NKS där enbart lovprisning av den värdebaserade vården tolererats är inte heller den ett unikt fenomen utan en sjuka som enligt min uppfattning äter sig allt djupare in i den offentliga sektorn generellt.
Det till synes oreflekterade upphöjandet av nya organisationsteorier som frälsningslära är inte heller unikt för NKS med sin värdebaserade vård.
Själv har jag varit med om allt från LOTS till Lean via lärande organisation, det sistnämnda något ironiskt eftersom varken landstingspolitiker eller myndighetschefer verkar lära sig något av de misslyckade organisationsexperimenten – snabbt är man på nästa modeteori.
Själv har jag mycket liten tilltro till att omorganisationer löser större problem, och för detta finns det heller föga stöd i forskningen.
Men för den ledare som vill sätta sitt märke på kommunen, regionen eller myndigheten kan en stor omorganisation vara det som skapar synlighet och inge en känsla av handlingskraft.
Region Stockholm har dock tagit vissa fenomen till en ny nivå.
Varför den borgerliga majoriteten med m och kd i spetsen valde en ekonomisk driftform (OPS) som blivit många gånger dyrare än att bygga och drifta det nya sjukhuset i egen regi saknar fortfarande rimliga svar förutom att de drevs av en nyliberal överideologi.
För den intresserade som vill djupdyka i denna del finns SvD-journalisterna Henrik Ennart och Fredrik Mellgrens bok ”Sjukt hus: om Nya Karolinska – svindlerierna, skandalerna och sjukvårdskrisen i Stockholm”, också den mycket läsvärd.
Stockholmare kommer att dras med effekterna av denna mycket dåliga affär i decennier framåt.
Att man dessutom låtit konsulter från BCG skicka in juniora konsulter, fakturera vilt samt anställa sina gamla kollegor är även det ganska många snäpp mer än vad som brukar förekomma.
Lägg därtill alla turer där anställda på KI även driver företag tillsammans med amerikanska intressen och försöker påverka utvecklingen av den stockholmska sjukvården så det gynnar de egna företagen snarare än patienterna och vi har en soppa som inte skådats i Sverige i modern tid.
Särskilt oroande blir detta med tanke på att hälso- och sjukvård är en av de sektorer som är mest utsatta för korruption vilket det finns ett aktuellt Konflikt om .Det tål att påminnas om den gamla sanningen att Sverige löper en stor risk för korruption eftersom vår självbild är att vårt samhälle är immunt mot korruption.
För mig har det dock varit av särskilt intresse att ta några steg tillbaka och sätta den värdebaserade vården och den informationshantering som följt med den i ett större historiskt och politiskt perspektiv.
Jag pratar då inte om de ”normala” it-haveriförloppen inom den svenska sjukvården och framför allt Region Stockholm där först politiker går ut med löften om fantastiska nya som sedan .
Därefter glöm, få andra att glömma och upprepa.
Nu pratar vi om en informationshantering med risker på en hel annan nivå och inbyggda i själva styrningen av sjukvården.
Den värdebaserade vårdens ledande företrädare Michael Porter (forskare i management och strategi, inte medicin) brukar enligt författarna av sammanfatta sin teori i ekvationen .
Resultatet mäts i hög grad utifrån patientens upplevelse, inte ett faktiskt mätbart resultat vilket känns fascinerande paradoxalt eftersom modellen i övrigt bygger på att mäta, mäta och åter mäta.
Observera att jag inte på något sätt ifrågasätta patientens rätt att känna sig nöjd med och delaktighet i sin vård utan invändningen ligger i att det finns få så luriga mått som upplevd nöjdhet samt att detta är ett mått är skräddarsytt för en konkurrensstyrd kommersiell verksamhet.
Redan här kan man se hur valet av vårdmodell klickar i den ideologiska revolutionen av den stockholmska sjukvården.
Den värdebaserade vården satt i system förutsätter en gigantisk datainsamling för att verkligen kunna bedöma vilken aktör som vid varje tillfälle lyckas lösa Porters ekvation bäst.
Förutom att i sig skapar det NPM-inferno som även känns igen från den svenska skolan med överdokumentation och rapportering med efterföljande stress är detta en modell som illa överensstämmer med en offentligt finansierad vård.
Istället för att ta det ansvar som krävs för bland annat multisjuka äldre maximeras istället vinsten i modellen för de vårdgivare som avverkar enskilda vårdepisoder snabbast.
Som så ofta i den moderna vårdens historia har frälsare av Porters typ fått dominera och hävda att sjukvård kan ses på precis samma sätt som bilfabriker.
Och varje gång havererar de löpande bandsprinciperna utom i vissa specifika operationstyper eftersom människor envisas med att ha kroppar och sinnen som är så mycket mer unika och komplexa än nyproducerade bilar.
Skandalen på NKS gör dock att jag (och förhoppningsvis andra) får upp ögonen för hur det ekonomiska skede vi lever i fungerar.
Sedan åtminstone 70-talet har vi vetat att vi lever i ett informationssamhälle men vad betyder egentligen det?
Inte bara att vi får en massa nya coola prylar och kan kommunicera via the world wide ( wild) webb utan att vi faktiskt gått in i en ekonomi som har information som sin huvudsakliga råvara.
Den amerikanska professorn i social psykologi Shoshana Zuboff har i sin mycket omskriva beskrivit framväxten av hur det ekonomiska systemet byggt på information som råvara fungerar.
Ofta tolkas hennes teorier endast i förhållande till Google, Facebook och liknande plattformar som .
Att se Zuboffs bok snävt som en beskrivning av hur Google och Facebook fungerar är fel menar jag.
Bland annat den globala hälso- och sjukvårdsmarknaden fungerar idag enligt samma grundprinciper.
I fallet med NKS, BCG och den värdebaserade vården blir det uppenbart hur ekonomiska intressen utanför NKS, Region Stockholm och Sverige ser den svenska sjukvården som en naturresurs att utvinna.
Zuboff är inte ensam i sitt uppsåt att skildra den digitala ekonomins framväxt men hon gör det på ett sammanfattande och övertygande sätt (och med en titel som för tankarna till favoriten bland författare till breda historiska exposéer Hobsbawm).
Mycket grovt förenklat kan Zuboffs skildring av övervakningskapitalismens era ses som ett skede där teknisk innovation korrelerar med framför allt två huvudsakliga faktorer: att det från 70-talet växer fram en nyliberal hegemoni i västvärlden och efter 11 september 2001 ett samhällsklimat som präglas av en allt starkare befogad eller obefogad känsla av otrygghet.
Nyliberalismens huvudkonflikt kan, även detta starkt förenklat, ses som en maktkamp mellan statlig/samhällelig reglering och de fria marknadskrafterna.
Under de senare decennierna av förra århundradet och de två i vårt nuvarande har en systemförändrande avreglering skett och ersatts av metoder som compliance och standarder där marknaden påstår sig kunna reglera sig själv.
Kombinerad med den konsekventa nedmonteringen av rätten till integritet som motiverats av att kunna förhindra terrorism och andra brott har kapat både samhällets och individens förmåga att på ett effektivt sätt skydda sig, eller ens vilja skydda sig, mot att personlig information utan insyn och kontroll används som råvara.
När informationen blivit råvara förflyttas äganderätten av uppgifterna från individen till det företag som kan hävda sig ha ”förädlat” den (här finns en intressant koppling till Nozick som jag inte hinner utveckla närmare men låt mig ändå säga att jag ser Nozick som själva gudfadern till berättigandet av utvecklingen).
I denna historiska korsväg utvecklar först Google och därefter bl.a.
Facebook sina tjänster.
I lika hög grad som att erbjuda användarna möjlighet att utbyta information sinsemellan börjar företagen exponentiellt samla allt mer information om användarnas beteende.
I förstone motiveras detta med att det ska ge underlag för att ge användarna allt bättre tjänster för att sedan allt mer tydligt ge stöd för riktad marknadsföring.
Med den fullständigt enorma informationsbas av överskottsinformation som Google byggde upp kunde de göra så annonsörerna kunde få stor träffsäkerhet i sin annonsering.
Steget efter att ge sökvägar till annonsörerna var det som Zuboff menar är det verkligt revolutionerande: ett överskott av information rörande användarnas beteende som med algoritmernas hjälp går att användarnas behov: Instead, we are the objects from which raw materials are extracted and expropriated for Google’s prediction factories.
Förutsägelserna berör inte bara den enskilda användarna utan, viktigare, på gruppnivå.
Ett positivt exempel är när det genom användares sökningar på Internet går att förutse influensaepidemier.
Obehagligare när en kvinna börjar få annonser om mammakläder i sitt flöde redan innan hon själv vet att hon är gravid… Den verkliga vinsten i att inte bara veta hur folk/kunder beter sig när de får hålla på som de vill utan när tjänsteleverantörerna påverkar kunderna att agera på ett sätt som gynnar leverantören utan att ens fatta det.
Tjänste- och plattformsleverantörer har, som Zuboff visar, ända sedan början haft ett gemensamt intresse och samarbete med statliga myndigheter i USA och annorstädes vilket inte gör osynliga men obetvingliga styrningen mycket skrämmande.
Den generellt positiva syn som många säkerhetsmänniskor har till övervakning blir satt i detta sammanhang oroande naiv.
Marknadspotentialen i att ha tillgång till oceaner av information om beteenden är omätbar inte bara i första läget för det egna företaget utan framför allt som en förpackad kommoditet som kan säljas vidare.
Sätt då detta i korrelation med en bransch som omsätter mellan 10 och 20 % av BNP i västvärldens länder, är i snabb global tillväxt och dessutom samlar in och bearbetar känslig personlig information om alla invånare.
Landskapet som NKS och den värdebaserade vården sätts i kan liknas vid det El dorado som conquistadorerna drömde om, med skillnaden att Sverige verkligen finns och har kvalitetsregister och patientjournaler för hela befolkningen.
Det vill säga ett verkligt El dorado för inte bara vård- och läkemedelsföretag utan även försäkringsbranschen.
Cyberrymden är en ny jättekontinent som exploatörerna vill hålla så fri från reglering som möjligt.
De fantastiska marknadsmöjligheter som ligger i att kunna prognosticera patienter och försäkringstagarnas utveckling är oöverblickbara.
Denna sanning uttrycks explicit i ett citat av en högt uppsatt tjänsteman på Karolinska som inleder avsnittet som är mycket lämpligt benämnt ”Guldet” i DN-journalisternas bok: Det är en sak som BCG och bolagen de jobbar med främst vill åt.
Det är patientdata som är deras bitcoins.
Däri ligger den stora affären i värdebaserad vård.
Vi måste lära oss att leva med att Sverige med sin långtgående nyliberalism i kombination med de kvalitetsregister som på frivillig basis byggts upp under mycket lång tid tillsammans alla övriga patientdata kommer att ha ofattbar dragningskraft på internationella företag.
Det gäller på samma sätt för all annan information inklusive personuppgifter som sammanställs av svenska myndigheter.
Det viktiga är att detta hanteras på ett öppet sätt där inte bara företagen blir nöjda utan att även kärnverksamheten och dess avnämare som patienter och medborgare.
När man ser mekanismerna som varit i kraft vid NKS kan jag inte låta bli att undra över exempelvis satsningen på När satsningen presenterades av Göran Hägglund (numera tryggt förankrad i privata vårdföretag) framställdes som en särskild USP att app-leverantörer och andra entreprenörer skulle kunna bygga tjänster på de datamängder som insamlades.
Vad var egentligen hönan och vad var ägget i Hälsa för mig?
kan ses i full careta när det gäller även härvan på NKS och den värdebaserade vården.
Lobbyismen, parasiterandet på akademin och de vilseledande budskapen om vem som gynnades.
Utan att ta partipolitisk ställning tycks för närvarande samhällets förmåga att hantera en skandal som den vid NKS undermålig.
Inget ansvarsutkrävande av de verkligt ansvariga, d.v.s.
de politiker som fattat samtliga beslut både när det gäller byggnation, värdebaserad vård, konsultanvändande och it-system, har skett.
Fristående och seriös journalistik förefaller vara det enda sättet för att skapa den insyn och kontroll som de offentliga institutionerna inte är intresserade av att själva bygga upp vilket i sig är en dyster insikt.
I detta sammanhang är en stilla önskan att hela e-hälsoområdet kommer att locka till sig lika envetna, seriösa och välskrivande journalister som de som nu skrivit ”Konsulterna”.
Ett helt ofarligt löfte att ge är att det finns lika mycket att gräva fram om e-hälsa som om NKS!
Det är lätt att hamna i en politisk depression när man funderar över hur digitaliseringens starka krafter ska kunna tyglas för att dra åt ett håll som gynnar hela samhället och så att individen har en basal möjlighet att upprätthålla sin integritet.
Att krafterna som motverkar integritet är mycket kraftfulla är uppenbart och argumentationen från de kommersiella aktörerna mot integritet som hindrar affären dominerar även i ett stort antal myndighetsutredningar har jag länge observerat.
Den sittande majoriteten i Region Stockholm gjorde det till och med till ett vallöfte att göra stockholmarnas patientdata tillgängligt för industrin.
Trots detta drabbades jag litet av en chock när jag i slutet av ”Konsulterna” får läsa att OECD antagit värdebaserad vård som strategisk inriktning och kräver att medlemsländerna, däribland Sverige, ska dela patientdata via en jättelik gemensam databas, ”Parisdatabasen” där OECD är ägare till uppgifterna.
Detta sker i samarbete med – BCG… Databasen vars nytta bedöms oklar av Socialstyrelsen och vars syfte inte klart har definierats anses ändå oumbärlig.
Särskilt upprörande är att det inte går att avtala vem som ska få tillgång till informationen utan har beskrivits som ”OECD och framtida samarbetspartners”.
Ganska långt från dataskyddsförordningens regler är väl ett understatement.
Jag uppmanar alla intresserade att hålla ögonen på detta projekt, särskilt som det verkar som att OECD i aggressiva ordalag kräver in uppgifter trots svenska myndigheters tveksamhet.
Landsting och regioner är däremot föga förvånande positiva, en nödvändig levnadsregel är nog: lita aldrig på en region i integritetsfrågor.
Vad kan då göras?
Jag menar att vi måste kunna införa ett slags samhälleligt marshmallows-test där vi vågar utreda vår nya situation och skaffa oss nödvändiga redskap för att styra utvecklingen åt ett håll som gynnar flertalet och inte bara viljelöst följa med.
Oavsett politisk uppfattning bör vi kunna komma överens om att de intressekonflikter som finns i den digitala utvecklingen måste lyftas fram och diskuteras så att åtminstone invånare i demokratier har möjlighet att ställning till hur de vill ha framtiden.
Ett konkret förslag är att tillsätta en etisk kommitté med uppdrag att fortlöpande utvärdera och ta ställning till större initiativ inom digitaliseringsområdet.
DIGG kan vara sammankallande och sköta kansliet för kommittén men ett antal mycket fristående och erkänt motspänstiga ledamöter av typen filosofer bör ingå.
Otillräckligt men kanske ett första steg på att erkänna att varje mynt har åtminstone två sidor, så även digitaliseringen.
Slutligen måste jag understryka att jag inte ger någon av de nämnda böckerna rättvisa utan uppmanar alla att själva läsa dem och bilda sig en egen uppfattning.
Själv fick jag min nya Fitbit igår… Tillägg 2019-06-18: Ett visst hopp angående möjligheten att OECD:s planer kan ändå skönjas i och med regeringens beslut att inte delta i uppbyggnaden av .
Vår ambivalens inför molntjänster är stor.
Å ena sidan har vi risken att personuppgifter och annan känslig information kommer i orätta händer, å andra all den funktionalitet som vi så gärna vill ha.
Dessutom måste det vägas in att molntjänster erbjuder många säkerhetsfördelar, inte minst för mindre organisationer.
menar att vi står i ett vägskäl.
Själv ser jag att många redan har gjort sitt val och tyckt att nyttan med molntjänster överstiger risken.
Att många kommuner har gjort så är ingen hemlighet men jag blir ganska häpen när jag efter ett tips kollade upp , en rekryteringstjänst för Försvarsmakten.
Tipset var att denna tjänst ligger i Office 365, en molntjänst som driftas av Microsoft på Irland.
För att få korrekt information skrev jag och frågade Försvarsmakten litet om detta.
Jag har tre frågor om Mitt försvarsmakten: Slutligen skulle jag vilja ut en lista över vilka personuppgifter som hanteras i Mitt försvarsmakten.
Tack för svar!
och fick då följande svar som jag publicerar in extenso: Hej!
Se svar nedan på dina frågeställningar.
Mitt Försvarsmakten är byggt inom extern molntjänst (Microsoft Office 365).
Försvarsmakten har ställt krav på informations- och IT-säkerhet och granskat den färdiga lösningen utifrån kraven med godkänt resultat.
Inom ramen för utvecklingsarbetet har den militära underrättelse- och säkerhetstjänsten, MUST, löpande deltagit i granskningar av lösningen och har även godkänt lösningen inför driftsättningen.
Försvarsmakten arbetar kontinuerligt med kontroll och förbättringar av informations- och IT-säkerheten i alla IT-tjänster inklusive denna.
Försvarsmakten kommenterar inte i detalj hur säkerhetskraven är implementerade.
Personuppgifterna i Mitt Försvarsmakten behandlas med stöd av samtycke från den enskilde.
Av samtycket framgår även att Microsoft behandlar personuppgifterna.
Försvarsmakten använder Google Analytics från Google som analysverktyg.
Google Analytics använder cookies.
Informationen som genereras av dessa (inklusive IP-adresser) kommer att vidarebefordras till och lagras av Google.
Denna information används i syfte att utvärdera besöksstatistik.
Google kan också överföra denna information till tredje parter om det krävs enligt lag eller i de fall en tredje part behandlar informationen för Googles räkning.
Google kommer inte att koppla samman IP-adresser med annan data som Google innehar.
Google Analytics anonymiserar den information som skickas till Google.
För personer utan registrerad användarprofil i Mitt Försvarsmakten som har registrerat sig för ett specifikt event behandlas endast uppgift om namn och e-postadress.
För personer med registrerad användarprofil i Mitt Försvarsmakten behandlas uppgifter om Namn Personnummer Kontaktuppgifter (adress, telefonnummer och e-postadress) Uppgift om kön Uppgift om svenskt medborgarskap Uppgift om nuvarande sysselsättning Uppgift om nuvarande arbetsgivare Uppgift om godkända betyg MA / SV / EN från gymnasiet Uppgift om kondition och muskelstyrka Intresse för Försvarsmakten Medarbetarstatus, tidigare anställning inom FM Har ansökt om Veterankort eller har Veterankort Har sökt tjänst Har sökt GMU Har gjort rekryttest Startat GMU/GU-F/GSU/Kombattantutbildning Slutfört GMU/delkurs/GU-F Tagit anställning inom FM Avtal tecknat Avtal tecknat den Samtycker till lagring och bearbetning av information Kandidaten vill avregistrera sig Mvh Försvarsmakten Det ska medges att jag ibland varit aningen tveksam till att det ofta framställs som att Försvarsmakten är säkerhetsexperterna även då det gäller det civila samhällets säkerhet.
Men om vi acceptera premissen att Försvarsmakten är någon form av riktkarl för samhällets säkerhet blir detta svar intressant.
Frågorna jag ställer mig är: Observera att jag inte har svaret på dessa frågor – jag bara funderar.
I maj när dataskyddsförordningen trädde i kraft inledde jag ett test: att genom att ställa frågor om hur mina personuppgifter hanterades i vården ville jag göra en temperaturmätning av den kontroll som vården generellt har över vårdinformationen.
För hälso- och sjukvård innebär (i princip) inte dataskyddsförordningen någon så stor skillnad eftersom både patientdatalagen och PuL redan gett patienten möjlighet att få tillgång till sin information och (i teorin) spärra åtkomsten till sin vårdinformation.
I verkligheten är det och har det sedan patientdatalagen varit svårt för att inte säga omöjligt att få veta hur patientuppgifter hanteras – det är i alla fall min uppfattning som jag ville pröva genom att begära upplysningar om mina egna vårduppgifter med stöd av dataskyddsförordningen.
Svaren på mina frågor var negativa (vilket jag kommer att återkomma till senare) men jag fick underlag rörande dagssituationen inom e-hälsoområdet.
Detta inlägg svävar ut in extremis och handlar om i vilket landskap som digitalisering av vårdinformationen sker.
Jag ska resonera om den bristande styrningen av e-hälsa samt pusta ut orosmoln om informationssäkerhet och det långsiktiga bevarandet av vårdinformationen.
I ett följande inlägg kommer jag att skriva mer om den bakomliggande juridiken.
Först till organisationen av den svenska sjukvården som förvånansvärt många som gör inlägg i e-hälsofrågor inte tycks bottna helt i. Tillåt mig att roa mig med en historisk utflykt.
Den svenska vården är i huvudsak offentligt finansierad via skattemedel.
Det regionala ansvarar för att erbjuda vård inom det egna upptagningsområdet enligt hälsosjukvårdslagen.
Men landstingen och regioner behöver inte själva vara utförare av all vård utan kan även vara privata.
Andelen privata vårdgivare har tillväxt mycket starkt under de senaste 20 åren men strukturen med självständiga landsting som sjukvårdshuvudmän har funnits sedan 1862 (med varierande uppdrag).
Redan här finns underlag för vanliga missuppfattningar om ansvar men också reella problem eftersom de flesta krav i föreskrifter m.m.
riktas mot vårdgivarna och inte sjukvårdshuvudmännen.
När det gäller säkerhet och integritet har dock vårdgivarna inte så stora möjligheter att påverka sin situation trots att de har ansvaret – de tvingas (formellt eller informellt) ofta av sjukvårdshuvudmän, SKL eller myndigheter att använda lösningar oavsett egna säkerhetskrav.
Landstingen är kommuner med en politisk ledning vilket gör att inriktningen för olika landsting och regioner kan variera.
För e-hälsan som av naturliga skäl blir allt mer nationell är detta en ansvarsfördelning som innebär stora problem, inte minst eftersom landstingspolitiker använt rollen för egna, i mitt tycke kortsiktiga, kampanjer.
En misstanke som gror är att e-hälsa används av politiker för att undkomma att diskutera den offentligt finansierade vårdens grundfråga: den nödvändiga prioriteringen.
Det är ett väl känt faktum att det inte finns någon bortre gräns för behovet av vård, det finns hela tiden nya sjukdomar och tillstånd som kan behandlas och definitionen av hälsa kan sättas så högt att inte minsta krämpa blir acceptabel.
Däremot är vårdens resurser begränsade – alltså måste prioriteringar ske.
Detta är den mest laddade av alla frågor för sjukvårdspolitiker eftersom prioriteringar ofelbart kommer att leda till att några patienter blir missnöjda.
Den som tillsattes i slutet av nittiotalet för att ge de lokala politikerna stöd i form av nationella prioriteringslistor släppte också snabbt den glödheta potatisen och lämnande ifrån sig litet allmänna rekommendationer om hur processen för prioriteringar skulle kunna ske .
Min teori är att politiker och högre tjänstemän i vården nu (omedvetet) använder e-hälsa som en dimridå för att undvika frågan om prioriteringar genom att hävda att e-hälsosatsningar skulle kunna leda till enorma effektivitetsvinster (som då underförstått skulle leda till att får den vård de vill ha).
I verkligheten sker en mycket negativ icke-styrd prioritering av sjukvårdsmedel genom bland annat kommersiella nätläkare där en ohelig allians mellan nätläkarnas ekonomiska intresse och människor med lättare krämpor prioriterar upp sig på bekostnad av andra med reella hälsoproblem.
En hårdvinklad beskrivning men ni förstår vad jag menar.
Detta sätter stark press på sjukvårdspolitiker som i vissa fall måste säga nej men hellre säger att e-hälsa kommer att lösa problemen.
Själv är jag positiv till de former av e-hälsa som leder till reella förbättringar men att tro att den ska kunna upphäva den omöjliga ekvationen mellan outtömliga behov och begränsade resurser är en vanföreställning som ansvarsfulla politiker borde göra upp med.
En annan viktig negativ faktor är SKL:s förändrade roll.
SKL driver sina medlemsorganisationers intressen i förhållande gentemot uppdragsgivaren staten, d.v.s.
att man vill att staten ska styra så litet som möjligt (även om det inte uttrycks preeeecis så) vilket ökar på fragmentiseringen ytterligare.
Den tidigare sammanhållande myndigheten Socialstyrelsen som var en beredande motpart för SKL blev sönderslagen för några år sedan.
Uppgifterna är nu fördelade på fyra myndigheter som tillsammans med Läkemedelsverket tycks ha ett tämligen lågintensivt samarbete.
SKL och sjukvårdshuvudmännen agerar som månghövdad maktfaktor utan eget ansvar i det tomrum som skapades när Socialstyrelsen nedmonterades.
Dessutom står e-hälsoområdet under ett starkt kommersiellt intresse, inte bara genom nätläkarna.
Den nära alliansen mellan känns inte helt betryggande för det kommande.
I den tidigare regeringen var två av hälso- och sjukvårdsministerns statssekreterare hämtade från it-leverantörer vilket Dagens samhälle skrev om förra året.
Förväntan på stora vinster inom vården och en kanske alltför nära relation är knappast positiva nyheter för patienter och skattebetalare.
Eftersom jag intresserat mig en hel del för den svenska sjukvårdens historia kan jag inte undgå att fundera över att maktbalansen mellan staten som är uppdragsgivaren och utförarna, d.v.s.
sjukvårdshuvudmännen (regioner och landsting) samt numera SKL, har förskjutits.
Att göra historiska jämförelser är alltid vanskligt men för mig går det inte att motstå frestelsen att försöka analysera varför e-hälsa och digitalisering relativt sett varit så litet framgångsrika samhällsprojekt i förhållande till de resurser som satsat.
Hade det gått att prata fram e-hälsa och digitalisering hade det svenska samhället genomgått ett Civilization-moment där den framgångsrike spelaren lyckas uppfinna elektricitet på 1100-talet.
Men tyvärr räcker det inte med miljontals power point bilder, konferensinlägg, möten, testbäddar och avgränsade dellösningar för att skapa infrastruktur.
I detta delar jag uppfattningen i om floden av åsikter.
Jag tror mig att se några orsaker till det haltande genomförandet av något som trots allt alla varit överens om ska genomföras.
Detta är en situation som i mycket liknar den som rådde från slutet av fyrtiotalet och i ett par decennier framåt då det skedde en så här i efterhand nästan ofattbar mobilisering och utbyggnad av den svenska hälso- och sjukvården.
När jag skrev en historik om den värmländska sjukvården häpnade jag över att landstinget under en tioårsperiod byggde inte mindre än fyra nya sjukhus!
Även om jag är starkt lockad ska jag inte gräva ner mig ytterligare i detta utan bara tacksamt konstatera att den samhälleliga kraftsamling är något som vi nu fortsätter att skörda frukterna av.
Hur kunde man lyckas med denna infrastrukturella revolution?
En första förutsättning var att det fanns en stark politisk enighet om att detta skulle genomföras även från de borgerliga partierna som annars kampanjade för skattesänkningar.
Men till skillnad mot e-hälsoutvecklingen (liksom digitaliseringen i övrigt) nöjde man sig inte med den politiska enigheten utan skapade även de institutionella förutsättningarna (för den som vill läsa mer om institutionella förutsättningar rekommenderar jag verkligen att läsa litet Lennart Lundqvist eller Bo Rothstein) för utbyggnad.
En viktig sådan var att skapa ett mycket genomarbetat kunskapsunderlag att ta ut riktningen ifrån.
I detta var utredningsväsendet mycket betydelsefullt, de utredningsinsatser som gjordes var av mycket hög kvalitet.
Häri ligger en väsentlig skillnad mot de utredningar och kommittéer som levererat förslag inom digitalisering och e-hälsa, jag nöjer mig med att instämma i de synpunkter som framförs i den här .
I utvecklingen fanns en mycket kraftfull och sammanhållande motor i Medicinalstyrelsen, sedermera Socialstyrelsen.
Det är idag nästan svårt att förstå hur inflytelserik myndigheten var och på vilken detaljnivå man styrde sjukvården.
Om vi bara ser till vårdbyggnader fanns det ett regelverk som ner till hur många luftkubik per vårdplats definierade hur sjukhusen skulle byggas.
Varje ritning på ny- eller ombyggnad måste skickas in för godkännande och stränga inspektörer åkte ut och kontrollerade att det som byggts höll måttet.
Landstingen var byggherrar och hade det praktiska ansvaret för byggande och vård men deras intressen samlade ingen front i Landstingsförbundet (en del av SKL:s föregångare tillsammans med Kommunförbundet) utan gick huvudsakligen via riksdagen.
Där fanns det som kallades ”landstingspartiet” eller ”landstingsbänken” där landstingsordförande som nästan undantagslöst även vara riksdagsmän kunde driva sina frågor – ofta i gott samförstånd oavsett partipolitisk tillhörighet.
Även detta var en viktig institutionell förutsättning eftersom det då fanns etablerade och lagfästa former för att lösa intressemotsättningar.
Idag är situationen radikalt annorlunda.
En viktig skillnad är förstås att det kommit in så många privata aktörer men också att när de gamla institutionerna revs ner ersattes de inte av nya som skulle varit verkningsfulla då man anammade new public management som grundfilosofi för den svenska vården.
Jag är för tillfället inne på att försöken att uppnå effektiv digitalisering och e-hälsa är bland de bästa exemplen på hur new public management på ett negativt sätt präglat svensk offentlig sektor.
Resultatet har bland annat blivit att Socialstyrelsen i accelererande takt fråntagits mandat och att sammanhållen utveckling ersatts med fragmentisering.
Intresseorganisationen SKL tycks inte heller längre gå via en beredning på myndighetsnivå utan direkt på regeringen och jag har t.o.m.
läst meningar som att ”regeringen bör SKL i uppdrag …”.
Den geografiska uppdelningen av ansvar var under perioden mindre problematisk än idag eftersom större delen av vårdens uppgifter kunde lösas inom varje landstings hank och stör.
När digitaliseringen tog fart i början av nittiotalet skapades överbryggande strukturer som exempelvis Sjunet och sedermera Carelink.
Nu finns både eHälsomyndigheten och Inera m.fl.
som utan tydlig gemensam strategi eller regelverk grejar i infrastrukturen.
Bortsett från det negativa i att sakna gemensam styrning ser jag det inte heller som problemfritt när digitalisering och e-hälsa blir frikopplade från den kärnverksamhet de ska utgöra stödfunktion för.
En annan aspekt som tycks ha glömts bort är vårdinformationens långsiktiga betydelse både för den enskilda patienten och för forskningen.
För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård.
Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades).
Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman.
Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän.
Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring.
Alla sjukvårdshuvudmän (alltså landsting/regioner) utom en om jag kommer ihåg rätt hade åtagit sig att bevara alla läkarförda journaler för all framtid.
Bakgrunden till detta var den enorma betydelse som den vårdinformation som arkiverats från sjuttonhundratalet och framåt haft för den svenska forskningen.
I PDL är kravet att en journal ska bevaras i minst tio är efter att sista anteckningen förts in i handlingen samt att journaler som allmänna handlingar ska hanteras som sådana.
Det är ungefär vad som stod i patientjournallagen också men nu är kontexten radikalt annorlunda och även innebörden av begreppen – vad är ens en ”handling” i dagens vårdinformation?
Bara den förändringen att betydligt mindre andel av vårdinformationen är allmänna handlingar och därmed kan gallras av den enskilda vårdgivaren är en stor risk.
Vissa sjukvårdshuvudmän har försökt reglera arkivfrågan i avtal med de privata vårdgivarna men detta är knappast tillräckligt.
Redan idag är det som presenteras på skärmen hos en vårdgivare en sammanställning av information ur en rad system och tjänster som kan finnas både inom och utom vårdgivarens organisation.
Detta är bara inledning av en utveckling där informationshanteringen kommer att bli organisatoriskt och tekniskt allt mer komplex.
För att bevara denna gigantiska informationsmassa för framtiden för att kunna serva patienter som envisas med att leva i bortåt ett sekel och för att kunna ge underlag för livsviktig forskning räcker det inte med att litet svävande beskriva ”e-arkiv”.
För mig är detta en mycket bekymmersam fråga och det förvånar mig att varken Riksarkivet eller de utredningar som genomförts gällande registerforskningen intresserat sig för detta.
Så här i slutet av litanian vill jag inte på något sätt hävda att vi kan använda gårdagens lösningar idag.
Däremot tror jag att det finns mycket att vinna på att ha ett historiskt perspektiv.
I detta fall vill jag lyfta fram behovet av kvalitativa kunskapsunderlag som är parlamentariskt förankrade, en långsiktig väl definierad inriktning, institutionella förutsättningar anpassade efter aktuell situation och en sammanhållande kraft med mandat att genomdriva beslutade lösningar.
Framför allt tror jag att vi måste erkänna att det finns intressemotsättningar och lyfta fram dem i ljuset för att kunna diskutera hur de ska lösas.
Ofta framhålls svårigheten med den geografiska uppdelningen, minst lika stor är den som handlar om de inte helt kompatibla intressena privata utförare och den offentliga finansieringen.
Hur dessa intressen ska balanseras mot varandra har hittills varit en icke-fråga i e-hälsosammanhang.
Det har vi inte råd att låta den fortsätta vara.
Om vi ska klara upprätthålla den väsentliga del i välfärdssamhället som den offentligt finansierade sjukvården utgör och dessutom införa dataskyddsförordning, NIS-direktiv, civil beredskap och allt annat så måste vi ändra bilden av e-hälsa.
Det handlar inte om att släppa ner litet slumpmässiga tekniska lösningar (gärna efter påtryckning av olika leverantörer) utan att se att det kräver samma mobilisering, organisation och koordinering som då sjukvården byggdes ut under efterkrigstiden.
Och glöm inte forskningen!
Det har nu gått en vecka sedan dataskyddsförordningen trädde i kraft.
Under den förlidna veckan kom även Förvaltningsrättens utslag som gav Datainspektionen rätt gällande eHälsomyndighetens tjänst .
För mig var domen mycket välkommen eftersom jag redan sedan start uppfattat Hälsa för mig som en tjänst med skakig ansvarsfördelning och bristande säkerhet trots att den är tänkt att hantera känsliga personuppgifter från hela den svenska befolkningen.
Förra veckan skulle alltså kunna ses som en bra vecka för den personliga integriteten men det återstår verkligen mycket att göra.
En separat frågeställning som behöver lyftas är vikten av att få god information om hur personuppgifter hanteras för att kunna skydda den egna integriteten.
Individens komplicerade situation blev tydlig när jag såg en del reaktioner, framför allt från tjänsteleverantörer, angående Förvaltningsrättens utslag om Hälsa för mig.
Om jag tolkar dessa reaktioner rätt så uppfattar de det som någon form av omyndigförklarande av individer att de (individerna alltså) inte själva får bedöma säkerheten och integriteten i Hälsa för mig (plus i de appar som vidareutnyttjar information) utan att klåfingriga myndigheter lägger sig i. Själv tycker jag att det är en, hm, okonventionell hållning till myndigheters och leverantörers ansvar för sina tjänster som t.o.m.
Parks & Recreation hade en bättre analys av (i säsong 7 avsnitt 5 men hela serien rekommenderas naturligtvis!).
Komplexiteten ligger i att både kunna få kunskap om hur de egna uppgifterna hanteras för att kunna välja vilka risker man vill ta som individ samtidigt som det måste ställas krav på de personuppgiftsansvariga att ha nödvändig säkerhet och dataskydd i sina lösningar.
Båda dessa aspekter förutsätter att det finns god och dokumenterad kontroll över informationsflöden och säkerhetsåtgärder som går att presentera.
Först då finns en situation där individen kan känna tillit till den personuppgiftsansvarige och välja att antingen nöja sig med det eller att fatta ett informerat val att till exempel undandra eller spärra sina uppgifter.
Samtidigt gjorde jag inspirerad av dataskyddsförordningen ett experiment att försöka få en presentation av hur mina personuppgifter hanteras i vården.
I patientdatalagen finns regler om hur utlämnande av patientuppgifter får ske till andra vårdgivare och hur individen kan förhindra att så sker.
Detta förutsätter att patienten får kännedom om hur åtkomst och potentiell åtkomst till uppgifterna om den egna vården ser ut vilket också får ses som ett grundläggande krav i dataskyddsförordningens tillämpning.
Utan att känna till hur uppgifterna hanteras kan jag inte invända mot hanteringen och eventuellt begära en spärr.
Hittills har mitt experiment att få reda på hur mina uppgifter går från vårdcentralen in i någon typ av sammanhållen journal som sedan finns tillgänglig via bland annat den nationella tjänsten NPÖ för andra vårdgivare gått sisådär vilket kommer att avrapporteras senare.
Men dessa två sammanfallande förlopp fick mig att fundera på den ständiga frågan som ställts till mig i min yrkesroll under våren angående dataskyddsförordningen: ”Vad vi göra?” – som för att hitta miniminivån.
Ett bra steg vore om myndigheter och andra i tillitsbranscher som vården istället formulerar frågan som: ”Vad vi göra för att uppnå en god integritet?”.
Omformuleringen skulle i bästa fall kunna leda till att organisationen internaliserar integritet som ett värde för den egna verksamheten istället för ett mer ögontjänande uppfyllande av externa krav.
Då skulle individens intresse av att skydda sin integritet och det av detta följande behovet av att få god information om personuppgifterna hanteras få en betydligt högre dignitet.
Mitt till leda upprepade mantra att det inte handlar om exempelvis patientsäkerhet integritet utan om patientsäkerhet integritet skulle i så fall falla ut som ett självklart mål.
Trots att jag intresserat mig för hur vårdinformation hanteras under många år har jag aldrig sett någon flödesbeskrivning som beskriver hur information, tjänster, infrastruktur och organisationer interagerar på ett mer heltäckande sätt.
Det är möjligt att det finns men inte ens i de statliga utredningar om e-hälsa m.m.
där jag funnits med i utkanten har jag sett den typen av beskrivningar.
Det samma gäller för övrigt för e-förvaltning och digitalisering.
Det är möjligt att det finns men då så i skymundan att inte ens den intresserade finner dem.
Övergripande process- och flödesbeskrivningar skulle naturligtvis inte bara var av stort värde för enskilde utan också för myndigheter och företag som administrerar olika tjänster i flödena.
Avsaknaden av gemensam kartbild kan vara en starkt bidragande orsak till den, trots idoga och stora satsningar, inte så lyckosamma digitaliseringen.
Men just nu är jag mest intresserad av den torftiga beskrivning av den i verkligheten mycket komplexa hanteringen av mina patientuppgifter som sker i lokala och nationella tjänster.
I mitt hemlandsting finns denna som visserligen är korrekt men knappast begriplig för den vanliga patienten.
I andra sammanhang betonas ofta vikten av att sätta patientens intresse i centrum och att det ska finnas en valfrihet.
Varför skulle inte samma inriktning tillämpas på integritetsfrågan?
Jag har därför några förslag som skulle kunna stärka patientens ställning.
Första förslaget: Ta fram en infograf över hur patientinformation flödar inom och mellan vårdgivare och olika leverantörer.
Med litet god vilja och innovation borde det på sikt vara möjligt att göra för den enskilde patienten men ett första steg är att visa det på en generell nivå.
Detta skulle också vara ett stort stöd i enskilda vårdgivares presentationer av hur patientens information kommer att hanteras.
Dessutom skulle mödan att beskriva den mycket intrikata informationsstruktur som byggts upp vara väl värd sett även för att få en större förståelse hos de som fortsättningsvis ska bygga vidare – kanske resulterar det t.o.m.
i en planerad utveckling.
Ett konkret förslag är att regeringen ger eHälsomyndigheten ett uppdrag att ta fram övergripande flödesbeskrivning med inriktning på personuppgifter.
Kanske bör den nya digitaliseringsmyndigheten få motsvarande uppdrag på e-förvaltningssidan.
Som den baksluga människa jag är ser jag hur starkt dessa beskrivningar skulle kunna bidra till informationssäkerheten, kontinuitets- och incidenthanteringen och till möjligheten för långsiktigt bevarande av information med autenticitet.
I flöden bör det även framgå var valmöjligheter finns för individen, d.v.s.
där man kan välja att avstå från att låta personuppgifter om en själv gå vidare.
Andra förslaget: Ett flertal av sjukvårdshuvudmännen har struntat i att efterleva PDL och inte lyckats införa möjligheten för patienten att spärra sin journal.
Kommunikationen från vårdgivarna om spärrar har också varit märklig där det ofta framstått som att man löper stora hälsomässiga risker om man vill begränsa åtkomsten till vårdinformationen.
Spärrarna är som idé en mycket klumpig form av åtkomstbegränsning som understödjer den typen av hotfulla undertexter eftersom det handlat om allt eller inget, d.v.s.
att man spärrar stora delar av vårdinformationen oavsett vilken typ av information det är.
Mitt förslag är därför att eHälsomyndigheten får i uppdrag att ta fram ett mer dynamiskt åtkomstskydd som skulle kunna leda till en större valfrihet för mig som patient.
Till exempel så skulle jag kunna få välja att endast ge tillgång till information om läkemedel och överkänslighet medan övrig information får efterfrågas vid behov.
Tredje förslaget: eftersom vården uppenbarligen inte klarar att ha en integritetsskyddande behörighetshantering (det räcker att se på de inspektioner som Datainspektionen genomför för att konstatera det) så är pseudonymisering ett alternativ för vården vilket jag skrev om redan (här vädras verkligen gamla käpphästar).
Pseudonymisering som del i ett privacy by design-arbete i vården skulle ha många fördelar för integritet och säkerhet men skulle kräva en stor sammanhållen insats och en sannolikt en förmåga till samordning som saknas idag.
Men ändå, även detta skulle kunna vara en gemensam uppgift för eHälsomyndigheten och digitaliseringsmyndigheten.
Eller kanske Vinnova skulle kunna ge stöd till några entreprenörer som vill ta fram en pseudonymiseringsapp kopplad till BankID som skulle låta oss faktiskt välja hur mycket vi vill att andra ska veta om oss?
Det finns med största säkerhet många invändningar mot mina förslag men om jag får åtminstone några att fundera över integritetsfrågor på ett mer kreativt sätt än vad som synes ske idag lovar jag att var nöjd.
En mig närstående berättade att biblioteket där hen jobbar har en dystopihylla på barn- och ungdomsavdelningen.
Så populär är den dystopiska genren för barn att den kräver en egen hylla.
Jämfört med den yviga diskussionen om tysthetsnormen på bibliotek känns det här som en viktigare fråga för mig: varför har dystopin blivit ett så dominerande narrativ, så dominerande att även barn måste få en rejäl dos av dyster framtid?
Det är alltid svårt att bedöma sin nutid men detta är bara ett tecken på att vi för närvarande lever i en tid av ett ökande materiellt välstånd, längre livslängd, ett minskat terrorhot (i alla fall i Europa) och, sett i ett längre perspektiv, färre konflikter men med en känsla av att vi vandrar på avgrundens rand.
Egendomligt nog är oron i mindre grad riktad mot reella hot som klimatsituationen.
Undersökningar liknande den ger en ganska entydig bild av den bristande tilltron till framtiden bland unga.
Flera av senare tids mest populära serier som The handmaids tale (som bygger på min gamla favorit Atwoods bok) är också dystopier.
Inte bara barnen utan även vuxna antingen får sin redan dystra världsbild bekräftad eller influeras till en sådan via masskulturen.
Den dystopiska världsbilden fördystrar inte bara den enskilda människans liv utan avspeglar ett samhälle av rädda människor.
Att rädda människor är mer lättstyrda och mer beredda att underordna sig starka ledare som säger sig kunna erbjuda skydd är väl utforskat, bland annat av Zygmunt Bauman i verk som den Flytande rädslan.
Det förenande kännetecknet för dystopierna är ett auktoritärt styre vilket känns aktuellt även utanför fiktionens värld.
Kanske kan den skräck vi känner för de fiktiva tyrannierna i allt från Harry Potter till vuxenlitteratur omvandlas till en kraft för att förhindra auktoritära tendenser i verkligheten.
Efter att ha läst Timothy Snyders On tyranny, en kort bestseller med hög densitet, funderar jag över om dystopierna på ett olyckligt sätt medverkar till att vi accepterar auktoritära tendenser som oundvikliga.
De auktoritära tendensernas återkomst riskerar att urholka demokratin och på sikt leda till tyranni.
On tyranny beskriver faktorer som historiskt sett har berett vägen för tyranni och vad en ansvarsfull individ kan göra för att motverka att dessa faktorer får genomslagskraft.
Exemplen är hämtade dels från nazismens genombrott i Tyskland, dels det sovjetiska tyranniet.
On tyranny ger uppmaningar som att slå vakt om språket, om sanningen, om institutionerna, om integriteten, om yrkesetik och om att våga stå för en egen åsikt.
Börjar vi ge vika och kompromissa eller, ännu värre, agera som en del i den kraft som vill underminera demokrati, öppenhet och integritet så kan en snabb förflyttning ske till ett auktoritärt styrelseskick.
Exempel på rörelser i den riktningen finns i flera europeiska länder idag och det finns ingen anledning att tro att Sverige skulle vara immunt.
Det kan förtjäna att understrykas att förflyttningen mot auktoritära styren i dagens Europa i huvudsak varit interna angelägenheter och jag tänkte därför i detta sammanhang inte fokusera på vår stora stygga granne i öst utan på vad vi kan göra själva.
En möjlig slutsats utifrån den historiska erfarenheten är att ett samhälle som genomsyras av tillit är det som har bäst motståndskraft mot auktoritära styren.
Vi bör alltså inte hålla ögonen öppna enbart för de auktoritära tendenserna utan även för förhållanden i samhället som antingen skapar eller eroderar tillit.
Den tillitsdelegation som Ardalan Shekarabi tillsatt är sannolikt ett positivt steg i rätt riktning men otillräckligt eftersom målet för delegationens arbete är att ”styrningen av den offentliga förvaltningen i högre utsträckning ska baseras på ”.
Det handlar i huvudsak om saker som att föreslå nya styrmodeller i den offentliga förvaltningen som kan ersätta New public management-modeller som visat sig tämligen destruktiva, d.v.s.
tillit i förhållandet mellan regeringen och myndigheterna istället för detaljerade och mätbara kontrollprogram.
Mycket bra självklart men som sagt otillräckligt för att skapa tillit hos innevånarna i förhållande till staten eller samhället i ett vidare perspektiv.Ändå ska inte verkligen inte myndigheters roll som samhällsbärande institutioner underskattas.
Här finns ett samspel mellan att myndigheterna måste göra sitt yttersta för att få förtroende men också att medborgarna, media och debattörer accepterar ett ansvar för myndigheters och andra institutioners möjlighet att fungera.
En uppfordrande maning från Snyder som känns omodern i dagens skräniga politiska klimat är att vi måste försvara våra institutioner: It is the institutions that helps us to preserve decency.
Det här är naturligtvis ett något obekvämt perspektiv, vana som vi är att få gnälla på allt.
Jag är dock beredd att köpa Snyders resonemang och ska själv försöka komma bort från slentriangnällandet och bli mer konstruktiv.
Min övertygelse om att detta är viktigt stärktes då jag häromdagen läste en terrorismforskare hundvissla om att ”Sverige” accepterar att kriminella spränger polisbilar.
Med Snyders text färsk i minnet gjorde jag en ansträngning för att se något som helst positivt i att hen utnyttjar sin stora plattform för att göra den här typen av utspel som knappast har med verkligheten att göra.
Jag kan inte se någon sådan positiv effekt – bara att tilliten i samhället minskar.
Det måste dock poängteras att försvara institutioner som sådana inte innebär att de inte får kritiseras.
Tvärtom måste ett ständigt förbättringsarbete pågå men det måste ske med respekt för institutionerna som just institutioner.
Om vi kan vara överens om premissen att tillit är en motkraft mot auktoritära synsätt så vill jag nu gå ett steg längre och säga att vi som arbetar med frågor inom informationshantering, säkerhet och integritet har en möjlighet att i någon liten mån påverka en förflyttning i rätt riktning.
Det kräver dock kulturförskjutning inom kåren mot ett arbete tydligare grundat i värderingar och även en uppgörelse med den anti-intellektuella och delvis auktoritära hållning som alltför ofta präglar synsätt och arbetsformer.
Vikten av att förankra säkerhetsåtgärder i värderingar innebär en förståelse av att ”säkerhet” inte har ett existensberättigande i sig själv utan måste vara kopplat till att utveckla och skydda värden i organisationen, och på samhällsnivå; värden för samhället.
De materiella värdena är enkla att identifiera men i förhållandet till tillit så är det, som jag uppfattar det, framför allt öppenhet, korrekthet och respekt för den enskildes integritet.
Att detta inte faller sig alldeles naturligt för alla som jobbar med säkerhet förstår jag utifrån att ha blivit kallad både integritetsextremist och öppenhetsfundamentalist (med viss glimt i ögat) av kollegor.
Och att göra sig fri från det anti-intellektuella handlar väsentligen om att erkänna att informationshantering och säkerhet befinner sig i ett territorium av ständiga dilemman där förmågan till relevanta problemformuleringar är helt central för att vara en positiv kraft.
I detta ligger naturligtvis även förmågan att tänka och att kunna ta till sig ny kunskap samt att inse att det inte finns absoluta sanningar.
Även här föreställer jag mig en ganska mödosam process för att utveckla kåren mot en mer ändamålsenlig kultur.
Låt mig ta några exempel på frågor där säkerhetsarbete kan stärka eller stjälpa tilliten.
Den mest näraliggande proberstenen är dataskyddsförordningen som träder i kraft i maj och vars syfte är stärka den personliga integriteten (och den gemensamma europeiska marknaden).
Vi är väl ett antal som både arbetat med informationssäkerhet och integritetsfrågor, t.ex.
som PUO, men min personliga erfarenhet är att integritet försätter många säkerhetsmänniskor i ett ambivalent tillstånd.
Å ena sidan finns det redan idag lagstiftning som ska skydda integriteten och som förutsätter att informationssäkerheten medverkar till detta, å andra sidan är åtgärder som olika typer övervakning centrala i säkerhetsarbetet.
Integritet och övervakning går inte att förena utan en djupare analys där det måste finnas en beredskap för att den övervakning som skulle vara eftersträvansvärd ur ett rent säkerhetsperspektiv inte går att införa på grund av den inskränker den personliga integriteten.
Den lagstiftning som redan finns angående integritetsskydd efterlevs i många fall inte.
Jag tror inte heller att lagstiftning är tillräckligt utan att relationen mellan värderingar och lagstiftning är mer komplex än vad som framskymtar i dessa mycket seniora jurister .
Värdering och lagstiftning är helt enkelt inte synonymt (för att ta det mest slitna exemplet otrohet som inte är förbjudet men som det finns en stark värdering kring).
För att kunna hantera det återkommande dilemmat mellan integritet (som lagstiftningen kräver) och övervakning måste man ha stöd i värderingar, att verkligen bottna i att integritet är ett viktigt värde och själv aktivt verka för att förbättra den.
Lyckas man med det bidrar man till tilliten inte bara genom att slå vakt om integriteten utan även genom att på ett seriöst och öppet sätt visa att världen inte är svart-vitt utan kräver avvägningar och kompromisser.
Integritet har en tendens att frammana svart-vita resonemang och dessutom märkliga motsatsförhållanden som leder tanken fel.
Jag har tidigare skrivit om den falska dikotomi (ett argumentationsfel där det förutsätts att det bara finns två alternativ, men där det egentligen skulle kunna vara så att båda dessa alternativ är falska eller att dessa inte behöver utesluta varandra) som använts när det gäller integriteten i sjukvården.
Där har nu under 25 år patientsäkerhet ställts mot integritet trots att det är fullt möjligt att uppnå både och.
Denna falska motsättning har upprätthållits av sjukvårdens makthavare på olika nivåer och av programvaruleverantörer och är märkligt seglivad och reproduceras i alla sammanhang rörande digitalisering och e-hälsa, explicit och implicit.
Ett nytt exempel på detta är den rapport som Myndigheten för vård- och omsorgsanalys publicerade i . Rapportens syfte är att beskriva till vilket man haft stöd i enkätundersökning.
Trots den goda intentionen att ta reda på befolkningens inställning till tillgången till vårduppgifter menar jag att man hamnar i ett etiskt moras när man läser enkätens beskrivning av verkligheten och de frågor som respondenterna förväntas besvara.
Ett exempel på bakgrund: Sjukvårdspersonal har inte alltid tillgång till dina journaler som förts på andra vårdenheter.
Till exempel kan det vara så att läkaren på din vårdcentral inte kan se journalen från specialistläkare som du träffat på sjukhus.
Nu tas initiativ för att se till att olika vårdenheter ska kunna se varandras journaler, så att den vårdpersonal du träffar har tillgång till viktig information om dig.
Det är bara personal som deltar i vården av dig eller som på andra sätt behöver uppgifterna för sitt arbete som har rätt att läsa din journal.
Men detta kan ändå medföra en ökad risk att personal som inte har rätt till det läser dina uppgifter.
Redan beskrivningen sätts förutsättningen att patienten måste gå med på en ökad risk för obehörig åtkomst för att få den självklara nyttan av att behöriga vårdgivare ska få rätt underlag för sin behandling.
Samtidigt beskrivs den obehöriga åtkomsten som ett undantag Andra studier och källor pekar emellertid på att hanteringen av digitala hälsouppgifter inte alltid lever upp till dessa förväntningar på säker hantering.
trots att det är väl känt inte minst genom Datainspektionens försorg att personal som inte alls behöver det har tillgång till känslig information i sjukvården är regel idag, inte ett undantag.
När respondenten får frågor som om gissar jag att flertalet förutsätter att det endast är personal som aktivt deltar i respondentens vård som avses.
Den falska dikotomin finns ständigt som en bakgrund som när man i intervjuerna frammanar en situation på liv och död: Anser du att all vårdpersonal som du kommer i kontakt med bör kunna se (allt) ditt journalinnehåll?
a. Vilka uppgifter anser du bör vara synliga – om något – för vårdpersonal på till exempel akutmottagningen?
istället för att fråga om respondenten anser att alla inom en region inklusive fotvårdsterapeuter bör få se din psykjournal.
Min generella invändning mot rapporten, vid sidan om den falska dikotomin, är att den riktar hypotetiska frågor om specifika förhållanden där respondenterna med största sannolikhet har mycket litet kunskap som hur informationshanteringen sker, vårdens organisation och rådande säkerhets- och integritetsförhållanden.
En radikal tanke är att föreställa sig att enkäten utformats utifrån dagens verkliga situation med frågor som: Hur upplever du att tusentals anställda som inte alls deltar i din vård har tillgång till all vårdinformation och det heller inte finns rutiner för att i efterhand på ett rimligt effektivt sätt kontrollera eventuell felaktig åtkomst?
Detta innebär också en möjlighet att förändra information så att du riskerar allvarlig felbehandling.
Jag tror att den typen att frågor skulle ge en mer rättvisande bild av hur människor faktiskt bedömer sin önskan om integritet.
Svarsfrekvensen når inte upp till 30 procent vilket kan vara ett tecken på att många tilltänkta respondenter uppfattade sin förmåga att besvara frågorna som begränsad.
Det har inte utgjort något hinder för de slutsatser som presenteras i rapporten.
Jag kommer säkert att återkomma till den här rapporten då den trots sina brister och luddiga slutsatser med säkerhet kommer att användas i olika e-hälsosammanhang som ett stöd för lösningar med bristfälliga integritetskrav.
Ur ett tillitsperspektiv är det också negativt inte bara på det sätt som beskrivs i rapporten: Westins många studier har också påvisat ett starkt samband mellan graden av tillit till institutioner och inställningen till integritetsskydd.
utan också genom att institutionernas förmåga att värna den enskildes integritet påverkar tilliten.
Med den integritetssyn som signaleras i rapporten riskerar integriteten att påverkas i negativ riktning vilket i sin tur kan leda till en sänkt tillit.
Detta stärks ytterligare av den bild av verkligheten som ges inte rimmar med de granskningar av faktiska förhållanden som gjorts.
För mig blir detta ett dubbelfel sett med spaning på tillit: först de verkliga bristerna i sjukvården, därefter att de ignoreras.
Samma osäkerhet om vilken verklighet vi pratar om infinner sig lätt när det gäller säkerhetsåtgärder.
Ett uppenbart exempel är övervakningskameror.
Vetenskapligt finns det svaga för att övervakningskameror minskar kriminalitet utom då de placeras i parkeringshus.
Ändå lyfts övervakningskameror ständigt fram som ett sätt att visa handlingskraft, inte minst för att bekämpa brottslighet i utsatta områden.
Jag förutsätter att flertalet som argumenterar för fler kameror är väl medvetna om den bristande effektiviteten i åtgärden men av andra skäl ändå framhärdar i sin argumentation.
Som jag ser det leder ineffektiva säkerhetsåtgärder till en falsk trygghet eller till att själva säkerhetsåtgärderna ger belägg för att människor borde känna sig orolig eller till att alerta medborgare inser att de blir ”lurade” av myndigheterna.
Inget av dessa tre alternativ skapar en större tillit i samhället.
De bör dock få oss som arbetar med säkerhet att fundera över vilka direkta och indirekta konsekvenser vårt säkerhetsarbete kan få och att våga ifrågasätta den reella säkerhetshöjande effekten av olika åtgärder.
Avvägningen mellan integritet och vilket annat värde som helst behöver inte med nödvändigt leda till att vilket värde som helst är viktigare.
Den ambivalens som finns hos många säkerhetsmänniskor inför integritetsfrågorna finns i minst lika hög grad inför öppenhet.
Öppenhetens betydelse för samhällelig tillit är knappast ifrågasatt av någon och för svenska förhållanden finns det en stor mängd statsvetenskapliga studier om detta så jag finner det överflödigt att länka till någon enskild av dessa studier.
Den intresserade kan börja med Bo Rothstein och sedan gå vidare.
Sverige har ju också unika förutsättningar för att ge insyn i myndigheters verksamhet genom offentlighetsprincipen.
Även här finns dock ett glapp mellan lagstiftningen och de värderingar som myndigheter och enskilda tjänstemän har.
För att offentlighetsprincipen ska fungera i praktiken krävs en vilja att tillhandahålla information även om det kan leda till negativa konsekvenser för myndigheten.
Den kultur som finns inom säkerhetsområdet bär på ett arv där huvuduppgiften har varit att säkerställa att hemlig information inte blir tillgänglig för obehöriga.
Resultatet blir en osäkerhet som gör att sekretesstämpeln kommer fram för flitigt när det gäller säkerhetsrelaterad information.
Att möjligheten att sekretessbelägga information tillämpas i allt vidare utsträckning uppmärksammas av grävande journalister .
Öppenheten är basen för tillit men också ett viktigt verktyg för att kunna bedriva den källkritik som är nödvändig i ett klimat där falska nyheter och påverkansaktiviteter florerar.
Men även källkritik måste utgå från rimliga värderingar som ger tillit.
För mig som är danad i Lauritz Weibulls hårda källkritiska skola är det centralt att det källkritiska förhållningssättet tillämpas även på grunden för de egna utsagorna.
Om inte denna princip anses giltig uppfattar jag det som att vi tar ett steg mot den asymmetriska situation som råder under auktoritära regimer där enbart andra nationers påverkansförsök nagelfars medan utsagor som gynnar den egna ståndpunkten okritiskt anammas.
Tecken på sådana tendenser av överdrivet välvilligt mottagande har uppmärksammats av bland annat podden Mediespanarna rörande en undermålig rapport om rysk .
Problemet är att de som har det lovvärda syftet att avslöja rysk desinformation själva blir desinformatörer.
Det är dags att avrunda detta långa och pretentiösa inlägg med att komma några förhoppningar inför det nya året, förhoppningar som känns alldeles särskilt aktuella den här veckan då Folk och försvar drar i gång samtidigt som valåret inleds.
En första förhoppning är att vi alla har ett ansvar för att medverka till att skapa tillit i samhället.
Vi som arbetar med säkerhet bör låta vårt arbete styras av värderingar som skyddar öppenhet, integritet och demokrati.
Vi måste också våga ifrågasätta våra egna sanningar och tillämpa en systematisk källkritik där det också är tillåtet att ha fel.
Ta stöd i Timothy Snyders uppmaningar och se hur du kan omsätta dem i ditt arbete.
Läs och se dystopier men motverka att de förverkligas genom att vara extra vaksamma mot alla steg som går i en auktoritär riktning, som inskränker öppenhet och demokrati samt medborgarens möjlighet att hävda sina rättigheter även i förhållande till den egna statsmakten.
Undvik att gå in i starkt polariserade lägen som skapar falska dikotomier som att vi antingen är fullständigt naiva eller att ett storkrig står för dörren vilket legitimerar inskränkningar i öppenheten och andra demokratiska rättigheter.
Och var inte rädd, rädsla urholkar inte bara själen utan även samhället.
Sjukvårdsminister Gabriel Wikström har nu uttalat att uppgifter kring aborter ska hanteras som övriga patientuppgifter i vården .
Detta är intressant eftersom hans resonemang ställer ett antal principiella frågor på sin spets.
För att inte bli alltför tjatig kommer jag här att lämna den ständigt återkommande falska motsättningen mellan patientsäkerhet å ena sidan och integritet å den andra där hän även om den är högst relevant.
Insamlandet av känsliga personuppgifter i register sker för det ”greater good”, alltså inte för den enskilda patientens patientsäkerhet.
Få, särskilt i Sverige, skulle argumentera emot den medicinska registerforskningens stora betydelse både för enskilda och för samhället i stort.
Det finns en mycket lång tradition att använda medicinska och andra personuppgifter för forskningsändamål så det får sägas finnas en stor acceptans att vara leverantör till allehanda forskning.
Betydelsen av möjlighet till registerforskning har också fått en aktuell beskrivning i Bengt Westerbergs 2014 .
Förutsättningen för att upprätthålla legitimiteten i registerforskningen är att patienternas integritet i hanteringen vilket Bengt Westerberg uttryckligen hade att utreda.
Han har dock fått kritik för att inte tillräckligt att beakta den intresseavvägning som måste göras och inte heller att ta hänsyn till den kritik som Datainspektionen framfört gällande brister i säkerheten i registerhanteringen.
När Gabriel Wikström nu presenterar sitt förslag lyser hela denna diskussion med sin frånvaro.
Istället sker en märklig omformulering där integriteten i hanteringen av patientuppgifter ses som att man tabubelägger vissa åkommor.
Den ganska självklara och lagstadgade uppfattningen att känsliga uppgifter om hälsa ska hanteras så att de bara är tillgängliga för de som deltar i vården av den enskilda patienten framställs som en litet gammaldags känsla av skam.
Underförstått ska en modern och neurosfri människa glatt dela med sig av dessa uppgifter till de instanser och företag som tycker sig ha nytta av dem.
Förutom att det strider mot det etiska ställningstagande som finns hos allmänheten och i rådande lagstiftning är det också djupt störande ur andra synpunkter.
Uppgifter om sexuell hälsa inklusive abort kan utgöra en verklig risk för patienten om de kommer i orätta händer.
Risken för hedersvåld och vanlig ”hederligt svensk” kvinnomisshandel finns om uppgifter om abort kommer i orätta händer.
Tyvärr har även RFSU som annars brukar vara vaksamma för kvinnors rättigheter negligerat denna .
Ministern hävdar att det saknas anledning för oro.
Registren kommer att omges med nödvändig säkerhet och dessutom finns det inga uppgifter om incidenter i tidigare registerhantering.
Båda dessa påståenden måste som ytterst tveksamma.
Säkerheten i registerhanteringen är en förlängning av säkerheten hos de vårdgivare som lämnar uppgifter till registren.
Det räcker kanske med att ta ett enda aktuellt som visar på skakigheten i den generella informationssäkerheten i sjukvården och dessutom tillägga att det i dag inte sker någon systematisk insamling av it-incidenter i sjukvården över huvud taget.
Jag vågar, utan att darra på manschetten, att informationssäkerheten som är förutsättningen för integriteten i sjukvården är klart undermålig och att ministern därför saknar fog för sitt lugnande besked kring hanteringen.
Datainspektionens utlåtanden om själva registren indikerar även de på påtagliga brister.
Det är inte bara för forskning som sjukvårdshuvudmännen och andra vill återanvända uppgifter insamlade i samband med patientens vård.
I en något märklig förra veckan hävdar ett antal administratörer med emfas rätten till patientuppgifterna.
Självklart finns ett ekonomiskt och etiskt intresse av att säkerställa att de ersättningar som privata vårdgivare erhåller från sjukvårdshuvudmännen verkligen går till vård av patienter.
Det är dock ett logiskt felslut att med svepande formuleringar om tystnadsplikt hävda att det innebär att administratörer hos landstingen måste ha direktåtkomst till alla patienters person- och hälsouppgifter hos de privata vårdgivarna.
För att försöka förtydliga frågan.
Det finns starka och legitima skäl att använda patientuppgifter för andra ändamål än för vården av den enskilda patienten.
Det finns också laglig rätt att göra detta för sjukvårdshuvudmän och vårdgivare.
Men detta måste ske så att patientens integritet kan skyddas och det är sjukvårdshuvudmännens ansvar att skapa säkra lösningar för både uppföljning och forskning.
Detta är naturligtvis ingen omöjlighet att åstadkomma om viljan finns.
Istället för att formulera indignerade debattinlägg om hur integriteten hindrar sjukvårdshuvudmännens administration är det detta man bör koncentrera sig på.
Jag skrev själv ett i Läkartidningen 2010 om möjligheten att avidentifiera patientuppgifter för att öka säkerheten.
Jag tycker fortfarande att det är den typen av lösningar som borde analyseras närmare, särskilt nu när informationssystem inom hälso- och sjukvård i allt högre grad blivit attraktiva mål för externa parter.
Aktörer inom hälso- och sjukvårdsområdet måste också ta risken med integritetsbrott för den enskilda patienten på allvar.
Och när det gäller abortregistret och de undersystem som ska leverera information till registret så måste hanteringen utformas så att det skyddar den egentliga riskägaren, nämligen den kvinna som riskerar sitt liv och sin hälsa om informationen kan läsas av fel personer.

endast för min vård, den uppföljning är lagstadgad och tydligt definierad administrativ hantering utöver ovanstående även akademisk forskning där resultaten kommer samhället till del utöver ovanstående även akademiskt forskning i kommersiell regi för kommersiellt bruk oavsett bransch Om jag förstår det rätt ligger den här rekryteringssiten som en molntjänst där informationen ligger på Irland?
Använder siten Google Analytics?
Har det gjorts en riskanalys/informationsklassning innan man valde det här sättet att hantera informationen?
Har Försvarsmakten gjort rätt riskbedömning när det valt den här lösningen eller har de liksom många andra fallit för frestelsen och sett all fördelar finns med molntjänsterna och låtit detta få överhanden?
Om riskbedömningen är rimlig att hantera personuppgifter och andra uppgifter om exempelvis placeringar som annars uppfattas känsliga, dessutom i en omfattning som svindlar, i en molntjänst i det här sammanhanget – varför skulle det inte vara det i andra sammanhang som exempelvis i kommunal verksamhet?

inte inte behov en varför förutse sjukvårdsvårdshuvudmännen vårdgivare alla måste bör eller och alltid

Meny integritet Inläggsnavigering

MENU MENU Postat av → Postad i , , , , , , , Tagged , , , , , , , Postat av miljoner Postad i , , , , Tagged , , , , Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , , Tagged , , , , , , Postat av Postad i , , , , , Tagged , , , , , Postat av Postad i , , , Tagged , , , , Postat av Postad i , , , , , , , , Tagged , , , , , , , Postat av Postad i , , , Tagged , , , Postat av Postad i , , Tagged , , , Postat av Postad i , , , Tagged , , , ← Sök efter:

Konsulterna vårdresultat/kostnad=värde The Age of Surveillance Capitalism Befolkningens inställning till nytta och risker med digitala hälsouppgifter Vad är din uppfattning om att olika vårdenheter får tillgång till varandras journaler?

För att förena episteme och techne (och förhoppningsvis uppnå fronesis) så behöver professionen sina metoder.
Metoderna är i kunskapssamhället professionens verktyg och det som utgör grunden för en intern gemenskap och en extern uppfattning om vad en medlem i professionen kan utföra.
I detta sammanhang kommer jag att använda begreppet ”metod” som ett systematiskt och enhetligt sätt att utföra en viss aktivitet med ett beskrivet önskat resultat.
I teorin finns också ett antal metoder inom informationssäkerhetsområdet som riskanalys, informationsklassning, incident- och kontinuitetshantering.
Ledningssystem a´ la ISO 27000 kan också ses som en metametod där ovanstående metoder ingår som komponenter.
Frågan är dock hur väl metoderna uppfyller kraven på att vara systematiska, enhetliga och ha beskrivet önskat resultat.
Att metoderna är utvärderade och därmed sägas vara effektiva sedda till sitt syfte bör vara ytterligare ett krav för att de ska sägas fungera.
Förutom införandet av ledningssystem är sannolikt informationsklassning den mest upplyfta metoden för att uppnå bättre informationssäkerhet.
För att göra en snabb bedömning av metoder känns det därför ganska rimligt att titta litet närmare på klassningen så som den beskrivs.
Här har jag ett underlag på divergerande åsikter som uppstod när jag arbetade på MSB och dristade mig till att fram ett förslag på vägledning för informationsklassning.
Den informella remissen ledde till att det ramlade in en mängd svar från informationssäkerhetsmänniskor i framför allt myndigheter.
Jag planerar att använda dessa svar för en litet utförligare analys vid ett senare tillfälle – nu räcker det att säga att synpunkterna gick i alla riktningar och att alla var lika övertygade om att det sättet de uppfattade saken var det enda rätta.
Inte ens var man överens om det skulle heta ”klassning” eller ”klassificering”, ännu mindre om huruvida det är information eller system som ska klassas.
En litet märklig upplevelse vid genomläsningen var att själva syftet med informationsklassningen framstod som så odefinierat i ett antal av svaren, framför allt då man hade invändningar mot att jag i vägledningen beskrivit att informationsklassningen som metod också måste innehålla skyddsnivåer.
Lika fången som andra av min egen tankegång så har jag alltid föreställt mig det som meningslöst att klassa information om det inte leder till konkreta skyddsåtgärder.
Detta var dock inte en uppfattning som delades av alla.
Jag svävar fortfarande i ovisshet om vad då klassningen tjänar till och det är en av de många frågor som jag tycker det vore ytterst intressant att diskutera.
I paradgrenen informationsklassning saknas det alltså enhetlighet samt systematik.
Den bristande systematiken ligger bland annat i att klassningen som aktivitet inte har ett givet samband med andra aktiviteter som exempelvis riskanalys och inte heller beskrivs som en process vars resultat regelbundet utvärderas.
I vägledningen skrev jag till exempel djärvt att klassning ska ses som en form av risk- alternativt konsekvensanalys men fick mycket starkt mothugg mot detta och hur då det systematiska sambandet mellan riskanalysen och klassningen ser ut för dessa skribenter är fortfarande oklart för mig.
Det mest slående i svaren var att ofta saknades argument eller teori för den åsikt man förfäktade.
Istället var det redovisande av hur man själv i praktiken genomför sina klassningar eller, mest återkommande, hänvisningar till hur man tolkat ISO 27000.
Här ligger en viss ironi eftersom en del svar rörande klassningen där man hänvisar till standarden faktiskt går emot vad standarden säger, som när man hävdar att det system som ska klassas samtidigt som standarden uttryckligen säger att det är information.
Mycket av det som kan sägas om informationsklassning kan sägas också om ledningssystem som metod.
Förutom att syftet och genomförandet saknar enhetlighet är båda metoderna synnerligen icke utvärderade.
Jag under senare tid plöjt en hel del av den litteratur som finns på området och har ännu inte hittat några studier som exempelvis utvärderar olika metoder för informationsklassning, ej heller av om ledningssystem på det sätt som standarden föreskriver är ett effektivt sätt att styra informationssäkerhet i en organisation.
Och här måste jag gå in på helig mark och framföra ståndpunkten att ISO 27000, som gett mig så mycket stöd genom åren som yrkesverksam, inte så sällan snarare är ett hinder än en hjälp.
Eller, rättare sagt, vårt användande av standarden som en ersättning för utvärderade metoder utgör ett hinder för oss att bli mer professionella.
ISO 27000 definierar ett område som jag skulle vilja kalla organisatorisk styrning men innehåller ingenting om hur olika aktiviteter ska utföras, och är alltså ingen metod.
Som jag skrev inledningsvis skulle man kunna sträcka det till att standarden översiktligt beskriver en metametod men överlämnar till oss praktiserande att ta fram de konkreta, enhetliga, systematiska och utvärderade metoderna.
Denna metametod börjar kanske också bli litet anfrätt av tiden med sin inriktning på styrning av informationssäkerhet i organisation när information i allt högre grad flödar över organisationsgränser.
ISO 27000 har i många fall blivit en ersättning för metoder vilket vi måste erkänna för att komma vidare.
Istället för att i övermåttan peka på standarden som en bibel måste vi ta uppgiften med metodutveckling på allvar och skapa en gemensam plattform som uppfyller kraven på enhetlighet och systematik.
I ett tidigare inlägg skrev jag om vad jag uppfattar som ett bristande vetenskapligt stöd för detsom bedrivs.
Att inte kunna bottna sitt arbete i etablerad kunskap skapar av naturliga skäl avgörande hinder i det kunskapssamhälle som numera är vårt.
Men om vi kontrafaktiskt skulle anta att det fanns en välutvecklad akademisk kunskap om informationssäkerhet skulle inte denna kunskap vara tillräcklig för att få en verkligt fungerande informationssäkerhet i organisationer och i samhället i stort.
Det behövs också aktörer som vet ”hur” man ska göra, det vill säga tillför techne och fronesis till episteme.
Vad jag avser är en profession av låt oss kalla det informationssäkerhetsspecialister.
Behovet av att skapa nya professioner följer med utvecklingen av det moderna samhället från skråväsendets tillkomst under medeltiden till dagens på olika sätt legitimerade eller auktoriserade yrken.
Professionen skapar legitimitet åt yrkesutövarna, ”paketerar” deras kompetens så att den blir hanterbar även för externa parter som är intresserade av att använda den och, inte minst, utgör en dialogpartner för den akademiska kunskapsutvecklingen.
Den fruktbara relationen mellan profession och akademin kan kanske mest arketypiskt ses inom det medicinska fältet där läkarna genomgått en professionaliseringsprocess under mycket lång tid.
Numera har även andra yrkesgrupper som sjuksköterskor och fysioterapeuter gjort samma resa men för enkelhetens skull ska jag fortsättningsvis hålla fast vid läkarna som exempel.
För den som läst något om medicinhistoria är det uppenbart att samspelet mellan de praktiserande läkarna och den akademiska forskningen varit nödvändigt för att nå fram till dagens möjligheter att faktiskt bota, förebygga och lindra allehanda sjukdomstillstånd.
Sextonhundratalets fältskärer skulle inte genom praktiskt karvande i sårade soldater kunnat generalisera sin kunskap så att den skulle kunna beskriva sårinfektioner på ett allmängiltigt sätt.
Lika litet skulle de medicinska forskarna som faktiskt fanns vid denna tid kunnat avvara den praktiska kunskapen hos dem som dagligdags mötte patienter, om än med bensågen i högsta hugg.
För att detta samspel skulle kunna utvecklas på det fruktbara sätt som faktiskt skett var en viktig faktor att de praktiserande läkarna kom att utgöra en alltmer skarpt avgränsad profession med bestämd kompetens och enhetliga metoder.
Jag gör analogin till informationssäkerhetsområdet där vi har samma behov av att förena teori och praktik.
En professionell yrkesutövning kan borga för den kvalitet som är nödvändig i den praktiskt utövande delen av kunskapsområdet och av denna anledning bör en profession av informationssäkerhetsspecialister skapas.
Utvecklandet av en profession är som sagt den normala gången inom olika kunskapsområden och det finns också en omfattande forskning på temat.
Både inom gruppen själv och för externa parter som arbetsgivare in spe måste det gå att beskriva vad professionens eller (USP) är och också skapa organisatoriska strukturer för att upprätthålla denna USP.
Några av de moment i professionsbildandet som brukar tas upp litteraturen är följande: En grund då en profession vill formalisera sig är att man annekterar ett kunskapsområde och hävdar att den egna gruppen är den främsta/enda som äger denna kunskap, jämför läkare och medicinen.
Förutsättningen är att det går att definiera kunskapsområdet på ett sätt som både gruppen internt och omvärlden kan vara eniga om.
Här finns ett problem för informationssäkerhetsspecialisterna om den beskrivningen av oklarheten i vad kunskapsområdet egentligen består i godtas.
Är det en organisatorisk eller teknisk kompetens som utgör kärnan för att bara ta en av de många frågor som kan ställas.
För att få tillhöra en profession måste det definieras vilken teoretisk och praktisk kunskap man måste besitta.
Det måste också finnas en procedur som är erkänd även av utomstående som garanterar att de som utger sig för att tillhöra professionen verkligen kan antas inneha den rätta kompetensen.
Det räcker alltså inte med att man själv kallar sig ”informationssäkerhetsexpert” eller att man har lösliga grupperingar av typen communities.
En ganska självklar del i detta är en vilket idag saknas inom informationssäkerhetsområdet.
De utbildningar som erbjuds på högskolenivå (vilket vi väl får anta är rimligt att kräva) har ett mycket spretigt innehåll från ”Internationella aktörer och regelverk” till ”It-forensik” för att bara ta ett par exempel från högskolekurser som beskriver sig som utbildning i informationssäkerhet.
Andra utbildningar går in på ren it-säkerhet eller på praktiska metoder men kunskapsområdets otydlighet avspeglar sig i utbildningsutbudet.
Om vi tittar på innehållet i olika populära certifieringar blir bilden än mer otydlig, i en CISSP-certifiering uppges bland annat telekommunikation och mjukvaruutveckling ingå.
Kravet på formaliserad utbildning blir därmed i dag svårt att uppfylla liksom två andra vanliga krav på en profession: inträdeskrav och avgränsning av de som inte hör dit.
För att sammanfatta så kan vem som helst oavsett utbildning, erfarenhet eller personlig lämplighet utge sig för att vara informationssäkerhetsspecialist utan att någon kan hävda motsatsen.
En profession definieras inte bara av kunskap utan också av de specifika normer och den kultur som dess medlemmar ansluter sig till.
Exempel på detta är, förutom läkaretiken, de normer som upprätthålls av advokatsamfundet.
Det innebär också en över de som yrkestitel som följer med professionen.
Detta förutsätter i sin tur någon form av kollegial organisation som kan utöva kontroll och utveckla en yrkesmässig kultur och etik.
Idag saknas flertalet av de förutsättningar som krävs för en professionalisering inom informationssäkerhetsområdet.
Behovet är av en sådan är dock stort och om man ska dra slutsatser av andra yrkesgruppers historia måste frågan drivas av de yrkesverksamma själva.
En svårighet är att det inte finns fackföreningar eller starka intresseföreningar inom området som skulle kunna inleda en sådan process.
Ett första steg är att börja diskutera framtiden på ett öppet sätt och försöka hitta vägar framåt.
Är lämpligt med ett brett anslag där hela den spännvidd som nu ryms under beteckningen informationssäkerhet men med en specialisering på samma sätt som läkarkåren?
Eller bör vi resonera oss fram till en tydligare avgränsning mot it-säkerhet och cybersäkerhet?
Frågorna är många men än saknas forat att diskutera dem i. Som redan framgått är det svårt att ens ge en enhetlig och allmänt accepterad definition av begreppet informationssäkerhet.
Att då kunna beskriva kunskapsområdet informationssäkerhet blir därför av naturliga skäl minst lika svårt.
Ändå menar jag att den enda verkliga legitimitet som informationssäkerhetsområdet kan uppnå måste gå genom att kunna motivera synsätt, metoder och investeringar med ett kunskapsunderlag.
Kunskapsunderlaget måste därför vara av en sådan karaktär att det kan accepteras av de aktörer som vi vill ska anamma synsätten, använda metoderna och göra investeringarna.
Om vi inte kan argumentera utifrån en rationell position återstår att försöka övertyga med känslor eller utifrån särintressen alternativt mycket smalt perspektiv som att exempelvis isolera risk och se den som helt dominerande.
Min uppfattning är att vi idag är ganska långt ifrån att ha ett gemensamt kunskapsunderlag.
Kvaliteten på kunskapsunderlaget kan också ifrågasättas av flera skäl, bland annat inte oväsentliga delar har sitt ursprung i rapporter från bolag som säljer säkerhetsprodukter.
Ett kanske ännu större problem är att det saknas arenor för kunskapsutveckling utanför akademin där en professionell diskussion kan föras.
Istället skulle jag vilja hävda att området präglas av ett anti-intellektuellt förhållningssätt som leder till en stagnation också när det gäller att ta fram praktiskt fungerande lösningar för att förbättra säkerheten.
Utan att gå tvärdjupt är en rimlig utgångspunkt för ett kunskapsområde att det har olika lager av kunskapsnivåer inklusive en teoretisk grund.
För att ett auktoritativt stöd i detta men också skapa en ganska enkel pedagogik tar jag hjälp av Aristoteles som delade upp kunskapen i fem former av vilka jag endast kommer att diskutera tre: (vetenskaplig kunskap, påståendekunskap, veta att) (praktisk-produktiv kunskap, färdighetskunskap, veta hur), (praktisk klokhet, det goda omdömet, veta när) För den som vill veta mer om detta på ett enkelt sätt rekommenderar jag denna .
Min känsla har länge varit att det som uppfattas som kunskap inom informationssäkerhetsområdet går att hänföra till techne med betoning på enkla tumregler och tekniska lösningar.
Många duktiga informationssäkerhetsmänniskor har haft rejäla mått av fronesis så att de kunnat tillämpa den fyrkantiga techne-kunskapen på ett bra sätt i sina organisationer.
Däremot så uppfattar jag att episteme, den vetenskapliga kunskapen med krav på generaliserbarhet och mätbarhet, i hög grad saknas inom informationssäkerhetens kärnområde.
Vad jag då avser är att exempelvis en övergripande teoribildning på det som är vanlig inom samhällsvetenskapliga områden inte riktigt går identifiera i många av de vetenskapliga texter som publiceras om informationssäkerhet.
Det har också ofta slagit mig att jag sällan sett att etablerade uppfattningar och metoder prövas på ett vetenskapligt sätt.
För att snabbtesta mina egna fördomar har gjorde jag en sökning i svenska databaser på aktuell forskning om informationssäkerhet och fick fram några hundra publikationer som jag granskade snabbt och översiktligt utan anspråk på någon som helst vetenskaplighet.
Den som själv gå igenom samma material kan följa den här och den .
I beskrivningarna har jag försökt utläsa om det finns en teoretisk utgångspunkt som på försöker beskriva ett ontologiskt perspektiv om hur informationshantering och informationssäkerhet samverkar och vad informationssäkerhet .
Jag har också försökt läsa ut huruvida författarna verkligen ifrågasatt de etablerade synsätten och metoderna samt prövat dess effektivitet och relevans på ett ”objektivt” sätt.
Slutligen har jag tittat på inom vilken disciplin texten är skriven och om den förefaller vara övervägande organisatorisk eller tekniskt orienterad.
Efter denna snabba och djupt orättvisa genomgång tycker jag mig ändå se vissa tendenser.
Oklarheten i begreppet informationssäkerhet som jag tidigare skrivit om gestaltas också i de vetenskapliga texterna och leder till en spretighet.
Begreppet tycks kunna stå för renodlat tekniska lösningar (som jag kanske hellre skulle kalla it-säkerhet) som organisatoriska.
I de fall där jag läst sammanfattningarna är denna begreppsförvirring och ontologiska brist inte något som författarna tycks uppfatta som ett problem.
Inte heller verkar ontologin i grundbegreppen konfidentialitet, riktighet, tillgänglighet, spårbarhet alternativt CIA-begreppen utgjort en frågeställning i området.
Flertalet texter är skrivna av forskare med teknisk eller systemvetenskaplig bakgrund.
Detta leder till två helt olika problem.
Det första är att fokus ofta kommer att ligga på tekniska lösningar istället för organisatorisk styrning trots att man säger sig skriva om informationssäkerhet.
Det andra är att det är forskare med teknisk eller systemvetenskaplig bakgrund som skriver om organisatoriska frågor vilket ligger utanför deras egentliga kompetensområde, något som kan leda till att de inte helt har de redskap som krävs för en organisatoriskt inriktad forskning.
Sammantaget leder det till att den organisatoriska styrningen bli styvmoderligt behandlad.
Ett genomgående drag är att etablerade synsätt och metoder förefaller förutsättas vara fungerande och effektiva.
Detta gäller i hög grad de mer organisatoriskt inriktade texterna som kan handla om mätning, compliance och säkerhetskultur för att ta några exempel.
Detta gäller även då man exempelvis tittar på mognadsmodeller där mognaden kan ses som en slags compliance till etablerade synsätt och metoder.
Förutom compliance är fenomenologi i en relativt vanlig form av studie.
Det kan handla om hur medarbetare, patienter eller någon annan grupp uppfattar säkerhetsåtgärder eller -behov.
Inte heller här tycks metoder egentligen ifrågasättas utan snarare är det uppfattningarna om dem som kan behöva ändras.
Trots inriktningen mot compliance är det få texter som undersöker värdet av de åtgärder som compliance-kravet gäller.
Att vara compliant till kravet att ha bland annat en incidenthantering följs inte av en undersökning av effektiviteten i olika metoder för incidenthantering för att ta ett hypotetiskt exempel.
Att studera metoder och delta i metodutveckling förekommer dock inom rent tekniska frågeställningar.
Forskning är naturligtvis inte den enda källan till kunskap men det finns frågeställningar inom informationssäkerhetsområdet där jag uppfattar att en vetenskaplig metod är lämplig för att skapa nödvändig kunskap.
Det gäller både en slags grundforskning på ontologisk nivå och för insatser för att på ett vetenskapligt sätt skapa en evidensbaserad kunskap kring effektiviteten i olika, framförallt organisatoriska, metoder.
Denna typ av frågeställningar kan svårligen hanteras av enskilda informationssäkerhetsansvariga eller av enskilda organisationer.
Informationssäkerhetsområdet har stort fokus på techne vilket sannolikt leder till ineffektiva och bakåtblickande metoder.
Det är svårt att föreställa sig samma lösliga relation till evidens inom andra områden som trafiksäkerhet eller medicin trots att dessa områden måste sägas ha likartade tekniska eller hantverksmässiga bakgrund som informationssäkerhet.
Min tes är ju informationssäkerheten inte tycks hålla måttet och följaktligen anser jag kan det finnas anledning att även inom detta område inta den förkättrade normkritiska positionen och ifrågasätta även de mest etablerade sanningarna.
Att forskningen går från att anti-intellektuellt handla om ett slags hantverk till att ge frågorna den analytiska och intellektuellt utmanande behandling som de i sanning kräver.
Att gå från ett förhållningssätt som är konserverande till att bli ett explorativt som ligger i linje med den snabba organisatoriska och tekniska utveckling som sker.
För detta krävs kreativa och odogmatiska forskare som banar väg, skapar ny kunskap och ger oss andra underlag för en förbättrad praktik.
För att ta emot den mer utmanande kunskapsproduktion som skulle bli resultatet krävs en profession som har samma förhållningssätt inom techne och fronesis samt plattformar att mötas på.
Som jag skrev inledningsvis är en av de stora bristerna att den typen av plattformar saknas idag och att ingen nationell aktör känner sig manad att ta på sig ett sådant ansvar.
I nästa inlägg ska jag skriva om professionen – kanske finns det i en stärkt professionalisering en möjlighet till ett mer professionellt kunskapsbygge?
Hunnen så långt i mitt funderande får jag tips om en som visserligen är från 2008 men som bekräftar att några av de intryck jag beskrivit är problem kända sedan tidigare som exempelvis bristen på empiri och, som i citatet nedan, på teoribildning: .
Det tycks alltså finnas fler som funderar över från vilken kunskapsgrund vi egentligen utgår.
I mitt förra inlägg hävdade jag att det är svårt att säga vad informationssäkerhet egentligen är.
En fråga som nära ansluter till detta är vad målet för arbetet med informationssäkerhet är.
Jag uppfattar den frågan som central att analysera både för informationssäkerhet som kunskapsområde och för den enskilda organisationen som inleder eller redan har ett fortlöpande arbete för att hantera den egna informationen på ett säkrare sätt.
Om målet inte är klarlagt är risken överhängande att informationssäkerhet blir ett självändamål.
Detta skulle strida mot en av mina mest grundläggande övertygelser;drig kan ha ett existensberättigande i sig själv utan måste se som en stödfunktion.
Då måste man dock veta vad det är som ska stödjas.
Informationssäkerheten så som vi känner den idag (om vi nu gör det) har en kort historia.
Med det menar jag inte bara begreppet informationssäkerhet vars tidigaste belägg tror jag finns på 1970-talet.
Däremot har vissa synsätt och metoder en betydligt längre historia.
Att skydda information mot obehörig åtkomst är något som skett med olika metoder är i princip lika gammalt som skrivkonsten i olika former.
Även metoder för spårbarhet som signering och för riktighet som vidimering blivit alltmer standardiserade i Europa sedan medeltiden och framåt, och då kanske främst som stöd i det alltmer intensiva ekonomiska livet.
Detta finns ganska väl beskrivet på annat håll men inom informationssäkerhetsområdet har traditionen ofta snarare hämtats från militär och polisiär verksamhet.
Målet för aktiviteterna har som en följd av detta formulerats utifrån militär/polisiära behov snarare än det från det civila samhällets behov av säkra ekonomiska transaktioner, rättssäkerhet för den enskilde och det enskilda företagets möjlighet att ha stöd för sina affärer.
I detta perspektiv är syftet med informationssäkerheten att framför allt skydda staten i någon mening, inte den enskilda verksamheten och allra minst den enskilda individen.
Den militär-polisiära bakgrunden påverkar fortfarande området starkt vilket gör målet för arbetet otydligt – är det nationens intresse som står i förgrunden eller är det vardagliga arbetet i en organisation som på bästa sätt försöker upprätthålla sin egen verksamhet med tillräcklig effektivitet och kvalitet?
Är det de externa kraven för att skydda statens intressen som ska vara det som ska lyftas fram som den främsta målbilden eller är det de interna behoven?
Innan någon börjar rasa ska jag vara tydlig: självklart menar jag inte att det går att enbart tillgodose externa krav eller enbart tillfredsställa interna behov – alla organisationer måste göra båda delar.
Vad jag menar är att det inte längre kan vara tillräckligt att se till externa krav i form av säkerhetsskyddslagen.
Inte heller går det enligt min erfarenhet att med någon större framgång att använda merparten av de informationssäkerhetsmetoder framtagna för militära eller polisiära syften i en tidspressad civil informationshantering.
Min slutsats är därmed att målet fört måste vara att stödja den enskilda organisationen, eller idag snarare informationssamverkande organisationer, att klarlägga sitt eget behov av informationssäkerhet inklusive olika typer av externa krav som riktas mot organisationen/organisationerna.
Föga revolutionerande slutsats kan tyckas, särskilt som den är i stark harmoni med ISO 27000 förutom i avseendet att standarden är helt inriktad på en autonom organisation och inte på e-samhällets allt tätare integration av informationshanteringen.
Om målet accepteras är dock konsekvenserna att ta på allvar.
Den viktigaste konsekvensen är informationssäkerhet som kunskapsområde måste kunna erbjuda effektiva sätt att avgöra vad som organisationens/organisationernas faktiska behov.
Det innebär också möjligheten att det måste finnas en öppenhet för att ledningen inte önskar särskilt mycket säkerhet utan är beredd att ta risken eftersom målet inte är så mycket säkerhet som möjligt.
När ledningen gör bedömningen kommer den att ta hänsyn till ett antal faktorer som den formulerar som verksamhetens behov inklusive att följa relevant lagstiftning.
Relevant lagstiftning är för de flesta civila organisationer i mindre grad säkerhetsskyddslagen medan alla organisationer som hanterar personuppgifter måste leva efter dataskyddsförordningen.
Myndigheter ska dessutom hantera sin information enligt offentlighetslagstiftningen vilket förutsätter god ordning på riktighet och spårbarhet.
Informationssäkerhet är alltså i sig inte ett mål utan ett medel som kan tjäna olika mål som exempelvis god integritet och god offentlighetsstruktur – vilket kan leda till intressanta intressekonflikter.
Detta ligger ganska långt ifrån det traditionella militära perspektivet att vissa handlingar som innehåller specifik information ska stämplas med sekretessmarkering och sedan hanteras enligt väl reglerade metoder.
Att kunna beskriva informationssäkerheten som ett medel är därför ett mål i sig.
Ett mål som ställer krav på kommunikation mellanoch verksamheten.
När verksamheten frågar ”vad ska informationssäkerheten egentligen vara bra för?” är detta en rimlig utgångspunkt och en bra prövosten förför att kunna motivera sitt arbete.
Jag tror vi idag är ganska långt ifrån denna typ av målformulering för vårt arbete.
Alltför ofta motiveras säkerhetsarbetet utifrån ett ganska alarmistiskt agiterande utifrån generella hot.
Verksamhetsanknytning i form av bedömning av de egna riskerna eller genom informationsklassning har ju i de genomförda undersökningarna inte visat sig förekomma i närheten av det som föreskrifter och annat stipulerar.
Den otydliga målbilden kan också göra det svårt att hitta en fungerande yrkesroll som ju snarast bör vara en konsultativ och stödjande funktion än en som söker sin legitimitet främst i externa krav som lagstiftning.
När omvärlden präglas inte bara av en stark teknikutveckling utan även en snabb organisatorisk förändring där offentliga och privata verksamheter delar informationshantering kan inte målet vara enbart att skydda statens intresse.
Istället måste målbilden vara tydlig men dynamisk och anpassad till den verksamhet som ska skyddas med hjälp av informationssäkerheten.
Först då kommer en verklig drivkraft att förbättra informationssäkerheten att komma inifrån verksamheterna själva.
Mitt eget utopiska mål är den osynliga informationssäkerheten, när den är så inarbetad i verksamhetens rutiner att ingen tänker på att den finns och risker ur säkerhetssynpunkt bedöms på samma sätt som andra risker utifrån hur de påverkar verksamhetens resultat.

en formaliserad utbildning kollegial kontroll attribut en episteme techne fronesis är

En profession behöver metoder

Behovet av en profession Krav på en profession Informationssäkerhetens professionalisering – hur ska vi gå vidare?
Kunskap och informationssäkerhet Episteme, Fronesis, Techne Intryck Och vad blir konsekvensen?

Definition av kunskapsområde Krav på teoretisk och praktisk kunskap som säkerställs genom etablerad procedur Normer och kultur

MENU MENU postat av Postad i , , , , Tagged , , , , , , Postat av Postad i , , , Tagged , , , , Postat av Postad i , Tagged , , , , , Postat av Postad i , , Tagged , , , Sök efter:

Under de (alltför) många år jag arbetat med informationssäkerhet har ingen företeelse varit mer omhuldad än de standarder som använts som stöd i arbetet.
När jag började var det BS 77 99 och nu har vi en hel 27000-familj.
Även om jag under alla år har haft en god hjälp av standarderna har jag aldrig riktigt kunna gripas av samma entusiasm som de många, inklusive utgivare av myndigheters föreskrifter, som sett standarderna som ett magiskt spö som det i princip räcker att hänvisa till så försvinner säkerhetsproblemen.
Jag har redan skrivit ett antal inlägg, bl a och berör den ganska problematiska övertro som finns i Sverige till standardens kraft att skapa bättre informationssäkerhet.
Med tiden har jag kommit att fråga mig om sättet att se på framför allt ISO 27000 kanske snarare stjälpt än hjälptt.
En rejäl tankeställare fick jag när jag hade uppdraget att försöka få in säkerhetsperspektivet i en utredning om e-hälsa.
Få saker har jag misslyckats så kapitalt med och en av orsakerna, förutom mina egna brister, var att både utredaren och utredningens sekretariat så fort frågan kom upp smashade bort den som en irriterande fluga med: vi gör en hänvisning till att standarder ska användas.
Eftersom jag inte förstår en vink när jag får den eller snarare bryr mig om den så fortsatte jag och försökte även få ett förtydligande vilka standarder som skulle användas och hur.
Som ni säkert förstår fick jag aldrig några svar på mina frågor utan det ansågs helt tillfyllest att säkerhetsproblem skulle hanteras via ”standarder”.
Självklart förstår jag lockelsen i att det skulle kunna fungera så.
Problemet är att det inte gör det.
Om man tittar bakåt så var standarder i industrisamhällets begynnelse en typ av nationella och internationella överenskommelser om framför allt utformningen av tekniska produkter och mått.
En av mina favoriter är standarden för avstånd mellan hålen för .
Det är ju ett sant kaos som väntar om hålslagen utformas hur som helst och ingen vet vilka pärmar som kan användas för vilka papper.
Men vad händer egentligen när man flyttar över standardiseringsidéen från vidden för järnvägsspår till hur organisationer ska styra olika verksamhetsområden?
När standarder som framtagits utan kontroll från lagstiftare och den egna förvaltningen ska leva sida vid sida med den ordinarie styrningen?
I en mycket intressant från Örebros universitet har författarna (Andersson, Karlsson och Hedström) genom diskursanalys försökt förstå hur framtagandet av standarder i 27000-serien egentligen går till.
Som en bakgrund gör de en åtskillnad mellan s.k.
de facto-standarder som ta fram av ett företag eller flera företag tillsammans som har ett konkret behov av standardisering.
Den andra typen av standarder benämns de jure-standarder som kan utvecklas av olika lagstiftande organ alternativt myndigheter eller av oberoende standardorganisationer som ISO.
27000-serien är alltså en de jure-standard men ligger utanför det lagstiftande området.
Artikeln lyfter också fram att denna typ av standarder strävar efter att skapa en konsensus av vad som bland experter inom området anses vara ”best practice” vilket även framgår tydligt i arbetet med informationssäkerhetsstandarden: De jure standards play a central role in information security, and organizations are increasingly required to demonstrate compliance with them ( ; ).
Det kan alltså ifrågasättas vad standardens ställningstagande egentligen bygger, om dess anspråk på att vila på ”best practice” uppfylls.
Eftersom den inte bygger på evidens skulle dess USP bestå just i en erfarenhetsbaserad kunskap.
Om inte denna grund finns påverkas naturligtvis standardens legitimitet.
Senare i artikeln framgår på ett litet roande och samtidigt avslöjande sätt hur ytterst få som deltar i standardarbetet även om man tågat omkring på standardiseringsmötena som en fåmansprocession under beteckningen ”Sweden”.
Artikelförfattarna gör en maktanalys av själva arbetet med framtagandet av standarder men jag tycker att en vidare maktanalys av hur en mycket liten krets knutna till standardarbetet har haft ett helt dominerande inflytande över svensk förvaltnings arbete med informationssäkerhet.
Resultatet har blivit en hegemonisk doktrin om att ISO 27000 är den enda framkomliga vägen att arbeta med informationssäkerhet i svensk förvaltning trots att denna doktrin vare sig bygger på evidens eller ”best practice”.
Så här 11 år efter att ISO 27000 pekades ut som vägledande för svenska myndigheters arbete med informationssäkerhet i MSB:s föreskrift MSBFS 2009:10 (ytterligare markerat i de följande föreskrifterna fram till den nu gällande MSBFS 2020:6) så tycker jag inte det är uppenbart att det var ett helt lyckat vägval.
Detta bygger jag på attt knappast kan ses som särdeles framgångsrikt mätt med tillgängliga måttstockar, d.v.s.
de granskningar som gjorts både generellt och de som gjorts med inriktning på samhällsviktiga sektorer som exempelvis sjukvård.
Låt oss komma ihåg att detta inte är den enda möjliga vägen att välja.
I Finland antogs i år en av informationshanteringsnämnden under finansministeriet som explicit undviker att hänvisa till någon standard: referensramar och ger inga anvisningar om tekniska lösningar, som kan förändras till och med snabbt.
Utifrån en riskbedömning som görs från fall till fall ska varje myndighet välja tillräckligt säkra tekniska lösningar som är lämpliga i den aktuella situationen.
Jag kommer ihåg att ansvariga för Normen i Norge förde samma resonemang i sina reglervården, man ville inte referera till någon särskild standard.
Uppfattningen var att det var möjligt att plocka ut det man ville ha ur standarder utan att behöva ansluta sig till en helhet som inte kunde kontrolleras av norsk sjukvård.
När standarder lämnar tekniska specifikationer och övergår till organisatorisk styrning uppstår paradoxala effekter.
Jag tänker nu på att ISO 27000 innehåller mycket allmänna krav, att det ska finnas informationsklassning men inte hur den ska utföras eller vilken normskala som ska tillämpas.
Varje organisation ska själv ta fram sitt eget komplexa ledningssystem med de komponenter som anvisas i standarden men utformningen och tillämpningen kommer att se väldigt olika ut, det tror jag varje erfaren konsult kan intyga.
Istället för centrala regler som specificerar olika lösningar får vi alltså en mängd olika regelverk som ska användas i samma infrastruktur.
Standarden leder alltså sannolikt till mindre standardisering på grund av sin inriktning på enskilda organisationer istället för på helhet.
Bräckligheten i kunskapsunderlaget och det fragmentiserade resultatet är två orsaker att ompröva ISO 27000 ställning i den offentliga verksamhetensi Sverige.
Vi behöver inte kasta ut barnet med badvattnet men vi måste våga ifrågasätta doktrinen även om de som har byggt upp en stark ställning med hjälp av standarden riskerar att ta illa upp.
Informationssäkerhet är en för viktig fråga för att vi ska ha råd med heliga principer som inte tål att diskuteras.
Statskontorets publikationer är en underskattad men ständig källa om inte till glädje så till mycket nyttig kunskap.
Under sommaren har jag en forskningsantologi kallad .
Min bedömning är att denna antologi är ett måste för den som arbetar med informationshantering eller informationssäkerhet i offentlig sektor.
Här får man så mycket sammanhang och tankar att man går ur boken som en tjänsteperson eller konsult stärkt och betydligt bättre rustad att hantera sitt uppdrag.
Ur en informationssäkerhetskonsults vinkel är det framför allt avsnitten om hur förpappring, managementbyråkrati, användning av standarder och konsulter riskerar leda inte bara till onödig administration utan också till bristande styrförmåga.
Tyvärr är det mycket som känns obehagligt välbekant.
Det är dystert att blir varse om hur det område man själv jobbar inom liksom man själv kanske är en förgiftad gåva till uppdragsgivaren, att det kostar mer än det smakar.
Vi kanske ödmjukt borde inseltför ofta ger upphov till mer byråkrati än nytta, till mer krångel än säkerhet.
En ständigt närvarande fråga borde vara hur kan vi skapa bättre säkerhet utan att tynga våra uppdragsgivare och utan att ta kraft från organisationernas verkliga uppgifter.
Hur mycket har alla de icke-fungerande ledningssystem inte kostat i pengar, incidenter och en falsk trygghet som hindrat att man vidtagit reella säkerhetsåtgärder.
Slutligen är det för mig oetiskt att ta mer resurser från kärnverksamheten till säkerhet om det inte går att påvisa att det är nödvändigt.
Givna frågor borde vara: Varför fungerar då så mycket avt så dåligt trots de avsevärda resurser som läggs på det från olika håll?
Efter att ha begrundat Statskontorets antologi vill jag på prov lansera hypotesen att många av informationssäkerhetens tillkortakommande beror på att arbetet bedrivits som en del i den new public management-trend som varit rådande i svensk förvaltning de senaste decennierna.
NPM diskuteras frekvent i antologin och många av dessa resonemang kan med lätthet översättas till informationssäkerhetsområdet.
Kännetecknande för NPM är bland annat en strävan att styrformerna i offentlig förvaltning ska likna de i privata företag.
Konsekvenserna blir i korthet decentralisering, ram/mål-styrning, standarder och en massa mätande.
Det som regleras är som ska göras men inte Ansvaret för hur åtgärder ska genomföras trycks ner i den decentraliserade strukturen.
Någon som kommer att tänka på den så omtalade ansvarsprincipen kanske?
NPM kan låta lockande men jag skulle säga att informationssäkerheten nationellt och i de enskilda organisationerna lidit stor skada av att det inte funnits en inriktning att ge tydliga direktiv om olika säkerhetsåtgärder ska utföras.
Det är en närmast kuslig suboptimering att varje organisation ska räkna ut allt själva.
Kravet på kortsiktig leverans och mätbarhet gör att det strategiska arbetet försummas.
Dessutom leder till en bristande samordning i en alltmer integrerad informationsinfrastruktur där en parts investering i säkerhet görs helt urarva genom att andra aktörer har gjort andra bedömningar och därmed inte infört samma skydd.
Fokus ligger också på dokument, standarder och rapportering, allt i enlighet med NPM:s styrfilosofi.
Jag tror inte att motståndet mot att få en konkretare styrning i säkerhetsfrågor ligger hos enskilda myndigheter, kommuner eller regioner, tvärtom är en vanlig utgångspunkt i diskussioner att man vill ha tydlighet och stöd i att veta vilka säkerhetsåtgärder som är adekvata och uppdaterade.
Snarare uppfattar jag att myndigheterna med föreskriftsrätt duckar och inte vill ta det ansvar som det innebär att peka med hela handen.
Det är liksom lättare att klaga på den bristande säkerheten i förvaltningen än att ge ett ändamålsenligt stöd.
Jag vill lansera ett förslag som jag haft sedan jag jobbade på MSB som exempel på hur vi skulle kunna bryta med ovanstående ineffektiva styrning och få en bättre och billigare säkerhet.
Mitt förslag är och har varit att erbjuda stöd i form av standardiserade skyddsnivåer och det jag kallar normerande klassningar.
Skyddsnivåer har jag skrivit om tidigare så därför koncentrerar jag mig på de normerande klassningarna.
Det mest uppenbara exemplet på hur det skulle kunna fungera gäller kommunal verksamhet.
Tänk er att det finns 290 kommuner med samma tio obligatoriska uppgifter.
Det leder till att man har i grunden har mycket likartade processer även om man ofta har egna beteckningar på förvaltningar, processer och informationsmängder.
I större kommuner kan det vara så att flera organisatoriska enheter ägnar sig åt samma slags verksamhet, exempelvis förskola eller äldreomsorg.
Man kan också anlita utomstående leverantörer för att driva verksamhet som till exempel ett äldreboende.
En viktig grundprincip för kommunal verksamhet är likvärdighet, dvs.
att invånare har rätt att förvänta sig samma kommunala service oavsett var man bor eller vem som är utförare.
I det här sammanhanget bör det tolkas som att invånare har rätt till samma säkerhet och integritet.
Detta uppnås dock knappast om informationsklassningar genomförs på tusentals olika sätt med helt olika resultat (jag kommer inte att ta upp SKR:s KLASSA här eftersom jag gjort det på annat ställe och kommit fram till att det inte är ett verktyg för informationsklassning utan möjligen för att ställa baskrav på enskilda system och som dessutom ger precis samma risk för olikartade bedömningar som om man inte använde verktyget).
Vad som skulle leda till både ensartade bedömningar och dramatiskt minskad resursåtgång är att göra normerande klassningar på prioriterade processer i kommunal verksamhet.
Man skulle då gå igenom en generisk process, exempelvis utbetalning av försörjningsstöd, se vilka informationsmängder som stödjer och skapas i de olika aktiviteterna i processen.
Därefter kan informationsmängderna klassas och den normerande klassningen användas av samtliga som utbetalar försörjningsstöd.
I och med att aktiviteter och informationsmängder är förvånansvärt konstanta över tid i många processer (tro mig, jag har gått igenom ett stort antal processer även i ett ”historiskt” perspektiv) så skulle denna grund kunna användas under lång tid.
Uppdateringar måste göras då exempelvis lagstiftning eller andra nya förutsättningar leder till att en förändrad bedömning blir nödvändig.
Även denna förvaltningsinsats har allt att vinna på att genomföras kollektivt och inte av varje informationsägare.
Och, observera, den normerande klassningen är bara ett stöd.
Det står varje informationsägare fritt att välja en annan nivå eftersom ansvaret för säkerheten kvarstår hos hen.
Ytterligare en poäng är att det här finns mycket stora samordningsvinster att göra även med dataskydd och arkiv.
Jamen systemen och it-tjänsterna säger ni uppbragt – varför finns inte de med i konceptet???
Det gör de faktiskt eftersom it-säkerheten hanteras i de standardiserade skyddsnivåerna och gör man sin processorienterade informationskartläggning rätt så identifierar man inte bara de digitala lösningar som används som bärare utan även de andra medier som faktiskt används.
Dessutom förekommer idag information i många fall i flera versioner på olika bärare så därför kan man inte gå nerifrån och upp.
Slutligen är bärarna inte alls lika konstanta som aktiviteter och informationsmängder så att ha dem som utgångspunkt för strategiskt styrning skulle vara göra sig själv en stor otjänst.
En passant kan sägas att samma synsätt sannolikt skulle kunna användas av SÄPO till allas nytta.
Att göra generiska säkerhetsskyddsanalyser för exempelvis kommuner och regioner skulle avlasta dessa aktörer och ge ett mer likvärdigt skydd.
(Jag flyr nu eftersom jag vet att detta är en helig ko som absolut inte får besudlas….).
Min förutsägelse är att det inte finns något ljus som automatiskt kommer att slås på i denna mörka byråkratiska tunnel utan det är vi själva genom att tänka fritt och nytt som måste skapa det.
Det är inte i mängden dokument säkerheten sitter.
Sedan jag skrev mitt förra blogginlägg där jag förordade att vi borde införa en starkare gemensam styrning av informationssäkerheten bland annat i form av gemensamma skyddsnivåer samt t.o.m.
ett gemensamt ledningssystem har jag flera gånger fått frågan ”har du kollat på KLASSA?”.
Svaret är ja, det har jag och till och med skrivit på bloggen .
Sedan dess har det skett en viss men som jag ser det så kvarstår de huvudproblem som jag skrev om i det tidigare inlägget.
Att man dessutom tagit bort spårbarhet som en bedömning i klassningen gör ju inte saken direkt bättre (vilket också ett antal personer verksamma i landsting och kommuner upprört framfört till mig).
De mest övergripande invändningarna jag hade var att verktyget bygger på att man klassar system, inte information, och att säkerhetskraven är alldeles för glesa.
Detta kan menar jag leda till att man snarast skapar säkerhetsproblem än förebygger dem eftersom en organisation kan bli invaggad i en falsk trygghet av att ha vidtagit åtgärder när de i själva verket är otillräckliga.
Dessutom stöds samma aktivitet ofta av samma eller snarlik information på olika bärare som i detta exempel från en tämligen harmlös anställningsaktivitet direkt hämtad från verkligheten: Om man då fragmentiserar klassandet till att endast omfatta informationen då den exempelvis befinner sig i rekryteringsverktyget missar man ju att skydda samma information då den förekommer i andra sammanhang.
Ju fler olika typer av tjänster och bärare som används desto viktigare blir det att ha kontroll över informationen oavsett var den befinner sig.
Med tanke på att verktyget är framtaget för kommunal verksamhet blir man litet brydd i detta hänseende när man tänker på vissa av de mest känsliga verksamheterna.
Ta till exempel överförmyndarna där konfidentialitet, riktighet och spårbarhet är oerhört viktiga för att verksamheten ska kunna bedrivas.
Överförmyndarnas informationshantering sker i en komplex mosaik av bland annat enskilda beslutssystem, lagringsytor, papper och mail.
I detta sammanhang är det självklart helt otillräckligt att bara genomföra en systemklassning av ett ärendehanteringssystem.
Man skulle kunna invända att överförmyndarna är en liten och unik verksamhet med specifika krav där man inte kan förvänta sig att generella metoder ska kunna fungera.
Visserligen svarar jag men i grunden gäller detta för de flesta verksamheter inom en kommun eller landsting eller t.o.m.
med en statlig verksamhet oavsett omfattning.
Kraven på säkerhet ligger på alla de bärare, inte bara det som en händelse definieras som ett ”system” (vilket dessutom är alltmer oklar definition sett till dagens tekniska utveckling).
Återigen vill jag propagera för att istället se det som att system och tjänster ska certifieras för att klara vissa skyddsnivåer – inte klassas.
Bortsett från kvaliteten på metoden för klassningen funderar jag över det i mitt tycke oproportionerliga intresse som finns för klassning och incidenthantering.
Samt att detta intresse tar sig uttryck i att klassning respektive incidenthantering ses som fristående aktiviteter och inte som delar i en större helhet.
Det fragmentiserade synsättet går igen i de metoder som presenteras.
Den bärande idéen är att varje organisation med egna resurser och egna värderingar ska styra informationssäkerheten i den egna verksamheten.
Detta menar jag är ett mer och mer verklighetsfrämmande paradigm i en värld där vi i allt högre grad delar information mellan organisationer samt mellan organisationer och individer.
I ett digitalt tjänstesamhälle är det inte den interna säkerheten i den enskilda organisationen som är det mest centrala utan den gemensamma infrastrukturens säkerhet.
Det är ungefär som att i vägtrafiken låta varje transportföretag men även varje individ ta fram sina egna regler och tillämpa dem på de gemensamma vägarna.
Det är klart att man genom frivilliga samordnande insatser och tillsyn skulle uppnå en viss effekt men jag tror de flesta skulle uppfatta det som ett absurt och närmast nihilistiskt trafikpolitiskt förslag.
När det gäller säkerheten i den digitala infrastrukturen är fortfarande en dominerande uppfattning.
I det tidigare blogginlägget om KLASSA ställde jag upp sex krav på en fungerande metod för informationsklassning.
Omättligt krävande som jag är vill jag nu lägga till två ytterligare.
För det första måste metoden vara tillämplig även i ett större sammanhang än i en enskild organisations användning av ett system.
För det andra ingå i en större helhet av systematiskt– att klassa information utan relation till det kretslopp av övriga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering, ansvarsfördelning och uppföljning är inte effektivt säkerhetshöjande.
Särskilt inte om skyddsnivåerna har stora brister.
Informationsklassning är helt enkelt inte sååå viktig i sig.
Men inte ens då tror jag att detta är en särskilt bra väg att gå.
Det inte alldeles enkelt att utföra klassning på ett välavvägt sätt ens med stöd av en bra metod.
Vad som krävs är erfarenhet och kompetens inom informationshantering och risker samt förståelse för hur organisationer fungerar.
Att klassa information är inte att som professor Balthazar stoppa in information i ett rör på en informationsklassningsmaskin och med automatik få ut en färdig klassning.
Därför är det inte en metod där olika organisationer förväntas göra sina egna klassningar en lösning på det mycket stora kompetensunderskottet – kompetensen behövs ändå.
Och om alla gör sina egna bedömningar i en gemensam struktur kan man fråga sig vad som blir resultatet.
En god gissning är att den lägsta nivån blir trendsättande inte minst eftersom om en part har en låg nivå på sina säkerhetsåtgärder riskerar det övriga aktörers säkerhet.
Den som har gjort en större investering riskerar att få denna investering underminerad av den som väljer en lägre nivå – ekonomin i att ändå välja den högre nivån kan starkt ifrågasättas.
Att klassa information är varken så enkelt eller så viktigt som enstaka aktivitet som man ibland vill ge sken av.
Sammantaget vill jag därmed propagera för en mycket starkare styrning av processer, informationshantering och informationssäkerhet där den gemensamma grunden inte är optional.
Vi måste lämna det föråldrade synsättet där ”system” sätts i centrum och istället inse att det är en informationsinfrastruktur som måste hanteras med vederbörlig respekt och med styrande säkerhetsregler.
Kanske har vi förlorat ett decennium av möjligheter att skapa en gemensam informationssäkerhet genom att låta en slavisk tolkning av ISO 27000 kombineras med en flummig samordningstanke.
Det räcker inte med lösryckta initiativ kring olika aktiviteter som klassning utan vi måste se att ebygger på en samverkande helhet av säkerhetsåtgärder.
Om jag ser tillbaka och försöker se var jag fått vägledning i min roll som informationssäkerhetsansvarig så är det första jag kommer att tänka på den Handbok i it-säkerhet i tre delar som Statskontoret gav ut 1997.
Även om den angav att innehållet var it-säkerhet var det i realiteten informationssäkerhet den handlade om, det vill säga den organisatoriska styrningen med hjälp av ett antal aktiviteter.
När jag tittar tillbaka i den är det inte så mycket som förändrats vilket väl får sägas vara en ganska dyster insikt.
Trots att Statskontoret inte hade ett mer renodlat informationssäkerhetsuppdrag tog man även fram ett metodstöd och mallregelverk som skulle hjälpa myndigheter att införa ett ledningssystem för informationssäkerhet.
Stödet kallades OffLIS och kom 2003 som en del i arbetet med ”24-timmarsmyndigheten”.
Krisberedskapsmyndigheten (KBM), inrättades efter vissa förvecklingar 2002 och var en av de myndigheter som 2009 slogs samman till dagens MSB.
I KBM:s uppdrag fanns bland annat att ha det sammanhållande myndighetsansvaret för samhällets informationssäkerhet och att utforma en nationell handlingsplan för informationssäkerhet.
Som en del i detta uppdrag tog man fram metodstödet BITS (Basnivå för it-säkerhet) som var tänkt att fungera som en de facto-standard för offentlig sektor.
BITS introducerades kraftfullt av KBM inte minst i kommunerna och bistod även med en slags konsultstöd samt olika typer av bidrag för att exempelvis höja den fysiska säkerheten och förbättra tillgången till reservkraft till kommunala datorhallar.
OffLIS och BITS slogs ihop 2005 för att få en ökad enhetlighet.
Seklets första årtionde var rörligt när de gällde informationssäkerhet.
Vid sidan om KBM:s uppdrag pågick informationssäkerhetsutredningen, Verva skrev föreskrifter om säkert informationsutbyte och Nämnden för elektronisk förvaltning tillsattes 2003 med uppgiften: ” att stödja utvecklingen av ett säkert effektivt elektroniskt informationsutbyte mellan myndigheter och mellan myndigheter och enskilda genom att beslut om vilka standarder för informationsutbyte myndigheter under skulle använda sig av” vilket ju låter välbekant.
Trots att frestelsen är stark ska jag inte gå längre in detta just nu utan bara konstatera att BITS var synnerligen populärt inte minst hos kommuner och efterfrågades långt efter att MSB valt att avveckla stödet.
Ett antal kommuner hänvisar fortfarande i sina styrande dokument till BITS (det är bara att googla och kolla).
Vad var det då som gjorde BITS så populärt?
En vanlig uppfattning bland de kommunala företrädare jag diskuterat frågan med var att BITS gav dem enkla handfasta regler och en tydlig lägstanivå att förhålla sig till.
Utifrån de resurser som står till buds i en liten eller medelstor kommun har detta setts med viss tacksamhet, särskilt då stödet åtföljdes med ett visst konsultativt och ekonomiskt bistånd.
Själv har jag varit skeptisk.
Ett skäl var att BITS var så inriktat på it-säkerhet (även om man vid revideringen 2006 gjorde en strukturell anpassning till ISO 27000).
Ett annat att en tillämpning av BITS leder till en basnivå medan det verkliga behovet i en kommun (liksom i andra organisationer) är att kunna ha olika nivåer av skydd beroende på informationens och verksamhetens karaktär.
Framförallt har jag tyckt att man riskerar att missa den unika organisationens behov.
BITS övergavs också av KBM och sedermera MSB.
Idag är utgångspunkten för de stöd som tas fram att varje organisation ska starta från noll och ta fram sitt eget ledningssystem med alla delar.
Den enskilda organisationen erbjuds det som kallas metodstöd eller delmängder som stöd för att klassa system.
Bara i offentlig sektor innebär det att över 400 myndigheter, 290 kommuner och 21 regioner själva ska ta fram och förvalta respektive ledningssystem, metoder för risk-och kontinuitetshantering och skyddsnivåer.
Detta är en enorm arbetsinsats som dessutom kräver att varje myndighets/kommuns/landstings ledningssystem måste översättas vid samarbeten.
Till detta kommer alla andra nödvändiga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering,….
Objektivt sett kommer detta inte att vara möjligt att genomföra eftersom det inte finns tillgänglig kompetens i en omfattning som ens är i närheten av vad som skulle behövas.
Min uppfattning är att en dellösning på den annars omöjliga ekvationen med starkt ökande krav på systematiskti kombination med en mycket påtaglig brist på tillgänglig kompetens är en ökad standardisering.
Jag har därför börjat ompröva min tidigare inställning.
Som en följd av detta tror jag det dags att ta fram en ny inriktning där en omvärdering göras av de tankar som låg bakom BITS och även OffLIS kan ingå som ett första steg.
Då menar jag inte att en revision av BITS eller en återstart på OffLIS.
Snarare att seriöst analysera vilka delar av esom kan standardiseras i olika typer av organisationer.
Ett nytt koncept borde istället vara inriktat på s. Jag ska här bara skissa upp några punkter där en standardisering skulle kunna ske och ge mycket stora samordningsvinster.
För enkelhetens skull så kan vi ta kommunerna som exempel.
Det är också lämpligt eftersom kommunerna har mycket komplexa säkerhetsbehov som är mycket svåra att hantera för den enskilda kommunen, inte minst för de små och medelstora kommunerna.
De svenska kommunerna har tio obligatoriska uppgifter, det vill säga uppgifter som de enligt lag ska utföra oavsett kommunens storlek och resurser.
Dessa uppgifter genomförs på olika sätt i olika kommuner och i olika organisatoriska konstruktioner.
Men processens olika aktiviteter är i stort sett de samma i flera av dessa obligatoriska uppgifter.
Att söka plats på förskolan eller att administrera den politiska beslutsapparaten innehåller samma moment och i stort samma information om än med olika benämningar.
För att underlätta för kommunerna skulle följande kunna göras nationellt: Naturligtvis bör det framgå att organisationen måste göra egna riskbedömningar och att det enbart är förslag.
Ändå skulle detta vara en mycket värdefull hjälp för kommunerna som också skulle kunna tillämpa grundmodellen för informationsklassning med skyddsnivåer för den unika information som kan utöver de standardiserade förslagen.
Låter mycket att ta fram nationellt tänker ni kanske.
Betänk då att alternativet är att ta fram detta i 290 kommuner, i många fall utan tillräcklig kompetens och resurser, och då få fram inkompatibla lösningar.
Sannolikheten för att flertalet kommuner inte klarar uppgiften och istället får skämmas i rapporter från MSB och Riksrevisionen är inte direkt låg.
Jag menar därför att det är en mycket rimlig investering att skapa nationella lösningar där det faktiskt går.
Hur dessa lösningar ska tas fram och vem som ska ansvara för utveckling och förvaltning tål att diskuteras.
Kanske är en stiftelse där även privata aktörer skulle kunna ingå ett alternativ?
En rimlig ståndpunkt är att tydliga begrepp i de flesta fall är en förutsättning för en fungerande kommunikation.
Personligen ser jag kommunikation som det viktigaste redskapet för att få till en fungerande informationssäkerhet både i den egna organisationen och nationellt.
Därför är begrepp inom informationssäkerhet en avgörande faktor för att lyckas.
Ett begrepp som gjort en raketkarriär är cyber.
Det är inte bara en allmän känsla utan stöds också av en sökning i Retriever, se graf: I många sammanhang, även från regeringen, lyfts betydelsen av s.k.
cybersäkerhet fram som en central fråga för det svenska samhället.
Jag uppfattar försvarsminister Peter Hultqvist som en informell rekordhållare då han lyckades säga ”cyber” inte mindre än 36 gånger i ett men då krävdes det också stycken som det här för att lyckas: Cyberdomänen, eller cyberrymden, vad vi än väljer att kalla den, har kommit att bli en ytterligare arena för militär och annan verksamhet.
Den trenden har varit tydlig under en tid.
Tidigare rapporter från Försvarsberedningen har lyft fram de problem och risker som präglar cyberdomänen.
Den tilltagande antagonistiska dimensionen i cyberrymden gör det nödvändigt att utveckla och stärka cyberförsvarsresurser.
Vi kan se att ett flertal länder i världen har gjort just det.
Det försvarspolitiska inriktningsbeslutet från 2015 innehöll ett tydligt och nytt steg i arbetet med svenskt cyberförsvar.
Här förekommer även sammansättningar som cyberdomänen respektive cyberrymden som antingen är samma sak eller möjligen inte eftersom begreppen används varannan gång t.o.m.
Detta är kanske bara ett uttryck för språkglädje där man vill variera uttrycken.
Hur som helst har begreppet ”cyber” här någon slags rumslig dimension.
I den nationella strategi för samhällets informations- och cybersäkerhet som regeringen presenterade 2017 och som statsrådet hänvisar till i sitt anförande saknas dock denna rumsliga dimension då begreppen som utgör strategins ämne definieras: Med informations- och cybersäkerhet avses i denna skrivelse en uppsättning säkerhetsåtgärder för bevarande av konfidentialitet, riktighet och tillgänglighet hos information.
Med konfidentialitet avses att obehöriga inte ska kunna ta del av informationen.
Med riktighet menas att informationen inte förändras, manipuleras eller förstörs på ett obehörigt sätt.
Med tillgänglighet menas att behöriga ska kunna ha tillgång till informationen på det sätt och vid den tidpunkt som tjänsterna erbjuder.
För informationssäkerhet som avser digital information används i denna skrivelse även begreppet cybersäkerhet.
I denna skrivelse används begreppen beroende av sitt sammanhang, där exempelvis cybersäkerhetsbegreppet är vanligt förekommande i en internationell .
Det är litet svårt att se skillnaden mellan informations- respektive cybersäkerhet men jag tolkar det som att man ser cybersäkerhet som en delmängd av informationssäkerhet där cybersäkerhet bara handlar om ”digital information”.
Cybersäkerhet anses också mer ”internationellt”.
För mig är blir det aningen besynnerligt att tala om digital information eftersom det blir en mix av information och bärare– när man exempelvis klassar information är det ju inte mediet som klassas utan informationsinnehållet.
För att få bättre bild av hur begreppet används av de myndigheter som har särskilda ansvar inom området och därmed ofta kommunicerar med begreppet i fokus skrev jag en enkel fråga till tre av dessa myndigheter; Försvarsmakten, SÄPO och MSB.
Begreppet ”cyber” används flitigt för tillfället.
Jag skulle behöva ha x:s definition av begreppet eftersom det används på olika sätt i olika sammanhang.
Samma dag fick jag svar från Försvarsmakten med en hel ordlista ( ) med sammansättningar med ”cyber”, däribland cybersäkerhet: Cybersäkerhet är den samling av säkerhetsåtgärder, riskhanteringsmetoder och tekniker som kan användas i syfte att bevara konfidentialitet, riktighet, spårbarhet och tillgänglighet i cyberrymden.
En stor eloge till FM för denna goda service!
Definitionen pekar mindre på styrning på organisatorisk men desto mer på konkreta säkerhetsåtgärder, alltså ganska långt från ledningssystem.
Åtgärderna ska vidtas i cyberrymden (med synonymer som cyberspace, cybermiljön, cyberarenan, cyberdomänen) som enligt begreppslistan är: Cyberrymden är den del av informationsmiljön som består av de sammanlänkade och av varandra beroende it-infrastrukturer, som möjliggör kommunikation, med tillhörande data och information.
Den inkluderar internet, intranät, telekommunikationssystem, it-system samt inbyggda processorer och styrenheter.
Jag uppfattar det som cyberrymden är den gemensamma tekniska infrastrukturen men inte informationen i sig.
Från SÄPO kom efter en knapp vecka det något förvånande svaret: Hej, Säkerhetspolisen har ingen egen definition av begreppet cyber.
Det är inte ett begrepp som används primärt i vår verksamhet.
Förvånande eftersom ”cyber” förekommer flitigt på SÄPO:s webbplats, i olika rapporter och utåtriktad verksamhet som och för att bara ta ett par exempel.
Slutligen då MSB där svaret satt hårdare inne och inte kom förrän efter en dryg månad: Hej!
Ordet ”cyber ”kan inte anses stå för sig själv, utan används av MSB i sammansättning med andra ord, främst ”cybersäkerhet”.
Beroende på sammanhanget använder MSB ordet ”cybersäkerhet” med något olika betydelse: MSB har under flera år engagerat sig i terminologifrågor och stöttar bl.a.
SIS i arbetet med terminologi på informations- och cybersäkerhetsområdet.
MSB planerar inte att ta fram en egen definition av begreppet cyber, eller cybersäkerhet.
De definitioner/beskrivningar som myndigheten behöver kunna använda är, enligt ovan, bl.a.
från regeringens strategier, standardiseringsorgan (ex SIS), FN, EU samt Nato.
Cyber/cybersäkerhet förekommer i dag i förslag till reglering från EU (den s.k.
cybersäkerhetsakten, COM(2017) 477 final).
Myndigheten har därmed tre olika definitioner för olika sammanhang och har dessutom gjort en egen utveckling av den definition som fanns med i 2017 år nationella strategi.
Detta blir aningen motsägelsefullt när man samtidigt säger sig använda befintliga definitioner/beskrivningar och inte utveckla egna.
Formuleringen om SIS undviker elegant att MSB faktiskt inte använder den definition av cybersäkerhet (”cyber” i sig själv ingår inte) som finns terminologin SIS-TR 50:2015 (tyvärr är jag inte länka till terminologin eftersom den inte är fritt tillgänglig): bevarande av konfidentialitet, riktighet och tillgänglighet hos information i cyberrymden Cyberrymden;telerymden har i sin tur definitionen: abstrakt rymd som utgörs av digital kommunikation mellan datornätverk och där all digital information befinner sig Med den förtydligande kommentaren: Cyberrymden innefattar all kommunikation via internet samt telekommunikation.
En cyberrymd möjliggörs av den hårdvara och de system som ingår i en infrastruktur.
Jag är inte alldeles säker på att jag förstår vad detta exakt betyder.
Terminologin verkar dock ha den implicita uppfattningen att ”cyber” har med internationella konflikter och antagonism att göra vilket markeras redan i det inledande stycket till kapitlet om Samhällets informations- och cybersäkerhet: Varje dag utsätts svenska myndigheter och företag för cyberattacker.
Detta har bidragit till att bl.a.
frågor om cybersäkerhet och cyberresiliens har blivit mer aktuella inom olika branscher.
Sverige, liksom många andra europeiska länder, har på senare år börjat uppmärksamma risken för cyberattacker som en global och militär hotbild.
Det är därför viktigt att introducera cybersäkerhet inom olika branscher för att öka förståelsen och kompetensen för hur man kan skydda information från dessa hot.
Cybersäkerheten har medfört nya termer, men eftersom området fortfarande är nytt kan dessa termer komma att ändras och det kommer att krävas fortsatt terminologiutredning inom detta område.
Det verkar inte råda någon konsensus om skillnaden mellan informations- och cybersäkerhet, utan de två termerna används ibland omväxlande.
Ibland används termen informationssäkerhet när inriktningen ligger på informationen och termen cybersäkerhet när det handlar om den digitala domänen; ibland ses cybersäkerhet som informationssäkerhet på en global nivå .
Samtliga sammansatta ord med förleden cyber som presenteras i terminologin är företeelser som skulle kunna ingå i en krigföring eller terrorism på hög nivå (cyberattack, cyberavskräckande, cyberförsvar, cyberkrigföring, cyberoperation osv.).
I en lustig cirkelrörelse hänvisar man i en fotnot till SOU 2015:23 (NISU) och den begreppsdiskussion som förs där på sidan 40: En grundläggande definitionsfråga för hela den svenska informationssäkerhetsnomenklaturen handlar just om innebörden av det svenska begreppet ”informationssäkerhet”.
På engelska är detta begrepp uppdelat i två betydelser dels ”Information Security” som utgår från ett tekniskt perspektiv och återspeglas i ISO 27001-standarden, dels i ”Information Assurance” som utgår från ett nationellt säkerhetsperspektiv och där även organisation och policy ingår.
I tidigare utredningsarbeten gjordes försök att särskilja det senare begreppet från det förra genom att introducera termen ”informationssäkring”, vilket också infördes i SIS-nomenklatur.
Begreppet – liksom den förenklade varianten ”övergripande informationssäkerhet” – vann aldrig någon uppslutning i det offentliga Sverige då det ansågs för komplicerat att beskriva.
Följden har dock blivit olyckliga sammanblandningar i begreppens innebörd – inte minst i internationella sammanhang.
Cybersäkerhetsbegreppet är mer strategiskt och fokuserar mer på nationella och internationella nätverk.
Därmed har cybersäkerhet en större internationell räckvidd med t.ex.
folkrättsliga frågeställningar och normer på cyberområdet än det mer tekniska informationssäkerhetsbegreppet.
Det senare har en större tyngdpunkt mot hård- och mjukvara samt standardisering.
Motivet för fokus mot cybersäkerhet är att det är på detta område som statsmaktsperspektivet behöver utvecklas då frågeställningarna ligger ovanför myndigheternas ansvarsområden, samt att avdömningar mellan olika sektorsstrategier kan behöva göras inom ramen för ett svenskt koherent nationellt förhållningssätt gentemot EU och andra internationella .
Detta är ju ett märkligt stycke där den uttalat organisatoriskt inriktade ISO 27001 framställs som fokuserade på tekniska åtgärder (!).
Cybersäkerhet sägs vara mer ”strategiskt” och verkande på nationell nivå.
Till att detta kommer alla företag som använder ”cyber” i olika konstellationer för sin produkter och tjänster som knappast är på nationell nivå.
Sammantaget är användningen av begreppet ”cyber” högst inkonsistent och rör sig i en skala från å ena sidan normal it-säkerhet med vissa tillägg av informationssäkerhet till en del av det nationella försvaret.
Vissa gemensamma drag tycks finnas som att det gäller digital infrastruktur i någon bemärkelse samt den renodlade inriktningen mot antagonistiska hot.
I övrigt är det ganska fritt valt vilken betydelse man vill ge ordet.
Är denna otydlighet då egentligen ett problem?
Det kanske behövs ett sådant här amorft begrepp som beskriver en amorf verklighet och inte enbart för sexa till vilken konferensrubrik eller vilket tjänsteutbud i it-sektorn som helst?
Kanske inte men jag måste ändå resa invändningen att om att vårt, enligt många, största hot förtjänar en något mer entydig beskrivning.
Att måla upp ett förödande hot mot nationen och mot enskilda men göra det i så oklara termer är inte bra för samhällsklimatet i en demokrati (vilket jag skrivit om tidigare).
Inte heller är det en fördel för kunder att erbjuda tjänster där det inte närmare går att avgöra vad tjänsten egentligen består i. Jag tycker därför att det är en rimlig önskan att åtminstone centrala myndigheter sätter sig ner för att begreppsmodellera vad ”cyber” är och vilken relation cybersäkerhet har till informationssäkerhet.
Betänk språklagens krav på myndigheterna: Språket i offentlig verksamhet ska vara vårdat, enkelt och begripligt.
Oavsett vilken roll jag haft inom informationssäkerhetsområdet, informationssäkerhetschef, konsult eller byråkrat på nationell nivå, har ett behov varit lika uppenbart: behovet av ökad samordning och styrning.
Slutsatsen att det inte är möjligt för en enskild organisation att utveckla ett helt eget koncept för informationssäkerhet behöver knappast motiveras, särskilt när utvecklingen gått mot allt mer gränslösa integrationer av informationshanteringen.
En självklar grundsten för många av oss som arbetat länge med informationssäkerhet har varit ISO 27000 och dess föregångare och det har därför varit naturligt att peka på den som en naturlig utgångspunkt i den nationella styrningen.
Däremot har jag alltid uppfattat det som en mycket stor nackdel att standarden liksom trots att syftet är så stor spridning som möjligt är omgivna av avsevärda ekonomiska hinder.
För en stor statlig myndighet kan några tusenlappar tyckas vara småpengar men för en liten kommun eller mindre företag är det summor som inte är lika enkla att motivera.
Att rekommendera organisationer att införa ledningssystem för informationssäkerhet enligt standarden har därför innehållit en inneboende svårighet som kanske ändå går att överse med.
Jag har däremot varit betydligt mer tveksam till den direkta hänvisning som funnits till standarden i MSB:s föreskrift sedan .
Här sägs att myndigheter ska följa en föreskrift som inte är fritt tillgänglig vare sig för myndigheten eller för exempelvis medborgare som vill kunna ha insyn i myndighetens arbete.
Att inte kunna sprida innehållet i en av grundförutsättningarna för myndighetens arbete försvårar naturligtvis kommunikationen.
Ytterligare ett problem är att en myndighet med föreskriftsrätt föreskriver andra myndigheter att följa regler som man själv inte har kontroll över och dessutom snabbt kan göra föreskriften obsolet när de ändras.
Tyvärr följde detta krav med när föreskriften uppdaterades i form av krav på ISO/IEC 27001:2014 och ISO/IEC 27002:2014 ska ”beaktas”.
I dagarna har jag fått tips om ett beslut i Högsta domstolen (tack Carl-Arne!)
som ger mig stöd i min .
Här skrivs explicit: En grundläggande del av legalitetsprincipen får därför anses vara att författningar ska finnas tillgängliga för var och en i läsbar form utan något krav på betalning, och att detta gäller också för en standard som det hänvisas till i en författning.
Att myndigheten kostnadsfritt kan informera om vad som står i standarden anses inte upphäva denna bedömning.
Med Högsta domstolens beslut, om det befinns tillämpligt även i detta sammanhang, finns nu en möjlighet att utveckla den nationella styrningen så att den blir mer transparent och tillgänglig för alla.
För att förena episteme och techne (och förhoppningsvis uppnå fronesis) så behöver professionen sina metoder.
Metoderna är i kunskapssamhället professionens verktyg och det som utgör grunden för en intern gemenskap och en extern uppfattning om vad en medlem i professionen kan utföra.
I detta sammanhang kommer jag att använda begreppet ”metod” som ett systematiskt och enhetligt sätt att utföra en viss aktivitet med ett beskrivet önskat resultat.
I teorin finns också ett antal metoder inom informationssäkerhetsområdet som riskanalys, informationsklassning, incident- och kontinuitetshantering.
Ledningssystem a´ la ISO 27000 kan också ses som en metametod där ovanstående metoder ingår som komponenter.
Frågan är dock hur väl metoderna uppfyller kraven på att vara systematiska, enhetliga och ha beskrivet önskat resultat.
Att metoderna är utvärderade och därmed sägas vara effektiva sedda till sitt syfte bör vara ytterligare ett krav för att de ska sägas fungera.
Förutom införandet av ledningssystem är sannolikt informationsklassning den mest upplyfta metoden för att uppnå bättre informationssäkerhet.
För att göra en snabb bedömning av metoder känns det därför ganska rimligt att titta litet närmare på klassningen så som den beskrivs.
Här har jag ett underlag på divergerande åsikter som uppstod när jag arbetade på MSB och dristade mig till att fram ett förslag på vägledning för informationsklassning.
Den informella remissen ledde till att det ramlade in en mängd svar från informationssäkerhetsmänniskor i framför allt myndigheter.
Jag planerar att använda dessa svar för en litet utförligare analys vid ett senare tillfälle – nu räcker det att säga att synpunkterna gick i alla riktningar och att alla var lika övertygade om att det sättet de uppfattade saken var det enda rätta.
Inte ens var man överens om det skulle heta ”klassning” eller ”klassificering”, ännu mindre om huruvida det är information eller system som ska klassas.
En litet märklig upplevelse vid genomläsningen var att själva syftet med informationsklassningen framstod som så odefinierat i ett antal av svaren, framför allt då man hade invändningar mot att jag i vägledningen beskrivit att informationsklassningen som metod också måste innehålla skyddsnivåer.
Lika fången som andra av min egen tankegång så har jag alltid föreställt mig det som meningslöst att klassa information om det inte leder till konkreta skyddsåtgärder.
Detta var dock inte en uppfattning som delades av alla.
Jag svävar fortfarande i ovisshet om vad då klassningen tjänar till och det är en av de många frågor som jag tycker det vore ytterst intressant att diskutera.
I paradgrenen informationsklassning saknas det alltså enhetlighet samt systematik.
Den bristande systematiken ligger bland annat i att klassningen som aktivitet inte har ett givet samband med andra aktiviteter som exempelvis riskanalys och inte heller beskrivs som en process vars resultat regelbundet utvärderas.
I vägledningen skrev jag till exempel djärvt att klassning ska ses som en form av risk- alternativt konsekvensanalys men fick mycket starkt mothugg mot detta och hur då det systematiska sambandet mellan riskanalysen och klassningen ser ut för dessa skribenter är fortfarande oklart för mig.
Det mest slående i svaren var att ofta saknades argument eller teori för den åsikt man förfäktade.
Istället var det redovisande av hur man själv i praktiken genomför sina klassningar eller, mest återkommande, hänvisningar till hur man tolkat ISO 27000.
Här ligger en viss ironi eftersom en del svar rörande klassningen där man hänvisar till standarden faktiskt går emot vad standarden säger, som när man hävdar att det system som ska klassas samtidigt som standarden uttryckligen säger att det är information.
Mycket av det som kan sägas om informationsklassning kan sägas också om ledningssystem som metod.
Förutom att syftet och genomförandet saknar enhetlighet är båda metoderna synnerligen icke utvärderade.
Jag under senare tid plöjt en hel del av den litteratur som finns på området och har ännu inte hittat några studier som exempelvis utvärderar olika metoder för informationsklassning, ej heller av om ledningssystem på det sätt som standarden föreskriver är ett effektivt sätt att styra informationssäkerhet i en organisation.
Och här måste jag gå in på helig mark och framföra ståndpunkten att ISO 27000, som gett mig så mycket stöd genom åren som yrkesverksam, inte så sällan snarare är ett hinder än en hjälp.
Eller, rättare sagt, vårt användande av standarden som en ersättning för utvärderade metoder utgör ett hinder för oss att bli mer professionella.
ISO 27000 definierar ett område som jag skulle vilja kalla organisatorisk styrning men innehåller ingenting om hur olika aktiviteter ska utföras, och är alltså ingen metod.
Som jag skrev inledningsvis skulle man kunna sträcka det till att standarden översiktligt beskriver en metametod men överlämnar till oss praktiserande att ta fram de konkreta, enhetliga, systematiska och utvärderade metoderna.
Denna metametod börjar kanske också bli litet anfrätt av tiden med sin inriktning på styrning av informationssäkerhet i organisation när information i allt högre grad flödar över organisationsgränser.
ISO 27000 har i många fall blivit en ersättning för metoder vilket vi måste erkänna för att komma vidare.
Istället för att i övermåttan peka på standarden som en bibel måste vi ta uppgiften med metodutveckling på allvar och skapa en gemensam plattform som uppfyller kraven på enhetlighet och systematik.

Har den här åtgärden en säkerhetshöjande effekt som står i paritet med den kostnad och krångel som den orsakar verksamheten?
Är den här åtgärden verkligen avpassad till och tar hänsyn till verksamhetens egentliga behov av säkerhet?
Indirekt: vet jag som vill lansera den tillräckligt mycket om verksamhetens behov för att kunna avgöra det?
Kommer den här åtgärden verkligen att fungera i praktiken eller är den en ren pappersprodukt?
Och kommer den även att fungera över tid, t.ex.
när konsulten lämnat skeppet?
Finns det verkligen inte ett effektivare sätt att reducera risken till en acceptabel nivå?
Ta fram en grundmodell för informationsklassning inklusive skyddsnivåer.
Observera att skyddsnivåerna är den stora tunga uppgiften som kommer att kräva långsiktig förvaltning men som kan användas även andra organisationer t.ex.
som stöd för att efterleva NIS-direktivet.
Ta fram en certifieringsinstitution där leverantörer kan certifiera sina tjänster och system på olika skyddsnivåer.
Ta fram ett antal standardprocesser utifrån de obligatoriska uppdragen Identifiera informationen i dessa processer.
Ge stöd för att kartlägga vilka bärare som används för att hantera informationen.
Observera att det inte enbart gäller system och tjänster utan även andra bärare.
Ge förslag på en standardklassning av informationsmängderna.
Med detta som utgångspunkt kan ut skyddsnivåerna plockas fram krav både på den egna verksamheten, egen it och på externa leverantörer av tjänster.
Såsom beskrivet i skrivelsen Nationell strategi för samhällets informations- och cybersäkerhet (Skr.
2016/17:213, Justitiedepartementet) där definitionen är ”informationssäkerhet som avser digital information”.
För att inte riskera en snäv tolkning som att det enbart omfattar it- och nätverkssäkerhet anser MSB att cybersäkerhet i detta sammanhang avser säkerhetsåtgärder på samhällelig strategisk nivå, främst reglerande och samordnade åtgärder, som behövs så att samhällets aktörer kan bedrivapå organisatorisk nivå, främst för information som hanteras digitalt.
Såsom beskrivet i Sveriges inlaga till FN:s generalförsamling att cybersäkerhet tydligare beskriver de skyddsåtgärder som innefattar konfidentialitet, tillgänglighet och riktighet för att inte blandas samman med den betydelse av informationssäkerhet som används av vissa länder eller organisationer som en del av en doktrin där synen att informationsinnehållet som sådant är ett hot.
I de fall MSB har samverkan med andra organisationer (såsom EU, NATO och FN) kan viss annan betydelse av cybersäkerhet förekomma, utefter de samverkande organisationernas definition av begreppet.

bred vad hur.

En profession behöver metoder

MENU MENU Postat av Rekommendationerna hänvisar inte till några allmänna standard er eller Postad i , , , Tagged , , , , , , , Postat av Postad i , , , Tagged , , , , , , , Postat av Postad i , , , , Tagged , , , , , Postat av Postad i , , , , Tagged , , , , , , postat av Postad i , , Tagged , , , , , Postat av Postad i , , , Tagged , , , postat av Postad i , , , , Tagged , , , , , , Sök efter:

Statlig förvaltningspolitik för 2020-talet Begrepp med definitioner för cyber

Tre rapporter rörande obligatorisk incidentrapportering har kommit sedan årsskiftet: två från MSB och en från IMY (Integritetsskyddsmyndigheten).
Spännande läsning men säger rapporterna något väsentligt som jag kan dra nytta av i mitt säkerhetsarbete?
Under senare år har det nationella och även europeiska säkerhetsarbetet präglats av en klockarkärlek till obligatorisk inrapportering av incidenter.
Själv känner jag mig mer ambivalent.
Å ena sidan kan det tyckas som en självklarhet att det ska finnas en nationell lägesbild över vad som händer både för det akuta läget men även för att dra nytta av erfarenheterna som det brukar heta.
Å andra sidan är incidentrapportering en aktivitet som rusar i komplexitet när man bara börjar skrapa på ytan, det räcker att försöka rigga en fungerande process i den egna organisationen för att inse det.
Se bara den enkla processbeskrivning jag tagit fram som stöd för den enskilda organsiationer: Tyvärr måste jag medge att jag inte är alldeles övertygad om att kvantitativa insamlingar av något så komplext som incidenter är det bästa sättet att bringa klarhet i vilka verksamhetsstörningar och andra typer av realiserade hot som kan kopplas till it-incidenter (vilket är det som MSB och NIS-direktivet fokuserar på).
Förutom att det tynger de inrapporterande verksamheterna i kritiska faser undrar jag generellt om kvaliteten på rapporteringen och vilken säkerhetshöjande effekt den har.
Generellt är det ett problem att det saknas systematik i det nationella säkerhetsarbetet.
I myndigheter, kommuner, regioner och företag försöker vi få till en PDCA-snurra med ett tydligt C men i de nationella satsningarna för att stödja säkerhetsarbetet tycks inte utvärdering ses som ett nödvändigt steg.
För att ta ett par exempel så har jag frågat MSB om vilken utvärdering som skett av det s.k.
Metodstödet som ligger ute Informationssäkerhet.se och vilken säkerhetshöjande effekt det haft samt ställt samma typ av fråga till SKR angående KLASSA.
I båda fallen var svaret att man inte genomfört någon utvärdering och några planer i den riktningen nämndes inte heller.
Det finns en risk att mycket blir vad jag brukar kalla ”religiös säkerhet”, d.v.s.
åtgärder som vidtas i god tro men där det krävs just tro istället för evidens för att se resultaten.
Ofta handlar det om det som jag redan skrivit om som Graeberskt: när arbetet stannar vid dokument som skrivs, mallar som fylls i, enkäter som besvaras och engångsutbildningar som inte leder till någon djupare kunskap.
När en kommun glatt skriver om att deras styrande dokument blivit ”godkända” av tillsynsmyndigheten men att man inte tittat på hur det faktiskt ser ut i verkligheten tycker jag mig leva i Graebers värld av BS jobs.
Det finns en risk att nationell incidentrapportering blivit så populär just för att den kan röra sig i denna värld.
Vad kommer man då fram till i rapporterna?
För att få litet grepp om frågan har jag gjort en sammanställning av 2020 års inrapporterade incidenter: Jag ska nu framföra den något inopportuna åsikten att det dokumenteras för litet i organisationerna.
Inopportun eftersom vi fortfarande lever i en tid med oändlig övertro på fragmentiserade mätvärden, checklistor, matriser och inkodande, väl skildrat .
Huvudsak blir bisak och frågan är allt oftare för vems skull allt detta registrerande sker, kanske inte för patienten eller eleven utan för att försörja något multinationellt företags omätliga begär efter data?
Det är inte denna typ av dokumentation jag skriver om här utan snarare när matriser ersätter resonemang och utvecklade bedömningar.
För att ta informationssäkerhetsområdet som ett exempel ser jag som regel snarare än undantag informationsklassningar och riskanalyser vars värde kan ifrågasättas, särskilt i det längre perspektivet.
Det som återstår efter timmar av nedlagd arbetstid och noggrann analys är alltför ofta en matris eller ett excel-ark utan förklaringar.
Deltagare eller roller som ingått framgår inte och inte heller hur resultatet ska hanteras.
Men mest saknas på vilka grunder bedömningen gjorts.
Att arbeta på det här sättet är som att skriva i vatten.
Skrivandet, när det sker på ett beständigt sätt, är i sig ett stöd för tanken.
Medan man skriver formulerar man sina tankar, utvecklar och förtydligar, hittar svagheter, gör synteser och lägger grunden för kommunikation.
Man skapar förutsättningar för en diskussion som vaskar fram de bästa praktiska lösningarna.
Både informationsklassningar och riskanalyser ska naturligtvis ske återkommande.
En väl dokumenterad tidigare klassning eller riskanalys är ovärderligt stöd då proceduren ska upprepas.
Istället för att börja från noll kan man gå igenom vilka faktorer som kvarstår eller ändrats, om man fått fördjupad kunskap som påverkar bedömningarna, om åtgärder vidtagits som påverkar risken eller om lagstiftning tillkommit för att ta några exempel.
Utan bra dokumentation kommer inte ens de som deltagit i den förra övningen hur diskussionen gick, än mindre de som kommer till.
Att det organisatoriska minnet skapar effektivitet är en sak.
Ytterligare en är att dokumentationens syfte inte enbart är att kommunicera utan det är också ett sätt att aggregera kunskap inte bara i enstaka situationer utan genom att skapa ett större kunskapsunderlag som kan återanvändas i nya situationer.
Detta bör även ses som en del i organisationens generella riskarbete.
Det skrivna ordet är vår kapsel för kunskap vilket även går att översätta till mänsklighetens utveckling.
Låt mig ta ett sista argument för bättre dokumentation och organisatoriskt minne, nämligen att det är verktyg för att skapa ett sammanhang för de som arbetar i organisationen.
En fullödig dokumentation lägger fram de rationella skälen till gjorda bedömningar och motiverar i förlängningen säkerhetsåtgärder.
Detta leder till en positiv säkerhetskultur kan växa fram där det är naturligt att samtala om säkerhet och där det är tillåtet att ifrågasätta säkerhetsbedömningar.
Den som arbetar med säkerhet behöver inte känna sig pressad och defensiv när någon frågar varför ett visst tillvägagångssätt ska tillämpas eftersom det finns mer än siffra att bygga sin motiverande argumentation på.
KASAM, känslan av sammanhang, var ett begrepp som myntades av sociologen Se alltså detta inlägg som en plädering för att skriva bättre och läsa mer.
Den som känner sig osäker i sitt skrivande måste få öva, öva, öva och att skriva bra bör uppvärderas och ses som en omistlig kompetens för den som arbetar mehar grubblat en hel del över den falske officeren som i hägn av den svenska försvarsmakten lyckades ta sig ända in i . Som en bakgrund kan sägas att jag aldrig arbetat inom Försvarsmakten men varit i nära kontakt med representanter för myndigheten i olika sammanhang, inte minst då jag arbetade på MSB.
Dessutom gav utbildningen till signalskyddschef som jag genomgick för många år sedan en inblick i Försvarsmaktens syn på säkerhet.
Tillåt mig att framföra några obekväma iakttagelser som helt baserar sig på uppgifter i media.
Min egen upplevelse har varit att representanter från Försvarsmakten har självbilden att säkerheten i denna verksamhet är mycket bättre både vad gäller omfattning och kvalitet än den som den civila världen lyckas leverera.
Denna bild förefaller som så självklar att den aldrig ens diskuteras och påverkar även verksamheter utanför Försvarsmakten.
Det går ofta så långt att man vill exportera de säkerhetslösningar som tillämpas inom försvaret till andra delar av samhället.
Själv har jag ofta reflekterat över huruvida Försvarsmaktens (och säkerhetsskyddets) lösningar verkligen är ”bättre” än civila respektive kommersiella dito samt om de över huvud taget är möjliga att implementera i en mindre styrd miljö än Försvarsmaktens.
Skillnaderna mellan mål, organisation, kultur och teknik är så i grunden olika varandra att jag betvivlar att en rak export från Försvarsmakten är vare sig möjlig eller önskvärd.
Tvivlet har förstärkts av den attityd som kan finnas hos de som kommer från det gröna hållet, en viss överlägsenhet och ovilja att ta till sig att andra mål och medel är centrala i det civila livet.
Vid ett antal anställningsprocesser har jag också varit med om att militärer ansett sig lämpade som informationssäkerhetsspecialister i det civila trots att de saknat erfarenhet både från den rekryterande verksamhetens bransch och av informationssäkerheten.
Att ha jobbat i Försvarsmakten har varit en tillräcklig merit för dessa sökande.
Eftersom min grundprincip för säkerhetsarbete är att säkerheten måste anpassas till de unika förutsättningar som råder i varje organisation har denna inställning förefallit missriktad för den som vill förbättra säkerheten.
Det behöver kanske inte tilläggas att representanter för den hållningen inte skapar förutsättningar för en givande diskussion med respekt från båda håll.
Vart vill jag då komma med dessa anekdotiska grundade beskyllningar sammanförda med skandalincidenten den falska officeren?
En del är min egen förundran över att en verksamhet med ovanstående rykte och självbild som ”säkerhetsexperter” hamnat i en säkerhetsskandal som enligt min mening faktiskt slår den i Transportstyrelsen.
Här har man gett en uppenbart opålitlig person fått en säkerhetsklassad tjänst på Must, fått samordna signalskyddstjänsten och haft tillgång till !
Därefter har utlandstjänster med mera följt, också dessa tjänster med reella möjligheter att åstadkomma stor skada.
Slutligen blev han även en av Kustbevakningens kontaktpersoner för den ryska säkerhetstjänsten .
Sammantaget en karriär med potentiell tillgång till mycket känslig information under ett par decennier.
Lustigt nog förekommer samma kommentarer från Försvarsmakten och Must som från Transportstyrelsen där man vill reducera allvaret i händelsen genom att hävda att inget tyder på att någon skada är skedd.
Dessutom sägs att rutinerna för säkerhetskontroller skärpts de senaste tio åren.
Båda dessa defensiva kommentarer är problematiska menar jag.
Det förefaller svårt att på någon månad grundligt reda ut eventuella skadeverkningar av ett bedrägeri som vad jag förstår av media pågått i ett par decennier och dessutom i mycket känslig verksamhet.
Sakförhållanden borde föranleda en mycket större utredning med tanke på hur länge han varit där och hur kort tid som Försvarsmakten känt till förhållandena.
För mig som okunnig utomstående borde bara vetskapen om de insiderjobb Wennerström och Bergling genomförde framkalla frossa och en oerhörd iver att verkligen ta reda på vad som hänt.
Kanske sker också detta i det tysta men den till synes obekymrade hållningen i media inger inte förtroende.
Argumentet att säkerhetskontrollerna blivit så mycket bättre på senare år motsägs av att bedragaren under just de senaste åren manövrerat sig mellan olika känsliga positioner ända fram till Nato.
Det tyder inte på att noggranna kontroller gjorts.
Att verifiera de uppgifter en sökande lämnar vid ansökningsförfarandet uppfattar jag ändå som en slags basnivå.
I min okunnighet förfaller det som en relativt enkel uppgift när det gäller officerstjänster.
Den aktuella bedragaren hade ljugit om akademiska studier vilket är en sak.
En annan att han uppgivit att han genomfört officersutbildning vilket är en lögn som är mycket svårare att förstå att han lyckades slå i sina arbetsgivare.
När ett företag eller myndigheter ska anställa finns det ofta bokstavligen hundratals möjliga studiemeriter med utländska universitet inräknade.
Försvarsmakten har däremot en potentiell totalkoll på inflödet till officerstjänster, de kontrollerar ju den enda möjliga meriten.
Det finns mig veterligen inga alternativa eller privata officersutbildningar.
Att då någon ändå slipper igenom är högst förvånande.
När falska läkare avslöjas går det snabbt att kontrollera mot Socialstyrelsens förteckning över vilka som är legitimerade.
Då finns det ändå c.a.
jämfört med c.a.
vilket borde vara litet enklare att hålla reda på.
På sociala medier har jag fått upplysningen av mer insatta i branschen att det här sannolikt är ett fall av vad som kallas ”bäste bror”.
Jag tolkar det som en kåranda där man av rädsla att uppfattas som ifrågasättande av en officerskollegas kompetens eller heder underlåter att genomföra de rutinkontroller som beslutats.
Kanske känns det pinsamt att fråga någon som man borde känna utan och innan vad de egentligen har för formella meriter.
I en så liten yrkesgrupp som 9000 officerare kan naturligtvis en sådan tendens förstärkas.
Det känns inte som detta är förklaringen till varför Försvarsmakten inte reagerade när det fick uppgifterna från Kustbevakningen om de fynd myndigheten gjort angående ”officerens” meriter.
Det är bara obegripligt för en utomstående att den informationen inte ledde till omedelbara åtgärder.
Faktiskt känns det som det hela kunna fortgå än om inte Dagens Nyheter uppmärksammat det hela och ställt de frågor som fortfarande i stort är .
Vad kan vi lära av detta när det gäller säkerhet i allmänhet, förutom att pressen gör ett viktigt renhållningsarbete när myndigheterna själva inte klarar av det?
Min första tanke är hur svårt det är att få till en fungerande säkerhet.
Även om säkerhetsarbete alltför ofta framställs som enkelt att genomföra bara man följer de rätta ”mallarna” känner jag och troligen många andra som arbetat i praktiken en stor ödmjukhet inför uppgiften.
Det är så mycket som inte står i manualerna, det är så många procedurer som ska fungera, det är så många människor som ska tänka, känna och göra rätt.
Och det räcker inte att det fungerar en gång, det ska fungera åt efter år.
I det aktuella fallet är det ju de i allmänhet så hånade ”medarbetarna” som slarvat utan de som gjort säkerhetskontrollerna (eller borde ha gjort) måste ju vara människor med utpekat säkerhetsansvar.
Även detta kan jag på någon nivå förstå, att det känns fånigt och pinsamt att be någon man kanske jobbat ihop med länge presentera formella meriter och sedan dessutom kontrollera dessa merithandlingar som är utfärdade av i princip den egna arbetsgivaren.
En hel del säkerhetsarbete är ”going through the motions”, att man utan större engagemang utför repetitiva kontroller och hur frestande är det då inte att gena litet grann.
Den uthållighet som krävs här underskattas ofta.
Det är (relativt) lätt att besluta som säkerhetsregler men det blir en stor säkerhetsrisk om de regler som beslutats av olika anledningar inte tillämpas.
Orsakerna till att reglerna inte efterlevs är många, vi behöver inte gå in på dem alla, här vill jag bara peka på den situation som kan uppstå när alla låtsas som att reglerna fungerar fast alla egentligen vet att det fuskas.
En sådan säkerhetsmässig potemkinkuliss är en större risk anser jag än en beslutad lägre säkerhetsnivå som faktiskt fungerar.
Nu menar jag inte att det i det aktuella fallet fanns ett alternativ utan detta är mer en reflektion efter de senaste årens säkerhetshausse där många organisationer har beslut och styrande dokument som anvisar säkerhetsåtgärder som det i realiteten finns ambition att införa.
Kort sagt: verklig säkerhet trumfar fantasier!
För mig som arbetar med säkerhet är det en viktig uppgift att i dialog med ledningen för den aktuella organisationen bedöma vilken säkerhet som går att införa och vilka risker som olika alternativ innebär.
Det sämsta alternativet är när ledningen har uppfattningen att allt är hunky dory och att organisationen har en väl fungerande säkerhet medan verkligheten är en helt annan.
En sådan ledning kan ha mycket svårt att hantera situationer där stora brister uppdagas eftersom det strider helt mot deras verklighetsuppfattning.
Hypotetiskt skulle man kunna tänka sig hur svårt det var för Försvarsmaktens ledning att ta in att man huserat en bedragare i det allra känsligaste i ett par decennium utan att detta upptäckts.
Lika hypotetiskt kan man då förstå att detta kan leda till beslutsångest och oförmåga att agera trots att korten ligger på borden, som när Försvarsmakten fick information av Kustbevakningen och inte tycktes kunna hantera den.
Jag tror helt enkelt att det är farligt att vara alltför övertygad om att man per definition är bra på säkerhet.
Att vara bra på säkerhet är att ständigt ompröva och vara medveten om alla brister som hela tiden finns oavsett vilka insatser som görs.
Ytterligare en tankeställare ligger i att skandalen inte skulle ha upptäckts om inte DN lagt ner omfattande insatser på att gräva och gräva.
Att seriösa media är en förutsättning för icke-korrupta myndigheter är en slutsats man kan dra, en annan att det saknas interna funktioner som säkerställer compliance på ett effektivt sätt.
Det är inte så att jag vill måla f-n på väggen men jag tror att rätt många nu grubblar hur många andra som kunnat slinka in i systemet om kontrollerna är så obefintliga.
Nu har vi ett exempel på hur illa det kan gå.
Det bästa vi kan göra med det exemplet att återkommande hålla upp det framför oss och ställa frågan: kan det hända även här?
Och sedan försöka svara ärligt på det.
Tillägg 2020-02-05: Nu visar det sig att anställda själva kunnat lägga in sin meriter hos Försvarsmakten utan att kontroll skett hos .
Ganska häpnadsväckande.
Teknikhistoria är ett fascinerande ämne som jag ägnat mycket intresse genom åren och då alldeles särskilt samspelet mellan teknik, samhällsutveckling och ekonomi.
Frågor som varför vissa tekniska uppfinningar blir innovationer medan andra inte gör det och de institutionella förutsättningar som gör att teknik leder till positiv samhällsutveckling är ganska grundligt beforskade.
En underbar populärvetenskaplig bok på detta tema är Wolfgang Schivelbuschs som jag rekommenderar alla som vill skapa sig en hälsosam distans till det utmattande nuet.
Det är med denna bakgrund som den svenska förvaltningens digitalisering ständigt förvånar mig eftersom dess genomförande tycks strida mot det som framkommit som framgångsfaktorer för införande av ny teknik.
Istället för att bygga gemensam infrastruktur och institutionella förutsättningar har svenska myndigheter och regioner/landsting ägnat sin energi åt någon slags känslomässig påverkan.
Vad är då budskapet i denna känslomässiga kommunikation?
Så här ser de mest förekommande implicita och explicita budskap ut.
Det övergripande budskapet att det finns ett stort antal ludditer som är passionerat motverkar digitalisering och som måste övertygas om att digitalisering är BRA.
Efter noggrant begrundande kan jag inte erinra mig en enda person som varit emot digitalisering, däremot många som varit emot dålig digitalisering.
Det hindrar inte att det förekommer en ständig underström av halmdockor (läs mer om det klassiska fula argumentationsfelet ) när digitalisering diskuteras.
Dessa figurer som med lock och pock måste forceras att överge papper och penna är del i en ganska bra härskarteknik eftersom den som låtsas som att dessa finns då själv framstår som en ljusbringare som står för det ”moderna”.
Och det är något som i svenska sammanhang vördas så är det det moderna, så har det varit sedan 1800-talet, oavsett vad moderniteten stått för.
Det uppenbart ologiska i att hävda att populasen är teknikfientliga bakåtsträvare på jobbet eller när de ska använda offentliga e-tjänster när de samtidigt på sin fritid har olika kommersiella e-tjänster som sina närmaste livskamrater tycks inte störa.
Nästa centrala budskap är att digitalisering per definition är bra vilket leder till den underförstådda tesen att digitalisering är bra.
Som följd av detta görs ingen skillnad mellan bra och dålig digitalisering trots att alla känner till minst fem misslyckade digitaliseringsprojekt i sin närhet.
Att det inte får finnas dåliga digitaliseringsprojekt till en dubbelriktad kultur av icke-existerande uppföljning och erfarenhetsåtervinning; eftersom det inte görs någon uppföljning kan dålig digitalisering inte påvisas.
Jag tittar in på webbplatserna för två centrala aktörer för den offentliga sektorns digitalisering, eSam och SKL, för att se hur man hanterar utvärderingsfrågan.
eSam har gett ut ett antal vägledningar och metodbeskrivningar för digital samverkan (a.k.a.
ta fram digitala lösningar) i alla möjliga skärningar men vad jag kan se har inte uppföljning och utvärdering förlänats något eget metodstöd.
I den 84-sidiga för behovsdriven utveckling finns visserligen dessa rader med: Efter varje införande bör det genomföras en utvärdering för att ta vara på erfarenheter om vad som gick bra respektive mindre bra i behovsinsamling, planering, metodval, samarbete samt hur resultaten mottogs.
Infriade tjänsten de förhoppningar verksamheten och målgruppen tänkt sig?
men i ett systematiskt arbete förväntar man sig ett något större intresse för frågan.
SKL, som får ses som ett epicentrum för den vingliga offentliga digitaliseringen, förvånar mig positivt genom att erbjuda verktyg för uppföljning exempelvis och så kallade LIKA-värderingar som den för socialtjänst.
Tyvärr visar sig dessa undersökningar vara mognadsundersökningar av i vilken omfattning man lyckats digitalisera, d.v.s.
det handlar inte om att utvärdera hur väl digitaliseringen fungerar.
Ointresset för utvärdering är paradoxalt sett i ljuset av att digilisatörerna gärna vill tala om digitalt ledarskap och vikten av styrning samt nyttorealisering (nej, det är ingen idé ni går till den vägledningen för nyttorealisering för den innehåller inget substantiellt om uppföljning).
För att kunna leda, styra och nyttorealisera i verklig bemärkelse måste man arbeta systematiskt med att utvärdera gjorda satsningar ur ett antal aspekter som ekonomi och effektivitet.
Förhållningssättet att arbeta utan systematik är menar jag en av de mest grundläggande orsakerna till att det offentliga Sveriges digitalisering inte alls når den nivå som skulle kunna förväntas med tanke på de investeringar som gjorts.
Att den svenska digitaliseringen kraftigt underpresterar är ett faktum som det nu tycks råda konsensus om även från internationella bedömare som OECD.
Orsakerna till detta borde vara synnerligen intressanta att identifiera och då inte bara genom att komma dragande med gamla kära bortförklaringar som att juridiken inte är anpassad till digitaliseringen.
Kraften i det argumentet är ju inte heller så övertygande då till exempelvis sjukvårdshuvudmän och vårdgivare högaktningsfullt struntar i viss lagstiftning som man finner obekväm.
Det går inte att argumentera för digitalisering med rationella argument, tråkiga och genomarbetade analyser eller krassa ekonomiska beräkningar.
Istället sker kommunikationen med ett överflöd av uttalande av den här typen: Eftersom dessa uttalande inte går att vare sig be- eller vederlägga befinner vi oss i en situation där ledande aktörer inom digitaliseringsetablissemanget ständigt vädjar till våra känslor istället för att föra en dialog grundad i sakfrågor.
Här uppstår tror jag den olyckliga pepp-cirkelargumentationen där utomstående inte kan delta eftersom ramen för deltagandet är satt; bara de som accepterar pepp-läget kan ingå, de som efterfrågar rationalitet, siffror och nytta uppfattas som fientligt inställda och görs mer eller mindre förfinat till icke-deltagare och i värsta fall till halmdockan ”motståndare till digitalisering”.
Att det finns ett digitaliseringsetablissemang (precis som det finns ett informationssäkerhetsetablissemang) som har mycket att försvara blir ganska uppenbart vid minsta lilla glutt in på LinkedIn.
Det vore kul att se ett sociogram över det ganska begränsade antal människor som genom åren konfererat med varandra, gett varandra komplimanger, titlar, priser och positioner.
Man har skapar myndigheter, kommittéer, kommissioner och råd för att underlätta digitaliseringen, oundgängliga roller som regeringens CDO och kommunala digitaliseringsstrateger och peppat varandra på karnevaler och festivaler (det sista var kanske en liten överdrift…).
Digitaliseringen har beskrivits som det största tekniksprånget i historien (jag skulle nog snarare hävda ångmaskinen eller elektriciteten) och som lösningen på flertalet svåra samhällsproblem.
Den arma fackutbildade personalen i välfärdssektorn har fått finna sig att bli mästrade av allehanda ”evangelister” utan definierad kompetens givits utrymme att predika.
Helt olika räknesätt har tillämpats i de kommunala ekonomierna där lärplattformar för bortåt en halv miljard kunnat prioriteras samtidigt med kraftiga nedskärningar på personalen.
Under senare tid har jag alltmer kommit att grubbla över hur den privata sektorn kunnat genomföra sin digitalisering utan detta etablissemang och överbyggnad.
Jag tror att det är dags för ett paradigmskifte inom den offentliga digitaliseringen i Sverige.
Det är inte fel på förutsättningar, ekonomi eller teknik i första hand utan på den metafysik som omger digitaliseringssträvandena, alltså de föreställningar som finns om digitaliseringen och det sammanhang som de digitala lösningarna ska fungera i. Som samhällsmedborgare skulle jag önska att digitaliseringsetablissemanget tar ett steg tillbaka och med viss självkritik granskar sina argument för att kunna börja tillämpa mer kvalitativ och effektiva arbetssätt.
Det vill säga mindre marknadsföring och mera hantverk, mindre känslor och mera strukturellt tänkande, färre halmdockor och fler verkliga läkare och lärare, färre evangelister och flera ingenjörer i vid bemärkelse, mindre digitala lösningar i sig och mer intresse för de resultat som digitaliseringen ger.
Framför allt önskar jag viljan och förmågan till ett normalt kritiskt förhållningssätt till digitalisering.
Ett stöd för denna typ av reflektioner kan vara följande över vanliga villfarelser.
Särskilt rekommenderar jag närstudier av följande bias: sunk cost fallacy, dunning kruger effect, back fire effect, self serving bias och group think.
Jag har tidigare skrivit om att jag ser kommunikation som det centrala verktyget it och kanske det tydligast inte funkar.
Det här inlägger kommer att ytligt behandla om några aspekter av det vittomfattande ämnet, nämligen förutsättningar och förförståelse, innehåll och form.
Att kommunikationen inom informationssäkerhetsområdet har jag redan försökt beskriva i ett tidigare inlägg.
Det saknas arenor och samtalsformer för att utveckla kunskap och samsyn.
Det språkbruk och de metaforer som uppstår i denna dysfunktionella kultur gör även att vår kommunikation inte fungerar i samspelet med de vi vill engagera.
Ofta framstår både vi själva och det vi säger uppfattas som ovidkommande, auktoritärt, svårbegripligt och alarmistiskt (källa: de många verksamhetsföreträdare jag samverkat med under ett par decennier).
Själv uppfattar jag kommunikationen i informationssäkerhetsfrågor ibland som direkt vilseledande för civila organisationer.
Ett exempel är den nednötta metaforen om att skydda sina guldägg.
Den underförstådda tanken är att alla organisationer har avgränsade informationsmängder eller hård/mjukvara som ska skyddas mot främst obehörig åtkomst (?)
framför alla andra.
Detta menar jag är en feltolkning av hur dagens informations- och it-infrastrukturer fungerar där det snarare handlar om komplexa samband där olika men i många fall lika viktiga krav ställs på olika delar för att helheten ska fungera.
För att ta ett exempel från verkligheten så är det i en kommunal verksamhet meningslöst att försöka peka ut vad som skulle vara ”guldägg”.
I den kommunala äldreomsorgen bör det ställas mycket höga krav på tillgänglighet i trygghetslarmen, lika höga krav på riktighet och spårbarhet i journaldokumentationen och mycket höga krav på konfidentialitet i alla delar.
För den ekonomiska redovisningen kommer peakar i tillgänglighetskraven vid vissa perioder under bokföringsåret.
Jag kan fortsätta uppräkningen med att peka på PuL, algoritmer, webbplatser m.m., m.m.
men det enda jag vill komma fram till är att jakten på ”guldägg” leder tanken och därmed kommunikationen helt fel.
Andra vanliga påståenden på konferenser och i marknadsföring är att medarbetarna skulle vara det största problemet.
Detta påstående saknar belägg och den organisation som skulle se medarbetarna som den största risken tror jag får anledning att snabbt göra en förnyad riskanalys.
Den som tycker att ovanstående kan ses som bagateller behöver sannolikt mer övergripande argumentation om den problematiska kommunikationen.
Låt oss se ett grundscenario som både gäller i den enskilda organisationen och på ett nationellt plan.
Å ena sidan finns informationssäkerhetsexperterna som ser generella risker och som har organisatoriska och tekniska metoder för att reducera dessa risker (i alla fall hypotetiskt).
Å andra sidan finns det organisationer för vilka informationen är en resurs för verksamhetens olika processer.
Det är de senare som har den faktiska möjligheten och resurserna att genomföra informationssäkerhetsåtgärder.
För att uppnå fungerande informationssäkerhet krävs insatser från båda parter.
Enda sättet att skapa en sådan gynnsam situation är god kommunikation, den goda kommunikation som jag menar ofta saknas.
Resultatet blir alltför ofta att verksamhet och informationssäkerhet samexisterar som olja och vatten.
Trots att det är verksamheten som har behov av informationssäkerhet för att kunna leverera talar informationssäkerhetsspecialisten för döva öron.
Ett aktuellt exempel på hur det kan gå är när eHälsomyndigheten, som objektivt sett är en av de svenska organisationer som har mest behov av god informationssäkerhet, levererar två om framtiden och överhuvudtaget inte analyserar behovet av just informationssäkerhet .
Jag kommer återkomma till detta i ett senare inlägg.
Sammantaget är min erfarenhet som statlig tjänsteman som försökt förbättra informationssäkerheten inom e-förvaltning och e-hälsa att försöket mötts med en ganska avsevärd brist på förståelse från båda lägren.
De som arbetar med informationssäkerhet nationellt har haft begränsat intresse av och insikt om behovet av informationssäkerhet i verksamheter som är utpräglat civila.
De som arbetar med digitalisering i förvaltning och sjukvård har med två undantag sagt typ: ”jaja, det är säkert viktigt med säkerhet men det tar vi sedan när vi realiserat våra lösningar – säkerhet innebär ju bara en massa krångel som kan leda till att vi inte kan genomföra det vi vill.” Förutsättningen för kommunikationen är alltså en ömsesidig misstro som måste överbryggas.
Behovet av informationssäkerhet finns främst hos organisationerna själva även om det på aggregerad nivå naturligtvis i hög grad är ett samhällsintresse.
Ansvaret för kommunikationen ligger dock på informationssäkerhetsspecialisterna eftersom organisationerna inte är medvetna om sitt behov.
Här uppstår dock ett avgörande problem eftersom kommunikationen om informationssäkerheten som skapas i denna situation i de flesta fall är istället för .
Det är informationssäkerhetsspecialisterna som försöker sälja in sitt utbud av standardiserade synsätt och metoder till en verksamhet som har ett behov, ett behov som tyvärr formuleras på verksamhetens egna premisser.
Detta gäller även det nationella planet där det är myndigheterna med ett utbud som fått styra strategier och handlingsplaner, inte de civila verksamheterna med behov.
Och som alltid vid utbudsstyrning är det svårt att sätta nivån och inriktningen eftersom behovet inte är definierat – utmärkt situation för ett kommersiellt företag men knappast då man försöker styra med begränsade resurser.
Kommunikationen är en produkt av områdets kultur.
Den blir därför alltför ofta inriktad på envägskommunikation, förutsätter att de man riktar sig till är okunniga (”hur ska vi få dem att förstå”) samt på lösningar som är helt omöjliga i praktiken (som att använda signalskyddslösningar i sjukvården).
Den känslomässiga argumentationen kring attacker och antagonistiska hot lämnar mottagaren i ett rationellt limbo, kvar blir rädda människor underkastade olika auktoriteter.
Den auktoritära kommunikationsformen är naturligtvis också ett resultat av vår bristande kunskap inom informationssäkerhetsområdet (se tidigare inlägg), om man är osäker ger man sig ogärna in i dialog och diskussion.
Inte så få av de ”kommunikationsplaner” jag sett har enbart innehållit aktiviteter där avsändaren förmedlat budskap men inga aktiviteter av inlyssnande.
Hur ska vi då förbättra vår kommunikation så att organisationerna drivs av en inre motivation och på så sätt får ett ständigt förbättrat?
Jag tror det viktigaste förhållningssättet är att bestämma sig för en rollfördelning där informationssäkerhetsspecialisten (både i en enskild organisation och i form av myndigheter på nationell nivå) är en stödfunktion.
Informationssäkerheten tjänar istället syftet att organisationen ska kunna upprätthålla sitt uppdrag och sin leverans med tillräcklig kvalitet och utan störningar (i detta ligger naturligtvis även att kunna uppfylla externa krav).
För att kunna ge stöd måste informationssäkerhetsspecialisten förstå verksamheten, den unika informationshanteringen och de unika behoven.
Helt enkelt förstå att en pågående dialog, ett ömsesidigt utbyte är nödvändigt i lika hög grad för den som ska stödja som den blir stödd.
Under senare år har frågan om säkerhetskultur blivit alltmer aktuell.
Att få medarbetare i en organisation att vara medvetna och motiverade i säkerhetsfrågor ses av allt fler som något som inte bara är ett komplement till den traditionella regelstyrningen.
Tidigare har jag skrivit om betydelsen av en profession inom informationssäkerhetsområdet.
Även för en profession är det centralt att ha någon form av kultur som både skapar gemenskap inom gruppen men också bär upp de handlingar, synsätt och värderingar som gruppen förmedlar till utomstående.
Kort sagt kan ett kollektivs kultur ge gruppen en enighet om mål och medel som inte bara beskrivs i standarder, strategier och andra dokument utan som ett socialt kitt och ett ethos.
Kultur handlar i första rummet inte om beteenden utan om det som ligger bakom beteenden, som innebörder, förståelser, idéer, värden, trosföreställningar, prioriteringar och förgivettaganden.
Kulturens betydelse finns belagd i en ganska ymnig forskning inom olika fält som jag inte här kommer att gå närmare in på utan bara som icke-expert nicka och säga: ja, detta verkar relevant även för oss som arbetar med informationssäkerhet.
Det kan verka flummigt men jag tror detta är en mer central fråga än vad det först kan tyckas eftersom den kulturella grunden kan peka ut vägen för gruppen långsiktigt.
De kulturella värderingarna ger också underlaget för prioriteringar i det vardagliga arbetet.
Sist men inte minst är en grupps kultur kärnan i den kommunikation som sker med de utanför för gruppen, de kulturella budskapen som gruppen förmedlar överröstar i princip alltid själv sakinnehållet i kommunikationen.
Eftersom jag ser kommunikation som det viktigaste verktyget i arbetet med informationssäkerhet blir därför kulturfrågan central.
Vad är då våra gemensamma värderingar och vad leder de till för beteenden?
Ingen har, såvitt jag vet, gjort en kulturanalys av aktiva inom säkerhetsområdet utan jag ska försöka uttolka de gemensamma tendenser jag tyckt mig se genom åren.
Redan nu ber jag om ursäkt för de kategoriska och säkert missvisande beskrivningar som följer men jag har för närvarande enbart tillgång till mina egna erfarenheter (vilket i sig är en del av kulturen eftersom denna typ av diskussion aldrig förs).
En första reflektion är att den militär-polisiära bakgrunden fortfarande vilar tung över oss.
Det tar sig många uttryck som i den metaforvärld som används där ”attacker”, ”hot” och ”antagonism” bara är några exempel.
Detta skapar naturligtvis en speciell atmosfär men eftersom det inte bara är så att tankar som styr ord utan i lika hög grad det omvända: att våra metaforer styr våra tankar kommer detta att påverka vårt agerande.
Jag dristar mig till att säga att traditionella informationssäkerhetsmänniskor finner det betydligt enklare att fokusera på ”attacker” än att inrikta sig på de störningar i informationshanteringen som uppstår av andra orsaker som uppdateringsfel, buggar, bristande rutiner, ineffektivitet som gör att medarbetarna är mer eller mindre tvungna att bryta mot reglerna m.m.
Vårt mindset är helt enkelt mer inriktat på attacker och det är också det vi kommunicerar exempelvis med ledningarna i de organisationer där vi verkar.
Men denna kulturella värdering kan leda oss fel även i praktisk handling för om ENISA har rätt i sin så är det inte antagonistiska hot som skapar flertalet störningar: Även om alla säkert kan vara överens om att incidentrapportering är problematiskt som underlag för att bedöma vad som egentligen händer och i ännu högre grad om vilka hot som finns är ENISA:s redovisning intressant, särskilt som det väl för Sveriges del inte finns någon som är mer relevant.
Om vi nu antar att ENISA:s uppgifter stämmer så är det stora problemet störningar i kommunikationen som leder till störningar i system.
Malicious actions är däremot en mycket liten kategori.
Flera rimliga frågor inställer sig som vad som orsakat störningarna i kommunikationen.
En annan vanlig kommentar när den här typen av siffror redovisas är att det finns ett stort mörkertal när det gäller attacker m.m.
Där är jag helt beredd att hålla med, vi ju är långt ifrån att ha en heltäckande redovisning av inträffade incidenter, rimligen är mörkertalet lika stort eller större när det gäller icke-antagonistiska incidenter.
Min poäng är i all enkelhet att den kulturella styrningen mot antagonistiska hot kan leda till felprioriteringar it.
Att vara inriktad på antagonistiska hot är också belönande i så måtto att det enklare att få uppmärksamhet både från ledningar och media om man pratar om spännande hotbilder med antagonister än om frågeställningarna tangerar den vardagliga verksamhetsutvecklingen.
I den nu rådande kulturen finns en påtaglig fara för att informationssäkerhetschefen medverkar till att ledningen beslutar om säkerhetsåtgärder som inte motsvarar den faktiska riskbilden.
Och här gömmer sig kanske också ett kulturellt problem eftersom det finns två mål för säkerhetsarbetet; att avvärja hot respektive att stödja att informationshanteringen uppfyller verksamhetens krav på konfidentialitet, riktighet, spårbarhet och tillgänglighet.
Det förstnämnda liknar mer än militär uppgift medan det andra är mer att jämföra med ett kvalitetsarbete och inbegriper en nära dialog med verksamheten.
Om vi ska arbeta mer aktivt med kulturfrågan måste vi förtydliga vilken som är vår gemensamma målbild och också vår roll.
För att skissa vidare på den kultur jag uppfattar finns i vårt sammanhang så ser jag också ett auktoritärt drag.
Detta drag har förmodligen samma militär-polisiära bakgrund som det tidigare men kanske det svaga kunskapsunderlag vi ofta har för det vi föreslår också spelar in.
Exempel på vad jag menar med det auktoritära draget är att jag tycker att det finns en övertro på regler och compliance jämfört med andra typer av styrning som mer bygger på diskussion och tvåvägskommunikation.
Jag uppfattar också att kultur och former för diskussioner som alltför litet öppna och ”akademiska”, kanske för att det inte forum som inbjuder till det.
De forum som finns är i de flesta fall konferenser där ”heliga” sanningar presenteras utan återkoppling.
Denna attityd förstärks genom att informationssäkerhetsspecialistens legitimitet oftare hämtas i externa krav som lagstiftning eller standarden än verksamhetens egna behov.
Det finns också dragning mot hemlighetsfullhet.
Detta kan härledas till när säkerhetsarbetet i första hand var inriktat på att skydda rikets säkerhet men kanske också till att vi har svårt att rationellt argumentera för olika åtgärder.
Det kan då vara enklare att antyda att det finns hot som tyvärr inte kan yppas än att tydligt redogöra för olika risker och låta ledningen eller verksamheten avgöra vad som är nödvändiga åtgärder.
Detta är en bräcklig position som jag också tror skapar osäkerhet hos många i branschen.
Jag uppfattar inställningen som felriktad därför att betoningen på det hemliga, förutom att göra de flesta samtal till återvändsgränder, också gör att andra lika viktiga frågor kommer helt i bakgrunden.
I myndigheter finns till exempel kravet på öppenhet i offentlighetsprincipen som ställer stora krav på riktighet och spårbarhet i de offentliga informationsflödena.
Informationssäkerhetsspecialisten har, i min mening, ett lika tungt uppdrag i att medverka till detta som att skydda mot obehörig åtkomst.
Detta är ett exempel på statusbalansen i kulturen, sekretess har högre status än öppenhet, men det finns även andra statusförhållanden som kan diskuteras.
Ett sådant är förhållandet mellan teknik och organisation som ofta omnämns som ”hårda” respektive ”mjuka” frågor.
Man behöver inte ha läst genusvetenskap för att tolka att den egentliga innebörden är att de hårda, manliga frågorna är aningen viktigare än de mjuka, kvinnliga.
Så är det i det övriga samhället och det finns inga skäl att tro att det set annorlunda ut inom informationssäkerhetsområdet.
I praktiken leder denna inställning ofta till en överbetoning av tekniska lösningar framför organisatoriska och också till ett ofta väl teknokratiskt förhållningssätt även i organisatoriska åtgärderna.
Det blir litet märkligt i kombination med standardens tydliga organisatoriska inriktning men det är en dissonans som har accepterats.
Slutligen är en annan viktig aspekt av kulturen den tydliga mansdominansen.
Jag ser det som ett svaghetstecken för en yrkeskår när det måste skapas särskilda forum för kvinnor vilket nu skett på flera håll.
Kanske känns det nödvändigt för att kunna leva vidare i den auktoritära och teknokratiska kultur som jag frammanat ovan.
Jag skulle dock hellre se att vi gick vidare och försökte utveckla en mer ändamålsenlig kultur för de uppgifter vi har att lösa och där alla kan delta i ett gemensamt samtal på lika villkor.
För att förena episteme och techne (och förhoppningsvis uppnå fronesis) så behöver professionen sina metoder.
Metoderna är i kunskapssamhället professionens verktyg och det som utgör grunden för en intern gemenskap och en extern uppfattning om vad en medlem i professionen kan utföra.
I detta sammanhang kommer jag att använda begreppet ”metod” som ett systematiskt och enhetligt sätt att utföra en viss aktivitet med ett beskrivet önskat resultat.
I teorin finns också ett antal metoder inom informationssäkerhetsområdet som riskanalys, informationsklassning, incident- och kontinuitetshantering.
Ledningssystem a´ la ISO 27000 kan också ses som en metametod där ovanstående metoder ingår som komponenter.
Frågan är dock hur väl metoderna uppfyller kraven på att vara systematiska, enhetliga och ha beskrivet önskat resultat.
Att metoderna är utvärderade och därmed sägas vara effektiva sedda till sitt syfte bör vara ytterligare ett krav för att de ska sägas fungera.
Förutom införandet av ledningssystem är sannolikt informationsklassning den mest upplyfta metoden för att uppnå bättre informationssäkerhet.
För att göra en snabb bedömning av metoder känns det därför ganska rimligt att titta litet närmare på klassningen så som den beskrivs.
Här har jag ett underlag på divergerande åsikter som uppstod när jag arbetade på MSB och dristade mig till att fram ett förslag på vägledning för informationsklassning.
Den informella remissen ledde till att det ramlade in en mängd svar från informationssäkerhetsmänniskor i framför allt myndigheter.
Jag planerar att använda dessa svar för en litet utförligare analys vid ett senare tillfälle – nu räcker det att säga att synpunkterna gick i alla riktningar och att alla var lika övertygade om att det sättet de uppfattade saken var det enda rätta.
Inte ens var man överens om det skulle heta ”klassning” eller ”klassificering”, ännu mindre om huruvida det är information eller system som ska klassas.
En litet märklig upplevelse vid genomläsningen var att själva syftet med informationsklassningen framstod som så odefinierat i ett antal av svaren, framför allt då man hade invändningar mot att jag i vägledningen beskrivit att informationsklassningen som metod också måste innehålla skyddsnivåer.
Lika fången som andra av min egen tankegång så har jag alltid föreställt mig det som meningslöst att klassa information om det inte leder till konkreta skyddsåtgärder.
Detta var dock inte en uppfattning som delades av alla.
Jag svävar fortfarande i ovisshet om vad då klassningen tjänar till och det är en av de många frågor som jag tycker det vore ytterst intressant att diskutera.
I paradgrenen informationsklassning saknas det alltså enhetlighet samt systematik.
Den bristande systematiken ligger bland annat i att klassningen som aktivitet inte har ett givet samband med andra aktiviteter som exempelvis riskanalys och inte heller beskrivs som en process vars resultat regelbundet utvärderas.
I vägledningen skrev jag till exempel djärvt att klassning ska ses som en form av risk- alternativt konsekvensanalys men fick mycket starkt mothugg mot detta och hur då det systematiska sambandet mellan riskanalysen och klassningen ser ut för dessa skribenter är fortfarande oklart för mig.
Det mest slående i svaren var att ofta saknades argument eller teori för den åsikt man förfäktade.
Istället var det redovisande av hur man själv i praktiken genomför sina klassningar eller, mest återkommande, hänvisningar till hur man tolkat ISO 27000.
Här ligger en viss ironi eftersom en del svar rörande klassningen där man hänvisar till standarden faktiskt går emot vad standarden säger, som när man hävdar att det system som ska klassas samtidigt som standarden uttryckligen säger att det är information.
Mycket av det som kan sägas om informationsklassning kan sägas också om ledningssystem som metod.
Förutom att syftet och genomförandet saknar enhetlighet är båda metoderna synnerligen icke utvärderade.
Jag under senare tid plöjt en hel del av den litteratur som finns på området och har ännu inte hittat några studier som exempelvis utvärderar olika metoder för informationsklassning, ej heller av om ledningssystem på det sätt som standarden föreskriver är ett effektivt sätt att styra informationssäkerhet i en organisation.
Och här måste jag gå in på helig mark och framföra ståndpunkten att ISO 27000, som gett mig så mycket stöd genom åren som yrkesverksam, inte så sällan snarare är ett hinder än en hjälp.
Eller, rättare sagt, vårt användande av standarden som en ersättning för utvärderade metoder utgör ett hinder för oss att bli mer professionella.
ISO 27000 definierar ett område som jag skulle vilja kalla organisatorisk styrning men innehåller ingenting om hur olika aktiviteter ska utföras, och är alltså ingen metod.
Som jag skrev inledningsvis skulle man kunna sträcka det till att standarden översiktligt beskriver en metametod men överlämnar till oss praktiserande att ta fram de konkreta, enhetliga, systematiska och utvärderade metoderna.
Denna metametod börjar kanske också bli litet anfrätt av tiden med sin inriktning på styrning av informationssäkerhet i organisation när information i allt högre grad flödar över organisationsgränser.
ISO 27000 har i många fall blivit en ersättning för metoder vilket vi måste erkänna för att komma vidare.
Istället för att i övermåttan peka på standarden som en bibel måste vi ta uppgiften med metodutveckling på allvar och skapa en gemensam plattform som uppfyller kraven på enhetlighet och systematik.
I ett tidigare inlägg skrev jag om vad jag uppfattar som ett bristande vetenskapligt stöd för detsom bedrivs.
Att inte kunna bottna sitt arbete i etablerad kunskap skapar av naturliga skäl avgörande hinder i det kunskapssamhälle som numera är vårt.
Men om vi kontrafaktiskt skulle anta att det fanns en välutvecklad akademisk kunskap om informationssäkerhet skulle inte denna kunskap vara tillräcklig för att få en verkligt fungerande informationssäkerhet i organisationer och i samhället i stort.
Det behövs också aktörer som vet ”hur” man ska göra, det vill säga tillför techne och fronesis till episteme.
Vad jag avser är en profession av låt oss kalla det informationssäkerhetsspecialister.
Behovet av att skapa nya professioner följer med utvecklingen av det moderna samhället från skråväsendets tillkomst under medeltiden till dagens på olika sätt legitimerade eller auktoriserade yrken.
Professionen skapar legitimitet åt yrkesutövarna, ”paketerar” deras kompetens så att den blir hanterbar även för externa parter som är intresserade av att använda den och, inte minst, utgör en dialogpartner för den akademiska kunskapsutvecklingen.
Den fruktbara relationen mellan profession och akademin kan kanske mest arketypiskt ses inom det medicinska fältet där läkarna genomgått en professionaliseringsprocess under mycket lång tid.
Numera har även andra yrkesgrupper som sjuksköterskor och fysioterapeuter gjort samma resa men för enkelhetens skull ska jag fortsättningsvis hålla fast vid läkarna som exempel.
För den som läst något om medicinhistoria är det uppenbart att samspelet mellan de praktiserande läkarna och den akademiska forskningen varit nödvändigt för att nå fram till dagens möjligheter att faktiskt bota, förebygga och lindra allehanda sjukdomstillstånd.
Sextonhundratalets fältskärer skulle inte genom praktiskt karvande i sårade soldater kunnat generalisera sin kunskap så att den skulle kunna beskriva sårinfektioner på ett allmängiltigt sätt.
Lika litet skulle de medicinska forskarna som faktiskt fanns vid denna tid kunnat avvara den praktiska kunskapen hos dem som dagligdags mötte patienter, om än med bensågen i högsta hugg.
För att detta samspel skulle kunna utvecklas på det fruktbara sätt som faktiskt skett var en viktig faktor att de praktiserande läkarna kom att utgöra en alltmer skarpt avgränsad profession med bestämd kompetens och enhetliga metoder.
Jag gör analogin till informationssäkerhetsområdet där vi har samma behov av att förena teori och praktik.
En professionell yrkesutövning kan borga för den kvalitet som är nödvändig i den praktiskt utövande delen av kunskapsområdet och av denna anledning bör en profession av informationssäkerhetsspecialister skapas.
Utvecklandet av en profession är som sagt den normala gången inom olika kunskapsområden och det finns också en omfattande forskning på temat.
Både inom gruppen själv och för externa parter som arbetsgivare in spe måste det gå att beskriva vad professionens eller (USP) är och också skapa organisatoriska strukturer för att upprätthålla denna USP.
Några av de moment i professionsbildandet som brukar tas upp litteraturen är följande: En grund då en profession vill formalisera sig är att man annekterar ett kunskapsområde och hävdar att den egna gruppen är den främsta/enda som äger denna kunskap, jämför läkare och medicinen.
Förutsättningen är att det går att definiera kunskapsområdet på ett sätt som både gruppen internt och omvärlden kan vara eniga om.
Här finns ett problem för informationssäkerhetsspecialisterna om den beskrivningen av oklarheten i vad kunskapsområdet egentligen består i godtas.
Är det en organisatorisk eller teknisk kompetens som utgör kärnan för att bara ta en av de många frågor som kan ställas.
För att få tillhöra en profession måste det definieras vilken teoretisk och praktisk kunskap man måste besitta.
Det måste också finnas en procedur som är erkänd även av utomstående som garanterar att de som utger sig för att tillhöra professionen verkligen kan antas inneha den rätta kompetensen.
Det räcker alltså inte med att man själv kallar sig ”informationssäkerhetsexpert” eller att man har lösliga grupperingar av typen communities.
En ganska självklar del i detta är en vilket idag saknas inom informationssäkerhetsområdet.
De utbildningar som erbjuds på högskolenivå (vilket vi väl får anta är rimligt att kräva) har ett mycket spretigt innehåll från ”Internationella aktörer och regelverk” till ”It-forensik” för att bara ta ett par exempel från högskolekurser som beskriver sig som utbildning i informationssäkerhet.
Andra utbildningar går in på ren it-säkerhet eller på praktiska metoder men kunskapsområdets otydlighet avspeglar sig i utbildningsutbudet.
Om vi tittar på innehållet i olika populära certifieringar blir bilden än mer otydlig, i en CISSP-certifiering uppges bland annat telekommunikation och mjukvaruutveckling ingå.
Kravet på formaliserad utbildning blir därmed i dag svårt att uppfylla liksom två andra vanliga krav på en profession: inträdeskrav och avgränsning av de som inte hör dit.
För att sammanfatta så kan vem som helst oavsett utbildning, erfarenhet eller personlig lämplighet utge sig för att vara informationssäkerhetsspecialist utan att någon kan hävda motsatsen.
En profession definieras inte bara av kunskap utan också av de specifika normer och den kultur som dess medlemmar ansluter sig till.
Exempel på detta är, förutom läkaretiken, de normer som upprätthålls av advokatsamfundet.
Det innebär också en över de som yrkestitel som följer med professionen.
Detta förutsätter i sin tur någon form av kollegial organisation som kan utöva kontroll och utveckla en yrkesmässig kultur och etik.
Idag saknas flertalet av de förutsättningar som krävs för en professionalisering inom informationssäkerhetsområdet.
Behovet är av en sådan är dock stort och om man ska dra slutsatser av andra yrkesgruppers historia måste frågan drivas av de yrkesverksamma själva.
En svårighet är att det inte finns fackföreningar eller starka intresseföreningar inom området som skulle kunna inleda en sådan process.
Ett första steg är att börja diskutera framtiden på ett öppet sätt och försöka hitta vägar framåt.
Är lämpligt med ett brett anslag där hela den spännvidd som nu ryms under beteckningen informationssäkerhet men med en specialisering på samma sätt som läkarkåren?
Eller bör vi resonera oss fram till en tydligare avgränsning mot it-säkerhet och cybersäkerhet?
Frågorna är många men än saknas forat att diskutera dem i.

Sverige måste förstå att digitalisering inte är en lyxprodukt utan en kärnverksamhet.
En strategisk fråga blir att lyfta fram de förändringsagenter som finns ute i verksamheterna och helt enkelt vända på bevisbördan.
Det ska inte längre vara så att det är den som vill förändra som måste förklara sig utan snarare den som vill bevara det gamla.
Hur många av er upplever att juridiken stimulerar och möjliggör digitaliseringsresan inom hälso- och sjukvården?
Digitalisering skapar mervärde Man behöver förändra helheten – inte bara småändra i marginalen.
Då är risken att man lägger all kraft på en enskild lösning och inte på att förändra det som verkligen ger effekt Möt innevånaren/patienten tidigt genom digitala arbetsmetoder

all internt utbudsstyrd behovsstyrd men en formaliserad utbildning kollegial kontroll attribut

En profession behöver metoder

Behovet av en profession Krav på en profession Informationssäkerhetens professionalisering – hur ska vi gå vidare?

Definition av kunskapsområde Krav på teoretisk och praktisk kunskap som säkerställs genom etablerad procedur Normer och kultur

MENU MENU Postat av → Postad i , , , , , , , Tagged , , , , , , , Postat av Aaron Antonovsky på 1960-talet och innebär i korthet att om omvärlden ter sig begriplig, hanterbar och meningsfull så har du lättare att hantera svåra situationer.
Jag menar att det organisatoriska minnet är en betydelsefull del i om vi upplever kasam eller inte på vår arbetsplats.
Bättre rutiner för att ta fram och återanvända meningsfull dokumentation ökar vår förmåga att känna delaktighet och motverkar stress.
Detta är inte på något sätt oväsentligt i dessa dagar då allt fler mår dåligt på jobbet.
Postad i , , Tagged , , , Postat av Postad i , , Tagged , Postat av Postad i , , , , , Tagged , , , , Postat av Postad i , , Tagged , , , Postat av Postad i , , Tagged , , postat av Postad i , , , , Tagged , , , , , , Postat av Postad i , , , Tagged , , , , Sök efter:

Järnvägsresandets historia Unique Selling Proposition Unique Selling Point

Det kan knappast ha förbigått någon att information blivit det nya guldet och att det finns extremt starka både offentliga och privata intressen som vill vara med och ta hem vinster från den resursen.
Framför allt den information som skapas i offentlig sektor är extra åtråvärd dels för att den är så omfångsrik, dels för att den ofta innehåller detaljerade uppgifter om olika allmänt intressanta förhållanden.
Intresset för att använda den offentligt producerade informationen som här kallas ”öppna data” har inom EU formaliserats genom PSI-direktivet som även blivit svensk lag sedan 2010.
En utredning tillsattes på klassiskt och bra svenskt maner 2019 för att bl.a.
genomföra en översyn och utvärdering av lagen (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen, analysera behovet av för-fattningsändringar för att genomföra öppna data-direktivet och säkerställa en ändamålsenlig nationell reglering som, ur ett rättsligt perspektiv, främjar och stödjer den offentliga förvaltningens arbete med att tillgängliggöra öppna data och annan digital information samt lämna förslag till nödvändiga författningsändringar.
Den lämnades över i höstas under beteckningen SOU 2020:55 Innovation genom information och har knappast lett till några större rubriker.
Att vidareförädla data kan ju tyckas som en högst okontroversiell inriktning för ett alltmer digitaliserat samhälle men ändå är det vissa frågor som skaver alltmer ju mer jag funderar på dem.
I utredningen ges följande beskrivning av syftet med offentlig verksamhet ska lägga resurser på arbetet med öppna data: I portalparagrafen till PSI-lagen anges att syftet med lagen är att främja utvecklingen av en informationsmarknad genom att underlätta enskildas användning av handlingar som tillhandahålls av myndigheter.
Redan där kan man haja till.
I Sverige har vi en mycket lång tradition av att utnyttja offentlig information för forskning och allmänhetens insyn men vad som här avses skapas är en ”informationsmarknad”.
Observera att med enskilda avses inte medborgare som vill ha insyn enligt offentlighetsprincipen vilket klargörs längre fram i utredningen utan endast företag som ska använda informationen.
Den tes som drivs i direktivet och i efterföljande lagar och utredningar är att det finns ett starkt samhällsintresse av att skapa en ”informationsmarknad” som ska försörja nationella och internationella företag med råvaran offentlig information till ett självkostnadspris.
I en som tagits fram av Lantmäteriet på uppdrag av regeringen blandas ändå syftena ihop så att det framstår som att öppna data skulle förbättra möjligheten till insyn: Öppna data skapar värde på flera olika plan i samhället.
Det rör sig dels om rena ekonomiska värden i form av stimulerad tillväxt och ökad effektivitet som ger aktörer möjlighet att utveckla nya produkter och tjänster.
Dessutom bidrar öppna offentliga data per definition till ökad transparens och demokratisk kontroll genom att öka insyn och förståelse för offentlig förvaltning.
Den ökade insynen innebär nya möjligheter för externa aktörer att mäta policyeffekter och granska, upptäcka samt motverka oegentligheter inom offentlig sektor.
För mig framstår som mycket tydligt att det finns framför allt tre olika syften med extern åtkomst till myndigheters information: Av dessa syften har under de senaste decennierna det sistnämnda syftet varit extremt prioriterat (även om forskning och företagande ofta kan vara överlappande).
I de olika initiativ som bedrivits i Sverige rörande digitalisering har jag inte på ett enda ställe sett några konkreta förslag för att utveckla lösningar för att stärka offentlighetsprincipen.
Detta trots att öppenheten blivit ordentligt naggad i kanten bland annat genom Sveriges EU-inträde genom avsiktliga och oavsiktliga anpassningar till den betydligt mer begränsade insynsmöjlighet som finns i övriga EU-länder (bortsett från Finland).
När man pratar om ökad delaktighet i digitala sammanhang är det alltså inte ökad insyn som diskuteras utan i de allra flesta olika tekniska lösningar som lanseras för offentlig service.
Vilka möjligheter som finns att digitalt utveckla demokratin är ett ämne som ligger mig varmt om hjärtat men jag skulle här även vilja peka på ytterligare en aspekt där den nuvarande satsningen på öppna data rymmer stora intressekonflikter.
Eftersom jag skulle vilja belysa den på ett principiellt plan och inte fastna i inhemska perspektiv väljer jag att ta ett exempel från USA.
I Erik Åsards nya bok Med lögnen som vapen som handlar om Donald Trump och hans påverkan på det amerikanska samhället.
I ett avsnitt berättar Åsard om Trumps märkliga tillsättningar av ledande tjänstemän.
Detta är nog så intressant men i det som jag fastnat för i detta sammanhang är när han föreslog Barry Myers, en miljonär och gammal kompis, som chef för NOAA som är den amerikanska motsvarigheten till SMHI.
Myers var av en händelse även ägare till ett privat företag som säljer väderrapporter som en kommersiell tjänst.
Enligt Åsard såg Myers rapporteringen från NOAA som en svår konkurrent eftersom myndigheten tillhandahöll samma data kostnadsfritt (enligt lag) som Myers paketerade om och marknadsförde i sin egen tjänst.
Som Åsard skriver: Rapporterna från the National Weather Service är kostnadsfria, men AccuWeather lyckades genom förförisk och inte sällan vilseledande marknadsföring få kunderna att betala för dem.
Utan den statliga väderlekstjänsten och dess skattefinansierade tillgångar (radar, väderstationer, väderballonger) skulle inte företaget ha mycket att erbjuda.
För att skilja ut sig från konkurrenterna började AccuWeather tillverka prognoser som sträckte sig 45 och till och med 90 dagar framåt.
Det är en metod som seriösa meteorologer har dömt ut och liknat vid att använda handläsning eller horoskoptydning.
Vidare skriver Åsard: Till skillnad från bolagen i den privata sektorn är the National Weather Service enligt lag förbjuden att göra reklam för sina tjänster.
Det har utnyttjats av företagare som Myers, som under 1990-talet offentligt började argumentera för att den statliga myndigheten borde förbjudas att göra några väderprognoser överhuvudtaget (utom vid fara för liv och egendom).
Sådan information borde vara en fråga mellan kunderna och de privata företagen, menade han.
När den konservativa republikanska senatorn Rick Santorum lade fram ett snarlikt lagförslag 2005, fick det entusiastiskt stöd av Myers.
Förslaget föll, men Myers tvekade alltså inte att stödja en lag som flagrant skulle gynnat hans eget företag och tvingat skattebetalarna att betala dubbelt för en tjänst som den statliga myndigheten tillhandahållit gratis.
Som Michael Lewis påpekar har privata företag i branschen ett ekonomiskt intresse av väderkatastrofer som deras offentliga motsvarigheter saknar.
Ju större och farligare orkaner, desto fler kunder kommer att vilja betala för att få varningar om dem.
Och ju fler kunder desto större vinster.
Lewis föreställer sig en dystopiskt slut – ”dagen då du bara får den väderleksrapport du betalar för”.
Lyckligtvis har vi ingen Trump i Sverige (än).
De många intressekonflikter som Erik Åsard så elegant lyfter fram i ett kort stycke i sin bok saknas är dock helt relevanta för Sverige när det gäller öppna data.
Av någon anledning har de utredningar som genomförts sedan direktivets tillkomst undvikit att ta upp dessa frågor trots att de har stor betydelse för både samhälle och den enskilde individen.
Att låta marknadskrafter bli dominerande när det gäller hur offentlig information ska användas skapar intressekonflikter.
”Öppna data” kan leda till motsatsen, att de undanhålls från medborgarna för att de utgör råvara för ett företag.
Och kommer det att ställas krav på myndigheterna att de måste upprätthålla informationshantering som annars skulle effektiviseras bort för att det skulle påverka företag som använder informationen negativt om den togs bort?
Det är inte heller säkert att låta multinationella försäkringsbolag kostnadsfritt ta del av patientuppgifter är något som gynnar några andra än just försäkringsbolagen.
Som alltid när det gäller intressekonflikter finns det inget entydigt svart eller vitt i hanteringen av öppna data även om det i det svenska sammanhanget hittills framställts som helt utan komplikationer att langa ut vår viktigaste gemensamma resurs gratis på marknaden.
Själv har jag svårt att förstå hur det kan utgöra en marknad överhuvudtaget, snarare en nationell välgörenhetsbasar.
För att skapa en mer mångdimensionell bild av öppna data där olika intressen kartläggs och ställs mot varandra på ett öppet (!)
sätt bör ett mer gediget underlag än olika tas fram om det verkliga ekonomiska värdet.
Därefter kan en offentlig diskussion föras om hur vår gemensamma informationsbonanza ska användas så att alla våra olika intressen tillvaratas – inte bara de ekonomiska för vissa aktörer.

demokratiaspekter genom insyn och transparens forskningens tillgång till information på lång och kort sikt förtags behov av råvara till olika typer av tjänster inklusive AI

Meny Öppna data

MENU MENU Postat av Postad i , , , Tagged , , Sök efter:

Under de (alltför) många år jag arbetat med informationssäkerhet har ingen företeelse varit mer omhuldad än de standarder som använts som stöd i arbetet.
När jag började var det BS 77 99 och nu har vi en hel 27000-familj.
Även om jag under alla år har haft en god hjälp av standarderna har jag aldrig riktigt kunna gripas av samma entusiasm som de många, inklusive utgivare av myndigheters föreskrifter, som sett standarderna som ett magiskt spö som det i princip räcker att hänvisa till så försvinner säkerhetsproblemen.
Jag har redan skrivit ett antal inlägg, bl a och berör den ganska problematiska övertro som finns i Sverige till standardens kraft att skapa bättre informationssäkerhet.
Med tiden har jag kommit att fråga mig om sättet att se på framför allt ISO 27000 kanske snarare stjälpt än hjälptt.
En rejäl tankeställare fick jag när jag hade uppdraget att försöka få in säkerhetsperspektivet i en utredning om e-hälsa.
Få saker har jag misslyckats så kapitalt med och en av orsakerna, förutom mina egna brister, var att både utredaren och utredningens sekretariat så fort frågan kom upp smashade bort den som en irriterande fluga med: vi gör en hänvisning till att standarder ska användas.
Eftersom jag inte förstår en vink när jag får den eller snarare bryr mig om den så fortsatte jag och försökte även få ett förtydligande vilka standarder som skulle användas och hur.
Som ni säkert förstår fick jag aldrig några svar på mina frågor utan det ansågs helt tillfyllest att säkerhetsproblem skulle hanteras via ”standarder”.
Självklart förstår jag lockelsen i att det skulle kunna fungera så.
Problemet är att det inte gör det.
Om man tittar bakåt så var standarder i industrisamhällets begynnelse en typ av nationella och internationella överenskommelser om framför allt utformningen av tekniska produkter och mått.
En av mina favoriter är standarden för avstånd mellan hålen för .
Det är ju ett sant kaos som väntar om hålslagen utformas hur som helst och ingen vet vilka pärmar som kan användas för vilka papper.
Men vad händer egentligen när man flyttar över standardiseringsidéen från vidden för järnvägsspår till hur organisationer ska styra olika verksamhetsområden?
När standarder som framtagits utan kontroll från lagstiftare och den egna förvaltningen ska leva sida vid sida med den ordinarie styrningen?
I en mycket intressant från Örebros universitet har författarna (Andersson, Karlsson och Hedström) genom diskursanalys försökt förstå hur framtagandet av standarder i 27000-serien egentligen går till.
Som en bakgrund gör de en åtskillnad mellan s.k.
de facto-standarder som ta fram av ett företag eller flera företag tillsammans som har ett konkret behov av standardisering.
Den andra typen av standarder benämns de jure-standarder som kan utvecklas av olika lagstiftande organ alternativt myndigheter eller av oberoende standardorganisationer som ISO.
27000-serien är alltså en de jure-standard men ligger utanför det lagstiftande området.
Artikeln lyfter också fram att denna typ av standarder strävar efter att skapa en konsensus av vad som bland experter inom området anses vara ”best practice” vilket även framgår tydligt i arbetet med informationssäkerhetsstandarden: De jure standards play a central role in information security, and organizations are increasingly required to demonstrate compliance with them ( ; ).
Det kan alltså ifrågasättas vad standardens ställningstagande egentligen bygger, om dess anspråk på att vila på ”best practice” uppfylls.
Eftersom den inte bygger på evidens skulle dess USP bestå just i en erfarenhetsbaserad kunskap.
Om inte denna grund finns påverkas naturligtvis standardens legitimitet.
Senare i artikeln framgår på ett litet roande och samtidigt avslöjande sätt hur ytterst få som deltar i standardarbetet även om man tågat omkring på standardiseringsmötena som en fåmansprocession under beteckningen ”Sweden”.
Artikelförfattarna gör en maktanalys av själva arbetet med framtagandet av standarder men jag tycker att en vidare maktanalys av hur en mycket liten krets knutna till standardarbetet har haft ett helt dominerande inflytande över svensk förvaltnings arbete med informationssäkerhet.
Resultatet har blivit en hegemonisk doktrin om att ISO 27000 är den enda framkomliga vägen att arbeta med informationssäkerhet i svensk förvaltning trots att denna doktrin vare sig bygger på evidens eller ”best practice”.
Så här 11 år efter att ISO 27000 pekades ut som vägledande för svenska myndigheters arbete med informationssäkerhet i MSB:s föreskrift MSBFS 2009:10 (ytterligare markerat i de följande föreskrifterna fram till den nu gällande MSBFS 2020:6) så tycker jag inte det är uppenbart att det var ett helt lyckat vägval.
Detta bygger jag på attt knappast kan ses som särdeles framgångsrikt mätt med tillgängliga måttstockar, d.v.s.
de granskningar som gjorts både generellt och de som gjorts med inriktning på samhällsviktiga sektorer som exempelvis sjukvård.
Låt oss komma ihåg att detta inte är den enda möjliga vägen att välja.
I Finland antogs i år en av informationshanteringsnämnden under finansministeriet som explicit undviker att hänvisa till någon standard: referensramar och ger inga anvisningar om tekniska lösningar, som kan förändras till och med snabbt.
Utifrån en riskbedömning som görs från fall till fall ska varje myndighet välja tillräckligt säkra tekniska lösningar som är lämpliga i den aktuella situationen.
Jag kommer ihåg att ansvariga för Normen i Norge förde samma resonemang i sina reglervården, man ville inte referera till någon särskild standard.
Uppfattningen var att det var möjligt att plocka ut det man ville ha ur standarder utan att behöva ansluta sig till en helhet som inte kunde kontrolleras av norsk sjukvård.
När standarder lämnar tekniska specifikationer och övergår till organisatorisk styrning uppstår paradoxala effekter.
Jag tänker nu på att ISO 27000 innehåller mycket allmänna krav, att det ska finnas informationsklassning men inte hur den ska utföras eller vilken normskala som ska tillämpas.
Varje organisation ska själv ta fram sitt eget komplexa ledningssystem med de komponenter som anvisas i standarden men utformningen och tillämpningen kommer att se väldigt olika ut, det tror jag varje erfaren konsult kan intyga.
Istället för centrala regler som specificerar olika lösningar får vi alltså en mängd olika regelverk som ska användas i samma infrastruktur.
Standarden leder alltså sannolikt till mindre standardisering på grund av sin inriktning på enskilda organisationer istället för på helhet.
Bräckligheten i kunskapsunderlaget och det fragmentiserade resultatet är två orsaker att ompröva ISO 27000 ställning i den offentliga verksamhetensi Sverige.
Vi behöver inte kasta ut barnet med badvattnet men vi måste våga ifrågasätta doktrinen även om de som har byggt upp en stark ställning med hjälp av standarden riskerar att ta illa upp.
Informationssäkerhet är en för viktig fråga för att vi ska ha råd med heliga principer som inte tål att diskuteras.

MENU MENU Postat av Rekommendationerna hänvisar inte till några allmänna standard er eller Postad i , , , Tagged , , , , , , , Sök efter:

Först en disclaimer.
Denna text är skriven med ett visst undertryckt ursinne.
Under 7-8 år under mina vittflygande studier jobbade jag samtidigt på ett boende för psykiskt funktionsnedsatta barm och ungdomar.
Den erfarenheten gör att jag framförallt tänker på de patienter och anhöriga som drabbats av 1177-skandalen men också på den vårdpersonal som till skillnad från digitaliseringsbyråkrater, ”visionärer” och ”evangelister” möter patienter.
De ska nu leva i oro över hur deras arbetsgivare hanterar den information som de i förtroende tar emot och där samtal från hjälpsökande patienter studsar vidare för hantering i Thailand.
Jag jobbade också i ett landsting under 90-talet då politiker, it-leverantörer och byråkrater gick in i en lustiger dans om digitalisering som var mycket lösligt kopplad till verksamhetsbehov.
Att försöka skjuta in frågor om informationssäkerhet eller kvalitet i informationshanteringen stämplades som närmast illojalt eller i bästa fall som tugg som man måste genomlida innan man gick vidare precis som förut.
Filifjonkan på bilden har inte bara med ångestridna patienter att göra utan också känslan av den annalkande katastrofen som hon symboliserar.
Det finns inget som är så lätt som att förutspå framtiden i efterhand.
Många är nu chockade och totalt överraskade över vad som framkommit om 1177 och dess underleverantörer.
Att försöka påpeka vikten av god informationssäkerhet vid digitaliseringen har som sagt varit ett arbete i stark motvind för att inte säga full stormstyrka i 25 år.
Ofta har den berättigade oron för den alltmer bristande säkerheten inom vård-it utmålats som ett Filifjonka-aktigt beteende och att varningarna för riskerna skulle ha lika litet med vår verklighet att göra som Filifjonkans permanenta ängslighet i Mumindalens idyll.
När det nu exempelvis framkommer att Region Värmland har anlitat en underleverantör för att hantera den extremt känsliga informationen i telefonrådgivning endast med dessa säkerhetskrav: Leverantören ska skydda sin information mot otillbörlig åtkomst och förstörelse i enlighet med gällande lagar, förordningar och föreskrifter.
Hur skyddet genomförs ska dokumenteras.
Leverantören ska på begäran kunna uppvisa denna dokumentation för landstinget.
Leverantören ska följa landstingets vid var tid gällande riktlinjer för informationssäkerhet.
ger det en indikation om hur relevant oron faktiskt var/är.
Observera att inga ytterligare krav ställts till exempel i form av en säkerhetsbilaga som förtydligar vad det är man vill ha, inte ens ett personuppgiftsbiträdesavtal i någondera riktningen finns.
Otroligt nog verkar hela den massiva hypen kring dataskyddsförordningen gått regionen förbi.
Med tanke på att hela härvan ännu inte är utredd ska jag, för att undvika förhastade slutsatser, inte kommentera alla juridiska och tekniska detaljer.
Enkla lösningar är det redan alltför många som kommer med.
Inte heller finner jag det meningsfullt att ägna mer tid åt den lyteskomik som svaren från de olika leden i leverans av telefontjänsten i 1177 gett utrymme för.
Istället ska jag försöka ringa något av det systemfel som ligger som grund för den uppkomna situationen.
Grundproblemet ligger i att vård-it i Sverige under trettio år har fått växa fram inte som en sammanhängande infrastruktur utan som en brädhög där olika aktörer kunnat lägga på sin egen bräda utan att behöva ta hänsyn till någon gemensam plan.
Detta skapar naturligtvis en låg grad av funktionalitet trots de enorma resurser som lagts på digitaliseringen men dessutom har det också skapar de oöverblickbara säkerhetsrisker som 1177-skandalen är ett av de mest flagranta exemplen på.
Den främsta säkerhetsrisken är att det i många fall är omöjligt att klarlägga ansvaret för säkerheten vilket med all önskvärd tydlighet framgår i fallet med 1177.
Intuitivt skulle nog de flesta säga att det största ansvaret ligger hos sjukvårdshuvudmännen, det vill säga främst regionerna/landstingen som i den svenska förvaltningsmodellen delegerats ansvaret för och där ansvaret definieras i hälso- och sjukvårdslagen: Med huvudman avses i denna lag det landsting eller den kommun som enligt lagen ansvarar för att erbjuda hälso- och sjukvård.
Inom en huvudmans geografiska område kan en eller flera vårdgivare bedriva verksamhet.
När det gällde hanteringen av information inklusive säkerhet var detta ansvar inte särskilt besvärligt att definiera på den tiden då landstingen också utförde den absoluta merparten av vården.
Då var journalerna allmänna handlingar som tillhörde landstinget och det också ställdes tydliga krav på hanteringen (ja, jag vet att det inte alltid funkade jättebra i verkligheten men jag rör mig nu på systemnivå).
I och med kommunalisering (ÄDEL) och privatiseringsvågen blev ansvaret otydligare.
Som en andra skänkel i saxen som klippte av tydligheten i ansvarsfördelningen fungerade rörelsen mot alltfler samarbeten mellan landsting som exempelvis Sjunet och de nationella tjänsterna.
Det är här jag menar att juridiken inte hängt med, inte genom att ställa krav på integritet i det nya landskapet.
Det juridiska ansvaret läggs nämligen främst på vårdgivaren: Med vårdgivare avses i denna lag statlig myndighet, landsting, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet.
Vårdgivaren kan vara vilken aktör som helst som bedriver någon form av vård, till exempel Medhelp.
Denne har också ansvaret för informationssäkerheten vilket mycket specifikt beskrivs i Socialstyrelsens föreskrift med regler för vårdens Problemet är bara att den mest säkerhetsmedvetne vårdgivaren ändå inte kan hålla sig för sig själv utan måste fungera i brädhögen av oklara ansvar eftersom man till exempel med nödvändighet måste använda bland annat nationella tjänster.
I och med detta faller alla de många goda råd som även säkerhetsexperter av olika dignitet framfört de senaste dagarna om att det bara är att ha tydliga upphandlingsrutiner, följa upp krav o.s.v.
Inte ens dataskyddet faller ut som man skulle kunna tro när man läser i avtalet mellan Region Stockholm och Medhelp och ser att regionen är personuppgiftsbiträde åt Medhelp och inte tvärtom….
Det som måste understrykas är att den digitala världen inte bygger på bilaterala relationer utan på multilaterala och att vi saknar verktyg att hantera den nya situationen.
Även trogna gamla kämpar som tillsynsvapnet riskerar att bli tandlöst eftersom tillsynen gäller enskilda organisationer.
Att skapa ansvarsförhållanden och möjlighet till ansvarsutkrävande avpassade för multilaterala infrastrukturer bedömer jag som den mest fundamentala säkerhetsåtgärden för vård-it.
Detta är inte något som en enskild vårdgivare kan ta ansvar för utan måste byggas upp på nationell nivå.
Tyvärr har denna grundläggande förutsättning totalt negligerats i de utredningar om e-hälsa som genomfört under senare år.
Mer om de moderna strukturerna finns att läsa i den nyligen utkomna antologin .
Ansvaret är alltså idag osynkroniserat med den nationella informationsinfrastrukturen och även med den tekniska infrastrukturen.
Ändå tror jag det är viktigt med ett ansvarsutkrävande.
Tyvärr kommer nog inte Region Stockholms innovationsregionråd ta sitt ansvar och avgå, inte heller hans motsvarigheter i Region Värmland och Sörmland.
SKL:s programansvarige för e-hälsa kommer att på motsvarande sätt skjuta ansvaret ifrån sig och Inera har snabbt varit ute och sagt att de går skuldfria ur denna förödande situation.
Tyvärr, inte för att vi behöver ett melodramatiskt utspel som när Toyota-chefen gråtande bad om ursäkt för sina fel eller syndabockar, men för att ge en reboot för vård-it.
Om ett antal digitaliseringspotentater inom vården åtminstone hade omdömet att säga: ”jag har villigt tagit emot all cred för att framstå som nyskapande och innovativ, nu tar jag lika villigt mitt ansvar när det visar sig att vi kört totalt fel inom e-hälsoområdet.”.
Detta vore en mycket viktig signal att vi nu inte ska fortsätta som förut utan gå in i en ny tid.
Det jag skriver ovan kan nog de flesta hålla med om på någon nivå men varför ser det då ut som det gör?
Jag skulle vilja hävda att det inte enbart beror på inkompetens utan i lika hög grad på attityd, möjligen arrogans.
Detta är en något nedslående tanke för sannolikheten för att kunna omvandla inkompetens till kompetens är större en att rå på decennier av negativ säkerhetskultur.
Jag förstår att det är mycket behagligare att ständigt mana framåt och inte hänga upp sig på problem och hinder.
I 1177-skandalen är patientens integritet som allvarligt skadats vilket är ett värde som talföra debattörer inom digitaliseringen och e-hälsa till och med i många sammanhang förnekat.
Den bristande samordningen kan också ses som ett resultat av SKL:s framgångsrika arbete som lobbyorganisation.
SKL är en intresseorganisation för regioner och kommuner som arbetsgivare och har med stor frenesi hävdat det kommunala självstyret inom hälso- och sjukvård.
Varje försök till styrning från staten nagelfars och min bedömning är att staten efter nedmonteringen av Socialstyrelsen inte ens har möjlighet till en effektiv myndighetsstyrning vilket lämnat fältet ännu mer fritt för SKL.
Ur ett samhällsperspektiv har det även lett till en starkt minskad insyn eftersom SKL, trots att man är helt finansierad av offentliga medel, inte lyder under offentlighetsprincipen.
Vad som pågår inom SKL och vilken agenda som drivs är därför svårgenomträngligt.
Under den tid jag jobbade på MSB och, bland annat inspirerad av den norska lösningen Normen, försökte få till en styrning bättre avpassad till de multilaterala relationerna fick jag ofta känna av SKL:s maktanspråk.
Ärligt talat så var intresset inte särskilt stort ens i min egen myndighet och inte heller i de andra myndigheter som hade uppdrag i någon form som påverkade säkerhetsaspekterna i vården.
Men var det ett svalt umgänge i myndighetssfären så var SKL:s engagemang i frågan på nollpunkten.
Mitt käcka erbjudande om att MSB skulle kunna samordna och tillföra väsentliga resurser och kompetens för att göra den så skakiga informationssäkerheten i vården bättre möttes mycket kallsinnigt.
Budskapet var att detta var en uppgift som regionerna kunde klara själva (med SKL:s hjälp) och att myndigheter inte hade i territoriet att göra.
Själv kände jag mig som en ovälkommen budbärare från de många medlemsorganisationer som satt med sin usla säkerhetssituation utan reell möjlighet att göra något åt den.
Med ett avancerat tjat lyckades det till slut att få SKL att skriva under den gemensamma strategi som jag tagit fram som underlag och som nu litet patetiskt ligger kvar på MSB .
Någon gemensam styrning á la Normen är lika fjärran som då strategin skrevs.
SKL har alltså haft alla möjligheter att själva ta fram de stöd som så väl skulle behövas i deras medlemsorganisationer.
Så har inte skett förutom det tveksamma verktyget för informationsklassning som jag skrivit om Något gemensamt regelverk för att hantera den multilaterala ansvarssituationen inom vården kan jag fortfarande inte hitta på SKL: s webbsida.
Intressant nog har ju inte SKL något formellt ansvar för informationssäkerheten i vården eftersom man är en intresseorganisation och kommer säkerligen inte att påta sig något sådant nu heller.
När nu nästa trend är AI i vården blir man inte direkt lugnare, särskilt inte när SKL:s programansvarige för e-hälsa ifrågasätter lagstiftningen snarare än ansvarskänslan hos införarna som .
I mina dystrare stunder tror jag vi nått vår kollektiva inkompetensnivå där vi ska skapat ett it-monster som ingen längre kan styra.
Vi har en situation med i princip outtömliga tekniska möjligheter promotas av aggressiva leverantörer.
Tekniken möter en omogen organisationsstruktur där verklig styrning ersatts av fritt spelrum för särintressen.
Till detta kommer den bristande självinsikten om att det är så här det ser ut och den negativa säkerhetskulturen inom vården.
Och slutligen juridik och företrädare för informationssäkerhet som fortsätter att leverera lösningar gjorda för enstaka organisationer eller möjligen bilaterala relationer vilken inte är till någon större hjälp i den dagens multilaterala arkitekturer.
Självklart kan vi inte ge upp utan istället ställa oss frågan hur vi kan genomföra de absolut nödvändiga förändringar som skulle göra vård-it till en seriös verksamhet.
Här vill jag anslå en ny ton för att markera att detta är mycket komplexa frågor som vi idag i huvudsak saknar svar på.
Det är inte enkla förbättringar av upphandlingsrutiner som kan leda framåt utan förändringar av en helt annan dimension som är nödvändiga.
Det är inte beställningar mellan kund och leverantör som är det verkliga problemet utan beställningen från regeringen till sjukvårdshuvudmännen som inte fungerar där sjukvårdshuvudmännen som leverantörer inte klarar av att skapa en säker vård-it.
Mina förslag, som jag inte när något större hopp om att de kommer att anammas, är att likna vid ett undantagstillstånd.
Det kan tyckas dramatiskt men allvaret i situationen kräver extraordinära åtgärder .
Parallellt med åtgärderna bör även en attitydförskjutning initieras där vi slutar se digitalisering som ett självändamål utan blir förmögna att ta in olika perspektiv som till exempel säkerhet.
Utgångspunkten bör också att det är en nationell struktur som ska byggas och förvaltas där de gamla organisationsgränserna inte längre får sätta käppar i hjulet.
Här kan man ana att en del integritetsnihilister vädrar morgonluft men bedra er inte; målet är att stärka integriteten, inte nedmontera den ytterligare!
Det har knappast gått någon förbi att det under några år nu rasar in nya eller nygamla regleringar gäller olika aspekter av informationssäkerhet: dataskyddsförordningen, lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet), ny säkerhetsskyddslag och sedan litet civilt försvar på det.
Samtliga av ovanstående regleringar ”drabbar” primärkommunerna.
En egenhet för primärkommunerna generellt är att kravbördan inom alla områden drabbar samtliga kommuner lika hårt oavsett om de har 4000 invånare eller 900 000.
Detsamma gäller för ovan nämnda nya lagar.
Kommunerna har den, vid sidan om sjukvården, mest komplexa kravbilden på informationssäkerhet i samhället redan från början i kombination med att flertalet av små och medelstora kommuner alltför ofta helt eller delvis saknar den kompetens som behövs för att hantera situationen.
För att uppnå målbilden; ett säkrare Sverige, behöver de ansvariga myndigheterna därmed anstränga sig till det yttersta för att ge ett stöd som fungerar till kommunerna.
Att inta en hållning av typen ”det är deras eget ansvar” är helt meningslöst och kontraproduktivt eftersom det objektivt sett saknas förutsättningar för att de skulle kunna lyckas med det.
Ytterligare en aktör i detta är SKL som under senare påtagit sig ett allt större operativt ansvar i frågor bland annat av denna typ.
Nu är det alltså litet upp till bevis-läge.
Jag ska därför göra en liten kontrollrunda för att se vilken information och stöd Söpple kommun kan räkna med när det gäller NIS och därefter göra en sequel om säkerhetsskyddslagen.
Först en kort bakgrund.
NIS-direktivet antogs av Europaparlamentet 2016 och den svenska lag som följden av detta, lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, trädde med tillhörande förordning i kraft 1 augusti 2018.
Målsättningen med direktivet och följaktligen med lagen är att hög gemensam nivå på säkerhet i nätverk och informationssystem.
Lagstiftningen är inriktad på de nätverk och informationssystem som stödjer samhällsviktiga tjänster i sju sektorer (energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten, digital infrastruktur) samt i digitala tjänster.
Det är inte i en begreppsvärld klar som ett vårregn vi rör oss i här vilket gör att jag hänvisar den intresserade till definitionerna i lag och förordning för att själv bilda sig en uppfattning om den exakta betydelsen i begreppen.
Viktig avgränsning är att lagen inte gäller för verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen.
Däremot gäller den för både offentlig och privat verksamhet.
För att uppnå bättre säkerhet är de främst två krav lagen riktar in sig på.
För det första ska leverantörerna av samhällsviktiga tjänster bedriva einklusive riskanalyser och incidenthantering.
Av någon anledning betonas det särskilt att man också ska vidta åtgärder för att reducera de risker man upptäcker(!).
Man skulle kunna tycka att det är en ganska självklar del i emen lagstiftaren känner ändå att detta måste påpekas.
För det andra är det universalmedlet incidentrapportering som jag i förtroende vill meddela att jag tror är tecknet på att det offentliga säkerhetsarbetet har fastnat i en NPM-fälla.
Det vill säga att tvinga ett antal decentraliserade verksamheter att rapportera in uppgifter som man inte sedan vet vad man ska göra med.
Lagen innehåller också nyheten att leverantörerna av samhällsviktiga och digitala tjänster ska tillsynas vilket i sin tur bygger på att de som lagen berör själva ska anmäla sig till tillsynsmyndigheten.
Om så inte sker, om man inte vidtar korrekta säkerhetsåtgärder eller inte rapporterar incidenter kan en sanktionsavgift tas ut av tillsynsmyndigheten.
Efter dataskyddsförordningen kan ordet ”sanktionsavgift” väcka viss panik men i lagen om informationssäkerhet för samhällsviktiga och digitala tjänster sägs En sanktionsavgift ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor.
10 miljoner kan ju vara skrämmande för en liten kommun men för en större organisation kan det som en summa värd att gambla med.
Vad som är skrämmande är att det inte är en tillsynsmyndighet utan sex förutom MSB: Sammanfattningsvis är min bedömning att det är minst lika omfattande krav som ställs i den här lagen som i dataskyddsförordningen.
Att bedriva ett systematiskt och riskbaseratär en mycket komplex uppgift som de statliga myndigheterna inte lyckas leva upp på något särskilt övertygande sätt trots att kravet funnits i föreskrift i snart ett decennium.
Nu vidgas kretsen som skulle uppfylla den målbilden till även kommuner och landsting vilkas möjlighet att realisera den är långt, långt sämre än de statliga myndigheternas.
Och så till ett stort antal företag som kommer att ta in kravet i sin affärsplanering och vara extremt intresserade av att förstå exakt vad som krävs eftersom säkerhet kostar.
Missförstå mig rätt.
Jag är den första att hävda nödvändigheten av att bedriva eoch då särskilt i kommuner och landsting.
Hur starkt jag än uttrycker den övertygelsen framstår det som ett understatement.
Men för att uppnå detta måste man förstå förutsättningarna.
Jag ska därför här göra ett litet tankeexperiment för att försöka förstå hur den nya lagstiftningen landar i en medelstor kommun som vi kan kalla Söpple kommun.
En första observation är när vi tittar på de obligatoriska uppgifterna för en kommun är att Söpple kommun kommer att få fem tillsynsmyndigheter: Energimyndigheten eftersom man har ett kommunalt elbolag, Transportstyrelsen eftersom man har kommunal kollektivtrafik, IVO eftersom man bedriver hälso- och sjukvård bland annat inom äldrevården, Livsmedelsverket eftersom man producerar och levererar dricksvatten och PTS eftersom man har ett stadsnät (jag har inte här gjort någon skillnad på om det är kommunala bolag).
Söpple kommun måste alltså vara beredda på att dessa fem olika myndigheter kan komma på tillsynsbesök.
Vilka förutsättningar har då Söpple kommun som med sina 24 000 invånare kan sägas vara en normalstor kommun.
I kommunen finns ingen informationssäkerhetsansvarig utan frågan ligger under it vilket också är normalt men olyckligt.
Man har påbörjat en sondering med två grannkommuner för att gemensamt kunna inrätta en tjänst som informationssäkerhetssamordnare vilket suttit hårt åt eftersom varje utgift ställs mot personal i äldreomsorgen.
Tyvärr har man redan insett att även om man lyckas få beslut om medel för en sådan tjänst kommer det att bli extremt svårt att hitta en sökande som både har kompetens och är villig att flytta till Söpple.
Sannolikheten för att hitta någon i kommunen är mycket låg, det finns inga utbildningar för att snabbt utbilda en redan anställd och de som finns på marknaden kan definitivt få bättre betalt än i kommunal verksamhet.
Jag vill bara här återigen understryka att informationssäkerhet i en kommun är på en svårighetsgrad som få informationssäkerhetsansvariga i statlig verksamhet någonsin råkar ut för så är det någonstans kompetens verkligen behövs så är det i kommunerna.
Både tjänstemannaledningen och den politiska ledningen i Söpple kommun är yrvakna.
De har inte hört talas om något NIS-direktiv och har precis tagits sig igenom pärsen med dataskyddsförordningen.
Min hypotes om okunskapen i Söpple bygger jag på att det är just det förhållande som jag stött på när jag varit i kontakt med ett stort antal kommunala företrädare.
För att göra en bedömning om varför beredskapen inför NIS är så låg så gjorde jag i förra veckan en rundvandring på MSB:s och de övriga tillsynsmyndigheternas samt SKL:s webbplatser för att se vilken information som fanns om NIS där.
På MSB:s webbplats finns en sida med undersidor som i huvudsak bygger på vad som står i lag, förordning och MSB:s . Hur olika aktörer ska göra för att de ska kunna klara en tillsyn står det däremot mycket litet om, där hänvisar man till det så kallade Metodstödet som på en tämligen abstrakt nivå går igenom olika aktiviteter som kan ingå i ett systematiskt säkerhetsarbete.
Vällovligt men inte särskilt användbart för en kommun med de mycket konkreta frågor som måste lösas i detta sammanhang – bara en sådan sak som att hantera nämndorganisationen… Ytterligare en komplikation är att man tungt lutar sig mot en standard som inte är fritt tillgänglig, något som kan bli mycket besvärligt när tillsynsaktiviteterna sätter igång.
Det går liksom inte att kräva att varje organisation som ska tillsynas måste köpa standarderna för att veta vad de är tvungna att göra.
Skyldigheterna måste framgå av föreskriften och vara möjliga att granska även i ett offentlighetsperspektiv.
Övriga tillsynsmyndigheter har inte heller de såvitt jag kan se ingen information riktad till kommunerna specifikt.
I vissa fall tycker jag dock att den generella information de erbjuder är överlägsen den som finns på MSB:s webbplats som Energimyndighetens frågor och svar som ger rediga besked i en del kniviga .
Mest sparsmakad är kanske IVO som egentligen bara konstaterar att man är Inte heller SKL erbjuder sina uppdragsgivare något överflöd av information i . Webbplatserna gav alltså inte något bra stöd för Söpple kommun att ta tag i frågan men det är kanske inte den vägen som är den primära för att sprida information till kommunerna – för att börja söka där måste man ju först veta att det finns ett NIS-direktiv.
Jag skickade därför ett mail till MSB.
PTS, Livsmedelsverket, Energimyndigheten, IVO och Transportstyrelsen med följande lydelse: Hej!
Jag skulle vilja ta del av information angående lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet) som x (d.v.s.
den aktuella myndigheten) skickat direkt till kommuner.
Samma meddelande lade jag in i frågelåda på SKL:s webbplats och jag kan redan nu avslöja att jag inte fått något svar på detta.
När det gäller myndigheterna kan man sammanfattningsvis säga att det endast är MSB som skickat ut någon information direkt till kommunerna och då inte till kommunerna specifikt eftersom det handlar om missiven till föreskrifterna när de gått ut på remiss.
Detta skedde sista augusti.
MSB har deltagit i en träff i nätverketkommuner (KIS) och har en frågelåda på webbplatsen där man kan skicka in mail.
Dessa frågor är dock inte ännu synliga för någon annan än den som skickat frågan.
Livsmedelsverket har tagit fram en broschyr som man delat ut på en konferens om dricksvatten.
I övrigt säger sig tillsynsmyndigheterna invänta att MSB ska samordna dem.
Så här fyra månader efter att lagen trätt i kraft är det svårt att inte jämföra med hur vi blev fullständigt översköljda från olika håll med information om dataskyddsförordningen.
Datainspektionen måste faktiskt få en eloge för att man redan ett par år innan det äntligen blev 25 maj 2018 byggde upp informationskanaler både IRL och på sin webbplats.
Jag kommer med särskild glädje ihåg en realtidschatt för kanske två år sedan då det gick att ställa alla möjliga frågor till myndighetens kunniga jurister.
För aktiva personuppgiftsansvariga har det varit fullt möjligt att planera och bygga upp de nödvändiga funktionerna i sin organisation.
Att det sedan inte alltid blivit så är en annan fråga.
Att Datainspektionen bedrivit ett aktivt informationsarbete i god tid innan dataskyddsförordningen blev verklighet gör att de tillsyner man raskt kommit igång med känns rimliga.
Samma sak kan inte sägas i fallet med NIS-direktivet som trots att det varit känt på central nivå i flera år inte alls åtföljts av samma förberedelser.
Utifrån vad jag hittills sett kan mycket väl frågan fortfarande vara helt okänd i Söpple kommun men även hos andra både offentliga och privata aktörer.
Nu verkar ju inte tillsynsmyndigheterna kommit igång än vilket måste vara lika bra sett till det rådande läget när det gäller information och stöd.
Meningen med tillsyn är inte att skapa ett blame game och inte heller innebär tillsyn i sig några förbättringar om det inte tydligt framgår vad som ska göras (jag hävdar detta med viss emfas efter att ha jobbat med tillsyn ett antal år).
Tyvärr tycker jag mig spåra en omedveten trend inom både säkerhet och digitalisering att information från myndigheter främst sker muntligt på konferenser m.m.
Förutom den otydlighet och det breda tolkningsutrymme som övergivandet av skriftlig information innebär gör det att informationen inte når utanför de invigdas krets.
Det är inte heller möjligt att fördjupa sig, gå tillbaka, sprida vidare och att ha kontroll över att det är korrekt information som förmedlas.
Nu när olika lagstiftningar dessutom ska samexistera i en mängd organisationer krävs betydligt djupare resonemang än de som kan förmedlas via en power point-presentation.
För att göra en u-sväng i mitt argumenterande kanske det finns fördelar med att det ännu spridits information och stöd gällande lagen om informationssäkerhet för samhällsviktiga och digitala tjänster.
Nu kanske det finns möjlighet att ta ett nationellt ansvar och samordna de olika regleringarna så att inte varje kommun behöver sitta och försöka få ihop olika lagstiftningar och hur de ska uttolkas för den egna verksamheten?
Låt oss hoppas det.
För att de här nya regleringarna dels ska få genomslag, dels leda till säkerhetshöjande effekter krävs mycket tydlig information om som ska göras till som ska göra något samt stöd för det ska göras, d.v.s.
Dessutom, snälla, behövs samordning så att det blir en enhetlig kravbild.
Utan starkt stöd, gemensam prioritering och samordning kommer Söpple kommun vare sig att klara NIS-direktivet eller säkerhetsskyddslagen.
För kommuner som Söpple där egen kompetens i hög grad saknas tror jag att vi måste tänka mycket mer i fasta skyddsnivåer och ett mycket välutvecklat centralt stöd för att det inte bara ska bli både dålig säkerhet och dålig stämning.Men vem är det då som ska ta ansvar för helheten?
Kanske behövs det rent av en ny informationssäkerhetsutredning som utgår från verklighetens utförare av informationssäkerhet och vad de behöver för att klara uppgiften?
Jag tror helt enkelt vi har råd att leva i en drömvärld där olika aktörer oberoende av varandra pekar på vad de vill ha men ingen talar om för Söpple kommun få ihop det i den egna verksamheten.
Förtydligande: jag har efter jag publicerade detta fått ett påpekande att kommunens stadsnät sannolikt inte faller under NIS men däremot under lagen om elektronisk kommunikation (LEK) som har likartade krav som NIS.
Effekten för Söpple kommun blir alltså ungefär densamma i slutändan.
Om jag ser tillbaka och försöker se var jag fått vägledning i min roll som informationssäkerhetsansvarig så är det första jag kommer att tänka på den Handbok i it-säkerhet i tre delar som Statskontoret gav ut 1997.
Även om den angav att innehållet var it-säkerhet var det i realiteten informationssäkerhet den handlade om, det vill säga den organisatoriska styrningen med hjälp av ett antal aktiviteter.
När jag tittar tillbaka i den är det inte så mycket som förändrats vilket väl får sägas vara en ganska dyster insikt.
Trots att Statskontoret inte hade ett mer renodlat informationssäkerhetsuppdrag tog man även fram ett metodstöd och mallregelverk som skulle hjälpa myndigheter att införa ett ledningssystem för informationssäkerhet.
Stödet kallades OffLIS och kom 2003 som en del i arbetet med ”24-timmarsmyndigheten”.
Krisberedskapsmyndigheten (KBM), inrättades efter vissa förvecklingar 2002 och var en av de myndigheter som 2009 slogs samman till dagens MSB.
I KBM:s uppdrag fanns bland annat att ha det sammanhållande myndighetsansvaret för samhällets informationssäkerhet och att utforma en nationell handlingsplan för informationssäkerhet.
Som en del i detta uppdrag tog man fram metodstödet BITS (Basnivå för it-säkerhet) som var tänkt att fungera som en de facto-standard för offentlig sektor.
BITS introducerades kraftfullt av KBM inte minst i kommunerna och bistod även med en slags konsultstöd samt olika typer av bidrag för att exempelvis höja den fysiska säkerheten och förbättra tillgången till reservkraft till kommunala datorhallar.
OffLIS och BITS slogs ihop 2005 för att få en ökad enhetlighet.
Seklets första årtionde var rörligt när de gällde informationssäkerhet.
Vid sidan om KBM:s uppdrag pågick informationssäkerhetsutredningen, Verva skrev föreskrifter om säkert informationsutbyte och Nämnden för elektronisk förvaltning tillsattes 2003 med uppgiften: ” att stödja utvecklingen av ett säkert effektivt elektroniskt informationsutbyte mellan myndigheter och mellan myndigheter och enskilda genom att beslut om vilka standarder för informationsutbyte myndigheter under skulle använda sig av” vilket ju låter välbekant.
Trots att frestelsen är stark ska jag inte gå längre in detta just nu utan bara konstatera att BITS var synnerligen populärt inte minst hos kommuner och efterfrågades långt efter att MSB valt att avveckla stödet.
Ett antal kommuner hänvisar fortfarande i sina styrande dokument till BITS (det är bara att googla och kolla).
Vad var det då som gjorde BITS så populärt?
En vanlig uppfattning bland de kommunala företrädare jag diskuterat frågan med var att BITS gav dem enkla handfasta regler och en tydlig lägstanivå att förhålla sig till.
Utifrån de resurser som står till buds i en liten eller medelstor kommun har detta setts med viss tacksamhet, särskilt då stödet åtföljdes med ett visst konsultativt och ekonomiskt bistånd.
Själv har jag varit skeptisk.
Ett skäl var att BITS var så inriktat på it-säkerhet (även om man vid revideringen 2006 gjorde en strukturell anpassning till ISO 27000).
Ett annat att en tillämpning av BITS leder till en basnivå medan det verkliga behovet i en kommun (liksom i andra organisationer) är att kunna ha olika nivåer av skydd beroende på informationens och verksamhetens karaktär.
Framförallt har jag tyckt att man riskerar att missa den unika organisationens behov.
BITS övergavs också av KBM och sedermera MSB.
Idag är utgångspunkten för de stöd som tas fram att varje organisation ska starta från noll och ta fram sitt eget ledningssystem med alla delar.
Den enskilda organisationen erbjuds det som kallas metodstöd eller delmängder som stöd för att klassa system.
Bara i offentlig sektor innebär det att över 400 myndigheter, 290 kommuner och 21 regioner själva ska ta fram och förvalta respektive ledningssystem, metoder för risk-och kontinuitetshantering och skyddsnivåer.
Detta är en enorm arbetsinsats som dessutom kräver att varje myndighets/kommuns/landstings ledningssystem måste översättas vid samarbeten.
Till detta kommer alla andra nödvändiga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering,….
Objektivt sett kommer detta inte att vara möjligt att genomföra eftersom det inte finns tillgänglig kompetens i en omfattning som ens är i närheten av vad som skulle behövas.
Min uppfattning är att en dellösning på den annars omöjliga ekvationen med starkt ökande krav på systematiskti kombination med en mycket påtaglig brist på tillgänglig kompetens är en ökad standardisering.
Jag har därför börjat ompröva min tidigare inställning.
Som en följd av detta tror jag det dags att ta fram en ny inriktning där en omvärdering göras av de tankar som låg bakom BITS och även OffLIS kan ingå som ett första steg.
Då menar jag inte att en revision av BITS eller en återstart på OffLIS.
Snarare att seriöst analysera vilka delar av esom kan standardiseras i olika typer av organisationer.
Ett nytt koncept borde istället vara inriktat på s. Jag ska här bara skissa upp några punkter där en standardisering skulle kunna ske och ge mycket stora samordningsvinster.
För enkelhetens skull så kan vi ta kommunerna som exempel.
Det är också lämpligt eftersom kommunerna har mycket komplexa säkerhetsbehov som är mycket svåra att hantera för den enskilda kommunen, inte minst för de små och medelstora kommunerna.
De svenska kommunerna har tio obligatoriska uppgifter, det vill säga uppgifter som de enligt lag ska utföra oavsett kommunens storlek och resurser.
Dessa uppgifter genomförs på olika sätt i olika kommuner och i olika organisatoriska konstruktioner.
Men processens olika aktiviteter är i stort sett de samma i flera av dessa obligatoriska uppgifter.
Att söka plats på förskolan eller att administrera den politiska beslutsapparaten innehåller samma moment och i stort samma information om än med olika benämningar.
För att underlätta för kommunerna skulle följande kunna göras nationellt: Naturligtvis bör det framgå att organisationen måste göra egna riskbedömningar och att det enbart är förslag.
Ändå skulle detta vara en mycket värdefull hjälp för kommunerna som också skulle kunna tillämpa grundmodellen för informationsklassning med skyddsnivåer för den unika information som kan utöver de standardiserade förslagen.
Låter mycket att ta fram nationellt tänker ni kanske.
Betänk då att alternativet är att ta fram detta i 290 kommuner, i många fall utan tillräcklig kompetens och resurser, och då få fram inkompatibla lösningar.
Sannolikheten för att flertalet kommuner inte klarar uppgiften och istället får skämmas i rapporter från MSB och Riksrevisionen är inte direkt låg.
Jag menar därför att det är en mycket rimlig investering att skapa nationella lösningar där det faktiskt går.
Hur dessa lösningar ska tas fram och vem som ska ansvara för utveckling och förvaltning tål att diskuteras.
Kanske är en stiftelse där även privata aktörer skulle kunna ingå ett alternativ?
Efter mitt förra inlägg om e-hälsa har jag fått en del kommentarer som visar att sjukvårdens organisation och i ännu högre grad e-hälsoområdets styrning är en okänd värld för många.
Som en projektledare en gång sa till mig som en förebärare för Trump: ”Hur svårt kan det vara med sjukvård (och e-hälsa)?”.
Ganska svårt skulle jag vilja säga vilket även Trump .
Därför kommer här en inledning för att ytterligare förtydliga hur jag uppfattar organisationen idag (finns utrymme för osäkerhet i detta) samt ge ett praktiskt exempel på vad det leder till.
För att bara titta på den bristande styrningen har jag uppdaterat en gammal bild till hur jag tror det ser ut i dag (jag har inte tagit med finlir som kvalitetsregister och trygghetslarm m.m., m.m.).
Bilden är ett försök beskriva samspelet.
Som framgår är ett flertal myndigheter involverade i olika delar, det finns utförare och leverantörer.
Två saker är slående.
Den första är att det inte finns en överordnad myndighet med mandat att hålla ihop helheten och som kan vara kontaktpunkt för övriga aktörer.
Med tanke på hälso- och sjukvårdens betydelse för samhället i olika dimensioner, de mycket stora offentliga resurser som går till sjukvården och det stora antalet aktörer som deltar i det gemensamma vårdarbetet måste detta ses som ett icke-rationellt sätt att organisera det hela om man vill ha effektivitet, kvalitet och strategisk inriktning.
Det andra är SKL och sjukvårdshuvudmännens organisation som jag menar inte håller måttet för de uppgifter som man åtagit sig.
Sjukvårdshuvudmännen har en roll som offentliga organ som är reglerad i lagstiftningen.
Detsamma gäller för vårdgivare oavsett om de är privata eller offentliga.
Men i denna ordning har alltmer SKL glidit in, en intresseorganisation som inte är en myndighet, inte har en lagfäst roll och inte omfattas av offentlighetslagstiftningen.
Riksrevisionen har pekat på detta i en gällande den generella styrningen på vårdområdet.
Inom e-hälsoområdet är problemen med detta mycket tydligt.
En inte oviktig fråga i detta är att det öppenhetskrav som gäller för myndigheter som landsting, regioner och kommuner försvinner då de samarbetar i sin intresseorganisation.
Nu när aktiviteter som tidigare skedde i respektive huvudmans verksamhet flyttas in i SKL:s hägn (inklusive Inera) försvinner också insynen.
Detta kan jämföras med kommunalförbund där insynsmöjligheten fortfarande finns kvar.
Denna fråga verkar inte engagera SKL i någon högre grad, jag söker på hemsidan för att finna om man frivilligt erbjuder en likande insyn i beslutsunderlag och annat som skulle räknas som allmänna handlingar hos SKL:s medlemmar men ser inga sådana informationsinsatser.
Jag skickade även ett mail till SKL:s infoadress den 24 juli: Hej!
Jag vet att SKL inte är en myndighet och därmed inte omfattas av offentlighetslagstiftningen.
Däremot är SKL:s medlemmar det liksom medlemmarnas uppdragsgivare.
Min fråga är hur eftersträvar SKL att ändå kunna erbjuda motsvarande transparens som medlemmarna förutsätts ha?
Detta borde vara allt viktigare i och med att SKL har tagit på sig allt fler uppgifter av operativ karaktär och frågor som starkt påverkar medlemmarnas prioriteringar och finansiering.
Eller är SKL:s linje att allmänheten får tillräcklig insyn via det material som publiceras på den egna webbplatsen?
Detta mail är fortfarande obesvarat efter ett par veckor, kanske beroende på semestertider, vilket i sig är en intressant illustration av att SKL inte omfattas av kraven på myndigheter att snabbt besvara inkommande frågor.
I frågan om e-hälsa är det dock de bristande organisatoriska förutsättningarna som är mest värda att ifrågasätta.
SKL är i sig inte en organisation som är skapad för att bedriva operativ verksamhet utan för att driva förhandlingar i huvudmännens intresse mot arbetstagare och delvis även mot regeringen.
Nu har man omvandlat sig till något som varken är företag eller myndighet men har en horisontell integration där huvudmännen både är leverantörer och kunder, en typ av organisation som redan Vänerskogs jättelika konkurs 1981 visade problemen med.
Denna oreda av aktörer i en infrastruktur av mycket känslig information är detta, ja jag vågar klämma i med, katastrofalt.
Ett mycket stort antal stort antal aktörer är inne och rycker i den gemensamma informationsinfrastrukturen utan att det finns en konkret inriktning utom den som delas av regeringen och SKL.
Jag noterar att webbplatsen inte uppdaterats sedan oktober 2017 men att det kommit en som mest verkar vara ett underlag för förhandlingar samt ett antal fluffiga mål.
Det är långt till verkstaden om man säger så.
Vad leder detta till i praktiken?
Ett bra exempel är hur den ganska naturliga frågeställningen om att ge patienten tillgång till mer information om sin hälsa, behandlingar m.m har hanterats.
För att klargöra utgångsläget så har patienter haft rätt att ta del av sin journal sedan länge, se patientjournallagen (SFS 1985: 562).
En journalhandling inom enskild hälso- och sjukvård skall på begäran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller kopia, om inte annat följer av 2 kap.
8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.
E-hälsofrågan i det hela handlar mer om patienten kan del av journalen.
Personligen tycker jag att hela frågan är felformulerad – istället borde den ha varit: ”hur informerar vi patienten på bästa sätt?”.
Då hade vårdens arbetsverktyg knappast varit den bästa lösningen utan man skulle jobbat på att ge patienten information i den form och på det sätt som gör det enkelt att ta till sig.
Bortsett från detta så påbörjades under början av 2000-talet i landstingsvärlden projekt med målsättning att tillgängliggöra journalen via nätet.
Observera att detta endast handlar envägskommunikation – att patienten får möjlighet att journalen.
Trots att dessa initiativ pågick bland huvudmännen bestämde Göran Hägglund som socialminister att ett nationellt initiativ skulle inledas för att patientjournaler skulle göras tillgängliga i en tjänst där de kunde användas av tredjeparter efter patientens initiativ.
Jag ser det här som ett utslag av att både e-hälsa och e-förvaltning starkt präglades av att under åren runt decennieskiftet ses som en näringsfråga, d.v.s.
de personuppgifter som myndigheter samlar in ska ses som råvara för privata tjänsteleverantörer.
Do´nt get me started – utrymmer räcker inte till för dra upp alla negativa aspekter av detta… Låt mig istället nöja mig med att detta var en lösning med så många problem inte minst säkerhetsmässigt att den skulle ha lagt sig i byrålådan på ett mycket tidigt stadium.
Nu är det stoppat av Datainspektionen även om eHälsomyndigheten fortsätter att processa stödda av en landets mest exklusiva advokatbyråer till en kostnad på drygt 1,5 miljoner bara 2017 (jag har kollat).
För att summera: det har alltså pågått två parallella projekt utan samordning, så vitt jag kan se, för att överföra information från journal till patienter.
Man har inte i lösningarna tagit höjd för hur behovet att patienten med tillräcklig kvalitet och säkerhet ska kunna föra tillbaka uppgifter till vården – en fråga som i sig är en av grundvalarna i en utvecklad e-hälsa.
Exemplet visar mycket tydligt att det inte finns en gemensam plan, behovsanalys eller medvetenhet om att man bygger en gemensam infrastruktur.
Min erfarenhet från olika sammanhang inom området är det också ofta saknas vilja att ta vara på professionernas intresse av fungerande arbetsverktyg eller etiska krav.
Tråkigt nog tycker jag inte att arbetstagarorganisationerna varit särskilt skickliga på att samla och driva sina medlemmars olika behov, detta är dock bara mer än känslomässig upplevelse från konferensbord och från att ha tagit del av olika debattinlägg.
Trots att alla aktörer med emfas skulle säga att de starkt vurmar för patients intresse kan jag tycka att det är väl lätt att utan fog göra sig till patientens företrädare.
Framför allt är det svårt att hitta insikten i att patienter är vi alla och på samma sätt som vi har väldigt olika syn och intressen i andra frågor har vi det även som patienter.
Ett flagrant exempel på detta är de som ständigt ställer patientsäkerhet mot integritet.
Eller inte erkänner att om en välsituerad grupp använder kommersiella nätläkare för att lindra myggbett så kommer det att inkräkta på andra patienters intressen.
Även här måste finnas en mycket större helhetstanke där e-hälsan sätts i sitt rätta sammanhang.
Slutligen kan jag inte underlåta att gå in på integritetsfrågan och hur det gick när jag försökte begära ut mina personuppgifter från vården.
Även detta är en god illustration av läget.
Först till den juridiska historiken som går att scrolla förbi om man inte är intresserad men den har rätt stor betydelse för det praktiska utlämnandet av personuppgifter.
Enligt den gamla patientjournallagen hade varje vårdgivare ansvar för sin egen journal och om uppgifterna behövdes hos en annan vårdgivare måste vissa mått och steg vidtas.
En ansvarig läkare hos vårdgivare A måste göra en menprövning om det var till men eller gagn för patienten att uppgifterna lämnades ut.
Lämnades uppgifter ut skulle ett journalnotat göras om när, vad och till vem uppgifter lämnats ut och hos vårdgivare B fördes uppgifterna in som ”kopia”.
Hela förfarandet hade fördelar som att det gav mycket god spårbarhet, patienten kunde eventuellt förhindra att information lämnades vidare om man ville skydda sin integritet och det var inte hela journalen som lämnades vidare utan bara relevanta delar.
Jag vill bara påpeka dessa fördelar utan att för den delen behöva anklagas för att vara bakåtsträvare för naturligtvis är detta regler som är svåra att upprätthålla i ett digitalt flöde.
Och, ja, jag är väl medveten om att reglerna inte alltid efterlevdes.
Min poäng är att dessa säkerhetsåtgärder inte ersattes av motsvarande funktioner när patientdatalagen (PDL) infördes.
Mitt intryck efter att ha följt frågan om vårdinformation tämligen ingående sedan 1994 är att det inte ens fanns en ambition att göra det.
Denna min uppfattning stärks när jag läser förarbetena till lagstiftningen.
Jag ser patientdatalagen som ett resultat av mer än ett decenniums påverkanskampanj från olika aktörer med innebörden att säkerhet och integritet inte går att förena med digitaliseringen utan man måste välja.
Valet blev då tämligen enkelt eftersom den tekniska och organisatoriska förändringen redan genomförts.
Resultatet, förutom allt newspeak där dålig säkerhet var bra säkerhet o.s.v., var att i patientdatalagen infördes ”sammanhållen journalföring” som enligt lagens definition betyder: Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.
I och med patientdatalagen ändrades grundprincipen för hanteringen av journaluppgifter från att det tidigare defaultläget var att en vårdgivare inte kunde lämna ut uppgifter utan menprövning till nuvarande defaultläge: att information kan flöda mellan vårdgivare om inte patienten aktivt spärrar utlämnandet.
Ett villkor som satts upp för den sammanhållna journalföringen: Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att andra uppgifter än dem som anges i görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.
En sjuk patient ska alltså ta till sig information om hur informationen kommer att hanteras och dessutom ha kraft genomdriva en spärr om hen bedömer att överföringen olämplig.
Några saker bör särskilt noteras i detta redan orimliga scenario.
För det första innebär direktåtkomsten att vårdgivare 2 får tillgång till vårdinformation hos vårdgivare 1 istället för som tidigare ett journalutdrag över information som bedöms vara relevant för det aktuella sjukdomstillfället.
För det andra förutsätter det att vårdpersonalen hos vårdgivare 1 kan ge upplysningar om hur informationen kommer att hanteras i den sammanhållna journalföringen, vilka som kommer att få tillgång till den exempelvis.
Min visserligen anekdotiska men ändå uppfattning efter att ha frågat ett ganska stort antal anställda i vården finns inte en kunskap inom vården hur informationen hanteras och hur ska då personalen kunna upplysa patienten?
Detta är inte så konstigt för jag tror uppriktigt inte någon idag har kontroll över informationsflödena i vården.
För det tredje lyser ett decennium efter PDL:s ikraftträdande fortfarande möjligheten att faktiskt spärra sin journal med sin frånvaro hos ett stort antal vårdgivare.
I praktiken kan jag inte se att patienten har någon reell möjlighet att vare sig få veta hur den egna vårdinformationen hanteras eller att påverka åtkomsten till den.
Med stöd av den sammanhållna journalföringen har det vuxit fram en vårdinformationsspaghetti där det vad jag kunnat se inte finns vare sig överblick, tydlig styrning eller definierade ansvar.
Detta leder också till att när jag hos min vårdgivare frågar: ”Gör ni journalnotat om vilka samtycken till andra vårdgivare jag givit så att jag kan få en sammanställning över vilka som fått åtkomst till mina uppgifter?” får till svar ” Nej, det finns i dagsläget ingen sådan funktion i COSMIC men detta är under utveckling, det vill säga en samtyckestjänst.
Vi dokumenterar inte i x:s journal andra vårdgivares samtycken, detta är var och ens eget ansvar.
När någon inhämtar ett samtycke i COSMIC så genererar detta en logg samt en referens i journalen.”.
Det vill säga att den vårdgivare som lämnar ifrån sig informationen noterar inte detta utan patienten förväntas ansvara för spårbarheten.
Jag vände mig då till Inera som ansvarar för tjänsten Nationell Patientöversikt som är en slags växel då vårdinformation förs mellan olika vårdgivare.
På frågan om de kan redovisa vilka som eventuellt tagit del av min vårdinformation svarar de: ”Samtycke måste alltid inhämtas av den vårdgivare som ska ta del av din information i NPÖ.
Samtycket ska registreras i det lokala journalsystemet hos den aktuella vårdgivaren.
Det tekniska samtycket loggas i den nationella säkerhetstjänsten som förvaltas av Inera.
Det finns ingen dokumentation från journalinformation och inte heller någon information om varför samtycket har inhämtats.” Deras uppfattning är alltså att de endast har ”tekniska loggar” och att jag fortfarande själv måste hålla reda på mina samtycken trots digitaliseringen.
Det framgår också att de anser att de tekniska loggarna inte är att betrakta som personuppgifter.
Jag har valt att inte fördjupa mig ytterligare i detta men hoppas att andra tar upp den tråden.
Sammantaget skulle jag vilja säga att detta rimmar rätt illa med dataskyddsförordningens krav.
Min egentliga poäng med att försöka beskriva att oreda, de oklara ansvarsförhållandena och bristande överblick är att detta naturligtvis inte bara påverkar patientens möjlighet till personlig integritet.
I ännu högre grad påverkas effektivitet, patientsäkerheten och möjligheten att upprätthålla verksamheten vid större störningar.Särskilt bekymmersamt är det oklara ansvaret som även andra Vad blir då kontentan av allt detta?
Jag tror faktiskt inte huvudfrågan är huruvida sjukvården ska förstatligas utan hur den ska styras (även om jag i dagsläget har litet svårt att se exakt vilket värde den regionala politiska styrningen tillför).
Oavsett om det finns 2 eller 200 000 vårdgivare så måste det finnas en stark statlig styrning som då inte enbart omfattar den offentligt finansierade slutenvården som ett förstatligande skulle innebära.
Den nuvarande bristen på styrningen tjänar såvitt jag kan se enbart oseriösa leverantörer på och möjligen de offentliga företrädare som älskar att åka omkring på olika konferenser och framställa sig som visionära.
Situationen där myndigheter processar mot varandra vittnar väl om något om den rådande anarkin.
Om vi inte klarar av att styra digitaliseringen av vården idag så blir tanken på AI och IoT mardrömslik.
Mina förslag är därför att på äktsvenskt maner tillsätta flera rejäla utredningar men med skillnad från de tidigare inte bilägga facit från uppdragsgivaren.
Jag ser framför mig en handfull utredningar inom olika områden men som är starkt koordinerade så att resultaten går att använda.
Viktigt är att ta hänsyn till de mångskiftande intressen som hälso- och sjukvården ska tjäna, inklusive professionernas och forskningens behov på kort och lång sikt.
Inriktningen bör vara att på samma sätt som på 1940-talet bygga en långsiktigt fungerande infrastruktur i bred politisk enighet.
Några förslag (jag tar inte med komplicerade saker som prioriteringar i vården och patienters egentliga intressen): Puh!
Jag vill verkligen inte påstå att jag kommit med de definitiva sanningarna i dessa komplicerade frågor – det finns så många olika sätt att betrakta den svenska e-hälsan.
Säkert har jag missuppfattat eller vantolkat en massa saker.
Mitt enda försvar är att jag efter bästa förmåga försökt måla upp bild av e-hälsa.
Förhoppningsvis kan dessa långa inlägg stimulera andra att dela bild av samma frågor.
En rimlig ståndpunkt är att tydliga begrepp i de flesta fall är en förutsättning för en fungerande kommunikation.
Personligen ser jag kommunikation som det viktigaste redskapet för att få till en fungerande informationssäkerhet både i den egna organisationen och nationellt.
Därför är begrepp inom informationssäkerhet en avgörande faktor för att lyckas.
Ett begrepp som gjort en raketkarriär är cyber.
Det är inte bara en allmän känsla utan stöds också av en sökning i Retriever, se graf: I många sammanhang, även från regeringen, lyfts betydelsen av s.k.
cybersäkerhet fram som en central fråga för det svenska samhället.
Jag uppfattar försvarsminister Peter Hultqvist som en informell rekordhållare då han lyckades säga ”cyber” inte mindre än 36 gånger i ett men då krävdes det också stycken som det här för att lyckas: Cyberdomänen, eller cyberrymden, vad vi än väljer att kalla den, har kommit att bli en ytterligare arena för militär och annan verksamhet.
Den trenden har varit tydlig under en tid.
Tidigare rapporter från Försvarsberedningen har lyft fram de problem och risker som präglar cyberdomänen.
Den tilltagande antagonistiska dimensionen i cyberrymden gör det nödvändigt att utveckla och stärka cyberförsvarsresurser.
Vi kan se att ett flertal länder i världen har gjort just det.
Det försvarspolitiska inriktningsbeslutet från 2015 innehöll ett tydligt och nytt steg i arbetet med svenskt cyberförsvar.
Här förekommer även sammansättningar som cyberdomänen respektive cyberrymden som antingen är samma sak eller möjligen inte eftersom begreppen används varannan gång t.o.m.
Detta är kanske bara ett uttryck för språkglädje där man vill variera uttrycken.
Hur som helst har begreppet ”cyber” här någon slags rumslig dimension.
I den nationella strategi för samhällets informations- och cybersäkerhet som regeringen presenterade 2017 och som statsrådet hänvisar till i sitt anförande saknas dock denna rumsliga dimension då begreppen som utgör strategins ämne definieras: Med informations- och cybersäkerhet avses i denna skrivelse en uppsättning säkerhetsåtgärder för bevarande av konfidentialitet, riktighet och tillgänglighet hos information.
Med konfidentialitet avses att obehöriga inte ska kunna ta del av informationen.
Med riktighet menas att informationen inte förändras, manipuleras eller förstörs på ett obehörigt sätt.
Med tillgänglighet menas att behöriga ska kunna ha tillgång till informationen på det sätt och vid den tidpunkt som tjänsterna erbjuder.
För informationssäkerhet som avser digital information används i denna skrivelse även begreppet cybersäkerhet.
I denna skrivelse används begreppen beroende av sitt sammanhang, där exempelvis cybersäkerhetsbegreppet är vanligt förekommande i en internationell .
Det är litet svårt att se skillnaden mellan informations- respektive cybersäkerhet men jag tolkar det som att man ser cybersäkerhet som en delmängd av informationssäkerhet där cybersäkerhet bara handlar om ”digital information”.
Cybersäkerhet anses också mer ”internationellt”.
För mig är blir det aningen besynnerligt att tala om digital information eftersom det blir en mix av information och bärare– när man exempelvis klassar information är det ju inte mediet som klassas utan informationsinnehållet.
För att få bättre bild av hur begreppet används av de myndigheter som har särskilda ansvar inom området och därmed ofta kommunicerar med begreppet i fokus skrev jag en enkel fråga till tre av dessa myndigheter; Försvarsmakten, SÄPO och MSB.
Begreppet ”cyber” används flitigt för tillfället.
Jag skulle behöva ha x:s definition av begreppet eftersom det används på olika sätt i olika sammanhang.
Samma dag fick jag svar från Försvarsmakten med en hel ordlista ( ) med sammansättningar med ”cyber”, däribland cybersäkerhet: Cybersäkerhet är den samling av säkerhetsåtgärder, riskhanteringsmetoder och tekniker som kan användas i syfte att bevara konfidentialitet, riktighet, spårbarhet och tillgänglighet i cyberrymden.
En stor eloge till FM för denna goda service!
Definitionen pekar mindre på styrning på organisatorisk men desto mer på konkreta säkerhetsåtgärder, alltså ganska långt från ledningssystem.
Åtgärderna ska vidtas i cyberrymden (med synonymer som cyberspace, cybermiljön, cyberarenan, cyberdomänen) som enligt begreppslistan är: Cyberrymden är den del av informationsmiljön som består av de sammanlänkade och av varandra beroende it-infrastrukturer, som möjliggör kommunikation, med tillhörande data och information.
Den inkluderar internet, intranät, telekommunikationssystem, it-system samt inbyggda processorer och styrenheter.
Jag uppfattar det som cyberrymden är den gemensamma tekniska infrastrukturen men inte informationen i sig.
Från SÄPO kom efter en knapp vecka det något förvånande svaret: Hej, Säkerhetspolisen har ingen egen definition av begreppet cyber.
Det är inte ett begrepp som används primärt i vår verksamhet.
Förvånande eftersom ”cyber” förekommer flitigt på SÄPO:s webbplats, i olika rapporter och utåtriktad verksamhet som och för att bara ta ett par exempel.
Slutligen då MSB där svaret satt hårdare inne och inte kom förrän efter en dryg månad: Hej!
Ordet ”cyber ”kan inte anses stå för sig själv, utan används av MSB i sammansättning med andra ord, främst ”cybersäkerhet”.
Beroende på sammanhanget använder MSB ordet ”cybersäkerhet” med något olika betydelse: MSB har under flera år engagerat sig i terminologifrågor och stöttar bl.a.
SIS i arbetet med terminologi på informations- och cybersäkerhetsområdet.
MSB planerar inte att ta fram en egen definition av begreppet cyber, eller cybersäkerhet.
De definitioner/beskrivningar som myndigheten behöver kunna använda är, enligt ovan, bl.a.
från regeringens strategier, standardiseringsorgan (ex SIS), FN, EU samt Nato.
Cyber/cybersäkerhet förekommer i dag i förslag till reglering från EU (den s.k.
cybersäkerhetsakten, COM(2017) 477 final).
Myndigheten har därmed tre olika definitioner för olika sammanhang och har dessutom gjort en egen utveckling av den definition som fanns med i 2017 år nationella strategi.
Detta blir aningen motsägelsefullt när man samtidigt säger sig använda befintliga definitioner/beskrivningar och inte utveckla egna.
Formuleringen om SIS undviker elegant att MSB faktiskt inte använder den definition av cybersäkerhet (”cyber” i sig själv ingår inte) som finns terminologin SIS-TR 50:2015 (tyvärr är jag inte länka till terminologin eftersom den inte är fritt tillgänglig): bevarande av konfidentialitet, riktighet och tillgänglighet hos information i cyberrymden Cyberrymden;telerymden har i sin tur definitionen: abstrakt rymd som utgörs av digital kommunikation mellan datornätverk och där all digital information befinner sig Med den förtydligande kommentaren: Cyberrymden innefattar all kommunikation via internet samt telekommunikation.
En cyberrymd möjliggörs av den hårdvara och de system som ingår i en infrastruktur.
Jag är inte alldeles säker på att jag förstår vad detta exakt betyder.
Terminologin verkar dock ha den implicita uppfattningen att ”cyber” har med internationella konflikter och antagonism att göra vilket markeras redan i det inledande stycket till kapitlet om Samhällets informations- och cybersäkerhet: Varje dag utsätts svenska myndigheter och företag för cyberattacker.
Detta har bidragit till att bl.a.
frågor om cybersäkerhet och cyberresiliens har blivit mer aktuella inom olika branscher.
Sverige, liksom många andra europeiska länder, har på senare år börjat uppmärksamma risken för cyberattacker som en global och militär hotbild.
Det är därför viktigt att introducera cybersäkerhet inom olika branscher för att öka förståelsen och kompetensen för hur man kan skydda information från dessa hot.
Cybersäkerheten har medfört nya termer, men eftersom området fortfarande är nytt kan dessa termer komma att ändras och det kommer att krävas fortsatt terminologiutredning inom detta område.
Det verkar inte råda någon konsensus om skillnaden mellan informations- och cybersäkerhet, utan de två termerna används ibland omväxlande.
Ibland används termen informationssäkerhet när inriktningen ligger på informationen och termen cybersäkerhet när det handlar om den digitala domänen; ibland ses cybersäkerhet som informationssäkerhet på en global nivå .
Samtliga sammansatta ord med förleden cyber som presenteras i terminologin är företeelser som skulle kunna ingå i en krigföring eller terrorism på hög nivå (cyberattack, cyberavskräckande, cyberförsvar, cyberkrigföring, cyberoperation osv.).
I en lustig cirkelrörelse hänvisar man i en fotnot till SOU 2015:23 (NISU) och den begreppsdiskussion som förs där på sidan 40: En grundläggande definitionsfråga för hela den svenska informationssäkerhetsnomenklaturen handlar just om innebörden av det svenska begreppet ”informationssäkerhet”.
På engelska är detta begrepp uppdelat i två betydelser dels ”Information Security” som utgår från ett tekniskt perspektiv och återspeglas i ISO 27001-standarden, dels i ”Information Assurance” som utgår från ett nationellt säkerhetsperspektiv och där även organisation och policy ingår.
I tidigare utredningsarbeten gjordes försök att särskilja det senare begreppet från det förra genom att introducera termen ”informationssäkring”, vilket också infördes i SIS-nomenklatur.
Begreppet – liksom den förenklade varianten ”övergripande informationssäkerhet” – vann aldrig någon uppslutning i det offentliga Sverige då det ansågs för komplicerat att beskriva.
Följden har dock blivit olyckliga sammanblandningar i begreppens innebörd – inte minst i internationella sammanhang.
Cybersäkerhetsbegreppet är mer strategiskt och fokuserar mer på nationella och internationella nätverk.
Därmed har cybersäkerhet en större internationell räckvidd med t.ex.
folkrättsliga frågeställningar och normer på cyberområdet än det mer tekniska informationssäkerhetsbegreppet.
Det senare har en större tyngdpunkt mot hård- och mjukvara samt standardisering.
Motivet för fokus mot cybersäkerhet är att det är på detta område som statsmaktsperspektivet behöver utvecklas då frågeställningarna ligger ovanför myndigheternas ansvarsområden, samt att avdömningar mellan olika sektorsstrategier kan behöva göras inom ramen för ett svenskt koherent nationellt förhållningssätt gentemot EU och andra internationella .
Detta är ju ett märkligt stycke där den uttalat organisatoriskt inriktade ISO 27001 framställs som fokuserade på tekniska åtgärder (!).
Cybersäkerhet sägs vara mer ”strategiskt” och verkande på nationell nivå.
Till att detta kommer alla företag som använder ”cyber” i olika konstellationer för sin produkter och tjänster som knappast är på nationell nivå.
Sammantaget är användningen av begreppet ”cyber” högst inkonsistent och rör sig i en skala från å ena sidan normal it-säkerhet med vissa tillägg av informationssäkerhet till en del av det nationella försvaret.
Vissa gemensamma drag tycks finnas som att det gäller digital infrastruktur i någon bemärkelse samt den renodlade inriktningen mot antagonistiska hot.
I övrigt är det ganska fritt valt vilken betydelse man vill ge ordet.
Är denna otydlighet då egentligen ett problem?
Det kanske behövs ett sådant här amorft begrepp som beskriver en amorf verklighet och inte enbart för sexa till vilken konferensrubrik eller vilket tjänsteutbud i it-sektorn som helst?
Kanske inte men jag måste ändå resa invändningen att om att vårt, enligt många, största hot förtjänar en något mer entydig beskrivning.
Att måla upp ett förödande hot mot nationen och mot enskilda men göra det i så oklara termer är inte bra för samhällsklimatet i en demokrati (vilket jag skrivit om tidigare).
Inte heller är det en fördel för kunder att erbjuda tjänster där det inte närmare går att avgöra vad tjänsten egentligen består i. Jag tycker därför att det är en rimlig önskan att åtminstone centrala myndigheter sätter sig ner för att begreppsmodellera vad ”cyber” är och vilken relation cybersäkerhet har till informationssäkerhet.
Betänk språklagens krav på myndigheterna: Språket i offentlig verksamhet ska vara vårdat, enkelt och begripligt.
Oavsett vilken roll jag haft inom informationssäkerhetsområdet, informationssäkerhetschef, konsult eller byråkrat på nationell nivå, har ett behov varit lika uppenbart: behovet av ökad samordning och styrning.
Slutsatsen att det inte är möjligt för en enskild organisation att utveckla ett helt eget koncept för informationssäkerhet behöver knappast motiveras, särskilt när utvecklingen gått mot allt mer gränslösa integrationer av informationshanteringen.
En självklar grundsten för många av oss som arbetat länge med informationssäkerhet har varit ISO 27000 och dess föregångare och det har därför varit naturligt att peka på den som en naturlig utgångspunkt i den nationella styrningen.
Däremot har jag alltid uppfattat det som en mycket stor nackdel att standarden liksom trots att syftet är så stor spridning som möjligt är omgivna av avsevärda ekonomiska hinder.
För en stor statlig myndighet kan några tusenlappar tyckas vara småpengar men för en liten kommun eller mindre företag är det summor som inte är lika enkla att motivera.
Att rekommendera organisationer att införa ledningssystem för informationssäkerhet enligt standarden har därför innehållit en inneboende svårighet som kanske ändå går att överse med.
Jag har däremot varit betydligt mer tveksam till den direkta hänvisning som funnits till standarden i MSB:s föreskrift sedan .
Här sägs att myndigheter ska följa en föreskrift som inte är fritt tillgänglig vare sig för myndigheten eller för exempelvis medborgare som vill kunna ha insyn i myndighetens arbete.
Att inte kunna sprida innehållet i en av grundförutsättningarna för myndighetens arbete försvårar naturligtvis kommunikationen.
Ytterligare ett problem är att en myndighet med föreskriftsrätt föreskriver andra myndigheter att följa regler som man själv inte har kontroll över och dessutom snabbt kan göra föreskriften obsolet när de ändras.
Tyvärr följde detta krav med när föreskriften uppdaterades i form av krav på ISO/IEC 27001:2014 och ISO/IEC 27002:2014 ska ”beaktas”.
I dagarna har jag fått tips om ett beslut i Högsta domstolen (tack Carl-Arne!)
som ger mig stöd i min .
Här skrivs explicit: En grundläggande del av legalitetsprincipen får därför anses vara att författningar ska finnas tillgängliga för var och en i läsbar form utan något krav på betalning, och att detta gäller också för en standard som det hänvisas till i en författning.
Att myndigheten kostnadsfritt kan informera om vad som står i standarden anses inte upphäva denna bedömning.
Med Högsta domstolens beslut, om det befinns tillämpligt även i detta sammanhang, finns nu en möjlighet att utveckla den nationella styrningen så att den blir mer transparent och tillgänglig för alla.
Efter att ha spekulerat om varfört inte funkar har jag nu tänkt skriva några inlägg om vad som bör göras för att det ska fungera bättre.
Detta sammanfaller med att regeringen överlämnar en skrivelse till riksdagen angående Riksrevisionens om informationssäkerheten vid nio myndigheter.
Riksrevisionen bedömer att ” Regeringen instämmer i denna bedömning, som ju knappast kan komma som någon överraskning efter Riksrevisionens tidigare rapporter m.m., men avser bland annat att .
Det känns därför ganska självklart att detta första inlägg om konstruktiva åtgärder får handla om förutsättningar för en sådan strategi.
Att ta fram en strategi är inte något särskilt rafflande grepp, 2009 togs en sådan fram liksom en efterföljande handlingsplan några år senare.
Varken i regeringens skrivelse eller i Riksrevisionens rapport görs någon egentlig analys av varför de tidigare strategiska samordningsförsöken trots avsevärda resurser och mandat misslyckats.
En grundläggande utgångspunkt för mig har varit att det inte är särskilt meningsfullt att göra mer av samma sak om man märker att något inte fungerar.
Istället är det viktigt att ta ett steg tillbaka och analysera och göra nya problemformuleringar.
Detta tror jag i hög grad gäller om man ska ta ut strategiska riktpunkter.
En ny strategi bör därför föregås av ett mer omfattande förarbete och inte bestå av inskickade, icke samordnade önskelistor från myndigheter som har ansvar för olika säkerhetsområden.
I fallet med informationssäkerhet har jag försökt påvisa den stora oklarhet som råder om vad informationssäkerhet egentligen är och hur det försvårar för den enskilda organisationen, för de yrkesutövande och för samordning på nationell nivå.
Detta blir än tydligare om man läser regeringens något desorienterade skrivelse där det är svårt att greppa vad det egentligen är som ska samordnas.
Om vi tittar på den nationella spelplanen och bortser från de oklarheter som råder om informationssäkerhet är i första hand organisatorisk eller teknisk fråga så går det att urskilja en rad olika syften som staten länkar till ”informationssäkerhet” vad det nu än är.
För att övergripande beskriva de huvudsakliga syften som sällan definieras i förhållande till varandra kan jag räkna upp: Till detta kommer exempelvis de starka kraven från bland annat dataskyddsförordningen som i praktiken innebär högre nivå på spårbarhet, riktighet och konfidentialitet.
Dessa olika syften ska utan närmare inriktning från staten tillgodoses i de enskilda organisationerna.
Jag tror att det är här vi måste stanna till och inse att det inte är informationssäkerhet som det ställs krav på i de olika sammanhangen.
En enskild organisation har i de flesta fall i normalläget inget internt behov av den informationssäkerhet som staten ställer krav på exempelvis rörande det civila försvaret i höjd beredskap.
Att införa säkerhetsskyddsåtgärder är inte heller något som befrämjar andra säkerhetskrav som kan finnas i en löpande verksamhet som exempelvis hög tillgänglighet.
Statliga certifieringskrav på tekniska komponenter i e-förvaltning är knappast heller något som gynnar regeringens inriktning på att Sverige ska bli bäst i världen på att ta till vara digitaliseringens .
Jag behöver kanske inte fortsätta med exempel för att slå in min poäng – det finns tydliga intressekonflikter mellan olika typer av informationssäkerhet som staten ställer krav på.
Det finns också aktiviteter som starkt påverkar säkerhetsarbetet där det egentligen inte finns någon intressekonflikt men som ändå inte är samordnade.
Ett påtagligt exempel är att rapporteringskravet för it-incidenter till MSB inte är samordnat med i det tunga krav på incidentrapportering som följer av dataskyddsförordningen.
Ett förarbete till en strategi måste, menar jag, måla upp hela informationssäkerhetslandskapet för att kunna ta ut riktningen framåt.
Ironin i att NISU och utredningen om ny säkerhetsskyddslag lägger fram sina resultat samtidigt som två helt parallella spår som aldrig mötts kommer att upprepas i nya former om inte den nödvändiga överblicken skapas.
Överblicken över syften, förutsättningar och aktörer ger också en grundval för den styrmodell som rimligen måste finnas med som ett strategiskt verktyg för att nå målen.
En gemensam styrmodell innebär inte att samma styrmedel används överallt.
Jag föreställer mig att regelstyrning är nödvändig ur det civila försvarets perspektiv medan incitaments- och kunskapsstyrning blir centrala för regeringens digitaliseringssatsningar.
Men eftersom det är Söpple kommun som kommer att bli utsatt för de olika styrmedlen måste de integreras i en gemensam modell som också hanterar organisatoriska och ekonomiska förutsättningar.
Förutsägbarhet gällande krav och ekonomiska förutsättningar är nödvändigt då allt större del av den tidigare offentliga utförda verksamheten ombesörjs av privata aktörer.
Även detta förhållande måste avspeglas i den strategiska inriktningen.
Jag tror att en strategi måste vila på noggranna överväganden av hur staten ska organisera sin styrning och sitt stöd.
När civilt försvar alltmer blir MSB:s huvudfråga och myndighetens uppgift är mer att jämföra med den som Överstyrelsen för civil beredskap (ÖCB) hade fram till 2002 är det sannolikt mer lämpligt att detsom bedrivs i normalläget integreras med statens digitaliseringssatsning.
Analysen av vad som kan tänkas fungera bäst måste vara förutsättningslös och inte utgå från olika organisatoriska särintressen.
För mig är det en viktig princip attt måste styras av behov, inte av utbud.
Det gäller i den enskilda organisationen, och det bör gälla även på det nationella planet.
När en strategi ska tas fram bör det därför ske tillsammans med de som äger verksamheterna vars information skyddas, inte enbart av de aktörer som levererar säkerhetslösningar.
Min förhoppning är att strategin inte stressas fram på departementet av någon ensam handläggare utan att det sker i ett brett samarbete med kommuner, landsting, företag och myndigheter samt viktiga kravställare som Datainspektionen, E-hälsomyndigheten och eSam.
Jag har tidigare skrivit om att jag ser kommunikation som det centrala verktyget it och kanske det tydligast inte funkar.
Det här inlägger kommer att ytligt behandla om några aspekter av det vittomfattande ämnet, nämligen förutsättningar och förförståelse, innehåll och form.
Att kommunikationen inom informationssäkerhetsområdet har jag redan försökt beskriva i ett tidigare inlägg.
Det saknas arenor och samtalsformer för att utveckla kunskap och samsyn.
Det språkbruk och de metaforer som uppstår i denna dysfunktionella kultur gör även att vår kommunikation inte fungerar i samspelet med de vi vill engagera.
Ofta framstår både vi själva och det vi säger uppfattas som ovidkommande, auktoritärt, svårbegripligt och alarmistiskt (källa: de många verksamhetsföreträdare jag samverkat med under ett par decennier).
Själv uppfattar jag kommunikationen i informationssäkerhetsfrågor ibland som direkt vilseledande för civila organisationer.
Ett exempel är den nednötta metaforen om att skydda sina guldägg.
Den underförstådda tanken är att alla organisationer har avgränsade informationsmängder eller hård/mjukvara som ska skyddas mot främst obehörig åtkomst (?)
framför alla andra.
Detta menar jag är en feltolkning av hur dagens informations- och it-infrastrukturer fungerar där det snarare handlar om komplexa samband där olika men i många fall lika viktiga krav ställs på olika delar för att helheten ska fungera.
För att ta ett exempel från verkligheten så är det i en kommunal verksamhet meningslöst att försöka peka ut vad som skulle vara ”guldägg”.
I den kommunala äldreomsorgen bör det ställas mycket höga krav på tillgänglighet i trygghetslarmen, lika höga krav på riktighet och spårbarhet i journaldokumentationen och mycket höga krav på konfidentialitet i alla delar.
För den ekonomiska redovisningen kommer peakar i tillgänglighetskraven vid vissa perioder under bokföringsåret.
Jag kan fortsätta uppräkningen med att peka på PuL, algoritmer, webbplatser m.m., m.m.
men det enda jag vill komma fram till är att jakten på ”guldägg” leder tanken och därmed kommunikationen helt fel.
Andra vanliga påståenden på konferenser och i marknadsföring är att medarbetarna skulle vara det största problemet.
Detta påstående saknar belägg och den organisation som skulle se medarbetarna som den största risken tror jag får anledning att snabbt göra en förnyad riskanalys.
Den som tycker att ovanstående kan ses som bagateller behöver sannolikt mer övergripande argumentation om den problematiska kommunikationen.
Låt oss se ett grundscenario som både gäller i den enskilda organisationen och på ett nationellt plan.
Å ena sidan finns informationssäkerhetsexperterna som ser generella risker och som har organisatoriska och tekniska metoder för att reducera dessa risker (i alla fall hypotetiskt).
Å andra sidan finns det organisationer för vilka informationen är en resurs för verksamhetens olika processer.
Det är de senare som har den faktiska möjligheten och resurserna att genomföra informationssäkerhetsåtgärder.
För att uppnå fungerande informationssäkerhet krävs insatser från båda parter.
Enda sättet att skapa en sådan gynnsam situation är god kommunikation, den goda kommunikation som jag menar ofta saknas.
Resultatet blir alltför ofta att verksamhet och informationssäkerhet samexisterar som olja och vatten.
Trots att det är verksamheten som har behov av informationssäkerhet för att kunna leverera talar informationssäkerhetsspecialisten för döva öron.
Ett aktuellt exempel på hur det kan gå är när eHälsomyndigheten, som objektivt sett är en av de svenska organisationer som har mest behov av god informationssäkerhet, levererar två om framtiden och överhuvudtaget inte analyserar behovet av just informationssäkerhet .
Jag kommer återkomma till detta i ett senare inlägg.
Sammantaget är min erfarenhet som statlig tjänsteman som försökt förbättra informationssäkerheten inom e-förvaltning och e-hälsa att försöket mötts med en ganska avsevärd brist på förståelse från båda lägren.
De som arbetar med informationssäkerhet nationellt har haft begränsat intresse av och insikt om behovet av informationssäkerhet i verksamheter som är utpräglat civila.
De som arbetar med digitalisering i förvaltning och sjukvård har med två undantag sagt typ: ”jaja, det är säkert viktigt med säkerhet men det tar vi sedan när vi realiserat våra lösningar – säkerhet innebär ju bara en massa krångel som kan leda till att vi inte kan genomföra det vi vill.” Förutsättningen för kommunikationen är alltså en ömsesidig misstro som måste överbryggas.
Behovet av informationssäkerhet finns främst hos organisationerna själva även om det på aggregerad nivå naturligtvis i hög grad är ett samhällsintresse.
Ansvaret för kommunikationen ligger dock på informationssäkerhetsspecialisterna eftersom organisationerna inte är medvetna om sitt behov.
Här uppstår dock ett avgörande problem eftersom kommunikationen om informationssäkerheten som skapas i denna situation i de flesta fall är istället för .
Det är informationssäkerhetsspecialisterna som försöker sälja in sitt utbud av standardiserade synsätt och metoder till en verksamhet som har ett behov, ett behov som tyvärr formuleras på verksamhetens egna premisser.
Detta gäller även det nationella planet där det är myndigheterna med ett utbud som fått styra strategier och handlingsplaner, inte de civila verksamheterna med behov.
Och som alltid vid utbudsstyrning är det svårt att sätta nivån och inriktningen eftersom behovet inte är definierat – utmärkt situation för ett kommersiellt företag men knappast då man försöker styra med begränsade resurser.
Kommunikationen är en produkt av områdets kultur.
Den blir därför alltför ofta inriktad på envägskommunikation, förutsätter att de man riktar sig till är okunniga (”hur ska vi få dem att förstå”) samt på lösningar som är helt omöjliga i praktiken (som att använda signalskyddslösningar i sjukvården).
Den känslomässiga argumentationen kring attacker och antagonistiska hot lämnar mottagaren i ett rationellt limbo, kvar blir rädda människor underkastade olika auktoriteter.
Den auktoritära kommunikationsformen är naturligtvis också ett resultat av vår bristande kunskap inom informationssäkerhetsområdet (se tidigare inlägg), om man är osäker ger man sig ogärna in i dialog och diskussion.
Inte så få av de ”kommunikationsplaner” jag sett har enbart innehållit aktiviteter där avsändaren förmedlat budskap men inga aktiviteter av inlyssnande.
Hur ska vi då förbättra vår kommunikation så att organisationerna drivs av en inre motivation och på så sätt får ett ständigt förbättrat?
Jag tror det viktigaste förhållningssättet är att bestämma sig för en rollfördelning där informationssäkerhetsspecialisten (både i en enskild organisation och i form av myndigheter på nationell nivå) är en stödfunktion.
Informationssäkerheten tjänar istället syftet att organisationen ska kunna upprätthålla sitt uppdrag och sin leverans med tillräcklig kvalitet och utan störningar (i detta ligger naturligtvis även att kunna uppfylla externa krav).
För att kunna ge stöd måste informationssäkerhetsspecialisten förstå verksamheten, den unika informationshanteringen och de unika behoven.
Helt enkelt förstå att en pågående dialog, ett ömsesidigt utbyte är nödvändigt i lika hög grad för den som ska stödja som den blir stödd.

Inför ett moratorium inom vård-it och inför inte några nya lösningar som inte är absolut nödvändiga.
Gör en heltäckande genomgång av säkerhetsbristerna inom den svenska vård-it.
Stärk Socialstyrelsens roll i förhållande till sjukvårdshuvudmän vårdgivare när det gäller vårdens informationshantering.
Detta bör även gälla myndigheter som främst ska leverera e-tjänster som E-hälsomyndigheten.
Utred hur ansvarsförhållandena för informationshanteringen i vården ser ut och hur de borde se ut.
En central fråga är det reella ansvarsutkrävandet.
Säkerställ att även det långsiktiga behovet av vårdinformationen beaktas, både den enskilda patientens behov och samhällets behov av informationen för forskningsändamål.
Ta fram en strategi och en arkitektur för den nationella nivån som inte bara är fluff.
Ta fram en gemensam styrmodellvården och låt den förvaltas av myndigheter – inte av intresseorganisationer eller utförare i första hand.
Skapa ett ackrediteringssystem för anslutning till den nationella arkitekturen.
Skapa verktyg för systematisk uppföljning av informationssäkerheten inom vård-it och lita inte på att tillsyn av enskilda organisationer skapar säkerhet.
Utveckla utbildningar för de somen i vården.
Utveckla ett forskningsprogram för informationssäkerhetsstyrning i miljöer med multilaterala ansvarsförhållanden.
Ta fram en grundmodell för informationsklassning inklusive skyddsnivåer.
Observera att skyddsnivåerna är den stora tunga uppgiften som kommer att kräva långsiktig förvaltning men som kan användas även andra organisationer t.ex.
som stöd för att efterleva NIS-direktivet.
Ta fram en certifieringsinstitution där leverantörer kan certifiera sina tjänster och system på olika skyddsnivåer.
Ta fram ett antal standardprocesser utifrån de obligatoriska uppdragen Identifiera informationen i dessa processer.
Ge stöd för att kartlägga vilka bärare som används för att hantera informationen.
Observera att det inte enbart gäller system och tjänster utan även andra bärare.
Ge förslag på en standardklassning av informationsmängderna.
Med detta som utgångspunkt kan ut skyddsnivåerna plockas fram krav både på den egna verksamheten, egen it och på externa leverantörer av tjänster.
Stärkt samordning av de frågor som påverkar vården i regeringskansliet och en stärkt roll för Socialstyrelsen som sammanhållande kraft i vården och beställare av it-lösningar hos e-Hälsomyndigheten, SKL m.fl.
Hur en gemensam infrastruktur ska kunna byggas upp i konkreta termer och ansvarsförhållandena för detta En ny patientdatalag som lever upp till dagens många olika behov och som inte genar när det blir svårt.
En arkivlag som kan tillgodse kravet på att bevara den gemensamma informationsinfrastruktur som uppstår inom bland annat e-hälsa.
I en ny arkivlag bör finnas utrymme för att fatta beslut om bevaranderegler även för andra än statliga myndigheter, t.ex.
ett krav på att viss vårdinformation ska bevaras för all framtid oavsett vårdgivare.
SKL:s roll med övervägande om liknande krav på öppenhet som gäller de ingående sjukvårdshuvudmännen.
Frågan bör ställas om SKL över huvud taget har de institutionella förutsättningarna att leverera gemensamma e-tjänster eller om detta istället bör ske av myndigheter Utred möjligheten att införa en lösning liknande den norska Normenden svenska vården.
Detta drev jag med klent gehör när jag jobbade på MSB men det är aldrig fel att vädra gamla käpphästar.
MSB måste våga överge sin beröringsskräck för verkligheten och kunna ge faktiskt stöd till bland annat vården.
Hur e-hälsan systematiskt ska utvärderas och vem som ska utföra det.
Såsom beskrivet i skrivelsen Nationell strategi för samhällets informations- och cybersäkerhet (Skr.
2016/17:213, Justitiedepartementet) där definitionen är ”informationssäkerhet som avser digital information”.
För att inte riskera en snäv tolkning som att det enbart omfattar it- och nätverkssäkerhet anser MSB att cybersäkerhet i detta sammanhang avser säkerhetsåtgärder på samhällelig strategisk nivå, främst reglerande och samordnade åtgärder, som behövs så att samhällets aktörer kan bedrivapå organisatorisk nivå, främst för information som hanteras digitalt.
Såsom beskrivet i Sveriges inlaga till FN:s generalförsamling att cybersäkerhet tydligare beskriver de skyddsåtgärder som innefattar konfidentialitet, tillgänglighet och riktighet för att inte blandas samman med den betydelse av informationssäkerhet som används av vissa länder eller organisationer som en del av en doktrin där synen att informationsinnehållet som sådant är ett hot.
I de fall MSB har samverkan med andra organisationer (såsom EU, NATO och FN) kan viss annan betydelse av cybersäkerhet förekomma, utefter de samverkande organisationernas definition av begreppet.
Försvarsmaktens insatser Det civila säkerhetsskyddet av rikets säkerhet samt mot terrorism Det civila försvaret Samhällets krisberedskap Stöd till myndigheter, kommuner, företag m.m.
för deras egen verksamhet och i samverkan för e-förvaltning, e-hälsa m.m.

vad de hur sina sina sina 16 § på vilket sätt läsa alla all en sina internt utbudsstyrd behovsstyrd

Meny MSB Inläggsnavigering

MENU MENU Postat av Postad i , , , , , Tagged , , , , , , Postat av Postad i , , , , Tagged , , , , , Postat av Postad i , , , , Tagged , , , , , , Postat av Postad i , , , , , , , , Tagged , , , , , , , , , , postat av Postad i , , Tagged , , , , , Postat av Postad i , , , Tagged , , , Postat av Postad i , , , , , , , , Tagged , , , , , Postat av Postad i , , Tagged , , , → Sök efter:

Begrepp med definitioner för cyber de granskade myndigheterna ligger på en nivå som är märkbart under vad som är tillräckligt ”.
”därför ta fram en nationell strategi för samhällets informations- och cybersäkerhet.” samma

Efter Kammarrättens utslag dröjde det bara några dagar innan jag fick ut de dokument som jag började jaga med en fråga den 6 augusti.
Samtliga tre dokument har mycket marginella maskningar vilket jag återkommer till men som läsaren själv har möjlighet att bedöma eftersom jag lägger ut dem i sin helhet.
Låt oss då se på dokumenten och då först till det mest övergripande: Riktlinje för informationssäkerhet.
Detta dokument tycks ha ganska litet att göra med den policy som beslutades i och därts övergripande syfte anges vara att främja digitalisering samtidigt som tillit till informationshanteringen upprätthålls.
De flesta skulle kanske anse att informationssäkerheten ska stödja kärnverksamhetens uppdrag, i det här fallet egentligen kundernas uppdrag, men Inera är sannolikt i detta fall ett offer för SKL:s överideologi där digitalisering är ett dominerande egenvärde.Inte ett ord om patientsäkerhet för att bara ta en sak som jag personligen anser aningen viktigare än att ”främja digitalisering”.
Den sällsynt korta policyn innehåller ingenting om ansvarsförhållanden eller vem som egentligen ska styra säkerheten, däremot är ett mål att säkerhetsarbetet ska grundas på ”gemensamma regelverk, referensarkitekturer och styrande principer”.
Gemensamma för vem och framtagna av vem kan man undra.
Policyn ska tillämpas enbart internt och det saknas relation till kunderna trots att Ineras roll som leverantör: Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering.
Den ska också tillämpas i projekt och på förvaltningsobjekt.
Policyn ger som jag ser det inte någon verksam strategisk ledning för Ineras säkerhetsarbete i rollen som tjänsteleverantör eftersom ansvar och relationer helt saknas.
Hela upplägget med denna helt urvattnade policy känns litet märkligt när Inera dessutom arbetar baklänges och lägger den som olja på vattnet på redan framtagna underliggande dokument.
Kanske har det funnits en annan policy tidigare som fadat bort utan kommentar.
Låt oss lämna policyn och istället titta på riktlinjen som av naturliga skäl saknar den kopplingar till den beslutade policyn.
En första observation som reser den alltid lika spännande frågan om kausalitet och korrelation.
Av en händelse sammanfaller att jag efterfrågade riktlinjen den 6 augusti med en massiv uppdatering som skedde den 9 augusti när en mängd basala säkerhetsaspekter fördes in i riktlinjen (se revisionshistoriken).
Detta var också första gången på tre och ett halvt år som en uppdatering skedde.
Nog om detta lustiga sammanträffande.
Inera är är ju en tjänsteleverantör av känsliga informationstjänster till vården och det som först slår mig då jag läser riktlinjen är att detta förhållande är i det närmaste osynligt i riktlinjen på samma sätt som i policyn.
Riktlinjen gör ingen distinktion mellan Ineras interna informationssäkerhet och den säkerhet som ska finnas i de tjänster som levereras.
Kundernas frånvaro i hanteringen blir närmast självlysande i definitionen av informationsägaren: För varje viktig informationsmängd ska det utses en informationsägare med uppdrag att hantera alla delar av informationssäkerheten som är relaterade till denna informationsmängd.
För de tjänster som Inera tillhandahåller är detta normalt rollen Tjänsteansvarig.
Här man alltså kortslutit systemet så kunderna är inte informationsägare och ska inte heller hantera exempelvis informationsklassning och riskanalys av den information som de faktiskt är ansvariga för.
För att göra det extrem tydligt: Inera är inte en vårdgivare utan hanterar andra vårdgivares information i ett antal gemensamma tjänster.
Vårdgivarna (offentliga och privata) är enligt lag och föreskrift ansvariga för sin information och att den hanteras på ett säkert sätt – det är bara att läsa HSLF-FS 2016:40 för att få en samlad bild av kraven.
Samtidigt skriver man t.ex.
under 15.3.1. om en informationsägare som sannolikt är kunden.
Roller och begrepp är alltså inte konsistenta.
Ytterligare ett tecken på att riktlinje inte tjänar Ineras verksamhet särskilt väl är att de ytterst knapphändiga beskrivningar av utveckling som finns i kapitlen 15.1 och 15.2.
Detta är alltså riktlinjen där ansvar, principer och arbetssätt bör framgå.
Som jag uppfattar det är Ineras huvudsakliga uppdrag att utveckla olika it-lösningar för vården vilket skulle föranleda att ett verksamhetsanpassat säkerhetsarbete skulle ha en tyngdpunkt just i utvecklings- och förvaltningsprocessen av erbjudna lösningar.
I Ineras riktlinje är det dock inte så utan det känns snarare som en ytlig genomgång av kraven i ISO 27001 med mycket små modifikationer.
Dessutom ingår den i det jag brukar tänka på som ”de öde regelverken” eftersom det inte bara kunderna som saknas utan även i hög grad andra aktörer.
Istället upprepas riktlinjen igenom ”Inera ska…” utan att närmare definiera vilken roll inom Inera som ska utföra säkerhetsarbetet.
Igenkänningsfaktorn är hög.
Jag har sett denna typ av regelverk ett otal antal gånger och ett genomgående drag är att när regelverk är så här diffusa så får de ingen eller ringa säkerhetshöjande effekt.
Har ledningen inte pekat ut ansvar (vilket man här inte har i policyn och mycket litet i riktlinjen) så finns inget maskineri som drar runt säkerhetsarbetet.
Att något i denna anonyma text skulle befinnas vara av den art att det går att sekretesslägga med hänvisning till OSL 18 kap.
8 §: Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser byggnader eller andra anläggningar, lokaler eller inventarier, tillverkning, förvaring, utlämning eller transport av pengar eller andra värdeföremål samt transport eller förvaring av vapen, ammunition, sprängämnen, klyvbart material eller radioaktiva ämnen, telekommunikation eller system för automatiserad behandling av information, behörighet att få tillgång till upptagning för automatiserad behandling eller annan handling, den civila luftfarten eller den civila sjöfarten, transporter på land av farligt gods, eller hamnskydd.
kändes märkligt.
Än mer så Ineras ursprungliga beslut att hela dokumentet skulle utgöra risk om det spreds.
På ett sätt skulle jag ironiskt kunna hålla med: kvaliteten på dokumentet indikerar en klar brist på styrning av säkerhetsarbetet vilket kan naturligtvis är en stor risk om det framkommer.
Men det som nu maskats i dokumentet är endast sex passager där man mitt i den i övrigt så generella beskrivningen av allmänna säkerhetsåtgärder tydligen placerat in var datalagring sker samt tekniska beskrivningar av bland annat segmentering.
Om dessa uppgifter är på detaljnivå har de knappast i riktlinjen att göra eftersom den då inte går att sprida i en vidare krets internt.
Även detta är att starkt skäl att se över regelverket och styrningen i stort.
Om vi sedan tittar på de två övriga dokument jag fått ta del av: så går maskningarna i dessa sammantaget att räkna på ena handens fingrar.
Förutom att även dessa i huvudsak saknar anpassning till Ineras egentliga behov av styrning och även till SKL:s flaggskepp KLASSA är det svårt att se vad som föranlett Ineras rädsla för att sprida dem.
Hela hanteringen av min begäran utlämnande av handlingar framstår som fånig och okunnig i mina ögon men har det goda med sig att det kanske hindrar andra från det överutnyttjande av 18.8 som jag tycker mig sett tecken på.
Min sammantagna bild är att Inera saknar ett sammanhängande systematisktoch att den styrning som finns inte är är inriktad på rätt målbild som till exempel att ge kunderna möjlighet att styra sin egen säkerhet eller på patientsäkerhet.
Ingenstans framgår att den informationsklassning som kunderna gör av sin information ger utslag i Ineras leverans, inte heller att Inera har ett kunderbjudande som är transparent och flexibelt.
Jag är den första att erkänna att Ineras uppdrag är mycket komplicerat men just därför skulle det kännas betydligt tryggare om det gick att urskilja ett stort engagemang för säkerhetsfrågor som skulle ge både kunder och allmänheten i stort en anledning att hysa en stor tillit till Inera.
Särskilt tänker jag på detta när nu Inera satt igång ett nytt projekt om säker digital .
Visserligen står det ”säker” i rubriken men vilket stöd har projektet i Ineras LIS för att uppnås denna säkerhet?
Finns det en risk att detta projekt hamnar i samma situation som den som kritiserades så hårt av MSB när det gäller säkerhetsaspekterna (trots att det är se att MSB bidrog på ett så särskilt strukturerat sätt)?
Hälso- och sjukvård är ju i högsta grad en samhällsviktig verksamhet som borde få MSB:s mest djuplodande intresse när en ny nationell lösning ska tas fram.
Möjligen har jag helt fel.
Kanske är säkerheten i Ineras verksamhet mycket bättre än vad de styrande dokumenten ger intryck av.
Men samtidigt är det svårt att föreställa sig edär det inte finns en tydlig dokumenterad styrning.
Självklart borde denna styrning omfatta mer än Inera – jag ska väl inte tjata om en nationell styrmodell á la Normen en gång till… Däremot vore det mycket önskvärt med en större granskning av samtliga större aktörer inom hälso- och sjukvård både för att bedöma den reella säkerheten och för att se vilka samordningsbehov som finns.
Med detta som utgångspunkt går det sedan att börja skissa på den gemensamma styrmodellen.
I väntan på detta mitt utopiska tillstånd är en rimlig inriktning att IVO koncentrerar sin tillsyn utifrån NIS-direktivet främst på dessa stora aktörer eftersom de har den största påverkan på vår gemensamma säkerhet.
Den minnesgode kommer ihåg att jag bett att få se Ineras ledningssystem för informationssäkerhet, blivit nekad och hänvisad till Kammarrätt för att framföra mina besvär över detta, förloppet finns beskrivet .
Själv måste jag medge att jag fann Ineras agerande aningen besynnerligt.
Om det nu finns styrande dokument för informationssäkerheten vid sidan om den A4 som utgör policy (vilket Inera hävdar) så förefaller det märkligt att varje ord i dessa dokument skulle utgöra en sådan betydande risk för Ineras säkerhet att de inte kan lämnas ut.
För den som jag som arbetat med utlämnande av allmänna handlingar är väl bekant med rutinen att maska dokumenten så att de delar som bedöms som sekretesskänsliga inte kan läsas – ytterst sällan är dokumenten i sin helhet känsligt.
Kanske har inte Inera upparbetat rutinen för maskning än men efter att ha läst Kammarrättens utslag så är det nog dags att komma igång med det nu.
Jag är naturligtvis nöjd med utslaget och väntar nu på mina handlingar.
Samtidigt väcker ju historien med Inera en hel del tankar.
En är att vi alla är betjänta av största möjliga öppenhet om de regler gällande säkerhet som finns olika organisationer.
Vi behöver lära av varandra och vi behöver närma oss mer av praxis både på branschnivå och i samhället i stort.
Ett överdrivet hemlighetsmakeri skapar en negativ säkerhetskultur och förhindrar processen mot en nödvändig samsyn om hur styrningen av säkerhet bör utformas.
Ineras förhållningssätt pekar också på ett annat mer praktiskt problem, nämligen vikten av att utforma sin hierarki av styrande dokument rätt.
Om man, som Inera tycks ha gjort, blandar principer,ansvarsfördelning och andra faktorer som bör kunna vara helt öppna i random organisation med detaljbeskrivningar av säkerhetslösningar, risker och sårbarheter har man ju skapat ett regelverk som knappast går att sprida ens internt och ännu mindre till externa parter som kunder.
En betydligt mer positiv erfarenhet var det att begära ut samma information hos eHälsomyndigheten där jag inte bara fick ta del av de handlingar som på ett övergripande sätt styr säkerhetsarbetet utan även en bild av de handlingar som är av mer känslig karaktär.
Tyvärr bekräftades dock min bild av bristande styrning av säkerheten inom vården då två av de stora aktörerna inom svensk e-hälsa inte har ett gemensamt regelverk.
Detta är en mycket stor fråga som måste lösas innan vi kan säga att vi är på väg mot en säker e-hälsa.
Efter diskussionerna om 1177-skandalen och andra händelser inom e-hälsoområdet har jag efterfrågat en nationell genomlysning av hur det egentligen står till med informationssäkerheten i den svenska vården.
I väntan på en större aktör som kan genomföra en omfattande analys av den i mitt tycke centrala frågan så tänkte jag börja dra några små strån till stacken och titta närmare på hur några viktiga aktörer inom e-hälsoområdet hanterar informationssäkerhetsfrågan.
Hälso- och sjukvården är också en av de utpekade branscher där aktörer åläggs att bedriva ei NIS-direktivet.
Att sanktionsavgifter kan utdömas från både dataskyddsmyndigheten och från IVO i det här fallet borde vara en starkt pådrivande faktor för att förbättra säkerheten.
En naturlig startpunkt är Inera som presenterar sig så här: Inera ägs av SKL Företag, regioner och kommuner.
Genom att erbjuda kompetens inom digitalisering stödjer Inera ägarnas verksamhetsutveckling.
Inera koordinerar och utvecklar gemensamma digitala lösningar till nytta för invånare, medarbetare och beslutsfattare.
och Inera utvecklar och förvaltar nationella tjänster inom e-hälsa och digitalisering på uppdrag av regioner och kommuner.
Ungefär 35 digitala tjänster drivs idag av Inera, bland annat 1177 Vårdguiden, Nationell patientöversikt och Journalen.
Vissa tjänster används av invånare, andra av vårdpersonal.
Arbete pågår med nuvarande tjänster och på vilket sätt de kan anpassas för kommunerna.
Inera ansvarar också för den gemensamma infrastruktur och it-arkitektur som ligger till grund för många av tjänsterna.
Därmed har Inera uppdraget från sjukvårdshuvudmännen att koordinera och utveckla gemensamma e-hälsolösningar – en supertungviktare inom e-hälsoområdet alltså.
Av detta följer att man har ett lika tungt ansvar när det gäller informationssäkerheten i de lösningar man erbjuder.
Detta faktum accentueras av att sjukvårdshuvudmän och vårdgivare i de flesta fall inte kan välja andra lösningar än de som Inera erbjuder eftersom de är nationella tjänster som det är nödvändigt att använda för att kunna bedriva vård.
Till skillnad mot om man skulle anlita kommersiell leverantör där man både kan styra med kravspecifikation och genom att byta leverantör om man inte är nöjd med säkerheten.
Dessutom ska Inera stödja digitalisering av regioners och kommuners verksamheter genom att tillhandahålla kompetens och material.
Bland annat säger man sig ta fram regelverk för informationssäkerhet, juridik och kvalitetssäkring.
Det vore konstigt om man inte skulle bli intresserad av hur Inera arbetar med informationssäkerhet då dessa olika uppdrag presenteras.
När man bedömer en organisations förutsättningar för att bedriva eär den vanliga metoden att utgå från vilka styrande dokument som tagits fram och beslutats.
Inte för att styrande dokument i sig med nödvändighet leder till bättre säkerhet men de ger ramarna för arbetet och beskriver förhoppningsvis det organisatoriska maskineri med bland annat ansvar och roller som förlängningen ska snurra igång det systematiska arbetet.
I korthet: regelverk är en nödvändig men absolut inte tillräcklig förutsättning för fungerande informationssäkerhet och det finns definitivt olika kvalitet på regelverk.
Dessutom innehåller regler på högre nivå mycket sällan någon som helst känslig information och skulle det återfinnas någon liten del som bedöms som känslig är den lätt att maskera vid ett utlämnande (tro mig – jag har begärt ut regler i stor omfattning från myndigheter, kommuner och regioner).
Innan vi går vidare ska jag för transparensens påpeka att jag för ett femtontal år sedan gjorde ett par konsultuppdrag för Ineras föregångare och jag hade även kontakt med Inera under den tid jag arbetade på MSB.
Mitt sammantagna intryck är att det varit motigt att införa ett systematisktt trots uppdraget Inera och dess föregångare haft.
Men åter till nuläget.
Med ovan beskrivna bakgrund var ett första steg för mig att be att få ta del av Ineras regelverk vilket jag gjorde den 6 augusti: Hej!
Jag skulle vilja ta del av: – Ineras interna ledningssystem för informationssäkerhet (LIS) som tillämpas i Ineras verksamhet – Aktuella regelverk och stödmaterial för informationssäkerhet som Inera tagit fram som stöd för sina kunder Jag skulle dessutom vilja veta när Inera senast genomförde en mer omfattande informationssäkerhetsrevision av den egna verksamheten.
Tack på förhand!
Jag fick snabbt ett automatsvar som kvitterade att mitt ärende tagits emot.
Sedan dröjde det och dröjde det.
Till slut kom ett svar den 22 augusti: Ni har begärt utlämnande av Ineras interna ledningssystem för informationssäkerhet (LIS), som tillämpas i Ineras verksamhet, samt vidare aktuella regelverk och stödmaterial för informationssäkerhet, som Inera tagit fram som stöd för sina kunder.
Ineras informationssäkerhetspolicy återfinns på .
Regelverk och stödmaterial inom informationssäkerhet och arkitektur, som delas med kunder, återfinns på .
Beträffande LIS gör Inera följande bedömning: Informationssäkerhet syftar till att hindra information från att läcka ut, förvanskas eller förstöras samt säkerställa att informationen finns tillgänglig för en legitim användare.
Ineras produkter och tjänster håller en sådan säkerhetsnivå att kunder kan känna förtroende för Inera som leverantör och uppnå en hög nivå av informationssäkerhet.
Inera har ett ledningssystem för informationssäkerhet, som är baserat på ISO 27001.
av regelverk som beskriver krypteringsnivåer, autentiserings-metoder, säkerhetsåtgärder i driftsmiljön m.m.
I systemet ingår vidare modeller förificering, incidenthantering, etc., liksom uppföljning i form av interna och externa revisioner samt säkerhetstester.
Sekretess gäller enligt 18 kap.
8 § 3 offentlighets- och sekretesslagen för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser telekommunikation eller system för automatiserad behandling av information.
LIS innehåller uppgifter av sådan art att ett utlämnande typiskt sett är ägnat att medföra skada för det intresse som skall skyddas genom den aktuella bestämmelsen.
Handlingarna kan därför inte lämnas ut.
Om ni inte är nöjd med sekretessbedömningen har ni rätt att begära ett formellt beslut.
Med vänlig hälsning Inera Detta var ett intressant svar av flera skäl.
För det första är den informationssäkerhetspolicy som bifogas och som också ligger ute på Ineras så sällsynt innehållslös och består enbart av det som i andra policys brukar ligga under rubriken ”mål”.
Bland annat saknas helt inriktning för ansvarsförhållanden vilket är av stor betydelse att definiera för en leverantör .
Att policyn är beslutad den 14 juni i år väcker även det en hel del tankar (mer om innehållet i de dokument jag fått ut längre ner).
Det riktigt förvånande är dock att Inera anser att övriga styrande dokument i sin helhet går att sekretesslägga och det med hänvisning till OSL trots att man inte tillhör de offentliga organisationer som faller under offentlighetslagstiftningen!
Detta sporrade min nyfikenhet och som den jobbiga människa jag är måste jag ställa ytterligare frågor med vändande post: Tack för svar!
En formfråga: har Inera fattat ett beslut att tillämpa OSL generellt för sin verksamhet?
Till svar fick jag följande: I Ineras bolagsordningen (från 2017) står följande: Allmänheten ska ha rätt att ta del av handlingar hos bolaget enligt de grunder som gäller för allmänna handlingars offentlighet i 2 kap.
tryckfrihetsförordningen och offentlighets- och sekretesslagen.
Här tätnade mystiken för mig.
2 kap TF och OSL handlar om hanteringen av allmänna handlingar.
Inera har per definition inte några allmänna handlingar och vad betyder då egentligen paragrafen i Ineras bolagsordning?
En generös tolkning är att man menar att Ineras handlingar ska hanteras som allmänna handlingar i myndigheter, regioner och landsting.
För att den handlingsoffentligheten ska fungera krävs bland annat diarieföring av handlingar där ärenden/handlingar får unika identiteter som går att söka fram och begära ut.
Om myndigheten, i det här fallet icke-myndigheten Inera, bedömer att det finns grund i OSL för sekretess för hela eller delar begärda handlingar ska ett sådant beslut lämnas skyndsamt med besvärshänvisning så begäran prövas i Kammarrätten.
Min nästa fråga blev därför: Tack!
Det innebär alltså att jag kan få ett formellt beslut med besvärshänvisning inom typ tre dagar?
Och svaret kom pronto: Ja, det stämmer.
Vill du alltså helst få ett formellt beslut?
Självklart vill jag ha ett formellt beslut men på vad?
Jag var tvungen att skriva tillbaka för klarläggande: Hej igen!
För att följa ert beslut om att efterleva OSL och TF bör jag få ta del av vilka handlingar och dess unika ID så att jag kan begära ut dem.
I policyn står inget om vilka övriga styrande dokument om ingår i ledningssystemet så därför behöver jag uppgifter om detta.
Exempel kan vara Riktlinje för åtkomst osv.
Dokumentnamnet kan inte falla under den sekretess ni hänvisar till.
Tyvärr har ni ju inget diarium på nätet så att jag själv kan söka reda på dessa uppgifter.
Jag skulle också vilja se beslut om till vilken instans ni skickar besvär i utlämnandefrågor.
När jag fått dessa uppgifter kan jag göra en formell begäran om utlämnande.
En vecka senare (30 augusti) kom svaret med en bilaga Hej Fia, Bifogad fil innehåller en beskrivning av Ineras ledningssystem och dess komponenter.
Den instans som är aktuell i besvärsfrågor är Kammarrätten.
Återkommer till innehållet i dokumentet senare men efter att ha läst beskrivningen skickade jag in följande begäran: Tack!
Jag har alltså fått en beskrivning av ert ledningssystem där ni bedömer att samtliga ingående dokument i sin helhet faller under OSL 18:8 § 3.
Förutom att jag tycker att det är tämligen unikt för Inera att se hela regelverket som fallande ur sekretess blir jag litet fundersam över vilka dokument i beskrivningen som är framtagna och beslutade.
Är beskrivningen en plan över vad som ska tas fram eller finns omnämnda dokument?
Och kommer Kammarrätten verkligen att anse att de är en instans för besvär gällande utbegäran om icke-allmänna handlingar (eftersom Inera inte är skyldiga att följa TF och OSL utan har det mer som en policyinriktning)?
Eftersom jag håller på att skriva om det just nu vill jag gärna pröva detta så jag begär ett formellt beslut angående utlämnande av följande dokument (eftersom de saknar unik identitet anger jag den beteckning som anges i beskrivningen): Jag förutsätter att ni gör en sekretessprövning som innebär att de delar av dokumenten som inte faller under reglerna för sekretess lämnas ut.
Förhoppningsvis håller ni också den praxis som gäller för skyndsam handläggning för denna typ av ärenden, d.v.s.
beslut inom tre arbetsdagar.
Idag den 3 september fick jag ett formell avslag med en besvärshänvisning där beslutet där samtliga handlingar i ledningssystemet förutom policyn i sin helhet bedöms i behov av sekretess.
Besvärshänvisningen är till Kammarrätten som kan göra en annan bedömning.
Själv är jag tveksam till om besvärshänvisningen verkligen fungerar eftersom Inera formellt inte faller under offentlighetsprincipen och de handlingar jag begärt ut därmed inte är att betrakta som allmänna vilket också fastslagits i ett liknande fall, då gällande (SKI).
Av rent intresse kommer jaag ändå att skicka in ett besvär.
Om vi ser till själva processen tycks Inera lägga betoningen på S snarare än O i OSL.
Det är tyvärr inte en ovanlig attityd bland myndigheter, det är klart att det är mycket bekvämare att arbeta bakom lyckta dörrar, men en mycket tråkig utveckling i ett samhälle där vi berömt oss för vår fina offentlighetsprincip.
Min fråga här blir hur syftet med informationsklassningen som säkerhetsåtgärd skulle kunna skadas om Inera lämnade ut beskrivningen av sin metod.
Eller hur riktlinjersin helhet skulle kunna vara känsliga.
För att undvika missförstånd: självklart finns det ingående beskrivningar av tekniska lösningar alternativt risker/sårbarheter som bör hållas skyddade för obehöriga (särskilt som Inera paradoxalt nog är frikostiga med tekniska beskrivningar .
Men styrande dokument på en högre nivå borde Inera ha all anledning att vilja sprida om man tar sitt uppdrag att ”koordinera och utveckla digitala lösningar” på allvar.
Eftersom vi vet att informationssäkerheten är så illa utvecklad inom sjukvården borde Inera föregå med gott exempel och visa upp vilken säkerhet man själv har i sin instans av 1177 till skillnad mot Medhelps hantering.
Vad skulle nyttan vara i att begränsa harmlös information om sitt säkerhetsarbete till sina ”kunder” om man hanterar personuppgifter för hela befolkningen och ett mycket stort antal aktörer är berörda av dessa regler på olika sätt?
En mer cynisk människa än jag skulle ifrågasätta att de dokument jag efterfrågar över huvudtaget finns annat än på ritbordet med tanke på att policyn antogs i mitten av juni i år och övriga dokument rimligen borde vara underdokument till den.
Jag väljer att tro att dokumenten i beskrivningen verkligen finns men det ledningssystem som framtonar liknar inget jag tidigare sett i en organisation med Ineras betydelse och ambition att följa ISO/IEC 27001/27002.
Policyn är som jag tidigare skrivit torftig och innehåller inte delar som ändå får uppfattas som praxis som exempelvis ansvar och roller, incident och kontinuitet vilket även är centrala aspekter för en tjänsteleverantör.
Dessa frågor återkommer inte heller på anvisningsnivå.
Inledningsvis sägs att: Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering.
Den ska också tillämpas i projekt och på förvaltningsobjekt.
Det är alltså en intern policy för bolaget Inera men vad säger det om informationssäkerheten i tjänsterna?
Och i relationen med kunderna?
När så basala frågor lämnas öppna är frågan vad policyn egentligen fyller för syfte.
Sammantaget är den bild jag får att detta inte ens om det blir genomfört skulle bli ett fungerande ledningssystem på det sätt som beskrivs i standarden.
Men då har jag som sagt inte sett själva dokumenten.
Kanske någon som är ”kund” i Ineras mening kan kolla på dessa dokument och återkomma med en beskrivning?
Ineras hemlighetsmakeri blir ännu mer märkligt med tanke på att ett flertal av de ägare som Inera kallar kunder villigt lämnat ut sina styrande dokument för informationssäkerhet när jag frågat.
Varför skulle större sekretess råda hos Inera?
Kanske är det ovanan att leva med en god offentlighetskultur som präglar Ineras synsätt.
På samhällsnivå är det i så fall ett stort problem om viktig information flyttas från öppna organisationer till slutna som Inera och SKL.
Jag tror att överdrivet sekretessläggande är till stor nackdel för säkerhetsarbete generellt men alldeles särskilt i sammanhang då en ett antal aktörer ska dela information, tjänster och infrastruktur.
Det måste finnas en grundlig kännedom och diskussion om gemensamma regler hos de som är aktörer i samarbetet men det måste också gå att presentera utanför den snävaste kretsen för att kunna skapa tillit.
Konsulter och leverantörer måste även de få inblick för att kunna utveckla sina tjänster så att de passar.
Detta gäller än mer om Inera ska axla rollen att stödja kommunerna i deras digitalisering.
Min förslag har sedan länge varit att ta fram gemensamma regelverk och skyddsnivåer för att skapa gemensam säkerhet och dessutom slippa de stora konverteringsproblem som uppstår då aktörer med olika regelverk ska samverka i samma infrastruktur.
Svensk digitalisering är i sig planlös men det skulle kunna gå att riva det Babels torn av språkförbistring som redan finns inom informationssäkerhetsområdet genom att skapa just gemensamma regelverk.
Jag gjorde ett försök 2014 när jag jobbade på MSB att få olika centrala aktörer att samverka men denna strategi har fallit i glömska trots ett flertal tunga undertecknare (bland annat SKL och Inera).
Idag är behovet av fungerande informationssäkerhet i vården större än någonsin finns det definitivt utrymme för Inera att kliva fram och göra mer av sitt uppdrag att ta fram regelverk för informationssäkerhet än det som nu finns presenterat på n, detta särskilt som SKL säger att man ska arbeta ”resolut” med att förbättra informationssäkerheten.
Ska man lyckas med det krävs dock öppenhet och dialog med de många aktörer som måste ingå i ett sådant förbättringsarbete.
Att hävda att sekretess råder för varje mening i styrande dokument på hög nivå är inte ett tecken på vilja till öppenhet och dialog.
Efter mitt förra inlägg om e-hälsa har jag fått en del kommentarer som visar att sjukvårdens organisation och i ännu högre grad e-hälsoområdets styrning är en okänd värld för många.
Som en projektledare en gång sa till mig som en förebärare för Trump: ”Hur svårt kan det vara med sjukvård (och e-hälsa)?”.
Ganska svårt skulle jag vilja säga vilket även Trump .
Därför kommer här en inledning för att ytterligare förtydliga hur jag uppfattar organisationen idag (finns utrymme för osäkerhet i detta) samt ge ett praktiskt exempel på vad det leder till.
För att bara titta på den bristande styrningen har jag uppdaterat en gammal bild till hur jag tror det ser ut i dag (jag har inte tagit med finlir som kvalitetsregister och trygghetslarm m.m., m.m.).
Bilden är ett försök beskriva samspelet.
Som framgår är ett flertal myndigheter involverade i olika delar, det finns utförare och leverantörer.
Två saker är slående.
Den första är att det inte finns en överordnad myndighet med mandat att hålla ihop helheten och som kan vara kontaktpunkt för övriga aktörer.
Med tanke på hälso- och sjukvårdens betydelse för samhället i olika dimensioner, de mycket stora offentliga resurser som går till sjukvården och det stora antalet aktörer som deltar i det gemensamma vårdarbetet måste detta ses som ett icke-rationellt sätt att organisera det hela om man vill ha effektivitet, kvalitet och strategisk inriktning.
Det andra är SKL och sjukvårdshuvudmännens organisation som jag menar inte håller måttet för de uppgifter som man åtagit sig.
Sjukvårdshuvudmännen har en roll som offentliga organ som är reglerad i lagstiftningen.
Detsamma gäller för vårdgivare oavsett om de är privata eller offentliga.
Men i denna ordning har alltmer SKL glidit in, en intresseorganisation som inte är en myndighet, inte har en lagfäst roll och inte omfattas av offentlighetslagstiftningen.
Riksrevisionen har pekat på detta i en gällande den generella styrningen på vårdområdet.
Inom e-hälsoområdet är problemen med detta mycket tydligt.
En inte oviktig fråga i detta är att det öppenhetskrav som gäller för myndigheter som landsting, regioner och kommuner försvinner då de samarbetar i sin intresseorganisation.
Nu när aktiviteter som tidigare skedde i respektive huvudmans verksamhet flyttas in i SKL:s hägn (inklusive Inera) försvinner också insynen.
Detta kan jämföras med kommunalförbund där insynsmöjligheten fortfarande finns kvar.
Denna fråga verkar inte engagera SKL i någon högre grad, jag söker på hemsidan för att finna om man frivilligt erbjuder en likande insyn i beslutsunderlag och annat som skulle räknas som allmänna handlingar hos SKL:s medlemmar men ser inga sådana informationsinsatser.
Jag skickade även ett mail till SKL:s infoadress den 24 juli: Hej!
Jag vet att SKL inte är en myndighet och därmed inte omfattas av offentlighetslagstiftningen.
Däremot är SKL:s medlemmar det liksom medlemmarnas uppdragsgivare.
Min fråga är hur eftersträvar SKL att ändå kunna erbjuda motsvarande transparens som medlemmarna förutsätts ha?
Detta borde vara allt viktigare i och med att SKL har tagit på sig allt fler uppgifter av operativ karaktär och frågor som starkt påverkar medlemmarnas prioriteringar och finansiering.
Eller är SKL:s linje att allmänheten får tillräcklig insyn via det material som publiceras på den egna webbplatsen?
Detta mail är fortfarande obesvarat efter ett par veckor, kanske beroende på semestertider, vilket i sig är en intressant illustration av att SKL inte omfattas av kraven på myndigheter att snabbt besvara inkommande frågor.
I frågan om e-hälsa är det dock de bristande organisatoriska förutsättningarna som är mest värda att ifrågasätta.
SKL är i sig inte en organisation som är skapad för att bedriva operativ verksamhet utan för att driva förhandlingar i huvudmännens intresse mot arbetstagare och delvis även mot regeringen.
Nu har man omvandlat sig till något som varken är företag eller myndighet men har en horisontell integration där huvudmännen både är leverantörer och kunder, en typ av organisation som redan Vänerskogs jättelika konkurs 1981 visade problemen med.
Denna oreda av aktörer i en infrastruktur av mycket känslig information är detta, ja jag vågar klämma i med, katastrofalt.
Ett mycket stort antal stort antal aktörer är inne och rycker i den gemensamma informationsinfrastrukturen utan att det finns en konkret inriktning utom den som delas av regeringen och SKL.
Jag noterar att webbplatsen inte uppdaterats sedan oktober 2017 men att det kommit en som mest verkar vara ett underlag för förhandlingar samt ett antal fluffiga mål.
Det är långt till verkstaden om man säger så.
Vad leder detta till i praktiken?
Ett bra exempel är hur den ganska naturliga frågeställningen om att ge patienten tillgång till mer information om sin hälsa, behandlingar m.m har hanterats.
För att klargöra utgångsläget så har patienter haft rätt att ta del av sin journal sedan länge, se patientjournallagen (SFS 1985: 562).
En journalhandling inom enskild hälso- och sjukvård skall på begäran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller kopia, om inte annat följer av 2 kap.
8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.
E-hälsofrågan i det hela handlar mer om patienten kan del av journalen.
Personligen tycker jag att hela frågan är felformulerad – istället borde den ha varit: ”hur informerar vi patienten på bästa sätt?”.
Då hade vårdens arbetsverktyg knappast varit den bästa lösningen utan man skulle jobbat på att ge patienten information i den form och på det sätt som gör det enkelt att ta till sig.
Bortsett från detta så påbörjades under början av 2000-talet i landstingsvärlden projekt med målsättning att tillgängliggöra journalen via nätet.
Observera att detta endast handlar envägskommunikation – att patienten får möjlighet att journalen.
Trots att dessa initiativ pågick bland huvudmännen bestämde Göran Hägglund som socialminister att ett nationellt initiativ skulle inledas för att patientjournaler skulle göras tillgängliga i en tjänst där de kunde användas av tredjeparter efter patientens initiativ.
Jag ser det här som ett utslag av att både e-hälsa och e-förvaltning starkt präglades av att under åren runt decennieskiftet ses som en näringsfråga, d.v.s.
de personuppgifter som myndigheter samlar in ska ses som råvara för privata tjänsteleverantörer.
Do´nt get me started – utrymmer räcker inte till för dra upp alla negativa aspekter av detta… Låt mig istället nöja mig med att detta var en lösning med så många problem inte minst säkerhetsmässigt att den skulle ha lagt sig i byrålådan på ett mycket tidigt stadium.
Nu är det stoppat av Datainspektionen även om eHälsomyndigheten fortsätter att processa stödda av en landets mest exklusiva advokatbyråer till en kostnad på drygt 1,5 miljoner bara 2017 (jag har kollat).
För att summera: det har alltså pågått två parallella projekt utan samordning, så vitt jag kan se, för att överföra information från journal till patienter.
Man har inte i lösningarna tagit höjd för hur behovet att patienten med tillräcklig kvalitet och säkerhet ska kunna föra tillbaka uppgifter till vården – en fråga som i sig är en av grundvalarna i en utvecklad e-hälsa.
Exemplet visar mycket tydligt att det inte finns en gemensam plan, behovsanalys eller medvetenhet om att man bygger en gemensam infrastruktur.
Min erfarenhet från olika sammanhang inom området är det också ofta saknas vilja att ta vara på professionernas intresse av fungerande arbetsverktyg eller etiska krav.
Tråkigt nog tycker jag inte att arbetstagarorganisationerna varit särskilt skickliga på att samla och driva sina medlemmars olika behov, detta är dock bara mer än känslomässig upplevelse från konferensbord och från att ha tagit del av olika debattinlägg.
Trots att alla aktörer med emfas skulle säga att de starkt vurmar för patients intresse kan jag tycka att det är väl lätt att utan fog göra sig till patientens företrädare.
Framför allt är det svårt att hitta insikten i att patienter är vi alla och på samma sätt som vi har väldigt olika syn och intressen i andra frågor har vi det även som patienter.
Ett flagrant exempel på detta är de som ständigt ställer patientsäkerhet mot integritet.
Eller inte erkänner att om en välsituerad grupp använder kommersiella nätläkare för att lindra myggbett så kommer det att inkräkta på andra patienters intressen.
Även här måste finnas en mycket större helhetstanke där e-hälsan sätts i sitt rätta sammanhang.
Slutligen kan jag inte underlåta att gå in på integritetsfrågan och hur det gick när jag försökte begära ut mina personuppgifter från vården.
Även detta är en god illustration av läget.
Först till den juridiska historiken som går att scrolla förbi om man inte är intresserad men den har rätt stor betydelse för det praktiska utlämnandet av personuppgifter.
Enligt den gamla patientjournallagen hade varje vårdgivare ansvar för sin egen journal och om uppgifterna behövdes hos en annan vårdgivare måste vissa mått och steg vidtas.
En ansvarig läkare hos vårdgivare A måste göra en menprövning om det var till men eller gagn för patienten att uppgifterna lämnades ut.
Lämnades uppgifter ut skulle ett journalnotat göras om när, vad och till vem uppgifter lämnats ut och hos vårdgivare B fördes uppgifterna in som ”kopia”.
Hela förfarandet hade fördelar som att det gav mycket god spårbarhet, patienten kunde eventuellt förhindra att information lämnades vidare om man ville skydda sin integritet och det var inte hela journalen som lämnades vidare utan bara relevanta delar.
Jag vill bara påpeka dessa fördelar utan att för den delen behöva anklagas för att vara bakåtsträvare för naturligtvis är detta regler som är svåra att upprätthålla i ett digitalt flöde.
Och, ja, jag är väl medveten om att reglerna inte alltid efterlevdes.
Min poäng är att dessa säkerhetsåtgärder inte ersattes av motsvarande funktioner när patientdatalagen (PDL) infördes.
Mitt intryck efter att ha följt frågan om vårdinformation tämligen ingående sedan 1994 är att det inte ens fanns en ambition att göra det.
Denna min uppfattning stärks när jag läser förarbetena till lagstiftningen.
Jag ser patientdatalagen som ett resultat av mer än ett decenniums påverkanskampanj från olika aktörer med innebörden att säkerhet och integritet inte går att förena med digitaliseringen utan man måste välja.
Valet blev då tämligen enkelt eftersom den tekniska och organisatoriska förändringen redan genomförts.
Resultatet, förutom allt newspeak där dålig säkerhet var bra säkerhet o.s.v., var att i patientdatalagen infördes ”sammanhållen journalföring” som enligt lagens definition betyder: Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.
I och med patientdatalagen ändrades grundprincipen för hanteringen av journaluppgifter från att det tidigare defaultläget var att en vårdgivare inte kunde lämna ut uppgifter utan menprövning till nuvarande defaultläge: att information kan flöda mellan vårdgivare om inte patienten aktivt spärrar utlämnandet.
Ett villkor som satts upp för den sammanhållna journalföringen: Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att andra uppgifter än dem som anges i görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.
En sjuk patient ska alltså ta till sig information om hur informationen kommer att hanteras och dessutom ha kraft genomdriva en spärr om hen bedömer att överföringen olämplig.
Några saker bör särskilt noteras i detta redan orimliga scenario.
För det första innebär direktåtkomsten att vårdgivare 2 får tillgång till vårdinformation hos vårdgivare 1 istället för som tidigare ett journalutdrag över information som bedöms vara relevant för det aktuella sjukdomstillfället.
För det andra förutsätter det att vårdpersonalen hos vårdgivare 1 kan ge upplysningar om hur informationen kommer att hanteras i den sammanhållna journalföringen, vilka som kommer att få tillgång till den exempelvis.
Min visserligen anekdotiska men ändå uppfattning efter att ha frågat ett ganska stort antal anställda i vården finns inte en kunskap inom vården hur informationen hanteras och hur ska då personalen kunna upplysa patienten?
Detta är inte så konstigt för jag tror uppriktigt inte någon idag har kontroll över informationsflödena i vården.
För det tredje lyser ett decennium efter PDL:s ikraftträdande fortfarande möjligheten att faktiskt spärra sin journal med sin frånvaro hos ett stort antal vårdgivare.
I praktiken kan jag inte se att patienten har någon reell möjlighet att vare sig få veta hur den egna vårdinformationen hanteras eller att påverka åtkomsten till den.
Med stöd av den sammanhållna journalföringen har det vuxit fram en vårdinformationsspaghetti där det vad jag kunnat se inte finns vare sig överblick, tydlig styrning eller definierade ansvar.
Detta leder också till att när jag hos min vårdgivare frågar: ”Gör ni journalnotat om vilka samtycken till andra vårdgivare jag givit så att jag kan få en sammanställning över vilka som fått åtkomst till mina uppgifter?” får till svar ” Nej, det finns i dagsläget ingen sådan funktion i COSMIC men detta är under utveckling, det vill säga en samtyckestjänst.
Vi dokumenterar inte i x:s journal andra vårdgivares samtycken, detta är var och ens eget ansvar.
När någon inhämtar ett samtycke i COSMIC så genererar detta en logg samt en referens i journalen.”.
Det vill säga att den vårdgivare som lämnar ifrån sig informationen noterar inte detta utan patienten förväntas ansvara för spårbarheten.
Jag vände mig då till Inera som ansvarar för tjänsten Nationell Patientöversikt som är en slags växel då vårdinformation förs mellan olika vårdgivare.
På frågan om de kan redovisa vilka som eventuellt tagit del av min vårdinformation svarar de: ”Samtycke måste alltid inhämtas av den vårdgivare som ska ta del av din information i NPÖ.
Samtycket ska registreras i det lokala journalsystemet hos den aktuella vårdgivaren.
Det tekniska samtycket loggas i den nationella säkerhetstjänsten som förvaltas av Inera.
Det finns ingen dokumentation från journalinformation och inte heller någon information om varför samtycket har inhämtats.” Deras uppfattning är alltså att de endast har ”tekniska loggar” och att jag fortfarande själv måste hålla reda på mina samtycken trots digitaliseringen.
Det framgår också att de anser att de tekniska loggarna inte är att betrakta som personuppgifter.
Jag har valt att inte fördjupa mig ytterligare i detta men hoppas att andra tar upp den tråden.
Sammantaget skulle jag vilja säga att detta rimmar rätt illa med dataskyddsförordningens krav.
Min egentliga poäng med att försöka beskriva att oreda, de oklara ansvarsförhållandena och bristande överblick är att detta naturligtvis inte bara påverkar patientens möjlighet till personlig integritet.
I ännu högre grad påverkas effektivitet, patientsäkerheten och möjligheten att upprätthålla verksamheten vid större störningar.Särskilt bekymmersamt är det oklara ansvaret som även andra Vad blir då kontentan av allt detta?
Jag tror faktiskt inte huvudfrågan är huruvida sjukvården ska förstatligas utan hur den ska styras (även om jag i dagsläget har litet svårt att se exakt vilket värde den regionala politiska styrningen tillför).
Oavsett om det finns 2 eller 200 000 vårdgivare så måste det finnas en stark statlig styrning som då inte enbart omfattar den offentligt finansierade slutenvården som ett förstatligande skulle innebära.
Den nuvarande bristen på styrningen tjänar såvitt jag kan se enbart oseriösa leverantörer på och möjligen de offentliga företrädare som älskar att åka omkring på olika konferenser och framställa sig som visionära.
Situationen där myndigheter processar mot varandra vittnar väl om något om den rådande anarkin.
Om vi inte klarar av att styra digitaliseringen av vården idag så blir tanken på AI och IoT mardrömslik.
Mina förslag är därför att på äktsvenskt maner tillsätta flera rejäla utredningar men med skillnad från de tidigare inte bilägga facit från uppdragsgivaren.
Jag ser framför mig en handfull utredningar inom olika områden men som är starkt koordinerade så att resultaten går att använda.
Viktigt är att ta hänsyn till de mångskiftande intressen som hälso- och sjukvården ska tjäna, inklusive professionernas och forskningens behov på kort och lång sikt.
Inriktningen bör vara att på samma sätt som på 1940-talet bygga en långsiktigt fungerande infrastruktur i bred politisk enighet.
Några förslag (jag tar inte med komplicerade saker som prioriteringar i vården och patienters egentliga intressen): Puh!
Jag vill verkligen inte påstå att jag kommit med de definitiva sanningarna i dessa komplicerade frågor – det finns så många olika sätt att betrakta den svenska e-hälsan.
Säkert har jag missuppfattat eller vantolkat en massa saker.
Mitt enda försvar är att jag efter bästa förmåga försökt måla upp bild av e-hälsa.
Förhoppningsvis kan dessa långa inlägg stimulera andra att dela bild av samma frågor.

Riktlinje informationssäkerhet Anvisning för informationsklassicering Anvisning för informations- och it-säkerhet för medarbetare Stärkt samordning av de frågor som påverkar vården i regeringskansliet och en stärkt roll för Socialstyrelsen som sammanhållande kraft i vården och beställare av it-lösningar hos e-Hälsomyndigheten, SKL m.fl.
Hur en gemensam infrastruktur ska kunna byggas upp i konkreta termer och ansvarsförhållandena för detta En ny patientdatalag som lever upp till dagens många olika behov och som inte genar när det blir svårt.
En arkivlag som kan tillgodse kravet på att bevara den gemensamma informationsinfrastruktur som uppstår inom bland annat e-hälsa.
I en ny arkivlag bör finnas utrymme för att fatta beslut om bevaranderegler även för andra än statliga myndigheter, t.ex.
ett krav på att viss vårdinformation ska bevaras för all framtid oavsett vårdgivare.
SKL:s roll med övervägande om liknande krav på öppenhet som gäller de ingående sjukvårdshuvudmännen.
Frågan bör ställas om SKL över huvud taget har de institutionella förutsättningarna att leverera gemensamma e-tjänster eller om detta istället bör ske av myndigheter Utred möjligheten att införa en lösning liknande den norska Normenden svenska vården.
Detta drev jag med klent gehör när jag jobbade på MSB men det är aldrig fel att vädra gamla käpphästar.
MSB måste våga överge sin beröringsskräck för verkligheten och kunna ge faktiskt stöd till bland annat vården.
Hur e-hälsan systematiskt ska utvärderas och vem som ska utföra det.

OFFENTLIGHET 16 § på vilket sätt läsa alla all en sina

MENU MENU Postat av Postad i , , , , , , Tagged , , , , , Postat av Postad i , , , , , Tagged , , , , , Postat av Postad i , , , , , Tagged , , , , , Postat av Postad i , , , , , , , , Tagged , , , , , , , , , , Sök efter:

Som en inledning på höstens äventyr tänkte jag bara göra några kompletterande anmärkningar till en debatt i Dagens samhälle.
Den inleddes med där jag ventilerade min oro efter vad som framkommit om Region Stockholms informationssäkerhet i den granskningsrapport som initierades av 1177-skandalen.
På inlägget följde två svar.
Det kom från ett par tjänstemän från SKL där man hävdade att regionerna arbetar resolut med informationssäkerhet.
I svaret är man tillämpar man ad hominem-argumentet att ett flertal gånger understryka att jag är ”konsulten”.
Det är ju förståeligt med tanke på NKS och i vilket vanrykte konsulter hamnat i efter den hanteringen men det som bekymrar mig är snarare att baktanken sannolikt är att göra mina argument ointressanta på grund av att jag inte representerar någon organisation.
Detta riktar i och för sig ljuset på ett tråkigt fenomen, att inträdesbiljetten i samtalet om samhällets gemensamma frågor förutsätter att deltagaren representerar ett särintresse.
Personligen tycker jag i stället att det demokratiska samtalet skulle tjäna på att många fler deltog, även de som inte har något annat intresse än att de är engagerade i att försöka förbättra samhället precis som när jag ställer upp som blodgivare.
Detta tillsammans med debattörernas åsikt att öppenhet om inträffade incidenter i offentlig verksamhet på något sätt skulle vara optional tycker jag också visar på det problematiska i SKL:s alltmer utvidgade roll.
Allt mer beslutsfattande och operativ verksamhet för in i en organisation där offentlighetsprincipen inte gäller och insynen, precis som debattörerna antyder, inte är en rättighet utan något som kan ges på nåder.
Att en arbetsgivarorganisation kan överta all fler uppgifter från demokratiskt valda organisationer och dessutom emellanåt kalla sig saker som ”koncernen SKL” (litet som om Almega skulle kalla sig koncernen Almega där alla tjänsteföretag skulle vara underordnade föreningen) leder till ett demokratiskt underskott som borde bekymra fler än mig.
För att inte falla i samma fälla och bara diskutera SKL:s svar utifrån vilka de är och inte utifrån deras argument ska jag här gå något djupare än jag kunde göra i mitt .
Företrädarna hävdar att regionerna arbetar resolut med informationssäkerhet men de exempel som ges på vad man gör tyder snarare på att man fortfarande är kvar i huvudsak teoretiska aktiviteter som möjligen kan få en säkerhetshöjande effekt längre fram.
Det skulle kunna tyckas vara gott nog om informationssäkerhet vore en helt ny fråga.
Det är det inte – behovet av informationssäkerhet i vården har lyfts fram som en kritisk fråga i flera decennier, det har funnits lagstiftning och föreskrifter som ställt krav på sjukvårdshuvudmän och vårdgivare ungefär lika länge.
Problemet är bara att frågan inte prioriterats och nödvändiga åtgärder inte vidtagits.
Att då litet förnärmat när vi närmar oss år 2020 hävda att man nu minsann är på gång med att ta fram mognadsmodeller och skrivit in i en egenstrategi att man anslutit sig till den nationella för informations- och cybersäkerhet känns inte, mja, som något som kommer att hindra incidenter och höja säkerhetsnivån inom den närmaste tiden.
Man säger också att SKL erbjuder sina medlemmar konkret stöd men där är problemet att det stöd som erbjuds t.ex.
i form av informationsklassningsverktyget KLASSA inte skulle ha utgjort ett stöd när det gäller upphandlingen av 1177 eftersom det är ett verktyg för att klassa system, inte informationen i processer.
SKL menar att jag bara gnäller utan konstruktiva lösningar.
Själv tycker jag att jag verkligen anstränger mig för att komma med förslag på förbättringar som att göra en gemensam analys för att kunna prioritera rätt åtgärder o.s.v.
men att vara konstruktiv innebär inte att man bortser från problemen.
Kanske har SKL fastnat i en föreställning att man ska verka som ett företag och att endast positiva marknadsbudskap ska förmedlas vilket följande ger intrycket av.
Jag tycker istället att ett rationellt hanterande av offentliga medel måste bygga på tydliga och ansvarsfulla problemformuleringar.
Sjukvården är i en ständig förändring där numera digitaliseringen spelar en avgörande roll.
Min enda önskaen tas på samma allvar som säkerheten i andra aspekter.
Ett läkemedel skulle aldrig introduceras utan noggranna tester, däremot är det fortfarande comme il faut att föra in nya digitala lösningar i skarp drift utan närmare tester.
Även Daniel Forslund (L), digitaliseringslandstingsråd i Region Stockholm och tycket att jag ensidigt fokuserat på revisionsrapporten när jag bedömde som regionens informationssäkerhet var undermålig.
Jag håller inte med.
Även om det var en kortfattad rapport pekade den på mycket basala systemfel som påverkar hela regionens säkerhetsarbete.
Men eftersom jag försöker ha någorlunda torrt på fötterna innan jag uttalar mig så har jag skrivit till regionen och bett att få ta del av regionens styrande dokument inom informationssäkerhetsområdet.
Utan att förhäva mig utan bara för att skapa kontext i frågan kan jag säga att jag genom åren som konsult och i andra roller sett ett mycket stort antal ledningssystem och också arbetat med att mäta befintlig informationssäkerhet i olika typer av organisationer.
Det är med denna bakgrund som jag bedömer att Region Stockholm saknar rimliga förutsättningar för att bedriva ett systematiskt.
Att regionen på hösten 2018 upphandlar en så känslig tjänst så sent som hösten 2018 utan att ställa relevanta säkerhetskrav är en bekräftelse på ett systemfel och inte en incident som inte kunnat undvikas.
Den som är intresserad får gärna ta del av de dokument jag fått från Region Stockholm för att göra en egen och möjligen annan bedömning.
Teknikhistoria är ett fascinerande ämne som jag ägnat mycket intresse genom åren och då alldeles särskilt samspelet mellan teknik, samhällsutveckling och ekonomi.
Frågor som varför vissa tekniska uppfinningar blir innovationer medan andra inte gör det och de institutionella förutsättningar som gör att teknik leder till positiv samhällsutveckling är ganska grundligt beforskade.
En underbar populärvetenskaplig bok på detta tema är Wolfgang Schivelbuschs som jag rekommenderar alla som vill skapa sig en hälsosam distans till det utmattande nuet.
Det är med denna bakgrund som den svenska förvaltningens digitalisering ständigt förvånar mig eftersom dess genomförande tycks strida mot det som framkommit som framgångsfaktorer för införande av ny teknik.
Istället för att bygga gemensam infrastruktur och institutionella förutsättningar har svenska myndigheter och regioner/landsting ägnat sin energi åt någon slags känslomässig påverkan.
Vad är då budskapet i denna känslomässiga kommunikation?
Så här ser de mest förekommande implicita och explicita budskap ut.
Det övergripande budskapet att det finns ett stort antal ludditer som är passionerat motverkar digitalisering och som måste övertygas om att digitalisering är BRA.
Efter noggrant begrundande kan jag inte erinra mig en enda person som varit emot digitalisering, däremot många som varit emot dålig digitalisering.
Det hindrar inte att det förekommer en ständig underström av halmdockor (läs mer om det klassiska fula argumentationsfelet ) när digitalisering diskuteras.
Dessa figurer som med lock och pock måste forceras att överge papper och penna är del i en ganska bra härskarteknik eftersom den som låtsas som att dessa finns då själv framstår som en ljusbringare som står för det ”moderna”.
Och det är något som i svenska sammanhang vördas så är det det moderna, så har det varit sedan 1800-talet, oavsett vad moderniteten stått för.
Det uppenbart ologiska i att hävda att populasen är teknikfientliga bakåtsträvare på jobbet eller när de ska använda offentliga e-tjänster när de samtidigt på sin fritid har olika kommersiella e-tjänster som sina närmaste livskamrater tycks inte störa.
Nästa centrala budskap är att digitalisering per definition är bra vilket leder till den underförstådda tesen att digitalisering är bra.
Som följd av detta görs ingen skillnad mellan bra och dålig digitalisering trots att alla känner till minst fem misslyckade digitaliseringsprojekt i sin närhet.
Att det inte får finnas dåliga digitaliseringsprojekt till en dubbelriktad kultur av icke-existerande uppföljning och erfarenhetsåtervinning; eftersom det inte görs någon uppföljning kan dålig digitalisering inte påvisas.
Jag tittar in på webbplatserna för två centrala aktörer för den offentliga sektorns digitalisering, eSam och SKL, för att se hur man hanterar utvärderingsfrågan.
eSam har gett ut ett antal vägledningar och metodbeskrivningar för digital samverkan (a.k.a.
ta fram digitala lösningar) i alla möjliga skärningar men vad jag kan se har inte uppföljning och utvärdering förlänats något eget metodstöd.
I den 84-sidiga för behovsdriven utveckling finns visserligen dessa rader med: Efter varje införande bör det genomföras en utvärdering för att ta vara på erfarenheter om vad som gick bra respektive mindre bra i behovsinsamling, planering, metodval, samarbete samt hur resultaten mottogs.
Infriade tjänsten de förhoppningar verksamheten och målgruppen tänkt sig?
men i ett systematiskt arbete förväntar man sig ett något större intresse för frågan.
SKL, som får ses som ett epicentrum för den vingliga offentliga digitaliseringen, förvånar mig positivt genom att erbjuda verktyg för uppföljning exempelvis och så kallade LIKA-värderingar som den för socialtjänst.
Tyvärr visar sig dessa undersökningar vara mognadsundersökningar av i vilken omfattning man lyckats digitalisera, d.v.s.
det handlar inte om att utvärdera hur väl digitaliseringen fungerar.
Ointresset för utvärdering är paradoxalt sett i ljuset av att digilisatörerna gärna vill tala om digitalt ledarskap och vikten av styrning samt nyttorealisering (nej, det är ingen idé ni går till den vägledningen för nyttorealisering för den innehåller inget substantiellt om uppföljning).
För att kunna leda, styra och nyttorealisera i verklig bemärkelse måste man arbeta systematiskt med att utvärdera gjorda satsningar ur ett antal aspekter som ekonomi och effektivitet.
Förhållningssättet att arbeta utan systematik är menar jag en av de mest grundläggande orsakerna till att det offentliga Sveriges digitalisering inte alls når den nivå som skulle kunna förväntas med tanke på de investeringar som gjorts.
Att den svenska digitaliseringen kraftigt underpresterar är ett faktum som det nu tycks råda konsensus om även från internationella bedömare som OECD.
Orsakerna till detta borde vara synnerligen intressanta att identifiera och då inte bara genom att komma dragande med gamla kära bortförklaringar som att juridiken inte är anpassad till digitaliseringen.
Kraften i det argumentet är ju inte heller så övertygande då till exempelvis sjukvårdshuvudmän och vårdgivare högaktningsfullt struntar i viss lagstiftning som man finner obekväm.
Det går inte att argumentera för digitalisering med rationella argument, tråkiga och genomarbetade analyser eller krassa ekonomiska beräkningar.
Istället sker kommunikationen med ett överflöd av uttalande av den här typen: Eftersom dessa uttalande inte går att vare sig be- eller vederlägga befinner vi oss i en situation där ledande aktörer inom digitaliseringsetablissemanget ständigt vädjar till våra känslor istället för att föra en dialog grundad i sakfrågor.
Här uppstår tror jag den olyckliga pepp-cirkelargumentationen där utomstående inte kan delta eftersom ramen för deltagandet är satt; bara de som accepterar pepp-läget kan ingå, de som efterfrågar rationalitet, siffror och nytta uppfattas som fientligt inställda och görs mer eller mindre förfinat till icke-deltagare och i värsta fall till halmdockan ”motståndare till digitalisering”.
Att det finns ett digitaliseringsetablissemang (precis som det finns ett informationssäkerhetsetablissemang) som har mycket att försvara blir ganska uppenbart vid minsta lilla glutt in på LinkedIn.
Det vore kul att se ett sociogram över det ganska begränsade antal människor som genom åren konfererat med varandra, gett varandra komplimanger, titlar, priser och positioner.
Man har skapar myndigheter, kommittéer, kommissioner och råd för att underlätta digitaliseringen, oundgängliga roller som regeringens CDO och kommunala digitaliseringsstrateger och peppat varandra på karnevaler och festivaler (det sista var kanske en liten överdrift…).
Digitaliseringen har beskrivits som det största tekniksprånget i historien (jag skulle nog snarare hävda ångmaskinen eller elektriciteten) och som lösningen på flertalet svåra samhällsproblem.
Den arma fackutbildade personalen i välfärdssektorn har fått finna sig att bli mästrade av allehanda ”evangelister” utan definierad kompetens givits utrymme att predika.
Helt olika räknesätt har tillämpats i de kommunala ekonomierna där lärplattformar för bortåt en halv miljard kunnat prioriteras samtidigt med kraftiga nedskärningar på personalen.
Under senare tid har jag alltmer kommit att grubbla över hur den privata sektorn kunnat genomföra sin digitalisering utan detta etablissemang och överbyggnad.
Jag tror att det är dags för ett paradigmskifte inom den offentliga digitaliseringen i Sverige.
Det är inte fel på förutsättningar, ekonomi eller teknik i första hand utan på den metafysik som omger digitaliseringssträvandena, alltså de föreställningar som finns om digitaliseringen och det sammanhang som de digitala lösningarna ska fungera i. Som samhällsmedborgare skulle jag önska att digitaliseringsetablissemanget tar ett steg tillbaka och med viss självkritik granskar sina argument för att kunna börja tillämpa mer kvalitativ och effektiva arbetssätt.
Det vill säga mindre marknadsföring och mera hantverk, mindre känslor och mera strukturellt tänkande, färre halmdockor och fler verkliga läkare och lärare, färre evangelister och flera ingenjörer i vid bemärkelse, mindre digitala lösningar i sig och mer intresse för de resultat som digitaliseringen ger.
Framför allt önskar jag viljan och förmågan till ett normalt kritiskt förhållningssätt till digitalisering.
Ett stöd för denna typ av reflektioner kan vara följande över vanliga villfarelser.
Särskilt rekommenderar jag närstudier av följande bias: sunk cost fallacy, dunning kruger effect, back fire effect, self serving bias och group think.
Först en disclaimer.
Denna text är skriven med ett visst undertryckt ursinne.
Under 7-8 år under mina vittflygande studier jobbade jag samtidigt på ett boende för psykiskt funktionsnedsatta barm och ungdomar.
Den erfarenheten gör att jag framförallt tänker på de patienter och anhöriga som drabbats av 1177-skandalen men också på den vårdpersonal som till skillnad från digitaliseringsbyråkrater, ”visionärer” och ”evangelister” möter patienter.
De ska nu leva i oro över hur deras arbetsgivare hanterar den information som de i förtroende tar emot och där samtal från hjälpsökande patienter studsar vidare för hantering i Thailand.
Jag jobbade också i ett landsting under 90-talet då politiker, it-leverantörer och byråkrater gick in i en lustiger dans om digitalisering som var mycket lösligt kopplad till verksamhetsbehov.
Att försöka skjuta in frågor om informationssäkerhet eller kvalitet i informationshanteringen stämplades som närmast illojalt eller i bästa fall som tugg som man måste genomlida innan man gick vidare precis som förut.
Filifjonkan på bilden har inte bara med ångestridna patienter att göra utan också känslan av den annalkande katastrofen som hon symboliserar.
Det finns inget som är så lätt som att förutspå framtiden i efterhand.
Många är nu chockade och totalt överraskade över vad som framkommit om 1177 och dess underleverantörer.
Att försöka påpeka vikten av god informationssäkerhet vid digitaliseringen har som sagt varit ett arbete i stark motvind för att inte säga full stormstyrka i 25 år.
Ofta har den berättigade oron för den alltmer bristande säkerheten inom vård-it utmålats som ett Filifjonka-aktigt beteende och att varningarna för riskerna skulle ha lika litet med vår verklighet att göra som Filifjonkans permanenta ängslighet i Mumindalens idyll.
När det nu exempelvis framkommer att Region Värmland har anlitat en underleverantör för att hantera den extremt känsliga informationen i telefonrådgivning endast med dessa säkerhetskrav: Leverantören ska skydda sin information mot otillbörlig åtkomst och förstörelse i enlighet med gällande lagar, förordningar och föreskrifter.
Hur skyddet genomförs ska dokumenteras.
Leverantören ska på begäran kunna uppvisa denna dokumentation för landstinget.
Leverantören ska följa landstingets vid var tid gällande riktlinjer för informationssäkerhet.
ger det en indikation om hur relevant oron faktiskt var/är.
Observera att inga ytterligare krav ställts till exempel i form av en säkerhetsbilaga som förtydligar vad det är man vill ha, inte ens ett personuppgiftsbiträdesavtal i någondera riktningen finns.
Otroligt nog verkar hela den massiva hypen kring dataskyddsförordningen gått regionen förbi.
Med tanke på att hela härvan ännu inte är utredd ska jag, för att undvika förhastade slutsatser, inte kommentera alla juridiska och tekniska detaljer.
Enkla lösningar är det redan alltför många som kommer med.
Inte heller finner jag det meningsfullt att ägna mer tid åt den lyteskomik som svaren från de olika leden i leverans av telefontjänsten i 1177 gett utrymme för.
Istället ska jag försöka ringa något av det systemfel som ligger som grund för den uppkomna situationen.
Grundproblemet ligger i att vård-it i Sverige under trettio år har fått växa fram inte som en sammanhängande infrastruktur utan som en brädhög där olika aktörer kunnat lägga på sin egen bräda utan att behöva ta hänsyn till någon gemensam plan.
Detta skapar naturligtvis en låg grad av funktionalitet trots de enorma resurser som lagts på digitaliseringen men dessutom har det också skapar de oöverblickbara säkerhetsrisker som 1177-skandalen är ett av de mest flagranta exemplen på.
Den främsta säkerhetsrisken är att det i många fall är omöjligt att klarlägga ansvaret för säkerheten vilket med all önskvärd tydlighet framgår i fallet med 1177.
Intuitivt skulle nog de flesta säga att det största ansvaret ligger hos sjukvårdshuvudmännen, det vill säga främst regionerna/landstingen som i den svenska förvaltningsmodellen delegerats ansvaret för och där ansvaret definieras i hälso- och sjukvårdslagen: Med huvudman avses i denna lag det landsting eller den kommun som enligt lagen ansvarar för att erbjuda hälso- och sjukvård.
Inom en huvudmans geografiska område kan en eller flera vårdgivare bedriva verksamhet.
När det gällde hanteringen av information inklusive säkerhet var detta ansvar inte särskilt besvärligt att definiera på den tiden då landstingen också utförde den absoluta merparten av vården.
Då var journalerna allmänna handlingar som tillhörde landstinget och det också ställdes tydliga krav på hanteringen (ja, jag vet att det inte alltid funkade jättebra i verkligheten men jag rör mig nu på systemnivå).
I och med kommunalisering (ÄDEL) och privatiseringsvågen blev ansvaret otydligare.
Som en andra skänkel i saxen som klippte av tydligheten i ansvarsfördelningen fungerade rörelsen mot alltfler samarbeten mellan landsting som exempelvis Sjunet och de nationella tjänsterna.
Det är här jag menar att juridiken inte hängt med, inte genom att ställa krav på integritet i det nya landskapet.
Det juridiska ansvaret läggs nämligen främst på vårdgivaren: Med vårdgivare avses i denna lag statlig myndighet, landsting, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet.
Vårdgivaren kan vara vilken aktör som helst som bedriver någon form av vård, till exempel Medhelp.
Denne har också ansvaret för informationssäkerheten vilket mycket specifikt beskrivs i Socialstyrelsens föreskrift med regler för vårdens Problemet är bara att den mest säkerhetsmedvetne vårdgivaren ändå inte kan hålla sig för sig själv utan måste fungera i brädhögen av oklara ansvar eftersom man till exempel med nödvändighet måste använda bland annat nationella tjänster.
I och med detta faller alla de många goda råd som även säkerhetsexperter av olika dignitet framfört de senaste dagarna om att det bara är att ha tydliga upphandlingsrutiner, följa upp krav o.s.v.
Inte ens dataskyddet faller ut som man skulle kunna tro när man läser i avtalet mellan Region Stockholm och Medhelp och ser att regionen är personuppgiftsbiträde åt Medhelp och inte tvärtom….
Det som måste understrykas är att den digitala världen inte bygger på bilaterala relationer utan på multilaterala och att vi saknar verktyg att hantera den nya situationen.
Även trogna gamla kämpar som tillsynsvapnet riskerar att bli tandlöst eftersom tillsynen gäller enskilda organisationer.
Att skapa ansvarsförhållanden och möjlighet till ansvarsutkrävande avpassade för multilaterala infrastrukturer bedömer jag som den mest fundamentala säkerhetsåtgärden för vård-it.
Detta är inte något som en enskild vårdgivare kan ta ansvar för utan måste byggas upp på nationell nivå.
Tyvärr har denna grundläggande förutsättning totalt negligerats i de utredningar om e-hälsa som genomfört under senare år.
Mer om de moderna strukturerna finns att läsa i den nyligen utkomna antologin .
Ansvaret är alltså idag osynkroniserat med den nationella informationsinfrastrukturen och även med den tekniska infrastrukturen.
Ändå tror jag det är viktigt med ett ansvarsutkrävande.
Tyvärr kommer nog inte Region Stockholms innovationsregionråd ta sitt ansvar och avgå, inte heller hans motsvarigheter i Region Värmland och Sörmland.
SKL:s programansvarige för e-hälsa kommer att på motsvarande sätt skjuta ansvaret ifrån sig och Inera har snabbt varit ute och sagt att de går skuldfria ur denna förödande situation.
Tyvärr, inte för att vi behöver ett melodramatiskt utspel som när Toyota-chefen gråtande bad om ursäkt för sina fel eller syndabockar, men för att ge en reboot för vård-it.
Om ett antal digitaliseringspotentater inom vården åtminstone hade omdömet att säga: ”jag har villigt tagit emot all cred för att framstå som nyskapande och innovativ, nu tar jag lika villigt mitt ansvar när det visar sig att vi kört totalt fel inom e-hälsoområdet.”.
Detta vore en mycket viktig signal att vi nu inte ska fortsätta som förut utan gå in i en ny tid.
Det jag skriver ovan kan nog de flesta hålla med om på någon nivå men varför ser det då ut som det gör?
Jag skulle vilja hävda att det inte enbart beror på inkompetens utan i lika hög grad på attityd, möjligen arrogans.
Detta är en något nedslående tanke för sannolikheten för att kunna omvandla inkompetens till kompetens är större en att rå på decennier av negativ säkerhetskultur.
Jag förstår att det är mycket behagligare att ständigt mana framåt och inte hänga upp sig på problem och hinder.
I 1177-skandalen är patientens integritet som allvarligt skadats vilket är ett värde som talföra debattörer inom digitaliseringen och e-hälsa till och med i många sammanhang förnekat.
Den bristande samordningen kan också ses som ett resultat av SKL:s framgångsrika arbete som lobbyorganisation.
SKL är en intresseorganisation för regioner och kommuner som arbetsgivare och har med stor frenesi hävdat det kommunala självstyret inom hälso- och sjukvård.
Varje försök till styrning från staten nagelfars och min bedömning är att staten efter nedmonteringen av Socialstyrelsen inte ens har möjlighet till en effektiv myndighetsstyrning vilket lämnat fältet ännu mer fritt för SKL.
Ur ett samhällsperspektiv har det även lett till en starkt minskad insyn eftersom SKL, trots att man är helt finansierad av offentliga medel, inte lyder under offentlighetsprincipen.
Vad som pågår inom SKL och vilken agenda som drivs är därför svårgenomträngligt.
Under den tid jag jobbade på MSB och, bland annat inspirerad av den norska lösningen Normen, försökte få till en styrning bättre avpassad till de multilaterala relationerna fick jag ofta känna av SKL:s maktanspråk.
Ärligt talat så var intresset inte särskilt stort ens i min egen myndighet och inte heller i de andra myndigheter som hade uppdrag i någon form som påverkade säkerhetsaspekterna i vården.
Men var det ett svalt umgänge i myndighetssfären så var SKL:s engagemang i frågan på nollpunkten.
Mitt käcka erbjudande om att MSB skulle kunna samordna och tillföra väsentliga resurser och kompetens för att göra den så skakiga informationssäkerheten i vården bättre möttes mycket kallsinnigt.
Budskapet var att detta var en uppgift som regionerna kunde klara själva (med SKL:s hjälp) och att myndigheter inte hade i territoriet att göra.
Själv kände jag mig som en ovälkommen budbärare från de många medlemsorganisationer som satt med sin usla säkerhetssituation utan reell möjlighet att göra något åt den.
Med ett avancerat tjat lyckades det till slut att få SKL att skriva under den gemensamma strategi som jag tagit fram som underlag och som nu litet patetiskt ligger kvar på MSB .
Någon gemensam styrning á la Normen är lika fjärran som då strategin skrevs.
SKL har alltså haft alla möjligheter att själva ta fram de stöd som så väl skulle behövas i deras medlemsorganisationer.
Så har inte skett förutom det tveksamma verktyget för informationsklassning som jag skrivit om Något gemensamt regelverk för att hantera den multilaterala ansvarssituationen inom vården kan jag fortfarande inte hitta på SKL: s webbsida.
Intressant nog har ju inte SKL något formellt ansvar för informationssäkerheten i vården eftersom man är en intresseorganisation och kommer säkerligen inte att påta sig något sådant nu heller.
När nu nästa trend är AI i vården blir man inte direkt lugnare, särskilt inte när SKL:s programansvarige för e-hälsa ifrågasätter lagstiftningen snarare än ansvarskänslan hos införarna som .
I mina dystrare stunder tror jag vi nått vår kollektiva inkompetensnivå där vi ska skapat ett it-monster som ingen längre kan styra.
Vi har en situation med i princip outtömliga tekniska möjligheter promotas av aggressiva leverantörer.
Tekniken möter en omogen organisationsstruktur där verklig styrning ersatts av fritt spelrum för särintressen.
Till detta kommer den bristande självinsikten om att det är så här det ser ut och den negativa säkerhetskulturen inom vården.
Och slutligen juridik och företrädare för informationssäkerhet som fortsätter att leverera lösningar gjorda för enstaka organisationer eller möjligen bilaterala relationer vilken inte är till någon större hjälp i den dagens multilaterala arkitekturer.
Självklart kan vi inte ge upp utan istället ställa oss frågan hur vi kan genomföra de absolut nödvändiga förändringar som skulle göra vård-it till en seriös verksamhet.
Här vill jag anslå en ny ton för att markera att detta är mycket komplexa frågor som vi idag i huvudsak saknar svar på.
Det är inte enkla förbättringar av upphandlingsrutiner som kan leda framåt utan förändringar av en helt annan dimension som är nödvändiga.
Det är inte beställningar mellan kund och leverantör som är det verkliga problemet utan beställningen från regeringen till sjukvårdshuvudmännen som inte fungerar där sjukvårdshuvudmännen som leverantörer inte klarar av att skapa en säker vård-it.
Mina förslag, som jag inte när något större hopp om att de kommer att anammas, är att likna vid ett undantagstillstånd.
Det kan tyckas dramatiskt men allvaret i situationen kräver extraordinära åtgärder .
Parallellt med åtgärderna bör även en attitydförskjutning initieras där vi slutar se digitalisering som ett självändamål utan blir förmögna att ta in olika perspektiv som till exempel säkerhet.
Utgångspunkten bör också att det är en nationell struktur som ska byggas och förvaltas där de gamla organisationsgränserna inte längre får sätta käppar i hjulet.
Här kan man ana att en del integritetsnihilister vädrar morgonluft men bedra er inte; målet är att stärka integriteten, inte nedmontera den ytterligare!
Efter mitt förra inlägg om e-hälsa har jag fått en del kommentarer som visar att sjukvårdens organisation och i ännu högre grad e-hälsoområdets styrning är en okänd värld för många.
Som en projektledare en gång sa till mig som en förebärare för Trump: ”Hur svårt kan det vara med sjukvård (och e-hälsa)?”.
Ganska svårt skulle jag vilja säga vilket även Trump .
Därför kommer här en inledning för att ytterligare förtydliga hur jag uppfattar organisationen idag (finns utrymme för osäkerhet i detta) samt ge ett praktiskt exempel på vad det leder till.
För att bara titta på den bristande styrningen har jag uppdaterat en gammal bild till hur jag tror det ser ut i dag (jag har inte tagit med finlir som kvalitetsregister och trygghetslarm m.m., m.m.).
Bilden är ett försök beskriva samspelet.
Som framgår är ett flertal myndigheter involverade i olika delar, det finns utförare och leverantörer.
Två saker är slående.
Den första är att det inte finns en överordnad myndighet med mandat att hålla ihop helheten och som kan vara kontaktpunkt för övriga aktörer.
Med tanke på hälso- och sjukvårdens betydelse för samhället i olika dimensioner, de mycket stora offentliga resurser som går till sjukvården och det stora antalet aktörer som deltar i det gemensamma vårdarbetet måste detta ses som ett icke-rationellt sätt att organisera det hela om man vill ha effektivitet, kvalitet och strategisk inriktning.
Det andra är SKL och sjukvårdshuvudmännens organisation som jag menar inte håller måttet för de uppgifter som man åtagit sig.
Sjukvårdshuvudmännen har en roll som offentliga organ som är reglerad i lagstiftningen.
Detsamma gäller för vårdgivare oavsett om de är privata eller offentliga.
Men i denna ordning har alltmer SKL glidit in, en intresseorganisation som inte är en myndighet, inte har en lagfäst roll och inte omfattas av offentlighetslagstiftningen.
Riksrevisionen har pekat på detta i en gällande den generella styrningen på vårdområdet.
Inom e-hälsoområdet är problemen med detta mycket tydligt.
En inte oviktig fråga i detta är att det öppenhetskrav som gäller för myndigheter som landsting, regioner och kommuner försvinner då de samarbetar i sin intresseorganisation.
Nu när aktiviteter som tidigare skedde i respektive huvudmans verksamhet flyttas in i SKL:s hägn (inklusive Inera) försvinner också insynen.
Detta kan jämföras med kommunalförbund där insynsmöjligheten fortfarande finns kvar.
Denna fråga verkar inte engagera SKL i någon högre grad, jag söker på hemsidan för att finna om man frivilligt erbjuder en likande insyn i beslutsunderlag och annat som skulle räknas som allmänna handlingar hos SKL:s medlemmar men ser inga sådana informationsinsatser.
Jag skickade även ett mail till SKL:s infoadress den 24 juli: Hej!
Jag vet att SKL inte är en myndighet och därmed inte omfattas av offentlighetslagstiftningen.
Däremot är SKL:s medlemmar det liksom medlemmarnas uppdragsgivare.
Min fråga är hur eftersträvar SKL att ändå kunna erbjuda motsvarande transparens som medlemmarna förutsätts ha?
Detta borde vara allt viktigare i och med att SKL har tagit på sig allt fler uppgifter av operativ karaktär och frågor som starkt påverkar medlemmarnas prioriteringar och finansiering.
Eller är SKL:s linje att allmänheten får tillräcklig insyn via det material som publiceras på den egna webbplatsen?
Detta mail är fortfarande obesvarat efter ett par veckor, kanske beroende på semestertider, vilket i sig är en intressant illustration av att SKL inte omfattas av kraven på myndigheter att snabbt besvara inkommande frågor.
I frågan om e-hälsa är det dock de bristande organisatoriska förutsättningarna som är mest värda att ifrågasätta.
SKL är i sig inte en organisation som är skapad för att bedriva operativ verksamhet utan för att driva förhandlingar i huvudmännens intresse mot arbetstagare och delvis även mot regeringen.
Nu har man omvandlat sig till något som varken är företag eller myndighet men har en horisontell integration där huvudmännen både är leverantörer och kunder, en typ av organisation som redan Vänerskogs jättelika konkurs 1981 visade problemen med.
Denna oreda av aktörer i en infrastruktur av mycket känslig information är detta, ja jag vågar klämma i med, katastrofalt.
Ett mycket stort antal stort antal aktörer är inne och rycker i den gemensamma informationsinfrastrukturen utan att det finns en konkret inriktning utom den som delas av regeringen och SKL.
Jag noterar att webbplatsen inte uppdaterats sedan oktober 2017 men att det kommit en som mest verkar vara ett underlag för förhandlingar samt ett antal fluffiga mål.
Det är långt till verkstaden om man säger så.
Vad leder detta till i praktiken?
Ett bra exempel är hur den ganska naturliga frågeställningen om att ge patienten tillgång till mer information om sin hälsa, behandlingar m.m har hanterats.
För att klargöra utgångsläget så har patienter haft rätt att ta del av sin journal sedan länge, se patientjournallagen (SFS 1985: 562).
En journalhandling inom enskild hälso- och sjukvård skall på begäran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller kopia, om inte annat följer av 2 kap.
8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.
E-hälsofrågan i det hela handlar mer om patienten kan del av journalen.
Personligen tycker jag att hela frågan är felformulerad – istället borde den ha varit: ”hur informerar vi patienten på bästa sätt?”.
Då hade vårdens arbetsverktyg knappast varit den bästa lösningen utan man skulle jobbat på att ge patienten information i den form och på det sätt som gör det enkelt att ta till sig.
Bortsett från detta så påbörjades under början av 2000-talet i landstingsvärlden projekt med målsättning att tillgängliggöra journalen via nätet.
Observera att detta endast handlar envägskommunikation – att patienten får möjlighet att journalen.
Trots att dessa initiativ pågick bland huvudmännen bestämde Göran Hägglund som socialminister att ett nationellt initiativ skulle inledas för att patientjournaler skulle göras tillgängliga i en tjänst där de kunde användas av tredjeparter efter patientens initiativ.
Jag ser det här som ett utslag av att både e-hälsa och e-förvaltning starkt präglades av att under åren runt decennieskiftet ses som en näringsfråga, d.v.s.
de personuppgifter som myndigheter samlar in ska ses som råvara för privata tjänsteleverantörer.
Do´nt get me started – utrymmer räcker inte till för dra upp alla negativa aspekter av detta… Låt mig istället nöja mig med att detta var en lösning med så många problem inte minst säkerhetsmässigt att den skulle ha lagt sig i byrålådan på ett mycket tidigt stadium.
Nu är det stoppat av Datainspektionen även om eHälsomyndigheten fortsätter att processa stödda av en landets mest exklusiva advokatbyråer till en kostnad på drygt 1,5 miljoner bara 2017 (jag har kollat).
För att summera: det har alltså pågått två parallella projekt utan samordning, så vitt jag kan se, för att överföra information från journal till patienter.
Man har inte i lösningarna tagit höjd för hur behovet att patienten med tillräcklig kvalitet och säkerhet ska kunna föra tillbaka uppgifter till vården – en fråga som i sig är en av grundvalarna i en utvecklad e-hälsa.
Exemplet visar mycket tydligt att det inte finns en gemensam plan, behovsanalys eller medvetenhet om att man bygger en gemensam infrastruktur.
Min erfarenhet från olika sammanhang inom området är det också ofta saknas vilja att ta vara på professionernas intresse av fungerande arbetsverktyg eller etiska krav.
Tråkigt nog tycker jag inte att arbetstagarorganisationerna varit särskilt skickliga på att samla och driva sina medlemmars olika behov, detta är dock bara mer än känslomässig upplevelse från konferensbord och från att ha tagit del av olika debattinlägg.
Trots att alla aktörer med emfas skulle säga att de starkt vurmar för patients intresse kan jag tycka att det är väl lätt att utan fog göra sig till patientens företrädare.
Framför allt är det svårt att hitta insikten i att patienter är vi alla och på samma sätt som vi har väldigt olika syn och intressen i andra frågor har vi det även som patienter.
Ett flagrant exempel på detta är de som ständigt ställer patientsäkerhet mot integritet.
Eller inte erkänner att om en välsituerad grupp använder kommersiella nätläkare för att lindra myggbett så kommer det att inkräkta på andra patienters intressen.
Även här måste finnas en mycket större helhetstanke där e-hälsan sätts i sitt rätta sammanhang.
Slutligen kan jag inte underlåta att gå in på integritetsfrågan och hur det gick när jag försökte begära ut mina personuppgifter från vården.
Även detta är en god illustration av läget.
Först till den juridiska historiken som går att scrolla förbi om man inte är intresserad men den har rätt stor betydelse för det praktiska utlämnandet av personuppgifter.
Enligt den gamla patientjournallagen hade varje vårdgivare ansvar för sin egen journal och om uppgifterna behövdes hos en annan vårdgivare måste vissa mått och steg vidtas.
En ansvarig läkare hos vårdgivare A måste göra en menprövning om det var till men eller gagn för patienten att uppgifterna lämnades ut.
Lämnades uppgifter ut skulle ett journalnotat göras om när, vad och till vem uppgifter lämnats ut och hos vårdgivare B fördes uppgifterna in som ”kopia”.
Hela förfarandet hade fördelar som att det gav mycket god spårbarhet, patienten kunde eventuellt förhindra att information lämnades vidare om man ville skydda sin integritet och det var inte hela journalen som lämnades vidare utan bara relevanta delar.
Jag vill bara påpeka dessa fördelar utan att för den delen behöva anklagas för att vara bakåtsträvare för naturligtvis är detta regler som är svåra att upprätthålla i ett digitalt flöde.
Och, ja, jag är väl medveten om att reglerna inte alltid efterlevdes.
Min poäng är att dessa säkerhetsåtgärder inte ersattes av motsvarande funktioner när patientdatalagen (PDL) infördes.
Mitt intryck efter att ha följt frågan om vårdinformation tämligen ingående sedan 1994 är att det inte ens fanns en ambition att göra det.
Denna min uppfattning stärks när jag läser förarbetena till lagstiftningen.
Jag ser patientdatalagen som ett resultat av mer än ett decenniums påverkanskampanj från olika aktörer med innebörden att säkerhet och integritet inte går att förena med digitaliseringen utan man måste välja.
Valet blev då tämligen enkelt eftersom den tekniska och organisatoriska förändringen redan genomförts.
Resultatet, förutom allt newspeak där dålig säkerhet var bra säkerhet o.s.v., var att i patientdatalagen infördes ”sammanhållen journalföring” som enligt lagens definition betyder: Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.
I och med patientdatalagen ändrades grundprincipen för hanteringen av journaluppgifter från att det tidigare defaultläget var att en vårdgivare inte kunde lämna ut uppgifter utan menprövning till nuvarande defaultläge: att information kan flöda mellan vårdgivare om inte patienten aktivt spärrar utlämnandet.
Ett villkor som satts upp för den sammanhållna journalföringen: Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att andra uppgifter än dem som anges i görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.
En sjuk patient ska alltså ta till sig information om hur informationen kommer att hanteras och dessutom ha kraft genomdriva en spärr om hen bedömer att överföringen olämplig.
Några saker bör särskilt noteras i detta redan orimliga scenario.
För det första innebär direktåtkomsten att vårdgivare 2 får tillgång till vårdinformation hos vårdgivare 1 istället för som tidigare ett journalutdrag över information som bedöms vara relevant för det aktuella sjukdomstillfället.
För det andra förutsätter det att vårdpersonalen hos vårdgivare 1 kan ge upplysningar om hur informationen kommer att hanteras i den sammanhållna journalföringen, vilka som kommer att få tillgång till den exempelvis.
Min visserligen anekdotiska men ändå uppfattning efter att ha frågat ett ganska stort antal anställda i vården finns inte en kunskap inom vården hur informationen hanteras och hur ska då personalen kunna upplysa patienten?
Detta är inte så konstigt för jag tror uppriktigt inte någon idag har kontroll över informationsflödena i vården.
För det tredje lyser ett decennium efter PDL:s ikraftträdande fortfarande möjligheten att faktiskt spärra sin journal med sin frånvaro hos ett stort antal vårdgivare.
I praktiken kan jag inte se att patienten har någon reell möjlighet att vare sig få veta hur den egna vårdinformationen hanteras eller att påverka åtkomsten till den.
Med stöd av den sammanhållna journalföringen har det vuxit fram en vårdinformationsspaghetti där det vad jag kunnat se inte finns vare sig överblick, tydlig styrning eller definierade ansvar.
Detta leder också till att när jag hos min vårdgivare frågar: ”Gör ni journalnotat om vilka samtycken till andra vårdgivare jag givit så att jag kan få en sammanställning över vilka som fått åtkomst till mina uppgifter?” får till svar ” Nej, det finns i dagsläget ingen sådan funktion i COSMIC men detta är under utveckling, det vill säga en samtyckestjänst.
Vi dokumenterar inte i x:s journal andra vårdgivares samtycken, detta är var och ens eget ansvar.
När någon inhämtar ett samtycke i COSMIC så genererar detta en logg samt en referens i journalen.”.
Det vill säga att den vårdgivare som lämnar ifrån sig informationen noterar inte detta utan patienten förväntas ansvara för spårbarheten.
Jag vände mig då till Inera som ansvarar för tjänsten Nationell Patientöversikt som är en slags växel då vårdinformation förs mellan olika vårdgivare.
På frågan om de kan redovisa vilka som eventuellt tagit del av min vårdinformation svarar de: ”Samtycke måste alltid inhämtas av den vårdgivare som ska ta del av din information i NPÖ.
Samtycket ska registreras i det lokala journalsystemet hos den aktuella vårdgivaren.
Det tekniska samtycket loggas i den nationella säkerhetstjänsten som förvaltas av Inera.
Det finns ingen dokumentation från journalinformation och inte heller någon information om varför samtycket har inhämtats.” Deras uppfattning är alltså att de endast har ”tekniska loggar” och att jag fortfarande själv måste hålla reda på mina samtycken trots digitaliseringen.
Det framgår också att de anser att de tekniska loggarna inte är att betrakta som personuppgifter.
Jag har valt att inte fördjupa mig ytterligare i detta men hoppas att andra tar upp den tråden.
Sammantaget skulle jag vilja säga att detta rimmar rätt illa med dataskyddsförordningens krav.
Min egentliga poäng med att försöka beskriva att oreda, de oklara ansvarsförhållandena och bristande överblick är att detta naturligtvis inte bara påverkar patientens möjlighet till personlig integritet.
I ännu högre grad påverkas effektivitet, patientsäkerheten och möjligheten att upprätthålla verksamheten vid större störningar.Särskilt bekymmersamt är det oklara ansvaret som även andra Vad blir då kontentan av allt detta?
Jag tror faktiskt inte huvudfrågan är huruvida sjukvården ska förstatligas utan hur den ska styras (även om jag i dagsläget har litet svårt att se exakt vilket värde den regionala politiska styrningen tillför).
Oavsett om det finns 2 eller 200 000 vårdgivare så måste det finnas en stark statlig styrning som då inte enbart omfattar den offentligt finansierade slutenvården som ett förstatligande skulle innebära.
Den nuvarande bristen på styrningen tjänar såvitt jag kan se enbart oseriösa leverantörer på och möjligen de offentliga företrädare som älskar att åka omkring på olika konferenser och framställa sig som visionära.
Situationen där myndigheter processar mot varandra vittnar väl om något om den rådande anarkin.
Om vi inte klarar av att styra digitaliseringen av vården idag så blir tanken på AI och IoT mardrömslik.
Mina förslag är därför att på äktsvenskt maner tillsätta flera rejäla utredningar men med skillnad från de tidigare inte bilägga facit från uppdragsgivaren.
Jag ser framför mig en handfull utredningar inom olika områden men som är starkt koordinerade så att resultaten går att använda.
Viktigt är att ta hänsyn till de mångskiftande intressen som hälso- och sjukvården ska tjäna, inklusive professionernas och forskningens behov på kort och lång sikt.
Inriktningen bör vara att på samma sätt som på 1940-talet bygga en långsiktigt fungerande infrastruktur i bred politisk enighet.
Några förslag (jag tar inte med komplicerade saker som prioriteringar i vården och patienters egentliga intressen): Puh!
Jag vill verkligen inte påstå att jag kommit med de definitiva sanningarna i dessa komplicerade frågor – det finns så många olika sätt att betrakta den svenska e-hälsan.
Säkert har jag missuppfattat eller vantolkat en massa saker.
Mitt enda försvar är att jag efter bästa förmåga försökt måla upp bild av e-hälsa.
Förhoppningsvis kan dessa långa inlägg stimulera andra att dela bild av samma frågor.
I maj när dataskyddsförordningen trädde i kraft inledde jag ett test: att genom att ställa frågor om hur mina personuppgifter hanterades i vården ville jag göra en temperaturmätning av den kontroll som vården generellt har över vårdinformationen.
För hälso- och sjukvård innebär (i princip) inte dataskyddsförordningen någon så stor skillnad eftersom både patientdatalagen och PuL redan gett patienten möjlighet att få tillgång till sin information och (i teorin) spärra åtkomsten till sin vårdinformation.
I verkligheten är det och har det sedan patientdatalagen varit svårt för att inte säga omöjligt att få veta hur patientuppgifter hanteras – det är i alla fall min uppfattning som jag ville pröva genom att begära upplysningar om mina egna vårduppgifter med stöd av dataskyddsförordningen.
Svaren på mina frågor var negativa (vilket jag kommer att återkomma till senare) men jag fick underlag rörande dagssituationen inom e-hälsoområdet.
Detta inlägg svävar ut in extremis och handlar om i vilket landskap som digitalisering av vårdinformationen sker.
Jag ska resonera om den bristande styrningen av e-hälsa samt pusta ut orosmoln om informationssäkerhet och det långsiktiga bevarandet av vårdinformationen.
I ett följande inlägg kommer jag att skriva mer om den bakomliggande juridiken.
Först till organisationen av den svenska sjukvården som förvånansvärt många som gör inlägg i e-hälsofrågor inte tycks bottna helt i. Tillåt mig att roa mig med en historisk utflykt.
Den svenska vården är i huvudsak offentligt finansierad via skattemedel.
Det regionala ansvarar för att erbjuda vård inom det egna upptagningsområdet enligt hälsosjukvårdslagen.
Men landstingen och regioner behöver inte själva vara utförare av all vård utan kan även vara privata.
Andelen privata vårdgivare har tillväxt mycket starkt under de senaste 20 åren men strukturen med självständiga landsting som sjukvårdshuvudmän har funnits sedan 1862 (med varierande uppdrag).
Redan här finns underlag för vanliga missuppfattningar om ansvar men också reella problem eftersom de flesta krav i föreskrifter m.m.
riktas mot vårdgivarna och inte sjukvårdshuvudmännen.
När det gäller säkerhet och integritet har dock vårdgivarna inte så stora möjligheter att påverka sin situation trots att de har ansvaret – de tvingas (formellt eller informellt) ofta av sjukvårdshuvudmän, SKL eller myndigheter att använda lösningar oavsett egna säkerhetskrav.
Landstingen är kommuner med en politisk ledning vilket gör att inriktningen för olika landsting och regioner kan variera.
För e-hälsan som av naturliga skäl blir allt mer nationell är detta en ansvarsfördelning som innebär stora problem, inte minst eftersom landstingspolitiker använt rollen för egna, i mitt tycke kortsiktiga, kampanjer.
En misstanke som gror är att e-hälsa används av politiker för att undkomma att diskutera den offentligt finansierade vårdens grundfråga: den nödvändiga prioriteringen.
Det är ett väl känt faktum att det inte finns någon bortre gräns för behovet av vård, det finns hela tiden nya sjukdomar och tillstånd som kan behandlas och definitionen av hälsa kan sättas så högt att inte minsta krämpa blir acceptabel.
Däremot är vårdens resurser begränsade – alltså måste prioriteringar ske.
Detta är den mest laddade av alla frågor för sjukvårdspolitiker eftersom prioriteringar ofelbart kommer att leda till att några patienter blir missnöjda.
Den som tillsattes i slutet av nittiotalet för att ge de lokala politikerna stöd i form av nationella prioriteringslistor släppte också snabbt den glödheta potatisen och lämnande ifrån sig litet allmänna rekommendationer om hur processen för prioriteringar skulle kunna ske .
Min teori är att politiker och högre tjänstemän i vården nu (omedvetet) använder e-hälsa som en dimridå för att undvika frågan om prioriteringar genom att hävda att e-hälsosatsningar skulle kunna leda till enorma effektivitetsvinster (som då underförstått skulle leda till att får den vård de vill ha).
I verkligheten sker en mycket negativ icke-styrd prioritering av sjukvårdsmedel genom bland annat kommersiella nätläkare där en ohelig allians mellan nätläkarnas ekonomiska intresse och människor med lättare krämpor prioriterar upp sig på bekostnad av andra med reella hälsoproblem.
En hårdvinklad beskrivning men ni förstår vad jag menar.
Detta sätter stark press på sjukvårdspolitiker som i vissa fall måste säga nej men hellre säger att e-hälsa kommer att lösa problemen.
Själv är jag positiv till de former av e-hälsa som leder till reella förbättringar men att tro att den ska kunna upphäva den omöjliga ekvationen mellan outtömliga behov och begränsade resurser är en vanföreställning som ansvarsfulla politiker borde göra upp med.
En annan viktig negativ faktor är SKL:s förändrade roll.
SKL driver sina medlemsorganisationers intressen i förhållande gentemot uppdragsgivaren staten, d.v.s.
att man vill att staten ska styra så litet som möjligt (även om det inte uttrycks preeeecis så) vilket ökar på fragmentiseringen ytterligare.
Den tidigare sammanhållande myndigheten Socialstyrelsen som var en beredande motpart för SKL blev sönderslagen för några år sedan.
Uppgifterna är nu fördelade på fyra myndigheter som tillsammans med Läkemedelsverket tycks ha ett tämligen lågintensivt samarbete.
SKL och sjukvårdshuvudmännen agerar som månghövdad maktfaktor utan eget ansvar i det tomrum som skapades när Socialstyrelsen nedmonterades.
Dessutom står e-hälsoområdet under ett starkt kommersiellt intresse, inte bara genom nätläkarna.
Den nära alliansen mellan känns inte helt betryggande för det kommande.
I den tidigare regeringen var två av hälso- och sjukvårdsministerns statssekreterare hämtade från it-leverantörer vilket Dagens samhälle skrev om förra året.
Förväntan på stora vinster inom vården och en kanske alltför nära relation är knappast positiva nyheter för patienter och skattebetalare.
Eftersom jag intresserat mig en hel del för den svenska sjukvårdens historia kan jag inte undgå att fundera över att maktbalansen mellan staten som är uppdragsgivaren och utförarna, d.v.s.
sjukvårdshuvudmännen (regioner och landsting) samt numera SKL, har förskjutits.
Att göra historiska jämförelser är alltid vanskligt men för mig går det inte att motstå frestelsen att försöka analysera varför e-hälsa och digitalisering relativt sett varit så litet framgångsrika samhällsprojekt i förhållande till de resurser som satsat.
Hade det gått att prata fram e-hälsa och digitalisering hade det svenska samhället genomgått ett Civilization-moment där den framgångsrike spelaren lyckas uppfinna elektricitet på 1100-talet.
Men tyvärr räcker det inte med miljontals power point bilder, konferensinlägg, möten, testbäddar och avgränsade dellösningar för att skapa infrastruktur.
I detta delar jag uppfattningen i om floden av åsikter.
Jag tror mig att se några orsaker till det haltande genomförandet av något som trots allt alla varit överens om ska genomföras.
Detta är en situation som i mycket liknar den som rådde från slutet av fyrtiotalet och i ett par decennier framåt då det skedde en så här i efterhand nästan ofattbar mobilisering och utbyggnad av den svenska hälso- och sjukvården.
När jag skrev en historik om den värmländska sjukvården häpnade jag över att landstinget under en tioårsperiod byggde inte mindre än fyra nya sjukhus!
Även om jag är starkt lockad ska jag inte gräva ner mig ytterligare i detta utan bara tacksamt konstatera att den samhälleliga kraftsamling är något som vi nu fortsätter att skörda frukterna av.
Hur kunde man lyckas med denna infrastrukturella revolution?
En första förutsättning var att det fanns en stark politisk enighet om att detta skulle genomföras även från de borgerliga partierna som annars kampanjade för skattesänkningar.
Men till skillnad mot e-hälsoutvecklingen (liksom digitaliseringen i övrigt) nöjde man sig inte med den politiska enigheten utan skapade även de institutionella förutsättningarna (för den som vill läsa mer om institutionella förutsättningar rekommenderar jag verkligen att läsa litet Lennart Lundqvist eller Bo Rothstein) för utbyggnad.
En viktig sådan var att skapa ett mycket genomarbetat kunskapsunderlag att ta ut riktningen ifrån.
I detta var utredningsväsendet mycket betydelsefullt, de utredningsinsatser som gjordes var av mycket hög kvalitet.
Häri ligger en väsentlig skillnad mot de utredningar och kommittéer som levererat förslag inom digitalisering och e-hälsa, jag nöjer mig med att instämma i de synpunkter som framförs i den här .
I utvecklingen fanns en mycket kraftfull och sammanhållande motor i Medicinalstyrelsen, sedermera Socialstyrelsen.
Det är idag nästan svårt att förstå hur inflytelserik myndigheten var och på vilken detaljnivå man styrde sjukvården.
Om vi bara ser till vårdbyggnader fanns det ett regelverk som ner till hur många luftkubik per vårdplats definierade hur sjukhusen skulle byggas.
Varje ritning på ny- eller ombyggnad måste skickas in för godkännande och stränga inspektörer åkte ut och kontrollerade att det som byggts höll måttet.
Landstingen var byggherrar och hade det praktiska ansvaret för byggande och vård men deras intressen samlade ingen front i Landstingsförbundet (en del av SKL:s föregångare tillsammans med Kommunförbundet) utan gick huvudsakligen via riksdagen.
Där fanns det som kallades ”landstingspartiet” eller ”landstingsbänken” där landstingsordförande som nästan undantagslöst även vara riksdagsmän kunde driva sina frågor – ofta i gott samförstånd oavsett partipolitisk tillhörighet.
Även detta var en viktig institutionell förutsättning eftersom det då fanns etablerade och lagfästa former för att lösa intressemotsättningar.
Idag är situationen radikalt annorlunda.
En viktig skillnad är förstås att det kommit in så många privata aktörer men också att när de gamla institutionerna revs ner ersattes de inte av nya som skulle varit verkningsfulla då man anammade new public management som grundfilosofi för den svenska vården.
Jag är för tillfället inne på att försöken att uppnå effektiv digitalisering och e-hälsa är bland de bästa exemplen på hur new public management på ett negativt sätt präglat svensk offentlig sektor.
Resultatet har bland annat blivit att Socialstyrelsen i accelererande takt fråntagits mandat och att sammanhållen utveckling ersatts med fragmentisering.
Intresseorganisationen SKL tycks inte heller längre gå via en beredning på myndighetsnivå utan direkt på regeringen och jag har t.o.m.
läst meningar som att ”regeringen bör SKL i uppdrag …”.
Den geografiska uppdelningen av ansvar var under perioden mindre problematisk än idag eftersom större delen av vårdens uppgifter kunde lösas inom varje landstings hank och stör.
När digitaliseringen tog fart i början av nittiotalet skapades överbryggande strukturer som exempelvis Sjunet och sedermera Carelink.
Nu finns både eHälsomyndigheten och Inera m.fl.
som utan tydlig gemensam strategi eller regelverk grejar i infrastrukturen.
Bortsett från det negativa i att sakna gemensam styrning ser jag det inte heller som problemfritt när digitalisering och e-hälsa blir frikopplade från den kärnverksamhet de ska utgöra stödfunktion för.
En annan aspekt som tycks ha glömts bort är vårdinformationens långsiktiga betydelse både för den enskilda patienten och för forskningen.
För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård.
Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades).
Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman.
Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän.
Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring.
Alla sjukvårdshuvudmän (alltså landsting/regioner) utom en om jag kommer ihåg rätt hade åtagit sig att bevara alla läkarförda journaler för all framtid.
Bakgrunden till detta var den enorma betydelse som den vårdinformation som arkiverats från sjuttonhundratalet och framåt haft för den svenska forskningen.
I PDL är kravet att en journal ska bevaras i minst tio är efter att sista anteckningen förts in i handlingen samt att journaler som allmänna handlingar ska hanteras som sådana.
Det är ungefär vad som stod i patientjournallagen också men nu är kontexten radikalt annorlunda och även innebörden av begreppen – vad är ens en ”handling” i dagens vårdinformation?
Bara den förändringen att betydligt mindre andel av vårdinformationen är allmänna handlingar och därmed kan gallras av den enskilda vårdgivaren är en stor risk.
Vissa sjukvårdshuvudmän har försökt reglera arkivfrågan i avtal med de privata vårdgivarna men detta är knappast tillräckligt.
Redan idag är det som presenteras på skärmen hos en vårdgivare en sammanställning av information ur en rad system och tjänster som kan finnas både inom och utom vårdgivarens organisation.
Detta är bara inledning av en utveckling där informationshanteringen kommer att bli organisatoriskt och tekniskt allt mer komplex.
För att bevara denna gigantiska informationsmassa för framtiden för att kunna serva patienter som envisas med att leva i bortåt ett sekel och för att kunna ge underlag för livsviktig forskning räcker det inte med att litet svävande beskriva ”e-arkiv”.
För mig är detta en mycket bekymmersam fråga och det förvånar mig att varken Riksarkivet eller de utredningar som genomförts gällande registerforskningen intresserat sig för detta.
Så här i slutet av litanian vill jag inte på något sätt hävda att vi kan använda gårdagens lösningar idag.
Däremot tror jag att det finns mycket att vinna på att ha ett historiskt perspektiv.
I detta fall vill jag lyfta fram behovet av kvalitativa kunskapsunderlag som är parlamentariskt förankrade, en långsiktig väl definierad inriktning, institutionella förutsättningar anpassade efter aktuell situation och en sammanhållande kraft med mandat att genomdriva beslutade lösningar.
Framför allt tror jag att vi måste erkänna att det finns intressemotsättningar och lyfta fram dem i ljuset för att kunna diskutera hur de ska lösas.
Ofta framhålls svårigheten med den geografiska uppdelningen, minst lika stor är den som handlar om de inte helt kompatibla intressena privata utförare och den offentliga finansieringen.
Hur dessa intressen ska balanseras mot varandra har hittills varit en icke-fråga i e-hälsosammanhang.
Det har vi inte råd att låta den fortsätta vara.
Om vi ska klara upprätthålla den väsentliga del i välfärdssamhället som den offentligt finansierade sjukvården utgör och dessutom införa dataskyddsförordning, NIS-direktiv, civil beredskap och allt annat så måste vi ändra bilden av e-hälsa.
Det handlar inte om att släppa ner litet slumpmässiga tekniska lösningar (gärna efter påtryckning av olika leverantörer) utan att se att det kräver samma mobilisering, organisation och koordinering som då sjukvården byggdes ut under efterkrigstiden.
Och glöm inte forskningen!
Det är klart man bänkar sig framför tv:n (i ärlighetens namn bakom en datorskärm) när riksdagen har en öppen utfrågning om cybersäkerhet vilket skedde förra Sändningen börjar med en lång och mycket grynig mingelupptagning när alla deltagare och åhörare ska leta upp sina platser.
Trots mitt seriösa intresse för frågan uppstår nästan omedelbart samma problem som under de senaste veckornas rapportering från Svenska akademien; gränsen mellan fiktivt och faktiskt berättande glider ihop.
Jag och mitt sällskap följer de stela tjänstemannakramarna, den tidigare statliga chefen som nu blivit lobbyist som ivrigt söker sällskapet hos sina tidigare kollegor, den aningen nervöse talskrivaren som flackar med blicken och hoppas på att chefen ska hålla sig till manus och inte sväva ut i egna funderingar, den tidigare myndighetschefen som överraskande dyker upp.
Soundtracket till House of cards tonar upp i medvetandet och det är med stigande intresse man följer scenen.
Enda missen sett ur ett underhållningsperspektiv är den tekniska kvaliteten och att personaget inte introduceras.
Den nerv som fanns i minglet dör tråkigt nog ut i samma ögonblick som redovisningarna av vad som sker på cybersäkerhetsområdet börjar.
Först ministern, sedan myndighetscheferna i tur och ordning.
Det mest förvånande är att absolut inget förvånande sägs.
Det är exakt samma saker som sägs som har upprepats i 15-20 år.
Inga nya lösningar, inga nya självinsikter och inga reflektioner av vad som skulle kunna ändras hos myndigheterna själva.
Naturligtvis förekommer ordet ”cyber” mer ymnigt än någonsin och aktuella catch phrases som ”det förändrade omvärldsläget”.
Nya aningen dunkla fenomen som ”civila cyberförsvaret” förs in utan att det klargörs vad exakt detta skulle vara.
Axiom som att brister upptäcks när incidenter rapporteras ventileras.
Det mest genomgående temat är att de utfrågade myndigheterna säger sig behöva ännu mer resurser.
Alltså i sak intet nytt.
Däremot saknar i alla fall jag ett analytiskt förhållningssätt där man faktiskt kommer in på frågan hur intresseavvägningen mellan den effektivitet som digitaliseringen står för och en bättre säkerhet ska göras på samhällsnivå.
Eller hur det demokratiska samhället ska leva ihop med den ständigt ökade övervakningen från både företag och staten.
Sammantaget blir utfrågningen en god illustration över varför nuläget är som det är: säkerhetslägret och digitaliseringslägret är som två cykloper som möts och aldrig skapas ett stereoseende.
Inte heller då riksdagsledamöterna släpps in för att ställa frågor efter statsrådets och myndighetschefernas redovisningar tillkommer något nytt perspektiv.
De folkvalda håller sig hovsamt inom den uppdragna ramen och ställer välvilliga frågor som möts av föga förvånande svar.
Enda gången där det hettar till är när det bekymmersamma läget i kommunerna återkommande lyfts fram och en representant från SKL i lätt agiterad ton hävdar att tillståndet minsann är bättre än så eftersom så många kommuner börjat använda KLASSA (!).
För att övertyga den som inte tror mig har jag sammanställt ett litet quiz där den som vill får gissa om citaten kommer från den öppna utfrågningen förra veckan eller från För att göra det litet svårare har jag bytt ut ”informationssäkerhet” i texten från 2005 mot ”cybersäkerhet”.
Innebörden i begreppsanvändningen är mycket likartad i detta sammanhang och samtliga talare förra veckan.
Den som först sänder in ett rätt svar bjuder jag på lunch eller ett glas efter jobbet.
Skicka in en tipsrad med A för SOU 2005:42, B för citat från utfrågningen.
2011 blev jag utsedd som deltagare i en referensgrupp när Socialstyrelsen skulle revidera sin föreskrift om informationshantering och journalföring inom hälso- och sjukvård SOSFS 2008:14.
Föreskriften innehöll en hel del om informationssäkerhet men vården har i ringa grad efterlevt dessa regler vilket Socialstyrelsens egna visade redan 2011 som till exempel gällande Karolinska universitetssjukhuset.
Vårdens informationssäkerhet har knappast blivit bättre sedan dess och det kan väl därför ses som positivt att Socialstyrelsen nu 2016 äntligen ha kommit i mål med den nya föreskriften.
har beteckningen HSLF-FS 2016:40 Journalföring och behandling av personuppgifter i hälso- och sjukvården.
I korthet innebär föreskriften och de allmänna råden ett tydligare krav på vårdgivare att införa ett ledningssystem för informationssäkerhet så att rätt nivå på konfidentialitet, riktighet, tillgänglighet och spårbarhet kan utvecklas och upprätthållas.
Några reflektioner kan dock göras i samband med föreskriftens ikraftträdande.
En föreskrift är en reglering på detaljerad nivå.
När det gäller vårdens informationssäkerhet och e-hälsa saknas dock en strategisk inriktning och en beskrivning av hur vårdens informationshantering på övergripande nivå ska styras så att informationssäkerheten ska förbättras.
En överenskommelse har gjorts mellan staten och Sveriges Kommuner och Landsting som kalla 2025 som en ny version av den tidigare Nationella e-hälsostrategin.
Vision är nog rätta benämningen med tanke på lösligheten i inriktningen där visserligen ”säkerhet” nämns ett antal gånger men under mycket oklara former.
Den heta frågan vem som egentligen har ansvaret för att säkerheten ska bli bättre undviks sorgfälligt.
Även på samma fluffiga sätt skrivit om att det är bra med informationssäkerhet men inte hur detta ska gå till.
Undertexten är påfallande oftaternativt integritet måste ”balanseras” mot exempelvis patientsäkerhet eller effektivitet, d.v.s.
att informationssäkerhet och skyddet av integriteten skulle hindra att patienten skulle få bra och effektiv vård.
Det enda som är tydligt är att många inflytelserika personer inom e-hälsoområdet tycks ha en dimmig uppfattning om vad informationssäkerhet är och därmed inte ser att rätt utformad informationssäkerhet leder till såväl till bättre patientsäkerhet och effektivitet som till skydd för integritet.
Den aktuella föreskriften, som kan ses som den nedersta delen i en hierarki av styrande dokument, fångar upp detta men eftersom den mer övergripande styrningen inte går i samma riktning riskerar föreskriften att liksom sin föregångare att bli utan verkan.
Socialstyrelsen har endast mandat att rikta föreskrifter till de enskilda vårdgivarna.
Föreskriften säger därmed egentligen till varje landsting eller privat vårdgivare att de ska ha ett ledningssystem för och det är naturligtvis en viktig grundprincip.
Men alltmer av vårdens informationshantering sker utanför vårdgivarens kontroll exempelvis i form av att en privat vårdgivare är tvungen att använda den upphandlande sjukvårdshuvudmannens system och rutiner.
Framför allt sker dock alltmer av hanteringen med stöd av gemensamma och nationella tjänster som vårdgivarna i praktiken är nödgade att använda för att kunna bedriva sin verksamhet och föreskriftens räckvidd innefattar exempelvis inte E-hälsomyndigheten eller Inera.
Detta blir ett olösligt dilemma för den säkerhetsmedvetna vårdgivaren.
Å ena sidan stipulerar det egna ledningssystemet att man måste formulera krav på säkerhet hos externa parter som hanterar ens information, å andra sidan har man ingen möjlighet att göra det i förhållande de stora aktörerna som hanterar alltmer av ens information.
Kvar står vårdgivaren med ansvaret gentemot patienterna och den bristande legitimiteten hos det egna ledningssystemet.
Föreskriften matchar alltså inte behovet av styrning av informationssäkerhet i den alltmer omfattande e-hälsan.
Visionen för e-hälsa 2015 sägs vara: I detta borde ingå en stor satsning på att förbättra informationssäkerheten inom vården.
Det finns dock ett ömsesidigt ointresse där e-hälsans banerförare i mycket liten omfattning ser betydelsen av informationssäkerhet samtidigt som instanserna med ansvar för informationssäkerhet inte aktivt stödjer vården.
Svaret på frågan i rubriken är nog tyvärr: nej, inte särskilt mycket.
Vad som skulle behövas vore en ordentlig utredning av vårdens behov av informationssäkerhet som skulle kunna ligga till grund för framtidens visioner.
En bredare utredning skulle också kunna lägga grunden för en bättre kommunikation mellan vårdens representanter och företrädare för informationssäkerhetsområdet.
Med en samsyn kring behov och möjligheter finns en väg framåt som skulle gagna inte bara de enskilda patienterna utan samhället i stort.

Sverige måste förstå att digitalisering inte är en lyxprodukt utan en kärnverksamhet.
En strategisk fråga blir att lyfta fram de förändringsagenter som finns ute i verksamheterna och helt enkelt vända på bevisbördan.
Det ska inte längre vara så att det är den som vill förändra som måste förklara sig utan snarare den som vill bevara det gamla.
Hur många av er upplever att juridiken stimulerar och möjliggör digitaliseringsresan inom hälso- och sjukvården?
Digitalisering skapar mervärde Man behöver förändra helheten – inte bara småändra i marginalen.
Då är risken att man lägger all kraft på en enskild lösning och inte på att förändra det som verkligen ger effekt Möt innevånaren/patienten tidigt genom digitala arbetsmetoder Inför ett moratorium inom vård-it och inför inte några nya lösningar som inte är absolut nödvändiga.
Gör en heltäckande genomgång av säkerhetsbristerna inom den svenska vård-it.
Stärk Socialstyrelsens roll i förhållande till sjukvårdshuvudmän vårdgivare när det gäller vårdens informationshantering.
Detta bör även gälla myndigheter som främst ska leverera e-tjänster som E-hälsomyndigheten.
Utred hur ansvarsförhållandena för informationshanteringen i vården ser ut och hur de borde se ut.
En central fråga är det reella ansvarsutkrävandet.
Säkerställ att även det långsiktiga behovet av vårdinformationen beaktas, både den enskilda patientens behov och samhällets behov av informationen för forskningsändamål.
Ta fram en strategi och en arkitektur för den nationella nivån som inte bara är fluff.
Ta fram en gemensam styrmodellvården och låt den förvaltas av myndigheter – inte av intresseorganisationer eller utförare i första hand.
Skapa ett ackrediteringssystem för anslutning till den nationella arkitekturen.
Skapa verktyg för systematisk uppföljning av informationssäkerheten inom vård-it och lita inte på att tillsyn av enskilda organisationer skapar säkerhet.
Utveckla utbildningar för de somen i vården.
Utveckla ett forskningsprogram för informationssäkerhetsstyrning i miljöer med multilaterala ansvarsförhållanden.
Stärkt samordning av de frågor som påverkar vården i regeringskansliet och en stärkt roll för Socialstyrelsen som sammanhållande kraft i vården och beställare av it-lösningar hos e-Hälsomyndigheten, SKL m.fl.
Hur en gemensam infrastruktur ska kunna byggas upp i konkreta termer och ansvarsförhållandena för detta En ny patientdatalag som lever upp till dagens många olika behov och som inte genar när det blir svårt.
En arkivlag som kan tillgodse kravet på att bevara den gemensamma informationsinfrastruktur som uppstår inom bland annat e-hälsa.
I en ny arkivlag bör finnas utrymme för att fatta beslut om bevaranderegler även för andra än statliga myndigheter, t.ex.
ett krav på att viss vårdinformation ska bevaras för all framtid oavsett vårdgivare.
SKL:s roll med övervägande om liknande krav på öppenhet som gäller de ingående sjukvårdshuvudmännen.
Frågan bör ställas om SKL över huvud taget har de institutionella förutsättningarna att leverera gemensamma e-tjänster eller om detta istället bör ske av myndigheter Utred möjligheten att införa en lösning liknande den norska Normenden svenska vården.
Detta drev jag med klent gehör när jag jobbade på MSB men det är aldrig fel att vädra gamla käpphästar.
MSB måste våga överge sin beröringsskräck för verkligheten och kunna ge faktiskt stöd till bland annat vården.
Hur e-hälsan systematiskt ska utvärderas och vem som ska utföra det.
Alla våra moderna samhällsbärande system bärs upp av den nya informationsteknologin.
Det går inte att organisera fram cybersäkerhet utan det krävs resursförstärkningar.
Enligt x mening är det av strategisk betydelse att kunna säkerställa kompetensförsörjningen inom informationssäkerhetsområdet.
X konstaterar också att staten behöver egen och unik kompetens.
Staten har också det yttersta ansvaret för den nationella säkerheten, vilket ställer särskilda krav.
Staten förfogar över en rad administrativa, ekonomiska och informativa styrmedel.
I praktiken är dessa relativt svagt utvecklade på informationssäkerhetsområdet.
Vår sårbarhet ökar och vi har stora brister trots att stora åtgärder vidtagits.

all 16 § på vilket sätt läsa alla all en sina sjukvårdsvårdshuvudmännen vårdgivare alla

Meny SKR Inläggsnavigering

MENU MENU Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , , , Tagged , , , , Postat av Postad i , , , , , Tagged , , , , , , Postat av Postad i , , , , , , , , Tagged , , , , , , , , , , Postat av Postad i , , , , , , , , Tagged , , , , , , , Postat av Postad i , , , Tagged , , , , , Postat av Postad i , , Tagged , , , → Sök efter:

Järnvägsresandets historia SOU 2005:42 Säker information.
Förslag till informationssäkerhetspolitik.
sin egen verksamhet År 2025 ska Sverige vara bäst i världen på att använda digitaliseringens och ehälsans möjligheter i syfte att underlätta för människor att uppnå en god och jämlik hälsa och välfärd samt utveckla och stärka egna resurser för ökad självständighet och delaktighet i samhällslivet.

Eftersom frågan om spårbarhetens vara eller icke vara som en självständig aspekt av informationssäkerhet är återkommande diskuterad ska jag här göra ett inlägg i frågan.
Bakgrunden är den så kallade CIA-triaden som kommer från engelskans Confidentiality, Integrity och Availability vilket ofta på svenska översatts till konfidentialitet, riktighet och tillgänglighet.
Detta är kanske inte en optimal översättning vilket möjligen är en delorsak till de olika uppfattningar som finns om hur detta ska tolkas.
Huvudorsaken skulle jag dock vilja hävda att det med förvånande kraft hävdas att det bara finns en möjlig beskrivning av vad arbetet med informationssäkerhet syftar till och att det fångas i den svenska definitionen.
Vi (inte så få) som vill problematisera begreppen för att få dem mer anpassade till de behov vi uppfattar finns möts av tystnad.
För att ge så gott underlag som möjligt för en diskussion ska jag försöka vara tydlig och transparent som möjligt i min argumentation och hoppas att få svar i samma anda.
Utgångspunkten för mitt resonemang är ett statement som jag mer uppfattar som en dogm och som ofta formuleras som kofindentialitet, riktighet och tillgänglighet är den verkliga kärnaspekterna i informationssäkerheten och att spårbarhet är en osjälvständig stödfunktion till de övriga tre.
Nyligen såg jag det formulerat som fast sats: konfidentialitet, riktighet och tillgänglighet är tillstånd, spårbarhet en förmåga.
Vare sig eller kan härledas ur ISO/IEC 27000:2018 (ordlistan för 27000-serien) som genomgående använder property som exempelvis: property of accuracy and completeness Property kan översättas som egenskap.
Inte heller i den terminologi som tagits fram av en arbetsgrupp i SIS: Teknisk Rapport SIS-TR 50:2015 (kan tyvärr inte länka eftersom den inte är fritt tillgänglig) återfinns tillstånd respektive förmåga i denna betydelse.
I rapportens inledning står det: Informationssäkerhet handlar därför om hur informationens konfidentialitet, riktighet och tillgänglighet ska bevaras så att organisationens krav kan uppfyllas.
Dessa egenskaper kompletteras ibland även med en eller flera andra egenskaper, såsom spårbarhet, oavvislighet, ansvarighet, autenticitet och auktorisation.
Här definieras alltså konfidentialitet, riktighet och tillgänglighet som men så även bland annat spårbarhet.
I övrigt förekommer begreppet tillstånd litet här och var men aldrig på det sätt som i satsen ovan.
Närmast kommer man i beskrivningen av informationssäkerhetsmodell: Enheterna i ett system indelas i logiska grupper av subjekt (användare och deras processer), objekt och resurser.
Egenskaper hos ett önskvärt, ”säkert” tillstånd definieras och det visas att varje tillståndsövergång bevarar säkerheten vid övergång från ett till-stånd till ett annat.
Ett säkert tillstånd kräver att samtliga tillåtna åtkomstfall överensstämmer med fastställda säkerhetsregler.
Jag tolkar denna beskrivning liksom de andra tillstånd som ändå förekommer i handboken (exempelvis av redundans, anonymitet m.m.)
som en sammansatt helhet som resulterar från flera/många säkerhetsaktiviteter.
Riktighet definieras exempelvis som endast: skydd mot oönskad förändring vilket jag gissar ska läsas med en koppling bakåt till inledningen; att det är en eller möjligen en funktion.
Synsättet att det finns etablerade definitioner som ”tillstånd” respektive ”förmåga” verkar vara en uppfattning som får anses begränsat till vissa företrädare i Sverige som inte har stöd i den terminologi som tagits fram.
Detta synsätt verkar inte hämtat från något internationellt etablerat sammanhang vilket det räcker att göra en slö koll på Wikipedia för att upptäcka.
I artikeln Informations security anges som key concepts som första punkt CIA- triaden med följande beskrivning The CIA triad of confidentiality, integrity, and availability is at the heart of information security.
Inte heller i den svenska akademiska diskussionen förefaller det finnas konsensus eller ens en särskilt omfattande diskussion om CIA-begreppen.
Det gör att jag särskilt höjer på ett ögonbryn då akademiker på högre nivå utan närmare förklaring anammar satser som den ovan beskrivna utan förtydliganden.
Jag är helt enig i att detta är ett key concept – då borde det förtjäna en behandling på akademisk nivå som motsvarar dess betydelse.
Fördelen med att det saknas etablerade och allmänt accepterade definitioner är att det skapar en frihet att undersöka vilket förhållningssätt som är mest ändamålsenligt och samtidigt logiskt konsistent åtminstone på en basal nivå.
Personligen finner jag inte begreppen tillstånd respektive förmåga som särskilt tydliggörande men möjligen kan en begreppsmodellering där tankarna om detta redovisas på ett öppet sätt uppenbara en logik som jag missat.
Om vi ändå i detta sammanhang kan utgå från att det finns ett antal egenskaper som är centrala för att skapa god informationssäkerhet så är nästa fråga vilka dessa är.
Inte heller här råder den fullständiga enighet om CIA-triaden vilket man ibland kan förledas att tro.
Parkerian Hexad konstruerades redan 1998 av som adderade tre aspekter till den ursprungliga triaden: Authenticity, Availability och Utility.
Även aktuella svenska exempel på kritisk diskussion om CIA triaden.
Det av MSB finansierade forskningsprojektet SECURIT landade bland annat i antologin där ett bidrag ( av Björn Lundgren) starkt ifrågasätter CIA-triaden.
Jag kanske inte är helt övertygad om den modell som forskaren anser borde ersätta CIA-triaden men i detta sammanhang är det ändå viktigt att poängtera att det är väl värt att diskutera frågan.
ISO 27000 öppnar ju också upp för att triaden kan kompletteras med ytterligare egenskaper vilket också sker exempelvis i själva standarden i avsnittet om kryptering.
Noterbart är att ISO-standarderna inte har en konsistent hantering av begreppen sinsemellan trots att de riktar sig mot samma objekt (i detta fall informationshantering).
I SS-ISO 30300 (hantering av verksamhetsinformation) anges målen vara vilket är snubblande nära ISO 27000 men med andra definitioner.
I SS-ISO 15489 (Dokumenthantering) är ett tillkommande mål autenticitet.
Här bör en begreppsmodellering göras, särskilt som SS-ISO 30300 börjat spridas främst genom SKL.
Även här finns alltså ett behov av att göra sig redo för att öppna upp och diskutera om och hur centrala begrepp ska användas.
Själv menar jag att det finns skäl för att se närmare även på autenticitet men här ska jag koncentrera mig på spårbarhet.
Istället för att som nu negligera spårbarhetsbegreppet finns det anledning att lyfta upp det och se hur dess betydelse ökat under de senaste årtiondena och detta i flera dimensioner.
För det första är det den mest självklara dimensionen att på ett säkert sätt kunna följa vad som hänt i informationshanteringen både som en följd av mänsklig aktivitet och som tekniska händelser.
I det allt mer transaktionstäta informationsflödena där en mängd aktörer är detta en alltmer central funktion.
Här gäller detta att även uppfatta egenskapen spårbarhet som en negation, det vill säga att undvika spårbarhet till exempel som skydd för den personliga integriteten.
För att bara räkna upp några krav som inte endast omfattar informationens konfidentialitet, riktighet eller tillgänglighet utan där det också ställer krav på en hög grad av spårbarhet: Kraven på spårbarhet har också en tydlig koppling till konkreta säkerhetsåtgärder där loggning är den främsta åtgärden för att skapa spårbarhet i it-tjänster.
Loggning sker även i ett antal andra typer som i inpasseringskontrollssystem, telefoni, chatt och andra kommunikationslösningar.
I den manuella informationshanteringen kan det behöva finnas rutinerna som bland annat kan omfatta signering, vidimering, kontrollerad versionshantering och kvittensförfarande.
Observera också att om dessa åtgärder inte kan matchas mot ett definierat krav på spårbarhet kan det innebära stora merkostnader, inkräktande på den personliga integriteten och ytterst leda till lagöverträdelser om det inte går att motivera åtgärden.
För att illustrera behovet inom den samhällsviktiga verksamheten sjukvård finns det gott stöd att hämta i det paper som presenterades av Ella Kolkowska, Karin Hedström och Fredrik Karlsson vid Örebro University på en konferens redan 2009: (tillgängligt via DIVA).
Spårbarheten är alltså direkt kopplad till målsättningen för kärnverksamheten och ytterst till patientsäkerheten.
Att då som SKL ta bort spårbarheten ur sitt klassningsverktyg förefaller inte direkt som att anpassa säkerheten efter verksamhetens behov och inte heller att värna sina medlemmars intressen.
Observera också att spårbarhet inte enbart handlar om att spåra användares aktiviteter utan själva informationen.
Här finns en naturlig övergång till de andra syften som spårbarheten kommer att behöva tjäna i allt högre grad.
Den första är för att skapa autenticitet, en kvalitet som blir allt mer uppenbart nödvändig.
Spårbarhet är en tydlig faktor för att kunna skapa autenticitet och oavvislighet vilket är ett krav från arkivsidan.
I den informationshantering som sker i offentlig sektor borde alltså rimligen spårbarhet upphöjas till triadnivå, särskilt sett till kravet på rättssäkerhet och att kunna tillhandahålla information för forskningsändamål.
Jag lämnar nu autenticiteten i förhoppningen att övertygelsen om betydelsen är väl känd.
Istället ska jag skriva om något som tilltar ännu mer i betydelse, nämligen möjligheten att reproducera information.
Idag sammanställs den information som visas på skärmen från ett växande antal källor, olika tjänster och applikationer.
För att kunna reproducera information såsom den såg ut vid ett visst givet tillfälle kommer att krävas allt mer avancerade funktioner av spårbarhet.
Den som har följt ett it-avbrott på närmare håll vet att den inte enbart leder till tillgänglighetsproblem utan även till en rad andra negativa konsekvenser.
En sådan är att man ofta får versionsproblem där blir svårt att säkerställa vilken den senaste versionen av olika informationstyper var.
När fel version av en delmängd körs kan det skapa mycket stora problem där hela tilltron till informationslösningen kan gå om intet.
En fatal variant är när information förlorats utan att det går att spåra att den försvunnit.
För att sammanfatta: jag kan inte se att det finns något stöd för att begreppen tillstånd respektive förmåga är etablerade som beskrivning för olika aspekter av informationssäkerhet utan snarare att skulle vara det mest använda internationellt begreppet vilket också används i ISO 27000.
Det görs heller ingen hierarkisk skillnad mellan egenskaper av den typ som framgår i uppdelningen tillstånd/förmåga.
För att försöka vara vitsig är det svårt att spåra var uppfattningen om tillstånd/förmåga har uppstått och på vilka grunder.
CIA-triadens uppräkning av egenskaper är återkommande diskuterad och kan kompletteras vid behov även enligt ISO 27000 med till exempel spårbarhet.
I detta sammanhang vill jag understryka att en portalprincip i ISO 27000en ska anpassas till verksamhetens behov, det är alltså inte standarden i sig som skapar låsningar.
Om en uppfattning är att standarden kan anpassas till verksamhetens/samhällets behov menar jag att det gör det omöjligt att använda standarden som stöd för nationell (eller lokal) styrning av informationssäkerhet.
Det finns ju liksom inget egenintresse i att följa en standard.
Det skulle behövas en riktigt djupborrande analys på flera nivåer av hanteringen av aspekten spårbarhet i Sverige.
Jag när fortfarande ett hopp om att de som ger uttryck för starka åsikter gällande spårbarhet kan ta sig tiden att utveckla hur de tänker och inte bara konstatera sin uppfattning.
Detta är inte bara en teoretisk tankelek utan frånvaron av spårbarhet eller motsvarande som styrmedel för informationssäkerheten får mycket allvarliga konsekvenser för bland annat hälso- och sjukvård men även för förmågan att upprätthålla kontinuitet, för dataskydd och för det långsiktiga bevarandet.
Ett särskilt problem ligger i att det inte går att ta del av vare sig de resonemang som ligger bakom olika ställningstaganden eller själva standardtexterna eftersom de inte fritt tillgängliga trots att de utgör underlag t.o.m.
för föreskrifter.
Denna bristande offentlighetsstruktur har jag skrivit ett annat blogginlägg om Ett typiskt tecken för en dogm är att bevarandet av dogmen är viktigare än de negativa konsekvenser dess tillämpning får.
Jämför exempelvis med katolska kyrkans dogm att preventivmedel inte är tillåtna.
Dogmen är orubbad trots de uppenbara negativa konsekvenser detta får i form av könssjukdomar och oönskade graviditeter vilket i sin tur leder till illegala aborter med oerhört lidande och död.
I fallet med katolska kyrkan går det ändå att se vem som har ansvar för dogmerna med de dödliga konsekvenserna men vem tar ansvar för dogmer inom informationssäkerhetsområdet och de eventuella konkreta följder de kan få?
Informationssäkerhet är inte en religion och vi har inget stöd av högra makter (tror jag).
Därför när jag en from förhoppning att vi gemensamt ska försöka eliminera de drag av dogmatism som ändå florerar.
För att hantera de enorma säkerhetsutmaningar vi står inför har vi inte råd att bygga säkerhetsåtgärder på resonemang som inte tål att prövas utan vi kommer istället att behöva pröva våra intellekt till det yttersta för att åter och åter hitta de bästa lösningarna.
Och vi måste inse att detta inte är teoretiska övningar utan de val vi gör leder till goda eller mindre goda resultat i praktiken och där det ligger ett stort ansvar på oss som arbetar med informationssäkerhet.
Slutligen kan jag inte undgå att tycka att myndigheter inom informationssäkerhetsområdet är de som tillsammans med akademin måste ta ett särskilt ansvar för bryta ner dogmer och bygga kunskap som samhället kan använda.
Nu ser jag fram emot en mängd kloka motargument!

Tillförlitlighet Äkthet Integritet (oförändrad) Användbarhet avtalshantering ansvarsutkrävande interna kontrollsystem upptäckt av avvikelser teknisk övervakning dataskydd patientsäkerhet medarbetares integritet medarbetares rättssäkerhet brottsutredning forensik fysiskt skydd

integrity inte

Meny Spårbarhet

MENU MENU Postat av Postad i , , , Tagged , , , , , , Sök efter:

tillstånd förmåga egenskaper egenskap Informationssäkerhet och organisationskultur Vad är säker kultur Information Security Goals in a Swedish Hospital egenskap

Ingen kan idag förneka vikten av att förbättra informationssäkerheten i de samhällsviktiga verksamheterna.
Ett antal utredningar har under de senaste tre åren utmynnat i olika förslag på hur detta ska ske.
Tyvärr har fokus legat allt för mycket på reaktiva åtgärder som incidentrapportering och allt för litet på det förebyggande arbetet, detta trots att det ofta påpekats att de stora säkerhetsvinsterna kan göras genom olika typer av incidenter och säkerhetsproblem motverkas innan de uppstår.
För mig framstår den i särklass viktigaste förebyggande åtgärden att tillräcklig kompetens finns för att hantera informationssäkerhetsrelaterade frågor på olika nivåer.
För att uppnå detta krävs både episteme, fronesis och techne.
Det vill säga det måste finnas en vetenskaplig grund för att de åtgärder som vidtas är effektiva i förhållande till de problem de avses att lösa, att det måste finnas en praktisk kunskap hur fungerandeska bedrivas och det måste finnas en djupare förståelse att nya situationer kan hanteras.
Jag skulle vilja hävda att detta idag i allt för hög grad saknas.
Konkret kommer ett stort antal organisationers ledningar behöver ett kompetent stöd för att styra sittså att det motsvarar de risker som verksamheten är utsatt för och för att kunna tillvarata alla nya möjligheter som den pågående digitaliseringen innebär.
Jag pratar alltså inte om it-säkerhet som är inriktad på tekniska åtgärder utan informationssäkerhet som handlar om verksamhetsstyrning och information.
Utöver befintliga krav kommer även nya från bland annat dataskyddsförordningen, NIS, civilt försvar och en ny säkerhetsskyddslag.
Det gäller c.a.
350 myndigheter, 290 kommuner, ett tjugotal landsting/regioner och ett okänt antal privata aktörer som medverkar till att upprätthålla samhällsviktiga verksamhet.
En av de vanligaste frågorna jag får när jag besöker kommuner, regioner och myndigheter är vilka utbildningsmöjligheter som finns.
Hos de som får allt tyngre ansvar för det faktiskat finns såvitt jag kan bedöma en allt större medvetenhet om kompetensbehovet.
Till viss del fanns denna insikt även i den strategi för samhällets som MSB tog fram tillsammans med andra myndigheter.
Tyvärr har inte insikten utmynnat i några konkreta satsningar för att stödja utvecklandet av professionsinriktade utbildningar.
Även om behovet av kompetens är känt anvisas få vägar för kompetensförsörjningen.
Vare sig i den nationella säkerhetsstrategin eller i digitaliseringsstrategin, båda presenterade av regeringen 2017, nämns något om kompetensförsörjning inom informationssäkerhetsområdet.
Utredningar som SOU 2015:23 , SOU 2017:36 SOU 2017:114 liksom lagrådsremissen om ny säkerhetsskyddslag är lika renons på förslag annat än de som gäller utpekade tillsynsmyndigheter.
Den nationella strategin för informations- och cyberssäkerhet (Skr.
2016/17:213) skulle kunna inge ett visst hopp eftersom den faktiskt innehåller ett avsnitt som heter Öka kunskapen och främja kompetensutvecklingen.
Hoppet om att finna ett mål att tillgodose behovet av professionell kompetens generellt avtar dock snabbt då det visar sig att det som avses är att informera organisationer om sårbarheter och behovet av säkerhetsåtgärder samt att höja den enskilda användarens kunskap.
Samtliga strategier och utredningar tycks dock förutsätta att den kompetens som behövs kommer att finnas utan vidare styrning.
Jag delar inte denna tilltro till den osynliga handen.
Istället ser jag att vi står inför ett mycket stort och komplicerat kompetensförsörjningsbehov.
Bara det ett nyrekryteringsbehov av något hundratal informationssäkerhetsspecialister årligen till kommuner och landsting/regioner som kanske har samhällets mest komplexa informationssäkerhetsbehov måste uppmärksammas.
Många av oss som idag är verksamma inom informationssäkerhetsområdet saknar formell utbildning för våra jobb eftersom utbildningar helt enkelt inte funnits i någon högre grad (jag jämställer inte olika certifieringar med högskoleutbildning även om de säkert är bra på sitt sätt).
Därav ett stort fortbildningsbehov.
De kurser på högskolenivå som erbjuds idag via en sökning på antagning.se för hösten 2018 är antingen korta kurser eller har en renodlad teknisk inriktning.
Undantagen är masterutbildningar i Örebro som har ett handfull platser samt i Luleå där ett organisatoriskt perspektiv tillförs en huvudsak it-inriktad utbildning.
Detta räcker naturligtvis inte långt.
Mitt förslag är därför att en utredning tillsätts som tillåts koncentrera sig på hur behovet av kunskap och kompetens inom informationssäkerhetsområdet ska tillgodoses under de närmaste åren.
Utgångspunkten är att staten måste ta ett betydligt större ansvar för kunskapsförsörjning på en vetenskaplig nivå och för att kunskapen omsätts till kompetenshöjande åtgärder för prioriterade målgrupper i samhället.
Målen bör vara att det gemensamma utbildningsplaner för en treårig högskoleutbildning som informationssäkerhetsspecialist med inriktning på organisation och information, att det utbildas 50 informationssäkerhetsspecialister per år samt att varje kommun har tillgång till minimum en halvtids informationssäkerhetsspecialist.
Inom detta fält kan även utbildningar av typen ”informationssäkerhetsspecialist kommunal verksamhet” och ”informationssäkerhetsspecialist hälso- och sjukvård” kunna finnas.
Även fortbildningar för redan yrkesverksamma bör ingå i ett kunskapslyft för informationssäkerhetsområdet.
Utan denna typ av insats har jag mycket svårt att se hur alla andra mål för att höja samhällets informationssäkerhet ska kunna realiseras.

Meny Utbildning

MENU MENU Postat av Postad i , , , , , , , Tagged , , , , , , , Sök efter:

Informations- och cybersäkerhet i Sverige Informationssäkerhet för samhällsviktiga och digitala tjänster, reboot – omstart för den digitala förvaltningen

Jag höll häromveckan ett föredrag på Dataföreningen med ovanstående titel.
Min tes, eller mitt påstående snarare, är att arbetet med att få en fungerande informationssäkerhet inte fungerar särskilt bra.
Detta gäller både i den enskilda organisationen och på en nationell nivå.
Kanske överraskade föredragets inriktning några av de ganska många åhörarna eftersom det mer handlade om ”våra” interna problem, alltså vi som arbetar professionellt med informationssäkerhet och inte de yttre förhållanden som vanligtvis diskuteras.
Detta är dock frågor som jag funderat ganska länge på och där jag under föredraget förde fram ett antal aspekter som jag menar påverkar den nuvarande situationen med en otillräcklig informationssäkerhet.
I hopp om att fler i informationssäkerhetsbranschen ska känna sig motiverade att bidra med egna erfarenheter och reflektioner tänkte jag skriva några blogginlägg med utgångspunkt från det föredrag jag höll.
Först kanske påståendet i titeln ändå måste utvecklas något.
Visserligen är det svårt att säga vad ”fungerar bra” skulle kunna vara.
Detta understryks genom att det i hög grad saknas forskning på området och andra typer av offentligt redovisade undersökningar.
Det känns också otillräckligt att bara vidareförmedla utsagor från olika särintressen eller vad talskrivare lämnat till Anders Ygeman att framföra angående läget.
I den som sammanställdes av ett antal myndigheter 2015 bygger man sina spaningar på 103 angivna referenser.
Problemet är bara att den absoluta huvuddelen av referenserna är inriktade på en extern hotbild, i bästa fall något om incidenter i it-system som går att hänföra vissa specifika antagonistiska hot, men ingen av referenserna förefaller ha ägnat sig åt störningar i verksamheter.
Det vill säga störningar i informationshanteringen som påverkar verksamheten och som då lika gärna skulle kunna bero på hårdvarufel som vid Tieto-incidenten 2011 som på antagonistiska attacker.
Detta har naturligtvis inte hindrat rapportförfattarna att dra slutsatser om trender men för den som verkligen är intresserad av hur informationssäkerheten fungerar är det alldeles otillräckligt.
Låt oss ändå vara överens om att det finns starka indikationer på att det händer ett stort antal incidenter och att realiserade incidenter är ett tecken på att vidtagna säkerhetsåtgärder inte skyddar verksamheten på ett rimligt sätt.
En mer systematisk genomgång av incidenter som drabbat verksamheter och privatpersoner tror jag skulle visa att huvuddelen skulle gå att undvika med väl kända metoder som exempelvis bättre kontroll över uppdateringar i it-tjänster.
En nackdel med incidentbegreppet är att det har en tendens att enbart fånga upp mer uppseendeväckande och kanske antagonistiska situationer.
Störningar av mindre dramatisk karaktär men som kan påverka verksamheten sammantaget på ett mer negativt sätt får inte samma uppmärksamhet vilket kan leda till felprioriteringar i åtgärdsarbetet.
Ett annat sätt försöka bedöma omt är funktionellt är ett klassiskt compliance-perspektiv; att kontrollera om regler efterlevs.
Inte heller här finns ett stort generellt underlag att luta sig emot.
Inom offentlig sektor har dock de senaste åren har ett antal rapporter visat att den systematiska informationssäkerheten i myndigheter, landsting och kommuner har stora brister, ja till och med att den vissa fall tycks bli sämre snarare än bättre.
Sammantaget är alltså inte bilden ljus.
I och med att informationssäkerheten tycks fungera illa i de enskilda organisationerna kan den knappast fungera bättre på en aggregerad nationell nivå.
Kanske måste ändå förhållandet att vi inte kan ge en uppfattning om hur bra eller dålig informationssäkerheten det tydligaste tecknet på att det inte fungerar bra.
För att komma in på kärnfrågorna är det tre (bort)förklaringar till varför informationssäkerheten inte fungerar som jag skulle vilja utesluta: Eftersom det inte heller finns en sammantagen beskrivning av hur mycket pengar som satsas på att förbättra informationssäkerheten är det inte möjligt att säga att det är ekonomiska skäl som förhindrar utvecklandet av en bättre säkerhet.
I Riksrevisionens senaste om informationssäkerhet beskrivs också svårigheterna med att försöka bedöma kostnaderna.
Nationellt har det också investerats inte obetydliga medel i olika myndigheters stöd för informationssäkerhet.
Eftersom inte effekten av dessa medel utvärderats mer än mycket översiktligt av Riksrevisionen är det svårt att säga att det skulle vara för litet eller för mycket.
Min poäng är denna: om det finns beskrivet vad som bör göras för att reducera olika risker för verksamheten är det svårt att uppskatta vilka medel som skulle behövas och ledningar på olika nivåer är, med all rätt, tveksamma till att tillföra ytterligare pengar.
Bollen är därmed tillbaka som en skråfråga: om vi anser att det finns ekonomiska orsaker till att informationssäkerheten inte fungerar så måste vi bli mycket bättre på att beskriva vad pengarna skulle användas till och vad organisationen (eller nationen) skulle ha för nytta av det.
Det här är ju en verklighetsbeskrivning som ofta återkommer och som på något underförstått sätt antas utgöra ett skäl till att informationssäkerheten inte håller måttet.
Men vad är egentligen kausaliteten i det här sammanhanget, om det nu finns en sådan?
Om informationssäkerhet vore en aspekt som vunnit hög acceptans i samhället, i organisationerna, hos utvecklare av it-tjänster m.fl.
så skulle ju frågeställningen vara integrerad som en naturlig del i utveckling av tjänster, produkter och infrastruktur.
Iställeten kostnad och en motpol till effektivitet vilket gör att lösningar för att förbättra säkerheten, om de över huvud taget implementeras, inte är effektiva och ofta ligger som olja på vattnet, ofullständigt integrerade.
Som en jämförelse skulle det vara svårt att tänka sig att trafiksäkerheten skulle vara något som tilläts hamna i bakvattnet numera.
Så kanske det var i ett tidigare skede men genom ett idogt forsknings- och opinionsarbete har säkerhet en mycket hög prioritet i trafikpolitiken.
Återigen faller alltså ansvaret tillbaka på oss själva och förmåga att sälja in informationssäkerheten.
Det är få meningar som jag så ofta hört upprepas i professionella sammanhang som uttrycket: ”ledningen förstår inte”.
Ofta blir detta den tröstande förklaringen till varför man inte når framgång med sina informationssäkerhetsprojekt och självklart ligger det mycket i det.
Det går inte att smyga in informationssäkerheten i organisationen bakom ryggen på ledningen.
Även här handlar det dock om att kunna presentera vikten av informationssäkerhet så ledningen ser poängen ur sitt perspektiv – att det gynnar organisationens möjlighet att uppfylla sitt uppdrag.
Ser ledningen inte behovet av informationssäkerhet är det inte heller rationellt att införa exempelvis ett LIS.
Ledningens bristande förståelse kan därmed, menar jag, inte ses som en autonom förklaring till bristande informationssäkerhet utan som att ledningen inte fått tillräckligt bra argument för att organisationen ska bedriva ett systematiskt.
I de följande inläggen ska jag lyfta fram förhållanden som jag ser både som verkliga orsaker till bristande informationssäkerhet och som möjliga att påverka för oss som arbetar med informationssäkerhet.

För litet pengar Att den generella it-utvecklingen går så mycket snabbare än informationssäkerhetsutvecklingen att gapet blir större och större Ledningen förstår inte

Låt oss vara överens om att det inte fungerar bra Tre saker som inte är huvudproblemet

MENU MENU Postat av Postad i , , , Tagged , , , Sök efter:

Det kan knappast ha förbigått någon att information blivit det nya guldet och att det finns extremt starka både offentliga och privata intressen som vill vara med och ta hem vinster från den resursen.
Framför allt den information som skapas i offentlig sektor är extra åtråvärd dels för att den är så omfångsrik, dels för att den ofta innehåller detaljerade uppgifter om olika allmänt intressanta förhållanden.
Intresset för att använda den offentligt producerade informationen som här kallas ”öppna data” har inom EU formaliserats genom PSI-direktivet som även blivit svensk lag sedan 2010.
En utredning tillsattes på klassiskt och bra svenskt maner 2019 för att bl.a.
genomföra en översyn och utvärdering av lagen (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen, analysera behovet av för-fattningsändringar för att genomföra öppna data-direktivet och säkerställa en ändamålsenlig nationell reglering som, ur ett rättsligt perspektiv, främjar och stödjer den offentliga förvaltningens arbete med att tillgängliggöra öppna data och annan digital information samt lämna förslag till nödvändiga författningsändringar.
Den lämnades över i höstas under beteckningen SOU 2020:55 Innovation genom information och har knappast lett till några större rubriker.
Att vidareförädla data kan ju tyckas som en högst okontroversiell inriktning för ett alltmer digitaliserat samhälle men ändå är det vissa frågor som skaver alltmer ju mer jag funderar på dem.
I utredningen ges följande beskrivning av syftet med offentlig verksamhet ska lägga resurser på arbetet med öppna data: I portalparagrafen till PSI-lagen anges att syftet med lagen är att främja utvecklingen av en informationsmarknad genom att underlätta enskildas användning av handlingar som tillhandahålls av myndigheter.
Redan där kan man haja till.
I Sverige har vi en mycket lång tradition av att utnyttja offentlig information för forskning och allmänhetens insyn men vad som här avses skapas är en ”informationsmarknad”.
Observera att med enskilda avses inte medborgare som vill ha insyn enligt offentlighetsprincipen vilket klargörs längre fram i utredningen utan endast företag som ska använda informationen.
Den tes som drivs i direktivet och i efterföljande lagar och utredningar är att det finns ett starkt samhällsintresse av att skapa en ”informationsmarknad” som ska försörja nationella och internationella företag med råvaran offentlig information till ett självkostnadspris.
I en som tagits fram av Lantmäteriet på uppdrag av regeringen blandas ändå syftena ihop så att det framstår som att öppna data skulle förbättra möjligheten till insyn: Öppna data skapar värde på flera olika plan i samhället.
Det rör sig dels om rena ekonomiska värden i form av stimulerad tillväxt och ökad effektivitet som ger aktörer möjlighet att utveckla nya produkter och tjänster.
Dessutom bidrar öppna offentliga data per definition till ökad transparens och demokratisk kontroll genom att öka insyn och förståelse för offentlig förvaltning.
Den ökade insynen innebär nya möjligheter för externa aktörer att mäta policyeffekter och granska, upptäcka samt motverka oegentligheter inom offentlig sektor.
För mig framstår som mycket tydligt att det finns framför allt tre olika syften med extern åtkomst till myndigheters information: Av dessa syften har under de senaste decennierna det sistnämnda syftet varit extremt prioriterat (även om forskning och företagande ofta kan vara överlappande).
I de olika initiativ som bedrivits i Sverige rörande digitalisering har jag inte på ett enda ställe sett några konkreta förslag för att utveckla lösningar för att stärka offentlighetsprincipen.
Detta trots att öppenheten blivit ordentligt naggad i kanten bland annat genom Sveriges EU-inträde genom avsiktliga och oavsiktliga anpassningar till den betydligt mer begränsade insynsmöjlighet som finns i övriga EU-länder (bortsett från Finland).
När man pratar om ökad delaktighet i digitala sammanhang är det alltså inte ökad insyn som diskuteras utan i de allra flesta olika tekniska lösningar som lanseras för offentlig service.
Vilka möjligheter som finns att digitalt utveckla demokratin är ett ämne som ligger mig varmt om hjärtat men jag skulle här även vilja peka på ytterligare en aspekt där den nuvarande satsningen på öppna data rymmer stora intressekonflikter.
Eftersom jag skulle vilja belysa den på ett principiellt plan och inte fastna i inhemska perspektiv väljer jag att ta ett exempel från USA.
I Erik Åsards nya bok Med lögnen som vapen som handlar om Donald Trump och hans påverkan på det amerikanska samhället.
I ett avsnitt berättar Åsard om Trumps märkliga tillsättningar av ledande tjänstemän.
Detta är nog så intressant men i det som jag fastnat för i detta sammanhang är när han föreslog Barry Myers, en miljonär och gammal kompis, som chef för NOAA som är den amerikanska motsvarigheten till SMHI.
Myers var av en händelse även ägare till ett privat företag som säljer väderrapporter som en kommersiell tjänst.
Enligt Åsard såg Myers rapporteringen från NOAA som en svår konkurrent eftersom myndigheten tillhandahöll samma data kostnadsfritt (enligt lag) som Myers paketerade om och marknadsförde i sin egen tjänst.
Som Åsard skriver: Rapporterna från the National Weather Service är kostnadsfria, men AccuWeather lyckades genom förförisk och inte sällan vilseledande marknadsföring få kunderna att betala för dem.
Utan den statliga väderlekstjänsten och dess skattefinansierade tillgångar (radar, väderstationer, väderballonger) skulle inte företaget ha mycket att erbjuda.
För att skilja ut sig från konkurrenterna började AccuWeather tillverka prognoser som sträckte sig 45 och till och med 90 dagar framåt.
Det är en metod som seriösa meteorologer har dömt ut och liknat vid att använda handläsning eller horoskoptydning.
Vidare skriver Åsard: Till skillnad från bolagen i den privata sektorn är the National Weather Service enligt lag förbjuden att göra reklam för sina tjänster.
Det har utnyttjats av företagare som Myers, som under 1990-talet offentligt började argumentera för att den statliga myndigheten borde förbjudas att göra några väderprognoser överhuvudtaget (utom vid fara för liv och egendom).
Sådan information borde vara en fråga mellan kunderna och de privata företagen, menade han.
När den konservativa republikanska senatorn Rick Santorum lade fram ett snarlikt lagförslag 2005, fick det entusiastiskt stöd av Myers.
Förslaget föll, men Myers tvekade alltså inte att stödja en lag som flagrant skulle gynnat hans eget företag och tvingat skattebetalarna att betala dubbelt för en tjänst som den statliga myndigheten tillhandahållit gratis.
Som Michael Lewis påpekar har privata företag i branschen ett ekonomiskt intresse av väderkatastrofer som deras offentliga motsvarigheter saknar.
Ju större och farligare orkaner, desto fler kunder kommer att vilja betala för att få varningar om dem.
Och ju fler kunder desto större vinster.
Lewis föreställer sig en dystopiskt slut – ”dagen då du bara får den väderleksrapport du betalar för”.
Lyckligtvis har vi ingen Trump i Sverige (än).
De många intressekonflikter som Erik Åsard så elegant lyfter fram i ett kort stycke i sin bok saknas är dock helt relevanta för Sverige när det gäller öppna data.
Av någon anledning har de utredningar som genomförts sedan direktivets tillkomst undvikit att ta upp dessa frågor trots att de har stor betydelse för både samhälle och den enskilde individen.
Att låta marknadskrafter bli dominerande när det gäller hur offentlig information ska användas skapar intressekonflikter.
”Öppna data” kan leda till motsatsen, att de undanhålls från medborgarna för att de utgör råvara för ett företag.
Och kommer det att ställas krav på myndigheterna att de måste upprätthålla informationshantering som annars skulle effektiviseras bort för att det skulle påverka företag som använder informationen negativt om den togs bort?
Det är inte heller säkert att låta multinationella försäkringsbolag kostnadsfritt ta del av patientuppgifter är något som gynnar några andra än just försäkringsbolagen.
Som alltid när det gäller intressekonflikter finns det inget entydigt svart eller vitt i hanteringen av öppna data även om det i det svenska sammanhanget hittills framställts som helt utan komplikationer att langa ut vår viktigaste gemensamma resurs gratis på marknaden.
Själv har jag svårt att förstå hur det kan utgöra en marknad överhuvudtaget, snarare en nationell välgörenhetsbasar.
För att skapa en mer mångdimensionell bild av öppna data där olika intressen kartläggs och ställs mot varandra på ett öppet (!)
sätt bör ett mer gediget underlag än olika tas fram om det verkliga ekonomiska värdet.
Därefter kan en offentlig diskussion föras om hur vår gemensamma informationsbonanza ska användas så att alla våra olika intressen tillvaratas – inte bara de ekonomiska för vissa aktörer.
Lämnade idag följande remissvar angående arkivutredningen.
Arkivutredningen fick i uppdrag att göra en bred översyn av arkivområdet i Sverige.
Jag menar att utredningen inte lyckats formulera de strategiska frågor som är av verklig betydelse för att arkivväsendet ska kunna uppfylla sin viktiga samhällsfunktion, än mindre kommit med lösningar på dessa frågor.
Istället har man fastnat i detaljer och frågor av mindre betydelse.
Genomgående har det som kan sammanfattas som ”kulturarvsperspektivet” få styra utredningens inriktning och prioriteringar.
Det gör att de mycket komplexa frågor som samhällets informationshantering brottas med i huvudsak lämnas utan behandling.
Några av de frågor som jag menar är av essentiella för att information av vikt ska kunna säkras för framtiden och som utredningen utelämnar i sin rapport är följande.
Det finns i idag ingen plan för hur all den information som skapas idag ska bevaras med kvalitet, säkerhet och autenticitet för framtiden.
Detta är kärnan i all arkivverksamhet.
När vi nu har en exponentiell tillväxt av information saknas organisatoriska, metodmässiga och tekniska lösningar för det långsiktiga bevarandet.
Likaså saknas aktuell vägledning för hur gallring ska kunna genomföras i de enorma informationsmängder som skapas.
De senast tillkomna generella vägledningar rörande gallring togs fram av Riksarkivet under senare hälften av 1990-talet, d.v.s.
för snart ett kvarts sekel sedan.
Istället för varaktiga lösningar har spridda experiment med så kallade e-arkiv skett i olika regi som exempelvis Statens servicecenters upprepade misslyckande med en e-arkivtjänst.
Dessa lösningar är dock bara mellanarkiv – hur det slutgiltiga omhändertagandet av den digitala informationen är fortfarande höljt i dunkel.
Denna fråga borde ha varit centrum i utredning som har till uppdrag att göra en översyn av arkivverksamheten.
Ända fram till 1990-talet föreföll det fortfarande relevant att utgå från att varje myndighet kan ha i uppdrag att kontrollera den information man själv upprättar samt den information som inkommer till myndigheten.
Detta är idag ett betraktelsesätt som ligger långt ifrån den verklighet som snarare består av en snabbt sammanväxande nationell (och delvis internationell) informationsinfrastruktur.
Offentliga och privata aktörer ingår i processer information utbyts, förädlas, aggregeras och ackumuleras i snabb takt.
Svåra frågor som hur information ska kunna reproduceras från olika källor på ett säkert sätt över tid berörs inte av utredningen.
Inte heller hur ansvarsfördelningen i denna gemensamma infrastruktur ska fördelas röner intresse hos utredningen.
Vad som ska utgöra allmänna handlingar i den enskilda myndighetens arkiv liksom vem som ska ses som arkivbildare i denna helhet finns det idag inga officiella verktyg för att avgöra.
Även detta hade varit en central fråga att peka på för utredningen.
Arkivlagen gör en sammankoppling mellan allmänna handlingar och arkiv: Tyvärr gör denna sammankoppling att då en allt mindre andel av en myndighets handlingar ses som allmänna handlingar, vilket är negativt i sig, kommer även andelen information som ska bedömas ur arkivperspektivet att minska.
Vad denna utveckling innebär för framtidens möjlighet för bland annat forskning tas inte upp utredningen.
Ej heller hur detta påverkar den svenska demokratin där en mer extensiv tillämpning av vad som ska utgöra allmänna handlingar skulle kunna förbättra insyn och delaktighet.
Av särskilt intresse är de verksamheter som tidigare varit offentliga men som privatiserats och där det inte längre finns allmänna handlingar som ger insyn eller möjlighet till forskning.
Här finns privata företag men även intresseorganisationer som SKR som med offentliga medel skapar information med stor betydelse för samhället men som samhället saknar kontroll över.
I informationssamhället är av naturliga skäl information den viktigaste resursen.
Den information som skapas av myndigheter inklusive kommuner och regioner är därför begärlig inte bara inom myndighetssfären och inte bara för forskning utan även för nationella och internationella företag.
Detta har uppmärksammats vad gäller personuppgifter och alldeles särskilt för personuppgifter inom hälso- och sjukvård som är det nya guldet för många multinationella företag.
Hur svenska myndigheter ska förhålla sig till detta utan att t.ex.
äventyra personlig integritet eller riskera att snedvrida verksamheten för att producera information kommenteras inte av utredningen.
Lika litet berörs hur arkivväsendet ska förhålla sig till långsiktigt enormt värdefulla vårdsystemen och hur de ska bevaras för framtiden.
Riksarkivet har uttryckt att de anser att myndigheten ska får peka ut ”samhällsviktig” information oavsett arkivbildare.
Jag menar att det snarare behövs en analys av informationens betydelse som samhällsresurs för att först därefter kan bli möjlighet att besluta om hur prioritering och omhändertagande ska ske.
Utredningen uppmärksammar inte den nära relation arkivområdet har till områden som informationssäkerhet och dataskydd samt generell informationshantering.
Möjligen har det dominerande kulturarvsperspektivet gjort utredningen blind för de aktuella utmaningar som kräver samverkan mellan dessa områden.
Ett förslag är att snarast ta fram en strategi för svensk arkivverksamhet som behandlar ovanstående frågor.
Strategin bör bygga på en utredning som förutsättningslöst går igenom: möjligheter för att långsiktigt kunna bevara och tillhandahålla för samhället relevant information i autentisk form.
I detta ligger även att analysera intressenter och på vilket sätt de ska få tillgång till information alternativt påverka vilken information som ska tas fram/bevaras.
Utan närmare analys går att säga att hela andra resurser än nuvarande kommer att behövas för att ta hand om informationen.
Hur en hållbar finansiering på tillräcklig nivå ska ske är även det en fråga som bör utredas innan en strategi tas fram.
Fia Ewald En gång arkivarie, alltid arkivarie Sällan har jag läst en utredning med sådant intresse som den nya arkivutredningen SOU 2019:58 ” ” och då har jag ändå läst många.Stoffet i utredningen och hur den är genomförd vore helt enkelt värt en egen utredning och inte bara ett blogginlägg men man tager vad man haver.
Det finns alltså hur mycket som helst att skriva ytterligare men som inte ryms här.
Innan jag går in på utredningens egentliga leverans vill jag jag uppmärksamma den metodik och presentation som tillämpats som känns mer som en redovisning av en fortlöpande workshop än en traditionell svensk utredning.
Genomgående refereras samtal med olika intressegrupper vars argument framförs utförligt innan utredningen lämnar sina förslag.
Det ger verkligen en fyllig bild av den stora bredd av frågeställningar och konfliktlinjer som förekommer i Arkiv-Sverige (detta märkliga land).
Detta tillsammans med beskrivningen med bakgrundshistorik av hur arkivväsendet är organiserat i Sverige ser jag som den stora behållningen av utredningen, mycket användbar exempelvis i undervisningssammanhang.
Utöver detta är mitt sammanfattande intryck att utredningen ägnat sig åt en mängd relativt sett små frågor, om än i vissa fall intressanta, men duckar för alla verkligt väsentliga frågor.
Dessutom är förslagen angående de frågor som man verkligen ägnar sig i de flesta fall ytterst konservativa, typ: ”efter noggrant övervägande har vi kommit fram till att den rådande ordningen är den bästa.”.
Sin djärvhet och kreativitet tycks utredningen ha reserverat för titeln på utredningen som synes sällsynt missvisande i förhållande till innehållet (intresset för putslustiga utredningstitlar är visserligen inte unikt för den här utredningen utan snarare legio i det svenska utredningsväsendet).
När man läser förslagen på ny arkivlag är det många ”skall” som blivit ”ska” och ”arkivvård” som som blivit ”arkivförvaltning” men i övrigt mycket litet förändrande kraft.
En mer rimlig utredningstitel hade varit ”Härifrån till hit”.
En annan mindre men tyvärr betydelsefull förskjutning som skett är betoningen av ”kulturarvet” ökat.
I dagens arkivlag står: Myndigheternas arkiv är en del av det nationella kulturarvet.
Myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser 1. rätten att ta del av allmänna handlingar, 2. behovet av information för rättskipningen och förvaltningen, och 3. forskningens behov.
I utredningens författningsförslag sker inga större skillnader i detta förutom att ”syfte” bli ”ändamål”, ändamålet får en egen paragraf och det nationella försvinner från kulturarvet.
Däremot ägnar utredningen sig nästintill enbart åt resonemang om kulturarvet och hur det ska skyddas och i princip inte alls åt de tre övriga ändamålen.
För mig självklara och angelägna frågor som exempelvis hur demokratin skulle kunna utvecklas genom bättre insyn i myndigheterna via de allmänna handlingarna, hur behovet av snabb och säker tillgång till information med hög grad av autenticitet i myndigheterna ska tillgodoses samt betydelsen av ett organisatoriskt minne behandlas inte alls.
Forskning likställs i bästa fall med historisk forskning men alltför ofta tycks det vara släktforskning som avses.
Ibland framstår forskning och kulturarv som på något sätt synonyma begrepp.
Kanske skulle utredningens experter och sekreterare kunnat ha en något annorlunda sammansättning för att andra centrala perspektiv kunnat lyftas fram.
De glasögon känsliga för kulturarv som använts präglar hur utredningen tar sig an övriga frågor.
Släktforskare i all ära men vilken möjlighet som här förlorats att redovisa hur de övriga ändamålen skulle kunna tillgodoses på ett bättre sätt!
Som ett par exempel på hur kulturarvsglasögonen påverkar utredningens resonemang skulle jag vilja lyfta fram följande.
Utredningen tar upp de olika uppfattningar som kan finnas mellan att digitalisera äldre material alternativt lägga resurser på att omhänderta det digitala material som hela tiden tillväxer.
Detta presenteras som om det vore två jämförbara alternativ vilket jag menar är en tankevurpa.
Att digitalisera redan omhändertaget material i pappersformat är framförallt en åtgärd för att förbättra tillgänglighet och service vilket i sig är behjärtansvärt.
Däremot är fönstret för att bevara den digitala information som ständigt tillväxer en engångschans – görs det inte kommer informationen helt enkelt inte att finnas kvar.
Även om jag inte sett någon forskning om detta är mitt intryck att vi redan nu har förlorat en stor del av de senaste decenniernas viktiga information eftersom det saknats verktyg för att ta hand om den.
I ett sådant läge är det knappast rätt prioritering att tillfredsställa dagens kulturarvsintressenter med bättre service eftersom det oundvikligen sker på framtidens bekostnad.
Ett annat (betydligt mindre viktigt) resursmässigt vägval som kommit i förgrunden för mig under senare år är att det borde vara fullt möjligt att minska arkivinstitutionernas lokalytorna i attraktiva lägen.
Idag finns de statliga arkiven fortfarande ofta kvar i pampiga byggnader trots den stark sinande strömmen av besökare till forskarsalarna när alltmer material finns digitalt tillgängligt.
Går det att moraliskt försvara denna resursfördelning eller börjar det bli dags att avveckla forskarsalarna, samarbeta med biblioteken om forskarservice och flytta depåer till billigare lägen?
Även här tror jag kulturarvskulturen (!)
spelar in i bedömningen eller att frågan inte ens tas upp när arkivens knala ekonomi diskuteras i utredningen.
Jag menar, det är ju inte säkert att det finns pengar att spara, men finns ju anledning att åtminstone ställa frågan.
Jag skulle också vilja hävda att det positiva som ligger i det empiriska förhållningssättet med mängder av intervjuer och kompilationer av bakgrund möjligen skett på bekostnad av en genomarbetad teoretisk utgångspunkt.
Arkivteori lyser helt med sin frånvaro, något som jag tror missgynnat utredningen i dess problemformuleringar.
Exempelvis tror jag att analyser med avstamp i en problematisering av inre och yttre proveniens i ett dagens gemensamma informationssäkerhetsarkitekturer skulle kunna ge intressanta ingångar för exempelvis ansvarsfördelning och nya tekniska lösningar.
En fåfäng önskan, jag vet det, är att utredningen skulle fördjupat sig i för- och nackdelar med den nära kopplingen mellan TF, OSL och arkivlagen.
När starka krafter strävar att allt mindre del av myndigheters information ska ses som allmänna handlingar kommer det i nuvarande legala konstruktion att påverka inte bara insynsmöjligheten utan i sin förlängning både forskning och kulturarv.
Som den arkivarie jag innerst inne är sörjer jag över att utredningen missat möjligheten att faktiskt göra något som skulle rädda den situation som jag idag skulle vilja jämställa med klimatkrisen.
Den gigantiska mängden information som ständigt skapas men som inte omhändertas eller bevaras på ett beständigt och säkert sätt och där arkivarierna står som med snöskyfflar i en global lavin.
Utredningens ytterst modesta försök att greppa denna situation kan delvis ses som ett symptom på att det saknas en gemensam metateori om samhällets informationshantering som gör att varje utredning eller annan insats blir som ett fragment utan sammanhang.
Ofta blir utredningar fångar i sitt uppdrag.
Orsakerna till detta kan vara flera.
En vanlig orsak är att uppdragsgivaren redan bestämt sig för vilket svar man vill ha från utredningen, en annan att uppdragsgivaren har så oklar bild av området att uppdraget får en så märklig inriktning att det blir svårt att genomföra.
Jag kan inte se att detta gäller arkivutredningen.
Uppdraget som utredaren fått är både helt fritt och detaljstyrt på en gång: En särskild utredare ska göra en bred översyn av arkivområdet.
Det övergripande syftet är att säkerställa samhällets tillgång till allmänna handlingar både nu och i framtiden.Utredaren ska bl.a.
•översiktligt beskriva arkivsektorn samt beskriva och analysera hur samhällsutvecklingen har påverkat och kan förväntas påverka förutsättningarna för arkivverksamheten och olika arkivinstitutioner, •se över arkivlagstiftningen och närliggande lagstiftning och vid behov lämna förslag på hur lagstiftningen kan anpassas till utvecklingen på området, •analysera Riksarkivets roll och lämna förslag på uppgifter i förhållande till andra myndigheter och arkivaktörer för att undvika över-lappning och för att upprätthålla en god och säker informations-hantering och möjliggöra en allsidig historiebeskrivning, •analysera de ekonomiska konsekvenserna för Riksarkivet och andra arkivmyndigheter på kort och lång sikt av den offentliga förvaltningens övergång till digitala processer, och •analysera om regleringen för de enskilda arkiven bör förändras för att kunna tillgodose behov inom rättsskipning, förvaltning, forskning och skydd för kulturarvet •lämna nödvändiga författningsförslag.
Smaka på det syftet.
Jag menar att utredningen haft chansen att ta ett strategiskt grepp om samhällets arkivfråga men istället fastnat i detaljerna och inte minst i de konflikter som finns inom arkivområdet.
Den allt överskuggande konflikten är den gällande Riksarkivets ställning vilket också framkommer i redovisningar som lämnas från de dialoger som utredningen fört med olika aktörer.
Konflikten har funnits under lång tid men har tack vare utredningen kommit i öppen dager på ett sunt sätt.
En resumé av konflikten är ungefär så här: Riksarkivet vill gärna centralisera och bestämma mer medan andra aktörer som kommuner och regioner tycker att Riksarkivet lämnar alldeles för dåligt stöd och borde ägna sig åt att utveckla sin styrning genom att sysselsätta sig med metodutveckling och effektiv rådgivning.
Riksarkivet vill t.ex.
kunna meddela föreskrifter för kommuner och regioner vilket inte mottas väl av de tilltänkta objekten för föreskrivandet.
Detta anspråk förefaller även mig rätt övermaga med tanke på att kommuner och regioner ligger betydligt längre fram i centrala arkivfrågor än vad staten och Riksarkivet gör.
Riksarkivet tycks gärna vilja fly ett operativt ansvar t.ex.
i fråga om e-arkiv och FGS:er men känner sig sedan förbisedda trots att det sällan finns anledning att uppsöka den som inte gör något.
Kritiken mot Riksarkivet är tämligen förödande då den beskrivs i ämbetsmannaprosa i utredningen: Det finns en uppfattning om att så länge den statliga arkivmyndigheten inte fullt ut klarar sina grundläggande uppgifter bör myndigheten inte tillföras nya.
Frågetecken sätts för om myndigheten verkligen har förmåga att i framtiden leda utvecklingen kring digital informationshantering.
Utredningen tycks ställa sig på deras sida som tycker att Riksarkivet borde luta sig mer mot att tillhandahålla nyttiga redskap än att genomdriva sin vilja på ett mer repressivt sätt: Utredningens inriktning bakom de föreslagna bestämmelserna är att samförstånd, tydliga föreskrifter och en generös rådgivning ska prioriteras framför arkivmyndigheternas tillsyn och sanktioner.
Jag delar helt den uppfattningen.
Både som verksam arkivarie och därefter har jag förundrats över hur torftigt stöd Riksarkivet tillhandahåller.
För att bara ta ett exempel i den stora högen så har myndigheten inte tagit fram någon vägledning för centrala arkivuppgiften gallring sedan 1995 och jag tror vi alla kan vara överens om att det hänt en del på 25 år.
Legitimiteten för Riksarkivet tycks låg också då myndigheten avlövats ett antal uppdrag till bland annat DIGG.
Den brist på metateori om samhällets informationshantering som jag tidigare nämnde leder även till en oförmåga att hantera myndigheters uppdrag i förhållande till varandra där nu det finns stora oklarheter om hur Riksarkivet och DIGG ska leva tillsammans.
Utredningens lösning på frågan är att Riksarkivet ska samordna metoden då de orimligt upphaussade FGS:er (ser verkligen fram emot att nyttan av dem utvärderas på ett opartiskt sätt) även då de tas fram på annat håll.
DIGG ska å sin sida föreslås fortsätta: samordna frågor om gemensamma standarder, format, specifikationer och liknande krav för den offentliga förvaltningens informationsutbyte i de fall uppgifterna inte ligger på regeringen eller en annan myndighet FGS:erna är verkligen ett tröstpris då Riksarkivet blir omkörda av DIGG i princip allt annat som gäller informationshantering.
Det är svårt att se att Riksarkivet spelar en viktig roll i samhällets digitalisering.
Istället lever myndigheten i en permanent identitetskris med ständiga omorganisationer där man förlamats av frågan hur mycket arkivverksamheten ska vara en del i den pågående informationshantering.
Det förefaller som de som deltagit i dialoger med utredningen, och då särskilt representanter från kommuner och regioner, starkt pläderat för det som kallas ”proaktivitet”.
Häri ligger av de andra stora konflikterna inom arkivområdet.
Ska arkiven helt koncentrera sig på att omhänderta avställt material eller ska man även gå in och proaktivt bearbeta organisationers informationshantering så att arkivintresset är med redan från då information skapas?
Eller ska arkivarierna t.o.m.
vara specialister på informationshantering generellt och inte bara sett i arkivperspektivet?
Medan vankelmod råder centralt där nog traditionen att kalla informationshanteringen för ”kontors-ADB” och något att frynas över går framför allt fler kommuner och regioner över mot organisatoriska lösningar man samordnar uppgifter relaterade till informationshantering som arkiv, informationsförvaltning, dataskydd och informationssäkerhet.
Man ser helt enkelt informationen som den kanske viktigaste resursen för en organisation, en resurs som måste utvecklas och förvaltas för att organisationen ska fungera på ett ändamålsenligt sätt.
Detta är en linje som jag själv drivit sedan 90-talet så det är klart jag hyllar denna utveckling.
Samtidigt går det inte att förneka att det uppstår en dissonans när Riksarkivet inte alls är i takt med denna rörelse utan snarare utgör en konserverande kraft (och då inte på ett positivt sätt).
Det gör att det saknas ett nationellt nav för teori-, metod-, och kunskapsutveckling, erfarenhetsutbyte och styrning för det som till och med saknar ett entydigt begrepp, jag menar informationsstyrning, informationshantering eller informationsförvaltning kan innebära vad som helst (ja, jag vet att det finns en standard för informationsförvaltning men det hjälper inte särskilt mycket här).
För mig framkommer här ytterligare en av de stora bristerna i utredningen, nämligen att man helt missar kopplingen till informationssäkerhet.
Ordet ”informationssäkerhet” nämns nio (9!)
gånger i hela utredningen och då bara en passant.
Inga analyser eller ens resonemang om hur informationssäkerhet och -hantering inklusive arkiv skulle kunna vara två hjul på samma vagn trots att mål, objekt och metoder verkligen behöver samordnas för att bli ett effektivt stöd för verksamheten.
Extra tråkigt är det då allt fler arkivarier sett sambandet i praktiken och skulle behöva inriktning och moraliskt stöd för att gå vidare.
Samma sak gäller dataskydd.
Men den stora frågan är trots allt att man inte orkar närma sig den stora elefanten: hur ska den alltmer gemensamma informationsarkitekturen tas med in i framtiden?
I detta sammanfaller alla de brister som jag tidigare pekat på.
Som att det saknas ett arkivteoretiskt resonemang om hur proveniensprincipen ska tillämpas när det inte längre går att urskilja tydliga arkivbildare i en gemensam informationshantering.
Som att utredningen inte förmår att föra en diskussion om information istället för det snäva begreppet ”allmänna handlingar”?
Som att man inte tar på allvar hur den verkligt bevarandevärda informationen som patientjournaler löper en överhängande risk att försvinna för att lagstiftning tillåter det och för att det saknas metodik för att hand om den.
Som att det inte finns en antydan till förslag på hur det långsiktiga bevarandet ska ske organisatoriskt eller tekniskt eller ens hur frågan ska angripas.
Som att det inte görs något begreppsmässigt klarläggande gällande ”e-arkiv” och långsiktigt digitalt bevarande.
Som att varken utredningen eller Riksarkivet kräver rimliga ekonomiska förutsättningar för att göra det som är nödvändigt, jag menar 288 miljoner under 5 år … Jag skulle kunna fortsätta med denna uppräkning ett bra tag till men skonar de eventuella läsare som orkat följa mig ända hit.
Jag fortsätter succékonceptet att blogga om obskyra ämnen med en mycket begränsad grupp av intresserade.
Förra gången utredningsväsendet, nu behovet av autenticitet.
Upprinnelsen till detta inlägg är att jag fick uppdraget att prata om äkthet på en konferens och då började fundera mer intensivt på frågan – tack för det FALK!
Detta blogginlägg ska ses som en bråkdel av vad jag anser behöver belysas gällande autenticitet.
Utgångspunkten var att både ur ett arkiv- och ett informationssäkerhetsperspektiv finns ett grundläggande intresse av att kunna skapa och upprätthålla autenticitet på olika nivå i informationshanteringen.
Att notera är att autenticitet vid sidan om skydd mot obehörig åtkomst också är det historiskt sett mest konsistenta intresset både för arkivverksamhet och för informationssäkerhetsområdet.
Dessutom är vissa tekniska åtgärder för att på olika sätt skapa autenticitet så grundläggande att vi inte ens reflekterar över dem, från underskrift på pappersdokument till olika digitala autentiseringslösningar.
Detta till trots är autenticitet som begrepp och tillämpning påfallande sällan diskuterat.
Slagningar i Libris och Diva antyder att när autenticitet explicit diskuteras gäller det i allra flesta fall kulturminnesvård, konst eller möjligen kvalitet.
Inte ens som autenticitetens betydelse i relation till juridiskt bevisvärde har skapat några större textmängder vilket påpekas i en av de få avhandlingar från senare år som har detta tema ( av Jonas Ekfeldt).
De många utredningar som genomförts rörande digitalisering har inte fördjupat sig autenticiteten utan den nämns endast flyktigt som i SOU 2018:25 där ordet autenticitet finns med två (!)
gånger på 562 sidor.
Visserligen diskuteras signaturer i ett avsnitt men som jag ser det är det enbart en delmängd av frågan och här presenterad helt utan större kontext.
Det enda glädjeämnet är en tio år gammal text av , numera landsarkivarie i Härnösand.
Ett första steg för många för att förstå begreppet autenticitet är att gå till de standarder som ofta tillmäts kvaliteten att kunna ge definitioner.
Jag har här valt två centrala standarder för området som även fått förleden SS för att ange att de ska ses som svenska standarder.
Den första är SS-ISO 15489_1 2016 som är en standard för hantering av verksamhetsinformation till vilken allt oftare arkivarier hänvisar.
Ur ett arkivperspektiv är möjligheten att bedöma graden av autenticitet en nödvändig förutsättning för i princip alla moment i hanteringen och det är därför av intresse att se vilket stöd standarden ger för att närma sig frågan.
Trots att den alltså är en svensk standard finns den ännu inte, såvitt jag kan se, översatt till svenska.
Inga förändringar har dock gjorts från en tidigare version av standarden som hade följande svenska definition: Att handlingen visar att den är vad den utger sig för att vara, Att den är skapad eller skickad av personen som uppgett sig för att ha skapat eller skickat in handlingen Att handlingen blivit skapad eller inskickad i den angivna tiden Även bortsett från den förvirrande användningen av begreppet ”handling” som skapar så mycket språkförbistring när arkivarier ska kommunicera den övriga mänskligheten (det är liksom både bärare och informationsinnehåll på en gång) så är denna definition fertil grogrund för ett antal frågor.
Som det första cirkelargumentet att handlingen (som bärare gissar jag) i sig demonstrerar något som ger autenticitet.
Som att den tycks se autenticitet som ett binärt begrepp; antingen är handlingen autentisk eller inte.
Som att autenticitet på något vagt sätt har med post att göra.
Som att autenticitet är knuten till en enskild person.
Om vi istället går över till informationssäkerheten och ser vad den svenska terminologin som SIS gav ut 2015 säger blir frågorna inte färre.
Där uppges följande: äkthet avseende uppgivna uppgifter; särskilt rörande påstådd identitet och meddelandens ursprung och innehåll Den tekniska process vari äktheten, autenticiteten bekräftas kallas autentisering.
Denna kontroll kan avse entiteter såsom användare, processer, systemkomponenter och informationsobjekt Pluspoäng för att man nämner ordet ”äkthet” och att autentisering kan gälla olika typer av komponenter.
I övrigt är det rätt svårt att förstå vad som egentligen kännetecknar autenticitet.
Vad som mest intresserar mig är dock att autenticitet valts bort som en central dimension av informationssäkerheten i ISO 27000:s tolkning.
Istället har riktighet upphöjts till en av de tre särskilda omnämnda värdena och då med denna betydelse (fortfarande enligt terminologin): skydd mot oönskad förändring Definitionen ser till skyddet medan egenskapen ”riktighet” får förstås implicit som typ oförändrad information.
Jag har svårt att förstå denna prioritering mellan begreppen.
Hur man kommit fram till den är som eljest i standardsammanhang dolt, de diskussioner, överväganden och möjligen utredningar som lett fram till olika ställningstaganden finns inte presenterade någonstans.
Bristen på den transparens och strävan efter delaktighet som finns inom exempelvis akademin saknas då standarder etablerar sina sanningar.
Riktighet kan i bästa fall ses som en delmängd av det större begreppet autenticitet.
Därför bör autenticitet eftersträvas som ett huvudmål snarare än riktighet, en uppfattning som skulle varit rimlig redan innan det digitala samhälle vi nu har fötts.
När information hela tiden skapas, transformeras och kommuniceras med oändliga möjligheter att avsiktligt eller oavsiktligt göra den missvisande vad det gäller upphov, kvalitet och intention borde autenticiteten vara en naturlig fokalpunkt för informationssäkerhet, digitalisering och arkiv.
För att inte tala om AI och deep fake.
Informationssäkerhet och valet av riktighet framför autenticitet – varför blev det så?
Bortsett från min generella hypotes om den anti-intellektuella hållning som präglar området är en spekulation att riktighet valts p.g.a.
många i branschen rekryterats från it-hållet och därför känner sig bekväma med ett databassynsätt, d.v.s.
att information i ett system ska skyddas mot förändring.
Eftersom denna snäva beskrivning av risker är otillräcklig sett till verkliga organisationers behov har man därför behövt gå in och trixa med begreppet spårbarhet för att få någon slags relevant beskrivning.
Därav det neurotiska förhållandet till spårbarhet, ett begrepp som är så tabuiserad att det inte ens går att diskutera för de rättroende.
Synd tycker jag vilket jag skrivit om Mitt förslag för att få en mer täckande beskrivning av förhållanden som behöver beskrivas är att använda konfidentialitet, autenticitet, spårbarhet och tillgänglighet.
Riktighet kan då placeras in under paraplyet autenticitet som en nödvändig men inte på långt tillräcklig aspekt att bedöma.
Dock räcker inte de definitioner som de två standarderna ger för att fylla det behov av att beskriva informationens äkthet som vi har i digitaliserad värld.
Hur ser då detta behov ut?
Kärnan i frågan är att kunna säkerställa en informationsmängds kvalitet i form av ”äkthet”.
För att ytterligare ringa in vad som åsyftas så består autenticiteten inte bara av att informationen är oförändrad (det som åsyftas med riktighet) utan även att den är vilket också kan formuleras att den har ett .
Som ett enkelt exempel: för att ett avtal ska kunna ha ett bevisvärde räcker det egentligen inte med en signatur även om det accepterats under lång tid.
Vad som krävs är att det går att härleda vem det är som undertecknat men framför allt om denna någon hade mandat att underteckna avtalet o.s.v.
Det är inte heller så att en tavla signerad med namnet Picasso övertygar alla som en äkta dyrgrip.
Den kanske bästa och enklaste illustrationen av bevisvärdets betydelse för autenticiteten finns att hämta i utvecklingen av sedlarnas historia som betalningsmedel.
De första sedlarna var egentligen kvitton på insatta medel hos en bank.
Kvittot kunde sedan användas för att på ett smidigt sätt kunna sköta betalningar utan att behöva släpa omkring högar av metaller.
För att denna effektivisering av ekonomin skulle kunna vara möjlig krävdes institutionella förutsättningar för att den enskilda sedeln skulle accepteras som autentisk och inte som vilken papperslapp som helst.
Det räcker inte med att siffrorna på sedeln är ”riktiga” utan den måste också omges andra skyddsåtgärder för att kunna accepteras som äkta.
Jag laborerar med tanken att se autenticitet som en inversion av källkritikens principer.
Det betyder att autenticitet inte är binärt utan en glidande skala av möjlighet att bedöma äktheten, beroenden, tendens, tidsförhållanden, närhet till händelsen o.s.v.
De tekniska lösningarna kan sägas ”låsa” den organisatoriska kontext som omgett informationen i olika skeden och därmed ge ett bevisvärde.
I ett långsiktigt måste de organisatoriska förhållandena som skapar autenticitet kunna återskapas på ett säkert sätt även om tekniska lösningar förändras och information migreras (kedja som ej bryts).
Inom arkivområdet används begreppet proveniens för att beskriva förhållandet mellan information, organisation och i förlängningen äkthet.
Frågan om autenticitet är principiellt densamma i digitala som i analoga informationsmängder.
Komplexiteten har dock växt explosionsartat från det kinderägg-tillstånd där information, bärare och autenticitetsskapande faktor var oupplösligt sammanfogade som i ett undertecknat pappersavtal.
Genom digitaliseringen lever dessa tre komponenter sina egna liv där samma informationsmängd kan finnas på ett otal antal bärare och med olika nivå av autenticitet.
Direkt rafflande blir det med funktioner som ”Dela dokument” i Office 365 där mottagaren får ett dokument som inte behöver vara detsamma eller ens finnas kvar när mottagaren tar fram det en andra gång i sin e-post.
Att skapa autenticitet momentant skulle i sig vara en rejäl utmaning men för att strö ytterligare salt i såren så är kravet på autenticitet utan slut eftersom trots det information over flow vi lever i så måste ansenliga mängder av den information som skapas bevaras under lång tid eller för evigt.
Kraven på att kunna arkivera information på ett säkert sätt är självklart inte mindre nu än tidigare.
Det betyder att tilltron till informationens autenticitet inte bara ska kunna upprätthållas i ett år utan i 100 eller 1000 år för många informationsmängder.
Tänk patientjournaler, tänk urkunder i statsförvaltningen, tänk instruktioner för hanteringen av utbränt kärnbränsle, tänk mätvärden av klimatet….
Att med detta perspektiv se det mycket begränsade resonemangen om exempelvis, e-leg, e-signaturer och e-arkiv känns frustrerande.
I en tid då vi pratar så mycket om fake news och risken för negativ informationspåverkan borde verktygen för att skapa och upprätthålla autenticitet slipas.
Det finns redan viss teori om proveniens och processuella värden som skapar autenticitet inom arkivdisciplinen liksom en rad techne-åtgärder inom informationssäkerhetsområdet för autentisering och validering t.ex.
Dessa kunskapsområden borde dock tillåtas expandera och dessutom befrukta varandra för att vi ska komma närmare strategier för att skapa den autenticitet som krävs på både kort och lång sikt.
Det som hindrar detta tror jag är den korta händelsehorisont som gör att vi plumsar in i jättelika digitaliseringsprojekt utan att se längre fram än möjligen införandeprojektets avslut.
Bristande strategisk inriktning, kunskapsutveckling och samarbete mellan ansvariga myndigheter är en annan.
Group think inom informationssäkerhets- respektive arkivarieskrået som skapar en oförmåga att famna de stora frågorna en tredje där standardarbetet förefaller ha fungerat som en starkt konserverande faktor framför allt för informationssäkerheten.
Sist men inte minst styrningen av digitaliseringen i hög grad överlåtits till leverantörer av tekniska lösningar samt management.
För att komma vidare bör vi alltså försöka undanröja ovanstående hinder för att kunna skapa en mer funktionell plattform för att skapa den nödvändiga autenticiteten.
När tanken låser sig kan ett trick vara att tänka på att information är dagens hårdvaluta och jämföra med hur sedlar och andra metoder för penningtransaktioner hanteras.
Det är högintressanta tider då vissa frågor ställs på sin spets.
I min begränsade värld är en av dessa frågor det så kallade e-arkivet, denna företeelse så omgiven av förväntningar och föreställningar.
Under den senaste tiden har två stora händelser timat inom området: Statens servicecenter misslyckades med sin upphandling av e-arkiv och SKL Kommentus Inköpscentral (fortsättningsvis kallad SKI) lyckades med sin.
Det kan tyckas vara två mycket likartade händelser men ju mer man gräver så framstår skillnader allt tydligare.
Jag är ju en enkel konsult vars främsta uppgift är att försörja mig men eftersom jag misstänker att ingen annan bättre lämpad funktion tänker göra någon analys av varför det gick som det gick fattar jag ändå pennan/tangentbordet.
En brasklapp är naturligtvis att jag inte har den tid och de resurser som krävs för att göra en fullständig analys utan att jag enbart kommer att ta upp vissa aspekter som särskilt intresserar mig och då främst säkerhetskraven.
I ingetdera fallet kommer jag att kommentera de konsulttjänster som ingår i upphandlingarna utan endast upphandlingen av själva tjänsten eller applikationen.
För att förstå dessa upphandlingar behöver några basala förutsättningar slås fast.
Något som är självklart för den med litet insikt i arkivfrågor är att lagring av digital information inte täcker begreppet e-arkiv.
Här finns dock inte utrymme att gå igenom alla intrikata aspekter men låt mig poängtera vissa grundläggande frågor: Ovanstående punkter sammantaget med att Riksarkivet, för att uttrycka det milt, inte är direkt sugna på att ta emot digital arkivinformation och det inte heller finns en övergripande strategi för den långsiktiga nationella arkivverksamheten försätter myndigheterna i en svår situation.
Man har helt enkelt en exponentiellt växande digital informationsmängd att långsiktigt ta hand om utan det finns tydliga lösningar för hur det ska ske.
Förutom myndigheters, kommuner och regioners vånda så är vi nog en hel del som känner en stor oro på samhällsnivå för de stora informationsförluster vi riskerar att göra.
En informationsförlust som inte bara är ett stort hot mot dagens och framtida forskning utan också för vårt gemensamma minne.
Det finns naturligtvis enstaka ljus i mörkret som Sydarkivera som förtjänar att lyftas fram men som helhet ser det tämligen mörkt ut.
Det är alltså i denna kontext som de två upphandlingarna ska sättas in och som kanske kan ge en förklaring till varför de utfallit som de gjort.
Inledningsvis kan slås fast att de två upphandlingsprojekten knappast kan ha haft mycket samröre.
Olikheten i synsätt och begrepp är iögonfallande trots att det i båda fallen handlar om offentlig sektor och delvis överlappande verksamheter.
En sak är dock den samma för båda upphandlingarna: det handlar inte om att upphandla en lösning för det långsiktiga arkivbehovet.
I stället uppfattar jag det mer som att göra en quick fix i väntan på något mer bestående.
Det är alltså möjligen lösningar för mellanarkiv vi pratar om där information av olika karaktär (allmänna handlingar och annat) lagras under en i arkivperspektivet begränsad tid för att därefter gallras, rensas eller föras över till en slutförvaring.
Såvitt jag kan se handlar också lösningar om överföring från system till system eller från system till tjänst, ingen inriktning mot ett mer infrastrukturellt tänkande finns med.
Jag är inte förvånad över detta men vill ändå betona detta.
Trots likheten i behov har SSC och SKI hamnat i två helt olika upphandlingar.
SSC har sedan 2014 bedrivit sitt upphandlingsprojekt där också ett antal statliga myndigheter deltagit och varit utsedda som ”pilotmyndigheter” (bakgrunden finns ).
Utifrån regeringsuppdraget lämnades en första delrapport 2015 med ett förord signerat både av SSC:s GD och riksarkivarien.
Jag vill inte undanhålla läsaren sammanfattningen i rapporten som var följande (felstavning inkluderad): Det finns goda förutsättningar för att skapa en förvaltningsgemensam tjänst för e-arkiv.
· Det blir en minskad investeringskostnad och en besparing för staten som helhet.
· Bara genom att etablera ett gemensamt e-arkiv istället för sju separata för pilotmyndigheterna, sparar staten flera tiotals miljoner kronor.
· Det finns etablerade arbetsätt för e-arkivering · Marknaden är mogen och det finns system och leverantörer.
· Sju pilotmyndigheter har skrivit på en avsiktsförklaring om att ansluta sig till tjänsten.
Förutsättningar för fortsatt arbete: · Regeringen behöver undanröja de juridiska hindren genom en förordningsändring.
· Statens servicecenter (SSC) och Riksarkivet förordar att projektet går vidare till krav- och upphandlingsfas, under förutsättning att regeringen bidrar med tillräcklig finansiering.
Även den som är luttrad från digitaliseringsprojektens närmast obligatoriska glädjekalkyler kanske ändå hoppar till litet vid sådana diffusa fördelar som att staten ska ”spara flera tiotals miljoner kronor”.
Konstateranden som att det finns en mogen marknad för e-arkiv och dessutom etablerade arbetssätt för e-arkivering känns idag 2019 som önsketänkanden och var det ännu mer 2015.
Det var utgångspunkterna för projektet som visserligen har haft riksarkivarien som styrgruppens ordförande och en stilig projektdokumentation men som ändå slutade i att upphandlingen av en nationell molntjänst avbröts strax före jul 2018.
Vad SSC under fyra år försökt upphandla är alltså en molntjänst för ett stort antal myndigheters e-arkiv (om man ser till de tillväxtstaplar som presenterats i projektet): Den ”tjänst” som Statens servicecenter efterfrågar i denna upphandling är således att betrakta som en sammanhållen leverans och ska inte förväxlas med begreppet ”Software as a service” (SaaS).
Skillnaden är att den grundläggande arkivmjukvaran upphandlas i form av en programvarulicens medan de övriga delarna i leveransen upphandlas som en tjänst på månadsbasis.
Istället för en normal upphandling av molntjänsten valde SSC att göra en så kallad konkurrenspräglad dialog.
Statens servicecenter har valt konkurrenspräglad dialog som upphandlingsförfarande då det inte är möjligt att utforma samtliga krav på tjänsten i förväg.
Med tanke på komplexiteten i uppdraget och de rättsliga förutsättningarna krävs dialog med erfarna leverantörer för att slutgiltigt utforma kraven.
Detta är enligt mig en mycket svår upphandlingsform inte minst när det gäller applikationer och molntjänster.
För att kunna styra en sådan upphandling krävs en mycket fast hand från kunden för att inte hamna på olika typer av grynnor och skär.
När då kunden redan inledningsvis skriver att man inte kunnat utforma kraven på tjänsten känns den fasta handen rätt avlägsen.
Som säkerhetsintresserad börjar man skruva på sig; att upphandla en nationell molntjänst med en glidande kravspec känns…obehagligt.
Låt oss då se på säkerhetsinriktningen i SSC:s konkurrenspräglade dialog.
För det följande är det viktigt att ha i åtanke att syftet med processen att nå fram till leverantör av en molntjänst, d.v.s.
en tjänst där stora mängder offentlig ackumuleras.
Kravet på tjänsten har varit att den ska kunna hantera den information som kundmyndigheterna väljer att stoppa in, även sekretessreglerad information.
Däremot inte hemliga handlingar: den förvaltningsgemensamma tjänsten för e-arkiv ska inte dimensioneras för hantering och lagring av hemliga uppgifter och handlingar.
Hemliga uppgifter och handlingar ska därför fortsatt, och av kundmyndigheterna själva, förvaras på annat sätt e-arkivet som sådant bör betraktas som säkerhetskänslig verksamhet – av betydelse för rikets säkerhet.
Detta bland annat mot bakgrund av de stora informationsmängder, från många myndigheter, som ansamlas i lösningen och de konsekvenser som till exempel ett bortfall av tjänsten skulle kunna medföra för berörda verksamheter – och för samhället Redan här väcks många frågor.
Om man ser det potentiella e-arkivet som en säkerhetskänslig verksamhet enbart p.g.a av att det ansamlas stora informationsmängder varför då utan närmare argumentation välja en lösning som leder just till detta?
Följden av beslutet har blivit att man valt att göra en upphandling med krav på säkerhetsskyddsavtal på nivå 1, alltså den högsta nivån.
Detta ställer stora krav på leverantören som att införa en säkerhetsskyddsorganisation, att välja vissa specifika säkerhetslösningar och att införa utvidgade säkerhetskontroller av anställda.
Förutom att säkerhetsskyddsåtgärderna av naturliga skäl kan minska effektiviteten i lösningen innebär ökade kostnader och därmed ökat utpris för kunden.
Det innebär minskad integritet för anställda och i många fall även fördyrande krav i kundens egen verksamhet.
I detta fall ställer jag mig också tveksam till på vilket sätt e-arkivet om det inte upprätthåller tillgängligheten skulle utgöra ett hot mot Sveriges säkerhet liksom att antagonistiska hot skulle vara den primära risken (jag går inte djupare på den nya lagens syn på riktighet och tillgänglighet eftersom den är i bästa fall oklar).
Om detta synsätt sprids, d.v.s.
att det visserligen inte är säkerhetskänslig information som kommer att hanteras i lösningen men vi kommer ändå att använda SUA, så kommer i princip varenda molntjänst som används i offentliga uppdrag av privata och offentliga aktörer att falla under säkerhetsskyddslagen.
Om säkerhetsskyddslagens syfte är att skydda ”det mest skyddsvärda” så kan vi inte låta det gå inflation i tillämpningen så att den blir det nya normala.
Jag vill bara framföra ett milt: sansa er och försök tänk på konsekvenserna av detta (även om utredningen som ny säkerhetsskyddslag hade en ytterst sangvinisk konsekvensanalys, återkommer till det i ett senare inlägg).
Det kanske mest häpnadsväckande är att informationsklassning och skyddsnivåer inte nämns vare sig i inbjudan eller bilagan.
Utan kommentar förutsätts alla myndigheter ha samma behov av säkerhet och kravs ställs inte på leverantören att kunna leverera tjänsten på olika fastställda skyddsnivåer.
Min fundering blir då vem som blir riskägare i det här konceptet om kundmyndigheten inte kan påverka tjänsten.
Detta känns igen från SSC:s övriga tjänster vilket jag ser som ett grundproblem med hela konstruktionen.
Förutom detta ställde SSC även krav på certifiering mot ISO 27001 eller motsvarande icke-certifierat ledningssystem, SOA samt beskrivning av säkerhetskontroller.
Detta är ett krav som måste finnas med men som i praktiken, enligt min erfarenhet, inte utgör en garant för ett väl fungerande säkerhetsarbete.
Hunnen så här långt i genomgången av upphandlingen pockar två frågor på.
För det första har SSC begränsat antalet möjliga leverantörer mycket starkt.
Fyra års utredande borde ha gett en marknadsanalys som påvisat att det finns mycket få svenska leverantörer som kan eller vill leverera på dessa villkor.
Historien visar ju också att endast en leverantör återstod när upphandlingen avslutades.
Den andra frågan är varför denna upphandlingen sker över huvud taget.
Ett alternativ hade varit att gå ut i en vanlig ramavtalsupphandling där Riksarkivet kunnat bistå med expertkunskap på samma sätt som de nu gjort i SSC:s upphandling.
Vad exakt tillför SSC som inte myndigheterna skulle kunna få i en direktrelation med leverantörerna?
Eftersom man då skulle kunna få fler leverantörer skulle förhoppningsvis den koncentration som påkallat säkerhetsskydd kunnat undvikas (ja, här ligger en mycket, mycket större fråga om den totala mängden tjänster hos leverantörerna och ramavtalens oligopolskapande kraft men jag hinner inte ta den nu).
Till detta kommer en bilaga med ganska ordinära säkerhetskrav.
Några reflektioner kan dock göras.
Påfallande många av kraven är inexakta av typen att leverantören ska beskriva vilken säkerhetsfunktionalitet finns.
En förvånansvärt stor andel av det som kan kallas säkerhetskrav ägnas åt fysisk säkerhet.
Och som sagt: nivåer saknas.
Sammantaget skulle det skapa stora svårigheter för kundmyndigheten att bedöma vilken den faktiska säkerheten i leveransen blir.
Om man summerar SSC:s kravbild inklusive orimliga krav som att leverantören ska ha erfarenhet av att tillämpa Riksarkivets FGS i praktiska lösningar vilket i princip är en omöjlighet eftersom det knappt finns några FGS:er så undrar jag om SSC verkligen velat ha en leverantör.
I förtroende har leverantörer förmedlat att har saknats dialog trots den upphandlingsform som valt och som bygger på just dialog.
Trots att endast en leverantör återstått under det sista året har upphandlingen rullat på och därefter avslutats bland annat med motiveringen att det var för få leverantörer.
I upphandlingsunderlaget återkommer följande formulering: Under avtalstiden kan uppdraget komma att begränsas eller på annat sätt förändras med anledning av författningsändringar eller förändrade uppdrag för Statens servicecenter.
Bland annat kan det bli aktuellt för statliga myndigheter att ansluta till en så kallad statlig molntjänst.
Med tanke på att företrädare för SSC ofta vädrat en önskan om att få uppdraget att ta över statlig it-drift och skapa en statlig molntjänst så kan inte tanken att angelägenheten att få affären i hamn kanske inte var helt odelad helt viftas bort.
SKI:s upphandling är en förnyad sådan så man får anses ha mera erfarenhet på området än SSC.
Av teoretiska och praktiska orsaker är jag tilltalad av SKI:s inriktning att använda definitionen ”funktion för e-arkivering” även om det finns aningen av ironi i motstridigheten när funktionen beskrivs som I definitionen av funktionen för e-arkivering beskrivs e-arkiv i termer av vad e-arkivet ska klara av, vilka behov som ska tillgodoses, snarare än vilka funktioner som ska finnas.
Detta är en betydligt mer öppen upphandling i meningen att det finns möjlighet för kunderna att använda avtalet både för att kunna köpa en molntjänst och för att köpa en applikation för egen drift.
I alla fall hypotetiskt minskar det risken för den koncentration som föranledde kravet på SUA för SSC.
SKI har alltså valt att inte göra en SUA, helt korrekt enligt mig.
Det ger också kunden möjlighet att lägga till egna säkerhetsåtgärder i en applikationsdrift och anpassa applikationsdriften till egna skyddsnivåer.
Att flera leverantörer finns på ramavtalet minskar inte bara koncentrationen av information utan gör också lättare att välja en leverantör som motsvarar den egna kravbilden utöver det som står i ramavtalet.
Jag tror (med betoning på tror) att ramavtal är en bättre lösning även ur säkerhetssynpunkt om det är oklart vad en mellanliggande myndighet ska tillföra eftersom kunden då har möjlighet att ha direktkontakt med leverantören.
Applikationsdrift i all ära men för mindre verksamheter kan molntjänster innebära en mycket bättre säkerhet än vad man kan skapa själv (har redan skrivit om detta ett antal gånger så jag vevar inte argumentationen ytterligare en gång).
Inte heller i SKI:s upphandling finns skyddsnivåer definierade även om informationsklassning nämns som en del i de konsulttjänster som kan avropas.
Krav på certifiering ställs inte och säkerhetskraven är inte frilagda på samma sätt som i SSC:s upphandling.
Likaså är många kraven av samma något diffusa karaktär som i SSC:s upphandling.
Det är därför svårt att på rimlig tid skapa en bild av hur den tänkta säkerhetsarkitekturen ser ut.
Jag tror dock att det varit enklare att hitta fram till ett samförstånd i denna upphandlingstyp än i den konkurrenspräglade dialogen som SSC valde som upphandlingsform.
Ett problem med båda upphandlingarna är att det är svårt att se vilka riskbedömningar som gjorts och det är även svårt att se något systematiskt arbete som föranlett de säkerhetskrav som faktiskt ställts.
Jag uppfattar det inte som att säkerhet varit en väl analyserad fråga i upphandlingarna även om SSC drämde i med storsläggan säkerhetsskydd.
Generellt skulle jag vilja hävda att kunden som använder SKI:s ramavtal har större möjlighet att påverka säkerheten i sin informationshantering än den tänkta kunden hos SSC.
Hur stora koncentrationer av information ska hanteras är en fråga på nationell nivå där jag inte tror att säkerhetsskydd är lösningen.
I båda fallen har (eller skulle ha haft) kunden ett drygt arbete att analysera sitt säkerhetsbehov innan en tjänst kan tas i drift.
En from förhoppning är fortfarande att ta fram gemensamma skyddsnivåer till gagn både för kunder och leverantörer.
Ytterligare en önskan skulle vara att tydligare utgå från de tilltänkta kundernas situation och möta dem där de är.
Om ett nationellt ”e-arkiv” ska byggas upp bör behov och lösningar analyseras mycket mer noggrant.
Det handlar om både organisation, tjänster och infrastruktur.
De utredande ansatser som gjort av SSC övertygar mig inte om att denna myndighet är rätt instans för detta uppdrag.
Under en övergångsperiod menar jag att den realistiska lösningen är att upphandla tjänster.
En observation som kan göras är att den organisation som har till uppgift att göra upphandlingar är den som lyckas.
En lärdom av detta kan vara att uppmärksamma hur komplicerad själva upphandlingsprocessen är och att den bäst sköts av en organisation med expertkompetens.
Att ha icke-koordinerade lösningar mellan stat och kommun/region är olyckligt.
Eftersom informationen flödar mellan arkivbildare bör det konceptuellt vara samma typ av lösningar.
Här finns även möjlighet att ge stöd för de privata utförarna av offentliga uppgifter – ett område som nu tycks bortglömt.
Slutligen vill jag, som så ofta, understryka betydelsen av att Riksarkivet tar ett betydligt större ansvar för e-arkivfrågan.
Det gäller både operativt i rena kravställningar men också strategiskt.
Redan nu görs enorma informationsförluster vilket borde sporra Riksarkivet till att göra det till sin huvudfråga.
Föreställningen om att e-arkiv handlar om att överföra information från ett system till ett annat måste överges och de stora informationsarkitekturerna prioriteras.
För att lyckas med krävs mycket stora insatser.
Två viktiga steg menar jag är att befria SSC från uppdrag inom e-arkivområdet och att inse att det som nu kallas e-arkiv egentligen är ett informationshanteringssystem som inte löser den långsiktiga arkivfrågan.
Därefter bör ett nytt uppdrag skapas.
Grunden för ett sådant uppdrag bör vara att staten nu (och sannolikt inte under överskådlig tid)inte har förutsättning att utveckla informationshanteringslösningar i den omfattningen själv.
Att omforma eller kopiera SKI:s ramavtal så att även statliga myndigheter kan använda det är ett sätt att skapa förutsättningar för en mogen marknad där leverantörer kan se en långsiktighet som gör att de vågar investera i utveckling.
Tillägg 2019-02-10: Uppmärksamma läsare har hört av sig och sagt Kammarkollegiets ramavtal innebär en möjlighet för alla aktörer inom offentliga sektor att upphandla e-arkivlösningar för installation i den egna miljön.
Definitionen av e-arkiv är på samma sätt som övriga sparsmakad och på samma gång förbryllande, arkivarie som jag är har jag svårt att uppfatta skillnaden mellan arkivering och långtidsarkivering: Anbudsgivare ska erbjuda minst en programvara för e-arkiv för installation i kunds it-miljö.
Med e-arkiv menas en programvara för arkivering och långtidsarkivering av handlingar för installation i kunds it-miljö Naturligtvis borde jag nämnt avtalets existens.
Jag har dock redan i ett tidigare inlägg beskrivit hur jag försökt få svar på vilken säkerhet dessa leverantörer kan erbjuda utan att lyckas (ingen svarade).
Dessutom går ramavtalet såvitt jag kan se ut den sista november i år.
Att avtalstiden snart går ut ökar möjligheterna för att ta ett större grepp om frågan.
I augusti 2014 fick den då relativt unga myndigheten Statens servicecenter ett uppdrag av regeringen att i samverkan med Riksarkivet samt sju pilotmyndigheter utveckla och använda en förvaltningsgemensam tjänst för e-arkiv.
Efter dryga fyra år avbryter man nu upphandlingen med hänvisning att det endast inkommit en kvalificerad sökande och att priset är för Detta är mycket bekymmersamt.
I en fråga som varit akut i ett par decennier, nämligen det långsiktiga bevarandet av den information som genereras i myndigheter, kommuner och landsting, har myndigheter blivit intalade att det snart kommer en lösning på deras .
Så sent som för en månad sedan deltog Statens servicecenter på Arkivforum och trumpetade ut att man nu var i mål och att myndigheter skulle kunna ansluta sig till tjänsten inom ett halvår.
Det skulle vara frestande att ropa ”skandal” men det är intressantare att försöka analysera vad misslyckandet beror på.
Själv har jag redan tidigare skrivit om att hela upplägget var märkligt i framförallt två hänseenden.
För det första har det hela tiden saknats en övergripande strategi för det långsiktiga bevarandet av digitala handlingar.Det som kallats e-arkiv hos Statens servicecenter är bara en del i en större helhet som ännu inte finns beskriven.
Eftersom tjänsten enbart är ett mellanarkiv återstår fortfarande att skapa ett slutarkiv och min obesvarade fråga har varit varför ett mellanarkiv över huvud taget skulle vara intressant i ett digitalt perspektiv.
Om information ska överföras från arkivbildaren till en annan myndighet borde det rimligen ske på ett sätt där även slutarkivering ingår eller åtminstone är tydligt planerad.
Så är nu inte fallet och för mig förefaller detta bara vara ett prokrastinerande av en oundviklig uppgift.
Den andra frågan är sammanhängande med detta och handlar om Riksarkivets roll och varför information som ska långtidsbevaras först ska mellanlanda hos en annan myndighet.
Jag menar att Riksarkivet borde ta ansvaret för denna kärnuppgift i det egna området och beskriva hur ett digitalt mellanarkiv borde utformas för att passa in i en större helhet av bevarande.
Att överlåta detta uppdrag till en myndighet utan expertkompetens känns både ologiskt och som ett stort risktagande.
Det som upphandlingen slutligen fallit på är dock den bristande informationssäkerheten hos leverantörerna vilket framgår tydligt i det beslut som Statens servicecenter tagit angående att avbryta .
Av de åtta anbudsgivarna föll sex bort på grund av de inte uppfyllde kraven på informationssäkerhet, en drog sig ur frivilligt och den enda kvarvarande blev för dyr.
Att informationssäkerheten varit en, med ett understatement, underordnad fråga i e-arkivsammanhang är för mig uppenbart både utifrån den enkät jag gjorde i våras och ännu tydligare i de frågor jag ställt till leverantörer.
De leverantörer jag frågat och där det finns en stark korrelation med de som lämnat anbud till Statens servicecenter har inte kunnat svara på en enda fråga gällande säkerhet alternativt har aktivt beslutat att inte svara.
Detta förhållande borde blivit känt även för Statens servicecenter.
Jag har vid förfrågan inte fått ta del av de säkerhetskrav som Statens servicecenter ställt men i dokumentet som offentliggjorts om upphandlingen visar att flertalet leverantörer som lämnat anbud inte kan visa upp ens den mest elementära styrning av säkerhet i sina tjänster.
För mig är det mest förvånande att Statens servicecenter under fyra år drivit ett projekt med syfte att tillgodose myndigheterna med en e-arkivtjänst inte under denna tid vare sig lyckats med att genomföra en relevant marknadsanalys eller med att förmedla information till leverantörerna om informationssäkerhetens betydelse.
Har man verkligen trott att leverantörerna jobbar med informationssäkerhet utan att man behöver betona det eller har man bara kört på trots indikationer på att det inte fungerar?
Och detta efter Transportstyrelsen och alla de diskussioner som förts om molntjänster och outsourcing?
Nu kan en kritisk läsare tänka att utfallet beror på att Statens servicecenter ställt alldeles orimligt höga säkerhetskrav.
Min bedömning är den motsatta.
De fallerande anbudsgivarna uppfyller inte ens elementära säkerhetskrav som till exempel att ha en informationssäkerhetspolicy eller kunna visa vilka säkerhetskontroller man genomför.
Som sagt; jag har ingen aning om hur säkerhetskraven formulerats i upphandling eftersom det sekretessbelagts.
Men om leverantörerna inte ens har ett LIS eller kan beskriva hur det egna säkerhetsarbetet är organiserat måste dialogen mellan upphandlande myndighet och leverantörer gått allvarligt fel.
Detta är dessutom en upphandling som skett med så kallat förhandlat förfarande där den upphandlande myndigheten inbjuder utvalda leverantörer och förhandlar om kontraktsvillkoren med en eller flera av dem.
Dialogen har syftat till att utforma krav och villkor för om hur en förvaltningsgemensam tjänst för e-arkiv på bästa sätt kan utformas.Under dialogen har sökande presenterat och preciserat sin lösning i enlighet med inbjudan till respektive dialogomgång.
Sammanlagt har sex (6) dialogomgångar .
Projektet har alltså pågått i fyra år med dialoger med hugade leverantörer.
Ändå har man inte fått leverantörerna att inse att de åtminstone måste ha en basal informationssäkerhet för att kunna bli aktuella.
För mig bekräftar det mitt intryck av att e-arkivfrågan på alla nivåer varit tämligen konsekvent isolerad frånt.
I den aktuella upphandlingen har det lett till ett ofruktbart resultat för kunder och leverantörer trots nedlagda resurser.
Vad värre är – att arbetet med att ta fram andra lösningar för e-arkiv avstannat hos myndigheterna och därmed en stor förlust av tid.
I sin till regeringen förklarar Statens servicecenter att man inte lyckats upphandla en tjänst som är ekonomiskt försvarbar i förhållande till investeringen.
Man menar sig dock ha vunnit så viktiga erfarenheter av sina fyra projektår att man vill att regeringen ska ge ett nytt uppdrag till myndigheten för att utreda en lösning där Statens servicecenter upphandlar licenser för drift och lagring hos en annan myndighet.
Jag menar att denna tummetott i form av någon typ av erfarenhet inte bör motivera regeringen att ge Statens servicecenter ett fortsatt uppdrag.
Istället bör Riksarkivet få ett uppdrag att ta fram en strategi för långtidslagring av digital information, d.v.s.
omfatta både mellan- och slutarkiv.
Detta ingår inte specifikt i den pågående arkivutredningens trots att det ändå måste uppfattas vara arkivsektorns kärnuppdrag.
Därför bör ett separat uppdrag om detta formuleras som inkluderar arkivteoretiska, informatiska, tekniska, juridiska och organisatoriska aspekter men även på ett djupare plan den informationssäkerhet som måste inarbetas i lösningen.
En mycket omfattande men oundgänglig uppgift för utredningen är också att ta fram strategier för att lagra de allt mer komplexa informationsinfrastrukturer som byggs upp med både offentliga och privata aktörer.
I dag tycks fortfarande e-arkiv ofta handla om att ”arkivera” enskilda system trots att det inte är så verkligheten ser ut.
Man kan tycka att detta i onödan drar ut på tiden men för mig är detta en nödvändig grund för det digitala långtidsbevarandet och i förlängningen det digitala samhället.
När utredningen är klar och beslut fattats om inriktning bör expertmyndigheten Riksarkivet vara beställare av de tekniska lösningarna där mellanarkivet kanske kan vara förlagt hos Försäkringskassan.
Slutarkivet måste dock, anser jag, finnas hos Riksarkivet.
I detta kan jag inte se att Statens servicecenter kan spela någon väsentlig roll.
Och återigen är mitt credo: är det någonstans informationssäkerhet behövs så är det i e-arkiv!
Den första frågan i min enkät var huruvida myndigheten, landstinget respektive kommunen tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1.
Det var en klumpigt formulerad fråga eftersom RA-FS naturligtvis bara gäller statliga myndigheter.
Min tanke var dock i all enkelhet att även om det inte finns en föreskrift om att planera sitt långsiktiga bevarande av digital information direkt riktad till den egna verksamheten så borde det ändå vara nödvändigt att ha en strategi för att kunna efterleva alla andra krav som finns på att informationen bevaras i exempelvis vårddokumentation.
För en arkivarie borde detta också vara kärnuppdraget: att ta fram en inriktning för det långsiktiga bevarandet.
För att friska upp minnet på de enstaka människor som inte har alla sina RA-FS:ar färskt i minnet så är kravet i 3 kap 1 § i RA-FS 2009:1 formulerat så här: 1 § Myndigheten ska upprätta en strategi för bevarande av elektroniska handlingar.
Av strategin ska framgå vilka åtgärder myndigheten avser att vidta för att säkerställa ett bevarande av handlingarna.
Åtgärderna ska dokumenteras i enlighet med 2 §.
Strategin ska fortlöpande kompletteras och hållas aktuell. . Med åtgärder avses hur elektroniska handlingar ska framställas, överföras, hanteras, förvaras och vårdas under den tid som de ska bevaras.
Myndigheten bör vid planeringen av system och rutiner, i enlighet med bestämmelserna i 6 § arkivförordningen (1991:446), samråda med arkivmyndigheten.
Därefter följer mer detaljerade krav på vad strategin ska innehålla men i min enkät nöjde jag mig att efterfråga själva befintligheten av en strategi.
Innan jag går vidare gör jag här en liten utvikning om förutsättningarna för ett långsiktigt bevarande.
En reflektion jag gör när jag läser Riksarkivets krav är inriktningen på system, teknik och handlingar.
Detta rimmar, menar jag, inte helt med kravet på en processorienterad arkivredovisning som finns i RA-FS 2008:4.
Till detta kommer de förvaltningsgemensamma specifikationerna som inte heller är processinriktade.
De e-arkivlösningar som presenteras som verkar vara helt inriktade på att lyfta över information från ett system till ett annat utan någon koppling till process såvitt jag kunnat utröna.
Jag är dessutom osäker på hur OAIS-modellen ska tillämpas i relation till processer.
Det framstår som det finns ett antal komponenter som det långsiktiga bevarandet ska bygga på men att dessa inte är helt koordinerade.
När jag läser de kravspecifikationer som tagits fram för e-arkiv verkar det vara de tekniska kraven som kommit i förgrunden och tyvärr på ett ganska daterat sätt.
Att prata om system i en tid då allt mer information hanteras i molntjänster kan få ganska ödesdigra konsekvenser för arkivbildnigen.
Det är synd för jag tror inte att de tekniska aspekterna är det som främst utgör ett hinder för att lyckas med ett långsiktigt bevarande.
Den här frågan går inte heller att hantera i bitar utan måste ses som en sammanfogad helhet som vilar på en solid teoretisk grund, och det är den grunden som jag uppfatta är undflyende i de resonemang som förs.
För mig som arkivteoretisk nörd skulle det optimala vara det processorienterade perspektivet var genomgående som strukturerande princip för att knyta ihop verksamhet och information, självklart ända in i det digitala långtidsbevarandet.
Konkret skulle vi kunna försöka utveckla proveniensbegreppet till att förutom den inre och yttre proveniensen även omfatta en processproveniens.
Proveniensen har ett antal funktioner för arkivbildningen som att ge informationen ett mervärde då den sätts i organisatoriska kontext, att skapa autenticitet och att ge oss de bästa möjligheterna för att kunna återsöka information.
Dessutom som redan den store Nils Nilsson underströk: de processuella värdena.
Om vi nu tar tanken med de processuella värdena och sammanför det med ett proveniensbegrepp i det långsiktiga bevarandet skulle vi kunna utveckla helt nya lösningar.
Det känns aningen pinsamt att dra upp gamla texter stup i kvarten men faktiskt skrev jag i Arkiv, samhälle och forskning redan 1997 en artikel, (AFS 1997:3 – det går tyvärr inte att länka till den) som försöker resonera om hur nya tekniska lösningar ändrar förutsättningarna för arkivteorins grundpelare.
Mycket i texten är kanske passerat men något som jag ändå tycker fortfarande förtjänar att poängteras är skillnaden mellan Müller, Feith och Fruins öppna förhållningssätt till vad som avgränsar den yttre proveniensen där de om och helhet.
I Sverige, till skillnad mot i andra länder, har arkivbildarbegreppet blivit manifest och alltid kopplat till en enskild organisation.
Om vi nu tittar på världen såsom den ser ut med snabba omorganisationer och en alltmer gemensam informationsinfrastruktur – borde vi inte då skruva upp processbegreppets betydelse och samtidigt något tona ner arkivbildarbegreppet för att uppnå det vi ska proveniensprincipen till?
Med dagens tekniska lösningar menar jag att detta vore fullt möjligt att både hitta lösningar som ger en bättre proveniens samtidigt som de skulle ge effektivitet och minskade kostnader.
För att ta ett enkelt exempel skulle det menar jag var betydligt bättre att identifiera ett antal större samhällsprocesser som varat över tid i olika former och redovisa informationen per process som första steg och därefter arkivbildare.
Ta exempelvis folkskolan som fram till 1930-talet hade kyrkan som huvudman, därefter staten och nu kommunerna medan verksamheten i huvudsak varit densamma.
För att ge bättre överblick och även proveniens skulle informationen kunna vara sökbar både per process och per arkivbildare.
Jag vill bara hinta med vad detta skulle innebära när det gäller vårdinformation där det idag är stora problem att avgöra vilken information som finns var och vem som är ansvarig för den.
Med en processorientering vid en omorganisation skulle det också vara möjligt att låta den digitala informationen vara tillgänglig både i den avslutade arkivbildningen och som överförd i den nya (ja, jag vet att man måste lösa utnämningsfrågan men det känns som ett mindre aber).
För det långsiktiga bevarandet menar jag att dessa frågeställningar har stor betydelse eftersom de både avgör arkivbildningens värde, möjligheten till återsökbarhet och inte minst ansvarsfördelningen.
Men låt oss lämna mina tankar i frågan och istället se hur de myndigheter, kommuner och landsting som svarat på enkät hanterat frågan.
Av de kommuner som svarat är det bara två som säger ett tydligt ”ja” på frågan om de tagit fram en strategi i linje RA-FS.
En handfull svarar att de gjort det som medlemmar i Sydarkivera, ytterligare några säger att de är på gång eller har strategisk inriktning i andra dokument men det absoluta flertalet uppger sig inte ha någon strategi.
Bland landstingen är det ingen av de svarande utom en region som anser sig ha en strategi motsvarande kravställningen i RA-FS 2009:1 men några har reglerat delelement i ett långtidslagrande som format.
Det man kan se i svaren är att många kommuner, landsting och regioner har försökt hitta olika typer av samarbetsformer för att gemensamt ta fram en inriktning där den mest framgångsrika tycks vara Sydarkivera.
Många respondenter uttrycker att frågan är svår att hantera autonomt eftersom man inte har kompetens eller resurser att ens utreda hur långtidsbevarandet skulle kunna gå till.
Och som någon påpekar ”Vi kommuner har ju ett speciellt förhållande till Riksarkivets föreskrifter.”, det vill säga att man kan välja att efterleva dem men det är inget tungt argument eftersom man inte är skyldig att följa dem.
är en imponerande ansats men inte heller den ger de svar som behövs.
Från myndigheterna har jag fått in svar där c.a.
50 myndigheter säger sig ha en strategi av vilka flertalet även bifogat strategin.
Det förekommer en hel del disclaimers av typen ”den har några år på nacken” eller ”vi håller på att omarbeta den”.
Ett antal myndigheter skriver också att de håller på att ta fram en strategi.
Det är ett rätt omfattande material att tränga igenom men det finns ändå några gemensamma drag som jag här ska sammanfatta i några punkter (observera att detta är generaliseringar – undantag finns).
Jag är också angelägen om att återigen understryka att frågans komplexitet som ställer nästintill orimliga krav de enskilda myndigheterna.
Först en glädjande observation: få myndigheter har idag som uttalad strategi att ta ut digital information i pappersformat för arkivering.
Visserligen förekommer detta fortfarande i verkligheten trots de mycket stora informationsförluster som detta leder till men nu är ambitionen åtminstone att komma vidare med ett kvalitativt bevarande av digital information.
De flesta strategier följer, föga förvånande, RA-FS:ens krav.
Efterlevnaden kan uppfattas som litet väl hörsam eftersom det i vissa fall blir en upprepning av vad som står i RA-FS med tillägget att ”det ska vi göra”.
Men det finns också många som gjort stora insatser för att beskriva hur den digitala informationen ska omhändertas konkret och i detalj.
Det gör att vissa av dokumenten kanske inte egentligen är strategier utan mer av riktlinjer eller instruktioner.
Genomgående är att myndigheterna har avgränsat scoopet för strategin till den egna verksamhetens verksamhetssystem eller förvaltningsobjekt trots att dagens e-förvaltning i allt högre grad innebär integrerade informationshanteringslösningar.
I de fall där det av strategierna ändå framgår att myndigheten ingår i myndighetsövergripande informationshantering nämns inte vad jag kunnat upptäcka hur detta ska hanteras arkivbildningsmässigt.
Jag kan inte se att eSam (en efterföljare till E-delegationen) ger någon vägledning i hur frågan ska omhändertas vare sig strategiskt eller operativt, teoretiskt eller .
Om jag ska utnämna en fråga som särskilt oroande är det just denna – att det skapas allt större allmänna handlingar där ansvaret för den långsiktiga hanteringen är till synes oklart.
Att för den enskilda myndigheten göra de utredningsinsatser som krävs för att lösa frågeställningen och därefter få accept på detta i ett större sammanhang framstår inte som en optimal inriktning.
Föreskriften är från 2009 och är som jag tidigare redovisat inriktad på system och elektroniska handlingar.
Det är sannolikt bakgrunden till att de strategier som jag tagit del av också är det.
Det handlar om verksamhetssystem, inte tjänster och inte heller processer, samt är i hel del fall länkade till myndighetens systemförvaltningsmodell.
Vissa formuleringar skulle kunna tolkas som att strategierna är tillämpbara även på tjänster.
Elektroniska handlingar kan förekomma även i tjänster och tjänster skulle kunna vara förvaltningsobjekt.
Sådana möjliga tolkningar verifieras dock inte i de mer instruktionslika tillvägagångssätt som ingår i strategierna.
Koppling till processorienterad arkivredovisning saknas ofta men man ser ansträngningar för att integrera arkivredovisning och bevarandeplaner (möjligen även klassificeringsstrukturer) på ett bra sätt men det framgår inte hur.
Trots det tekniska perspektivet är det svårt att se en verkligt strategisk inriktning i strategierna.
Man pekar ibland på att man valt en viss programvara eller en viss tjänst för lagring men inte för hur länge.
Ibland omnämns att överlämning till arkivmyndigheten inte är aktuellt, ibland berörs inte slutarkivering alls.
Sammantaget är jag imponerad av den kompetens som arkivarier lagt in i sina strategier.
Även om jag inte sett en strategi som jag tycker uppfyller alla krav så finns det en stor gemensam resurs i de många strategierna att crowd-sourca ur för att kanske skapa en gemensam linje.
Ur ett forsknings- och kulturarvsperspektiv finns det dock anledning att vara bekymrad.
Det finns en inte oväsentlig risk inte bara för att information inte arkiveras utan också för att den information som verkligen tas om hand kommer att sakna tillräcklig proveniens, kontext och återsökningsmöjligheter.
För mig är informationsförvaltning och informationssäkerhet nära sammanhängande frågor med många gemensamma förutsättningar och problem.
Det största gemensamma problemet är kanske att de sällan integreras sinsemellan och inte heller med det som kallas digitalisering.
Eftersom jag fått uppdrag att skriva en bok om dessa frågor började jag fundera på hur jag skulle få en bättre bild av hur sambanden ser ut i praktiken.
En fråga som utkristalliserade sig var e-arkiv som en del av informationsförvaltningen.
För att kunna förstå frågan på rätt sätt är det viktigt att först analysera betydelsen av ”arkiv” och därmed av ”e-arkiv”.
Trots att det både säljs och köps s.k.
e-arkivlösningar finns det ingen definition av vad detta skulle kunna vara.
Jag kommer att återkomma till denna fråga i ett senare inlägg men här nöjer jag mig med att utgå från att e-arkiv är en process för att långsiktigt bevara digital information med autenticitet, spårbarhet, konfidentialitet, sökbarhet samt med processuella värden i behåll.
Samtliga dessa krav kan finnas i olika grad beroende på den information som ska bevaras.
Den som delar min bedömning om vad ska ses som ett e-arkiv är sannolikt beredd på att acceptera att informationssäkerhet och e-arkiv har starkt inbördes beroende.
Min utgångspunkt är också att en stor del av allmänna handlingar ska bevaras över tid liksom en inte obetydlig del av den information som produceras i privata verksamheter.
Även om kraven på konfidentialitet och tillgänglighet i de flesta fall klingar av så är ändå slutsatsen att e-arkivlösningar måste kunna erbjuda minst lika bra informationssäkerhet som de digitala lösningar som hanterar informationens mer aktiva skeden.
För e-arkivet ökar istället kraven på autenticitet som kan sägas vara en kombination av spårbarhet och riktighet.
Genom den aggregering av information som planeras i många e-arkivlösningar ökar också kraven på att skydda mot obehörig åtkomst.
Utan att utveckla detta ytterligare så måste med dessa förutsättningar ett mycket aktivtomge e-arkiven med riskanalyser och informationsklassning m.m.
på minst samma nivå som för andra digitala lösningar.
I en allt mer digital värld är jag också mycket nyfiken på hur dessa frågor ska lösas nationellt och om vi inte måste tänka på ett annat sätt när det gäller det långsiktiga bevarandet än vad vi gjort när det gäller pappershandlingar.
För den oinvigde har Riksarkivet varit slutarkivet för de allmänna handlingar som produceras i statliga myndigheter som i långsam process likt sedimentering vandrar från aktivt skede via mellanarkiv till slutlagring.
Digitaliseringen gör hela denna process onödig, de digitala handlingar som ska bevaras för eftervärlden skulle kunna överföras till slutarkiv i samma ögonblick som de skapas och en kopia hanteras i verksamheten.
Ändå tycks tankegången fortfarande var densamma i praktiken och någon slags mellanarkiv för digital information byggas upp av Statens Servicecenter som outsourcar tjänsten till något av de stora leverantörerna.
Jag ställer mig frågande till hela tanken i detta, att tjänsten byggs upp inte av den myndighet med ansvar och kompetens inom arkivområdet utan en annan, men också inför hur erbjudandet eller påbudet uppfattas av de myndigheter som förväntas delta.
Detta är bakgrunden till att jag i början av 2018 skickade ut en enkät till samtliga myndigheter, regioner/landsting och kommuner med följande frågor: Har ni tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1?
Om ja skulle jag, om möjligt, vilja ta del av den.
Har ni en egen e-arkivlösning eller planerar ni att köpa en tjänst för det eller på annat sätt anlita utomstående?
Om ni planerar att köpa en tjänst eller anlita utomstående: ser ni det som ett mellanarkiv?
Vilken tidshorisont har ni för nyttjandet av tjänsten?
Har ni en Plan för informationssäkerhet enligt 6 kap RA-FS 2009:1?
Om ja skulle jag, om möjligt, vilja ta del av den.
Om/när ni tagit fram en egen e-arkivlösning alternativt anlitat utomstående för tjänsten, har detta då föregåtts av en riskanalys och informationsklassning?
Vilka är, som ni ser det, de viktigaste kraven på informationssäkerhet när det gäller e-arkiv?
Ur offentlighetsperspektivet är svarsfrekvensen dyster för detta är hur många som svarat till dags dato trots att förfrågan även innehöll en begäran om att få ta del av allmän handling: 62 kommuner (21 % av samtliga tillfrågade) 8 regioner/landsting (40 %) 86 myndigheter (24 %) Några noteringar kan göras rörande de svarande.
Bland kommuner är det påfallande att det snarare är de små kommunerna som ansträngt sig för att svara än de medelstora eller stora.
Bland myndigheterna har universitet och högskolor varit exceptionellt bra på att svara (75 %).
Av de myndigheter som ingår i eSam som är ”ett medlemsdrivet program för samverkan mellan 24 myndigheter och SKL.
Samarbetet syftar till att underlätta och påskynda digitaliseringen av det offentliga Sverige.” och som bland annat drivit på frågan om öppna data är det knappt hälften av de ingående myndigheterna som svarat på enkäten.
Här skulle man kanske kunna önska litet mer av att leva som man lär och en vilja att förmedla information även i praktiken.
Hela tanken så som den formuleras idag är att ett ”e-arkiv” på något sätt är en applikation i egen regi, i samverkan, hos en myndighet eller i form av en molntjänst.
Därför tyckte jag också att det var intressant att ställa frågor till olika typer av leverantörer hur de formulerat säkerhetskraven på sina lösningar.
Här var svarsfrekvensen extremt låg när jag ställde dessa frågor: Kan ni redovisa på vilket sätt ni arbetat med informationssäkerhet i tjänsten?
Vilka ser ni som de främsta informationssäkerhetsriskerna kopplade till tjänsten?
Kan ni erbjuda tjänsten på olika skyddsnivåer?
Är alla typer av information möjlig att hantera i dem?
Vilka krav ställer ni på eventuella underleverantörer?
Hur ser ni på ert ansvar i förhållande till användarna av tjänsten då det gäller att uppnå tillräcklig informationssäkerhet?
Har ni ett eget internt ledningssystem för informationssäkerhet (LIS)?
Har ni en utpekad informationssäkerhetsansvarig i er organisation?
Har ni ett eget standardförslag på personuppgiftsbiträdesavtal och är det i så fall möjligt för mig att få ta del av?
Är tjänsten planerad för att klara NIS-direktivet och civilt försvar?
Jag har på dessa frågor inte fått ett enda svar som inte varit av typen ”varför ställer du de frågorna” eller ”kan vi ta det per telefon istället”.
Statens Servicecenter var dock mycket snabba och tillmötesgående och skickade över kravspecifikationen de använt när de försökt upphandla tjänsten e-arkiv.
Min slutsats är att leverantörerna: Inte fått tydligt formulerade säkerhetskrav på sina tjänster Inte har tagit fram ett generellt presentationsmaterial som redovisar vilken säkerhet som deras tjänster erbjuder.
Att säkerhet i tjänsten inte är självklara frågor ser jag som mycket bekymmersamt och som en klar brist på mognad hos dessa tjänster vilket också komplicerar situationen för särskilt mindre organisationer som planerar att upphandla ett ”e-arkiv”.
I nästa blogginlägg kommer jag att redovisa de svar som inkommit från kommuner, landsting/regioner och myndigheter.
”Inget är så starkt som en idé, vars tid har kommit” skrev Victor Hugo.
Egentligen tycker jag att den nu inte längre så nya verksamhetsbaserade arkivredovisningen (RA-FS 2008:4) borde ha fått större genomslag i kommunsverige vid det här laget.
Visst, det är många kommuner som infört verksamhetsbaserad arkivredovisning och även börjat skruva till sina dokumenthanteringsplaner (a k a informationsförvaltningsplaner), men därifrån till att arkivredovisningen verkligen implementeras såväl tekniskt som verksamhetsmässigt känns vägen lång.
Kanske ligger en del av förklaringen i att arkivvärlden tidigare in behövt förklara saker för verksamheten på samma sätt tidigare.
I den gamla pappersbaserade världen (och den hängde med längre än många tror i den kommunala världen) skötte arkivarien eventuella sökningar efter avställda handlingar.
Hän behövde inte förklara så mycket för verksamheten och verksamheten behövde heller inte veta så mycket om hur söket faktiskt gick till.
I och med RA-FS 2008:4 tvingas arkivvärlden och resten av verksamheten mötas på ett helt annat sätt än tidigare.
Intentionerna med RA-FS 2008:4 är ju, vilket framgår tydligt av vägledningen ”Redovisa verksamhetsinformation”, att arkivredovisningen (och då främst klassificeringsstrukturen) ska styra informationshantering i såväl diarium som verksamhetssystem.
Denna intention stöder jag för övrigt till fullo!
Men…som säkert många av er som läser Fias blogg vet så är det lättare sagt än gjort att skapa dylika styrningar.
Förutom det hästjobb som många av er lagt ned på att beskriva verksamhetsprocesser, uppdatera dokumenthanteringsplaner, eventuellt försöka väva in informationssäkerhetsperspektivet (inklusive dataskydd) så ska ni dessutom lyckas få femtioelva systemägare, chefer m fl att förstå vikten av att detta arbete genomförs samt implementeras i diverse system/tjänster.
Jag är själv ingen ”äkta” arkivarie, utan har närmat mig disciplinen via diverse jobb inom informationshantering och verksamhetsutveckling.
Jag vill ändå tro att jag har lyckats förstå ganska mycket av RA-FS 2008:4 och vägledningen som nämndes ovan.
Jag var bland annat med och startade upp arbetet med att införa den nya arkivredovisningen hos Myndigheten för samhällsskydd och beredskap (MSB).
Redan då, 2011, kände jag att det var tufft att förklara det värde den skulle kunna tillföra verksamheten.
Det var snarare än fråga om att uppfylla Riksarkivets krav på myndigheten.
Eftersom det pågick ett arbete med att införa ett ledningssystem för informationssäkerhet (LIS) på MSB så väcktes idén att försöka slå två flugor i en smäll.
Tanken var att en dokumenthanteringsplan rimligen borde kunna beskriva hanteringsregler utifrån såväl ett arkivperspektiv som ett informationssäkerhetsperspektiv.
Många av de krav som ställs från respektive håll är trots allt överlappande.
Eftersom jag jobbat en tid på ett bolag som hette Astrakan och därför arbetet en del med processmodellering kändes det naturligt att försöka beskriva sambanden med hjälp av grafiska processer I och med Riksarkivets föreskrift (RA-FS) 2008:4 ska myndigheter i Sverige redovisa sina handlingar utifrån verksamhetens processer istället för enligt det gamla klassificeringsschemat från 1903.
Denna omvälvning har också på allvar börjat slå igenom i kommunsverige, vilket på många sätt är bra och egentligen bara en återspegling av den verkliga informationshanteringen.Dock upplever jag fortfarande, och jag tror att jag är i relativt stort sällskap, att det är svårt att pedagogiskt förklara för kommunens verksamheter hur arkivredovisningen kan hjälpa till att styra upp informationshanteringen annat än i själva arkivet.
Därför har jag tagit fram följande grafiska presentation.
Som så många andra som arbetar med informationssäkerhet läser jag nu med stort intresse den granskning som på regeringens uppdrag genomförts av Transportstyrelsens upphandling av förändrad it- .
Det finns ett antal faktorer till den olyckliga händelseutvecklingen som förtjänar uppmärksamhet och säkert kommer att fortsätta att penetreras.
En aspekt som jag menar borde analyseras närmare än vad som skett i granskningen är myndigheters (och även andra organisationers) behov av generell kontroll över sin information.
För mig framstår att ha kontroll över vilken information som finns i organisation samt hur den hanteras som den mest basala förutsättningen för att uppnå en fungerande informationssäkerhet.
För myndigheter är detta inte krav kopplat enbart till informationssäkerhet utan finns även i offentlighetslagstiftningen och i arkivlagen.
De allmänna handlingarna ska vara redovisade och snabbt återsökbara.
I praktiken innebär det att en myndighet (inklusive kommuner) måste ha kontroll över den information som skapas, inkommer och på olika sätt hanteras i verksamheten.
Det hjälpmedel som används för att skapa den eftersträvade kontrollen kallas ofta dokumenthanterings- eller informationshanteringsplan.
Det finns inget legalt krav på att ta fram dessa planer men realistiskt sett är det nödvändigt att ha den här typen av planer, oavsett vad de kallas, för att kunna systematiskt kunna beskriva vilken information som finns.
I fallet Transportstyrelsen skulle ett sådant verktyg kunnat ge ett bra stöd inför en eventuell outsourcing eftersom, rätt utformad, skulle planen ha identifierat vilken information som skulle ingå i upphandlingen och vilket krav på skydd ur olika hänseenden (säkerhetsskydd, personuppgifter m.m.)
som måste tillgodoses.
Mitt intryck är att många myndigheter inte har de informationshanteringsplaner som vore nödvändiga för kontroll av informationshantering.
De planer jag sett är ofta antingen fragmentariska (d.v.s.
omfattar endast delar av verksamhetens informationshantering) eller inaktuella.
Vanligt är också att de i alltför hög grad bara redovisar information som ser ut som ”dokument”.
Detta mitt intryck kan vara helt fel men jag tycker det vore en angelägen uppgift för Riksarkivet att utreda och göra till en prioriterad fråga.
Med konsekvent användning av informationshanteringsplaner skulle inte bara offentlighets- och arkivbehovet kunna tas om hand utan det skulle också kunna utgöra ett väsentligt steg mot en stärkt informationssäkerhet.
Och vara ett konkret samarbetsområde för informationssäkerhetsmänniskor och arkivarier!
I all enkelhet tror jag inte att svensk förvaltning kommer att klara den pågående digitaliseringen utan betydligt bättre samordning, i annat fall kommer händelser liknande den på Transportstyrelsen att bli återkommande.

Det är närmast en tradition att arkivutredningar inte kommer fram till något särskilt.
Att även är som en kompass utan visare ska kanske därför inte dömas för hårt.
Istället får vi tacka för det redovisande innehållet och söka de nödvändiga lösningarna på organisation och vision för hur det långsiktiga bevarandet av information ska ske på annat håll.
Själv pläderar jag återigen för framtagandet av en arkivstrategi där både vägval görs om vad som ska ses som ingående i arkivområdet och alla de spretiga som frågor som ändå kommer att återstå knyts ihop i en rörelse framåt.
Framför allt borde INGEN kunna blunda för att det ännu inte finns någon plan för hur all den information som skapas idag ska bevaras med kvalitet, säkerhet och autenticitet för framtiden.
Detta gör att övriga arkivfrågor i min värld framstår som petitesser.

demokratiaspekter genom insyn och transparens forskningens tillgång till information på lång och kort sikt förtags behov av råvara till olika typer av tjänster inklusive AI juridiska, organisatoriska arkivteoretiska, tekniska Om vi särskiljer lagring och arkiv innebär arkiv den slutliga förvaringen av information som ska bevaras i hundra-, ja tusentals år.
Att införa e-arkiv är alltså inte något som kan vidtas med en händelsehorisont på tio år.
I den svenska myndighetsvärlden råder en viss begreppsanarki där ”arkiv” kan betyda olika saker som en lokal, en institution och en myndighets bestånd av allmänna handlingar vilket jag skrivit om bland annat En myndighet (inklusive kommuner och regioner) skapar och tar emot stora mängder information av vilka en del utgör allmänna handlingar som enligt huvudregeln ska bevaras för framtiden såvida inte ett formellt gallringsbeslut upprättas som sätter en gallringsfrist.
Gallring kan alltså ske efter olika lång tid vilket gör att viss information ska sparas för all framtid medan annan kan gallras efter viss tid.
För pappersbunden information har man därför ofta skapat för att avställa inaktuell information i väntan på långtidsbevarande respektive gallring.
Det är arkivmyndigheten som i huvudsak ska fatta gallringsbeslut.
Här finns dock en mycket stor skillnad mellan statliga myndigheter och kommuner/regioner.
För statliga myndigheter är Riksarkivet arkivmyndigheter medan i kommuner och regioner är deras egna styrelser som utgör arkivmyndigheter En arkivmyndighet har inte bara uppgiften att fatta gallringsbeslut utan även ansvaret för bland annat arkivvård och tillsyn.
I det nu aktuella sammanhanget är det en central förutsättning att när en arkivmyndighet tar hand om ett arkiv så är det också arkivmyndigheten som ”äger” arkivet.
Arkivmyndigheten ansvarar för utlämnande av allmänna handlingar och den ursprungliga arkivbildaren (d.v.s.
myndigheten som lämnat in) kan inte hålla på att rumstera om i informationen.
Trots att arkivredovisningen ska vara processorienterad och att vi idag har stora sammanhängande informationsinfrastrukturer med ett otal antal bärare är e-arkivfrågan fortfarande inriktad på att överföra informationsmängder från enskilda system för arkivering.
I den enkät jag gjorde 2018 bland myndigheter, kommuner och regioner var ett starkt intryck att e-arkivfrågan inte i någon högre grad kopplats samman med informationssäkerhet.
Få att de tillfrågade hade gjort informationsklassningar och riskanalyser, ännu färre kunde redovisa säkerhetskrav att ställa på e-arkiv.

autenticitet riktighet giltig bevisvärde mellanarkiv en

Meny Arkivfrågor Inläggsnavigering

Den långsiktiga hanteringen av information Den nya informationsinfrastrukturen Den krympande andelen allmänna handlingar Information som samhällsresurs Bristande relation till näraliggande områden En strategi för den svenska arkivverksamheten Bakgrund Vad skulle då upphandlas?
SKI Slutsatser

MENU MENU Postat av Postad i , , , Tagged , , Postat av Postad i , , Tagged , , , Postat av Postad i , , Tagged , , , , Postat av Postad i , , , Tagged , , , Postat av Postad i , , , Tagged , , , , , , Postat av Postad i , , Tagged , , , Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , Tagged , , , , , , Postat av → Postad i , , Tagged , , , , Postat av Postad i , , , Tagged , , ← Sök efter:

En myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap.
12 § tryckfrihetsförordningen och som myndigheten beslutar ska tas om hand för arkivering.
Det övergripande syftet är att säkerställa samhällets tillgång till allmänna handlingar både nu och i framtiden.
Härifrån till evigheten Om informationstekniskt bevis Juridik som stöd för förvaltningens digitalisering authenticity integrity Allmänna råd Arkivbildarbegreppet och proveniensprincipen under press?
adminstrative bodies Göteborgs Stads föreskrifter och riktlinjer om arkiv- och informationshantering Detta är ett gästinlägg av Fredrik Granholm, verksamhetsarkitekt i Sollefteå kommun.

Antalet konsulter har tillväxt kanske inte explosionsartat men massivt under de senaste decennierna.
Det skulle föra för långt att ta upp alla bakomliggande orsaker till detta i ett kort blogginlägg.
Jag tänkte istället ägna mig åt litet självspäkning så här i slutet av sommaren och resonera litet om informationssäkerhetskonsulter och vilken eventuellt nytta eller skada vi kan bidra till.
För dessa resonemang har jag inte något specifikt stöd gällande konsulter inom informationssäkerhetsområdet men utgår från forskning angående managementkonsulteri generellt.
Tankarna som presenteras nedan bygger dock främst på mina egna erfarenheter från båda sidor upphandlingsbordet samt av de studier av de palimpsestlika konsultinsatser som man alltför ofta stöter på som konsult.
Det vill säga de ofta flerfaldiga lager av tidigare uppdrag som inte lett till något varaktigt säkerhetsarbete men som lever kvar som bortglömda power points, ibland regelverk som är copy paste ur standarden och som resignation i organisationen: ”vi har ju redan försökt och det gick inte”.
Marknaden för informationssäkerhetskonsulter har som sagt växt.
Många organisationer, både privata och offentliga, ser behov externa specialister för att förbättra sin säkerhet.
Men flera faktorer försvårar redan i upphandlingsskedet.
En sådan faktor är att det är marknad där ”varan” saknar en tydlig definition för vad ska egentligen en sådan konsult ha för bakgrund och kompetens?
När det inte ens finns en tydlig överenskommelse om vad informationssäkerhet ÄR och än mindre krav på enhetliga utbildningar med fastställt innehåll så är förvirring en självklar konsekvens.
Vanligaste förvirringen är sammanblandningen av informations- respektive it-säkerhet där både leverantör och kund ofta har inriktning på teknisk säkerhet snarare än den organisatoriska säkerhet som är grunden för informationssäkerheten.
Leverantör och kund kan med denna bakgrund ha helt olika uppfattningar om vad som ska levereras.
Genomgående har leverantörer ett kunskapsövertag – det är ju de som förväntas sitta på expertisen.
Om kunden inte har gjort ett ordentligt förarbete med analys av vilken typ specialiststöd man egentligen behöver kan leverantören på olika sätt styra vad som faktiskt kommer att levereras.
Detta moment 22, att man har alltid för litet intern kompetens för att kunna beskriva vad som behövs innan man har upphandlat kompetens, gäller inte bara för enskilda organisationer.
Under åren har jag sett ett rätt stort antal gemensamma ramavtal som haft samma brist.
Upphandlingen tycks formad av önskan att hitta en informationssäkerhetens Mary Poppins som bara glider in och fixar till saker utan att besvära organisationen.
Resultatet blir bland annat att rena teknikföretag kan kapa åt sig uppdrag där organisatorisk kompetens är helt nödvändig.
När ingen annan kan beskriva vad en ”informationssäkerhetsspecialist” är och vad som krävs för att arbeta som en sådan är det naturligtvis ett omöjligt krav att ställa att just den upphandlande organisationen ska göra det.
I ett antal upphandlingar och även anställningsförfarande har varit med om att några yrkesgrupper anser sig kompetenta även om de aldrig arbetat med informationssäkerhet, läs militärer och poliser.
Tidigare har jag skrivit om att informationssäkerhet fortfarande i hög grad är en erfarenhetsbaserad kunskap där juniora utövare lär sig av seniora dito.
Men hur ska krav på denna typ av erfarenhet ställas i en upphandling och hur mycket enklare vore det inte med någon typ av examen kompletterad med praktik under x antal år?
Under senare år har det dykt upp krav på att konsulter ska vara certifierade.
Detta menar jag är ett attraktivt villospår.
De certifieringar som ofta refereras till lider dels av att vara utformade främst för amerikanska förhållande, dels ha teknisk inriktning.
Det är inte till mycket hjälp när man ska få till en organisatorisk styrning i en svensk kommun eller myndighet.Själv skulle jag alltid ge företräde till en konsult med akademisk examen i samhällsvetenskapliga ämnen framför någon med aldrig så många certifieringar men utan examen.
Ett trick som ibland har använts när upphandlingarna inte varit tillräckligt tydliga i kraven är att leverantören erbjuder en senior konsult men det sedan i praktiken blir juniora konsulter som får genomföra uppdraget.
Till viss del kan sådana ageranden uppmuntras genom upphandlingens konstruktion och hur man hanterar dilemmat att å ena sidan försöka uppnå en trygg leverans av konsultkraft från leverantören, å andra sidan få tillgång till verkligt kvalificerade konsulter.
Om betoningen läggs på att leverantörens förmåga att leverera kvantitet finns det en risk att konsulter ses som utbytbara.
En annan nackdel är att mindre leverantörer utesluts från möjligheten att lämna anbud.
Med risk att trampa folk på tårna är min erfarenhet att många av de mest kvalificerade konsulterna inom informationssäkerhetsområdet väljer att starta eget eller att arbeta i mindre bolag så att satsa på kvantitet i upphandlingen kan leda till att man kanske missar kvalitet.
Sedan är den upphandlingstekniska utformningen som ska formulera vad kunden prioriterar.
Ska man göra en bred utannonsering eller räcker det med att vända sig till några få leverantörer?
Är det priset, kvaliteten eller tiden som är viktigast?
För offentliga organisationer finns också omfattande regelverk som LOU att följa när det gäller den här typen av frågor.
Ett mer grundläggande problem är hur man egentligen ska prissätta konsulttjänster.
Fortfarande är den vanliga linjen att man använder timpris vilket är förståeligt men ofta vilseledande.
För en duktig konsult kan naturligtvis leverera mycket mer kvalitet på kortare tid än en mer orutinerad.
Ur kundens synvinkel får man alltså mer kvalitet till lägre pris om man väljer en dyrare konsult (under förutsättning att den dyrare konsulten verkligen är bättre).
Det rimliga vore att sätta priset utifrån nyttan som levereras till kunden oavsett hur lång tid det tar att utföra uppdraget.
Nu är det ofta så att upphandlingar görs av ett visst antal timmar vilket om det kombineras med alltför stor betoning av timpriset leder till att kunden får en sämre konsult till ett högre sammanlagt pris.
Jag menar också att det fordras en ansenlig mängd icke-fakturerbar tid för att utveckla sin kompetens och hålla sig uppdaterad vilket påverkar det som blir timpris ut.
För en medveten kund bör detta vara en aspekt värd att noggrant analysera innan upphandlingsunderlag skickas ut.
Kunder väljer ofta att upphandla x antal timmar eller ett fastprisuppdrag för att få kontroll och inte en löpande räkning utan slut.
Själv brukar jag istället föreslå att kunden köper en timbank med fritt avrop.
Då ligger makten hos kunden som inte behöver avropa fler timmar än man faktiskt använder och dessutom, om man inte trivs med konsulten, kan kunden på ett smidigt sätt avsluta relationen.
Eftersom det ofta är svårt att avgöra hur omfattande uppdraget blir innan man börjar med en mer konkret planering så ger detta kunden en flexibilitet som på ett avgörande sätt kan minska kostnaderna för uppdraget.
Jag tycker också det är rimligt att leverantören tar risken i affären eftersom man har kunskapsövertaget och möjligheten att påverka uppdragets utförande.
Det handlar ju också om att ställa krav som går att utvärdera på ett bra sätt vilket ju är något enklare för tekniska prylar än då man ska köpa mänsklig kompetens.
Kompetensen är som sagt svår att beskriva vilket leder till att den är även är svår att kontrollera.
Med beaktande att kunden ofta inte har möjlighet att göra en riktigt rättvis bedömning så tycker jag ändå att det finns vissa krav som kan leda till en bättre uppfattning om vad leverantörens erbjudande innebär.
Exempelvis skulle jag numera som kund ställa krav på exakt vilka konsulter som är aktuella i anbudet samt efterfråga skriftprov och andra underlag som just dessa konsulter skrivit.
Vid referenstagning skulle jag försöka tala med andra än den eller de som konsulten arbetar närmast hos en tidigare uppdragsgivare eftersom jag upplever att det är rätt vanligt att det finns en aningen symbiotisk relation mellan exempelvis informationssäkerhetsansvarig hos kunden och konsulten.
Kunden bör också få möjlighet att träffa den tilltänkta konsulten för att skaffa sig en bättre bild av personen och det intryck den ger.
Särskilt vikt bör i samtalet läggas vid vilken faktiskt erfarenhet av och förståelse för kundens verksamhet som konsulten har.
Utan denna förförståelse kommer kunden att få betala för leverantörens kompetenshöjning då konsulten måste sätta sig in i förutsättningarna för kundens organisation.
Men inte ens dessa varianter på krav garanterar på något sätt att man hittar ”rätt” konsult.
Inte bara kunden behöver göra analyser av chansen/risken för att uppdraget avlöper framgångsrikt.
Även leverantören har all anledning att försöka klargöra hur redo kundens organisation är för genomförandet av det aktuella uppdraget.
Inte så sällan tackar jag nej till uppdrag.
Det kan handla om att kunden har satt en alldeles för snäv tidsram för att de organisatoriska åtgärderna ska hinna tas fram, processas, beslutas och genomföras eller att jag inte uppfattar att ledningen verkligen är beredd på vad som kommer att vara nödvändiga förutsättningar.
Om ett avtal sluts uppstår omedelbart ett antal nya frågeställningar.
En del av dem uppkommer genom att leverantören och kunden inte har riktigt samma intressen.
Många leverantörer är starkt inriktade på att genomföra uppdrag på sitt sätt, inte minst därför att det lönar sig bättre att ”ta från hyllan” än att utveckla saker tillsammans med kunden (såvida man inte har uppdrag på löpande räkning).
Att vara alltför lyhörd och explorativ kan äventyra vinsten i ett fastprisuppdrag med definierad leverans men även uppdrag med begränsat antal timmar.
Juniora konsulter är också av naturliga skäl rädda att släppa sargen och överge mallar som tagits fram av arbetsgivaren.
För en konsult är det också en svår balansgång mellan att göra för mycket alternativt för litet.
Det är ofta svårt frestande att ta över alltmer avt, alldeles särskilt om förväntan finns på att man ska vara Mary Poppinslikt allfixande.
Det är praktiskt för konsulten eftersom man då kan genomföra arbetet på sitt sätt vilket gör att man har kontroll och det på ett sätt går snabbare.
För kunden kan det dock bli en nackdel om konsulten blir alltför dominerande eftersom man då riskerar få en leverans som inte är avpassad för verksamheten och att behovet av att bygga upp egen kompetens försummas.
Om detta finns mycket mer att skriva men eftersom det är sommar och sol får det vänta till ett senare tillfälle.
Jag tror att vi måste bli mycket mer öppna om att det är svårt både att vara kund och att vara leverantör när det kommer till att upphandla konsulttjänster.
En förbättrad dialog i de enskilda uppdragen där konsulten är följsam och öppen inför hur kunden uppfattar leveransen höjer kvaliteten inte bara i uppdraget utan kan bidra till en långsiktig utveckling av branschen.
Ja, det verkar självklart men vid ett stort antal tillfällen har jag träffat på kunder som varit missnöjda med tidigare konsult men inte tyckt sig kunna nå fram utan istället valt att så snabbt som möjligt avsluta uppdraget.
Vi måste också ha diskussioner generellt om hur man får till en bra upphandling där kund och leverantör har samförstånd om vad och hur uppdraget ska levereras och med vilken kompetens.
Kanske kan informella men allmänt accepterade paketeringar av olika typer uppdrag tas fram.
Detta försvåras dock av att det inte finns någon sammanhållande branschorganisation.
En flink människa skulle ju också kunna ta fram en ratingsida där olika konsultinsatser betygssätt ungefär som ett restaurangbesök – det vore nog smärtsamt men nyttigt för många av oss.
Det är högintressanta tider då vissa frågor ställs på sin spets.
I min begränsade värld är en av dessa frågor det så kallade e-arkivet, denna företeelse så omgiven av förväntningar och föreställningar.
Under den senaste tiden har två stora händelser timat inom området: Statens servicecenter misslyckades med sin upphandling av e-arkiv och SKL Kommentus Inköpscentral (fortsättningsvis kallad SKI) lyckades med sin.
Det kan tyckas vara två mycket likartade händelser men ju mer man gräver så framstår skillnader allt tydligare.
Jag är ju en enkel konsult vars främsta uppgift är att försörja mig men eftersom jag misstänker att ingen annan bättre lämpad funktion tänker göra någon analys av varför det gick som det gick fattar jag ändå pennan/tangentbordet.
En brasklapp är naturligtvis att jag inte har den tid och de resurser som krävs för att göra en fullständig analys utan att jag enbart kommer att ta upp vissa aspekter som särskilt intresserar mig och då främst säkerhetskraven.
I ingetdera fallet kommer jag att kommentera de konsulttjänster som ingår i upphandlingarna utan endast upphandlingen av själva tjänsten eller applikationen.
För att förstå dessa upphandlingar behöver några basala förutsättningar slås fast.
Något som är självklart för den med litet insikt i arkivfrågor är att lagring av digital information inte täcker begreppet e-arkiv.
Här finns dock inte utrymme att gå igenom alla intrikata aspekter men låt mig poängtera vissa grundläggande frågor: Ovanstående punkter sammantaget med att Riksarkivet, för att uttrycka det milt, inte är direkt sugna på att ta emot digital arkivinformation och det inte heller finns en övergripande strategi för den långsiktiga nationella arkivverksamheten försätter myndigheterna i en svår situation.
Man har helt enkelt en exponentiellt växande digital informationsmängd att långsiktigt ta hand om utan det finns tydliga lösningar för hur det ska ske.
Förutom myndigheters, kommuner och regioners vånda så är vi nog en hel del som känner en stor oro på samhällsnivå för de stora informationsförluster vi riskerar att göra.
En informationsförlust som inte bara är ett stort hot mot dagens och framtida forskning utan också för vårt gemensamma minne.
Det finns naturligtvis enstaka ljus i mörkret som Sydarkivera som förtjänar att lyftas fram men som helhet ser det tämligen mörkt ut.
Det är alltså i denna kontext som de två upphandlingarna ska sättas in och som kanske kan ge en förklaring till varför de utfallit som de gjort.
Inledningsvis kan slås fast att de två upphandlingsprojekten knappast kan ha haft mycket samröre.
Olikheten i synsätt och begrepp är iögonfallande trots att det i båda fallen handlar om offentlig sektor och delvis överlappande verksamheter.
En sak är dock den samma för båda upphandlingarna: det handlar inte om att upphandla en lösning för det långsiktiga arkivbehovet.
I stället uppfattar jag det mer som att göra en quick fix i väntan på något mer bestående.
Det är alltså möjligen lösningar för mellanarkiv vi pratar om där information av olika karaktär (allmänna handlingar och annat) lagras under en i arkivperspektivet begränsad tid för att därefter gallras, rensas eller föras över till en slutförvaring.
Såvitt jag kan se handlar också lösningar om överföring från system till system eller från system till tjänst, ingen inriktning mot ett mer infrastrukturellt tänkande finns med.
Jag är inte förvånad över detta men vill ändå betona detta.
Trots likheten i behov har SSC och SKI hamnat i två helt olika upphandlingar.
SSC har sedan 2014 bedrivit sitt upphandlingsprojekt där också ett antal statliga myndigheter deltagit och varit utsedda som ”pilotmyndigheter” (bakgrunden finns ).
Utifrån regeringsuppdraget lämnades en första delrapport 2015 med ett förord signerat både av SSC:s GD och riksarkivarien.
Jag vill inte undanhålla läsaren sammanfattningen i rapporten som var följande (felstavning inkluderad): Det finns goda förutsättningar för att skapa en förvaltningsgemensam tjänst för e-arkiv.
· Det blir en minskad investeringskostnad och en besparing för staten som helhet.
· Bara genom att etablera ett gemensamt e-arkiv istället för sju separata för pilotmyndigheterna, sparar staten flera tiotals miljoner kronor.
· Det finns etablerade arbetsätt för e-arkivering · Marknaden är mogen och det finns system och leverantörer.
· Sju pilotmyndigheter har skrivit på en avsiktsförklaring om att ansluta sig till tjänsten.
Förutsättningar för fortsatt arbete: · Regeringen behöver undanröja de juridiska hindren genom en förordningsändring.
· Statens servicecenter (SSC) och Riksarkivet förordar att projektet går vidare till krav- och upphandlingsfas, under förutsättning att regeringen bidrar med tillräcklig finansiering.
Även den som är luttrad från digitaliseringsprojektens närmast obligatoriska glädjekalkyler kanske ändå hoppar till litet vid sådana diffusa fördelar som att staten ska ”spara flera tiotals miljoner kronor”.
Konstateranden som att det finns en mogen marknad för e-arkiv och dessutom etablerade arbetssätt för e-arkivering känns idag 2019 som önsketänkanden och var det ännu mer 2015.
Det var utgångspunkterna för projektet som visserligen har haft riksarkivarien som styrgruppens ordförande och en stilig projektdokumentation men som ändå slutade i att upphandlingen av en nationell molntjänst avbröts strax före jul 2018.
Vad SSC under fyra år försökt upphandla är alltså en molntjänst för ett stort antal myndigheters e-arkiv (om man ser till de tillväxtstaplar som presenterats i projektet): Den ”tjänst” som Statens servicecenter efterfrågar i denna upphandling är således att betrakta som en sammanhållen leverans och ska inte förväxlas med begreppet ”Software as a service” (SaaS).
Skillnaden är att den grundläggande arkivmjukvaran upphandlas i form av en programvarulicens medan de övriga delarna i leveransen upphandlas som en tjänst på månadsbasis.
Istället för en normal upphandling av molntjänsten valde SSC att göra en så kallad konkurrenspräglad dialog.
Statens servicecenter har valt konkurrenspräglad dialog som upphandlingsförfarande då det inte är möjligt att utforma samtliga krav på tjänsten i förväg.
Med tanke på komplexiteten i uppdraget och de rättsliga förutsättningarna krävs dialog med erfarna leverantörer för att slutgiltigt utforma kraven.
Detta är enligt mig en mycket svår upphandlingsform inte minst när det gäller applikationer och molntjänster.
För att kunna styra en sådan upphandling krävs en mycket fast hand från kunden för att inte hamna på olika typer av grynnor och skär.
När då kunden redan inledningsvis skriver att man inte kunnat utforma kraven på tjänsten känns den fasta handen rätt avlägsen.
Som säkerhetsintresserad börjar man skruva på sig; att upphandla en nationell molntjänst med en glidande kravspec känns…obehagligt.
Låt oss då se på säkerhetsinriktningen i SSC:s konkurrenspräglade dialog.
För det följande är det viktigt att ha i åtanke att syftet med processen att nå fram till leverantör av en molntjänst, d.v.s.
en tjänst där stora mängder offentlig ackumuleras.
Kravet på tjänsten har varit att den ska kunna hantera den information som kundmyndigheterna väljer att stoppa in, även sekretessreglerad information.
Däremot inte hemliga handlingar: den förvaltningsgemensamma tjänsten för e-arkiv ska inte dimensioneras för hantering och lagring av hemliga uppgifter och handlingar.
Hemliga uppgifter och handlingar ska därför fortsatt, och av kundmyndigheterna själva, förvaras på annat sätt e-arkivet som sådant bör betraktas som säkerhetskänslig verksamhet – av betydelse för rikets säkerhet.
Detta bland annat mot bakgrund av de stora informationsmängder, från många myndigheter, som ansamlas i lösningen och de konsekvenser som till exempel ett bortfall av tjänsten skulle kunna medföra för berörda verksamheter – och för samhället Redan här väcks många frågor.
Om man ser det potentiella e-arkivet som en säkerhetskänslig verksamhet enbart p.g.a av att det ansamlas stora informationsmängder varför då utan närmare argumentation välja en lösning som leder just till detta?
Följden av beslutet har blivit att man valt att göra en upphandling med krav på säkerhetsskyddsavtal på nivå 1, alltså den högsta nivån.
Detta ställer stora krav på leverantören som att införa en säkerhetsskyddsorganisation, att välja vissa specifika säkerhetslösningar och att införa utvidgade säkerhetskontroller av anställda.
Förutom att säkerhetsskyddsåtgärderna av naturliga skäl kan minska effektiviteten i lösningen innebär ökade kostnader och därmed ökat utpris för kunden.
Det innebär minskad integritet för anställda och i många fall även fördyrande krav i kundens egen verksamhet.
I detta fall ställer jag mig också tveksam till på vilket sätt e-arkivet om det inte upprätthåller tillgängligheten skulle utgöra ett hot mot Sveriges säkerhet liksom att antagonistiska hot skulle vara den primära risken (jag går inte djupare på den nya lagens syn på riktighet och tillgänglighet eftersom den är i bästa fall oklar).
Om detta synsätt sprids, d.v.s.
att det visserligen inte är säkerhetskänslig information som kommer att hanteras i lösningen men vi kommer ändå att använda SUA, så kommer i princip varenda molntjänst som används i offentliga uppdrag av privata och offentliga aktörer att falla under säkerhetsskyddslagen.
Om säkerhetsskyddslagens syfte är att skydda ”det mest skyddsvärda” så kan vi inte låta det gå inflation i tillämpningen så att den blir det nya normala.
Jag vill bara framföra ett milt: sansa er och försök tänk på konsekvenserna av detta (även om utredningen som ny säkerhetsskyddslag hade en ytterst sangvinisk konsekvensanalys, återkommer till det i ett senare inlägg).
Det kanske mest häpnadsväckande är att informationsklassning och skyddsnivåer inte nämns vare sig i inbjudan eller bilagan.
Utan kommentar förutsätts alla myndigheter ha samma behov av säkerhet och kravs ställs inte på leverantören att kunna leverera tjänsten på olika fastställda skyddsnivåer.
Min fundering blir då vem som blir riskägare i det här konceptet om kundmyndigheten inte kan påverka tjänsten.
Detta känns igen från SSC:s övriga tjänster vilket jag ser som ett grundproblem med hela konstruktionen.
Förutom detta ställde SSC även krav på certifiering mot ISO 27001 eller motsvarande icke-certifierat ledningssystem, SOA samt beskrivning av säkerhetskontroller.
Detta är ett krav som måste finnas med men som i praktiken, enligt min erfarenhet, inte utgör en garant för ett väl fungerande säkerhetsarbete.
Hunnen så här långt i genomgången av upphandlingen pockar två frågor på.
För det första har SSC begränsat antalet möjliga leverantörer mycket starkt.
Fyra års utredande borde ha gett en marknadsanalys som påvisat att det finns mycket få svenska leverantörer som kan eller vill leverera på dessa villkor.
Historien visar ju också att endast en leverantör återstod när upphandlingen avslutades.
Den andra frågan är varför denna upphandlingen sker över huvud taget.
Ett alternativ hade varit att gå ut i en vanlig ramavtalsupphandling där Riksarkivet kunnat bistå med expertkunskap på samma sätt som de nu gjort i SSC:s upphandling.
Vad exakt tillför SSC som inte myndigheterna skulle kunna få i en direktrelation med leverantörerna?
Eftersom man då skulle kunna få fler leverantörer skulle förhoppningsvis den koncentration som påkallat säkerhetsskydd kunnat undvikas (ja, här ligger en mycket, mycket större fråga om den totala mängden tjänster hos leverantörerna och ramavtalens oligopolskapande kraft men jag hinner inte ta den nu).
Till detta kommer en bilaga med ganska ordinära säkerhetskrav.
Några reflektioner kan dock göras.
Påfallande många av kraven är inexakta av typen att leverantören ska beskriva vilken säkerhetsfunktionalitet finns.
En förvånansvärt stor andel av det som kan kallas säkerhetskrav ägnas åt fysisk säkerhet.
Och som sagt: nivåer saknas.
Sammantaget skulle det skapa stora svårigheter för kundmyndigheten att bedöma vilken den faktiska säkerheten i leveransen blir.
Om man summerar SSC:s kravbild inklusive orimliga krav som att leverantören ska ha erfarenhet av att tillämpa Riksarkivets FGS i praktiska lösningar vilket i princip är en omöjlighet eftersom det knappt finns några FGS:er så undrar jag om SSC verkligen velat ha en leverantör.
I förtroende har leverantörer förmedlat att har saknats dialog trots den upphandlingsform som valt och som bygger på just dialog.
Trots att endast en leverantör återstått under det sista året har upphandlingen rullat på och därefter avslutats bland annat med motiveringen att det var för få leverantörer.
I upphandlingsunderlaget återkommer följande formulering: Under avtalstiden kan uppdraget komma att begränsas eller på annat sätt förändras med anledning av författningsändringar eller förändrade uppdrag för Statens servicecenter.
Bland annat kan det bli aktuellt för statliga myndigheter att ansluta till en så kallad statlig molntjänst.
Med tanke på att företrädare för SSC ofta vädrat en önskan om att få uppdraget att ta över statlig it-drift och skapa en statlig molntjänst så kan inte tanken att angelägenheten att få affären i hamn kanske inte var helt odelad helt viftas bort.
SKI:s upphandling är en förnyad sådan så man får anses ha mera erfarenhet på området än SSC.
Av teoretiska och praktiska orsaker är jag tilltalad av SKI:s inriktning att använda definitionen ”funktion för e-arkivering” även om det finns aningen av ironi i motstridigheten när funktionen beskrivs som I definitionen av funktionen för e-arkivering beskrivs e-arkiv i termer av vad e-arkivet ska klara av, vilka behov som ska tillgodoses, snarare än vilka funktioner som ska finnas.
Detta är en betydligt mer öppen upphandling i meningen att det finns möjlighet för kunderna att använda avtalet både för att kunna köpa en molntjänst och för att köpa en applikation för egen drift.
I alla fall hypotetiskt minskar det risken för den koncentration som föranledde kravet på SUA för SSC.
SKI har alltså valt att inte göra en SUA, helt korrekt enligt mig.
Det ger också kunden möjlighet att lägga till egna säkerhetsåtgärder i en applikationsdrift och anpassa applikationsdriften till egna skyddsnivåer.
Att flera leverantörer finns på ramavtalet minskar inte bara koncentrationen av information utan gör också lättare att välja en leverantör som motsvarar den egna kravbilden utöver det som står i ramavtalet.
Jag tror (med betoning på tror) att ramavtal är en bättre lösning även ur säkerhetssynpunkt om det är oklart vad en mellanliggande myndighet ska tillföra eftersom kunden då har möjlighet att ha direktkontakt med leverantören.
Applikationsdrift i all ära men för mindre verksamheter kan molntjänster innebära en mycket bättre säkerhet än vad man kan skapa själv (har redan skrivit om detta ett antal gånger så jag vevar inte argumentationen ytterligare en gång).
Inte heller i SKI:s upphandling finns skyddsnivåer definierade även om informationsklassning nämns som en del i de konsulttjänster som kan avropas.
Krav på certifiering ställs inte och säkerhetskraven är inte frilagda på samma sätt som i SSC:s upphandling.
Likaså är många kraven av samma något diffusa karaktär som i SSC:s upphandling.
Det är därför svårt att på rimlig tid skapa en bild av hur den tänkta säkerhetsarkitekturen ser ut.
Jag tror dock att det varit enklare att hitta fram till ett samförstånd i denna upphandlingstyp än i den konkurrenspräglade dialogen som SSC valde som upphandlingsform.
Ett problem med båda upphandlingarna är att det är svårt att se vilka riskbedömningar som gjorts och det är även svårt att se något systematiskt arbete som föranlett de säkerhetskrav som faktiskt ställts.
Jag uppfattar det inte som att säkerhet varit en väl analyserad fråga i upphandlingarna även om SSC drämde i med storsläggan säkerhetsskydd.
Generellt skulle jag vilja hävda att kunden som använder SKI:s ramavtal har större möjlighet att påverka säkerheten i sin informationshantering än den tänkta kunden hos SSC.
Hur stora koncentrationer av information ska hanteras är en fråga på nationell nivå där jag inte tror att säkerhetsskydd är lösningen.
I båda fallen har (eller skulle ha haft) kunden ett drygt arbete att analysera sitt säkerhetsbehov innan en tjänst kan tas i drift.
En from förhoppning är fortfarande att ta fram gemensamma skyddsnivåer till gagn både för kunder och leverantörer.
Ytterligare en önskan skulle vara att tydligare utgå från de tilltänkta kundernas situation och möta dem där de är.
Om ett nationellt ”e-arkiv” ska byggas upp bör behov och lösningar analyseras mycket mer noggrant.
Det handlar om både organisation, tjänster och infrastruktur.
De utredande ansatser som gjort av SSC övertygar mig inte om att denna myndighet är rätt instans för detta uppdrag.
Under en övergångsperiod menar jag att den realistiska lösningen är att upphandla tjänster.
En observation som kan göras är att den organisation som har till uppgift att göra upphandlingar är den som lyckas.
En lärdom av detta kan vara att uppmärksamma hur komplicerad själva upphandlingsprocessen är och att den bäst sköts av en organisation med expertkompetens.
Att ha icke-koordinerade lösningar mellan stat och kommun/region är olyckligt.
Eftersom informationen flödar mellan arkivbildare bör det konceptuellt vara samma typ av lösningar.
Här finns även möjlighet att ge stöd för de privata utförarna av offentliga uppgifter – ett område som nu tycks bortglömt.
Slutligen vill jag, som så ofta, understryka betydelsen av att Riksarkivet tar ett betydligt större ansvar för e-arkivfrågan.
Det gäller både operativt i rena kravställningar men också strategiskt.
Redan nu görs enorma informationsförluster vilket borde sporra Riksarkivet till att göra det till sin huvudfråga.
Föreställningen om att e-arkiv handlar om att överföra information från ett system till ett annat måste överges och de stora informationsarkitekturerna prioriteras.
För att lyckas med krävs mycket stora insatser.
Två viktiga steg menar jag är att befria SSC från uppdrag inom e-arkivområdet och att inse att det som nu kallas e-arkiv egentligen är ett informationshanteringssystem som inte löser den långsiktiga arkivfrågan.
Därefter bör ett nytt uppdrag skapas.
Grunden för ett sådant uppdrag bör vara att staten nu (och sannolikt inte under överskådlig tid)inte har förutsättning att utveckla informationshanteringslösningar i den omfattningen själv.
Att omforma eller kopiera SKI:s ramavtal så att även statliga myndigheter kan använda det är ett sätt att skapa förutsättningar för en mogen marknad där leverantörer kan se en långsiktighet som gör att de vågar investera i utveckling.
Tillägg 2019-02-10: Uppmärksamma läsare har hört av sig och sagt Kammarkollegiets ramavtal innebär en möjlighet för alla aktörer inom offentliga sektor att upphandla e-arkivlösningar för installation i den egna miljön.
Definitionen av e-arkiv är på samma sätt som övriga sparsmakad och på samma gång förbryllande, arkivarie som jag är har jag svårt att uppfatta skillnaden mellan arkivering och långtidsarkivering: Anbudsgivare ska erbjuda minst en programvara för e-arkiv för installation i kunds it-miljö.
Med e-arkiv menas en programvara för arkivering och långtidsarkivering av handlingar för installation i kunds it-miljö Naturligtvis borde jag nämnt avtalets existens.
Jag har dock redan i ett tidigare inlägg beskrivit hur jag försökt få svar på vilken säkerhet dessa leverantörer kan erbjuda utan att lyckas (ingen svarade).
Dessutom går ramavtalet såvitt jag kan se ut den sista november i år.
Att avtalstiden snart går ut ökar möjligheterna för att ta ett större grepp om frågan.
I augusti 2014 fick den då relativt unga myndigheten Statens servicecenter ett uppdrag av regeringen att i samverkan med Riksarkivet samt sju pilotmyndigheter utveckla och använda en förvaltningsgemensam tjänst för e-arkiv.
Efter dryga fyra år avbryter man nu upphandlingen med hänvisning att det endast inkommit en kvalificerad sökande och att priset är för Detta är mycket bekymmersamt.
I en fråga som varit akut i ett par decennier, nämligen det långsiktiga bevarandet av den information som genereras i myndigheter, kommuner och landsting, har myndigheter blivit intalade att det snart kommer en lösning på deras .
Så sent som för en månad sedan deltog Statens servicecenter på Arkivforum och trumpetade ut att man nu var i mål och att myndigheter skulle kunna ansluta sig till tjänsten inom ett halvår.
Det skulle vara frestande att ropa ”skandal” men det är intressantare att försöka analysera vad misslyckandet beror på.
Själv har jag redan tidigare skrivit om att hela upplägget var märkligt i framförallt två hänseenden.
För det första har det hela tiden saknats en övergripande strategi för det långsiktiga bevarandet av digitala handlingar.Det som kallats e-arkiv hos Statens servicecenter är bara en del i en större helhet som ännu inte finns beskriven.
Eftersom tjänsten enbart är ett mellanarkiv återstår fortfarande att skapa ett slutarkiv och min obesvarade fråga har varit varför ett mellanarkiv över huvud taget skulle vara intressant i ett digitalt perspektiv.
Om information ska överföras från arkivbildaren till en annan myndighet borde det rimligen ske på ett sätt där även slutarkivering ingår eller åtminstone är tydligt planerad.
Så är nu inte fallet och för mig förefaller detta bara vara ett prokrastinerande av en oundviklig uppgift.
Den andra frågan är sammanhängande med detta och handlar om Riksarkivets roll och varför information som ska långtidsbevaras först ska mellanlanda hos en annan myndighet.
Jag menar att Riksarkivet borde ta ansvaret för denna kärnuppgift i det egna området och beskriva hur ett digitalt mellanarkiv borde utformas för att passa in i en större helhet av bevarande.
Att överlåta detta uppdrag till en myndighet utan expertkompetens känns både ologiskt och som ett stort risktagande.
Det som upphandlingen slutligen fallit på är dock den bristande informationssäkerheten hos leverantörerna vilket framgår tydligt i det beslut som Statens servicecenter tagit angående att avbryta .
Av de åtta anbudsgivarna föll sex bort på grund av de inte uppfyllde kraven på informationssäkerhet, en drog sig ur frivilligt och den enda kvarvarande blev för dyr.
Att informationssäkerheten varit en, med ett understatement, underordnad fråga i e-arkivsammanhang är för mig uppenbart både utifrån den enkät jag gjorde i våras och ännu tydligare i de frågor jag ställt till leverantörer.
De leverantörer jag frågat och där det finns en stark korrelation med de som lämnat anbud till Statens servicecenter har inte kunnat svara på en enda fråga gällande säkerhet alternativt har aktivt beslutat att inte svara.
Detta förhållande borde blivit känt även för Statens servicecenter.
Jag har vid förfrågan inte fått ta del av de säkerhetskrav som Statens servicecenter ställt men i dokumentet som offentliggjorts om upphandlingen visar att flertalet leverantörer som lämnat anbud inte kan visa upp ens den mest elementära styrning av säkerhet i sina tjänster.
För mig är det mest förvånande att Statens servicecenter under fyra år drivit ett projekt med syfte att tillgodose myndigheterna med en e-arkivtjänst inte under denna tid vare sig lyckats med att genomföra en relevant marknadsanalys eller med att förmedla information till leverantörerna om informationssäkerhetens betydelse.
Har man verkligen trott att leverantörerna jobbar med informationssäkerhet utan att man behöver betona det eller har man bara kört på trots indikationer på att det inte fungerar?
Och detta efter Transportstyrelsen och alla de diskussioner som förts om molntjänster och outsourcing?
Nu kan en kritisk läsare tänka att utfallet beror på att Statens servicecenter ställt alldeles orimligt höga säkerhetskrav.
Min bedömning är den motsatta.
De fallerande anbudsgivarna uppfyller inte ens elementära säkerhetskrav som till exempel att ha en informationssäkerhetspolicy eller kunna visa vilka säkerhetskontroller man genomför.
Som sagt; jag har ingen aning om hur säkerhetskraven formulerats i upphandling eftersom det sekretessbelagts.
Men om leverantörerna inte ens har ett LIS eller kan beskriva hur det egna säkerhetsarbetet är organiserat måste dialogen mellan upphandlande myndighet och leverantörer gått allvarligt fel.
Detta är dessutom en upphandling som skett med så kallat förhandlat förfarande där den upphandlande myndigheten inbjuder utvalda leverantörer och förhandlar om kontraktsvillkoren med en eller flera av dem.
Dialogen har syftat till att utforma krav och villkor för om hur en förvaltningsgemensam tjänst för e-arkiv på bästa sätt kan utformas.Under dialogen har sökande presenterat och preciserat sin lösning i enlighet med inbjudan till respektive dialogomgång.
Sammanlagt har sex (6) dialogomgångar .
Projektet har alltså pågått i fyra år med dialoger med hugade leverantörer.
Ändå har man inte fått leverantörerna att inse att de åtminstone måste ha en basal informationssäkerhet för att kunna bli aktuella.
För mig bekräftar det mitt intryck av att e-arkivfrågan på alla nivåer varit tämligen konsekvent isolerad frånt.
I den aktuella upphandlingen har det lett till ett ofruktbart resultat för kunder och leverantörer trots nedlagda resurser.
Vad värre är – att arbetet med att ta fram andra lösningar för e-arkiv avstannat hos myndigheterna och därmed en stor förlust av tid.
I sin till regeringen förklarar Statens servicecenter att man inte lyckats upphandla en tjänst som är ekonomiskt försvarbar i förhållande till investeringen.
Man menar sig dock ha vunnit så viktiga erfarenheter av sina fyra projektår att man vill att regeringen ska ge ett nytt uppdrag till myndigheten för att utreda en lösning där Statens servicecenter upphandlar licenser för drift och lagring hos en annan myndighet.
Jag menar att denna tummetott i form av någon typ av erfarenhet inte bör motivera regeringen att ge Statens servicecenter ett fortsatt uppdrag.
Istället bör Riksarkivet få ett uppdrag att ta fram en strategi för långtidslagring av digital information, d.v.s.
omfatta både mellan- och slutarkiv.
Detta ingår inte specifikt i den pågående arkivutredningens trots att det ändå måste uppfattas vara arkivsektorns kärnuppdrag.
Därför bör ett separat uppdrag om detta formuleras som inkluderar arkivteoretiska, informatiska, tekniska, juridiska och organisatoriska aspekter men även på ett djupare plan den informationssäkerhet som måste inarbetas i lösningen.
En mycket omfattande men oundgänglig uppgift för utredningen är också att ta fram strategier för att lagra de allt mer komplexa informationsinfrastrukturer som byggs upp med både offentliga och privata aktörer.
I dag tycks fortfarande e-arkiv ofta handla om att ”arkivera” enskilda system trots att det inte är så verkligheten ser ut.
Man kan tycka att detta i onödan drar ut på tiden men för mig är detta en nödvändig grund för det digitala långtidsbevarandet och i förlängningen det digitala samhället.
När utredningen är klar och beslut fattats om inriktning bör expertmyndigheten Riksarkivet vara beställare av de tekniska lösningarna där mellanarkivet kanske kan vara förlagt hos Försäkringskassan.
Slutarkivet måste dock, anser jag, finnas hos Riksarkivet.
I detta kan jag inte se att Statens servicecenter kan spela någon väsentlig roll.
Och återigen är mitt credo: är det någonstans informationssäkerhet behövs så är det i e-arkiv!
För mig är informationsförvaltning och informationssäkerhet nära sammanhängande frågor med många gemensamma förutsättningar och problem.
Det största gemensamma problemet är kanske att de sällan integreras sinsemellan och inte heller med det som kallas digitalisering.
Eftersom jag fått uppdrag att skriva en bok om dessa frågor började jag fundera på hur jag skulle få en bättre bild av hur sambanden ser ut i praktiken.
En fråga som utkristalliserade sig var e-arkiv som en del av informationsförvaltningen.
För att kunna förstå frågan på rätt sätt är det viktigt att först analysera betydelsen av ”arkiv” och därmed av ”e-arkiv”.
Trots att det både säljs och köps s.k.
e-arkivlösningar finns det ingen definition av vad detta skulle kunna vara.
Jag kommer att återkomma till denna fråga i ett senare inlägg men här nöjer jag mig med att utgå från att e-arkiv är en process för att långsiktigt bevara digital information med autenticitet, spårbarhet, konfidentialitet, sökbarhet samt med processuella värden i behåll.
Samtliga dessa krav kan finnas i olika grad beroende på den information som ska bevaras.
Den som delar min bedömning om vad ska ses som ett e-arkiv är sannolikt beredd på att acceptera att informationssäkerhet och e-arkiv har starkt inbördes beroende.
Min utgångspunkt är också att en stor del av allmänna handlingar ska bevaras över tid liksom en inte obetydlig del av den information som produceras i privata verksamheter.
Även om kraven på konfidentialitet och tillgänglighet i de flesta fall klingar av så är ändå slutsatsen att e-arkivlösningar måste kunna erbjuda minst lika bra informationssäkerhet som de digitala lösningar som hanterar informationens mer aktiva skeden.
För e-arkivet ökar istället kraven på autenticitet som kan sägas vara en kombination av spårbarhet och riktighet.
Genom den aggregering av information som planeras i många e-arkivlösningar ökar också kraven på att skydda mot obehörig åtkomst.
Utan att utveckla detta ytterligare så måste med dessa förutsättningar ett mycket aktivtomge e-arkiven med riskanalyser och informationsklassning m.m.
på minst samma nivå som för andra digitala lösningar.
I en allt mer digital värld är jag också mycket nyfiken på hur dessa frågor ska lösas nationellt och om vi inte måste tänka på ett annat sätt när det gäller det långsiktiga bevarandet än vad vi gjort när det gäller pappershandlingar.
För den oinvigde har Riksarkivet varit slutarkivet för de allmänna handlingar som produceras i statliga myndigheter som i långsam process likt sedimentering vandrar från aktivt skede via mellanarkiv till slutlagring.
Digitaliseringen gör hela denna process onödig, de digitala handlingar som ska bevaras för eftervärlden skulle kunna överföras till slutarkiv i samma ögonblick som de skapas och en kopia hanteras i verksamheten.
Ändå tycks tankegången fortfarande var densamma i praktiken och någon slags mellanarkiv för digital information byggas upp av Statens Servicecenter som outsourcar tjänsten till något av de stora leverantörerna.
Jag ställer mig frågande till hela tanken i detta, att tjänsten byggs upp inte av den myndighet med ansvar och kompetens inom arkivområdet utan en annan, men också inför hur erbjudandet eller påbudet uppfattas av de myndigheter som förväntas delta.
Detta är bakgrunden till att jag i början av 2018 skickade ut en enkät till samtliga myndigheter, regioner/landsting och kommuner med följande frågor: Har ni tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1?
Om ja skulle jag, om möjligt, vilja ta del av den.
Har ni en egen e-arkivlösning eller planerar ni att köpa en tjänst för det eller på annat sätt anlita utomstående?
Om ni planerar att köpa en tjänst eller anlita utomstående: ser ni det som ett mellanarkiv?
Vilken tidshorisont har ni för nyttjandet av tjänsten?
Har ni en Plan för informationssäkerhet enligt 6 kap RA-FS 2009:1?
Om ja skulle jag, om möjligt, vilja ta del av den.
Om/när ni tagit fram en egen e-arkivlösning alternativt anlitat utomstående för tjänsten, har detta då föregåtts av en riskanalys och informationsklassning?
Vilka är, som ni ser det, de viktigaste kraven på informationssäkerhet när det gäller e-arkiv?
Ur offentlighetsperspektivet är svarsfrekvensen dyster för detta är hur många som svarat till dags dato trots att förfrågan även innehöll en begäran om att få ta del av allmän handling: 62 kommuner (21 % av samtliga tillfrågade) 8 regioner/landsting (40 %) 86 myndigheter (24 %) Några noteringar kan göras rörande de svarande.
Bland kommuner är det påfallande att det snarare är de små kommunerna som ansträngt sig för att svara än de medelstora eller stora.
Bland myndigheterna har universitet och högskolor varit exceptionellt bra på att svara (75 %).
Av de myndigheter som ingår i eSam som är ”ett medlemsdrivet program för samverkan mellan 24 myndigheter och SKL.
Samarbetet syftar till att underlätta och påskynda digitaliseringen av det offentliga Sverige.” och som bland annat drivit på frågan om öppna data är det knappt hälften av de ingående myndigheterna som svarat på enkäten.
Här skulle man kanske kunna önska litet mer av att leva som man lär och en vilja att förmedla information även i praktiken.
Hela tanken så som den formuleras idag är att ett ”e-arkiv” på något sätt är en applikation i egen regi, i samverkan, hos en myndighet eller i form av en molntjänst.
Därför tyckte jag också att det var intressant att ställa frågor till olika typer av leverantörer hur de formulerat säkerhetskraven på sina lösningar.
Här var svarsfrekvensen extremt låg när jag ställde dessa frågor: Kan ni redovisa på vilket sätt ni arbetat med informationssäkerhet i tjänsten?
Vilka ser ni som de främsta informationssäkerhetsriskerna kopplade till tjänsten?
Kan ni erbjuda tjänsten på olika skyddsnivåer?
Är alla typer av information möjlig att hantera i dem?
Vilka krav ställer ni på eventuella underleverantörer?
Hur ser ni på ert ansvar i förhållande till användarna av tjänsten då det gäller att uppnå tillräcklig informationssäkerhet?
Har ni ett eget internt ledningssystem för informationssäkerhet (LIS)?
Har ni en utpekad informationssäkerhetsansvarig i er organisation?
Har ni ett eget standardförslag på personuppgiftsbiträdesavtal och är det i så fall möjligt för mig att få ta del av?
Är tjänsten planerad för att klara NIS-direktivet och civilt försvar?
Jag har på dessa frågor inte fått ett enda svar som inte varit av typen ”varför ställer du de frågorna” eller ”kan vi ta det per telefon istället”.
Statens Servicecenter var dock mycket snabba och tillmötesgående och skickade över kravspecifikationen de använt när de försökt upphandla tjänsten e-arkiv.
Min slutsats är att leverantörerna: Inte fått tydligt formulerade säkerhetskrav på sina tjänster Inte har tagit fram ett generellt presentationsmaterial som redovisar vilken säkerhet som deras tjänster erbjuder.
Att säkerhet i tjänsten inte är självklara frågor ser jag som mycket bekymmersamt och som en klar brist på mognad hos dessa tjänster vilket också komplicerar situationen för särskilt mindre organisationer som planerar att upphandla ett ”e-arkiv”.
I nästa blogginlägg kommer jag att redovisa de svar som inkommit från kommuner, landsting/regioner och myndigheter.
Som så många andra som arbetar med informationssäkerhet läser jag nu med stort intresse den granskning som på regeringens uppdrag genomförts av Transportstyrelsens upphandling av förändrad it- .
Det finns ett antal faktorer till den olyckliga händelseutvecklingen som förtjänar uppmärksamhet och säkert kommer att fortsätta att penetreras.
En aspekt som jag menar borde analyseras närmare än vad som skett i granskningen är myndigheters (och även andra organisationers) behov av generell kontroll över sin information.
För mig framstår att ha kontroll över vilken information som finns i organisation samt hur den hanteras som den mest basala förutsättningen för att uppnå en fungerande informationssäkerhet.
För myndigheter är detta inte krav kopplat enbart till informationssäkerhet utan finns även i offentlighetslagstiftningen och i arkivlagen.
De allmänna handlingarna ska vara redovisade och snabbt återsökbara.
I praktiken innebär det att en myndighet (inklusive kommuner) måste ha kontroll över den information som skapas, inkommer och på olika sätt hanteras i verksamheten.
Det hjälpmedel som används för att skapa den eftersträvade kontrollen kallas ofta dokumenthanterings- eller informationshanteringsplan.
Det finns inget legalt krav på att ta fram dessa planer men realistiskt sett är det nödvändigt att ha den här typen av planer, oavsett vad de kallas, för att kunna systematiskt kunna beskriva vilken information som finns.
I fallet Transportstyrelsen skulle ett sådant verktyg kunnat ge ett bra stöd inför en eventuell outsourcing eftersom, rätt utformad, skulle planen ha identifierat vilken information som skulle ingå i upphandlingen och vilket krav på skydd ur olika hänseenden (säkerhetsskydd, personuppgifter m.m.)
som måste tillgodoses.
Mitt intryck är att många myndigheter inte har de informationshanteringsplaner som vore nödvändiga för kontroll av informationshantering.
De planer jag sett är ofta antingen fragmentariska (d.v.s.
omfattar endast delar av verksamhetens informationshantering) eller inaktuella.
Vanligt är också att de i alltför hög grad bara redovisar information som ser ut som ”dokument”.
Detta mitt intryck kan vara helt fel men jag tycker det vore en angelägen uppgift för Riksarkivet att utreda och göra till en prioriterad fråga.
Med konsekvent användning av informationshanteringsplaner skulle inte bara offentlighets- och arkivbehovet kunna tas om hand utan det skulle också kunna utgöra ett väsentligt steg mot en stärkt informationssäkerhet.
Och vara ett konkret samarbetsområde för informationssäkerhetsmänniskor och arkivarier!
I all enkelhet tror jag inte att svensk förvaltning kommer att klara den pågående digitaliseringen utan betydligt bättre samordning, i annat fall kommer händelser liknande den på Transportstyrelsen att bli återkommande.

Om vi särskiljer lagring och arkiv innebär arkiv den slutliga förvaringen av information som ska bevaras i hundra-, ja tusentals år.
Att införa e-arkiv är alltså inte något som kan vidtas med en händelsehorisont på tio år.
I den svenska myndighetsvärlden råder en viss begreppsanarki där ”arkiv” kan betyda olika saker som en lokal, en institution och en myndighets bestånd av allmänna handlingar vilket jag skrivit om bland annat En myndighet (inklusive kommuner och regioner) skapar och tar emot stora mängder information av vilka en del utgör allmänna handlingar som enligt huvudregeln ska bevaras för framtiden såvida inte ett formellt gallringsbeslut upprättas som sätter en gallringsfrist.
Gallring kan alltså ske efter olika lång tid vilket gör att viss information ska sparas för all framtid medan annan kan gallras efter viss tid.
För pappersbunden information har man därför ofta skapat för att avställa inaktuell information i väntan på långtidsbevarande respektive gallring.
Det är arkivmyndigheten som i huvudsak ska fatta gallringsbeslut.
Här finns dock en mycket stor skillnad mellan statliga myndigheter och kommuner/regioner.
För statliga myndigheter är Riksarkivet arkivmyndigheter medan i kommuner och regioner är deras egna styrelser som utgör arkivmyndigheter En arkivmyndighet har inte bara uppgiften att fatta gallringsbeslut utan även ansvaret för bland annat arkivvård och tillsyn.
I det nu aktuella sammanhanget är det en central förutsättning att när en arkivmyndighet tar hand om ett arkiv så är det också arkivmyndigheten som ”äger” arkivet.
Arkivmyndigheten ansvarar för utlämnande av allmänna handlingar och den ursprungliga arkivbildaren (d.v.s.
myndigheten som lämnat in) kan inte hålla på att rumstera om i informationen.
Trots att arkivredovisningen ska vara processorienterad och att vi idag har stora sammanhängande informationsinfrastrukturer med ett otal antal bärare är e-arkivfrågan fortfarande inriktad på att överföra informationsmängder från enskilda system för arkivering.
I den enkät jag gjorde 2018 bland myndigheter, kommuner och regioner var ett starkt intryck att e-arkivfrågan inte i någon högre grad kopplats samman med informationssäkerhet.
Få att de tillfrågade hade gjort informationsklassningar och riskanalyser, ännu färre kunde redovisa säkerhetskrav att ställa på e-arkiv.

mellanarkiv en

Bakgrund Vad skulle då upphandlas?
SKI Slutsatser

MENU MENU Postat av Postad i , , Tagged , , , Postat av Postad i , , , Tagged , , , , , , Postat av Postad i , , Tagged , , , Postat av Postad i , , , Tagged , , , , , , Postat av Postad i , , , Tagged , , Sök efter:

Teknikhistoria är ett fascinerande ämne som jag ägnat mycket intresse genom åren och då alldeles särskilt samspelet mellan teknik, samhällsutveckling och ekonomi.
Frågor som varför vissa tekniska uppfinningar blir innovationer medan andra inte gör det och de institutionella förutsättningar som gör att teknik leder till positiv samhällsutveckling är ganska grundligt beforskade.
En underbar populärvetenskaplig bok på detta tema är Wolfgang Schivelbuschs som jag rekommenderar alla som vill skapa sig en hälsosam distans till det utmattande nuet.
Det är med denna bakgrund som den svenska förvaltningens digitalisering ständigt förvånar mig eftersom dess genomförande tycks strida mot det som framkommit som framgångsfaktorer för införande av ny teknik.
Istället för att bygga gemensam infrastruktur och institutionella förutsättningar har svenska myndigheter och regioner/landsting ägnat sin energi åt någon slags känslomässig påverkan.
Vad är då budskapet i denna känslomässiga kommunikation?
Så här ser de mest förekommande implicita och explicita budskap ut.
Det övergripande budskapet att det finns ett stort antal ludditer som är passionerat motverkar digitalisering och som måste övertygas om att digitalisering är BRA.
Efter noggrant begrundande kan jag inte erinra mig en enda person som varit emot digitalisering, däremot många som varit emot dålig digitalisering.
Det hindrar inte att det förekommer en ständig underström av halmdockor (läs mer om det klassiska fula argumentationsfelet ) när digitalisering diskuteras.
Dessa figurer som med lock och pock måste forceras att överge papper och penna är del i en ganska bra härskarteknik eftersom den som låtsas som att dessa finns då själv framstår som en ljusbringare som står för det ”moderna”.
Och det är något som i svenska sammanhang vördas så är det det moderna, så har det varit sedan 1800-talet, oavsett vad moderniteten stått för.
Det uppenbart ologiska i att hävda att populasen är teknikfientliga bakåtsträvare på jobbet eller när de ska använda offentliga e-tjänster när de samtidigt på sin fritid har olika kommersiella e-tjänster som sina närmaste livskamrater tycks inte störa.
Nästa centrala budskap är att digitalisering per definition är bra vilket leder till den underförstådda tesen att digitalisering är bra.
Som följd av detta görs ingen skillnad mellan bra och dålig digitalisering trots att alla känner till minst fem misslyckade digitaliseringsprojekt i sin närhet.
Att det inte får finnas dåliga digitaliseringsprojekt till en dubbelriktad kultur av icke-existerande uppföljning och erfarenhetsåtervinning; eftersom det inte görs någon uppföljning kan dålig digitalisering inte påvisas.
Jag tittar in på webbplatserna för två centrala aktörer för den offentliga sektorns digitalisering, eSam och SKL, för att se hur man hanterar utvärderingsfrågan.
eSam har gett ut ett antal vägledningar och metodbeskrivningar för digital samverkan (a.k.a.
ta fram digitala lösningar) i alla möjliga skärningar men vad jag kan se har inte uppföljning och utvärdering förlänats något eget metodstöd.
I den 84-sidiga för behovsdriven utveckling finns visserligen dessa rader med: Efter varje införande bör det genomföras en utvärdering för att ta vara på erfarenheter om vad som gick bra respektive mindre bra i behovsinsamling, planering, metodval, samarbete samt hur resultaten mottogs.
Infriade tjänsten de förhoppningar verksamheten och målgruppen tänkt sig?
men i ett systematiskt arbete förväntar man sig ett något större intresse för frågan.
SKL, som får ses som ett epicentrum för den vingliga offentliga digitaliseringen, förvånar mig positivt genom att erbjuda verktyg för uppföljning exempelvis och så kallade LIKA-värderingar som den för socialtjänst.
Tyvärr visar sig dessa undersökningar vara mognadsundersökningar av i vilken omfattning man lyckats digitalisera, d.v.s.
det handlar inte om att utvärdera hur väl digitaliseringen fungerar.
Ointresset för utvärdering är paradoxalt sett i ljuset av att digilisatörerna gärna vill tala om digitalt ledarskap och vikten av styrning samt nyttorealisering (nej, det är ingen idé ni går till den vägledningen för nyttorealisering för den innehåller inget substantiellt om uppföljning).
För att kunna leda, styra och nyttorealisera i verklig bemärkelse måste man arbeta systematiskt med att utvärdera gjorda satsningar ur ett antal aspekter som ekonomi och effektivitet.
Förhållningssättet att arbeta utan systematik är menar jag en av de mest grundläggande orsakerna till att det offentliga Sveriges digitalisering inte alls når den nivå som skulle kunna förväntas med tanke på de investeringar som gjorts.
Att den svenska digitaliseringen kraftigt underpresterar är ett faktum som det nu tycks råda konsensus om även från internationella bedömare som OECD.
Orsakerna till detta borde vara synnerligen intressanta att identifiera och då inte bara genom att komma dragande med gamla kära bortförklaringar som att juridiken inte är anpassad till digitaliseringen.
Kraften i det argumentet är ju inte heller så övertygande då till exempelvis sjukvårdshuvudmän och vårdgivare högaktningsfullt struntar i viss lagstiftning som man finner obekväm.
Det går inte att argumentera för digitalisering med rationella argument, tråkiga och genomarbetade analyser eller krassa ekonomiska beräkningar.
Istället sker kommunikationen med ett överflöd av uttalande av den här typen: Eftersom dessa uttalande inte går att vare sig be- eller vederlägga befinner vi oss i en situation där ledande aktörer inom digitaliseringsetablissemanget ständigt vädjar till våra känslor istället för att föra en dialog grundad i sakfrågor.
Här uppstår tror jag den olyckliga pepp-cirkelargumentationen där utomstående inte kan delta eftersom ramen för deltagandet är satt; bara de som accepterar pepp-läget kan ingå, de som efterfrågar rationalitet, siffror och nytta uppfattas som fientligt inställda och görs mer eller mindre förfinat till icke-deltagare och i värsta fall till halmdockan ”motståndare till digitalisering”.
Att det finns ett digitaliseringsetablissemang (precis som det finns ett informationssäkerhetsetablissemang) som har mycket att försvara blir ganska uppenbart vid minsta lilla glutt in på LinkedIn.
Det vore kul att se ett sociogram över det ganska begränsade antal människor som genom åren konfererat med varandra, gett varandra komplimanger, titlar, priser och positioner.
Man har skapar myndigheter, kommittéer, kommissioner och råd för att underlätta digitaliseringen, oundgängliga roller som regeringens CDO och kommunala digitaliseringsstrateger och peppat varandra på karnevaler och festivaler (det sista var kanske en liten överdrift…).
Digitaliseringen har beskrivits som det största tekniksprånget i historien (jag skulle nog snarare hävda ångmaskinen eller elektriciteten) och som lösningen på flertalet svåra samhällsproblem.
Den arma fackutbildade personalen i välfärdssektorn har fått finna sig att bli mästrade av allehanda ”evangelister” utan definierad kompetens givits utrymme att predika.
Helt olika räknesätt har tillämpats i de kommunala ekonomierna där lärplattformar för bortåt en halv miljard kunnat prioriteras samtidigt med kraftiga nedskärningar på personalen.
Under senare tid har jag alltmer kommit att grubbla över hur den privata sektorn kunnat genomföra sin digitalisering utan detta etablissemang och överbyggnad.
Jag tror att det är dags för ett paradigmskifte inom den offentliga digitaliseringen i Sverige.
Det är inte fel på förutsättningar, ekonomi eller teknik i första hand utan på den metafysik som omger digitaliseringssträvandena, alltså de föreställningar som finns om digitaliseringen och det sammanhang som de digitala lösningarna ska fungera i. Som samhällsmedborgare skulle jag önska att digitaliseringsetablissemanget tar ett steg tillbaka och med viss självkritik granskar sina argument för att kunna börja tillämpa mer kvalitativ och effektiva arbetssätt.
Det vill säga mindre marknadsföring och mera hantverk, mindre känslor och mera strukturellt tänkande, färre halmdockor och fler verkliga läkare och lärare, färre evangelister och flera ingenjörer i vid bemärkelse, mindre digitala lösningar i sig och mer intresse för de resultat som digitaliseringen ger.
Framför allt önskar jag viljan och förmågan till ett normalt kritiskt förhållningssätt till digitalisering.
Ett stöd för denna typ av reflektioner kan vara följande över vanliga villfarelser.
Särskilt rekommenderar jag närstudier av följande bias: sunk cost fallacy, dunning kruger effect, back fire effect, self serving bias och group think.
Den minnesgode kommer ihåg att jag tyckte det saknades några frågor vid den öppna utfrågningen i riksdagens försvarsutskott om cybersäkerhet för ett par veckor sedan.
För att inte bara planlöst gnälla ska jag formulera några av de frågor jag själv skulle ställt i rollen som en hyfsat insatt folkvald ledamot i försvarsutskottet.
Rollen kräver ju en något mer nobel approach än den som småaktig bloggare.
Jag kommer därför naturligtvis inte att ställa tråkiga frågor som vad cybersäkerhet betyder eller vad det är för värden på axlarna på MSB:s bild över utvecklingen av digitalisering respektive cybersäkerhet även om jag grubblat över detta sedan jag såg den.
Jag ska heller inte göra banala zingers av typen ”här ser vi hur man försöker lösa morgondagens frågor med gårdagens lösningar.”.
Istället kommer jag att försöka ställa fem övergripande frågor som jag menar är av betydelse för samhället och inte bara för samhällets säkerhet.
– Herr ordförande, vi har nu fått en genomgång av ett statsråd och fyra myndighetsföreträdare.
Tyvärr kan inte genomgången ha lett till en bra helhetsbild av frågan.
Varje myndighetsrepresentant har presenterat sin myndighets perspektiv på ett sätt som får åhöraren att känna sig som på toppen av ett utsiktstorn där det bara är möjligt att beskåda utsikten genom fyra fastlåsta och begränsade kikare.
Själva vyn är osynlig genom dessa tunnlade perspektiv.
När vi som folkvalda får en presentation där cyberförsvar, säkerhetsskydd, samhällsviktig verksamhet, och den vardagliga informationssäkerheten presenterade som helt separerade spår är det lätt att förstå den vanmakt som många aktörer som förväntas göra något i praktiken känner.
I NISU-utredningen 2015 var det första åtgärdsförslaget för att förbättra informationssäkerheten att utveckla en nationell styrmodell för informationssäkerhet: En nationell styrmodell för informationssäkerhet består av ett antal komponenter som måste utvecklas och förvaltas över tid.
En del är ett sammanhållande regelverk som innehåller olika nivåer av reglering under föreskriftsnivån, det vill säga en regelhierarki som motsvarar ett ledningssystem inom en organisation.
Förutom de resurser som krävs för att utveckla och förvalta styrmodellen krävs en lösning för anslutning och efterlevnadskontroll som löpande samordnas med andra intressenter.
I detta ligger också omfattande utbildningsinsatser.
I styrmodellen är informationsklassning den mest omfattande aktiviteten som går från processorienterad informationskartläggning via själva klassningsmomentet till utvecklade gemensamma skyddsnivåer.
För att skyddsnivåerna ska kunna fylla sin funktion krävs omfattande insatser av både egen och extern kompetens inom områdena administrativ, fysisk och it-inriktad säkerhet.
Slutligen förutsätter en nationell styrmodell en väl utvecklad kunskapsstyrning.
Kunskap kan i detta sammanhang röra sig om kunskap om metoder men i ännu högre grad om att kunna ge ett vederhäftigt underlag för en styrning utifrån risk.
Det innebär att kunna förmedla en uppdaterad riskbild och att samtidigt kunna förmedla stöd för riskreducerande åtgärder.
Behovet av en nationell styrmodell förefaller större än någonsin, inte minst sett i perspektivet av att försöka samordna digitalisering och säkerhet.
Min fråga till statsrådet är därför var detta förslag hamnat.
En följdfråga till myndighetsföreträdarna är om det är omöjligt att utan ett formellt uppdrag från regeringen börja samarbeta på ett sätt som leder till konkreta samordnade stöd för – Herr ordförande, två konkreta frågor angående molntjänster.
I efterdyningarna av skandalen vid Transportstyrelsen har molntjänster blivit en huvudfråga för regeringen när det gäller säkerhet.
Samtidigt vet vi att molntjänster redan används i stor omfattning av svenska myndigheter, kommuner och regioner/landsting, att de ger effektiva lösningar och i många fall bättre säkerhet än om verksamheterna själva skulle drifta och förvalta i egen miljö.
Många av de tjänster som idag finns även som applikationer för egen förvaltning kommer snart enbart att finnas som molntjänster.
Samtidigt är det svårt för Söpple kommun att ställa krav på Microsoft och Google angående säkerhet och integritetsskydd.
En lösning som skulle kunna ge både bättre säkerhet och nödvändig effektivitet var om svenska staten på samma sätt som den tyska sluter ett gemensamt avtal med några av de stora jättarna.
Jag förstår problematiken när det gäller konkurrensfrågor m.m.
men vill ändå ställa frågan om detta är något regeringen överväger eller om varje kommun och myndighet även fortsättningsvis ska försöka lista ut om det är juridiskt korrekt att använda Office 365 samt ta fram sina egna avtal.
Jag skulle också vilja fråga om den ändring som redan skett, nämligen att SÄPO och Försvarsmakten tilldelats en vetorätt när det gäller utkontraktering av information från säkerhetskänslig verksamhet.
Detta ställer ju ansvarsprincipen på ända och jag funderar i detta sammanhang om regeringen ser framför sig även andra förändringar i denna grundpelare i svensk förvaltning.
Vem tar ansvar för verksamheten i det här fallet – SÄPO eller verksamhetsledningen?
-Herr ordförande, under dagens presentationer är det lätt att få föreställningen att säkerhet är ett enkelt och entydigt begrepp samt att säkerhetsåtgärder alltid är obestridligt ”goda”.
Den som ägnat minsta tanke åt detta och kanske dessutom kanske ändå studerat lite samhällsvetenskap, historia eller filosofi vet naturligtvis att så inte är fallet.
Säkerhet existerat alltid i en relation till andra värden.
En supersäker lösning som skulle förhindra alla brott vore att låsa in alla medborgare och slänga bort nyckeln för att dra frågan över det löjligas gräns.
Samtidigt måste jag som folkvald naturligtvis beakta de olika intressen som finns i samhället och som delvis står i konflikt med ”säkerhet”.
För mig framstår det som det finns tre värden som ständigt kommer i konflikt med den renodlade säkerheten; effektivitet, demokrati och individens integritet.
I digitaliseringssträvandena ligger önskan om effektivitet.
Demokrati i den form vi känner den är ett centralt element insyn och delaktighet.
Övervakning är per se en inskränkning i integritet.
Jag hörde ingen av talarna ta upp dessa konflikter och ställer därför frågan om myndighetsföreträdarna ser det som liggande utanför sitt uppdrag att även ta hänsyn till denna typ av aspekter.
Det är i så fall viktigt att veta eftersom utgångspunkten då måste vara att myndigheterna agerar som ”säkerhetsnördar” och de övriga perspektiven måste tillföras från annat håll innan beslut tas i viktiga frågor.
– Herr ordförande, jag tror vi alla är överens om att det finns ett stort behov av att utveckla informationssäkerheten i Sverige.
En absolut vital förutsättning för att kunna göra det är att det finns tillgänglig kunskap och kompetens på olika nivåer.
Min bedömning är att detta behov är skriande idag alltifrån den vetenskapliga nivån till att det saknas tusentals informationssäkerhetsansvariga företag, kommuner, landsting och myndigheter.
Detta leder till att vi inte vet vad vi ska göra för att faktiskt vara effektiva och att det saknas operativ förmåga att bedriva det säkerhetsarbete som åläggs olika aktörer.
Situationen kommer knappast att förbättras av sig själv eftersom det idag endast finns en handfull utbildningsplatser per år för att utbilda kompetenta informationssäkerhetsansvariga.
Många av de som idag är informationssäkerhetsansvariga (eller kallar sig certifierade och informationssäkerhetsexperter) saknar helt utbildning inom området.
Fortbildningsbehovet är därför oerhört stort.
Ytterligare en aspekt är att kunskapsuppbyggnad bygger på ett kritiskt tänkande och en öppen dialog.
Ett intryck från säkerhetsområdet är att det ofta präglas av en tystnadskultur och en anti-intellektualism.
Detta bygger, tror jag, på tradition, på att det saknas arenor för ett intellektuellt utbyte i säkerhetsfrågor och på att en osäker profession sluter sig inom sig själv i kotterier.
För att komma vidare och hitta den goda säkerhetskulturen som skapar kunskap och insikt även på den nationella nivån krävs insatser även från myndigheterna.
Min fråga är hur det stora kunskaps- och kompetensbehovet ska tillgodoses och hur myndigheterna kan verka för en god säkerhetskultur med kritiskt tänkande även i de nationella sammanhangen.
– Herr ordförande, en sista fråga.
I de presentationer vi tagit del av lyfts diverse försumligheter och bristande medvetande hos samhällets aktörer fram.
Däremot sägs mycket litet om och i så fall hur myndigheterna med särskilt ansvar för säkerhet bedriver en systematisk utvärdering av sina egna insatser.
Utvärdering är ju en grundläggande aktivitet i ett systematiskt arbetssätt och det finns därför anledning att anta att denna kvalitetshöjande mekanism måste vara inbyggd i myndigheternas verksamhet.
Detta framgår dock inte i de årsredovisningar jag tagit del av och inte heller i dagens presentationer.
Därför skulle jag vilja ställa frågan om den bristande säkerheten alltid är någon annans fel eller om det är möjligt att myndigheterna sett anledning att även förbättra sina egna insatser?
Som redan framgått är det svårt att ens ge en enhetlig och allmänt accepterad definition av begreppet informationssäkerhet.
Att då kunna beskriva kunskapsområdet informationssäkerhet blir därför av naturliga skäl minst lika svårt.
Ändå menar jag att den enda verkliga legitimitet som informationssäkerhetsområdet kan uppnå måste gå genom att kunna motivera synsätt, metoder och investeringar med ett kunskapsunderlag.
Kunskapsunderlaget måste därför vara av en sådan karaktär att det kan accepteras av de aktörer som vi vill ska anamma synsätten, använda metoderna och göra investeringarna.
Om vi inte kan argumentera utifrån en rationell position återstår att försöka övertyga med känslor eller utifrån särintressen alternativt mycket smalt perspektiv som att exempelvis isolera risk och se den som helt dominerande.
Min uppfattning är att vi idag är ganska långt ifrån att ha ett gemensamt kunskapsunderlag.
Kvaliteten på kunskapsunderlaget kan också ifrågasättas av flera skäl, bland annat inte oväsentliga delar har sitt ursprung i rapporter från bolag som säljer säkerhetsprodukter.
Ett kanske ännu större problem är att det saknas arenor för kunskapsutveckling utanför akademin där en professionell diskussion kan föras.
Istället skulle jag vilja hävda att området präglas av ett anti-intellektuellt förhållningssätt som leder till en stagnation också när det gäller att ta fram praktiskt fungerande lösningar för att förbättra säkerheten.
Utan att gå tvärdjupt är en rimlig utgångspunkt för ett kunskapsområde att det har olika lager av kunskapsnivåer inklusive en teoretisk grund.
För att ett auktoritativt stöd i detta men också skapa en ganska enkel pedagogik tar jag hjälp av Aristoteles som delade upp kunskapen i fem former av vilka jag endast kommer att diskutera tre: (vetenskaplig kunskap, påståendekunskap, veta att) (praktisk-produktiv kunskap, färdighetskunskap, veta hur), (praktisk klokhet, det goda omdömet, veta när) För den som vill veta mer om detta på ett enkelt sätt rekommenderar jag denna .
Min känsla har länge varit att det som uppfattas som kunskap inom informationssäkerhetsområdet går att hänföra till techne med betoning på enkla tumregler och tekniska lösningar.
Många duktiga informationssäkerhetsmänniskor har haft rejäla mått av fronesis så att de kunnat tillämpa den fyrkantiga techne-kunskapen på ett bra sätt i sina organisationer.
Däremot så uppfattar jag att episteme, den vetenskapliga kunskapen med krav på generaliserbarhet och mätbarhet, i hög grad saknas inom informationssäkerhetens kärnområde.
Vad jag då avser är att exempelvis en övergripande teoribildning på det som är vanlig inom samhällsvetenskapliga områden inte riktigt går identifiera i många av de vetenskapliga texter som publiceras om informationssäkerhet.
Det har också ofta slagit mig att jag sällan sett att etablerade uppfattningar och metoder prövas på ett vetenskapligt sätt.
För att snabbtesta mina egna fördomar har gjorde jag en sökning i svenska databaser på aktuell forskning om informationssäkerhet och fick fram några hundra publikationer som jag granskade snabbt och översiktligt utan anspråk på någon som helst vetenskaplighet.
Den som själv gå igenom samma material kan följa den här och den .
I beskrivningarna har jag försökt utläsa om det finns en teoretisk utgångspunkt som på försöker beskriva ett ontologiskt perspektiv om hur informationshantering och informationssäkerhet samverkar och vad informationssäkerhet .
Jag har också försökt läsa ut huruvida författarna verkligen ifrågasatt de etablerade synsätten och metoderna samt prövat dess effektivitet och relevans på ett ”objektivt” sätt.
Slutligen har jag tittat på inom vilken disciplin texten är skriven och om den förefaller vara övervägande organisatorisk eller tekniskt orienterad.
Efter denna snabba och djupt orättvisa genomgång tycker jag mig ändå se vissa tendenser.
Oklarheten i begreppet informationssäkerhet som jag tidigare skrivit om gestaltas också i de vetenskapliga texterna och leder till en spretighet.
Begreppet tycks kunna stå för renodlat tekniska lösningar (som jag kanske hellre skulle kalla it-säkerhet) som organisatoriska.
I de fall där jag läst sammanfattningarna är denna begreppsförvirring och ontologiska brist inte något som författarna tycks uppfatta som ett problem.
Inte heller verkar ontologin i grundbegreppen konfidentialitet, riktighet, tillgänglighet, spårbarhet alternativt CIA-begreppen utgjort en frågeställning i området.
Flertalet texter är skrivna av forskare med teknisk eller systemvetenskaplig bakgrund.
Detta leder till två helt olika problem.
Det första är att fokus ofta kommer att ligga på tekniska lösningar istället för organisatorisk styrning trots att man säger sig skriva om informationssäkerhet.
Det andra är att det är forskare med teknisk eller systemvetenskaplig bakgrund som skriver om organisatoriska frågor vilket ligger utanför deras egentliga kompetensområde, något som kan leda till att de inte helt har de redskap som krävs för en organisatoriskt inriktad forskning.
Sammantaget leder det till att den organisatoriska styrningen bli styvmoderligt behandlad.
Ett genomgående drag är att etablerade synsätt och metoder förefaller förutsättas vara fungerande och effektiva.
Detta gäller i hög grad de mer organisatoriskt inriktade texterna som kan handla om mätning, compliance och säkerhetskultur för att ta några exempel.
Detta gäller även då man exempelvis tittar på mognadsmodeller där mognaden kan ses som en slags compliance till etablerade synsätt och metoder.
Förutom compliance är fenomenologi i en relativt vanlig form av studie.
Det kan handla om hur medarbetare, patienter eller någon annan grupp uppfattar säkerhetsåtgärder eller -behov.
Inte heller här tycks metoder egentligen ifrågasättas utan snarare är det uppfattningarna om dem som kan behöva ändras.
Trots inriktningen mot compliance är det få texter som undersöker värdet av de åtgärder som compliance-kravet gäller.
Att vara compliant till kravet att ha bland annat en incidenthantering följs inte av en undersökning av effektiviteten i olika metoder för incidenthantering för att ta ett hypotetiskt exempel.
Att studera metoder och delta i metodutveckling förekommer dock inom rent tekniska frågeställningar.
Forskning är naturligtvis inte den enda källan till kunskap men det finns frågeställningar inom informationssäkerhetsområdet där jag uppfattar att en vetenskaplig metod är lämplig för att skapa nödvändig kunskap.
Det gäller både en slags grundforskning på ontologisk nivå och för insatser för att på ett vetenskapligt sätt skapa en evidensbaserad kunskap kring effektiviteten i olika, framförallt organisatoriska, metoder.
Denna typ av frågeställningar kan svårligen hanteras av enskilda informationssäkerhetsansvariga eller av enskilda organisationer.
Informationssäkerhetsområdet har stort fokus på techne vilket sannolikt leder till ineffektiva och bakåtblickande metoder.
Det är svårt att föreställa sig samma lösliga relation till evidens inom andra områden som trafiksäkerhet eller medicin trots att dessa områden måste sägas ha likartade tekniska eller hantverksmässiga bakgrund som informationssäkerhet.
Min tes är ju informationssäkerheten inte tycks hålla måttet och följaktligen anser jag kan det finnas anledning att även inom detta område inta den förkättrade normkritiska positionen och ifrågasätta även de mest etablerade sanningarna.
Att forskningen går från att anti-intellektuellt handla om ett slags hantverk till att ge frågorna den analytiska och intellektuellt utmanande behandling som de i sanning kräver.
Att gå från ett förhållningssätt som är konserverande till att bli ett explorativt som ligger i linje med den snabba organisatoriska och tekniska utveckling som sker.
För detta krävs kreativa och odogmatiska forskare som banar väg, skapar ny kunskap och ger oss andra underlag för en förbättrad praktik.
För att ta emot den mer utmanande kunskapsproduktion som skulle bli resultatet krävs en profession som har samma förhållningssätt inom techne och fronesis samt plattformar att mötas på.
Som jag skrev inledningsvis är en av de stora bristerna att den typen av plattformar saknas idag och att ingen nationell aktör känner sig manad att ta på sig ett sådant ansvar.
I nästa inlägg ska jag skriva om professionen – kanske finns det i en stärkt professionalisering en möjlighet till ett mer professionellt kunskapsbygge?
Hunnen så långt i mitt funderande får jag tips om en som visserligen är från 2008 men som bekräftar att några av de intryck jag beskrivit är problem kända sedan tidigare som exempelvis bristen på empiri och, som i citatet nedan, på teoribildning: .
Det tycks alltså finnas fler som funderar över från vilken kunskapsgrund vi egentligen utgår.

Sverige måste förstå att digitalisering inte är en lyxprodukt utan en kärnverksamhet.
En strategisk fråga blir att lyfta fram de förändringsagenter som finns ute i verksamheterna och helt enkelt vända på bevisbördan.
Det ska inte längre vara så att det är den som vill förändra som måste förklara sig utan snarare den som vill bevara det gamla.
Hur många av er upplever att juridiken stimulerar och möjliggör digitaliseringsresan inom hälso- och sjukvården?
Digitalisering skapar mervärde Man behöver förändra helheten – inte bara småändra i marginalen.
Då är risken att man lägger all kraft på en enskild lösning och inte på att förändra det som verkligen ger effekt Möt innevånaren/patienten tidigt genom digitala arbetsmetoder

all en episteme techne fronesis är

Meny Utvärdering

Kunskap och informationssäkerhet Episteme, Fronesis, Techne Intryck Och vad blir konsekvensen?

MENU MENU Postat av Postad i , , , , , Tagged , , , , Postat av Postad i , , , , , Tagged , , , , , , Postat av Postad i , Tagged , , , , , Sök efter:

Jag har alltid haft svårt för den oreflekterade gruppkänslan, när tillhörigheten till en grupp blir så viktig för ens (yrkes)identitet att det skuggar tankens klarhet.
Tyvärr tycker jag att säkerhetsbranschen ofta drabbas en överdriven gruppkänsla som leder till ett grupptänk och inte minst av en oförståelse för hur det ser ut i ”verkligheten”.
Att predika för kören, d.v.s.
för andra säkerhetsmänniskor, är enklare än att öppet diskutera säkerhetsfrågor med människor som har andra och kanske viktigare prioriteringar än säkerhet.
Själv måste jag erkänna att jag grips av en skamkänsla över att erbjuda lösningar som tar så mycket tid från kärnverksamheten, dessutom med oklart resultat.
Trots att säkerhetsbranschen av tradition är högerlutande, vilket i normala fall skulle leda till ett ifrågasättande av byråkrati, krångel, förmynderi och slöseri med skattemedel, så godtas orimligt insatskrävande säkerhetsåtgärder i just skattefinansierade verksamheter.
Ganska hemmablint kan man tycka.
Låt mig bara ta några exempel.
I Sverige finns runt grundskolor.
Såsom praxis och stöd är utformade ska då informationsklassning genomföras om inte i samtliga grundskolor så åtminstone per förvaltning eller grundskoleområde, gärna med stöd av SKR:s KLASSA.
Många kommuner väljer dessutom att ta in konsulter för att genomföra klassningarna med KLASSA för dyra pengar och utan att den så viktiga dialogen uppstår mellan verksamhet och informationssäkerhetsansvarig.
Åtgärderna som levereras ur KLASSA är inte i de flesta fall konkreta utan snarare på en nivå som kräver en egen utredning för framtagning av åtgärder hos kommunen som använder verktyget.
För mig känns det som en mycket dyrbar metod som ger ett resultat som i bästa fall är tveksamt.
Som jag tidigare betraktar jag inte det som ett sätt att effektivisera säkerhetsarbetet och föreslår andra möjligheter.
Några andra som inte är så ängsliga för att ta säkerhetsresurser i anspråk är MSB.
Myndigheten har nu tagit fram en egen som såvitt jag kan se inte har något vetenskapligt stöd (däremot en närmast rörande metodbeskrivning med formel och allt).
Det framgår inte heller varför man inte tydligare anslutit till ISO 27004 som visserligen nämns men lämnar få spår i utformningen.
MSB har gått så långt att man skrivit in ISO 27001/27002 i sin föreskrift för statliga myndigheter så det skulle känts rätt logiskt att man då gått all in i standardfamiljen även då det gäller uppföljning.
Rapporten är ett svar på ett regeringsuppdrag: Detta skulle kunna tolkas som något som liknar frivillig tillsyn eller revision men istället har MSB knåpat ihop något som enligt min bedömning (jag har ändå rätt många år i mätbranschen) kommer att ta avsevärd tid att hantera för de organisationer som väljer att delta utan egentlig nytta.
Ja, visst får ledningen en överblick men även den som är mest besatt av mantrat ”ledningens genomgång” måste någon gång landa i att det är praktiska åtgärder som måste vidtas för att förbättra säkerheten – det räcker inte att rapportera aldrig så mycket.
Jag vet hur betvingande det är med spindeldiagram, jag har stått inför otaliga ledningsgrupper och showat med gott resultat, men det som gav verklig nytta var något annat.
Det var de insatser vi lade ner på att skriva detaljerade rekommendationer noggrant anpassade efter den specifika organisationens förutsättningar och risker.
Efter att ha läst MSB:s rapport kan jag inte förstå hur denna typ av frågeställningar öht ska kunna besvaras och vad eventuella svar skulle kunna ha för kvalitet: Hur räknar man ens procent på åtgärder?
Är åtgärden att sätt lås på ett dokumentskåp lika mycket värd som att ändra backup-rutiner liksom?
Måste åtgärderna att ha varit fullständigt genomförda för att räknas eller räcker det att de är påbörjade?
Om det endast fullständigt genomförda åtgärder som ingår kommer då organisationen att prioritera kortsiktiga åtgärder och välja bort de som tar lång tid men som kanske har större betydelse för säkerheten?
Att med så många grundläggande osäkerhet försöka tillämpa en formel som denna ger mig ett intryck av ett helt verklighetsfrämmande projekt.
Ett tredje ack så resurskrävande villospår är de externa revisioner som många organisationer väljer att göra.
Det är ett enkelt men kostsamt beslut att ta för ledningen.
Och när man ser på leveranserna från inte minst större välrenommerade företag blir man ofta beklämd.
Rapporterna, som inte sällan kommer i power point-format, är så uppenbart standardrekommendationer som av juniora konsulter klippts samman till något som inte är anpassat till kundens verksamhet och i vissa fall inte ens till svensk kontext.
Hur svårtolkade (en eufemism) rapporterna kan vara tyder den absurda upplevelse som jag stött på när ett revisionsbolag anlitas för att uttolka ett annat revisionsbolags rapport och försöka göra om den till något som liknar förslag på begripliga åtgärder.
Och nej, det blev inte så mycket begripligare i nästa led.
Trots den bristande kvaliteten i många revisionsrapporter får de orimligt stor betydelse i många organisationer.
Ledningar tar dem på stort allvar och tycker sig ha fått ett underlag både för den så omtalade ”benchmarketingen” och för att att kunna vidta rätt säkerhetsåtgärder.
Det är inte så konstigt; ledningen tycker sig ha betalat dyrt för att få en professionell genomgång av ett område som man själv i de flesta fall är dåligt insatt i. Att ställa kritiska frågor är inte aktuellt, särskilt om det skulle kunna avslöja ens egen bristande kunskap.
Vid ett inte oväsentligt antal tillfällen har jag tyckt när jag läst rapporterna att de varit mer eller mindre vilseledande när det gäller vilka åtgärder som rekommenderas.
Eftersom de som utfört revisionen på ett industriellt sätt inte haft möjlighet att sätta sig in i kundens förutsättningar kan fokuseringen på de prefabricerade åtgärderna leda till både dubbelarbete när vissa element faktiskt redan finns på plats men under annan benämning än revisionsbolagets och till att väsentliga risker missas.
Dessutom är hänsyn sällan tagen till beroendeförhållandet mellan olika åtgärder, något som kan göra att kundens åtgärdsarbete blir alldeles i onödan ineffektivt.
Ibland betonar revisorerna väldigt specifika åtgärder som den som arbetar med säkerhet i organisationen vet att man redan klarat av på annat sätt eller att avsaknaden av åtgärden innebär en mycket liten risk.
Detta går dock inte fram till ledningen som sätter en större tillit till den ytliga granskningen än till den egna personalens bedömningar – onödig kraft läggs då på att checka av åtgärdsförslagen istället för på att reducera verkliga risker.
Säkerhetsarbetet kan därmed snedvridas på avgörande sätt för lång tid fram över.
Detta är bara tre exempel, det finns många fler metoder och krav som kan ses som på det hela taget tämligen improduktiva.
Det är naturligtvis inte en slump att compliance och rapportering är så populärt.
Det är betydligt lättare att ”granska” än att skapa fungerande säkerhetsåtgärder – tro mig, jag har varit på båda sidorna.
Ibland skulle jag vilja gå så långt som att det borde vara förbjudet föreslå metoder och åtgärder för den som inte själv stått i det praktiska slitet att försöka förbättra säkerheten i en faktiskt existerande organisation.
Det är först då en djupare förståelse för hur komplicerat det är att förbättra den verkliga säkerheten, inte bara den som finns i kolumner och poängsättning.
Säkerhetsbranschen har anammat synsätten som leder till största nackdelen med NPM med oklara rambeskrivningar, mätningar och rapporteringar en masse.
Trots att aktörerna i branschen som sagt ofta i andra sammanhang klagar på administration tycks man blind för den negativa byråkrati man själv skapar och som äter upp resurserna som skulle gjort så mycket större nytta i kärnverksamheten.
Informationssäkerhetskraven såsom de ser ut idag trängs med likartade strukturer för hållbarhet, miljö, jämställdhet, ekonomi m.m.
som alla är viktiga men samtidigt tar kraft från det egentliga uppdraget.
Det är tyvärr inte så stor risk att vi råkar ut för något ansvarsutkrävande men vi borde verkligen se oss i spegeln och ställa frågan om vi är närande eller tärande.
Sannolikt mest det senare vilket borde sporra oss till att tänka på att varje timme vi tvingar alternativt uppmuntrar andra till att lägga på att svara på frågor och rapportera tas från en sjuksköterska eller lärare eller någon som producerar något vettigt.
Tre rapporter rörande obligatorisk incidentrapportering har kommit sedan årsskiftet: två från MSB och en från IMY (Integritetsskyddsmyndigheten).
Spännande läsning men säger rapporterna något väsentligt som jag kan dra nytta av i mitt säkerhetsarbete?
Under senare år har det nationella och även europeiska säkerhetsarbetet präglats av en klockarkärlek till obligatorisk inrapportering av incidenter.
Själv känner jag mig mer ambivalent.
Å ena sidan kan det tyckas som en självklarhet att det ska finnas en nationell lägesbild över vad som händer både för det akuta läget men även för att dra nytta av erfarenheterna som det brukar heta.
Å andra sidan är incidentrapportering en aktivitet som rusar i komplexitet när man bara börjar skrapa på ytan, det räcker att försöka rigga en fungerande process i den egna organisationen för att inse det.
Se bara den enkla processbeskrivning jag tagit fram som stöd för den enskilda organsiationer: Tyvärr måste jag medge att jag inte är alldeles övertygad om att kvantitativa insamlingar av något så komplext som incidenter är det bästa sättet att bringa klarhet i vilka verksamhetsstörningar och andra typer av realiserade hot som kan kopplas till it-incidenter (vilket är det som MSB och NIS-direktivet fokuserar på).
Förutom att det tynger de inrapporterande verksamheterna i kritiska faser undrar jag generellt om kvaliteten på rapporteringen och vilken säkerhetshöjande effekt den har.
Generellt är det ett problem att det saknas systematik i det nationella säkerhetsarbetet.
I myndigheter, kommuner, regioner och företag försöker vi få till en PDCA-snurra med ett tydligt C men i de nationella satsningarna för att stödja säkerhetsarbetet tycks inte utvärdering ses som ett nödvändigt steg.
För att ta ett par exempel så har jag frågat MSB om vilken utvärdering som skett av det s.k.
Metodstödet som ligger ute Informationssäkerhet.se och vilken säkerhetshöjande effekt det haft samt ställt samma typ av fråga till SKR angående KLASSA.
I båda fallen var svaret att man inte genomfört någon utvärdering och några planer i den riktningen nämndes inte heller.
Det finns en risk att mycket blir vad jag brukar kalla ”religiös säkerhet”, d.v.s.
åtgärder som vidtas i god tro men där det krävs just tro istället för evidens för att se resultaten.
Ofta handlar det om det som jag redan skrivit om som Graeberskt: när arbetet stannar vid dokument som skrivs, mallar som fylls i, enkäter som besvaras och engångsutbildningar som inte leder till någon djupare kunskap.
När en kommun glatt skriver om att deras styrande dokument blivit ”godkända” av tillsynsmyndigheten men att man inte tittat på hur det faktiskt ser ut i verkligheten tycker jag mig leva i Graebers värld av BS jobs.
Det finns en risk att nationell incidentrapportering blivit så populär just för att den kan röra sig i denna värld.
Vad kommer man då fram till i rapporterna?
För att få litet grepp om frågan har jag gjort en sammanställning av 2020 års inrapporterade incidenter: Att viktiga samhällsfrågor alltmer tenderar att diskuteras utifrån andra premisser än fakta och kunskap är djupt oroande.
Jag ger därför Fia Ewald Consultings julgåva till två aktörer som verkligen bidrar till att ge oss faktabaserade underlag: Tankesmedjan Balans och Wikipedia får 10 000 kronor vardera.
Hoppas att detta inspirerar andra att ge stöd till dessa förkämpar för förbättrad kunskap!
Det kan knappast ha förbigått någon att information blivit det nya guldet och att det finns extremt starka både offentliga och privata intressen som vill vara med och ta hem vinster från den resursen.
Framför allt den information som skapas i offentlig sektor är extra åtråvärd dels för att den är så omfångsrik, dels för att den ofta innehåller detaljerade uppgifter om olika allmänt intressanta förhållanden.
Intresset för att använda den offentligt producerade informationen som här kallas ”öppna data” har inom EU formaliserats genom PSI-direktivet som även blivit svensk lag sedan 2010.
En utredning tillsattes på klassiskt och bra svenskt maner 2019 för att bl.a.
genomföra en översyn och utvärdering av lagen (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen, analysera behovet av för-fattningsändringar för att genomföra öppna data-direktivet och säkerställa en ändamålsenlig nationell reglering som, ur ett rättsligt perspektiv, främjar och stödjer den offentliga förvaltningens arbete med att tillgängliggöra öppna data och annan digital information samt lämna förslag till nödvändiga författningsändringar.
Den lämnades över i höstas under beteckningen SOU 2020:55 Innovation genom information och har knappast lett till några större rubriker.
Att vidareförädla data kan ju tyckas som en högst okontroversiell inriktning för ett alltmer digitaliserat samhälle men ändå är det vissa frågor som skaver alltmer ju mer jag funderar på dem.
I utredningen ges följande beskrivning av syftet med offentlig verksamhet ska lägga resurser på arbetet med öppna data: I portalparagrafen till PSI-lagen anges att syftet med lagen är att främja utvecklingen av en informationsmarknad genom att underlätta enskildas användning av handlingar som tillhandahålls av myndigheter.
Redan där kan man haja till.
I Sverige har vi en mycket lång tradition av att utnyttja offentlig information för forskning och allmänhetens insyn men vad som här avses skapas är en ”informationsmarknad”.
Observera att med enskilda avses inte medborgare som vill ha insyn enligt offentlighetsprincipen vilket klargörs längre fram i utredningen utan endast företag som ska använda informationen.
Den tes som drivs i direktivet och i efterföljande lagar och utredningar är att det finns ett starkt samhällsintresse av att skapa en ”informationsmarknad” som ska försörja nationella och internationella företag med råvaran offentlig information till ett självkostnadspris.
I en som tagits fram av Lantmäteriet på uppdrag av regeringen blandas ändå syftena ihop så att det framstår som att öppna data skulle förbättra möjligheten till insyn: Öppna data skapar värde på flera olika plan i samhället.
Det rör sig dels om rena ekonomiska värden i form av stimulerad tillväxt och ökad effektivitet som ger aktörer möjlighet att utveckla nya produkter och tjänster.
Dessutom bidrar öppna offentliga data per definition till ökad transparens och demokratisk kontroll genom att öka insyn och förståelse för offentlig förvaltning.
Den ökade insynen innebär nya möjligheter för externa aktörer att mäta policyeffekter och granska, upptäcka samt motverka oegentligheter inom offentlig sektor.
För mig framstår som mycket tydligt att det finns framför allt tre olika syften med extern åtkomst till myndigheters information: Av dessa syften har under de senaste decennierna det sistnämnda syftet varit extremt prioriterat (även om forskning och företagande ofta kan vara överlappande).
I de olika initiativ som bedrivits i Sverige rörande digitalisering har jag inte på ett enda ställe sett några konkreta förslag för att utveckla lösningar för att stärka offentlighetsprincipen.
Detta trots att öppenheten blivit ordentligt naggad i kanten bland annat genom Sveriges EU-inträde genom avsiktliga och oavsiktliga anpassningar till den betydligt mer begränsade insynsmöjlighet som finns i övriga EU-länder (bortsett från Finland).
När man pratar om ökad delaktighet i digitala sammanhang är det alltså inte ökad insyn som diskuteras utan i de allra flesta olika tekniska lösningar som lanseras för offentlig service.
Vilka möjligheter som finns att digitalt utveckla demokratin är ett ämne som ligger mig varmt om hjärtat men jag skulle här även vilja peka på ytterligare en aspekt där den nuvarande satsningen på öppna data rymmer stora intressekonflikter.
Eftersom jag skulle vilja belysa den på ett principiellt plan och inte fastna i inhemska perspektiv väljer jag att ta ett exempel från USA.
I Erik Åsards nya bok Med lögnen som vapen som handlar om Donald Trump och hans påverkan på det amerikanska samhället.
I ett avsnitt berättar Åsard om Trumps märkliga tillsättningar av ledande tjänstemän.
Detta är nog så intressant men i det som jag fastnat för i detta sammanhang är när han föreslog Barry Myers, en miljonär och gammal kompis, som chef för NOAA som är den amerikanska motsvarigheten till SMHI.
Myers var av en händelse även ägare till ett privat företag som säljer väderrapporter som en kommersiell tjänst.
Enligt Åsard såg Myers rapporteringen från NOAA som en svår konkurrent eftersom myndigheten tillhandahöll samma data kostnadsfritt (enligt lag) som Myers paketerade om och marknadsförde i sin egen tjänst.
Som Åsard skriver: Rapporterna från the National Weather Service är kostnadsfria, men AccuWeather lyckades genom förförisk och inte sällan vilseledande marknadsföring få kunderna att betala för dem.
Utan den statliga väderlekstjänsten och dess skattefinansierade tillgångar (radar, väderstationer, väderballonger) skulle inte företaget ha mycket att erbjuda.
För att skilja ut sig från konkurrenterna började AccuWeather tillverka prognoser som sträckte sig 45 och till och med 90 dagar framåt.
Det är en metod som seriösa meteorologer har dömt ut och liknat vid att använda handläsning eller horoskoptydning.
Vidare skriver Åsard: Till skillnad från bolagen i den privata sektorn är the National Weather Service enligt lag förbjuden att göra reklam för sina tjänster.
Det har utnyttjats av företagare som Myers, som under 1990-talet offentligt började argumentera för att den statliga myndigheten borde förbjudas att göra några väderprognoser överhuvudtaget (utom vid fara för liv och egendom).
Sådan information borde vara en fråga mellan kunderna och de privata företagen, menade han.
När den konservativa republikanska senatorn Rick Santorum lade fram ett snarlikt lagförslag 2005, fick det entusiastiskt stöd av Myers.
Förslaget föll, men Myers tvekade alltså inte att stödja en lag som flagrant skulle gynnat hans eget företag och tvingat skattebetalarna att betala dubbelt för en tjänst som den statliga myndigheten tillhandahållit gratis.
Som Michael Lewis påpekar har privata företag i branschen ett ekonomiskt intresse av väderkatastrofer som deras offentliga motsvarigheter saknar.
Ju större och farligare orkaner, desto fler kunder kommer att vilja betala för att få varningar om dem.
Och ju fler kunder desto större vinster.
Lewis föreställer sig en dystopiskt slut – ”dagen då du bara får den väderleksrapport du betalar för”.
Lyckligtvis har vi ingen Trump i Sverige (än).
De många intressekonflikter som Erik Åsard så elegant lyfter fram i ett kort stycke i sin bok saknas är dock helt relevanta för Sverige när det gäller öppna data.
Av någon anledning har de utredningar som genomförts sedan direktivets tillkomst undvikit att ta upp dessa frågor trots att de har stor betydelse för både samhälle och den enskilde individen.
Att låta marknadskrafter bli dominerande när det gäller hur offentlig information ska användas skapar intressekonflikter.
”Öppna data” kan leda till motsatsen, att de undanhålls från medborgarna för att de utgör råvara för ett företag.
Och kommer det att ställas krav på myndigheterna att de måste upprätthålla informationshantering som annars skulle effektiviseras bort för att det skulle påverka företag som använder informationen negativt om den togs bort?
Det är inte heller säkert att låta multinationella försäkringsbolag kostnadsfritt ta del av patientuppgifter är något som gynnar några andra än just försäkringsbolagen.
Som alltid när det gäller intressekonflikter finns det inget entydigt svart eller vitt i hanteringen av öppna data även om det i det svenska sammanhanget hittills framställts som helt utan komplikationer att langa ut vår viktigaste gemensamma resurs gratis på marknaden.
Själv har jag svårt att förstå hur det kan utgöra en marknad överhuvudtaget, snarare en nationell välgörenhetsbasar.
För att skapa en mer mångdimensionell bild av öppna data där olika intressen kartläggs och ställs mot varandra på ett öppet (!)
sätt bör ett mer gediget underlag än olika tas fram om det verkliga ekonomiska värdet.
Därefter kan en offentlig diskussion föras om hur vår gemensamma informationsbonanza ska användas så att alla våra olika intressen tillvaratas – inte bara de ekonomiska för vissa aktörer.
Efter långt om länge släppte nu äntligen Datainspektionen (snart Integritetsskyddsmyndigheten) sina av åtta vårdgivare.
Även om jag var väl förberedd på innehållet så är det en chockerande dyster läsning när den fulla konsekvensen av vad jag redan visste blev förtydligad på detta sätt.
Låt mig först understryka att det Datainspektionen ställer krav på inte är några nya krav för vården utan de har funnits sedan länge bland annat i Socialstyrelsens och i PuL.
De brister som framkommer i granskningar har inte heller de nyhetens behag utan är de samma som i de granskningar av vården som Socialstyrelsen respektive Datainspektionen gjorde typ 2012.
Det är alltså inte så att vårdgivarna är tagna på sängen med helt ny rafflande krav utan det är väl kända försummelser som regioner och vårdgivare medvetet underlåtit att rätta till.
Egentligen räcker det att läsa följande stycke i granskningen gällande Capio S:t Görans Sjukhus AB för att se vidden av hur undermålig säkerheten och skyddet för integriteten är: Ytterligare försvårande omständigheter är att behandlingen av uppgifter om patienter i huvudjournalsystemet hör till kärnan i en vårdgivares verksamhet, att behandlingen omfattar många patienter och möjligheten till åtkomst avser en stor andel av de anställda.
Inom ramen för den inre sekretessen har mer än 2700 medarbetare åtkomst till uppgifter som rör närmare 490 000 patienter.
Utöver det har mer än 600 medarbetare, inom ramen för den sammanhållna journalföringen, åtkomstmöjligheten till uppgifter rörande cirka 3 patienter i TakeCare.
För att strö ytterligare salt i såret kan man läsa om Aleris sjukvård AB: Aleris har ett dokument som benämns ”Behovs-och riskanalys-TakeCare”.
Dokumentet har sett ut som det gör idag sedan den 28 maj 2012 då Take Care infördes och gäller både för den inre sekretessen och inom ramen för den sammanhållna journalföringen.
Av dokumentet framgår de olika profilerna, så kallade behörighetsgrupper.
Dokumentet visar bland annat läsrättigheterna samt skrivrättigheterna för respektive behörighetsgrupp.
Alla profiler förutom tekniker har tilldelats läsbehörighet till uppgifterna i TakeCare.
Då ska noteras att man hade 796 350 unika patienter i maj 2019 och 1058 aktiva användarkonton av vilket det absoluta flertalet alltså har läsrättigheter till samtliga patienter oavsett om de har en vårdrelation eller inte.
Att Aleris slänger fram en oförändrad riskanalys från 2012 säger nog det mesta om nivån på säkerhetsarbetet liksom när Capio hävdar att de visst har en behov- och riskanalys men att den av okänd anledning är borttappad.
Capio St Göran fick 30 miljoner i sanktionsavgift och Aleris Sjukvårds AB 15 miljoner (plus ytterligare 12 miljoner från sitt andra bolag Aleris Närsjukvård AB) men de är långt ifrån unika.
Bristerna hos övriga granskade vårdgivare (granskningen av Kry ännu ej beslutad) bekräftar det vi redan vet bland annat från tidigare granskningar.
Säkerheten i den svenska sjukvården är helt undermålig och det gäller inte bara vad gäller integritetsrelaterade frågor som de Datainspektionen granskat utan generellt.
Jag har begärt en större del av underlagen från Datainspektionens granskningar och ska fördjupa mig ytterligare i dem.
I detta blogginlägg ska jag ta upp några fenomen som aktualiseras i de granskningsfynd som presenteras i de offentliggjorda rapporterna.
Utgångspunkten är att den usla säkerhet som indikeras genom granskningarna är en följdriktig konsekvens av ett konsekvent förhållningssätt till integritet och säkerhet i vården från olika aktörer.
För att förstå hur samtliga granskade vårdgivare (Kry inte inräknade än så länge) så flagrant bryter mot lagstiftningen måsta man känna till att lagtrots när det gäller integritet och säkerhet i digitala lösningar är normen i den svenska vården – inte undantaget.
Att endast medarbetare med vårdrelation eller något annat mycket tydligt definierat skäl ska ha åtkomst till patientuppgifter är ett krav som har kommit med dataskyddsförordningen utan har funnits i princip sedan journalerna övergick från att vara räkenskapsmaterial till att vara vårddokumentation.
Vi rör oss alltså någonstans i början av förra seklet (hur gärna skulle jag inte vilja gå in på detaljerna i denna historia men inser att alla kan inte vara totala journalnördar – skulle någon vilja veta mer så får ni skicka ett mail).
På den tiden pappersjournalerna gällde fanns de inlåsta i journalarkiv med strikta regler för vem som fick ta del av dem.
Det kan sägas att ha rått en minimalistisk åtkomstprincip innan begreppet var uppfunnet.
Återkommande klagomål fanns på att det var för många som ändå kunde slinka in och läsa det de inte fick men möjligheten får ändå säga vara mikroskopisk jämfört med det som skildras i de aktuella granskningsrapporterna.
När de tidiga journalsystemen introducerades på slutet av 1980-talet hade de inte funktionalitet för en effektiv behörighetsstyrning på individ- och rollnivå vilket var ett första steg på färden mot dagens situation.
Istället för att tvinga leverantörerna tillbaka till ritbordet för att konstruera system som följde lagstiftningen började man (med ”man” avses i det följande den grupp av leverantörer, it-chefer, byråkrater, politiker och andra makthavare inom vården som ansvarat för digitaliseringen) tänja på normerna och hävda att det gick lika bra att styra med logguppföljning som med behörigheter.
Istället för att organisatoriskt och tekniskt begränsa åtkomsten hävdade man att logguppföljning var en jämförbar säkerhetsåtgärd (!).
Denna för svensk sjukvård unika bedömning var ett fatalt vägval ligger bakom en stor del av de säkerhetsproblem som finns i vården idag.
De negativa konsekvenserna begränsas inte enbart till att det på dryga tjugo år utvecklats de organisatoriska och tekniska lösningar som är nödvändiga för följa lagen och ha ens ett basalt skydd för patientuppgifterna.
Det har även lett till att man för att motivera det stora felsteget gjort dygd av nödvändigheten genom att hävda att ALLA inom sjukvården behöver tillgång till ALLA patientuppgifter hela tiden – allt annat vore en risk för patientsäkerheten.
I målande ordalag beskrevs hur nödvändig patientinformation inte skulle finnas tillgänglig för vårdpersonalen vid behandlingar olika slag vilket skrämde upp en hel del läkare och sköterskor som därmed köpte den konstruerade motsättningen mellan patientsäkerhet och integritet.
Det ledde till en ond spiral där krav på korrekt behörighetshanteringen inte ens ställts vid upphandlingar och stora utvecklingsprojekt trots att lagstiftningen är tydlig på denna punkt vilket i sin tur knappast motiverat leverantörer av vårdinformationssystem att utveckla sådan funktionalitet.
Det är därför en särskild glädje att Datainspektionen i granskningen av Capio S:t Göran slår fast att loggning kan ersätta att begränsa åtkomst via behörighetshantering: Capio S:t Görans anger att de använder systematisk logguppföljning för att reducera risken för att medarbetare otillbörligen tar del av patientuppgifter.
Datainspektionen konstaterar att patientdatalagen inte lämnar något utrymme förvårdgivare att kompensera frånvaron av behovs-och riskanalys, eller en allt för bred tilldelning av behörighet tillåtkomst, med en omfattande logguppföljning.
Inte heller fiktiva åtkomsthinder som ”journalfilter” eller ”aktiva val” godkänns av Datainspektionen som tillräckligt för att begränsa åtkomsten vilket kan vara en bra tumregel att ha med sig in framtida projekt.
Det känns också bra att Datainspektionen drar undan mattan för det i digitala sammanhanget urgamla svepskälet för att ha lagstridig hantering av personuppgifter, nämligen att hävda att man har en akutverksamhet.
Ytterligare en konsekvens är att den lättsinniga hållningen till lagstiftning sedan dess blivit en tradition inom vård-it.
Ett aktuellt exempel är när Region Skåne först beslutat att medvetet gå emot bättre vetande och upphandla en som går emot dataskyddslagstiftningen och sedan i sista minuten sig.
Hur mycket denna utsvävning kostat i pengar och förlorad tid är oklart.
Argumentationsfelen för att använda exempelvis molntjänster är desamma som medvetet praktiserats under par decennier i vården: ”ja men det blir ju bättre än det vi har” och så bygger man fast sig i bristfällig lösning som det tar åratal att ta sig ur istället för att ställa rätt säkerhetskrav från början och se till att de levereras.
Själv kan jag inte räkna alla gånger som jag, när jag påpekat brister i tänkta lösningar, fått kommentarer som ”ja men det är ju bättre än det som finns idag”, d.v.s.
att legitimera kända risker i nya lösningar med den falska jämförelsen med dagsläget.
Detta är ytterligare en väsentlig bakgrund till dagens situation och som bygger på samma knäppa riskhantering som är den andra återkommande bristen i Datainspektionens aktuella granskningar, nämligen risk- och sårbarhetsanalyser där vårdgivarna återkommande endast analyserar och inte risker.
För en sansad människa framstår det kanske som obegripligt varför man över huvud taget bryr sig om att göra riskanalyser om man inte är intresserad av att identifiera och reducera risker.
Jag ser det mer som en del i den svenska digitaliseringskulturen där det inte får finnas problem utan vi ständigt är glittrande glada.
Och har vi inte identifierat några risker så behöver vi ju inte några säkerhetsåtgärder och då är ”utmaningen” (inte problemet) obefintlig.
Tydliga ansvarsförhållanden är grunden för all fungerande säkerhet.
Saknas denna förutsättningen kommer säkerheten oundvikligen att bli lidande och det går inte heller att genomföra ett ansvarsutkrävande.
I den trassliga spaghettistruktur som är svensk vård-it blir detta synligt även i Datainspektionens granskningar.
En konstruktion som skulle behöva synas beskrivs i rapporten om Aleris Sjukvård AB: Federation Samverkan TakeCare (FSTC) är beställare av journalsystemet Take Care och Compu Group Medical (CGM) är leverantör av journalsystemet och ansvarar för de funktioner som systemet har för att styra behörigheter.
Alla funktioner i journalsystemet är skapade av CGM, men det är Aleris som väljer vilka funktioner som en viss personalkategori ska ha tillgång till bland de funktioner som finns inlagda.
Aleris har inga tekniska möjligheter att göra ändringar i Take Care eftersom Aleris inte har någon rådighet över journalsystemet.
Aleris är endast användare av systemet.
Aleris har inte kunnat ställa några krav på CGM vid upphandlingen av journalsystemet.
Bolaget har till exempel påpekat att det funnits problem med journalsystemet bestående i, så vitt avser behörighetstilldelningen, att systemet inte kan separera läs-och utskriftbehörigheter för en läsfunktion.
CGM har inte varit intresserade av att ändra detta trots synpunkter från Aleris.
Det är FSTC som kan beställa ändringar av funktionerna och det är sedan upp till CGM om de vill utföra ändringarna eller inte.
Aleris har en representant i FSTC som kan framföra Aleris önskemål.
Aleris har dock inte fått något gehör för bolagets synpunkter.
Här förefaller det alltså omöjligt för vårdgivaren som även är personuppgiftsansvarig att genomdriva sina säkerhetskrav eftersom en organisation utan formellt ansvar förhindrar det.
Om vi nu hypotetiskt litar blint på att Aleris verkligen ställt rätt säkerhetskrav är det alltså FSTC som drivs av Region Stockholm som inte bara förorsakat kränkningar av ett mycket stort antal patienters integritet utan också ”användarna” Aleris sanktionsavgifter.
Det borde finnas ett intresse åtminstone från ”användarna” att reda ut ansvarsförhållandena och skapa garantier för att man kan få påverkansmöjlighet på de gemensamma it-systemen så at de följer lagstiftningen även om regionen inte prioriterar den frågan.
Trots att det i övrigt finns en mycket god säkerhetskultur i vården har man alltså inte lyckats inympa informationssäkerhet i den.
Det huvudsakliga ansvaret för detta ligger naturligtvis hos regionerna som sjukvårdshuvudmän tillsammans med SKR som sedan mitten av 90-talet utlovat gemensamma regler för informationssäkerhet men hittills inte lyckats uppvisa något som ens liknar det.
Är det någonstans där Datainspektionen bör göra nästa granskning så är det hos SKR:s it-bolag Inera.
Detta är särskilt angeläget eftersom lösningar som NPÖ som tillhandahålls av Inera saknar adekvat behörighetshantering (se ovan) som inte bara drabbar den enskilde vårdgivare utan samtliga vårdgivare som använder.
En annan aktör som väcker viss tveksamhet är IVO vars granskningar hittills inte alls verkar ha genomförts på samma grundliga nivå som Datainspektionen.
Några granskade verksamheter hänvisar till granskningar som IVO gjort och som på något sätt skulle gett klartecken för den säkerhetsnivå som de nu ligger på.
Förhoppningsvis kan tillsynsansvaret i och med NIS-direktivet leda till att IVO utvecklar sina granskningsmetoder.
Jag tror att det är centralt att myndigheterna samverkar här och ser informationssäkerheten i ett helhetsperspektiv och förstår att det är en sammanhängande säkerhetsarkitektur där brister i ett hänseende skapar risker på flera olika sätt.
Det skulle även vara en fördel att ha gemensamma granskningsmetoder och kanske t.o.m.
genomföra granskningar tillsammans.
Många tillsynsmyndigheter kan lära sig mycket genom att studera med vilken noggrannhet och stringens Datainspektionens granskningar genomförts.
I rättvisans namn ska sägas att vården inte fått särskilt mycket hjälp från myndighetshåll att utveckla sin säkerhet.
Jag har tidigare om att MSB:s knytning till ISO 27000 och det metodstöd som utvecklats i denna anda knappast är till hjälp för vårdens infrastruktur och jag kan inte heller se andra satsningar som tagits fram för att stödja denna i sanning samhällsviktiga verksamhet.
Datainspektionens granskningar som endast rör ett par aspekter av säkerheten borde ge upphov till ett större samordnande projekt lett av myndigheter för att långsiktigt höja vården säkerhet eftersom detta är en fråga som regionerna med all önskvärd tydlighet visat att de inte klarar av.
En helt nödvändig insats är att tvinga regioners och SKR:s makthavare att erkänna att det finns ett mycket stort säkerhetsunderskott i vården och istället för att stoppa huvudet i ta sitt ansvar och börja bygga för framtiden.
Under de (alltför) många år jag arbetat med informationssäkerhet har ingen företeelse varit mer omhuldad än de standarder som använts som stöd i arbetet.
När jag började var det BS 77 99 och nu har vi en hel 27000-familj.
Även om jag under alla år har haft en god hjälp av standarderna har jag aldrig riktigt kunna gripas av samma entusiasm som de många, inklusive utgivare av myndigheters föreskrifter, som sett standarderna som ett magiskt spö som det i princip räcker att hänvisa till så försvinner säkerhetsproblemen.
Jag har redan skrivit ett antal inlägg, bl a och berör den ganska problematiska övertro som finns i Sverige till standardens kraft att skapa bättre informationssäkerhet.
Med tiden har jag kommit att fråga mig om sättet att se på framför allt ISO 27000 kanske snarare stjälpt än hjälptt.
En rejäl tankeställare fick jag när jag hade uppdraget att försöka få in säkerhetsperspektivet i en utredning om e-hälsa.
Få saker har jag misslyckats så kapitalt med och en av orsakerna, förutom mina egna brister, var att både utredaren och utredningens sekretariat så fort frågan kom upp smashade bort den som en irriterande fluga med: vi gör en hänvisning till att standarder ska användas.
Eftersom jag inte förstår en vink när jag får den eller snarare bryr mig om den så fortsatte jag och försökte även få ett förtydligande vilka standarder som skulle användas och hur.
Som ni säkert förstår fick jag aldrig några svar på mina frågor utan det ansågs helt tillfyllest att säkerhetsproblem skulle hanteras via ”standarder”.
Självklart förstår jag lockelsen i att det skulle kunna fungera så.
Problemet är att det inte gör det.
Om man tittar bakåt så var standarder i industrisamhällets begynnelse en typ av nationella och internationella överenskommelser om framför allt utformningen av tekniska produkter och mått.
En av mina favoriter är standarden för avstånd mellan hålen för .
Det är ju ett sant kaos som väntar om hålslagen utformas hur som helst och ingen vet vilka pärmar som kan användas för vilka papper.
Men vad händer egentligen när man flyttar över standardiseringsidéen från vidden för järnvägsspår till hur organisationer ska styra olika verksamhetsområden?
När standarder som framtagits utan kontroll från lagstiftare och den egna förvaltningen ska leva sida vid sida med den ordinarie styrningen?
I en mycket intressant från Örebros universitet har författarna (Andersson, Karlsson och Hedström) genom diskursanalys försökt förstå hur framtagandet av standarder i 27000-serien egentligen går till.
Som en bakgrund gör de en åtskillnad mellan s.k.
de facto-standarder som ta fram av ett företag eller flera företag tillsammans som har ett konkret behov av standardisering.
Den andra typen av standarder benämns de jure-standarder som kan utvecklas av olika lagstiftande organ alternativt myndigheter eller av oberoende standardorganisationer som ISO.
27000-serien är alltså en de jure-standard men ligger utanför det lagstiftande området.
Artikeln lyfter också fram att denna typ av standarder strävar efter att skapa en konsensus av vad som bland experter inom området anses vara ”best practice” vilket även framgår tydligt i arbetet med informationssäkerhetsstandarden: De jure standards play a central role in information security, and organizations are increasingly required to demonstrate compliance with them ( ; ).
Det kan alltså ifrågasättas vad standardens ställningstagande egentligen bygger, om dess anspråk på att vila på ”best practice” uppfylls.
Eftersom den inte bygger på evidens skulle dess USP bestå just i en erfarenhetsbaserad kunskap.
Om inte denna grund finns påverkas naturligtvis standardens legitimitet.
Senare i artikeln framgår på ett litet roande och samtidigt avslöjande sätt hur ytterst få som deltar i standardarbetet även om man tågat omkring på standardiseringsmötena som en fåmansprocession under beteckningen ”Sweden”.
Artikelförfattarna gör en maktanalys av själva arbetet med framtagandet av standarder men jag tycker att en vidare maktanalys av hur en mycket liten krets knutna till standardarbetet har haft ett helt dominerande inflytande över svensk förvaltnings arbete med informationssäkerhet.
Resultatet har blivit en hegemonisk doktrin om att ISO 27000 är den enda framkomliga vägen att arbeta med informationssäkerhet i svensk förvaltning trots att denna doktrin vare sig bygger på evidens eller ”best practice”.
Så här 11 år efter att ISO 27000 pekades ut som vägledande för svenska myndigheters arbete med informationssäkerhet i MSB:s föreskrift MSBFS 2009:10 (ytterligare markerat i de följande föreskrifterna fram till den nu gällande MSBFS 2020:6) så tycker jag inte det är uppenbart att det var ett helt lyckat vägval.
Detta bygger jag på attt knappast kan ses som särdeles framgångsrikt mätt med tillgängliga måttstockar, d.v.s.
de granskningar som gjorts både generellt och de som gjorts med inriktning på samhällsviktiga sektorer som exempelvis sjukvård.
Låt oss komma ihåg att detta inte är den enda möjliga vägen att välja.
I Finland antogs i år en av informationshanteringsnämnden under finansministeriet som explicit undviker att hänvisa till någon standard: referensramar och ger inga anvisningar om tekniska lösningar, som kan förändras till och med snabbt.
Utifrån en riskbedömning som görs från fall till fall ska varje myndighet välja tillräckligt säkra tekniska lösningar som är lämpliga i den aktuella situationen.
Jag kommer ihåg att ansvariga för Normen i Norge förde samma resonemang i sina reglervården, man ville inte referera till någon särskild standard.
Uppfattningen var att det var möjligt att plocka ut det man ville ha ur standarder utan att behöva ansluta sig till en helhet som inte kunde kontrolleras av norsk sjukvård.
När standarder lämnar tekniska specifikationer och övergår till organisatorisk styrning uppstår paradoxala effekter.
Jag tänker nu på att ISO 27000 innehåller mycket allmänna krav, att det ska finnas informationsklassning men inte hur den ska utföras eller vilken normskala som ska tillämpas.
Varje organisation ska själv ta fram sitt eget komplexa ledningssystem med de komponenter som anvisas i standarden men utformningen och tillämpningen kommer att se väldigt olika ut, det tror jag varje erfaren konsult kan intyga.
Istället för centrala regler som specificerar olika lösningar får vi alltså en mängd olika regelverk som ska användas i samma infrastruktur.
Standarden leder alltså sannolikt till mindre standardisering på grund av sin inriktning på enskilda organisationer istället för på helhet.
Bräckligheten i kunskapsunderlaget och det fragmentiserade resultatet är två orsaker att ompröva ISO 27000 ställning i den offentliga verksamhetensi Sverige.
Vi behöver inte kasta ut barnet med badvattnet men vi måste våga ifrågasätta doktrinen även om de som har byggt upp en stark ställning med hjälp av standarden riskerar att ta illa upp.
Informationssäkerhet är en för viktig fråga för att vi ska ha råd med heliga principer som inte tål att diskuteras.
Häromveckan kom en OECD-rapport där det framkom att Sverige enligt de måttstockar som användes inte var så bra på digitalisering.
Rapporten väckte förvåning och upprördhet i vissa kretsar.
Jag kan på sätt och vis förstå att det kan upplevas som en kalldusch med tanke på hur mycket offentlig ”digitalisering” haussas och sponsras.
Samtidigt får jag litet drygt medge att jag inte är såååå häpen.
Den svenska digitaliseringen har under decennier fört en haltande tillvaro trots att den ständigt varit omgiven av jublande kaskader av pepp.
Under dessa år har olika mystiska nationella organisationer skapats, marknadsförts och sedan dött utan att lämna några imponerande spår efter sig.
Ur minnet kan jag rada upp följande: Utöver detta har diverse ännu mer kortlivade initiativ tagits av regeringar i form av råd och kanske den mest luftiga av alla: en nationell CIO, en funktion som lyckligtvis evaporerade efter mindre än ett år.
Av allt detta finns idag bara DIGG kvar – en myndighet med oklart ansvar och mandat.
Efter att ha rört mig i både närmare centrum och och för det mesta i periferin av dessa cirklar så finns det vissa genomgående drag som jag tycker mig kunnat notera.
Bara uppräkningen av alla flyktiga organisationer som haft en förväntan på sig att samordna den svenska digitaliseringen visar på det kanske främsta problemet: bristen på kontinuitet.
Det har aldrig funnits en långsiktig plan med prioriteringar för hur den offentliga digitaliseringen ska rullas ut.
Bristen på strategisk inriktning skulle i sig kunna vara en strategi, att den svenska staten gjort en välavvägd bedömning att en organisk framväxt utan styrning av digitala lösningar på sikt skulle gynna samhället bäst.
Om detta har varit planen har den dock hållits väl dold.
Verkligheten tyder på, i alla fall för mig, att planering och tydlig inriktning hade varit mycket önskvärt för att skapa en fungerande digital infrastruktur.
Kanske var vi närmare en möjlighet att skapa en infrastruktur på slutet av 90-talet än idag.
Då fanns en medvetenhet om att Sverige hade unika möjligheter bland annat genom denna snabba spridningen av hemdatorer som skett då anställda fick möjlighet att med förmånliga villkor skaffa sig en egen dator via arbetsgivaren.
Då diskuterades hur en statlig e-legitimation skulle kunna införas som en central infrastrukturkomponent.
Själv tyckte jag att det var en rimlig förlängning av ett statlig åtagande: folkbokföring, personnummer och sedan e-legitimation skulle fullfölja en lång linje i svensk förvaltningshistoria som skulle kunna vara byggstenen för många andra lösningar.
Men sedan hände ingenting, varje år sas det att i september – då kommer den att komma!
Vet ej varför just september var en så bra månad för att lansera e-leg men i min något osäkra minnesbild var det så.
En myndighet (E-nämnden) bildades 2003 för att leva i två somrar med uppdrag att stödja utvecklingen av ett säkert effektivt elektroniskt informationsutbyte mellan myndigheter och mellan myndigheter och enskilda genom att beslut om vilka standarder för informationsutbyte myndigheter under regeringen skulle använda sig av.
Detta inkluderade även e-legfrågan.
Men som sagt någon statlig e-legitimation blev det inte då vilket jag är ganska övertygad berodde på ideologiska skäl.
Politiker av olika schatteringar gick all in för nyliberalism och ville hellre att ”marknaden” skulle hantera e-legitimationerna vilket säkert påverkade införande och fördröjde en säker infrastruktur-utveckling.
Att jag tagit upp denna gamla historia är mest för att peka på ett annat återkommande tema i den svenska digitaliseringen, nämligen att det saknats öppna och tydliga diskussioner om hur staten och marknaden ska samverka på bästa sätt för gynna samhället.
Istället har framtagandet av digitala lösningar skett i en ideologisk blindhet som lett mycket stora kostnader (tänk bara Hälsa för mig) utan att det lett till de resultat som eftersträvats.
Och vad är det då för resultat som eftersträvas?
Man skulle tycka att med den stora förväntan på digitalisering och AI som lösningen på alla problem liksom de miljarder som pytsats in att även utan plan så skulle det vara nödvändigt att ha någon slags tydliga mål som går att följa upp.
Så är dock inte fallet om man inte räknar det outsägligt fåniga målet att ”Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter” som tydligt.
Istället vimlar det av fluffiga utsägelser som digitaliseringen ska rädda allt från äldreomsorgen till exportindustrin och självklart skolan.
Exakt hur det här ska gå till beskrivs vad jag kan se varken av , eller digitaliseringsevangelisterna trots att man skrivit vad man kallar mål och strategier.
Det förväntas bara ske.
Det ligger något av en paradox i att digitaliseringslösningar idag så ofta används för att mäta som en del i det rådande NPM-paradigmet när det samtidigt sker så litet av formell utvärdering av vad digitaliseringen faktiskt leder till.
Om man går in de traditionella utvärderarna av ”vad f-n får vi för pengarna?” som Riksrevisionen, Statskontoret och, när det gäller e-hälsa, Myndigheten för vårdanalys finns påfallande få granskningar och rapporter skrivna just om digitalisering.
Riksrevisionen publicerade 2016 en som knappast är en av dem som länder revisionen till heder med tanken på kvaliteteten som kontrollerar om myndigheter digitaliserat tillräckligt mycket – inte vad digitaliseringen lett till.
Detta är i sig en generell tendens, att se digitaliseringen i sig som något ”gott” samtidigt som man i nästa andetag säger att digitaliseringen inte är självändamål.
Men vad kan vara mer självändamål än att ha som mål att ”Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter”?
Däremot kom 2019 en om digitalisering och nyföretagande som faktiskt sätter nyföretagandet i centrum – inte digitaliseringen.
Utöver detta finns det inte mycket att hämta om digitalisering hos Riksrevisionen om man är intresserad av resultatet av statens insatser på området.
Statskontoret har skrivit myndighetsanalyser av bl.a.
E-delegationen, Digisam och Digitaliseringsrådet (spoiler alert: de har inte lyckats så bra) men egentligen inget vad jag kan se om digitaliseringen i sig.
Riksrevisionens och Statskontorets uppdrag kan möjligen göra dem något begränsade i sina granskningar men att Myndigheten för vårdanalys inte haft detta som ett starkt granskningsområde förvånar mig starkt.
Med tanke på hur e-hälsa, välfärdsteknologi, AI och digitalisering lyfts fram som vårdens frälsare borde utfallet av detta vara mycket angeläget att kontinuerligt följa.
Som det nu är hittar jag egentligen bara en som handlar om cancervården specifik.
Ett om äldreomsorgens digitalisering ska slutlevereras 2023 och inriktningen ”Myndigheten ska bedöma hur digitaliseringen av äldreomsorgen bidrar till verksamhetsutveckling, med särskilt fokus på kostnadseffektivitet.” – alltså hur ska digitaliseringen ”effektivisera” äldreomsorgens.
Sammanfattande kan jag förstå om det är svårt att göra granskningar med så fluffiga mål för vad är det egentligen som ska följas upp?
Min egen anekdotiska upplevelse är att den svenska digitaliseringen lider svårt av ett marshmallowssyndrom.
Ni vet det där gamla experimentet om uppskjuten tillfredställelse som sedan har ifrågasatts men som jag ändå använder här som bild.
På Stanford university erbjöds fyraåring att marshmallows med förutsättningen att om de kunde motstå att genast sluka den godbit de fick och kunde vänta några minuter kunde de istället få två.
Tanken var att de som kunde planera och motstå frestelsen blev framgångsrika längre fram i livet.
Den svenska digitaliseringen tyckte jag ofta har liknat barnen som inte kunde låta bli att genast tillfredsställa sitt sötsug.
De politiker, tjänstemän och företag som drivit på digitaliseringen har dock styrts av starkare tobak än marshmallows men kontentan blir att det idag saknas en plan.
Det tycks som man ofta gör saker för att man inte för att man analyserat och kommit fram till att det är rätt steg i en bestämd riktning.
Detta leder också till den intressanta frågan vems intressen tjänar den nuvarande digitaliseringen.
Som redan nämnts är äldreomsorgen ett frestande område att digitalisera, mindre så digitaliseringsbyråkraternas egna jobb.
Jag ska inte ge mig in på David Graebers tankar om Bullshit jobs (läs gärna själva!)
men tanken på de undersköterskor som flänger omkring som torra skinn i äldreomsorgen är de som ska effektiviseras och inte de som har bullshit jobs är djupt störande.
Jag tänker också på vad en äldre människa tjänar på att inte få en människa som kommer och hjälper till med matning utan en robot.
Detta borde vi prata mycket mer om.
För att ingen ska missförstå ovanstående: jag vet och uppskattar den ständigt puttrande digitaliseringen men skulle uppskatta en plan.
I mitt förra inlägg hävdade jag att arbetet med informationssäkerhet alltför ofta kännetecknas av byråkratiska aktiviteter utan reell säkerhetshöjande effekt men däremot med ett anspråkstagande av verksamheters resurser på ett orimligt sätt.
Det är ju inte heller enbart kärnverksamhetens resurser som används på ett sätt som kan etiskt ifrågasättas.
Att säkerhetsarbetet bedrivs utan hänsyn till hur effektiv användningen av resurser är samtidigt som den oavlåtliga klagovisan ljuder att säkerhetsarbetet får för litet resurser, ständigt för litet resurser, är paradoxalt.
För den som arbetar med säkerhet borde det ha högsta prioritet att få fram arbetssätt som ger största möjliga utdelning av säkerhetshöjande effekter i förhållanden till insatta resurser.
Tyvärr har jag sett mycket litet av den typen av analyser och jag kan t.o.m.
tycka att säkerhetsområdet får rejält med pengar sammantaget utan det riktigt framgår vad som kommit ut av det.
Rubriken på blogginlägget är aningen ironisk eftersom det väl nu är allmänt känt att effektiviseringar sällan leder till bättre verksamhet.
Jag tycker ändå att det är klädsamt om vi som jobbar informationssäkerhet, som är en stödfunktion, håller upp spegeln och ser vad vi kan göra när kärnverksamheten i många organisationer är hårt pressad av krav på besparingar.
Att försöka göra saker bättre och mer kostnadseffektiva behöver inte heller vara till nackdel för metodutveckling, jag dristar mig att anse att det skulle vara en fördel om det fanns ROI-perspektiv på både planerade och genomförda säkerhetsåtgärder.
Jag tror det skulle vara ett stort stöd för många informationssäkerhetsansvariga som nu ibland verkar beta av ett antal aktiviteter utan att kunna bedöma vad det egentligen leder till.
Vissa aktiviteter kan vara stora och dyrbara men det handlar också om annat där kostnaden kanske inte är så stor men effekten ännu mindre.
Att genomföra generiska e-utbildningar är enligt min erfarenhet tämligen bortkastat mensom initierat dem kan bocka av en ruta.
För mig betyder detta mekaniska tillvägagångssätt, förutom pengar och medarbetares tid i sjön, att organisationen invaggas i en vilseledande och farlig falsk trygghet.
Det tämligen obefintliga effektivitetspressen inom säkerhetsområdet, som är så kännbar i andra sektorer, tycker jag mig se leda till en lättja i tanke och i handling.
Det är lätt att glömma bort men informationssäkerhet handlar i grunden om att .
Har man inte det så har man inte en fungerande informationssäkerhet.
Med detta i bakhuvudet så kan den seriösa informationssäkerhetsarbetaren inte leva efter bekvämlighetsprincipen och hela tiden göra det som känns enklast.
Att enbart identifiera information som råkar finnas i system som man redan känner till är som, för att använda en mycket uttjatad bild, att leta efter den borttappade nyckeln under gatlyktan eftersom det är enklast.
Tyvärr är det så jag uppfattar rätt mycket av de insatser som går under beteckningen ”informationsklassning” som inte leder till kontroll över den information som är viktig för verksamheten utan den som redan finns bekvämt paketerad i en behållare a.k.a ett ”system”.
Ibland när jag får ”verktyg” för informationsklassning som är obegripligt efterfrågade presenterade för mig kan jag inte låta bli att fnissa till och tänka på min bekant som var kommunal it-chef på 1990-talet.
Hen hävdade att det var en underbar tillvaro där hen sågs som en wizzard som på vilken fråga som helst (i princip) från verksamheten kunde hacka ihop ett it-verktyg för att lösa en uppgift.
”Stöd” sågs helt enkelt som synonymt med någon slags programvara.
Tyvärr tycks denna uppfattning leva kvar bland många i informationssäkerhetsbranschen trots att det ofta är de icke-digitala delarna i en aktivitet som är svåra.
I informationsklassning (se nedan) är den stora frågan exempelvis att göra rätt analyser, inte att hålla reda på genomförda klassningar.
Innehåller verktygen dessutom generiska skyddsåtgärder uppstår en annan problematik: vem tar då egentligen ansvar för att det är korrekta skyddsåtgärder i förhållande till risken?
Efter denna salva känner jag mig förpliktigad att ge exempel på alternativ.
Här kommer därför ett förslag på arbetssätt motsvarande informationssäkerhetens kinderägg.
De tre fördelarna med mitt förslag är att man faktiskt arbetar med information – inte system, att man kan bygga upp en likvärdig säkerhet i likartade verksamheter och att kostnader i form av pengar och tid radikalt skulle kunna minskas samtidigt som får ökad kvalitet/säkerhet.
Med avsikt har jag valt en mycket säkerhetskänslig funktion som även är mycket vanligt förekommande: processen för läkemedelshantering i äldreomsorgen.
För att ge en kort bakgrund så ombesörjs äldreomsorgen med de 290 kommunerna som huvudman.
Kommunerna kan bedriva omsorgen själva eller anlita underleverantörer som privata vårdföretag.
Oavsett vilket så är det kommunen som har ansvar som sjukvårdshuvudman och ska därmed säkerställa att omsorgen bedrivs på ett säkert och likvärdigt sätt oavsett utförare.
En central del i omsorgen av äldre är läkemedelshanteringen.
Äldre som inte får rätt läkemedel i rätt dos vid rätt tidpunkt löper en avsevärd hälsorisk, i värsta fall med döden som utgång.
Omsorgen sker dygnet runt av ett antal medarbetare som vid varje givet tillfälle måste ha korrekt och spårbar information tillgänglig.
Samtidigt berör uppgifterna om läkemedel omsorgstagarens hälsotillstånd vilket gör dem till känsliga personuppgifter som måste omges med ett mycket starkt skydd mot obehörig åtkomst.
Utöver detta finns en särskild risk i läkemedelshanteringen, narkotiska preparat och även andra är mycket stöldbegärliga.
Även detta stärker det utpräglade behovet av spårbarhet där varje händelse kan följas och och kopplas till person som i en lång verifikationskedja.
En generisk processbeskrivning på övergripande nivå skulle kunna se ut så här.
Inga konstigheter i det men man kan gå ett fördjupande steg till utan att beskrivningen skulle tappa särskilt mycket i allmängiltighet med däremot fånga upp vilken information som hanteras, se detta utsnitt ur processen: Processen startar med att en av regionens läkare gör en läkemedelsordination vilket dokumenteras i regionens vårdsystem samt i den nationella läkemedelslistan.
Dessa moment ligger utanför processbeskrivningen ovan som startar med att information om ordination överförs till kommunen som en pappersutskrift vilket startar processen.
Den intresserade kan notera följande: Detta är inte på något sätt unikt för den här processen utan gäller för många andra.
Slutsatsen man kan dra är att om man seriöst så räcker det sannerligen inte med att ”klassa” ett enskilt system utan måste få kontroll över hela informationshanteringen.
Inte heller att enbart titta på digital information utan det är just helheten som måste fångas för att rätt åtgärder ska kunna vidtas.
Även för dataskyddet är detta en självklarhet – man kan liksom inte bara skydda personuppgifter i digital form.
I den ovan beskrivna processen finns t.o.m.
bärare som apodos-påsar som måste omhändertas på ett korrekt sätt.
Det kan tyckas ansträngande att inte bara få ägna sig åt färdigpaketerad information prydligt avgränsad i system men här finns istället stora effektivitetsvinster att göra.
Det går att klassa informationsmängden ”ordination” och så vidare så att det går att använda som en i samtliga kommuner oavsett vilka bärare man för tillfället råkar använda.
Dagens rekommendation från myndigheter och SKR är att 290 kommuner med vissa fall flera förvaltningar som bedriver äldreomsorg ska klassa system i varje förvaltning.
Dessutom måste samma manöver upprepas av de privata vårdgivare som anlitas av kommunerna.
Enligt beräkningar fanns 2019 14900 företag som ägnade sig åt vård och omsorg.
Jag har inte riktigt tid att fördjupa mig i exakt hur många av dessa som bedriver äldreomsorg men för saken skull så utgår jag från att det åtminstone finns 500 privata äldreboenden.
Sammantaget kanske det då behöver göras 850 klassningar av olika vårdgivare.
Låt oss höfta och säga att resursåtgången per klassning är minst 100 timmar inklusive förberedelser och dokumentation (detta är extremt lågt räknat med tanke på att det ofta är ett flertal deltagare på klassningarna) för att klassa ett system som stödjer en liten del av ordinationsprocessen.
Lustigt nog kommer det också att bli samma system som klassas gång på gång med varierande resultat.
Kontentan blir alltså bristande kontroll över informationen och bristande likvärdighet mellan olika äldreomsorgsverksamheter till en sammantagen resursåtgång av 85 000 timmar.
Betänk också att detta bara är en av flera processer bara i äldreomsorgen.
Mitt förslag är att man istället slår ihop sina påsar, tar fram gemensamma normerande klassningar skyddsnivåer.
Skyddsnivåerna måste då tas fram i stor öppenhet där det redovisas hur man ser på olika risker och hur de föreslagna skyddsåtgärderna avses reducera dessa.
Koppling till krav i föreskrifter med mera bör även finnas.
Skyddsnivåerna måste även innefatta skydd av andra bärare än system och molntjänster, t.ex.
fysiskt skydd av papper.
En jätteuppgift är att hålla skyddsnivåerna uppdaterade så att de inte ger förlegade rekommendationer.
Då ska vi komma ihåg att detta ändå skulle kräva en bråkdel av de resurser som skulle gå åt om varje vårdgivare skulle genomföra alla moment själv.
Jag kan mycket väl tänka mig att man i många fall även kan ge förslag på arbetsrutiner.
Vad skull då detta kunna innebära i praktiken?
Naturligtvis skulle ansvaret för säkerheten aldrig kunna delegeras men exempelvis en vårdgivare skulle kunna gå i ett bibliotek av olika verksamhetsprocesser, välja ut den aktuella och få fram en bild av generisk process samt en normerande klassning av typen nedan (fast ifylld): Därefter jämför vårdgivaren med sin egen verksamhet hur väl det presenterade materialet stämmer överens.
Gör det det i stora drag, kanske med litet annorlunda benämningar, så skulle vårdgivaren med detta stöd kunna ta sig ner till nivå att kunna köpa rätt skåp att förvara den enskilde vårdtagarens medicin i. Att krav på digitala lösningar ingår är naturligtvis självklart.
Som en bonus kan även krav på bevarande och gallring läggas in.
Det kan kännas som en överväldigande uppgift att ta itu med men minns då att den redan är överväldigande och idag tynger kärnverksamheten på ett orimligt sätt.
Kan vi åtminstone ta fram normerande klassningar för generiska processer i samhällsviktig verksamhet skulle vi ge möjlighet att höja samhällssäkerheten högst väsentligt och dessutom kunna reducera resursåtgången.
Eftersom myndigheterna med särskilt ansvar för informationssäkerhet förefaller skeptiska till den här typen av stöd finns det utrymme för andra aktörer att träda fram.
Statskontorets publikationer är en underskattad men ständig källa om inte till glädje så till mycket nyttig kunskap.
Under sommaren har jag en forskningsantologi kallad .
Min bedömning är att denna antologi är ett måste för den som arbetar med informationshantering eller informationssäkerhet i offentlig sektor.
Här får man så mycket sammanhang och tankar att man går ur boken som en tjänsteperson eller konsult stärkt och betydligt bättre rustad att hantera sitt uppdrag.
Ur en informationssäkerhetskonsults vinkel är det framför allt avsnitten om hur förpappring, managementbyråkrati, användning av standarder och konsulter riskerar leda inte bara till onödig administration utan också till bristande styrförmåga.
Tyvärr är det mycket som känns obehagligt välbekant.
Det är dystert att blir varse om hur det område man själv jobbar inom liksom man själv kanske är en förgiftad gåva till uppdragsgivaren, att det kostar mer än det smakar.
Vi kanske ödmjukt borde inseltför ofta ger upphov till mer byråkrati än nytta, till mer krångel än säkerhet.
En ständigt närvarande fråga borde vara hur kan vi skapa bättre säkerhet utan att tynga våra uppdragsgivare och utan att ta kraft från organisationernas verkliga uppgifter.
Hur mycket har alla de icke-fungerande ledningssystem inte kostat i pengar, incidenter och en falsk trygghet som hindrat att man vidtagit reella säkerhetsåtgärder.
Slutligen är det för mig oetiskt att ta mer resurser från kärnverksamheten till säkerhet om det inte går att påvisa att det är nödvändigt.
Givna frågor borde vara: Varför fungerar då så mycket avt så dåligt trots de avsevärda resurser som läggs på det från olika håll?
Efter att ha begrundat Statskontorets antologi vill jag på prov lansera hypotesen att många av informationssäkerhetens tillkortakommande beror på att arbetet bedrivits som en del i den new public management-trend som varit rådande i svensk förvaltning de senaste decennierna.
NPM diskuteras frekvent i antologin och många av dessa resonemang kan med lätthet översättas till informationssäkerhetsområdet.
Kännetecknande för NPM är bland annat en strävan att styrformerna i offentlig förvaltning ska likna de i privata företag.
Konsekvenserna blir i korthet decentralisering, ram/mål-styrning, standarder och en massa mätande.
Det som regleras är som ska göras men inte Ansvaret för hur åtgärder ska genomföras trycks ner i den decentraliserade strukturen.
Någon som kommer att tänka på den så omtalade ansvarsprincipen kanske?
NPM kan låta lockande men jag skulle säga att informationssäkerheten nationellt och i de enskilda organisationerna lidit stor skada av att det inte funnits en inriktning att ge tydliga direktiv om olika säkerhetsåtgärder ska utföras.
Det är en närmast kuslig suboptimering att varje organisation ska räkna ut allt själva.
Kravet på kortsiktig leverans och mätbarhet gör att det strategiska arbetet försummas.
Dessutom leder till en bristande samordning i en alltmer integrerad informationsinfrastruktur där en parts investering i säkerhet görs helt urarva genom att andra aktörer har gjort andra bedömningar och därmed inte infört samma skydd.
Fokus ligger också på dokument, standarder och rapportering, allt i enlighet med NPM:s styrfilosofi.
Jag tror inte att motståndet mot att få en konkretare styrning i säkerhetsfrågor ligger hos enskilda myndigheter, kommuner eller regioner, tvärtom är en vanlig utgångspunkt i diskussioner att man vill ha tydlighet och stöd i att veta vilka säkerhetsåtgärder som är adekvata och uppdaterade.
Snarare uppfattar jag att myndigheterna med föreskriftsrätt duckar och inte vill ta det ansvar som det innebär att peka med hela handen.
Det är liksom lättare att klaga på den bristande säkerheten i förvaltningen än att ge ett ändamålsenligt stöd.
Jag vill lansera ett förslag som jag haft sedan jag jobbade på MSB som exempel på hur vi skulle kunna bryta med ovanstående ineffektiva styrning och få en bättre och billigare säkerhet.
Mitt förslag är och har varit att erbjuda stöd i form av standardiserade skyddsnivåer och det jag kallar normerande klassningar.
Skyddsnivåer har jag skrivit om tidigare så därför koncentrerar jag mig på de normerande klassningarna.
Det mest uppenbara exemplet på hur det skulle kunna fungera gäller kommunal verksamhet.
Tänk er att det finns 290 kommuner med samma tio obligatoriska uppgifter.
Det leder till att man har i grunden har mycket likartade processer även om man ofta har egna beteckningar på förvaltningar, processer och informationsmängder.
I större kommuner kan det vara så att flera organisatoriska enheter ägnar sig åt samma slags verksamhet, exempelvis förskola eller äldreomsorg.
Man kan också anlita utomstående leverantörer för att driva verksamhet som till exempel ett äldreboende.
En viktig grundprincip för kommunal verksamhet är likvärdighet, dvs.
att invånare har rätt att förvänta sig samma kommunala service oavsett var man bor eller vem som är utförare.
I det här sammanhanget bör det tolkas som att invånare har rätt till samma säkerhet och integritet.
Detta uppnås dock knappast om informationsklassningar genomförs på tusentals olika sätt med helt olika resultat (jag kommer inte att ta upp SKR:s KLASSA här eftersom jag gjort det på annat ställe och kommit fram till att det inte är ett verktyg för informationsklassning utan möjligen för att ställa baskrav på enskilda system och som dessutom ger precis samma risk för olikartade bedömningar som om man inte använde verktyget).
Vad som skulle leda till både ensartade bedömningar och dramatiskt minskad resursåtgång är att göra normerande klassningar på prioriterade processer i kommunal verksamhet.
Man skulle då gå igenom en generisk process, exempelvis utbetalning av försörjningsstöd, se vilka informationsmängder som stödjer och skapas i de olika aktiviteterna i processen.
Därefter kan informationsmängderna klassas och den normerande klassningen användas av samtliga som utbetalar försörjningsstöd.
I och med att aktiviteter och informationsmängder är förvånansvärt konstanta över tid i många processer (tro mig, jag har gått igenom ett stort antal processer även i ett ”historiskt” perspektiv) så skulle denna grund kunna användas under lång tid.
Uppdateringar måste göras då exempelvis lagstiftning eller andra nya förutsättningar leder till att en förändrad bedömning blir nödvändig.
Även denna förvaltningsinsats har allt att vinna på att genomföras kollektivt och inte av varje informationsägare.
Och, observera, den normerande klassningen är bara ett stöd.
Det står varje informationsägare fritt att välja en annan nivå eftersom ansvaret för säkerheten kvarstår hos hen.
Ytterligare en poäng är att det här finns mycket stora samordningsvinster att göra även med dataskydd och arkiv.
Jamen systemen och it-tjänsterna säger ni uppbragt – varför finns inte de med i konceptet???
Det gör de faktiskt eftersom it-säkerheten hanteras i de standardiserade skyddsnivåerna och gör man sin processorienterade informationskartläggning rätt så identifierar man inte bara de digitala lösningar som används som bärare utan även de andra medier som faktiskt används.
Dessutom förekommer idag information i många fall i flera versioner på olika bärare så därför kan man inte gå nerifrån och upp.
Slutligen är bärarna inte alls lika konstanta som aktiviteter och informationsmängder så att ha dem som utgångspunkt för strategiskt styrning skulle vara göra sig själv en stor otjänst.
En passant kan sägas att samma synsätt sannolikt skulle kunna användas av SÄPO till allas nytta.
Att göra generiska säkerhetsskyddsanalyser för exempelvis kommuner och regioner skulle avlasta dessa aktörer och ge ett mer likvärdigt skydd.
(Jag flyr nu eftersom jag vet att detta är en helig ko som absolut inte får besudlas….).
Min förutsägelse är att det inte finns något ljus som automatiskt kommer att slås på i denna mörka byråkratiska tunnel utan det är vi själva genom att tänka fritt och nytt som måste skapa det.
Det är inte i mängden dokument säkerheten sitter.
Antalet konsulter har tillväxt kanske inte explosionsartat men massivt under de senaste decennierna.
Det skulle föra för långt att ta upp alla bakomliggande orsaker till detta i ett kort blogginlägg.
Jag tänkte istället ägna mig åt litet självspäkning så här i slutet av sommaren och resonera litet om informationssäkerhetskonsulter och vilken eventuellt nytta eller skada vi kan bidra till.
För dessa resonemang har jag inte något specifikt stöd gällande konsulter inom informationssäkerhetsområdet men utgår från forskning angående managementkonsulteri generellt.
Tankarna som presenteras nedan bygger dock främst på mina egna erfarenheter från båda sidor upphandlingsbordet samt av de studier av de palimpsestlika konsultinsatser som man alltför ofta stöter på som konsult.
Det vill säga de ofta flerfaldiga lager av tidigare uppdrag som inte lett till något varaktigt säkerhetsarbete men som lever kvar som bortglömda power points, ibland regelverk som är copy paste ur standarden och som resignation i organisationen: ”vi har ju redan försökt och det gick inte”.
Marknaden för informationssäkerhetskonsulter har som sagt växt.
Många organisationer, både privata och offentliga, ser behov externa specialister för att förbättra sin säkerhet.
Men flera faktorer försvårar redan i upphandlingsskedet.
En sådan faktor är att det är marknad där ”varan” saknar en tydlig definition för vad ska egentligen en sådan konsult ha för bakgrund och kompetens?
När det inte ens finns en tydlig överenskommelse om vad informationssäkerhet ÄR och än mindre krav på enhetliga utbildningar med fastställt innehåll så är förvirring en självklar konsekvens.
Vanligaste förvirringen är sammanblandningen av informations- respektive it-säkerhet där både leverantör och kund ofta har inriktning på teknisk säkerhet snarare än den organisatoriska säkerhet som är grunden för informationssäkerheten.
Leverantör och kund kan med denna bakgrund ha helt olika uppfattningar om vad som ska levereras.
Genomgående har leverantörer ett kunskapsövertag – det är ju de som förväntas sitta på expertisen.
Om kunden inte har gjort ett ordentligt förarbete med analys av vilken typ specialiststöd man egentligen behöver kan leverantören på olika sätt styra vad som faktiskt kommer att levereras.
Detta moment 22, att man har alltid för litet intern kompetens för att kunna beskriva vad som behövs innan man har upphandlat kompetens, gäller inte bara för enskilda organisationer.
Under åren har jag sett ett rätt stort antal gemensamma ramavtal som haft samma brist.
Upphandlingen tycks formad av önskan att hitta en informationssäkerhetens Mary Poppins som bara glider in och fixar till saker utan att besvära organisationen.
Resultatet blir bland annat att rena teknikföretag kan kapa åt sig uppdrag där organisatorisk kompetens är helt nödvändig.
När ingen annan kan beskriva vad en ”informationssäkerhetsspecialist” är och vad som krävs för att arbeta som en sådan är det naturligtvis ett omöjligt krav att ställa att just den upphandlande organisationen ska göra det.
I ett antal upphandlingar och även anställningsförfarande har varit med om att några yrkesgrupper anser sig kompetenta även om de aldrig arbetat med informationssäkerhet, läs militärer och poliser.
Tidigare har jag skrivit om att informationssäkerhet fortfarande i hög grad är en erfarenhetsbaserad kunskap där juniora utövare lär sig av seniora dito.
Men hur ska krav på denna typ av erfarenhet ställas i en upphandling och hur mycket enklare vore det inte med någon typ av examen kompletterad med praktik under x antal år?
Under senare år har det dykt upp krav på att konsulter ska vara certifierade.
Detta menar jag är ett attraktivt villospår.
De certifieringar som ofta refereras till lider dels av att vara utformade främst för amerikanska förhållande, dels ha teknisk inriktning.
Det är inte till mycket hjälp när man ska få till en organisatorisk styrning i en svensk kommun eller myndighet.Själv skulle jag alltid ge företräde till en konsult med akademisk examen i samhällsvetenskapliga ämnen framför någon med aldrig så många certifieringar men utan examen.
Ett trick som ibland har använts när upphandlingarna inte varit tillräckligt tydliga i kraven är att leverantören erbjuder en senior konsult men det sedan i praktiken blir juniora konsulter som får genomföra uppdraget.
Till viss del kan sådana ageranden uppmuntras genom upphandlingens konstruktion och hur man hanterar dilemmat att å ena sidan försöka uppnå en trygg leverans av konsultkraft från leverantören, å andra sidan få tillgång till verkligt kvalificerade konsulter.
Om betoningen läggs på att leverantörens förmåga att leverera kvantitet finns det en risk att konsulter ses som utbytbara.
En annan nackdel är att mindre leverantörer utesluts från möjligheten att lämna anbud.
Med risk att trampa folk på tårna är min erfarenhet att många av de mest kvalificerade konsulterna inom informationssäkerhetsområdet väljer att starta eget eller att arbeta i mindre bolag så att satsa på kvantitet i upphandlingen kan leda till att man kanske missar kvalitet.
Sedan är den upphandlingstekniska utformningen som ska formulera vad kunden prioriterar.
Ska man göra en bred utannonsering eller räcker det med att vända sig till några få leverantörer?
Är det priset, kvaliteten eller tiden som är viktigast?
För offentliga organisationer finns också omfattande regelverk som LOU att följa när det gäller den här typen av frågor.
Ett mer grundläggande problem är hur man egentligen ska prissätta konsulttjänster.
Fortfarande är den vanliga linjen att man använder timpris vilket är förståeligt men ofta vilseledande.
För en duktig konsult kan naturligtvis leverera mycket mer kvalitet på kortare tid än en mer orutinerad.
Ur kundens synvinkel får man alltså mer kvalitet till lägre pris om man väljer en dyrare konsult (under förutsättning att den dyrare konsulten verkligen är bättre).
Det rimliga vore att sätta priset utifrån nyttan som levereras till kunden oavsett hur lång tid det tar att utföra uppdraget.
Nu är det ofta så att upphandlingar görs av ett visst antal timmar vilket om det kombineras med alltför stor betoning av timpriset leder till att kunden får en sämre konsult till ett högre sammanlagt pris.
Jag menar också att det fordras en ansenlig mängd icke-fakturerbar tid för att utveckla sin kompetens och hålla sig uppdaterad vilket påverkar det som blir timpris ut.
För en medveten kund bör detta vara en aspekt värd att noggrant analysera innan upphandlingsunderlag skickas ut.
Kunder väljer ofta att upphandla x antal timmar eller ett fastprisuppdrag för att få kontroll och inte en löpande räkning utan slut.
Själv brukar jag istället föreslå att kunden köper en timbank med fritt avrop.
Då ligger makten hos kunden som inte behöver avropa fler timmar än man faktiskt använder och dessutom, om man inte trivs med konsulten, kan kunden på ett smidigt sätt avsluta relationen.
Eftersom det ofta är svårt att avgöra hur omfattande uppdraget blir innan man börjar med en mer konkret planering så ger detta kunden en flexibilitet som på ett avgörande sätt kan minska kostnaderna för uppdraget.
Jag tycker också det är rimligt att leverantören tar risken i affären eftersom man har kunskapsövertaget och möjligheten att påverka uppdragets utförande.
Det handlar ju också om att ställa krav som går att utvärdera på ett bra sätt vilket ju är något enklare för tekniska prylar än då man ska köpa mänsklig kompetens.
Kompetensen är som sagt svår att beskriva vilket leder till att den är även är svår att kontrollera.
Med beaktande att kunden ofta inte har möjlighet att göra en riktigt rättvis bedömning så tycker jag ändå att det finns vissa krav som kan leda till en bättre uppfattning om vad leverantörens erbjudande innebär.
Exempelvis skulle jag numera som kund ställa krav på exakt vilka konsulter som är aktuella i anbudet samt efterfråga skriftprov och andra underlag som just dessa konsulter skrivit.
Vid referenstagning skulle jag försöka tala med andra än den eller de som konsulten arbetar närmast hos en tidigare uppdragsgivare eftersom jag upplever att det är rätt vanligt att det finns en aningen symbiotisk relation mellan exempelvis informationssäkerhetsansvarig hos kunden och konsulten.
Kunden bör också få möjlighet att träffa den tilltänkta konsulten för att skaffa sig en bättre bild av personen och det intryck den ger.
Särskilt vikt bör i samtalet läggas vid vilken faktiskt erfarenhet av och förståelse för kundens verksamhet som konsulten har.
Utan denna förförståelse kommer kunden att få betala för leverantörens kompetenshöjning då konsulten måste sätta sig in i förutsättningarna för kundens organisation.
Men inte ens dessa varianter på krav garanterar på något sätt att man hittar ”rätt” konsult.
Inte bara kunden behöver göra analyser av chansen/risken för att uppdraget avlöper framgångsrikt.
Även leverantören har all anledning att försöka klargöra hur redo kundens organisation är för genomförandet av det aktuella uppdraget.
Inte så sällan tackar jag nej till uppdrag.
Det kan handla om att kunden har satt en alldeles för snäv tidsram för att de organisatoriska åtgärderna ska hinna tas fram, processas, beslutas och genomföras eller att jag inte uppfattar att ledningen verkligen är beredd på vad som kommer att vara nödvändiga förutsättningar.
Om ett avtal sluts uppstår omedelbart ett antal nya frågeställningar.
En del av dem uppkommer genom att leverantören och kunden inte har riktigt samma intressen.
Många leverantörer är starkt inriktade på att genomföra uppdrag på sitt sätt, inte minst därför att det lönar sig bättre att ”ta från hyllan” än att utveckla saker tillsammans med kunden (såvida man inte har uppdrag på löpande räkning).
Att vara alltför lyhörd och explorativ kan äventyra vinsten i ett fastprisuppdrag med definierad leverans men även uppdrag med begränsat antal timmar.
Juniora konsulter är också av naturliga skäl rädda att släppa sargen och överge mallar som tagits fram av arbetsgivaren.
För en konsult är det också en svår balansgång mellan att göra för mycket alternativt för litet.
Det är ofta svårt frestande att ta över alltmer avt, alldeles särskilt om förväntan finns på att man ska vara Mary Poppinslikt allfixande.
Det är praktiskt för konsulten eftersom man då kan genomföra arbetet på sitt sätt vilket gör att man har kontroll och det på ett sätt går snabbare.
För kunden kan det dock bli en nackdel om konsulten blir alltför dominerande eftersom man då riskerar få en leverans som inte är avpassad för verksamheten och att behovet av att bygga upp egen kompetens försummas.
Om detta finns mycket mer att skriva men eftersom det är sommar och sol får det vänta till ett senare tillfälle.
Jag tror att vi måste bli mycket mer öppna om att det är svårt både att vara kund och att vara leverantör när det kommer till att upphandla konsulttjänster.
En förbättrad dialog i de enskilda uppdragen där konsulten är följsam och öppen inför hur kunden uppfattar leveransen höjer kvaliteten inte bara i uppdraget utan kan bidra till en långsiktig utveckling av branschen.
Ja, det verkar självklart men vid ett stort antal tillfällen har jag träffat på kunder som varit missnöjda med tidigare konsult men inte tyckt sig kunna nå fram utan istället valt att så snabbt som möjligt avsluta uppdraget.
Vi måste också ha diskussioner generellt om hur man får till en bra upphandling där kund och leverantör har samförstånd om vad och hur uppdraget ska levereras och med vilken kompetens.
Kanske kan informella men allmänt accepterade paketeringar av olika typer uppdrag tas fram.
Detta försvåras dock av att det inte finns någon sammanhållande branschorganisation.
En flink människa skulle ju också kunna ta fram en ratingsida där olika konsultinsatser betygssätt ungefär som ett restaurangbesök – det vore nog smärtsamt men nyttigt för många av oss.

demokratiaspekter genom insyn och transparens forskningens tillgång till information på lång och kort sikt förtags behov av råvara till olika typer av tjänster inklusive AI Toppledarforum E-nämnden (Nämnden för elektronisk förvaltning) 24-timmarsmyndigheten Verva E-delegationen E-legitimationsnämnden Digitaliseringskommissionen Digitaliseringsrådet DIGG Merparten av informationsmängderna är även de att betrakta som tämligen generiska Merparten av informationen hanteras i pappersform, detta särskilt i kritiska aktiviteter i processen En stor del av informationen finns på flera bärare samtidigt I hela processen är spårbarheten är essentiell för patientsäkerheten Har den här åtgärden en säkerhetshöjande effekt som står i paritet med den kostnad och krångel som den orsakar verksamheten?
Är den här åtgärden verkligen avpassad till och tar hänsyn till verksamhetens egentliga behov av säkerhet?
Indirekt: vet jag som vill lansera den tillräckligt mycket om verksamhetens behov för att kunna avgöra det?
Kommer den här åtgärden verkligen att fungera i praktiken eller är den en ren pappersprodukt?
Och kommer den även att fungera över tid, t.ex.
när konsulten lämnat skeppet?
Finns det verkligen inte ett effektivare sätt att reducera risken till en acceptabel nivå?

inte inte behov bred kan, ha kontroll över sin information normerande klassning och vad hur.
hur

Meny Författare: Inläggsnavigering

MENU MENU Fia Ewald Postat av MSB fick den 19 september 2019 i uppdrag av regeringen att ta fram en struktur för uppföljning av det systematiskat i den offentliga förvaltningen.
Uppföljningsstrukturen ska syfta till att aktörer i offentlig förvaltning regelbundet ska erbjud as att medverka i uppföljningen och få återkoppling som omfattar en bedömning om vilken nivå derasbefinner sig på samt förslag på åtgärder som bör vidtas för att uppnå en högre nivå påt.
Uppföljnings strukturen ska även syfta till att MSB regelbundet ger regeringen en samlad bedömning om nivån på det systematiskat i den offentliga förvaltningen.
Postad i , , , , Tagged , , , , Postat av → Postad i , , , , , , , Tagged , , , , , , , Postat av Postad i Postat av Postad i , , , Tagged , , Postat av miljoner Postad i , , , , Tagged , , , , Postat av Rekommendationerna hänvisar inte till några allmänna standard er eller Postad i , , , Tagged , , , , , , , Postat av Postad i , Tagged , , , , Postat av Postad i , , , , Tagged , , , , , , , , , Postat av Postad i , , , Tagged , , , , , , , Postat av Postad i , , Tagged , , , ← Sök efter:

Tack Calle Lilius för bilderna!
Statlig förvaltningspolitik för 2020-talet

Vår ambivalens inför molntjänster är stor.
Å ena sidan har vi risken att personuppgifter och annan känslig information kommer i orätta händer, å andra all den funktionalitet som vi så gärna vill ha.
Dessutom måste det vägas in att molntjänster erbjuder många säkerhetsfördelar, inte minst för mindre organisationer.
menar att vi står i ett vägskäl.
Själv ser jag att många redan har gjort sitt val och tyckt att nyttan med molntjänster överstiger risken.
Att många kommuner har gjort så är ingen hemlighet men jag blir ganska häpen när jag efter ett tips kollade upp , en rekryteringstjänst för Försvarsmakten.
Tipset var att denna tjänst ligger i Office 365, en molntjänst som driftas av Microsoft på Irland.
För att få korrekt information skrev jag och frågade Försvarsmakten litet om detta.
Jag har tre frågor om Mitt försvarsmakten: Slutligen skulle jag vilja ut en lista över vilka personuppgifter som hanteras i Mitt försvarsmakten.
Tack för svar!
och fick då följande svar som jag publicerar in extenso: Hej!
Se svar nedan på dina frågeställningar.
Mitt Försvarsmakten är byggt inom extern molntjänst (Microsoft Office 365).
Försvarsmakten har ställt krav på informations- och IT-säkerhet och granskat den färdiga lösningen utifrån kraven med godkänt resultat.
Inom ramen för utvecklingsarbetet har den militära underrättelse- och säkerhetstjänsten, MUST, löpande deltagit i granskningar av lösningen och har även godkänt lösningen inför driftsättningen.
Försvarsmakten arbetar kontinuerligt med kontroll och förbättringar av informations- och IT-säkerheten i alla IT-tjänster inklusive denna.
Försvarsmakten kommenterar inte i detalj hur säkerhetskraven är implementerade.
Personuppgifterna i Mitt Försvarsmakten behandlas med stöd av samtycke från den enskilde.
Av samtycket framgår även att Microsoft behandlar personuppgifterna.
Försvarsmakten använder Google Analytics från Google som analysverktyg.
Google Analytics använder cookies.
Informationen som genereras av dessa (inklusive IP-adresser) kommer att vidarebefordras till och lagras av Google.
Denna information används i syfte att utvärdera besöksstatistik.
Google kan också överföra denna information till tredje parter om det krävs enligt lag eller i de fall en tredje part behandlar informationen för Googles räkning.
Google kommer inte att koppla samman IP-adresser med annan data som Google innehar.
Google Analytics anonymiserar den information som skickas till Google.
För personer utan registrerad användarprofil i Mitt Försvarsmakten som har registrerat sig för ett specifikt event behandlas endast uppgift om namn och e-postadress.
För personer med registrerad användarprofil i Mitt Försvarsmakten behandlas uppgifter om Namn Personnummer Kontaktuppgifter (adress, telefonnummer och e-postadress) Uppgift om kön Uppgift om svenskt medborgarskap Uppgift om nuvarande sysselsättning Uppgift om nuvarande arbetsgivare Uppgift om godkända betyg MA / SV / EN från gymnasiet Uppgift om kondition och muskelstyrka Intresse för Försvarsmakten Medarbetarstatus, tidigare anställning inom FM Har ansökt om Veterankort eller har Veterankort Har sökt tjänst Har sökt GMU Har gjort rekryttest Startat GMU/GU-F/GSU/Kombattantutbildning Slutfört GMU/delkurs/GU-F Tagit anställning inom FM Avtal tecknat Avtal tecknat den Samtycker till lagring och bearbetning av information Kandidaten vill avregistrera sig Mvh Försvarsmakten Det ska medges att jag ibland varit aningen tveksam till att det ofta framställs som att Försvarsmakten är säkerhetsexperterna även då det gäller det civila samhällets säkerhet.
Men om vi acceptera premissen att Försvarsmakten är någon form av riktkarl för samhällets säkerhet blir detta svar intressant.
Frågorna jag ställer mig är: Observera att jag inte har svaret på dessa frågor – jag bara funderar.

Om jag förstår det rätt ligger den här rekryteringssiten som en molntjänst där informationen ligger på Irland?
Använder siten Google Analytics?
Har det gjorts en riskanalys/informationsklassning innan man valde det här sättet att hantera informationen?
Har Försvarsmakten gjort rätt riskbedömning när det valt den här lösningen eller har de liksom många andra fallit för frestelsen och sett all fördelar finns med molntjänsterna och låtit detta få överhanden?
Om riskbedömningen är rimlig att hantera personuppgifter och andra uppgifter om exempelvis placeringar som annars uppfattas känsliga, dessutom i en omfattning som svindlar, i en molntjänst i det här sammanhanget – varför skulle det inte vara det i andra sammanhang som exempelvis i kommunal verksamhet?

MENU MENU Postat av Postad i , , , Tagged , , , , Sök efter:

It-incidenter och andra störningar som påverkar informationshanteringen är och kontinuitetshantering i ett informationssäkerhetsperspektiv är en allt hetare fråga.
Detta förstärks naturligtvis av att vårt beroende till informationshanteringen är i ständig tillväxt liksom riskerna, både de medialt tacksamma antagonistiska hoten och de mer vardagliga som uppdateringar som misslyckas, buggar och hårdvaruproblem.
Utan tillgång till information och kommunikation befinner sig organisationer snabbt i krisläge.
Stora resurser ofta behövs för att åtgärda orsaken till incidenten och för återställelse till normalfunktion men också för att upprätthålla verksamhetsprocesserna med reservrutiner.
I idealläget finns en planering för åtgärder, återställelse och verksamhetsprocessernas reservrutiner samt, inte minst viktigt, för kommunikation med medarbetare och externa intressenter.
Planerna är övade, samordnade och ständigt förbättrade.
Organisationen är också medveten om att det inte bara är tillgängligheten som påverkas av avbrottet, det finns även stora risker för obehörig åtkomst och för negativa konsekvenser för riktighet och spårbarhet.
I verkligheten är i idealläget ganska långt borta vilket inte bara är en personlig erfarenhet utan framgår också från de undersökningar som gjorts av statliga myndigheter och kommuner.
Hur det står till i privata företag finns det ingen lika heltäckande undersökning av men indicierna är starka på en liknande situation även där.
Tyvärr gäller detta även verksamheter som allmänheten har stora förväntningar på ska kunna fungera även under svåra omständigheter, som sjukvården.
Den kanske mest genomarbetade analysen av dessa litet skrämmande förhållanden gjordes av Tom Andersson i en mycket intressant av läkemedelshanteringen i Västra Götalandsregionen.
Utöver de reflektioner som Tom Andersson själv gör i studien finns det några övergripande faktorer som jag anser gör det svårt för den som villa skapa en fungerande kontinuitetshantering i den egna organisationen.
Den kanske mest avgörande är att i princip alla offentliga och privata organisationer idag av sina uppdragsgivare förväntas planera enbart för ett ständigt normalläge.
Att i budgetdiskussioner hävda att det behövs en marginal, litet luft i systemet, litet extrakapacitet att ta till i händelse av störningar skulle i bästa fall väcka förvånade huvudskakningar.
Lean är möjligen en organisationsfilosofi på utgående men önskan att slimma verksamhetsprocesserna till allra nödvändigaste är numera etablerad i flertalet organisationer.
Tyvärr är det oundvikligt att en fungerande kontinuitetshantering kräver att organisationen ska klara situationer utanför normalläget vilket innebär extra resurser både för själva åtgärds- och återställelsearbetet och för reservrutiner som dessutom måste övas för att fungera.
En stor del av tidigare offentligt finansierad och offentligt utförd verksamhet överförts till privata utförare utan att avtalen innehåller krav på att utföraren ska ha en kontinuitetshantering vilket ytterligare försvårar situationen.
Även den som fått budget och sanktion för att skapa en kontinuitetsplan för informationshanteringen i den egna organisationen kommer att ha en svårhanterlig uppgift framför sig.
Informationshanteringen sker inte längre enbart i den egna organisationen utan är en del i ett komplext samspel med andra.
En processkartläggning över en verksamhetsprocess beroenden till olika tjänster och resurser för informationshantering som dessutom ständigt förändras är ett nödvändigt underlag.
Att få kontroll över denna helhet och skapa förutsättningar för att kunna hantera störningar är inget som går att lösa i ett projekt utan kräver ett systematiskt och uthålligt arbete där många interna och externa parter måste vara involverade.
I många sammanhang finns den outtalade förutsättningen att organisationer har en generell kontinuitetshantering som det går att komplettera med informationssäkerhetsaspekterna.
I ett sådant scenario finns redan modell och andra viktiga komponenter som ansvarsfördelning på plats.
Tyvärr är min erfarenhet att detta sällan är hur verkligheten beskaffad i flertalet organisationer.
Vad som finns är kanske en krisledningsorganisation men ingen faktisk planering eller övning av händelser då centrala resurser faller bort.
Den informationssäkerhetsansvarige får då arbeta i underläge och ta ansvar för mycket mer än vad som ligger i rollens mandat och uppgifter.
Här tror jag många informationssäkerhetsansvariga resignerar och med viss förtvivlan grubblar över hur de ska kunna göra det som de ändå vet är en mycket viktig del i uppdraget.
Varken för den generella kontinuitetshanteringen eller den som är specifikt inriktad på informationssäkerhet finns det mycket stöd att hämta.
Detta trots att förmågan att upprätthålla den verksamheten vid större störningar och kriser är ett ansvar som i det svenska krishanteringssystemet ligger på den enskilda organisationen.
Det finns naturligtvis standarder och konsultföretag som kan hjälpa till men någon nationell modell eller metod finns inte etablerad även om detta efterfrågats av bland annat kommuner.
Att plocka fram en egen modell eller metod framstår säkerligen för de flesta medelstora och små organisationer som övermäktigt.
Ur ett samhällsperspektiv är det också en suboptimering om alla organisationer ska ta fram egna varianter som dessutom inte är koordinerade sinsemellan.
Denna dystra bild får ändå inte göra oss passiva eftersom kontinuitetshanteringen är så betydelsefull för oss både i den enskilda organisationen och på en samhällsnivå.
Nedan följer några tips som ändå kan underlätta arbetet.

Prioritera verksamhetsprocesser.
Vid en större störning kommer det inte att vara möjligt att upprätthålla all verksamhet utan de resurser i form av exempelvis tjänster, kommunikation och medarbetare måste användas för de processer som ledningen prioriterar.
Prioriteringen ska inte ske under störningen utan under exempelvis verksamhetsplanering.
Kartlägg beroenden.
Genom processkartläggning går det att identifiera vilken information och vilka bärare som är nödvändiga för att upprätthålla processen.
Det ger också ett bra underlag för it-ansvariga att ta fram den planering som ska ske mellan olika tjänster och andra it-resurser.
Håll planeringen så enkel som möjligt.
Alltför komplexa planer blir snabbt inaktuella och dessutom svåra att hantera i ett kritiskt läge.
Det är sällan intressant att gå djupare i olika tänkbara orsaker till störningen utan det är störningens effekter på verksamheten som är det intressanta.
Att koncentrera sig på effekterna gör också planeringen enklare än att ha en mängd olika alternativ utifrån olika orsaker till störningar.
Se till att ledningen är beslutsför.
Under ett akut skede måste ett antal beslut tas som ligger utanför det som är möjligt att planera och då måste de som har en ledningsfunktion känna sig trygga i att de får fatta beslut.
Förbered för kommunikation.
God kommunikation med de egna medarbetarna och med intressenter utanför den egna verksamheten är oumbärlig både före, under och efter en större störning.
Öva, öva,öva!
Övningar kan ske under mycket anspråkslösa former som exempelvis på en arbetsplatsträff där man går igenom ett scenario och simulerar de steg som planen innehåller.
Mycket nyttigt både för planen,och verksamheten.

Meny Kontinuitet

MENU MENU Postat av Postad i , Tagged , , , Sök efter:

Det kan knappast ha förbigått någon att information blivit det nya guldet och att det finns extremt starka både offentliga och privata intressen som vill vara med och ta hem vinster från den resursen.
Framför allt den information som skapas i offentlig sektor är extra åtråvärd dels för att den är så omfångsrik, dels för att den ofta innehåller detaljerade uppgifter om olika allmänt intressanta förhållanden.
Intresset för att använda den offentligt producerade informationen som här kallas ”öppna data” har inom EU formaliserats genom PSI-direktivet som även blivit svensk lag sedan 2010.
En utredning tillsattes på klassiskt och bra svenskt maner 2019 för att bl.a.
genomföra en översyn och utvärdering av lagen (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen, analysera behovet av för-fattningsändringar för att genomföra öppna data-direktivet och säkerställa en ändamålsenlig nationell reglering som, ur ett rättsligt perspektiv, främjar och stödjer den offentliga förvaltningens arbete med att tillgängliggöra öppna data och annan digital information samt lämna förslag till nödvändiga författningsändringar.
Den lämnades över i höstas under beteckningen SOU 2020:55 Innovation genom information och har knappast lett till några större rubriker.
Att vidareförädla data kan ju tyckas som en högst okontroversiell inriktning för ett alltmer digitaliserat samhälle men ändå är det vissa frågor som skaver alltmer ju mer jag funderar på dem.
I utredningen ges följande beskrivning av syftet med offentlig verksamhet ska lägga resurser på arbetet med öppna data: I portalparagrafen till PSI-lagen anges att syftet med lagen är att främja utvecklingen av en informationsmarknad genom att underlätta enskildas användning av handlingar som tillhandahålls av myndigheter.
Redan där kan man haja till.
I Sverige har vi en mycket lång tradition av att utnyttja offentlig information för forskning och allmänhetens insyn men vad som här avses skapas är en ”informationsmarknad”.
Observera att med enskilda avses inte medborgare som vill ha insyn enligt offentlighetsprincipen vilket klargörs längre fram i utredningen utan endast företag som ska använda informationen.
Den tes som drivs i direktivet och i efterföljande lagar och utredningar är att det finns ett starkt samhällsintresse av att skapa en ”informationsmarknad” som ska försörja nationella och internationella företag med råvaran offentlig information till ett självkostnadspris.
I en som tagits fram av Lantmäteriet på uppdrag av regeringen blandas ändå syftena ihop så att det framstår som att öppna data skulle förbättra möjligheten till insyn: Öppna data skapar värde på flera olika plan i samhället.
Det rör sig dels om rena ekonomiska värden i form av stimulerad tillväxt och ökad effektivitet som ger aktörer möjlighet att utveckla nya produkter och tjänster.
Dessutom bidrar öppna offentliga data per definition till ökad transparens och demokratisk kontroll genom att öka insyn och förståelse för offentlig förvaltning.
Den ökade insynen innebär nya möjligheter för externa aktörer att mäta policyeffekter och granska, upptäcka samt motverka oegentligheter inom offentlig sektor.
För mig framstår som mycket tydligt att det finns framför allt tre olika syften med extern åtkomst till myndigheters information: Av dessa syften har under de senaste decennierna det sistnämnda syftet varit extremt prioriterat (även om forskning och företagande ofta kan vara överlappande).
I de olika initiativ som bedrivits i Sverige rörande digitalisering har jag inte på ett enda ställe sett några konkreta förslag för att utveckla lösningar för att stärka offentlighetsprincipen.
Detta trots att öppenheten blivit ordentligt naggad i kanten bland annat genom Sveriges EU-inträde genom avsiktliga och oavsiktliga anpassningar till den betydligt mer begränsade insynsmöjlighet som finns i övriga EU-länder (bortsett från Finland).
När man pratar om ökad delaktighet i digitala sammanhang är det alltså inte ökad insyn som diskuteras utan i de allra flesta olika tekniska lösningar som lanseras för offentlig service.
Vilka möjligheter som finns att digitalt utveckla demokratin är ett ämne som ligger mig varmt om hjärtat men jag skulle här även vilja peka på ytterligare en aspekt där den nuvarande satsningen på öppna data rymmer stora intressekonflikter.
Eftersom jag skulle vilja belysa den på ett principiellt plan och inte fastna i inhemska perspektiv väljer jag att ta ett exempel från USA.
I Erik Åsards nya bok Med lögnen som vapen som handlar om Donald Trump och hans påverkan på det amerikanska samhället.
I ett avsnitt berättar Åsard om Trumps märkliga tillsättningar av ledande tjänstemän.
Detta är nog så intressant men i det som jag fastnat för i detta sammanhang är när han föreslog Barry Myers, en miljonär och gammal kompis, som chef för NOAA som är den amerikanska motsvarigheten till SMHI.
Myers var av en händelse även ägare till ett privat företag som säljer väderrapporter som en kommersiell tjänst.
Enligt Åsard såg Myers rapporteringen från NOAA som en svår konkurrent eftersom myndigheten tillhandahöll samma data kostnadsfritt (enligt lag) som Myers paketerade om och marknadsförde i sin egen tjänst.
Som Åsard skriver: Rapporterna från the National Weather Service är kostnadsfria, men AccuWeather lyckades genom förförisk och inte sällan vilseledande marknadsföring få kunderna att betala för dem.
Utan den statliga väderlekstjänsten och dess skattefinansierade tillgångar (radar, väderstationer, väderballonger) skulle inte företaget ha mycket att erbjuda.
För att skilja ut sig från konkurrenterna började AccuWeather tillverka prognoser som sträckte sig 45 och till och med 90 dagar framåt.
Det är en metod som seriösa meteorologer har dömt ut och liknat vid att använda handläsning eller horoskoptydning.
Vidare skriver Åsard: Till skillnad från bolagen i den privata sektorn är the National Weather Service enligt lag förbjuden att göra reklam för sina tjänster.
Det har utnyttjats av företagare som Myers, som under 1990-talet offentligt började argumentera för att den statliga myndigheten borde förbjudas att göra några väderprognoser överhuvudtaget (utom vid fara för liv och egendom).
Sådan information borde vara en fråga mellan kunderna och de privata företagen, menade han.
När den konservativa republikanska senatorn Rick Santorum lade fram ett snarlikt lagförslag 2005, fick det entusiastiskt stöd av Myers.
Förslaget föll, men Myers tvekade alltså inte att stödja en lag som flagrant skulle gynnat hans eget företag och tvingat skattebetalarna att betala dubbelt för en tjänst som den statliga myndigheten tillhandahållit gratis.
Som Michael Lewis påpekar har privata företag i branschen ett ekonomiskt intresse av väderkatastrofer som deras offentliga motsvarigheter saknar.
Ju större och farligare orkaner, desto fler kunder kommer att vilja betala för att få varningar om dem.
Och ju fler kunder desto större vinster.
Lewis föreställer sig en dystopiskt slut – ”dagen då du bara får den väderleksrapport du betalar för”.
Lyckligtvis har vi ingen Trump i Sverige (än).
De många intressekonflikter som Erik Åsard så elegant lyfter fram i ett kort stycke i sin bok saknas är dock helt relevanta för Sverige när det gäller öppna data.
Av någon anledning har de utredningar som genomförts sedan direktivets tillkomst undvikit att ta upp dessa frågor trots att de har stor betydelse för både samhälle och den enskilde individen.
Att låta marknadskrafter bli dominerande när det gäller hur offentlig information ska användas skapar intressekonflikter.
”Öppna data” kan leda till motsatsen, att de undanhålls från medborgarna för att de utgör råvara för ett företag.
Och kommer det att ställas krav på myndigheterna att de måste upprätthålla informationshantering som annars skulle effektiviseras bort för att det skulle påverka företag som använder informationen negativt om den togs bort?
Det är inte heller säkert att låta multinationella försäkringsbolag kostnadsfritt ta del av patientuppgifter är något som gynnar några andra än just försäkringsbolagen.
Som alltid när det gäller intressekonflikter finns det inget entydigt svart eller vitt i hanteringen av öppna data även om det i det svenska sammanhanget hittills framställts som helt utan komplikationer att langa ut vår viktigaste gemensamma resurs gratis på marknaden.
Själv har jag svårt att förstå hur det kan utgöra en marknad överhuvudtaget, snarare en nationell välgörenhetsbasar.
För att skapa en mer mångdimensionell bild av öppna data där olika intressen kartläggs och ställs mot varandra på ett öppet (!)
sätt bör ett mer gediget underlag än olika tas fram om det verkliga ekonomiska värdet.
Därefter kan en offentlig diskussion föras om hur vår gemensamma informationsbonanza ska användas så att alla våra olika intressen tillvaratas – inte bara de ekonomiska för vissa aktörer.
Lämnade idag följande remissvar angående arkivutredningen.
Arkivutredningen fick i uppdrag att göra en bred översyn av arkivområdet i Sverige.
Jag menar att utredningen inte lyckats formulera de strategiska frågor som är av verklig betydelse för att arkivväsendet ska kunna uppfylla sin viktiga samhällsfunktion, än mindre kommit med lösningar på dessa frågor.
Istället har man fastnat i detaljer och frågor av mindre betydelse.
Genomgående har det som kan sammanfattas som ”kulturarvsperspektivet” få styra utredningens inriktning och prioriteringar.
Det gör att de mycket komplexa frågor som samhällets informationshantering brottas med i huvudsak lämnas utan behandling.
Några av de frågor som jag menar är av essentiella för att information av vikt ska kunna säkras för framtiden och som utredningen utelämnar i sin rapport är följande.
Det finns i idag ingen plan för hur all den information som skapas idag ska bevaras med kvalitet, säkerhet och autenticitet för framtiden.
Detta är kärnan i all arkivverksamhet.
När vi nu har en exponentiell tillväxt av information saknas organisatoriska, metodmässiga och tekniska lösningar för det långsiktiga bevarandet.
Likaså saknas aktuell vägledning för hur gallring ska kunna genomföras i de enorma informationsmängder som skapas.
De senast tillkomna generella vägledningar rörande gallring togs fram av Riksarkivet under senare hälften av 1990-talet, d.v.s.
för snart ett kvarts sekel sedan.
Istället för varaktiga lösningar har spridda experiment med så kallade e-arkiv skett i olika regi som exempelvis Statens servicecenters upprepade misslyckande med en e-arkivtjänst.
Dessa lösningar är dock bara mellanarkiv – hur det slutgiltiga omhändertagandet av den digitala informationen är fortfarande höljt i dunkel.
Denna fråga borde ha varit centrum i utredning som har till uppdrag att göra en översyn av arkivverksamheten.
Ända fram till 1990-talet föreföll det fortfarande relevant att utgå från att varje myndighet kan ha i uppdrag att kontrollera den information man själv upprättar samt den information som inkommer till myndigheten.
Detta är idag ett betraktelsesätt som ligger långt ifrån den verklighet som snarare består av en snabbt sammanväxande nationell (och delvis internationell) informationsinfrastruktur.
Offentliga och privata aktörer ingår i processer information utbyts, förädlas, aggregeras och ackumuleras i snabb takt.
Svåra frågor som hur information ska kunna reproduceras från olika källor på ett säkert sätt över tid berörs inte av utredningen.
Inte heller hur ansvarsfördelningen i denna gemensamma infrastruktur ska fördelas röner intresse hos utredningen.
Vad som ska utgöra allmänna handlingar i den enskilda myndighetens arkiv liksom vem som ska ses som arkivbildare i denna helhet finns det idag inga officiella verktyg för att avgöra.
Även detta hade varit en central fråga att peka på för utredningen.
Arkivlagen gör en sammankoppling mellan allmänna handlingar och arkiv: Tyvärr gör denna sammankoppling att då en allt mindre andel av en myndighets handlingar ses som allmänna handlingar, vilket är negativt i sig, kommer även andelen information som ska bedömas ur arkivperspektivet att minska.
Vad denna utveckling innebär för framtidens möjlighet för bland annat forskning tas inte upp utredningen.
Ej heller hur detta påverkar den svenska demokratin där en mer extensiv tillämpning av vad som ska utgöra allmänna handlingar skulle kunna förbättra insyn och delaktighet.
Av särskilt intresse är de verksamheter som tidigare varit offentliga men som privatiserats och där det inte längre finns allmänna handlingar som ger insyn eller möjlighet till forskning.
Här finns privata företag men även intresseorganisationer som SKR som med offentliga medel skapar information med stor betydelse för samhället men som samhället saknar kontroll över.
I informationssamhället är av naturliga skäl information den viktigaste resursen.
Den information som skapas av myndigheter inklusive kommuner och regioner är därför begärlig inte bara inom myndighetssfären och inte bara för forskning utan även för nationella och internationella företag.
Detta har uppmärksammats vad gäller personuppgifter och alldeles särskilt för personuppgifter inom hälso- och sjukvård som är det nya guldet för många multinationella företag.
Hur svenska myndigheter ska förhålla sig till detta utan att t.ex.
äventyra personlig integritet eller riskera att snedvrida verksamheten för att producera information kommenteras inte av utredningen.
Lika litet berörs hur arkivväsendet ska förhålla sig till långsiktigt enormt värdefulla vårdsystemen och hur de ska bevaras för framtiden.
Riksarkivet har uttryckt att de anser att myndigheten ska får peka ut ”samhällsviktig” information oavsett arkivbildare.
Jag menar att det snarare behövs en analys av informationens betydelse som samhällsresurs för att först därefter kan bli möjlighet att besluta om hur prioritering och omhändertagande ska ske.
Utredningen uppmärksammar inte den nära relation arkivområdet har till områden som informationssäkerhet och dataskydd samt generell informationshantering.
Möjligen har det dominerande kulturarvsperspektivet gjort utredningen blind för de aktuella utmaningar som kräver samverkan mellan dessa områden.
Ett förslag är att snarast ta fram en strategi för svensk arkivverksamhet som behandlar ovanstående frågor.
Strategin bör bygga på en utredning som förutsättningslöst går igenom: möjligheter för att långsiktigt kunna bevara och tillhandahålla för samhället relevant information i autentisk form.
I detta ligger även att analysera intressenter och på vilket sätt de ska få tillgång till information alternativt påverka vilken information som ska tas fram/bevaras.
Utan närmare analys går att säga att hela andra resurser än nuvarande kommer att behövas för att ta hand om informationen.
Hur en hållbar finansiering på tillräcklig nivå ska ske är även det en fråga som bör utredas innan en strategi tas fram.
Fia Ewald En gång arkivarie, alltid arkivarie Sällan har jag läst en utredning med sådant intresse som den nya arkivutredningen SOU 2019:58 ” ” och då har jag ändå läst många.Stoffet i utredningen och hur den är genomförd vore helt enkelt värt en egen utredning och inte bara ett blogginlägg men man tager vad man haver.
Det finns alltså hur mycket som helst att skriva ytterligare men som inte ryms här.
Innan jag går in på utredningens egentliga leverans vill jag jag uppmärksamma den metodik och presentation som tillämpats som känns mer som en redovisning av en fortlöpande workshop än en traditionell svensk utredning.
Genomgående refereras samtal med olika intressegrupper vars argument framförs utförligt innan utredningen lämnar sina förslag.
Det ger verkligen en fyllig bild av den stora bredd av frågeställningar och konfliktlinjer som förekommer i Arkiv-Sverige (detta märkliga land).
Detta tillsammans med beskrivningen med bakgrundshistorik av hur arkivväsendet är organiserat i Sverige ser jag som den stora behållningen av utredningen, mycket användbar exempelvis i undervisningssammanhang.
Utöver detta är mitt sammanfattande intryck att utredningen ägnat sig åt en mängd relativt sett små frågor, om än i vissa fall intressanta, men duckar för alla verkligt väsentliga frågor.
Dessutom är förslagen angående de frågor som man verkligen ägnar sig i de flesta fall ytterst konservativa, typ: ”efter noggrant övervägande har vi kommit fram till att den rådande ordningen är den bästa.”.
Sin djärvhet och kreativitet tycks utredningen ha reserverat för titeln på utredningen som synes sällsynt missvisande i förhållande till innehållet (intresset för putslustiga utredningstitlar är visserligen inte unikt för den här utredningen utan snarare legio i det svenska utredningsväsendet).
När man läser förslagen på ny arkivlag är det många ”skall” som blivit ”ska” och ”arkivvård” som som blivit ”arkivförvaltning” men i övrigt mycket litet förändrande kraft.
En mer rimlig utredningstitel hade varit ”Härifrån till hit”.
En annan mindre men tyvärr betydelsefull förskjutning som skett är betoningen av ”kulturarvet” ökat.
I dagens arkivlag står: Myndigheternas arkiv är en del av det nationella kulturarvet.
Myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser 1. rätten att ta del av allmänna handlingar, 2. behovet av information för rättskipningen och förvaltningen, och 3. forskningens behov.
I utredningens författningsförslag sker inga större skillnader i detta förutom att ”syfte” bli ”ändamål”, ändamålet får en egen paragraf och det nationella försvinner från kulturarvet.
Däremot ägnar utredningen sig nästintill enbart åt resonemang om kulturarvet och hur det ska skyddas och i princip inte alls åt de tre övriga ändamålen.
För mig självklara och angelägna frågor som exempelvis hur demokratin skulle kunna utvecklas genom bättre insyn i myndigheterna via de allmänna handlingarna, hur behovet av snabb och säker tillgång till information med hög grad av autenticitet i myndigheterna ska tillgodoses samt betydelsen av ett organisatoriskt minne behandlas inte alls.
Forskning likställs i bästa fall med historisk forskning men alltför ofta tycks det vara släktforskning som avses.
Ibland framstår forskning och kulturarv som på något sätt synonyma begrepp.
Kanske skulle utredningens experter och sekreterare kunnat ha en något annorlunda sammansättning för att andra centrala perspektiv kunnat lyftas fram.
De glasögon känsliga för kulturarv som använts präglar hur utredningen tar sig an övriga frågor.
Släktforskare i all ära men vilken möjlighet som här förlorats att redovisa hur de övriga ändamålen skulle kunna tillgodoses på ett bättre sätt!
Som ett par exempel på hur kulturarvsglasögonen påverkar utredningens resonemang skulle jag vilja lyfta fram följande.
Utredningen tar upp de olika uppfattningar som kan finnas mellan att digitalisera äldre material alternativt lägga resurser på att omhänderta det digitala material som hela tiden tillväxer.
Detta presenteras som om det vore två jämförbara alternativ vilket jag menar är en tankevurpa.
Att digitalisera redan omhändertaget material i pappersformat är framförallt en åtgärd för att förbättra tillgänglighet och service vilket i sig är behjärtansvärt.
Däremot är fönstret för att bevara den digitala information som ständigt tillväxer en engångschans – görs det inte kommer informationen helt enkelt inte att finnas kvar.
Även om jag inte sett någon forskning om detta är mitt intryck att vi redan nu har förlorat en stor del av de senaste decenniernas viktiga information eftersom det saknats verktyg för att ta hand om den.
I ett sådant läge är det knappast rätt prioritering att tillfredsställa dagens kulturarvsintressenter med bättre service eftersom det oundvikligen sker på framtidens bekostnad.
Ett annat (betydligt mindre viktigt) resursmässigt vägval som kommit i förgrunden för mig under senare år är att det borde vara fullt möjligt att minska arkivinstitutionernas lokalytorna i attraktiva lägen.
Idag finns de statliga arkiven fortfarande ofta kvar i pampiga byggnader trots den stark sinande strömmen av besökare till forskarsalarna när alltmer material finns digitalt tillgängligt.
Går det att moraliskt försvara denna resursfördelning eller börjar det bli dags att avveckla forskarsalarna, samarbeta med biblioteken om forskarservice och flytta depåer till billigare lägen?
Även här tror jag kulturarvskulturen (!)
spelar in i bedömningen eller att frågan inte ens tas upp när arkivens knala ekonomi diskuteras i utredningen.
Jag menar, det är ju inte säkert att det finns pengar att spara, men finns ju anledning att åtminstone ställa frågan.
Jag skulle också vilja hävda att det positiva som ligger i det empiriska förhållningssättet med mängder av intervjuer och kompilationer av bakgrund möjligen skett på bekostnad av en genomarbetad teoretisk utgångspunkt.
Arkivteori lyser helt med sin frånvaro, något som jag tror missgynnat utredningen i dess problemformuleringar.
Exempelvis tror jag att analyser med avstamp i en problematisering av inre och yttre proveniens i ett dagens gemensamma informationssäkerhetsarkitekturer skulle kunna ge intressanta ingångar för exempelvis ansvarsfördelning och nya tekniska lösningar.
En fåfäng önskan, jag vet det, är att utredningen skulle fördjupat sig i för- och nackdelar med den nära kopplingen mellan TF, OSL och arkivlagen.
När starka krafter strävar att allt mindre del av myndigheters information ska ses som allmänna handlingar kommer det i nuvarande legala konstruktion att påverka inte bara insynsmöjligheten utan i sin förlängning både forskning och kulturarv.
Som den arkivarie jag innerst inne är sörjer jag över att utredningen missat möjligheten att faktiskt göra något som skulle rädda den situation som jag idag skulle vilja jämställa med klimatkrisen.
Den gigantiska mängden information som ständigt skapas men som inte omhändertas eller bevaras på ett beständigt och säkert sätt och där arkivarierna står som med snöskyfflar i en global lavin.
Utredningens ytterst modesta försök att greppa denna situation kan delvis ses som ett symptom på att det saknas en gemensam metateori om samhällets informationshantering som gör att varje utredning eller annan insats blir som ett fragment utan sammanhang.
Ofta blir utredningar fångar i sitt uppdrag.
Orsakerna till detta kan vara flera.
En vanlig orsak är att uppdragsgivaren redan bestämt sig för vilket svar man vill ha från utredningen, en annan att uppdragsgivaren har så oklar bild av området att uppdraget får en så märklig inriktning att det blir svårt att genomföra.
Jag kan inte se att detta gäller arkivutredningen.
Uppdraget som utredaren fått är både helt fritt och detaljstyrt på en gång: En särskild utredare ska göra en bred översyn av arkivområdet.
Det övergripande syftet är att säkerställa samhällets tillgång till allmänna handlingar både nu och i framtiden.Utredaren ska bl.a.
•översiktligt beskriva arkivsektorn samt beskriva och analysera hur samhällsutvecklingen har påverkat och kan förväntas påverka förutsättningarna för arkivverksamheten och olika arkivinstitutioner, •se över arkivlagstiftningen och närliggande lagstiftning och vid behov lämna förslag på hur lagstiftningen kan anpassas till utvecklingen på området, •analysera Riksarkivets roll och lämna förslag på uppgifter i förhållande till andra myndigheter och arkivaktörer för att undvika över-lappning och för att upprätthålla en god och säker informations-hantering och möjliggöra en allsidig historiebeskrivning, •analysera de ekonomiska konsekvenserna för Riksarkivet och andra arkivmyndigheter på kort och lång sikt av den offentliga förvaltningens övergång till digitala processer, och •analysera om regleringen för de enskilda arkiven bör förändras för att kunna tillgodose behov inom rättsskipning, förvaltning, forskning och skydd för kulturarvet •lämna nödvändiga författningsförslag.
Smaka på det syftet.
Jag menar att utredningen haft chansen att ta ett strategiskt grepp om samhällets arkivfråga men istället fastnat i detaljerna och inte minst i de konflikter som finns inom arkivområdet.
Den allt överskuggande konflikten är den gällande Riksarkivets ställning vilket också framkommer i redovisningar som lämnas från de dialoger som utredningen fört med olika aktörer.
Konflikten har funnits under lång tid men har tack vare utredningen kommit i öppen dager på ett sunt sätt.
En resumé av konflikten är ungefär så här: Riksarkivet vill gärna centralisera och bestämma mer medan andra aktörer som kommuner och regioner tycker att Riksarkivet lämnar alldeles för dåligt stöd och borde ägna sig åt att utveckla sin styrning genom att sysselsätta sig med metodutveckling och effektiv rådgivning.
Riksarkivet vill t.ex.
kunna meddela föreskrifter för kommuner och regioner vilket inte mottas väl av de tilltänkta objekten för föreskrivandet.
Detta anspråk förefaller även mig rätt övermaga med tanke på att kommuner och regioner ligger betydligt längre fram i centrala arkivfrågor än vad staten och Riksarkivet gör.
Riksarkivet tycks gärna vilja fly ett operativt ansvar t.ex.
i fråga om e-arkiv och FGS:er men känner sig sedan förbisedda trots att det sällan finns anledning att uppsöka den som inte gör något.
Kritiken mot Riksarkivet är tämligen förödande då den beskrivs i ämbetsmannaprosa i utredningen: Det finns en uppfattning om att så länge den statliga arkivmyndigheten inte fullt ut klarar sina grundläggande uppgifter bör myndigheten inte tillföras nya.
Frågetecken sätts för om myndigheten verkligen har förmåga att i framtiden leda utvecklingen kring digital informationshantering.
Utredningen tycks ställa sig på deras sida som tycker att Riksarkivet borde luta sig mer mot att tillhandahålla nyttiga redskap än att genomdriva sin vilja på ett mer repressivt sätt: Utredningens inriktning bakom de föreslagna bestämmelserna är att samförstånd, tydliga föreskrifter och en generös rådgivning ska prioriteras framför arkivmyndigheternas tillsyn och sanktioner.
Jag delar helt den uppfattningen.
Både som verksam arkivarie och därefter har jag förundrats över hur torftigt stöd Riksarkivet tillhandahåller.
För att bara ta ett exempel i den stora högen så har myndigheten inte tagit fram någon vägledning för centrala arkivuppgiften gallring sedan 1995 och jag tror vi alla kan vara överens om att det hänt en del på 25 år.
Legitimiteten för Riksarkivet tycks låg också då myndigheten avlövats ett antal uppdrag till bland annat DIGG.
Den brist på metateori om samhällets informationshantering som jag tidigare nämnde leder även till en oförmåga att hantera myndigheters uppdrag i förhållande till varandra där nu det finns stora oklarheter om hur Riksarkivet och DIGG ska leva tillsammans.
Utredningens lösning på frågan är att Riksarkivet ska samordna metoden då de orimligt upphaussade FGS:er (ser verkligen fram emot att nyttan av dem utvärderas på ett opartiskt sätt) även då de tas fram på annat håll.
DIGG ska å sin sida föreslås fortsätta: samordna frågor om gemensamma standarder, format, specifikationer och liknande krav för den offentliga förvaltningens informationsutbyte i de fall uppgifterna inte ligger på regeringen eller en annan myndighet FGS:erna är verkligen ett tröstpris då Riksarkivet blir omkörda av DIGG i princip allt annat som gäller informationshantering.
Det är svårt att se att Riksarkivet spelar en viktig roll i samhällets digitalisering.
Istället lever myndigheten i en permanent identitetskris med ständiga omorganisationer där man förlamats av frågan hur mycket arkivverksamheten ska vara en del i den pågående informationshantering.
Det förefaller som de som deltagit i dialoger med utredningen, och då särskilt representanter från kommuner och regioner, starkt pläderat för det som kallas ”proaktivitet”.
Häri ligger av de andra stora konflikterna inom arkivområdet.
Ska arkiven helt koncentrera sig på att omhänderta avställt material eller ska man även gå in och proaktivt bearbeta organisationers informationshantering så att arkivintresset är med redan från då information skapas?
Eller ska arkivarierna t.o.m.
vara specialister på informationshantering generellt och inte bara sett i arkivperspektivet?
Medan vankelmod råder centralt där nog traditionen att kalla informationshanteringen för ”kontors-ADB” och något att frynas över går framför allt fler kommuner och regioner över mot organisatoriska lösningar man samordnar uppgifter relaterade till informationshantering som arkiv, informationsförvaltning, dataskydd och informationssäkerhet.
Man ser helt enkelt informationen som den kanske viktigaste resursen för en organisation, en resurs som måste utvecklas och förvaltas för att organisationen ska fungera på ett ändamålsenligt sätt.
Detta är en linje som jag själv drivit sedan 90-talet så det är klart jag hyllar denna utveckling.
Samtidigt går det inte att förneka att det uppstår en dissonans när Riksarkivet inte alls är i takt med denna rörelse utan snarare utgör en konserverande kraft (och då inte på ett positivt sätt).
Det gör att det saknas ett nationellt nav för teori-, metod-, och kunskapsutveckling, erfarenhetsutbyte och styrning för det som till och med saknar ett entydigt begrepp, jag menar informationsstyrning, informationshantering eller informationsförvaltning kan innebära vad som helst (ja, jag vet att det finns en standard för informationsförvaltning men det hjälper inte särskilt mycket här).
För mig framkommer här ytterligare en av de stora bristerna i utredningen, nämligen att man helt missar kopplingen till informationssäkerhet.
Ordet ”informationssäkerhet” nämns nio (9!)
gånger i hela utredningen och då bara en passant.
Inga analyser eller ens resonemang om hur informationssäkerhet och -hantering inklusive arkiv skulle kunna vara två hjul på samma vagn trots att mål, objekt och metoder verkligen behöver samordnas för att bli ett effektivt stöd för verksamheten.
Extra tråkigt är det då allt fler arkivarier sett sambandet i praktiken och skulle behöva inriktning och moraliskt stöd för att gå vidare.
Samma sak gäller dataskydd.
Men den stora frågan är trots allt att man inte orkar närma sig den stora elefanten: hur ska den alltmer gemensamma informationsarkitekturen tas med in i framtiden?
I detta sammanfaller alla de brister som jag tidigare pekat på.
Som att det saknas ett arkivteoretiskt resonemang om hur proveniensprincipen ska tillämpas när det inte längre går att urskilja tydliga arkivbildare i en gemensam informationshantering.
Som att utredningen inte förmår att föra en diskussion om information istället för det snäva begreppet ”allmänna handlingar”?
Som att man inte tar på allvar hur den verkligt bevarandevärda informationen som patientjournaler löper en överhängande risk att försvinna för att lagstiftning tillåter det och för att det saknas metodik för att hand om den.
Som att det inte finns en antydan till förslag på hur det långsiktiga bevarandet ska ske organisatoriskt eller tekniskt eller ens hur frågan ska angripas.
Som att det inte görs något begreppsmässigt klarläggande gällande ”e-arkiv” och långsiktigt digitalt bevarande.
Som att varken utredningen eller Riksarkivet kräver rimliga ekonomiska förutsättningar för att göra det som är nödvändigt, jag menar 288 miljoner under 5 år … Jag skulle kunna fortsätta med denna uppräkning ett bra tag till men skonar de eventuella läsare som orkat följa mig ända hit.
Jag läste en så fantastisk metafor i Jennifer Clements roman Gun love.
Romanen handlar Pearl och hennes mamma Margot som bor i baksätet i en bil.
Miljön är den där sortens misär som bara finns i USA med hemlösa människor som helt saknar riktning i sitt liv.
Redan tidigt i boken finns följande passus: Mamma och jag flyttade in i Mercuryn när hon var sjutton och jag var nyfödd.
Så den bilen, som stod i utkanten av en trailerpark mitt i Florida, var det enda hem jag kände till.
Livet var en prick-till-prick-teckning och vi bekymrade oss inte stort om framtiden.
Bilden av prick-till-prick-teckningen hakade fast i mig och jag fick en stark känsla av hur de här romanfigurerna levde sitt liv.
Så är det ju ofta med god litteratur, den lever vidare inom en.
Men hjärnan är en märklig sak och vips började jag associera metaforen med hur jag uppfattar digitalisering och informationssäkerhet på samhällsnivå, som prickar till synes utan samband.
Finns det en dold teckning under prickarna så kan i alla fall inte jag se den.
Att jag började tänka på det berodde på den nya rapport som regeringens uppdrag tagits fram av sju myndigheter om säkert och effektivt informationsutbyte i offentlig .
Lustigt nog var varken MSB eller någon annan myndighet med säkerhetsprofil bland de sju myndigheterna trots att uppdraget rörde just säkert informationsutbyte.
Detta var säkert en bakgrund till de slängar som slungades från MSB på sociala medier men efter en genomläsning av rapporten får det sägas att de avsnitt som skrivits om säkerhet knappast skrivits av någon med erfarenhet från detta område.
Att Försäkringskassan är en av de myndigheter som ingått i arbetet med att ta fram rapporten känns aningen illavarslande när man läser budgetproppen där det står om Försäkringskassans allt större roll som intern it-leverantör i staten: Förhoppningsvis är det andra som ska stå för den leveransen än de som skrivit om säkerhet i rapporten.
Ändå är rapporten positiv i andra avseende, främst genom att man pratar om en gemensam digital infrastruktur.
Detta är något jag försökt driva i olika sammanhang utan påtaglig effekt.
Jag vill självklart inte framhäva min egen roll utan bara säga att detta är en inriktning som tidigare saknats på ett mer uttalat sätt och som jag tror i sig har en tydligt säkerhetshöjande effekt.
Att notera detta positiva anslag känns viktigt även om den stora bilden av infrastrukturen inte kan anas och på sin höjd tre prickar sammanfogats.
Problemet är inte endast att det tycks sakna en ritning för utveckling av digitaliseringen utan även för samhällets informationssäkerhet.
MSB:s handläggare (ja, jag vet att hen liksom många andra tjänstemän friskriver sig på sociala medier genom att hävda att de ”twittrar som privatperson” – ett oskick jag beskrivit ) ansåg att rapporten var ett ”hafsverk” och att rapportförfattarna inte tagit till sig MSB:s synpunkter.
Nyfiken som jag efterfrågade jag då de diarieföra synpunkter som det hänvisades till och fick ut detta mail: Det avslöjar inte mycket av ett eventuellt infrastrukturellt synsätt.
Informationssäkerhetsområdet tycks alltså ha sin egen mycket ofullständiga prick-till-prick-teckning.
Liksom arkivväsendet som även det har en stor betydelse för den offentliga informationshanteringen.
Sammantaget så är planeringen av vår gemensamma informationshanteringsinfrastruktur uppenbart fragmentiserad och där olika myndigheter ritar sina prickar oberoende av varandra trots att de åtminstone borde vara i samma teckning.
I detta dystra scenario är det inspirerande att snegla österut.
I Finland har nämligen antagits en ny lag med om informationshantering inom den offentliga förvaltning.
I som låg till grund för lagen ges inriktningen: Det är fråga om en allmän lag som ska reglera informationshanteringen inom den offentliga sektorn.
Lagen avses gälla all informationshantering som sker inom myndigheternas verksamhet.
Genom lagen säkerställs en enhetlig förvaltning och en informationssäker behandling av myndigheternas informationsmaterial i syfte att genomföra offentlighetsprincipen.
Dessutom har lagen bestämmelser om elektronisk överföring av information mellan olika myndigheters informationssystem.
Genom regleringen effektiveras myndigheternas informationshantering så att myndigheterna kan tillhandahålla förvaltningskunderna sina tjänster på ett kvalitativt sätt som är förenligt med god förvaltning och kan sköta sina uppgifter på ett resultatgivande sätt.
Syftet med lagen är att främja också interoperabiliteten mellan informationssystemen och informationslagren.
träder i kraft vid årsskiftet och innebär också att en informationshanteringsnämnd ska säkerställa samordningen mellan informationshantering (inklusive arkiv), digitalisering och informationssäkerhet.
I dagarna har även en ny cyberstrategi antagits.
För mig förefaller denna ordning mycket ändamålsenlig särskilt om det även blir ett gemensamt myndighetsansvar.
I Sverige skulle det kunna kopieras så att DIGG får skärpa till sig och samtidigt överta ansvaret för samhällets informationssäkerhet och se till att det blir integrerat i hela digitaliseringensprocessen.
De myndigheter som redan idag framför allt är intresserade av internationella antagonistiska hot och cyberkrig kan fortsätta med detta med gott samvete.
På detta sätt skulle prickarna åtminstone fyllas i på samma teckning.
Jag vet att detta är en överdriven förenkling och att det inte går att dra snörräta linjer mellan olika säkerhetsområden men jag tror vi måste komma tillbaka till en situation där normallägets funktionalitet respekteras och där bygget av en gemensam infrastruktur kan ske med god säkerhet.
Jag fortsätter succékonceptet att blogga om obskyra ämnen med en mycket begränsad grupp av intresserade.
Förra gången utredningsväsendet, nu behovet av autenticitet.
Upprinnelsen till detta inlägg är att jag fick uppdraget att prata om äkthet på en konferens och då började fundera mer intensivt på frågan – tack för det FALK!
Detta blogginlägg ska ses som en bråkdel av vad jag anser behöver belysas gällande autenticitet.
Utgångspunkten var att både ur ett arkiv- och ett informationssäkerhetsperspektiv finns ett grundläggande intresse av att kunna skapa och upprätthålla autenticitet på olika nivå i informationshanteringen.
Att notera är att autenticitet vid sidan om skydd mot obehörig åtkomst också är det historiskt sett mest konsistenta intresset både för arkivverksamhet och för informationssäkerhetsområdet.
Dessutom är vissa tekniska åtgärder för att på olika sätt skapa autenticitet så grundläggande att vi inte ens reflekterar över dem, från underskrift på pappersdokument till olika digitala autentiseringslösningar.
Detta till trots är autenticitet som begrepp och tillämpning påfallande sällan diskuterat.
Slagningar i Libris och Diva antyder att när autenticitet explicit diskuteras gäller det i allra flesta fall kulturminnesvård, konst eller möjligen kvalitet.
Inte ens som autenticitetens betydelse i relation till juridiskt bevisvärde har skapat några större textmängder vilket påpekas i en av de få avhandlingar från senare år som har detta tema ( av Jonas Ekfeldt).
De många utredningar som genomförts rörande digitalisering har inte fördjupat sig autenticiteten utan den nämns endast flyktigt som i SOU 2018:25 där ordet autenticitet finns med två (!)
gånger på 562 sidor.
Visserligen diskuteras signaturer i ett avsnitt men som jag ser det är det enbart en delmängd av frågan och här presenterad helt utan större kontext.
Det enda glädjeämnet är en tio år gammal text av , numera landsarkivarie i Härnösand.
Ett första steg för många för att förstå begreppet autenticitet är att gå till de standarder som ofta tillmäts kvaliteten att kunna ge definitioner.
Jag har här valt två centrala standarder för området som även fått förleden SS för att ange att de ska ses som svenska standarder.
Den första är SS-ISO 15489_1 2016 som är en standard för hantering av verksamhetsinformation till vilken allt oftare arkivarier hänvisar.
Ur ett arkivperspektiv är möjligheten att bedöma graden av autenticitet en nödvändig förutsättning för i princip alla moment i hanteringen och det är därför av intresse att se vilket stöd standarden ger för att närma sig frågan.
Trots att den alltså är en svensk standard finns den ännu inte, såvitt jag kan se, översatt till svenska.
Inga förändringar har dock gjorts från en tidigare version av standarden som hade följande svenska definition: Att handlingen visar att den är vad den utger sig för att vara, Att den är skapad eller skickad av personen som uppgett sig för att ha skapat eller skickat in handlingen Att handlingen blivit skapad eller inskickad i den angivna tiden Även bortsett från den förvirrande användningen av begreppet ”handling” som skapar så mycket språkförbistring när arkivarier ska kommunicera den övriga mänskligheten (det är liksom både bärare och informationsinnehåll på en gång) så är denna definition fertil grogrund för ett antal frågor.
Som det första cirkelargumentet att handlingen (som bärare gissar jag) i sig demonstrerar något som ger autenticitet.
Som att den tycks se autenticitet som ett binärt begrepp; antingen är handlingen autentisk eller inte.
Som att autenticitet på något vagt sätt har med post att göra.
Som att autenticitet är knuten till en enskild person.
Om vi istället går över till informationssäkerheten och ser vad den svenska terminologin som SIS gav ut 2015 säger blir frågorna inte färre.
Där uppges följande: äkthet avseende uppgivna uppgifter; särskilt rörande påstådd identitet och meddelandens ursprung och innehåll Den tekniska process vari äktheten, autenticiteten bekräftas kallas autentisering.
Denna kontroll kan avse entiteter såsom användare, processer, systemkomponenter och informationsobjekt Pluspoäng för att man nämner ordet ”äkthet” och att autentisering kan gälla olika typer av komponenter.
I övrigt är det rätt svårt att förstå vad som egentligen kännetecknar autenticitet.
Vad som mest intresserar mig är dock att autenticitet valts bort som en central dimension av informationssäkerheten i ISO 27000:s tolkning.
Istället har riktighet upphöjts till en av de tre särskilda omnämnda värdena och då med denna betydelse (fortfarande enligt terminologin): skydd mot oönskad förändring Definitionen ser till skyddet medan egenskapen ”riktighet” får förstås implicit som typ oförändrad information.
Jag har svårt att förstå denna prioritering mellan begreppen.
Hur man kommit fram till den är som eljest i standardsammanhang dolt, de diskussioner, överväganden och möjligen utredningar som lett fram till olika ställningstaganden finns inte presenterade någonstans.
Bristen på den transparens och strävan efter delaktighet som finns inom exempelvis akademin saknas då standarder etablerar sina sanningar.
Riktighet kan i bästa fall ses som en delmängd av det större begreppet autenticitet.
Därför bör autenticitet eftersträvas som ett huvudmål snarare än riktighet, en uppfattning som skulle varit rimlig redan innan det digitala samhälle vi nu har fötts.
När information hela tiden skapas, transformeras och kommuniceras med oändliga möjligheter att avsiktligt eller oavsiktligt göra den missvisande vad det gäller upphov, kvalitet och intention borde autenticiteten vara en naturlig fokalpunkt för informationssäkerhet, digitalisering och arkiv.
För att inte tala om AI och deep fake.
Informationssäkerhet och valet av riktighet framför autenticitet – varför blev det så?
Bortsett från min generella hypotes om den anti-intellektuella hållning som präglar området är en spekulation att riktighet valts p.g.a.
många i branschen rekryterats från it-hållet och därför känner sig bekväma med ett databassynsätt, d.v.s.
att information i ett system ska skyddas mot förändring.
Eftersom denna snäva beskrivning av risker är otillräcklig sett till verkliga organisationers behov har man därför behövt gå in och trixa med begreppet spårbarhet för att få någon slags relevant beskrivning.
Därav det neurotiska förhållandet till spårbarhet, ett begrepp som är så tabuiserad att det inte ens går att diskutera för de rättroende.
Synd tycker jag vilket jag skrivit om Mitt förslag för att få en mer täckande beskrivning av förhållanden som behöver beskrivas är att använda konfidentialitet, autenticitet, spårbarhet och tillgänglighet.
Riktighet kan då placeras in under paraplyet autenticitet som en nödvändig men inte på långt tillräcklig aspekt att bedöma.
Dock räcker inte de definitioner som de två standarderna ger för att fylla det behov av att beskriva informationens äkthet som vi har i digitaliserad värld.
Hur ser då detta behov ut?
Kärnan i frågan är att kunna säkerställa en informationsmängds kvalitet i form av ”äkthet”.
För att ytterligare ringa in vad som åsyftas så består autenticiteten inte bara av att informationen är oförändrad (det som åsyftas med riktighet) utan även att den är vilket också kan formuleras att den har ett .
Som ett enkelt exempel: för att ett avtal ska kunna ha ett bevisvärde räcker det egentligen inte med en signatur även om det accepterats under lång tid.
Vad som krävs är att det går att härleda vem det är som undertecknat men framför allt om denna någon hade mandat att underteckna avtalet o.s.v.
Det är inte heller så att en tavla signerad med namnet Picasso övertygar alla som en äkta dyrgrip.
Den kanske bästa och enklaste illustrationen av bevisvärdets betydelse för autenticiteten finns att hämta i utvecklingen av sedlarnas historia som betalningsmedel.
De första sedlarna var egentligen kvitton på insatta medel hos en bank.
Kvittot kunde sedan användas för att på ett smidigt sätt kunna sköta betalningar utan att behöva släpa omkring högar av metaller.
För att denna effektivisering av ekonomin skulle kunna vara möjlig krävdes institutionella förutsättningar för att den enskilda sedeln skulle accepteras som autentisk och inte som vilken papperslapp som helst.
Det räcker inte med att siffrorna på sedeln är ”riktiga” utan den måste också omges andra skyddsåtgärder för att kunna accepteras som äkta.
Jag laborerar med tanken att se autenticitet som en inversion av källkritikens principer.
Det betyder att autenticitet inte är binärt utan en glidande skala av möjlighet att bedöma äktheten, beroenden, tendens, tidsförhållanden, närhet till händelsen o.s.v.
De tekniska lösningarna kan sägas ”låsa” den organisatoriska kontext som omgett informationen i olika skeden och därmed ge ett bevisvärde.
I ett långsiktigt måste de organisatoriska förhållandena som skapar autenticitet kunna återskapas på ett säkert sätt även om tekniska lösningar förändras och information migreras (kedja som ej bryts).
Inom arkivområdet används begreppet proveniens för att beskriva förhållandet mellan information, organisation och i förlängningen äkthet.
Frågan om autenticitet är principiellt densamma i digitala som i analoga informationsmängder.
Komplexiteten har dock växt explosionsartat från det kinderägg-tillstånd där information, bärare och autenticitetsskapande faktor var oupplösligt sammanfogade som i ett undertecknat pappersavtal.
Genom digitaliseringen lever dessa tre komponenter sina egna liv där samma informationsmängd kan finnas på ett otal antal bärare och med olika nivå av autenticitet.
Direkt rafflande blir det med funktioner som ”Dela dokument” i Office 365 där mottagaren får ett dokument som inte behöver vara detsamma eller ens finnas kvar när mottagaren tar fram det en andra gång i sin e-post.
Att skapa autenticitet momentant skulle i sig vara en rejäl utmaning men för att strö ytterligare salt i såren så är kravet på autenticitet utan slut eftersom trots det information over flow vi lever i så måste ansenliga mängder av den information som skapas bevaras under lång tid eller för evigt.
Kraven på att kunna arkivera information på ett säkert sätt är självklart inte mindre nu än tidigare.
Det betyder att tilltron till informationens autenticitet inte bara ska kunna upprätthållas i ett år utan i 100 eller 1000 år för många informationsmängder.
Tänk patientjournaler, tänk urkunder i statsförvaltningen, tänk instruktioner för hanteringen av utbränt kärnbränsle, tänk mätvärden av klimatet….
Att med detta perspektiv se det mycket begränsade resonemangen om exempelvis, e-leg, e-signaturer och e-arkiv känns frustrerande.
I en tid då vi pratar så mycket om fake news och risken för negativ informationspåverkan borde verktygen för att skapa och upprätthålla autenticitet slipas.
Det finns redan viss teori om proveniens och processuella värden som skapar autenticitet inom arkivdisciplinen liksom en rad techne-åtgärder inom informationssäkerhetsområdet för autentisering och validering t.ex.
Dessa kunskapsområden borde dock tillåtas expandera och dessutom befrukta varandra för att vi ska komma närmare strategier för att skapa den autenticitet som krävs på både kort och lång sikt.
Det som hindrar detta tror jag är den korta händelsehorisont som gör att vi plumsar in i jättelika digitaliseringsprojekt utan att se längre fram än möjligen införandeprojektets avslut.
Bristande strategisk inriktning, kunskapsutveckling och samarbete mellan ansvariga myndigheter är en annan.
Group think inom informationssäkerhets- respektive arkivarieskrået som skapar en oförmåga att famna de stora frågorna en tredje där standardarbetet förefaller ha fungerat som en starkt konserverande faktor framför allt för informationssäkerheten.
Sist men inte minst styrningen av digitaliseringen i hög grad överlåtits till leverantörer av tekniska lösningar samt management.
För att komma vidare bör vi alltså försöka undanröja ovanstående hinder för att kunna skapa en mer funktionell plattform för att skapa den nödvändiga autenticiteten.
När tanken låser sig kan ett trick vara att tänka på att information är dagens hårdvaluta och jämföra med hur sedlar och andra metoder för penningtransaktioner hanteras.
Det är högintressanta tider då vissa frågor ställs på sin spets.
I min begränsade värld är en av dessa frågor det så kallade e-arkivet, denna företeelse så omgiven av förväntningar och föreställningar.
Under den senaste tiden har två stora händelser timat inom området: Statens servicecenter misslyckades med sin upphandling av e-arkiv och SKL Kommentus Inköpscentral (fortsättningsvis kallad SKI) lyckades med sin.
Det kan tyckas vara två mycket likartade händelser men ju mer man gräver så framstår skillnader allt tydligare.
Jag är ju en enkel konsult vars främsta uppgift är att försörja mig men eftersom jag misstänker att ingen annan bättre lämpad funktion tänker göra någon analys av varför det gick som det gick fattar jag ändå pennan/tangentbordet.
En brasklapp är naturligtvis att jag inte har den tid och de resurser som krävs för att göra en fullständig analys utan att jag enbart kommer att ta upp vissa aspekter som särskilt intresserar mig och då främst säkerhetskraven.
I ingetdera fallet kommer jag att kommentera de konsulttjänster som ingår i upphandlingarna utan endast upphandlingen av själva tjänsten eller applikationen.
För att förstå dessa upphandlingar behöver några basala förutsättningar slås fast.
Något som är självklart för den med litet insikt i arkivfrågor är att lagring av digital information inte täcker begreppet e-arkiv.
Här finns dock inte utrymme att gå igenom alla intrikata aspekter men låt mig poängtera vissa grundläggande frågor: Ovanstående punkter sammantaget med att Riksarkivet, för att uttrycka det milt, inte är direkt sugna på att ta emot digital arkivinformation och det inte heller finns en övergripande strategi för den långsiktiga nationella arkivverksamheten försätter myndigheterna i en svår situation.
Man har helt enkelt en exponentiellt växande digital informationsmängd att långsiktigt ta hand om utan det finns tydliga lösningar för hur det ska ske.
Förutom myndigheters, kommuner och regioners vånda så är vi nog en hel del som känner en stor oro på samhällsnivå för de stora informationsförluster vi riskerar att göra.
En informationsförlust som inte bara är ett stort hot mot dagens och framtida forskning utan också för vårt gemensamma minne.
Det finns naturligtvis enstaka ljus i mörkret som Sydarkivera som förtjänar att lyftas fram men som helhet ser det tämligen mörkt ut.
Det är alltså i denna kontext som de två upphandlingarna ska sättas in och som kanske kan ge en förklaring till varför de utfallit som de gjort.
Inledningsvis kan slås fast att de två upphandlingsprojekten knappast kan ha haft mycket samröre.
Olikheten i synsätt och begrepp är iögonfallande trots att det i båda fallen handlar om offentlig sektor och delvis överlappande verksamheter.
En sak är dock den samma för båda upphandlingarna: det handlar inte om att upphandla en lösning för det långsiktiga arkivbehovet.
I stället uppfattar jag det mer som att göra en quick fix i väntan på något mer bestående.
Det är alltså möjligen lösningar för mellanarkiv vi pratar om där information av olika karaktär (allmänna handlingar och annat) lagras under en i arkivperspektivet begränsad tid för att därefter gallras, rensas eller föras över till en slutförvaring.
Såvitt jag kan se handlar också lösningar om överföring från system till system eller från system till tjänst, ingen inriktning mot ett mer infrastrukturellt tänkande finns med.
Jag är inte förvånad över detta men vill ändå betona detta.
Trots likheten i behov har SSC och SKI hamnat i två helt olika upphandlingar.
SSC har sedan 2014 bedrivit sitt upphandlingsprojekt där också ett antal statliga myndigheter deltagit och varit utsedda som ”pilotmyndigheter” (bakgrunden finns ).
Utifrån regeringsuppdraget lämnades en första delrapport 2015 med ett förord signerat både av SSC:s GD och riksarkivarien.
Jag vill inte undanhålla läsaren sammanfattningen i rapporten som var följande (felstavning inkluderad): Det finns goda förutsättningar för att skapa en förvaltningsgemensam tjänst för e-arkiv.
· Det blir en minskad investeringskostnad och en besparing för staten som helhet.
· Bara genom att etablera ett gemensamt e-arkiv istället för sju separata för pilotmyndigheterna, sparar staten flera tiotals miljoner kronor.
· Det finns etablerade arbetsätt för e-arkivering · Marknaden är mogen och det finns system och leverantörer.
· Sju pilotmyndigheter har skrivit på en avsiktsförklaring om att ansluta sig till tjänsten.
Förutsättningar för fortsatt arbete: · Regeringen behöver undanröja de juridiska hindren genom en förordningsändring.
· Statens servicecenter (SSC) och Riksarkivet förordar att projektet går vidare till krav- och upphandlingsfas, under förutsättning att regeringen bidrar med tillräcklig finansiering.
Även den som är luttrad från digitaliseringsprojektens närmast obligatoriska glädjekalkyler kanske ändå hoppar till litet vid sådana diffusa fördelar som att staten ska ”spara flera tiotals miljoner kronor”.
Konstateranden som att det finns en mogen marknad för e-arkiv och dessutom etablerade arbetssätt för e-arkivering känns idag 2019 som önsketänkanden och var det ännu mer 2015.
Det var utgångspunkterna för projektet som visserligen har haft riksarkivarien som styrgruppens ordförande och en stilig projektdokumentation men som ändå slutade i att upphandlingen av en nationell molntjänst avbröts strax före jul 2018.
Vad SSC under fyra år försökt upphandla är alltså en molntjänst för ett stort antal myndigheters e-arkiv (om man ser till de tillväxtstaplar som presenterats i projektet): Den ”tjänst” som Statens servicecenter efterfrågar i denna upphandling är således att betrakta som en sammanhållen leverans och ska inte förväxlas med begreppet ”Software as a service” (SaaS).
Skillnaden är att den grundläggande arkivmjukvaran upphandlas i form av en programvarulicens medan de övriga delarna i leveransen upphandlas som en tjänst på månadsbasis.
Istället för en normal upphandling av molntjänsten valde SSC att göra en så kallad konkurrenspräglad dialog.
Statens servicecenter har valt konkurrenspräglad dialog som upphandlingsförfarande då det inte är möjligt att utforma samtliga krav på tjänsten i förväg.
Med tanke på komplexiteten i uppdraget och de rättsliga förutsättningarna krävs dialog med erfarna leverantörer för att slutgiltigt utforma kraven.
Detta är enligt mig en mycket svår upphandlingsform inte minst när det gäller applikationer och molntjänster.
För att kunna styra en sådan upphandling krävs en mycket fast hand från kunden för att inte hamna på olika typer av grynnor och skär.
När då kunden redan inledningsvis skriver att man inte kunnat utforma kraven på tjänsten känns den fasta handen rätt avlägsen.
Som säkerhetsintresserad börjar man skruva på sig; att upphandla en nationell molntjänst med en glidande kravspec känns…obehagligt.
Låt oss då se på säkerhetsinriktningen i SSC:s konkurrenspräglade dialog.
För det följande är det viktigt att ha i åtanke att syftet med processen att nå fram till leverantör av en molntjänst, d.v.s.
en tjänst där stora mängder offentlig ackumuleras.
Kravet på tjänsten har varit att den ska kunna hantera den information som kundmyndigheterna väljer att stoppa in, även sekretessreglerad information.
Däremot inte hemliga handlingar: den förvaltningsgemensamma tjänsten för e-arkiv ska inte dimensioneras för hantering och lagring av hemliga uppgifter och handlingar.
Hemliga uppgifter och handlingar ska därför fortsatt, och av kundmyndigheterna själva, förvaras på annat sätt e-arkivet som sådant bör betraktas som säkerhetskänslig verksamhet – av betydelse för rikets säkerhet.
Detta bland annat mot bakgrund av de stora informationsmängder, från många myndigheter, som ansamlas i lösningen och de konsekvenser som till exempel ett bortfall av tjänsten skulle kunna medföra för berörda verksamheter – och för samhället Redan här väcks många frågor.
Om man ser det potentiella e-arkivet som en säkerhetskänslig verksamhet enbart p.g.a av att det ansamlas stora informationsmängder varför då utan närmare argumentation välja en lösning som leder just till detta?
Följden av beslutet har blivit att man valt att göra en upphandling med krav på säkerhetsskyddsavtal på nivå 1, alltså den högsta nivån.
Detta ställer stora krav på leverantören som att införa en säkerhetsskyddsorganisation, att välja vissa specifika säkerhetslösningar och att införa utvidgade säkerhetskontroller av anställda.
Förutom att säkerhetsskyddsåtgärderna av naturliga skäl kan minska effektiviteten i lösningen innebär ökade kostnader och därmed ökat utpris för kunden.
Det innebär minskad integritet för anställda och i många fall även fördyrande krav i kundens egen verksamhet.
I detta fall ställer jag mig också tveksam till på vilket sätt e-arkivet om det inte upprätthåller tillgängligheten skulle utgöra ett hot mot Sveriges säkerhet liksom att antagonistiska hot skulle vara den primära risken (jag går inte djupare på den nya lagens syn på riktighet och tillgänglighet eftersom den är i bästa fall oklar).
Om detta synsätt sprids, d.v.s.
att det visserligen inte är säkerhetskänslig information som kommer att hanteras i lösningen men vi kommer ändå att använda SUA, så kommer i princip varenda molntjänst som används i offentliga uppdrag av privata och offentliga aktörer att falla under säkerhetsskyddslagen.
Om säkerhetsskyddslagens syfte är att skydda ”det mest skyddsvärda” så kan vi inte låta det gå inflation i tillämpningen så att den blir det nya normala.
Jag vill bara framföra ett milt: sansa er och försök tänk på konsekvenserna av detta (även om utredningen som ny säkerhetsskyddslag hade en ytterst sangvinisk konsekvensanalys, återkommer till det i ett senare inlägg).
Det kanske mest häpnadsväckande är att informationsklassning och skyddsnivåer inte nämns vare sig i inbjudan eller bilagan.
Utan kommentar förutsätts alla myndigheter ha samma behov av säkerhet och kravs ställs inte på leverantören att kunna leverera tjänsten på olika fastställda skyddsnivåer.
Min fundering blir då vem som blir riskägare i det här konceptet om kundmyndigheten inte kan påverka tjänsten.
Detta känns igen från SSC:s övriga tjänster vilket jag ser som ett grundproblem med hela konstruktionen.
Förutom detta ställde SSC även krav på certifiering mot ISO 27001 eller motsvarande icke-certifierat ledningssystem, SOA samt beskrivning av säkerhetskontroller.
Detta är ett krav som måste finnas med men som i praktiken, enligt min erfarenhet, inte utgör en garant för ett väl fungerande säkerhetsarbete.
Hunnen så här långt i genomgången av upphandlingen pockar två frågor på.
För det första har SSC begränsat antalet möjliga leverantörer mycket starkt.
Fyra års utredande borde ha gett en marknadsanalys som påvisat att det finns mycket få svenska leverantörer som kan eller vill leverera på dessa villkor.
Historien visar ju också att endast en leverantör återstod när upphandlingen avslutades.
Den andra frågan är varför denna upphandlingen sker över huvud taget.
Ett alternativ hade varit att gå ut i en vanlig ramavtalsupphandling där Riksarkivet kunnat bistå med expertkunskap på samma sätt som de nu gjort i SSC:s upphandling.
Vad exakt tillför SSC som inte myndigheterna skulle kunna få i en direktrelation med leverantörerna?
Eftersom man då skulle kunna få fler leverantörer skulle förhoppningsvis den koncentration som påkallat säkerhetsskydd kunnat undvikas (ja, här ligger en mycket, mycket större fråga om den totala mängden tjänster hos leverantörerna och ramavtalens oligopolskapande kraft men jag hinner inte ta den nu).
Till detta kommer en bilaga med ganska ordinära säkerhetskrav.
Några reflektioner kan dock göras.
Påfallande många av kraven är inexakta av typen att leverantören ska beskriva vilken säkerhetsfunktionalitet finns.
En förvånansvärt stor andel av det som kan kallas säkerhetskrav ägnas åt fysisk säkerhet.
Och som sagt: nivåer saknas.
Sammantaget skulle det skapa stora svårigheter för kundmyndigheten att bedöma vilken den faktiska säkerheten i leveransen blir.
Om man summerar SSC:s kravbild inklusive orimliga krav som att leverantören ska ha erfarenhet av att tillämpa Riksarkivets FGS i praktiska lösningar vilket i princip är en omöjlighet eftersom det knappt finns några FGS:er så undrar jag om SSC verkligen velat ha en leverantör.
I förtroende har leverantörer förmedlat att har saknats dialog trots den upphandlingsform som valt och som bygger på just dialog.
Trots att endast en leverantör återstått under det sista året har upphandlingen rullat på och därefter avslutats bland annat med motiveringen att det var för få leverantörer.
I upphandlingsunderlaget återkommer följande formulering: Under avtalstiden kan uppdraget komma att begränsas eller på annat sätt förändras med anledning av författningsändringar eller förändrade uppdrag för Statens servicecenter.
Bland annat kan det bli aktuellt för statliga myndigheter att ansluta till en så kallad statlig molntjänst.
Med tanke på att företrädare för SSC ofta vädrat en önskan om att få uppdraget att ta över statlig it-drift och skapa en statlig molntjänst så kan inte tanken att angelägenheten att få affären i hamn kanske inte var helt odelad helt viftas bort.
SKI:s upphandling är en förnyad sådan så man får anses ha mera erfarenhet på området än SSC.
Av teoretiska och praktiska orsaker är jag tilltalad av SKI:s inriktning att använda definitionen ”funktion för e-arkivering” även om det finns aningen av ironi i motstridigheten när funktionen beskrivs som I definitionen av funktionen för e-arkivering beskrivs e-arkiv i termer av vad e-arkivet ska klara av, vilka behov som ska tillgodoses, snarare än vilka funktioner som ska finnas.
Detta är en betydligt mer öppen upphandling i meningen att det finns möjlighet för kunderna att använda avtalet både för att kunna köpa en molntjänst och för att köpa en applikation för egen drift.
I alla fall hypotetiskt minskar det risken för den koncentration som föranledde kravet på SUA för SSC.
SKI har alltså valt att inte göra en SUA, helt korrekt enligt mig.
Det ger också kunden möjlighet att lägga till egna säkerhetsåtgärder i en applikationsdrift och anpassa applikationsdriften till egna skyddsnivåer.
Att flera leverantörer finns på ramavtalet minskar inte bara koncentrationen av information utan gör också lättare att välja en leverantör som motsvarar den egna kravbilden utöver det som står i ramavtalet.
Jag tror (med betoning på tror) att ramavtal är en bättre lösning även ur säkerhetssynpunkt om det är oklart vad en mellanliggande myndighet ska tillföra eftersom kunden då har möjlighet att ha direktkontakt med leverantören.
Applikationsdrift i all ära men för mindre verksamheter kan molntjänster innebära en mycket bättre säkerhet än vad man kan skapa själv (har redan skrivit om detta ett antal gånger så jag vevar inte argumentationen ytterligare en gång).
Inte heller i SKI:s upphandling finns skyddsnivåer definierade även om informationsklassning nämns som en del i de konsulttjänster som kan avropas.
Krav på certifiering ställs inte och säkerhetskraven är inte frilagda på samma sätt som i SSC:s upphandling.
Likaså är många kraven av samma något diffusa karaktär som i SSC:s upphandling.
Det är därför svårt att på rimlig tid skapa en bild av hur den tänkta säkerhetsarkitekturen ser ut.
Jag tror dock att det varit enklare att hitta fram till ett samförstånd i denna upphandlingstyp än i den konkurrenspräglade dialogen som SSC valde som upphandlingsform.
Ett problem med båda upphandlingarna är att det är svårt att se vilka riskbedömningar som gjorts och det är även svårt att se något systematiskt arbete som föranlett de säkerhetskrav som faktiskt ställts.
Jag uppfattar det inte som att säkerhet varit en väl analyserad fråga i upphandlingarna även om SSC drämde i med storsläggan säkerhetsskydd.
Generellt skulle jag vilja hävda att kunden som använder SKI:s ramavtal har större möjlighet att påverka säkerheten i sin informationshantering än den tänkta kunden hos SSC.
Hur stora koncentrationer av information ska hanteras är en fråga på nationell nivå där jag inte tror att säkerhetsskydd är lösningen.
I båda fallen har (eller skulle ha haft) kunden ett drygt arbete att analysera sitt säkerhetsbehov innan en tjänst kan tas i drift.
En from förhoppning är fortfarande att ta fram gemensamma skyddsnivåer till gagn både för kunder och leverantörer.
Ytterligare en önskan skulle vara att tydligare utgå från de tilltänkta kundernas situation och möta dem där de är.
Om ett nationellt ”e-arkiv” ska byggas upp bör behov och lösningar analyseras mycket mer noggrant.
Det handlar om både organisation, tjänster och infrastruktur.
De utredande ansatser som gjort av SSC övertygar mig inte om att denna myndighet är rätt instans för detta uppdrag.
Under en övergångsperiod menar jag att den realistiska lösningen är att upphandla tjänster.
En observation som kan göras är att den organisation som har till uppgift att göra upphandlingar är den som lyckas.
En lärdom av detta kan vara att uppmärksamma hur komplicerad själva upphandlingsprocessen är och att den bäst sköts av en organisation med expertkompetens.
Att ha icke-koordinerade lösningar mellan stat och kommun/region är olyckligt.
Eftersom informationen flödar mellan arkivbildare bör det konceptuellt vara samma typ av lösningar.
Här finns även möjlighet att ge stöd för de privata utförarna av offentliga uppgifter – ett område som nu tycks bortglömt.
Slutligen vill jag, som så ofta, understryka betydelsen av att Riksarkivet tar ett betydligt större ansvar för e-arkivfrågan.
Det gäller både operativt i rena kravställningar men också strategiskt.
Redan nu görs enorma informationsförluster vilket borde sporra Riksarkivet till att göra det till sin huvudfråga.
Föreställningen om att e-arkiv handlar om att överföra information från ett system till ett annat måste överges och de stora informationsarkitekturerna prioriteras.
För att lyckas med krävs mycket stora insatser.
Två viktiga steg menar jag är att befria SSC från uppdrag inom e-arkivområdet och att inse att det som nu kallas e-arkiv egentligen är ett informationshanteringssystem som inte löser den långsiktiga arkivfrågan.
Därefter bör ett nytt uppdrag skapas.
Grunden för ett sådant uppdrag bör vara att staten nu (och sannolikt inte under överskådlig tid)inte har förutsättning att utveckla informationshanteringslösningar i den omfattningen själv.
Att omforma eller kopiera SKI:s ramavtal så att även statliga myndigheter kan använda det är ett sätt att skapa förutsättningar för en mogen marknad där leverantörer kan se en långsiktighet som gör att de vågar investera i utveckling.
Tillägg 2019-02-10: Uppmärksamma läsare har hört av sig och sagt Kammarkollegiets ramavtal innebär en möjlighet för alla aktörer inom offentliga sektor att upphandla e-arkivlösningar för installation i den egna miljön.
Definitionen av e-arkiv är på samma sätt som övriga sparsmakad och på samma gång förbryllande, arkivarie som jag är har jag svårt att uppfatta skillnaden mellan arkivering och långtidsarkivering: Anbudsgivare ska erbjuda minst en programvara för e-arkiv för installation i kunds it-miljö.
Med e-arkiv menas en programvara för arkivering och långtidsarkivering av handlingar för installation i kunds it-miljö Naturligtvis borde jag nämnt avtalets existens.
Jag har dock redan i ett tidigare inlägg beskrivit hur jag försökt få svar på vilken säkerhet dessa leverantörer kan erbjuda utan att lyckas (ingen svarade).
Dessutom går ramavtalet såvitt jag kan se ut den sista november i år.
Att avtalstiden snart går ut ökar möjligheterna för att ta ett större grepp om frågan.
I augusti 2014 fick den då relativt unga myndigheten Statens servicecenter ett uppdrag av regeringen att i samverkan med Riksarkivet samt sju pilotmyndigheter utveckla och använda en förvaltningsgemensam tjänst för e-arkiv.
Efter dryga fyra år avbryter man nu upphandlingen med hänvisning att det endast inkommit en kvalificerad sökande och att priset är för Detta är mycket bekymmersamt.
I en fråga som varit akut i ett par decennier, nämligen det långsiktiga bevarandet av den information som genereras i myndigheter, kommuner och landsting, har myndigheter blivit intalade att det snart kommer en lösning på deras .
Så sent som för en månad sedan deltog Statens servicecenter på Arkivforum och trumpetade ut att man nu var i mål och att myndigheter skulle kunna ansluta sig till tjänsten inom ett halvår.
Det skulle vara frestande att ropa ”skandal” men det är intressantare att försöka analysera vad misslyckandet beror på.
Själv har jag redan tidigare skrivit om att hela upplägget var märkligt i framförallt två hänseenden.
För det första har det hela tiden saknats en övergripande strategi för det långsiktiga bevarandet av digitala handlingar.Det som kallats e-arkiv hos Statens servicecenter är bara en del i en större helhet som ännu inte finns beskriven.
Eftersom tjänsten enbart är ett mellanarkiv återstår fortfarande att skapa ett slutarkiv och min obesvarade fråga har varit varför ett mellanarkiv över huvud taget skulle vara intressant i ett digitalt perspektiv.
Om information ska överföras från arkivbildaren till en annan myndighet borde det rimligen ske på ett sätt där även slutarkivering ingår eller åtminstone är tydligt planerad.
Så är nu inte fallet och för mig förefaller detta bara vara ett prokrastinerande av en oundviklig uppgift.
Den andra frågan är sammanhängande med detta och handlar om Riksarkivets roll och varför information som ska långtidsbevaras först ska mellanlanda hos en annan myndighet.
Jag menar att Riksarkivet borde ta ansvaret för denna kärnuppgift i det egna området och beskriva hur ett digitalt mellanarkiv borde utformas för att passa in i en större helhet av bevarande.
Att överlåta detta uppdrag till en myndighet utan expertkompetens känns både ologiskt och som ett stort risktagande.
Det som upphandlingen slutligen fallit på är dock den bristande informationssäkerheten hos leverantörerna vilket framgår tydligt i det beslut som Statens servicecenter tagit angående att avbryta .
Av de åtta anbudsgivarna föll sex bort på grund av de inte uppfyllde kraven på informationssäkerhet, en drog sig ur frivilligt och den enda kvarvarande blev för dyr.
Att informationssäkerheten varit en, med ett understatement, underordnad fråga i e-arkivsammanhang är för mig uppenbart både utifrån den enkät jag gjorde i våras och ännu tydligare i de frågor jag ställt till leverantörer.
De leverantörer jag frågat och där det finns en stark korrelation med de som lämnat anbud till Statens servicecenter har inte kunnat svara på en enda fråga gällande säkerhet alternativt har aktivt beslutat att inte svara.
Detta förhållande borde blivit känt även för Statens servicecenter.
Jag har vid förfrågan inte fått ta del av de säkerhetskrav som Statens servicecenter ställt men i dokumentet som offentliggjorts om upphandlingen visar att flertalet leverantörer som lämnat anbud inte kan visa upp ens den mest elementära styrning av säkerhet i sina tjänster.
För mig är det mest förvånande att Statens servicecenter under fyra år drivit ett projekt med syfte att tillgodose myndigheterna med en e-arkivtjänst inte under denna tid vare sig lyckats med att genomföra en relevant marknadsanalys eller med att förmedla information till leverantörerna om informationssäkerhetens betydelse.
Har man verkligen trott att leverantörerna jobbar med informationssäkerhet utan att man behöver betona det eller har man bara kört på trots indikationer på att det inte fungerar?
Och detta efter Transportstyrelsen och alla de diskussioner som förts om molntjänster och outsourcing?
Nu kan en kritisk läsare tänka att utfallet beror på att Statens servicecenter ställt alldeles orimligt höga säkerhetskrav.
Min bedömning är den motsatta.
De fallerande anbudsgivarna uppfyller inte ens elementära säkerhetskrav som till exempel att ha en informationssäkerhetspolicy eller kunna visa vilka säkerhetskontroller man genomför.
Som sagt; jag har ingen aning om hur säkerhetskraven formulerats i upphandling eftersom det sekretessbelagts.
Men om leverantörerna inte ens har ett LIS eller kan beskriva hur det egna säkerhetsarbetet är organiserat måste dialogen mellan upphandlande myndighet och leverantörer gått allvarligt fel.
Detta är dessutom en upphandling som skett med så kallat förhandlat förfarande där den upphandlande myndigheten inbjuder utvalda leverantörer och förhandlar om kontraktsvillkoren med en eller flera av dem.
Dialogen har syftat till att utforma krav och villkor för om hur en förvaltningsgemensam tjänst för e-arkiv på bästa sätt kan utformas.Under dialogen har sökande presenterat och preciserat sin lösning i enlighet med inbjudan till respektive dialogomgång.
Sammanlagt har sex (6) dialogomgångar .
Projektet har alltså pågått i fyra år med dialoger med hugade leverantörer.
Ändå har man inte fått leverantörerna att inse att de åtminstone måste ha en basal informationssäkerhet för att kunna bli aktuella.
För mig bekräftar det mitt intryck av att e-arkivfrågan på alla nivåer varit tämligen konsekvent isolerad frånt.
I den aktuella upphandlingen har det lett till ett ofruktbart resultat för kunder och leverantörer trots nedlagda resurser.
Vad värre är – att arbetet med att ta fram andra lösningar för e-arkiv avstannat hos myndigheterna och därmed en stor förlust av tid.
I sin till regeringen förklarar Statens servicecenter att man inte lyckats upphandla en tjänst som är ekonomiskt försvarbar i förhållande till investeringen.
Man menar sig dock ha vunnit så viktiga erfarenheter av sina fyra projektår att man vill att regeringen ska ge ett nytt uppdrag till myndigheten för att utreda en lösning där Statens servicecenter upphandlar licenser för drift och lagring hos en annan myndighet.
Jag menar att denna tummetott i form av någon typ av erfarenhet inte bör motivera regeringen att ge Statens servicecenter ett fortsatt uppdrag.
Istället bör Riksarkivet få ett uppdrag att ta fram en strategi för långtidslagring av digital information, d.v.s.
omfatta både mellan- och slutarkiv.
Detta ingår inte specifikt i den pågående arkivutredningens trots att det ändå måste uppfattas vara arkivsektorns kärnuppdrag.
Därför bör ett separat uppdrag om detta formuleras som inkluderar arkivteoretiska, informatiska, tekniska, juridiska och organisatoriska aspekter men även på ett djupare plan den informationssäkerhet som måste inarbetas i lösningen.
En mycket omfattande men oundgänglig uppgift för utredningen är också att ta fram strategier för att lagra de allt mer komplexa informationsinfrastrukturer som byggs upp med både offentliga och privata aktörer.
I dag tycks fortfarande e-arkiv ofta handla om att ”arkivera” enskilda system trots att det inte är så verkligheten ser ut.
Man kan tycka att detta i onödan drar ut på tiden men för mig är detta en nödvändig grund för det digitala långtidsbevarandet och i förlängningen det digitala samhället.
När utredningen är klar och beslut fattats om inriktning bör expertmyndigheten Riksarkivet vara beställare av de tekniska lösningarna där mellanarkivet kanske kan vara förlagt hos Försäkringskassan.
Slutarkivet måste dock, anser jag, finnas hos Riksarkivet.
I detta kan jag inte se att Statens servicecenter kan spela någon väsentlig roll.
Och återigen är mitt credo: är det någonstans informationssäkerhet behövs så är det i e-arkiv!
Den första frågan i min enkät var huruvida myndigheten, landstinget respektive kommunen tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1.
Det var en klumpigt formulerad fråga eftersom RA-FS naturligtvis bara gäller statliga myndigheter.
Min tanke var dock i all enkelhet att även om det inte finns en föreskrift om att planera sitt långsiktiga bevarande av digital information direkt riktad till den egna verksamheten så borde det ändå vara nödvändigt att ha en strategi för att kunna efterleva alla andra krav som finns på att informationen bevaras i exempelvis vårddokumentation.
För en arkivarie borde detta också vara kärnuppdraget: att ta fram en inriktning för det långsiktiga bevarandet.
För att friska upp minnet på de enstaka människor som inte har alla sina RA-FS:ar färskt i minnet så är kravet i 3 kap 1 § i RA-FS 2009:1 formulerat så här: 1 § Myndigheten ska upprätta en strategi för bevarande av elektroniska handlingar.
Av strategin ska framgå vilka åtgärder myndigheten avser att vidta för att säkerställa ett bevarande av handlingarna.
Åtgärderna ska dokumenteras i enlighet med 2 §.
Strategin ska fortlöpande kompletteras och hållas aktuell. . Med åtgärder avses hur elektroniska handlingar ska framställas, överföras, hanteras, förvaras och vårdas under den tid som de ska bevaras.
Myndigheten bör vid planeringen av system och rutiner, i enlighet med bestämmelserna i 6 § arkivförordningen (1991:446), samråda med arkivmyndigheten.
Därefter följer mer detaljerade krav på vad strategin ska innehålla men i min enkät nöjde jag mig att efterfråga själva befintligheten av en strategi.
Innan jag går vidare gör jag här en liten utvikning om förutsättningarna för ett långsiktigt bevarande.
En reflektion jag gör när jag läser Riksarkivets krav är inriktningen på system, teknik och handlingar.
Detta rimmar, menar jag, inte helt med kravet på en processorienterad arkivredovisning som finns i RA-FS 2008:4.
Till detta kommer de förvaltningsgemensamma specifikationerna som inte heller är processinriktade.
De e-arkivlösningar som presenteras som verkar vara helt inriktade på att lyfta över information från ett system till ett annat utan någon koppling till process såvitt jag kunnat utröna.
Jag är dessutom osäker på hur OAIS-modellen ska tillämpas i relation till processer.
Det framstår som det finns ett antal komponenter som det långsiktiga bevarandet ska bygga på men att dessa inte är helt koordinerade.
När jag läser de kravspecifikationer som tagits fram för e-arkiv verkar det vara de tekniska kraven som kommit i förgrunden och tyvärr på ett ganska daterat sätt.
Att prata om system i en tid då allt mer information hanteras i molntjänster kan få ganska ödesdigra konsekvenser för arkivbildnigen.
Det är synd för jag tror inte att de tekniska aspekterna är det som främst utgör ett hinder för att lyckas med ett långsiktigt bevarande.
Den här frågan går inte heller att hantera i bitar utan måste ses som en sammanfogad helhet som vilar på en solid teoretisk grund, och det är den grunden som jag uppfatta är undflyende i de resonemang som förs.
För mig som arkivteoretisk nörd skulle det optimala vara det processorienterade perspektivet var genomgående som strukturerande princip för att knyta ihop verksamhet och information, självklart ända in i det digitala långtidsbevarandet.
Konkret skulle vi kunna försöka utveckla proveniensbegreppet till att förutom den inre och yttre proveniensen även omfatta en processproveniens.
Proveniensen har ett antal funktioner för arkivbildningen som att ge informationen ett mervärde då den sätts i organisatoriska kontext, att skapa autenticitet och att ge oss de bästa möjligheterna för att kunna återsöka information.
Dessutom som redan den store Nils Nilsson underströk: de processuella värdena.
Om vi nu tar tanken med de processuella värdena och sammanför det med ett proveniensbegrepp i det långsiktiga bevarandet skulle vi kunna utveckla helt nya lösningar.
Det känns aningen pinsamt att dra upp gamla texter stup i kvarten men faktiskt skrev jag i Arkiv, samhälle och forskning redan 1997 en artikel, (AFS 1997:3 – det går tyvärr inte att länka till den) som försöker resonera om hur nya tekniska lösningar ändrar förutsättningarna för arkivteorins grundpelare.
Mycket i texten är kanske passerat men något som jag ändå tycker fortfarande förtjänar att poängteras är skillnaden mellan Müller, Feith och Fruins öppna förhållningssätt till vad som avgränsar den yttre proveniensen där de om och helhet.
I Sverige, till skillnad mot i andra länder, har arkivbildarbegreppet blivit manifest och alltid kopplat till en enskild organisation.
Om vi nu tittar på världen såsom den ser ut med snabba omorganisationer och en alltmer gemensam informationsinfrastruktur – borde vi inte då skruva upp processbegreppets betydelse och samtidigt något tona ner arkivbildarbegreppet för att uppnå det vi ska proveniensprincipen till?
Med dagens tekniska lösningar menar jag att detta vore fullt möjligt att både hitta lösningar som ger en bättre proveniens samtidigt som de skulle ge effektivitet och minskade kostnader.
För att ta ett enkelt exempel skulle det menar jag var betydligt bättre att identifiera ett antal större samhällsprocesser som varat över tid i olika former och redovisa informationen per process som första steg och därefter arkivbildare.
Ta exempelvis folkskolan som fram till 1930-talet hade kyrkan som huvudman, därefter staten och nu kommunerna medan verksamheten i huvudsak varit densamma.
För att ge bättre överblick och även proveniens skulle informationen kunna vara sökbar både per process och per arkivbildare.
Jag vill bara hinta med vad detta skulle innebära när det gäller vårdinformation där det idag är stora problem att avgöra vilken information som finns var och vem som är ansvarig för den.
Med en processorientering vid en omorganisation skulle det också vara möjligt att låta den digitala informationen vara tillgänglig både i den avslutade arkivbildningen och som överförd i den nya (ja, jag vet att man måste lösa utnämningsfrågan men det känns som ett mindre aber).
För det långsiktiga bevarandet menar jag att dessa frågeställningar har stor betydelse eftersom de både avgör arkivbildningens värde, möjligheten till återsökbarhet och inte minst ansvarsfördelningen.
Men låt oss lämna mina tankar i frågan och istället se hur de myndigheter, kommuner och landsting som svarat på enkät hanterat frågan.
Av de kommuner som svarat är det bara två som säger ett tydligt ”ja” på frågan om de tagit fram en strategi i linje RA-FS.
En handfull svarar att de gjort det som medlemmar i Sydarkivera, ytterligare några säger att de är på gång eller har strategisk inriktning i andra dokument men det absoluta flertalet uppger sig inte ha någon strategi.
Bland landstingen är det ingen av de svarande utom en region som anser sig ha en strategi motsvarande kravställningen i RA-FS 2009:1 men några har reglerat delelement i ett långtidslagrande som format.
Det man kan se i svaren är att många kommuner, landsting och regioner har försökt hitta olika typer av samarbetsformer för att gemensamt ta fram en inriktning där den mest framgångsrika tycks vara Sydarkivera.
Många respondenter uttrycker att frågan är svår att hantera autonomt eftersom man inte har kompetens eller resurser att ens utreda hur långtidsbevarandet skulle kunna gå till.
Och som någon påpekar ”Vi kommuner har ju ett speciellt förhållande till Riksarkivets föreskrifter.”, det vill säga att man kan välja att efterleva dem men det är inget tungt argument eftersom man inte är skyldig att följa dem.
är en imponerande ansats men inte heller den ger de svar som behövs.
Från myndigheterna har jag fått in svar där c.a.
50 myndigheter säger sig ha en strategi av vilka flertalet även bifogat strategin.
Det förekommer en hel del disclaimers av typen ”den har några år på nacken” eller ”vi håller på att omarbeta den”.
Ett antal myndigheter skriver också att de håller på att ta fram en strategi.
Det är ett rätt omfattande material att tränga igenom men det finns ändå några gemensamma drag som jag här ska sammanfatta i några punkter (observera att detta är generaliseringar – undantag finns).
Jag är också angelägen om att återigen understryka att frågans komplexitet som ställer nästintill orimliga krav de enskilda myndigheterna.
Först en glädjande observation: få myndigheter har idag som uttalad strategi att ta ut digital information i pappersformat för arkivering.
Visserligen förekommer detta fortfarande i verkligheten trots de mycket stora informationsförluster som detta leder till men nu är ambitionen åtminstone att komma vidare med ett kvalitativt bevarande av digital information.
De flesta strategier följer, föga förvånande, RA-FS:ens krav.
Efterlevnaden kan uppfattas som litet väl hörsam eftersom det i vissa fall blir en upprepning av vad som står i RA-FS med tillägget att ”det ska vi göra”.
Men det finns också många som gjort stora insatser för att beskriva hur den digitala informationen ska omhändertas konkret och i detalj.
Det gör att vissa av dokumenten kanske inte egentligen är strategier utan mer av riktlinjer eller instruktioner.
Genomgående är att myndigheterna har avgränsat scoopet för strategin till den egna verksamhetens verksamhetssystem eller förvaltningsobjekt trots att dagens e-förvaltning i allt högre grad innebär integrerade informationshanteringslösningar.
I de fall där det av strategierna ändå framgår att myndigheten ingår i myndighetsövergripande informationshantering nämns inte vad jag kunnat upptäcka hur detta ska hanteras arkivbildningsmässigt.
Jag kan inte se att eSam (en efterföljare till E-delegationen) ger någon vägledning i hur frågan ska omhändertas vare sig strategiskt eller operativt, teoretiskt eller .
Om jag ska utnämna en fråga som särskilt oroande är det just denna – att det skapas allt större allmänna handlingar där ansvaret för den långsiktiga hanteringen är till synes oklart.
Att för den enskilda myndigheten göra de utredningsinsatser som krävs för att lösa frågeställningen och därefter få accept på detta i ett större sammanhang framstår inte som en optimal inriktning.
Föreskriften är från 2009 och är som jag tidigare redovisat inriktad på system och elektroniska handlingar.
Det är sannolikt bakgrunden till att de strategier som jag tagit del av också är det.
Det handlar om verksamhetssystem, inte tjänster och inte heller processer, samt är i hel del fall länkade till myndighetens systemförvaltningsmodell.
Vissa formuleringar skulle kunna tolkas som att strategierna är tillämpbara även på tjänster.
Elektroniska handlingar kan förekomma även i tjänster och tjänster skulle kunna vara förvaltningsobjekt.
Sådana möjliga tolkningar verifieras dock inte i de mer instruktionslika tillvägagångssätt som ingår i strategierna.
Koppling till processorienterad arkivredovisning saknas ofta men man ser ansträngningar för att integrera arkivredovisning och bevarandeplaner (möjligen även klassificeringsstrukturer) på ett bra sätt men det framgår inte hur.
Trots det tekniska perspektivet är det svårt att se en verkligt strategisk inriktning i strategierna.
Man pekar ibland på att man valt en viss programvara eller en viss tjänst för lagring men inte för hur länge.
Ibland omnämns att överlämning till arkivmyndigheten inte är aktuellt, ibland berörs inte slutarkivering alls.
Sammantaget är jag imponerad av den kompetens som arkivarier lagt in i sina strategier.
Även om jag inte sett en strategi som jag tycker uppfyller alla krav så finns det en stor gemensam resurs i de många strategierna att crowd-sourca ur för att kanske skapa en gemensam linje.
Ur ett forsknings- och kulturarvsperspektiv finns det dock anledning att vara bekymrad.
Det finns en inte oväsentlig risk inte bara för att information inte arkiveras utan också för att den information som verkligen tas om hand kommer att sakna tillräcklig proveniens, kontext och återsökningsmöjligheter.
För mig är informationsförvaltning och informationssäkerhet nära sammanhängande frågor med många gemensamma förutsättningar och problem.
Det största gemensamma problemet är kanske att de sällan integreras sinsemellan och inte heller med det som kallas digitalisering.
Eftersom jag fått uppdrag att skriva en bok om dessa frågor började jag fundera på hur jag skulle få en bättre bild av hur sambanden ser ut i praktiken.
En fråga som utkristalliserade sig var e-arkiv som en del av informationsförvaltningen.
För att kunna förstå frågan på rätt sätt är det viktigt att först analysera betydelsen av ”arkiv” och därmed av ”e-arkiv”.
Trots att det både säljs och köps s.k.
e-arkivlösningar finns det ingen definition av vad detta skulle kunna vara.
Jag kommer att återkomma till denna fråga i ett senare inlägg men här nöjer jag mig med att utgå från att e-arkiv är en process för att långsiktigt bevara digital information med autenticitet, spårbarhet, konfidentialitet, sökbarhet samt med processuella värden i behåll.
Samtliga dessa krav kan finnas i olika grad beroende på den information som ska bevaras.
Den som delar min bedömning om vad ska ses som ett e-arkiv är sannolikt beredd på att acceptera att informationssäkerhet och e-arkiv har starkt inbördes beroende.
Min utgångspunkt är också att en stor del av allmänna handlingar ska bevaras över tid liksom en inte obetydlig del av den information som produceras i privata verksamheter.
Även om kraven på konfidentialitet och tillgänglighet i de flesta fall klingar av så är ändå slutsatsen att e-arkivlösningar måste kunna erbjuda minst lika bra informationssäkerhet som de digitala lösningar som hanterar informationens mer aktiva skeden.
För e-arkivet ökar istället kraven på autenticitet som kan sägas vara en kombination av spårbarhet och riktighet.
Genom den aggregering av information som planeras i många e-arkivlösningar ökar också kraven på att skydda mot obehörig åtkomst.
Utan att utveckla detta ytterligare så måste med dessa förutsättningar ett mycket aktivtomge e-arkiven med riskanalyser och informationsklassning m.m.
på minst samma nivå som för andra digitala lösningar.
I en allt mer digital värld är jag också mycket nyfiken på hur dessa frågor ska lösas nationellt och om vi inte måste tänka på ett annat sätt när det gäller det långsiktiga bevarandet än vad vi gjort när det gäller pappershandlingar.
För den oinvigde har Riksarkivet varit slutarkivet för de allmänna handlingar som produceras i statliga myndigheter som i långsam process likt sedimentering vandrar från aktivt skede via mellanarkiv till slutlagring.
Digitaliseringen gör hela denna process onödig, de digitala handlingar som ska bevaras för eftervärlden skulle kunna överföras till slutarkiv i samma ögonblick som de skapas och en kopia hanteras i verksamheten.
Ändå tycks tankegången fortfarande var densamma i praktiken och någon slags mellanarkiv för digital information byggas upp av Statens Servicecenter som outsourcar tjänsten till något av de stora leverantörerna.
Jag ställer mig frågande till hela tanken i detta, att tjänsten byggs upp inte av den myndighet med ansvar och kompetens inom arkivområdet utan en annan, men också inför hur erbjudandet eller påbudet uppfattas av de myndigheter som förväntas delta.
Detta är bakgrunden till att jag i början av 2018 skickade ut en enkät till samtliga myndigheter, regioner/landsting och kommuner med följande frågor: Har ni tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1?
Om ja skulle jag, om möjligt, vilja ta del av den.
Har ni en egen e-arkivlösning eller planerar ni att köpa en tjänst för det eller på annat sätt anlita utomstående?
Om ni planerar att köpa en tjänst eller anlita utomstående: ser ni det som ett mellanarkiv?
Vilken tidshorisont har ni för nyttjandet av tjänsten?
Har ni en Plan för informationssäkerhet enligt 6 kap RA-FS 2009:1?
Om ja skulle jag, om möjligt, vilja ta del av den.
Om/när ni tagit fram en egen e-arkivlösning alternativt anlitat utomstående för tjänsten, har detta då föregåtts av en riskanalys och informationsklassning?
Vilka är, som ni ser det, de viktigaste kraven på informationssäkerhet när det gäller e-arkiv?
Ur offentlighetsperspektivet är svarsfrekvensen dyster för detta är hur många som svarat till dags dato trots att förfrågan även innehöll en begäran om att få ta del av allmän handling: 62 kommuner (21 % av samtliga tillfrågade) 8 regioner/landsting (40 %) 86 myndigheter (24 %) Några noteringar kan göras rörande de svarande.
Bland kommuner är det påfallande att det snarare är de små kommunerna som ansträngt sig för att svara än de medelstora eller stora.
Bland myndigheterna har universitet och högskolor varit exceptionellt bra på att svara (75 %).
Av de myndigheter som ingår i eSam som är ”ett medlemsdrivet program för samverkan mellan 24 myndigheter och SKL.
Samarbetet syftar till att underlätta och påskynda digitaliseringen av det offentliga Sverige.” och som bland annat drivit på frågan om öppna data är det knappt hälften av de ingående myndigheterna som svarat på enkäten.
Här skulle man kanske kunna önska litet mer av att leva som man lär och en vilja att förmedla information även i praktiken.
Hela tanken så som den formuleras idag är att ett ”e-arkiv” på något sätt är en applikation i egen regi, i samverkan, hos en myndighet eller i form av en molntjänst.
Därför tyckte jag också att det var intressant att ställa frågor till olika typer av leverantörer hur de formulerat säkerhetskraven på sina lösningar.
Här var svarsfrekvensen extremt låg när jag ställde dessa frågor: Kan ni redovisa på vilket sätt ni arbetat med informationssäkerhet i tjänsten?
Vilka ser ni som de främsta informationssäkerhetsriskerna kopplade till tjänsten?
Kan ni erbjuda tjänsten på olika skyddsnivåer?
Är alla typer av information möjlig att hantera i dem?
Vilka krav ställer ni på eventuella underleverantörer?
Hur ser ni på ert ansvar i förhållande till användarna av tjänsten då det gäller att uppnå tillräcklig informationssäkerhet?
Har ni ett eget internt ledningssystem för informationssäkerhet (LIS)?
Har ni en utpekad informationssäkerhetsansvarig i er organisation?
Har ni ett eget standardförslag på personuppgiftsbiträdesavtal och är det i så fall möjligt för mig att få ta del av?
Är tjänsten planerad för att klara NIS-direktivet och civilt försvar?
Jag har på dessa frågor inte fått ett enda svar som inte varit av typen ”varför ställer du de frågorna” eller ”kan vi ta det per telefon istället”.
Statens Servicecenter var dock mycket snabba och tillmötesgående och skickade över kravspecifikationen de använt när de försökt upphandla tjänsten e-arkiv.
Min slutsats är att leverantörerna: Inte fått tydligt formulerade säkerhetskrav på sina tjänster Inte har tagit fram ett generellt presentationsmaterial som redovisar vilken säkerhet som deras tjänster erbjuder.
Att säkerhet i tjänsten inte är självklara frågor ser jag som mycket bekymmersamt och som en klar brist på mognad hos dessa tjänster vilket också komplicerar situationen för särskilt mindre organisationer som planerar att upphandla ett ”e-arkiv”.
I nästa blogginlägg kommer jag att redovisa de svar som inkommit från kommuner, landsting/regioner och myndigheter.
Som så många andra som arbetar med informationssäkerhet läser jag nu med stort intresse den granskning som på regeringens uppdrag genomförts av Transportstyrelsens upphandling av förändrad it- .
Det finns ett antal faktorer till den olyckliga händelseutvecklingen som förtjänar uppmärksamhet och säkert kommer att fortsätta att penetreras.
En aspekt som jag menar borde analyseras närmare än vad som skett i granskningen är myndigheters (och även andra organisationers) behov av generell kontroll över sin information.
För mig framstår att ha kontroll över vilken information som finns i organisation samt hur den hanteras som den mest basala förutsättningen för att uppnå en fungerande informationssäkerhet.
För myndigheter är detta inte krav kopplat enbart till informationssäkerhet utan finns även i offentlighetslagstiftningen och i arkivlagen.
De allmänna handlingarna ska vara redovisade och snabbt återsökbara.
I praktiken innebär det att en myndighet (inklusive kommuner) måste ha kontroll över den information som skapas, inkommer och på olika sätt hanteras i verksamheten.
Det hjälpmedel som används för att skapa den eftersträvade kontrollen kallas ofta dokumenthanterings- eller informationshanteringsplan.
Det finns inget legalt krav på att ta fram dessa planer men realistiskt sett är det nödvändigt att ha den här typen av planer, oavsett vad de kallas, för att kunna systematiskt kunna beskriva vilken information som finns.
I fallet Transportstyrelsen skulle ett sådant verktyg kunnat ge ett bra stöd inför en eventuell outsourcing eftersom, rätt utformad, skulle planen ha identifierat vilken information som skulle ingå i upphandlingen och vilket krav på skydd ur olika hänseenden (säkerhetsskydd, personuppgifter m.m.)
som måste tillgodoses.
Mitt intryck är att många myndigheter inte har de informationshanteringsplaner som vore nödvändiga för kontroll av informationshantering.
De planer jag sett är ofta antingen fragmentariska (d.v.s.
omfattar endast delar av verksamhetens informationshantering) eller inaktuella.
Vanligt är också att de i alltför hög grad bara redovisar information som ser ut som ”dokument”.
Detta mitt intryck kan vara helt fel men jag tycker det vore en angelägen uppgift för Riksarkivet att utreda och göra till en prioriterad fråga.
Med konsekvent användning av informationshanteringsplaner skulle inte bara offentlighets- och arkivbehovet kunna tas om hand utan det skulle också kunna utgöra ett väsentligt steg mot en stärkt informationssäkerhet.
Och vara ett konkret samarbetsområde för informationssäkerhetsmänniskor och arkivarier!
I all enkelhet tror jag inte att svensk förvaltning kommer att klara den pågående digitaliseringen utan betydligt bättre samordning, i annat fall kommer händelser liknande den på Transportstyrelsen att bli återkommande.

Det är närmast en tradition att arkivutredningar inte kommer fram till något särskilt.
Att även är som en kompass utan visare ska kanske därför inte dömas för hårt.
Istället får vi tacka för det redovisande innehållet och söka de nödvändiga lösningarna på organisation och vision för hur det långsiktiga bevarandet av information ska ske på annat håll.
Själv pläderar jag återigen för framtagandet av en arkivstrategi där både vägval görs om vad som ska ses som ingående i arkivområdet och alla de spretiga som frågor som ändå kommer att återstå knyts ihop i en rörelse framåt.
Framför allt borde INGEN kunna blunda för att det ännu inte finns någon plan för hur all den information som skapas idag ska bevaras med kvalitet, säkerhet och autenticitet för framtiden.
Detta gör att övriga arkivfrågor i min värld framstår som petitesser.

demokratiaspekter genom insyn och transparens forskningens tillgång till information på lång och kort sikt förtags behov av råvara till olika typer av tjänster inklusive AI juridiska, organisatoriska arkivteoretiska, tekniska Om vi särskiljer lagring och arkiv innebär arkiv den slutliga förvaringen av information som ska bevaras i hundra-, ja tusentals år.
Att införa e-arkiv är alltså inte något som kan vidtas med en händelsehorisont på tio år.
I den svenska myndighetsvärlden råder en viss begreppsanarki där ”arkiv” kan betyda olika saker som en lokal, en institution och en myndighets bestånd av allmänna handlingar vilket jag skrivit om bland annat En myndighet (inklusive kommuner och regioner) skapar och tar emot stora mängder information av vilka en del utgör allmänna handlingar som enligt huvudregeln ska bevaras för framtiden såvida inte ett formellt gallringsbeslut upprättas som sätter en gallringsfrist.
Gallring kan alltså ske efter olika lång tid vilket gör att viss information ska sparas för all framtid medan annan kan gallras efter viss tid.
För pappersbunden information har man därför ofta skapat för att avställa inaktuell information i väntan på långtidsbevarande respektive gallring.
Det är arkivmyndigheten som i huvudsak ska fatta gallringsbeslut.
Här finns dock en mycket stor skillnad mellan statliga myndigheter och kommuner/regioner.
För statliga myndigheter är Riksarkivet arkivmyndigheter medan i kommuner och regioner är deras egna styrelser som utgör arkivmyndigheter En arkivmyndighet har inte bara uppgiften att fatta gallringsbeslut utan även ansvaret för bland annat arkivvård och tillsyn.
I det nu aktuella sammanhanget är det en central förutsättning att när en arkivmyndighet tar hand om ett arkiv så är det också arkivmyndigheten som ”äger” arkivet.
Arkivmyndigheten ansvarar för utlämnande av allmänna handlingar och den ursprungliga arkivbildaren (d.v.s.
myndigheten som lämnat in) kan inte hålla på att rumstera om i informationen.
Trots att arkivredovisningen ska vara processorienterad och att vi idag har stora sammanhängande informationsinfrastrukturer med ett otal antal bärare är e-arkivfrågan fortfarande inriktad på att överföra informationsmängder från enskilda system för arkivering.
I den enkät jag gjorde 2018 bland myndigheter, kommuner och regioner var ett starkt intryck att e-arkivfrågan inte i någon högre grad kopplats samman med informationssäkerhet.
Få att de tillfrågade hade gjort informationsklassningar och riskanalyser, ännu färre kunde redovisa säkerhetskrav att ställa på e-arkiv.

autenticitet riktighet giltig bevisvärde mellanarkiv en

Meny Arkivfrågor inklusive e-arkiv Inläggsnavigering

Den långsiktiga hanteringen av information Den nya informationsinfrastrukturen Den krympande andelen allmänna handlingar Information som samhällsresurs Bristande relation till näraliggande områden En strategi för den svenska arkivverksamheten Bakgrund Vad skulle då upphandlas?
SKI Slutsatser

MENU MENU Postat av Postad i , , , Tagged , , Postat av Postad i , , Tagged , , , Postat av Postad i , , Tagged , , , , Postat av Säker och samordnad it-drift Försäkringskassan har påbörjat anslutning av sex myndigheter inom regeringsuppdraget att er- bjuda samordnad och säker statlig it-drift (Fi2017/03257/DF).
Intresset är stort och flera statliga myndigheter har inlett dialog med Försäkringskassan med avsikt att ansluta sin it- drift.
Postad i , , , , , Tagged , , Postat av Postad i , , , Tagged , , , Postat av Postad i , , , Tagged , , , , , , Postat av Postad i , , Tagged , , , Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , Tagged , , , , , , Postat av Postad i , , , Tagged , , ← Sök efter:

En myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap.
12 § tryckfrihetsförordningen och som myndigheten beslutar ska tas om hand för arkivering.
Det övergripande syftet är att säkerställa samhällets tillgång till allmänna handlingar både nu och i framtiden.
Härifrån till evigheten Om informationstekniskt bevis Juridik som stöd för förvaltningens digitalisering authenticity integrity Allmänna råd Arkivbildarbegreppet och proveniensprincipen under press?
adminstrative bodies Göteborgs Stads föreskrifter och riktlinjer om arkiv- och informationshantering

Tre rapporter rörande obligatorisk incidentrapportering har kommit sedan årsskiftet: två från MSB och en från IMY (Integritetsskyddsmyndigheten).
Spännande läsning men säger rapporterna något väsentligt som jag kan dra nytta av i mitt säkerhetsarbete?
Under senare år har det nationella och även europeiska säkerhetsarbetet präglats av en klockarkärlek till obligatorisk inrapportering av incidenter.
Själv känner jag mig mer ambivalent.
Å ena sidan kan det tyckas som en självklarhet att det ska finnas en nationell lägesbild över vad som händer både för det akuta läget men även för att dra nytta av erfarenheterna som det brukar heta.
Å andra sidan är incidentrapportering en aktivitet som rusar i komplexitet när man bara börjar skrapa på ytan, det räcker att försöka rigga en fungerande process i den egna organisationen för att inse det.
Se bara den enkla processbeskrivning jag tagit fram som stöd för den enskilda organsiationer: Tyvärr måste jag medge att jag inte är alldeles övertygad om att kvantitativa insamlingar av något så komplext som incidenter är det bästa sättet att bringa klarhet i vilka verksamhetsstörningar och andra typer av realiserade hot som kan kopplas till it-incidenter (vilket är det som MSB och NIS-direktivet fokuserar på).
Förutom att det tynger de inrapporterande verksamheterna i kritiska faser undrar jag generellt om kvaliteten på rapporteringen och vilken säkerhetshöjande effekt den har.
Generellt är det ett problem att det saknas systematik i det nationella säkerhetsarbetet.
I myndigheter, kommuner, regioner och företag försöker vi få till en PDCA-snurra med ett tydligt C men i de nationella satsningarna för att stödja säkerhetsarbetet tycks inte utvärdering ses som ett nödvändigt steg.
För att ta ett par exempel så har jag frågat MSB om vilken utvärdering som skett av det s.k.
Metodstödet som ligger ute Informationssäkerhet.se och vilken säkerhetshöjande effekt det haft samt ställt samma typ av fråga till SKR angående KLASSA.
I båda fallen var svaret att man inte genomfört någon utvärdering och några planer i den riktningen nämndes inte heller.
Det finns en risk att mycket blir vad jag brukar kalla ”religiös säkerhet”, d.v.s.
åtgärder som vidtas i god tro men där det krävs just tro istället för evidens för att se resultaten.
Ofta handlar det om det som jag redan skrivit om som Graeberskt: när arbetet stannar vid dokument som skrivs, mallar som fylls i, enkäter som besvaras och engångsutbildningar som inte leder till någon djupare kunskap.
När en kommun glatt skriver om att deras styrande dokument blivit ”godkända” av tillsynsmyndigheten men att man inte tittat på hur det faktiskt ser ut i verkligheten tycker jag mig leva i Graebers värld av BS jobs.
Det finns en risk att nationell incidentrapportering blivit så populär just för att den kan röra sig i denna värld.
Vad kommer man då fram till i rapporterna?
För att få litet grepp om frågan har jag gjort en sammanställning av 2020 års inrapporterade incidenter: Att lyckas med sitthandlar i hög grad om att kommunicera.
Att kommunicera handlar i sin tur i hög grad om att skapa förståelse och samsyn.
Detta är nödvändigt för att få människor och organisationer att agera.
Banala sanningar kan tyckas men tyvärr är dålig kommunikation en ständig ledsagare för de som arbetar med informationssäkerhet.
Själva begreppet informationssäkerhet saknar en tydlig och accepterad .
Detta leder till problem både för dem som anser sig arbeta med ”informationssäkerhet” och för dem som avser att anställa eller anlita vad de tror är en definierad kompetens.
Det blir inte enklare då man slänger in nya spännande beteckningar som ” ”.
Jag tror att det finns en olycklig tendens att de som arbetar med informationssäkerhet (i någon form) är mer intresserade av att bekräfta varandra i gruppen än att skapa en relation med omvärlden, d.v.s.
en relation byggd på ömsesidig förståelse.
Ta exemplet med titeln ”CISO” som fått en snabb spridning i svenska myndigheter inklusive regioner och kommuner.
Uttytt står CISO för vilket låter flott men titeln leder enligt min mening till mer oförståelse och förvirring än klarhet.
När informationssäkerhet i sig ännu inte är ett hushållsbegrepp så min fråga är varför man i Söpple kommun väljer att höja svårighetsnivån ytterligare och införa en titel som är helt ogenomtränglig för alla utanför skrået.Vad man chiefar över är även det höljt i dunkel.
Särskilt märkligt blir detta titulerande sett i ljuset av den svenska språklagen som uttryckligen skriver: Språket i domstolar, förvaltningsmyndigheter och andra organ som fullgör uppgifter i offentlig verksamhet är svenska.
I annan lag finns särskilda bestämmelser om rätt att använda nationella minoritetsspråk och annat nordiskt språk.
När det gäller skyldigheten för domstolar och förvaltningsmyndigheter att anlita tolk och att översätta handlingar finns det särskilda bestämmelser.
Språket i offentlig verksamhet ska vara vårdat, enkelt och begripligt.
Myndigheter har ett särskilt ansvar för att svensk terminologi inom deras olika fackområden finns tillgänglig, används och utvecklas.
Detta har alltså svenska myndigheter att följa vilket jag finner som ett rimligt krav.
Jag har funderat över varför så många väljer att bryta mot detta när det gäller CISO-begreppet, vad vill man uppnå på bekostnad av att varken den egna organisationen eller de invånare man är satt att tjäna begriper vad man sysslar med?
CISO är ju inte heller på något sätt en skyddad yrkestitel eller resultatet av en specifik utbildning utan kan stå för litet vad som helst.
Jag är den första att förespråka en klassisk professionalisering av vår yrkesgrupp, vilket jag skrivit om bland annat , men då är det helt andra och mer seriösa åtgärder som krävs än en flashig titel.
Vi borde vilja nå ut, inte spinna in oss i en allt tätare skråkokong.
Återigen; CISO-begreppet är bara ett exempel men jag tycker det är signifikativt för en attityd som jag menar är till nackdel både för professionen och för uppdragsgivare.
En episod som ofta återkommer i mitt minne är när en medarbetare för ett antal år sedan argumenterade för sin linje (som inte var min) med fritt citerat:” well, det är så vi i communitiet ser det.”.
Tyvärr fann jag mig inte tillräckligt snabbt för att fråga exakt vad ”communitiet” egentligen var och vilka som ingick i det men jag misstänker att det var någon slags informell och självutnämnd kommitté av människor som såg sig som ägare av informationssäkerhetsfrågan i Sverige.
Eftersom jag själv alltid skytt den här typen av gemenskaper är jag partisk.
Ändå vill jag säga jag uppfattar den här kårandan som ett problem som gestaltas bland annat genom lanserandet av CISO-titeln.
Istället för att rikta blicken på den egentliga målgruppen, det vill säga de som inte arbetar med informationssäkerhet, spelar vi för vårt eget galleri.
Den skapar också osunda lojalitetsband eftersom det saknas objektiva och accepterade krav på den som ska ses som en kompetent yrkesutövare.
Låt oss skingra dimman och inrikta oss på att nå ut till de som vi egentligen ska tjäna och skapa förutsättningarna för en seriös utveckling mot en profession.
Detta kan också en etablerad titel med ett tydligt kompetenskrav som på sikt till och med skulle kunna bli en skyddad.
Jag fortsätter succékonceptet att blogga om obskyra ämnen med en mycket begränsad grupp av intresserade.
Förra gången utredningsväsendet, nu behovet av autenticitet.
Upprinnelsen till detta inlägg är att jag fick uppdraget att prata om äkthet på en konferens och då började fundera mer intensivt på frågan – tack för det FALK!
Detta blogginlägg ska ses som en bråkdel av vad jag anser behöver belysas gällande autenticitet.
Utgångspunkten var att både ur ett arkiv- och ett informationssäkerhetsperspektiv finns ett grundläggande intresse av att kunna skapa och upprätthålla autenticitet på olika nivå i informationshanteringen.
Att notera är att autenticitet vid sidan om skydd mot obehörig åtkomst också är det historiskt sett mest konsistenta intresset både för arkivverksamhet och för informationssäkerhetsområdet.
Dessutom är vissa tekniska åtgärder för att på olika sätt skapa autenticitet så grundläggande att vi inte ens reflekterar över dem, från underskrift på pappersdokument till olika digitala autentiseringslösningar.
Detta till trots är autenticitet som begrepp och tillämpning påfallande sällan diskuterat.
Slagningar i Libris och Diva antyder att när autenticitet explicit diskuteras gäller det i allra flesta fall kulturminnesvård, konst eller möjligen kvalitet.
Inte ens som autenticitetens betydelse i relation till juridiskt bevisvärde har skapat några större textmängder vilket påpekas i en av de få avhandlingar från senare år som har detta tema ( av Jonas Ekfeldt).
De många utredningar som genomförts rörande digitalisering har inte fördjupat sig autenticiteten utan den nämns endast flyktigt som i SOU 2018:25 där ordet autenticitet finns med två (!)
gånger på 562 sidor.
Visserligen diskuteras signaturer i ett avsnitt men som jag ser det är det enbart en delmängd av frågan och här presenterad helt utan större kontext.
Det enda glädjeämnet är en tio år gammal text av , numera landsarkivarie i Härnösand.
Ett första steg för många för att förstå begreppet autenticitet är att gå till de standarder som ofta tillmäts kvaliteten att kunna ge definitioner.
Jag har här valt två centrala standarder för området som även fått förleden SS för att ange att de ska ses som svenska standarder.
Den första är SS-ISO 15489_1 2016 som är en standard för hantering av verksamhetsinformation till vilken allt oftare arkivarier hänvisar.
Ur ett arkivperspektiv är möjligheten att bedöma graden av autenticitet en nödvändig förutsättning för i princip alla moment i hanteringen och det är därför av intresse att se vilket stöd standarden ger för att närma sig frågan.
Trots att den alltså är en svensk standard finns den ännu inte, såvitt jag kan se, översatt till svenska.
Inga förändringar har dock gjorts från en tidigare version av standarden som hade följande svenska definition: Att handlingen visar att den är vad den utger sig för att vara, Att den är skapad eller skickad av personen som uppgett sig för att ha skapat eller skickat in handlingen Att handlingen blivit skapad eller inskickad i den angivna tiden Även bortsett från den förvirrande användningen av begreppet ”handling” som skapar så mycket språkförbistring när arkivarier ska kommunicera den övriga mänskligheten (det är liksom både bärare och informationsinnehåll på en gång) så är denna definition fertil grogrund för ett antal frågor.
Som det första cirkelargumentet att handlingen (som bärare gissar jag) i sig demonstrerar något som ger autenticitet.
Som att den tycks se autenticitet som ett binärt begrepp; antingen är handlingen autentisk eller inte.
Som att autenticitet på något vagt sätt har med post att göra.
Som att autenticitet är knuten till en enskild person.
Om vi istället går över till informationssäkerheten och ser vad den svenska terminologin som SIS gav ut 2015 säger blir frågorna inte färre.
Där uppges följande: äkthet avseende uppgivna uppgifter; särskilt rörande påstådd identitet och meddelandens ursprung och innehåll Den tekniska process vari äktheten, autenticiteten bekräftas kallas autentisering.
Denna kontroll kan avse entiteter såsom användare, processer, systemkomponenter och informationsobjekt Pluspoäng för att man nämner ordet ”äkthet” och att autentisering kan gälla olika typer av komponenter.
I övrigt är det rätt svårt att förstå vad som egentligen kännetecknar autenticitet.
Vad som mest intresserar mig är dock att autenticitet valts bort som en central dimension av informationssäkerheten i ISO 27000:s tolkning.
Istället har riktighet upphöjts till en av de tre särskilda omnämnda värdena och då med denna betydelse (fortfarande enligt terminologin): skydd mot oönskad förändring Definitionen ser till skyddet medan egenskapen ”riktighet” får förstås implicit som typ oförändrad information.
Jag har svårt att förstå denna prioritering mellan begreppen.
Hur man kommit fram till den är som eljest i standardsammanhang dolt, de diskussioner, överväganden och möjligen utredningar som lett fram till olika ställningstaganden finns inte presenterade någonstans.
Bristen på den transparens och strävan efter delaktighet som finns inom exempelvis akademin saknas då standarder etablerar sina sanningar.
Riktighet kan i bästa fall ses som en delmängd av det större begreppet autenticitet.
Därför bör autenticitet eftersträvas som ett huvudmål snarare än riktighet, en uppfattning som skulle varit rimlig redan innan det digitala samhälle vi nu har fötts.
När information hela tiden skapas, transformeras och kommuniceras med oändliga möjligheter att avsiktligt eller oavsiktligt göra den missvisande vad det gäller upphov, kvalitet och intention borde autenticiteten vara en naturlig fokalpunkt för informationssäkerhet, digitalisering och arkiv.
För att inte tala om AI och deep fake.
Informationssäkerhet och valet av riktighet framför autenticitet – varför blev det så?
Bortsett från min generella hypotes om den anti-intellektuella hållning som präglar området är en spekulation att riktighet valts p.g.a.
många i branschen rekryterats från it-hållet och därför känner sig bekväma med ett databassynsätt, d.v.s.
att information i ett system ska skyddas mot förändring.
Eftersom denna snäva beskrivning av risker är otillräcklig sett till verkliga organisationers behov har man därför behövt gå in och trixa med begreppet spårbarhet för att få någon slags relevant beskrivning.
Därav det neurotiska förhållandet till spårbarhet, ett begrepp som är så tabuiserad att det inte ens går att diskutera för de rättroende.
Synd tycker jag vilket jag skrivit om Mitt förslag för att få en mer täckande beskrivning av förhållanden som behöver beskrivas är att använda konfidentialitet, autenticitet, spårbarhet och tillgänglighet.
Riktighet kan då placeras in under paraplyet autenticitet som en nödvändig men inte på långt tillräcklig aspekt att bedöma.
Dock räcker inte de definitioner som de två standarderna ger för att fylla det behov av att beskriva informationens äkthet som vi har i digitaliserad värld.
Hur ser då detta behov ut?
Kärnan i frågan är att kunna säkerställa en informationsmängds kvalitet i form av ”äkthet”.
För att ytterligare ringa in vad som åsyftas så består autenticiteten inte bara av att informationen är oförändrad (det som åsyftas med riktighet) utan även att den är vilket också kan formuleras att den har ett .
Som ett enkelt exempel: för att ett avtal ska kunna ha ett bevisvärde räcker det egentligen inte med en signatur även om det accepterats under lång tid.
Vad som krävs är att det går att härleda vem det är som undertecknat men framför allt om denna någon hade mandat att underteckna avtalet o.s.v.
Det är inte heller så att en tavla signerad med namnet Picasso övertygar alla som en äkta dyrgrip.
Den kanske bästa och enklaste illustrationen av bevisvärdets betydelse för autenticiteten finns att hämta i utvecklingen av sedlarnas historia som betalningsmedel.
De första sedlarna var egentligen kvitton på insatta medel hos en bank.
Kvittot kunde sedan användas för att på ett smidigt sätt kunna sköta betalningar utan att behöva släpa omkring högar av metaller.
För att denna effektivisering av ekonomin skulle kunna vara möjlig krävdes institutionella förutsättningar för att den enskilda sedeln skulle accepteras som autentisk och inte som vilken papperslapp som helst.
Det räcker inte med att siffrorna på sedeln är ”riktiga” utan den måste också omges andra skyddsåtgärder för att kunna accepteras som äkta.
Jag laborerar med tanken att se autenticitet som en inversion av källkritikens principer.
Det betyder att autenticitet inte är binärt utan en glidande skala av möjlighet att bedöma äktheten, beroenden, tendens, tidsförhållanden, närhet till händelsen o.s.v.
De tekniska lösningarna kan sägas ”låsa” den organisatoriska kontext som omgett informationen i olika skeden och därmed ge ett bevisvärde.
I ett långsiktigt måste de organisatoriska förhållandena som skapar autenticitet kunna återskapas på ett säkert sätt även om tekniska lösningar förändras och information migreras (kedja som ej bryts).
Inom arkivområdet används begreppet proveniens för att beskriva förhållandet mellan information, organisation och i förlängningen äkthet.
Frågan om autenticitet är principiellt densamma i digitala som i analoga informationsmängder.
Komplexiteten har dock växt explosionsartat från det kinderägg-tillstånd där information, bärare och autenticitetsskapande faktor var oupplösligt sammanfogade som i ett undertecknat pappersavtal.
Genom digitaliseringen lever dessa tre komponenter sina egna liv där samma informationsmängd kan finnas på ett otal antal bärare och med olika nivå av autenticitet.
Direkt rafflande blir det med funktioner som ”Dela dokument” i Office 365 där mottagaren får ett dokument som inte behöver vara detsamma eller ens finnas kvar när mottagaren tar fram det en andra gång i sin e-post.
Att skapa autenticitet momentant skulle i sig vara en rejäl utmaning men för att strö ytterligare salt i såren så är kravet på autenticitet utan slut eftersom trots det information over flow vi lever i så måste ansenliga mängder av den information som skapas bevaras under lång tid eller för evigt.
Kraven på att kunna arkivera information på ett säkert sätt är självklart inte mindre nu än tidigare.
Det betyder att tilltron till informationens autenticitet inte bara ska kunna upprätthållas i ett år utan i 100 eller 1000 år för många informationsmängder.
Tänk patientjournaler, tänk urkunder i statsförvaltningen, tänk instruktioner för hanteringen av utbränt kärnbränsle, tänk mätvärden av klimatet….
Att med detta perspektiv se det mycket begränsade resonemangen om exempelvis, e-leg, e-signaturer och e-arkiv känns frustrerande.
I en tid då vi pratar så mycket om fake news och risken för negativ informationspåverkan borde verktygen för att skapa och upprätthålla autenticitet slipas.
Det finns redan viss teori om proveniens och processuella värden som skapar autenticitet inom arkivdisciplinen liksom en rad techne-åtgärder inom informationssäkerhetsområdet för autentisering och validering t.ex.
Dessa kunskapsområden borde dock tillåtas expandera och dessutom befrukta varandra för att vi ska komma närmare strategier för att skapa den autenticitet som krävs på både kort och lång sikt.
Det som hindrar detta tror jag är den korta händelsehorisont som gör att vi plumsar in i jättelika digitaliseringsprojekt utan att se längre fram än möjligen införandeprojektets avslut.
Bristande strategisk inriktning, kunskapsutveckling och samarbete mellan ansvariga myndigheter är en annan.
Group think inom informationssäkerhets- respektive arkivarieskrået som skapar en oförmåga att famna de stora frågorna en tredje där standardarbetet förefaller ha fungerat som en starkt konserverande faktor framför allt för informationssäkerheten.
Sist men inte minst styrningen av digitaliseringen i hög grad överlåtits till leverantörer av tekniska lösningar samt management.
För att komma vidare bör vi alltså försöka undanröja ovanstående hinder för att kunna skapa en mer funktionell plattform för att skapa den nödvändiga autenticiteten.
När tanken låser sig kan ett trick vara att tänka på att information är dagens hårdvaluta och jämföra med hur sedlar och andra metoder för penningtransaktioner hanteras.
Det är högintressanta tider då vissa frågor ställs på sin spets.
I min begränsade värld är en av dessa frågor det så kallade e-arkivet, denna företeelse så omgiven av förväntningar och föreställningar.
Under den senaste tiden har två stora händelser timat inom området: Statens servicecenter misslyckades med sin upphandling av e-arkiv och SKL Kommentus Inköpscentral (fortsättningsvis kallad SKI) lyckades med sin.
Det kan tyckas vara två mycket likartade händelser men ju mer man gräver så framstår skillnader allt tydligare.
Jag är ju en enkel konsult vars främsta uppgift är att försörja mig men eftersom jag misstänker att ingen annan bättre lämpad funktion tänker göra någon analys av varför det gick som det gick fattar jag ändå pennan/tangentbordet.
En brasklapp är naturligtvis att jag inte har den tid och de resurser som krävs för att göra en fullständig analys utan att jag enbart kommer att ta upp vissa aspekter som särskilt intresserar mig och då främst säkerhetskraven.
I ingetdera fallet kommer jag att kommentera de konsulttjänster som ingår i upphandlingarna utan endast upphandlingen av själva tjänsten eller applikationen.
För att förstå dessa upphandlingar behöver några basala förutsättningar slås fast.
Något som är självklart för den med litet insikt i arkivfrågor är att lagring av digital information inte täcker begreppet e-arkiv.
Här finns dock inte utrymme att gå igenom alla intrikata aspekter men låt mig poängtera vissa grundläggande frågor: Ovanstående punkter sammantaget med att Riksarkivet, för att uttrycka det milt, inte är direkt sugna på att ta emot digital arkivinformation och det inte heller finns en övergripande strategi för den långsiktiga nationella arkivverksamheten försätter myndigheterna i en svår situation.
Man har helt enkelt en exponentiellt växande digital informationsmängd att långsiktigt ta hand om utan det finns tydliga lösningar för hur det ska ske.
Förutom myndigheters, kommuner och regioners vånda så är vi nog en hel del som känner en stor oro på samhällsnivå för de stora informationsförluster vi riskerar att göra.
En informationsförlust som inte bara är ett stort hot mot dagens och framtida forskning utan också för vårt gemensamma minne.
Det finns naturligtvis enstaka ljus i mörkret som Sydarkivera som förtjänar att lyftas fram men som helhet ser det tämligen mörkt ut.
Det är alltså i denna kontext som de två upphandlingarna ska sättas in och som kanske kan ge en förklaring till varför de utfallit som de gjort.
Inledningsvis kan slås fast att de två upphandlingsprojekten knappast kan ha haft mycket samröre.
Olikheten i synsätt och begrepp är iögonfallande trots att det i båda fallen handlar om offentlig sektor och delvis överlappande verksamheter.
En sak är dock den samma för båda upphandlingarna: det handlar inte om att upphandla en lösning för det långsiktiga arkivbehovet.
I stället uppfattar jag det mer som att göra en quick fix i väntan på något mer bestående.
Det är alltså möjligen lösningar för mellanarkiv vi pratar om där information av olika karaktär (allmänna handlingar och annat) lagras under en i arkivperspektivet begränsad tid för att därefter gallras, rensas eller föras över till en slutförvaring.
Såvitt jag kan se handlar också lösningar om överföring från system till system eller från system till tjänst, ingen inriktning mot ett mer infrastrukturellt tänkande finns med.
Jag är inte förvånad över detta men vill ändå betona detta.
Trots likheten i behov har SSC och SKI hamnat i två helt olika upphandlingar.
SSC har sedan 2014 bedrivit sitt upphandlingsprojekt där också ett antal statliga myndigheter deltagit och varit utsedda som ”pilotmyndigheter” (bakgrunden finns ).
Utifrån regeringsuppdraget lämnades en första delrapport 2015 med ett förord signerat både av SSC:s GD och riksarkivarien.
Jag vill inte undanhålla läsaren sammanfattningen i rapporten som var följande (felstavning inkluderad): Det finns goda förutsättningar för att skapa en förvaltningsgemensam tjänst för e-arkiv.
· Det blir en minskad investeringskostnad och en besparing för staten som helhet.
· Bara genom att etablera ett gemensamt e-arkiv istället för sju separata för pilotmyndigheterna, sparar staten flera tiotals miljoner kronor.
· Det finns etablerade arbetsätt för e-arkivering · Marknaden är mogen och det finns system och leverantörer.
· Sju pilotmyndigheter har skrivit på en avsiktsförklaring om att ansluta sig till tjänsten.
Förutsättningar för fortsatt arbete: · Regeringen behöver undanröja de juridiska hindren genom en förordningsändring.
· Statens servicecenter (SSC) och Riksarkivet förordar att projektet går vidare till krav- och upphandlingsfas, under förutsättning att regeringen bidrar med tillräcklig finansiering.
Även den som är luttrad från digitaliseringsprojektens närmast obligatoriska glädjekalkyler kanske ändå hoppar till litet vid sådana diffusa fördelar som att staten ska ”spara flera tiotals miljoner kronor”.
Konstateranden som att det finns en mogen marknad för e-arkiv och dessutom etablerade arbetssätt för e-arkivering känns idag 2019 som önsketänkanden och var det ännu mer 2015.
Det var utgångspunkterna för projektet som visserligen har haft riksarkivarien som styrgruppens ordförande och en stilig projektdokumentation men som ändå slutade i att upphandlingen av en nationell molntjänst avbröts strax före jul 2018.
Vad SSC under fyra år försökt upphandla är alltså en molntjänst för ett stort antal myndigheters e-arkiv (om man ser till de tillväxtstaplar som presenterats i projektet): Den ”tjänst” som Statens servicecenter efterfrågar i denna upphandling är således att betrakta som en sammanhållen leverans och ska inte förväxlas med begreppet ”Software as a service” (SaaS).
Skillnaden är att den grundläggande arkivmjukvaran upphandlas i form av en programvarulicens medan de övriga delarna i leveransen upphandlas som en tjänst på månadsbasis.
Istället för en normal upphandling av molntjänsten valde SSC att göra en så kallad konkurrenspräglad dialog.
Statens servicecenter har valt konkurrenspräglad dialog som upphandlingsförfarande då det inte är möjligt att utforma samtliga krav på tjänsten i förväg.
Med tanke på komplexiteten i uppdraget och de rättsliga förutsättningarna krävs dialog med erfarna leverantörer för att slutgiltigt utforma kraven.
Detta är enligt mig en mycket svår upphandlingsform inte minst när det gäller applikationer och molntjänster.
För att kunna styra en sådan upphandling krävs en mycket fast hand från kunden för att inte hamna på olika typer av grynnor och skär.
När då kunden redan inledningsvis skriver att man inte kunnat utforma kraven på tjänsten känns den fasta handen rätt avlägsen.
Som säkerhetsintresserad börjar man skruva på sig; att upphandla en nationell molntjänst med en glidande kravspec känns…obehagligt.
Låt oss då se på säkerhetsinriktningen i SSC:s konkurrenspräglade dialog.
För det följande är det viktigt att ha i åtanke att syftet med processen att nå fram till leverantör av en molntjänst, d.v.s.
en tjänst där stora mängder offentlig ackumuleras.
Kravet på tjänsten har varit att den ska kunna hantera den information som kundmyndigheterna väljer att stoppa in, även sekretessreglerad information.
Däremot inte hemliga handlingar: den förvaltningsgemensamma tjänsten för e-arkiv ska inte dimensioneras för hantering och lagring av hemliga uppgifter och handlingar.
Hemliga uppgifter och handlingar ska därför fortsatt, och av kundmyndigheterna själva, förvaras på annat sätt e-arkivet som sådant bör betraktas som säkerhetskänslig verksamhet – av betydelse för rikets säkerhet.
Detta bland annat mot bakgrund av de stora informationsmängder, från många myndigheter, som ansamlas i lösningen och de konsekvenser som till exempel ett bortfall av tjänsten skulle kunna medföra för berörda verksamheter – och för samhället Redan här väcks många frågor.
Om man ser det potentiella e-arkivet som en säkerhetskänslig verksamhet enbart p.g.a av att det ansamlas stora informationsmängder varför då utan närmare argumentation välja en lösning som leder just till detta?
Följden av beslutet har blivit att man valt att göra en upphandling med krav på säkerhetsskyddsavtal på nivå 1, alltså den högsta nivån.
Detta ställer stora krav på leverantören som att införa en säkerhetsskyddsorganisation, att välja vissa specifika säkerhetslösningar och att införa utvidgade säkerhetskontroller av anställda.
Förutom att säkerhetsskyddsåtgärderna av naturliga skäl kan minska effektiviteten i lösningen innebär ökade kostnader och därmed ökat utpris för kunden.
Det innebär minskad integritet för anställda och i många fall även fördyrande krav i kundens egen verksamhet.
I detta fall ställer jag mig också tveksam till på vilket sätt e-arkivet om det inte upprätthåller tillgängligheten skulle utgöra ett hot mot Sveriges säkerhet liksom att antagonistiska hot skulle vara den primära risken (jag går inte djupare på den nya lagens syn på riktighet och tillgänglighet eftersom den är i bästa fall oklar).
Om detta synsätt sprids, d.v.s.
att det visserligen inte är säkerhetskänslig information som kommer att hanteras i lösningen men vi kommer ändå att använda SUA, så kommer i princip varenda molntjänst som används i offentliga uppdrag av privata och offentliga aktörer att falla under säkerhetsskyddslagen.
Om säkerhetsskyddslagens syfte är att skydda ”det mest skyddsvärda” så kan vi inte låta det gå inflation i tillämpningen så att den blir det nya normala.
Jag vill bara framföra ett milt: sansa er och försök tänk på konsekvenserna av detta (även om utredningen som ny säkerhetsskyddslag hade en ytterst sangvinisk konsekvensanalys, återkommer till det i ett senare inlägg).
Det kanske mest häpnadsväckande är att informationsklassning och skyddsnivåer inte nämns vare sig i inbjudan eller bilagan.
Utan kommentar förutsätts alla myndigheter ha samma behov av säkerhet och kravs ställs inte på leverantören att kunna leverera tjänsten på olika fastställda skyddsnivåer.
Min fundering blir då vem som blir riskägare i det här konceptet om kundmyndigheten inte kan påverka tjänsten.
Detta känns igen från SSC:s övriga tjänster vilket jag ser som ett grundproblem med hela konstruktionen.
Förutom detta ställde SSC även krav på certifiering mot ISO 27001 eller motsvarande icke-certifierat ledningssystem, SOA samt beskrivning av säkerhetskontroller.
Detta är ett krav som måste finnas med men som i praktiken, enligt min erfarenhet, inte utgör en garant för ett väl fungerande säkerhetsarbete.
Hunnen så här långt i genomgången av upphandlingen pockar två frågor på.
För det första har SSC begränsat antalet möjliga leverantörer mycket starkt.
Fyra års utredande borde ha gett en marknadsanalys som påvisat att det finns mycket få svenska leverantörer som kan eller vill leverera på dessa villkor.
Historien visar ju också att endast en leverantör återstod när upphandlingen avslutades.
Den andra frågan är varför denna upphandlingen sker över huvud taget.
Ett alternativ hade varit att gå ut i en vanlig ramavtalsupphandling där Riksarkivet kunnat bistå med expertkunskap på samma sätt som de nu gjort i SSC:s upphandling.
Vad exakt tillför SSC som inte myndigheterna skulle kunna få i en direktrelation med leverantörerna?
Eftersom man då skulle kunna få fler leverantörer skulle förhoppningsvis den koncentration som påkallat säkerhetsskydd kunnat undvikas (ja, här ligger en mycket, mycket större fråga om den totala mängden tjänster hos leverantörerna och ramavtalens oligopolskapande kraft men jag hinner inte ta den nu).
Till detta kommer en bilaga med ganska ordinära säkerhetskrav.
Några reflektioner kan dock göras.
Påfallande många av kraven är inexakta av typen att leverantören ska beskriva vilken säkerhetsfunktionalitet finns.
En förvånansvärt stor andel av det som kan kallas säkerhetskrav ägnas åt fysisk säkerhet.
Och som sagt: nivåer saknas.
Sammantaget skulle det skapa stora svårigheter för kundmyndigheten att bedöma vilken den faktiska säkerheten i leveransen blir.
Om man summerar SSC:s kravbild inklusive orimliga krav som att leverantören ska ha erfarenhet av att tillämpa Riksarkivets FGS i praktiska lösningar vilket i princip är en omöjlighet eftersom det knappt finns några FGS:er så undrar jag om SSC verkligen velat ha en leverantör.
I förtroende har leverantörer förmedlat att har saknats dialog trots den upphandlingsform som valt och som bygger på just dialog.
Trots att endast en leverantör återstått under det sista året har upphandlingen rullat på och därefter avslutats bland annat med motiveringen att det var för få leverantörer.
I upphandlingsunderlaget återkommer följande formulering: Under avtalstiden kan uppdraget komma att begränsas eller på annat sätt förändras med anledning av författningsändringar eller förändrade uppdrag för Statens servicecenter.
Bland annat kan det bli aktuellt för statliga myndigheter att ansluta till en så kallad statlig molntjänst.
Med tanke på att företrädare för SSC ofta vädrat en önskan om att få uppdraget att ta över statlig it-drift och skapa en statlig molntjänst så kan inte tanken att angelägenheten att få affären i hamn kanske inte var helt odelad helt viftas bort.
SKI:s upphandling är en förnyad sådan så man får anses ha mera erfarenhet på området än SSC.
Av teoretiska och praktiska orsaker är jag tilltalad av SKI:s inriktning att använda definitionen ”funktion för e-arkivering” även om det finns aningen av ironi i motstridigheten när funktionen beskrivs som I definitionen av funktionen för e-arkivering beskrivs e-arkiv i termer av vad e-arkivet ska klara av, vilka behov som ska tillgodoses, snarare än vilka funktioner som ska finnas.
Detta är en betydligt mer öppen upphandling i meningen att det finns möjlighet för kunderna att använda avtalet både för att kunna köpa en molntjänst och för att köpa en applikation för egen drift.
I alla fall hypotetiskt minskar det risken för den koncentration som föranledde kravet på SUA för SSC.
SKI har alltså valt att inte göra en SUA, helt korrekt enligt mig.
Det ger också kunden möjlighet att lägga till egna säkerhetsåtgärder i en applikationsdrift och anpassa applikationsdriften till egna skyddsnivåer.
Att flera leverantörer finns på ramavtalet minskar inte bara koncentrationen av information utan gör också lättare att välja en leverantör som motsvarar den egna kravbilden utöver det som står i ramavtalet.
Jag tror (med betoning på tror) att ramavtal är en bättre lösning även ur säkerhetssynpunkt om det är oklart vad en mellanliggande myndighet ska tillföra eftersom kunden då har möjlighet att ha direktkontakt med leverantören.
Applikationsdrift i all ära men för mindre verksamheter kan molntjänster innebära en mycket bättre säkerhet än vad man kan skapa själv (har redan skrivit om detta ett antal gånger så jag vevar inte argumentationen ytterligare en gång).
Inte heller i SKI:s upphandling finns skyddsnivåer definierade även om informationsklassning nämns som en del i de konsulttjänster som kan avropas.
Krav på certifiering ställs inte och säkerhetskraven är inte frilagda på samma sätt som i SSC:s upphandling.
Likaså är många kraven av samma något diffusa karaktär som i SSC:s upphandling.
Det är därför svårt att på rimlig tid skapa en bild av hur den tänkta säkerhetsarkitekturen ser ut.
Jag tror dock att det varit enklare att hitta fram till ett samförstånd i denna upphandlingstyp än i den konkurrenspräglade dialogen som SSC valde som upphandlingsform.
Ett problem med båda upphandlingarna är att det är svårt att se vilka riskbedömningar som gjorts och det är även svårt att se något systematiskt arbete som föranlett de säkerhetskrav som faktiskt ställts.
Jag uppfattar det inte som att säkerhet varit en väl analyserad fråga i upphandlingarna även om SSC drämde i med storsläggan säkerhetsskydd.
Generellt skulle jag vilja hävda att kunden som använder SKI:s ramavtal har större möjlighet att påverka säkerheten i sin informationshantering än den tänkta kunden hos SSC.
Hur stora koncentrationer av information ska hanteras är en fråga på nationell nivå där jag inte tror att säkerhetsskydd är lösningen.
I båda fallen har (eller skulle ha haft) kunden ett drygt arbete att analysera sitt säkerhetsbehov innan en tjänst kan tas i drift.
En from förhoppning är fortfarande att ta fram gemensamma skyddsnivåer till gagn både för kunder och leverantörer.
Ytterligare en önskan skulle vara att tydligare utgå från de tilltänkta kundernas situation och möta dem där de är.
Om ett nationellt ”e-arkiv” ska byggas upp bör behov och lösningar analyseras mycket mer noggrant.
Det handlar om både organisation, tjänster och infrastruktur.
De utredande ansatser som gjort av SSC övertygar mig inte om att denna myndighet är rätt instans för detta uppdrag.
Under en övergångsperiod menar jag att den realistiska lösningen är att upphandla tjänster.
En observation som kan göras är att den organisation som har till uppgift att göra upphandlingar är den som lyckas.
En lärdom av detta kan vara att uppmärksamma hur komplicerad själva upphandlingsprocessen är och att den bäst sköts av en organisation med expertkompetens.
Att ha icke-koordinerade lösningar mellan stat och kommun/region är olyckligt.
Eftersom informationen flödar mellan arkivbildare bör det konceptuellt vara samma typ av lösningar.
Här finns även möjlighet att ge stöd för de privata utförarna av offentliga uppgifter – ett område som nu tycks bortglömt.
Slutligen vill jag, som så ofta, understryka betydelsen av att Riksarkivet tar ett betydligt större ansvar för e-arkivfrågan.
Det gäller både operativt i rena kravställningar men också strategiskt.
Redan nu görs enorma informationsförluster vilket borde sporra Riksarkivet till att göra det till sin huvudfråga.
Föreställningen om att e-arkiv handlar om att överföra information från ett system till ett annat måste överges och de stora informationsarkitekturerna prioriteras.
För att lyckas med krävs mycket stora insatser.
Två viktiga steg menar jag är att befria SSC från uppdrag inom e-arkivområdet och att inse att det som nu kallas e-arkiv egentligen är ett informationshanteringssystem som inte löser den långsiktiga arkivfrågan.
Därefter bör ett nytt uppdrag skapas.
Grunden för ett sådant uppdrag bör vara att staten nu (och sannolikt inte under överskådlig tid)inte har förutsättning att utveckla informationshanteringslösningar i den omfattningen själv.
Att omforma eller kopiera SKI:s ramavtal så att även statliga myndigheter kan använda det är ett sätt att skapa förutsättningar för en mogen marknad där leverantörer kan se en långsiktighet som gör att de vågar investera i utveckling.
Tillägg 2019-02-10: Uppmärksamma läsare har hört av sig och sagt Kammarkollegiets ramavtal innebär en möjlighet för alla aktörer inom offentliga sektor att upphandla e-arkivlösningar för installation i den egna miljön.
Definitionen av e-arkiv är på samma sätt som övriga sparsmakad och på samma gång förbryllande, arkivarie som jag är har jag svårt att uppfatta skillnaden mellan arkivering och långtidsarkivering: Anbudsgivare ska erbjuda minst en programvara för e-arkiv för installation i kunds it-miljö.
Med e-arkiv menas en programvara för arkivering och långtidsarkivering av handlingar för installation i kunds it-miljö Naturligtvis borde jag nämnt avtalets existens.
Jag har dock redan i ett tidigare inlägg beskrivit hur jag försökt få svar på vilken säkerhet dessa leverantörer kan erbjuda utan att lyckas (ingen svarade).
Dessutom går ramavtalet såvitt jag kan se ut den sista november i år.
Att avtalstiden snart går ut ökar möjligheterna för att ta ett större grepp om frågan.
Eftersom frågan om spårbarhetens vara eller icke vara som en självständig aspekt av informationssäkerhet är återkommande diskuterad ska jag här göra ett inlägg i frågan.
Bakgrunden är den så kallade CIA-triaden som kommer från engelskans Confidentiality, Integrity och Availability vilket ofta på svenska översatts till konfidentialitet, riktighet och tillgänglighet.
Detta är kanske inte en optimal översättning vilket möjligen är en delorsak till de olika uppfattningar som finns om hur detta ska tolkas.
Huvudorsaken skulle jag dock vilja hävda att det med förvånande kraft hävdas att det bara finns en möjlig beskrivning av vad arbetet med informationssäkerhet syftar till och att det fångas i den svenska definitionen.
Vi (inte så få) som vill problematisera begreppen för att få dem mer anpassade till de behov vi uppfattar finns möts av tystnad.
För att ge så gott underlag som möjligt för en diskussion ska jag försöka vara tydlig och transparent som möjligt i min argumentation och hoppas att få svar i samma anda.
Utgångspunkten för mitt resonemang är ett statement som jag mer uppfattar som en dogm och som ofta formuleras som kofindentialitet, riktighet och tillgänglighet är den verkliga kärnaspekterna i informationssäkerheten och att spårbarhet är en osjälvständig stödfunktion till de övriga tre.
Nyligen såg jag det formulerat som fast sats: konfidentialitet, riktighet och tillgänglighet är tillstånd, spårbarhet en förmåga.
Vare sig eller kan härledas ur ISO/IEC 27000:2018 (ordlistan för 27000-serien) som genomgående använder property som exempelvis: property of accuracy and completeness Property kan översättas som egenskap.
Inte heller i den terminologi som tagits fram av en arbetsgrupp i SIS: Teknisk Rapport SIS-TR 50:2015 (kan tyvärr inte länka eftersom den inte är fritt tillgänglig) återfinns tillstånd respektive förmåga i denna betydelse.
I rapportens inledning står det: Informationssäkerhet handlar därför om hur informationens konfidentialitet, riktighet och tillgänglighet ska bevaras så att organisationens krav kan uppfyllas.
Dessa egenskaper kompletteras ibland även med en eller flera andra egenskaper, såsom spårbarhet, oavvislighet, ansvarighet, autenticitet och auktorisation.
Här definieras alltså konfidentialitet, riktighet och tillgänglighet som men så även bland annat spårbarhet.
I övrigt förekommer begreppet tillstånd litet här och var men aldrig på det sätt som i satsen ovan.
Närmast kommer man i beskrivningen av informationssäkerhetsmodell: Enheterna i ett system indelas i logiska grupper av subjekt (användare och deras processer), objekt och resurser.
Egenskaper hos ett önskvärt, ”säkert” tillstånd definieras och det visas att varje tillståndsövergång bevarar säkerheten vid övergång från ett till-stånd till ett annat.
Ett säkert tillstånd kräver att samtliga tillåtna åtkomstfall överensstämmer med fastställda säkerhetsregler.
Jag tolkar denna beskrivning liksom de andra tillstånd som ändå förekommer i handboken (exempelvis av redundans, anonymitet m.m.)
som en sammansatt helhet som resulterar från flera/många säkerhetsaktiviteter.
Riktighet definieras exempelvis som endast: skydd mot oönskad förändring vilket jag gissar ska läsas med en koppling bakåt till inledningen; att det är en eller möjligen en funktion.
Synsättet att det finns etablerade definitioner som ”tillstånd” respektive ”förmåga” verkar vara en uppfattning som får anses begränsat till vissa företrädare i Sverige som inte har stöd i den terminologi som tagits fram.
Detta synsätt verkar inte hämtat från något internationellt etablerat sammanhang vilket det räcker att göra en slö koll på Wikipedia för att upptäcka.
I artikeln Informations security anges som key concepts som första punkt CIA- triaden med följande beskrivning The CIA triad of confidentiality, integrity, and availability is at the heart of information security.
Inte heller i den svenska akademiska diskussionen förefaller det finnas konsensus eller ens en särskilt omfattande diskussion om CIA-begreppen.
Det gör att jag särskilt höjer på ett ögonbryn då akademiker på högre nivå utan närmare förklaring anammar satser som den ovan beskrivna utan förtydliganden.
Jag är helt enig i att detta är ett key concept – då borde det förtjäna en behandling på akademisk nivå som motsvarar dess betydelse.
Fördelen med att det saknas etablerade och allmänt accepterade definitioner är att det skapar en frihet att undersöka vilket förhållningssätt som är mest ändamålsenligt och samtidigt logiskt konsistent åtminstone på en basal nivå.
Personligen finner jag inte begreppen tillstånd respektive förmåga som särskilt tydliggörande men möjligen kan en begreppsmodellering där tankarna om detta redovisas på ett öppet sätt uppenbara en logik som jag missat.
Om vi ändå i detta sammanhang kan utgå från att det finns ett antal egenskaper som är centrala för att skapa god informationssäkerhet så är nästa fråga vilka dessa är.
Inte heller här råder den fullständiga enighet om CIA-triaden vilket man ibland kan förledas att tro.
Parkerian Hexad konstruerades redan 1998 av som adderade tre aspekter till den ursprungliga triaden: Authenticity, Availability och Utility.
Även aktuella svenska exempel på kritisk diskussion om CIA triaden.
Det av MSB finansierade forskningsprojektet SECURIT landade bland annat i antologin där ett bidrag ( av Björn Lundgren) starkt ifrågasätter CIA-triaden.
Jag kanske inte är helt övertygad om den modell som forskaren anser borde ersätta CIA-triaden men i detta sammanhang är det ändå viktigt att poängtera att det är väl värt att diskutera frågan.
ISO 27000 öppnar ju också upp för att triaden kan kompletteras med ytterligare egenskaper vilket också sker exempelvis i själva standarden i avsnittet om kryptering.
Noterbart är att ISO-standarderna inte har en konsistent hantering av begreppen sinsemellan trots att de riktar sig mot samma objekt (i detta fall informationshantering).
I SS-ISO 30300 (hantering av verksamhetsinformation) anges målen vara vilket är snubblande nära ISO 27000 men med andra definitioner.
I SS-ISO 15489 (Dokumenthantering) är ett tillkommande mål autenticitet.
Här bör en begreppsmodellering göras, särskilt som SS-ISO 30300 börjat spridas främst genom SKL.
Även här finns alltså ett behov av att göra sig redo för att öppna upp och diskutera om och hur centrala begrepp ska användas.
Själv menar jag att det finns skäl för att se närmare även på autenticitet men här ska jag koncentrera mig på spårbarhet.
Istället för att som nu negligera spårbarhetsbegreppet finns det anledning att lyfta upp det och se hur dess betydelse ökat under de senaste årtiondena och detta i flera dimensioner.
För det första är det den mest självklara dimensionen att på ett säkert sätt kunna följa vad som hänt i informationshanteringen både som en följd av mänsklig aktivitet och som tekniska händelser.
I det allt mer transaktionstäta informationsflödena där en mängd aktörer är detta en alltmer central funktion.
Här gäller detta att även uppfatta egenskapen spårbarhet som en negation, det vill säga att undvika spårbarhet till exempel som skydd för den personliga integriteten.
För att bara räkna upp några krav som inte endast omfattar informationens konfidentialitet, riktighet eller tillgänglighet utan där det också ställer krav på en hög grad av spårbarhet: Kraven på spårbarhet har också en tydlig koppling till konkreta säkerhetsåtgärder där loggning är den främsta åtgärden för att skapa spårbarhet i it-tjänster.
Loggning sker även i ett antal andra typer som i inpasseringskontrollssystem, telefoni, chatt och andra kommunikationslösningar.
I den manuella informationshanteringen kan det behöva finnas rutinerna som bland annat kan omfatta signering, vidimering, kontrollerad versionshantering och kvittensförfarande.
Observera också att om dessa åtgärder inte kan matchas mot ett definierat krav på spårbarhet kan det innebära stora merkostnader, inkräktande på den personliga integriteten och ytterst leda till lagöverträdelser om det inte går att motivera åtgärden.
För att illustrera behovet inom den samhällsviktiga verksamheten sjukvård finns det gott stöd att hämta i det paper som presenterades av Ella Kolkowska, Karin Hedström och Fredrik Karlsson vid Örebro University på en konferens redan 2009: (tillgängligt via DIVA).
Spårbarheten är alltså direkt kopplad till målsättningen för kärnverksamheten och ytterst till patientsäkerheten.
Att då som SKL ta bort spårbarheten ur sitt klassningsverktyg förefaller inte direkt som att anpassa säkerheten efter verksamhetens behov och inte heller att värna sina medlemmars intressen.
Observera också att spårbarhet inte enbart handlar om att spåra användares aktiviteter utan själva informationen.
Här finns en naturlig övergång till de andra syften som spårbarheten kommer att behöva tjäna i allt högre grad.
Den första är för att skapa autenticitet, en kvalitet som blir allt mer uppenbart nödvändig.
Spårbarhet är en tydlig faktor för att kunna skapa autenticitet och oavvislighet vilket är ett krav från arkivsidan.
I den informationshantering som sker i offentlig sektor borde alltså rimligen spårbarhet upphöjas till triadnivå, särskilt sett till kravet på rättssäkerhet och att kunna tillhandahålla information för forskningsändamål.
Jag lämnar nu autenticiteten i förhoppningen att övertygelsen om betydelsen är väl känd.
Istället ska jag skriva om något som tilltar ännu mer i betydelse, nämligen möjligheten att reproducera information.
Idag sammanställs den information som visas på skärmen från ett växande antal källor, olika tjänster och applikationer.
För att kunna reproducera information såsom den såg ut vid ett visst givet tillfälle kommer att krävas allt mer avancerade funktioner av spårbarhet.
Den som har följt ett it-avbrott på närmare håll vet att den inte enbart leder till tillgänglighetsproblem utan även till en rad andra negativa konsekvenser.
En sådan är att man ofta får versionsproblem där blir svårt att säkerställa vilken den senaste versionen av olika informationstyper var.
När fel version av en delmängd körs kan det skapa mycket stora problem där hela tilltron till informationslösningen kan gå om intet.
En fatal variant är när information förlorats utan att det går att spåra att den försvunnit.
För att sammanfatta: jag kan inte se att det finns något stöd för att begreppen tillstånd respektive förmåga är etablerade som beskrivning för olika aspekter av informationssäkerhet utan snarare att skulle vara det mest använda internationellt begreppet vilket också används i ISO 27000.
Det görs heller ingen hierarkisk skillnad mellan egenskaper av den typ som framgår i uppdelningen tillstånd/förmåga.
För att försöka vara vitsig är det svårt att spåra var uppfattningen om tillstånd/förmåga har uppstått och på vilka grunder.
CIA-triadens uppräkning av egenskaper är återkommande diskuterad och kan kompletteras vid behov även enligt ISO 27000 med till exempel spårbarhet.
I detta sammanhang vill jag understryka att en portalprincip i ISO 27000en ska anpassas till verksamhetens behov, det är alltså inte standarden i sig som skapar låsningar.
Om en uppfattning är att standarden kan anpassas till verksamhetens/samhällets behov menar jag att det gör det omöjligt att använda standarden som stöd för nationell (eller lokal) styrning av informationssäkerhet.
Det finns ju liksom inget egenintresse i att följa en standard.
Det skulle behövas en riktigt djupborrande analys på flera nivåer av hanteringen av aspekten spårbarhet i Sverige.
Jag när fortfarande ett hopp om att de som ger uttryck för starka åsikter gällande spårbarhet kan ta sig tiden att utveckla hur de tänker och inte bara konstatera sin uppfattning.
Detta är inte bara en teoretisk tankelek utan frånvaron av spårbarhet eller motsvarande som styrmedel för informationssäkerheten får mycket allvarliga konsekvenser för bland annat hälso- och sjukvård men även för förmågan att upprätthålla kontinuitet, för dataskydd och för det långsiktiga bevarandet.
Ett särskilt problem ligger i att det inte går att ta del av vare sig de resonemang som ligger bakom olika ställningstaganden eller själva standardtexterna eftersom de inte fritt tillgängliga trots att de utgör underlag t.o.m.
för föreskrifter.
Denna bristande offentlighetsstruktur har jag skrivit ett annat blogginlägg om Ett typiskt tecken för en dogm är att bevarandet av dogmen är viktigare än de negativa konsekvenser dess tillämpning får.
Jämför exempelvis med katolska kyrkans dogm att preventivmedel inte är tillåtna.
Dogmen är orubbad trots de uppenbara negativa konsekvenser detta får i form av könssjukdomar och oönskade graviditeter vilket i sin tur leder till illegala aborter med oerhört lidande och död.
I fallet med katolska kyrkan går det ändå att se vem som har ansvar för dogmerna med de dödliga konsekvenserna men vem tar ansvar för dogmer inom informationssäkerhetsområdet och de eventuella konkreta följder de kan få?
Informationssäkerhet är inte en religion och vi har inget stöd av högra makter (tror jag).
Därför när jag en from förhoppning att vi gemensamt ska försöka eliminera de drag av dogmatism som ändå florerar.
För att hantera de enorma säkerhetsutmaningar vi står inför har vi inte råd att bygga säkerhetsåtgärder på resonemang som inte tål att prövas utan vi kommer istället att behöva pröva våra intellekt till det yttersta för att åter och åter hitta de bästa lösningarna.
Och vi måste inse att detta inte är teoretiska övningar utan de val vi gör leder till goda eller mindre goda resultat i praktiken och där det ligger ett stort ansvar på oss som arbetar med informationssäkerhet.
Slutligen kan jag inte undgå att tycka att myndigheter inom informationssäkerhetsområdet är de som tillsammans med akademin måste ta ett särskilt ansvar för bryta ner dogmer och bygga kunskap som samhället kan använda.
Nu ser jag fram emot en mängd kloka motargument!
En rimlig ståndpunkt är att tydliga begrepp i de flesta fall är en förutsättning för en fungerande kommunikation.
Personligen ser jag kommunikation som det viktigaste redskapet för att få till en fungerande informationssäkerhet både i den egna organisationen och nationellt.
Därför är begrepp inom informationssäkerhet en avgörande faktor för att lyckas.
Ett begrepp som gjort en raketkarriär är cyber.
Det är inte bara en allmän känsla utan stöds också av en sökning i Retriever, se graf: I många sammanhang, även från regeringen, lyfts betydelsen av s.k.
cybersäkerhet fram som en central fråga för det svenska samhället.
Jag uppfattar försvarsminister Peter Hultqvist som en informell rekordhållare då han lyckades säga ”cyber” inte mindre än 36 gånger i ett men då krävdes det också stycken som det här för att lyckas: Cyberdomänen, eller cyberrymden, vad vi än väljer att kalla den, har kommit att bli en ytterligare arena för militär och annan verksamhet.
Den trenden har varit tydlig under en tid.
Tidigare rapporter från Försvarsberedningen har lyft fram de problem och risker som präglar cyberdomänen.
Den tilltagande antagonistiska dimensionen i cyberrymden gör det nödvändigt att utveckla och stärka cyberförsvarsresurser.
Vi kan se att ett flertal länder i världen har gjort just det.
Det försvarspolitiska inriktningsbeslutet från 2015 innehöll ett tydligt och nytt steg i arbetet med svenskt cyberförsvar.
Här förekommer även sammansättningar som cyberdomänen respektive cyberrymden som antingen är samma sak eller möjligen inte eftersom begreppen används varannan gång t.o.m.
Detta är kanske bara ett uttryck för språkglädje där man vill variera uttrycken.
Hur som helst har begreppet ”cyber” här någon slags rumslig dimension.
I den nationella strategi för samhällets informations- och cybersäkerhet som regeringen presenterade 2017 och som statsrådet hänvisar till i sitt anförande saknas dock denna rumsliga dimension då begreppen som utgör strategins ämne definieras: Med informations- och cybersäkerhet avses i denna skrivelse en uppsättning säkerhetsåtgärder för bevarande av konfidentialitet, riktighet och tillgänglighet hos information.
Med konfidentialitet avses att obehöriga inte ska kunna ta del av informationen.
Med riktighet menas att informationen inte förändras, manipuleras eller förstörs på ett obehörigt sätt.
Med tillgänglighet menas att behöriga ska kunna ha tillgång till informationen på det sätt och vid den tidpunkt som tjänsterna erbjuder.
För informationssäkerhet som avser digital information används i denna skrivelse även begreppet cybersäkerhet.
I denna skrivelse används begreppen beroende av sitt sammanhang, där exempelvis cybersäkerhetsbegreppet är vanligt förekommande i en internationell .
Det är litet svårt att se skillnaden mellan informations- respektive cybersäkerhet men jag tolkar det som att man ser cybersäkerhet som en delmängd av informationssäkerhet där cybersäkerhet bara handlar om ”digital information”.
Cybersäkerhet anses också mer ”internationellt”.
För mig är blir det aningen besynnerligt att tala om digital information eftersom det blir en mix av information och bärare– när man exempelvis klassar information är det ju inte mediet som klassas utan informationsinnehållet.
För att få bättre bild av hur begreppet används av de myndigheter som har särskilda ansvar inom området och därmed ofta kommunicerar med begreppet i fokus skrev jag en enkel fråga till tre av dessa myndigheter; Försvarsmakten, SÄPO och MSB.
Begreppet ”cyber” används flitigt för tillfället.
Jag skulle behöva ha x:s definition av begreppet eftersom det används på olika sätt i olika sammanhang.
Samma dag fick jag svar från Försvarsmakten med en hel ordlista ( ) med sammansättningar med ”cyber”, däribland cybersäkerhet: Cybersäkerhet är den samling av säkerhetsåtgärder, riskhanteringsmetoder och tekniker som kan användas i syfte att bevara konfidentialitet, riktighet, spårbarhet och tillgänglighet i cyberrymden.
En stor eloge till FM för denna goda service!
Definitionen pekar mindre på styrning på organisatorisk men desto mer på konkreta säkerhetsåtgärder, alltså ganska långt från ledningssystem.
Åtgärderna ska vidtas i cyberrymden (med synonymer som cyberspace, cybermiljön, cyberarenan, cyberdomänen) som enligt begreppslistan är: Cyberrymden är den del av informationsmiljön som består av de sammanlänkade och av varandra beroende it-infrastrukturer, som möjliggör kommunikation, med tillhörande data och information.
Den inkluderar internet, intranät, telekommunikationssystem, it-system samt inbyggda processorer och styrenheter.
Jag uppfattar det som cyberrymden är den gemensamma tekniska infrastrukturen men inte informationen i sig.
Från SÄPO kom efter en knapp vecka det något förvånande svaret: Hej, Säkerhetspolisen har ingen egen definition av begreppet cyber.
Det är inte ett begrepp som används primärt i vår verksamhet.
Förvånande eftersom ”cyber” förekommer flitigt på SÄPO:s webbplats, i olika rapporter och utåtriktad verksamhet som och för att bara ta ett par exempel.
Slutligen då MSB där svaret satt hårdare inne och inte kom förrän efter en dryg månad: Hej!
Ordet ”cyber ”kan inte anses stå för sig själv, utan används av MSB i sammansättning med andra ord, främst ”cybersäkerhet”.
Beroende på sammanhanget använder MSB ordet ”cybersäkerhet” med något olika betydelse: MSB har under flera år engagerat sig i terminologifrågor och stöttar bl.a.
SIS i arbetet med terminologi på informations- och cybersäkerhetsområdet.
MSB planerar inte att ta fram en egen definition av begreppet cyber, eller cybersäkerhet.
De definitioner/beskrivningar som myndigheten behöver kunna använda är, enligt ovan, bl.a.
från regeringens strategier, standardiseringsorgan (ex SIS), FN, EU samt Nato.
Cyber/cybersäkerhet förekommer i dag i förslag till reglering från EU (den s.k.
cybersäkerhetsakten, COM(2017) 477 final).
Myndigheten har därmed tre olika definitioner för olika sammanhang och har dessutom gjort en egen utveckling av den definition som fanns med i 2017 år nationella strategi.
Detta blir aningen motsägelsefullt när man samtidigt säger sig använda befintliga definitioner/beskrivningar och inte utveckla egna.
Formuleringen om SIS undviker elegant att MSB faktiskt inte använder den definition av cybersäkerhet (”cyber” i sig själv ingår inte) som finns terminologin SIS-TR 50:2015 (tyvärr är jag inte länka till terminologin eftersom den inte är fritt tillgänglig): bevarande av konfidentialitet, riktighet och tillgänglighet hos information i cyberrymden Cyberrymden;telerymden har i sin tur definitionen: abstrakt rymd som utgörs av digital kommunikation mellan datornätverk och där all digital information befinner sig Med den förtydligande kommentaren: Cyberrymden innefattar all kommunikation via internet samt telekommunikation.
En cyberrymd möjliggörs av den hårdvara och de system som ingår i en infrastruktur.
Jag är inte alldeles säker på att jag förstår vad detta exakt betyder.
Terminologin verkar dock ha den implicita uppfattningen att ”cyber” har med internationella konflikter och antagonism att göra vilket markeras redan i det inledande stycket till kapitlet om Samhällets informations- och cybersäkerhet: Varje dag utsätts svenska myndigheter och företag för cyberattacker.
Detta har bidragit till att bl.a.
frågor om cybersäkerhet och cyberresiliens har blivit mer aktuella inom olika branscher.
Sverige, liksom många andra europeiska länder, har på senare år börjat uppmärksamma risken för cyberattacker som en global och militär hotbild.
Det är därför viktigt att introducera cybersäkerhet inom olika branscher för att öka förståelsen och kompetensen för hur man kan skydda information från dessa hot.
Cybersäkerheten har medfört nya termer, men eftersom området fortfarande är nytt kan dessa termer komma att ändras och det kommer att krävas fortsatt terminologiutredning inom detta område.
Det verkar inte råda någon konsensus om skillnaden mellan informations- och cybersäkerhet, utan de två termerna används ibland omväxlande.
Ibland används termen informationssäkerhet när inriktningen ligger på informationen och termen cybersäkerhet när det handlar om den digitala domänen; ibland ses cybersäkerhet som informationssäkerhet på en global nivå .
Samtliga sammansatta ord med förleden cyber som presenteras i terminologin är företeelser som skulle kunna ingå i en krigföring eller terrorism på hög nivå (cyberattack, cyberavskräckande, cyberförsvar, cyberkrigföring, cyberoperation osv.).
I en lustig cirkelrörelse hänvisar man i en fotnot till SOU 2015:23 (NISU) och den begreppsdiskussion som förs där på sidan 40: En grundläggande definitionsfråga för hela den svenska informationssäkerhetsnomenklaturen handlar just om innebörden av det svenska begreppet ”informationssäkerhet”.
På engelska är detta begrepp uppdelat i två betydelser dels ”Information Security” som utgår från ett tekniskt perspektiv och återspeglas i ISO 27001-standarden, dels i ”Information Assurance” som utgår från ett nationellt säkerhetsperspektiv och där även organisation och policy ingår.
I tidigare utredningsarbeten gjordes försök att särskilja det senare begreppet från det förra genom att introducera termen ”informationssäkring”, vilket också infördes i SIS-nomenklatur.
Begreppet – liksom den förenklade varianten ”övergripande informationssäkerhet” – vann aldrig någon uppslutning i det offentliga Sverige då det ansågs för komplicerat att beskriva.
Följden har dock blivit olyckliga sammanblandningar i begreppens innebörd – inte minst i internationella sammanhang.
Cybersäkerhetsbegreppet är mer strategiskt och fokuserar mer på nationella och internationella nätverk.
Därmed har cybersäkerhet en större internationell räckvidd med t.ex.
folkrättsliga frågeställningar och normer på cyberområdet än det mer tekniska informationssäkerhetsbegreppet.
Det senare har en större tyngdpunkt mot hård- och mjukvara samt standardisering.
Motivet för fokus mot cybersäkerhet är att det är på detta område som statsmaktsperspektivet behöver utvecklas då frågeställningarna ligger ovanför myndigheternas ansvarsområden, samt att avdömningar mellan olika sektorsstrategier kan behöva göras inom ramen för ett svenskt koherent nationellt förhållningssätt gentemot EU och andra internationella .
Detta är ju ett märkligt stycke där den uttalat organisatoriskt inriktade ISO 27001 framställs som fokuserade på tekniska åtgärder (!).
Cybersäkerhet sägs vara mer ”strategiskt” och verkande på nationell nivå.
Till att detta kommer alla företag som använder ”cyber” i olika konstellationer för sin produkter och tjänster som knappast är på nationell nivå.
Sammantaget är användningen av begreppet ”cyber” högst inkonsistent och rör sig i en skala från å ena sidan normal it-säkerhet med vissa tillägg av informationssäkerhet till en del av det nationella försvaret.
Vissa gemensamma drag tycks finnas som att det gäller digital infrastruktur i någon bemärkelse samt den renodlade inriktningen mot antagonistiska hot.
I övrigt är det ganska fritt valt vilken betydelse man vill ge ordet.
Är denna otydlighet då egentligen ett problem?
Det kanske behövs ett sådant här amorft begrepp som beskriver en amorf verklighet och inte enbart för sexa till vilken konferensrubrik eller vilket tjänsteutbud i it-sektorn som helst?
Kanske inte men jag måste ändå resa invändningen att om att vårt, enligt många, största hot förtjänar en något mer entydig beskrivning.
Att måla upp ett förödande hot mot nationen och mot enskilda men göra det i så oklara termer är inte bra för samhällsklimatet i en demokrati (vilket jag skrivit om tidigare).
Inte heller är det en fördel för kunder att erbjuda tjänster där det inte närmare går att avgöra vad tjänsten egentligen består i. Jag tycker därför att det är en rimlig önskan att åtminstone centrala myndigheter sätter sig ner för att begreppsmodellera vad ”cyber” är och vilken relation cybersäkerhet har till informationssäkerhet.
Betänk språklagens krav på myndigheterna: Språket i offentlig verksamhet ska vara vårdat, enkelt och begripligt.
I mina funderingar om en tänkbar nationell styrmodell för informationssäkerhet slås jag av vilket i mitt tycke oproportionerligt intresse incidentrapportering fått som säkerhetsåtgärd.
För att ge en snabb bild av nuläget så har MSB sedan snart två år en särskild föreskrift angående obligatorisk it-incidentrapportering för statliga myndigheter.
Till detta kommer dataskyddsförordningens krav och förslaget på NIS-direktivets tillämpning i som båda framför starka krav på incidentrapportering.
Dataskyddsförordningen kommer att träda i kraft i maj 2018, samma månad som även utredningens förslag rörande NIS-direktivet sannolikt kommer att sjösättas.
MSB:s incidentrapportering är alltså inriktad enbart på statliga myndigheter och gäller uttryckligen endast it-incidenter.
MSB:s definition handlar inte om störning på verksamhetens processer utan vilken typ av, framförallt teknisk, orsak som lett till störningen samt i vissa fall konsekvenser för informationshantering: störning i mjuk- eller hårdvara, störning i driftmiljö, informationsförlust eller informationsläckage, informationsförvanskning, hindrad tillgång till information, säkerhetsbrist i en produkt, angrepp, handhavandefel oönskad eller oplanerad störning i kritisk infrastruktur, eller annan plötslig oförutsedd händelse som lett till skada .
Det är alltså ett tämligen icke-stringent incidentbegrepp (lägg märke till att begreppet ”plötslig” överraskande kommer in under punkt 10) som används.
Att notera är också att bristande spårbarhet inte nämns som en incidenttyp.
Dataskyddsförordningen, som i princip kommer att gälla i alla offentliga och privata organisationer som hanterar personuppgifter, har ett incidentbegrepp som är helt inriktat på personuppgifter: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt Det är framför allt obehörig åtkomst (konfidentialitet) men även förlust eller förvanskning (riktighet) av personuppgifter som ska ses som incidenter i detta perspektiv.
Det bör dock understrykas att för att kunna efterleva dataskyddsförordningens övriga krav är både positiv och negativ spårbarhet en central faktor.
Däremot kan en personuppgiftsincident lika gärna ske i icke-digitala som digitala medier – det är alltså inte enbart it-incidenter som är aktuella (vilket särskilt bör beaktas med tanke på att den s.k.
missbruksregeln i PuL försvinner).
I författningsförslaget gällande NIS-direktivet slutligen är definitionen av incident: : en händelse med en faktisk negativ inverkan på säkerheten i nätverk eller informationssystem Precis som i MSB:s och Dataskyddsförordningens definitioner lyser verksamhetspåverkan med sin frånvaro, det är nätverken och informationssystemen som är objektet för regleringen som gäller både offentliga och privata aktörer i följande samhällsviktiga branscher: En självklar fråga är om den bristande samordning som av de tre olika regleringarna är acceptabel.
Det förefaller inte finnas några planer för att förenkla för de som kommer att behöva rapportera samma incident i två eller i värsta fall tre olika stuprör.
Gissningsvis måste MSB:s befintliga inrapportering och den som följer av NIS samordnas eftersom de båda ska ske i MSB:s regi men då kvarstår ändå personuppgiftsincidenterna.
Och i författningsförslaget för NIS-direktivet finns det en antydan om att är bra om tillsynsmyndigheterna samarbetar: med Datainspektionen när den handlägger incidenter som medfört personuppgiftsincidenter och innan ett åtgärdsföreläggande meddelas, så det finns kanske hopp om en praktisk samverkan.
Jag ska inte fördjupa mig ytterligare i samordningsproblemen även om de är nog så intressanta för alla som kommer att drabbas av dem.
Istället tänker jag svära litet i den nationella säkerhetskyrkan och ifrågasätta om det verkligen är rimligt att satsa så mycket intresse och resurser på just incidentrapportering.
Man kan göra den inte helt rimliga analogin till en enskild organisation som ska förbättra sin informationssäkerhet och då satsar större delen av sitt krut på incidentrapportering – skulle vi då tycka att det är en ändamålsenlig satsning?
Den kritiske kan här invända att författningsförslagetsamhällsviktiga och digitala tjänster innehåller litet vaga krav på säkerhetsåtgärder: 14 § Leverantörer av digitala tjänster ska utarbeta och vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder när de tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster inom unionen.
Med beaktande av den senaste tekniska utvecklingen ska dessa åtgärder säkerställa en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till den föreliggande risken, varvid hänsyn ska tas till 1. säkerheten i system och anläggningar, 2. incidenthantering, 3. hantering av driftskontinuitet, 4. övervakning, revision och testning och 5. efterlevnad av internationella standarder.
Samt även ett system för tillsyn med ett antal tillsynsmyndigheter (varav ett par redan tackat nej till uppdraget i sina remissvar).
Huvudpunkten är ändå incidentrapportering vill jag hävda.
Är detta då den mest effektiva åtgärden för att förbättra säkerheten?
Låt oss då först titta på syftet med incidentrapportering.
I en organisation är incidentrapportering inte en lösryckt aktivitet utan del i en där den fyller flera olika syften: Behovet av informationskvalitet i rapporteringen är olika för de olika syftena.
För att inleda akut felavhjälpning krävs mycket snabb kommunikation, däremot kan inte den som anmäler felet förväntas kunna redogöra för orsaken.
För att inleda kontinuitetshanteringen måste en koppling kunna göras mellan de drabbade informationsbärarna och verksamhetsprocesser för att rätt prioriteringar av återställelse respektive reservrutiner ska kunna göras.
Underlaget för långsiktig förbättring måste vara av mer analytisk karaktär men också bygga på en konsistent tillämpning av begrepp för att mönsterigenkänning ska kunna göras.
Kravet på god informationskvalitet gäller även för rapportering, riskanalysen och fört i mer vida termer.
Hur har man då resonerat i dessa frågor när det gäller den nationella rapporteringen.
Inte alls vad jag kan se, det är till och med svårt att utläsa vad syftet med den befintliga incidentrapporteringen egentligen är även om den dåvarande inrikesministern Ygeman 2015 så följande då beslutet att införa rapporteringen togs: Syftet med ett sådant system är att möjliggöra en förbättrad lägesbild över informationssäkerheten i statlig förvaltning.
Förmågan att förebygga, upptäcka och hantera it-angrepp mot statliga informationssystem ska också bli bättre.
Sådana it-incidenter kan röra exempelvis störningar i mjukvara, hårdvara eller driftmiljö eller förlust av data i olika sammanhang.
It-incidenter kan orsakas av bland annat externa attacker, säkerhetsbrister i it-produkter eller felaktigt .
Det är alltså inte incidenthantering som eftersträvas utan ”en förbättrad lägesbild”.
För mig förefaller det torftigt att ha en lägesbild som består av tekniska incidentbeskrivningar men jag tror också att inrapporteringsmoralen påverkas i starkt negativ riktning med tanke på att den svaga möjligheten till payoff eftersom det inte handlar om incidenthantering.
Egentligen inte ens om rapportering utan endast om incidentanmälan eftersom meddelande om att något hänt ska ske innan någon djupare analys har hunnit ske.
Samma oklarhet gäller även rapporteringen av personuppgiftsincidenter och rapportering enligt NIS-direktivet – det enda som kan hända är att man får ett besök av tillsynsmyndigheten för att uttrycka sig raljant.
Att både MSB och Datainspektionen hävdar att det finns ett starkt behov av att sekretessbelägga rapporteringen gör att den lägesbild som uppges vara huvudsyftet för åtminstone MSB kommer att vara tillgänglig i mycket begränsade kretsar.
Erafarenhetsåtervinningen på nationell nivå är därmed inget som kan locka fler att rapportera.
Att det sannolikt kommer att saknas ett starkt driv att rapportera incidenter påverkar kvaliteten i lägesbilden.
Ytterligare en aspekt som påverkar kvaliteten är den svaga begreppsmodelleringen av vad som ska inrapporteras samt att det saknas kriterier för verksamhetspåverkan i rapporteringen.
Här hade stora lärdomar kunnat hämtas från exempelvis smittskyddsområdet och överhuvudtaget från ett mer vetenskapligt förhållningssätt.
Att resonemang i denna riktning helt saknas både i dataskyddsförordning och i NIS-direktivet talar för sig själv.
Att incidentrapporteringen ändå fått ett så stort genomslag som universalmedel beror förmodligen på att den har en USP.
Det går nämligen att förklara vad incidentrapportering är för politiker och andra makthavare medan många andra säkerhetsåtgärder på systemnivå kräver betydligt mer i pedagogik.
Incidenter kan också kopplas till mer actioninriktad kommunikation som kan leda fram till snabba beslut än en diskussion om hur informationssäkerhet ska bli en normal del av förvaltningen.
Men, som alla vet, är det inte alltid det som är lätt att sälja som är det vi bäst behöver.
Sammantaget tror jag följande.
Den nationella incidentrapporteringen kommer inte att ge de enskilda organisationerna något stöd i det egnat och kvaliteten i de rapporter som faktiskt sker kommer att vara låg.
Den gemensamma lägesbilden som summa kommer inte ha högre kvalitet än de ingående delarna och kommer därför att ha ett värde som inte är i paritet med fokus och de resurser som läggs på incidentrapporteringen.
Vore det då inte bättre att försöka göra en något djupare analys och försöka reda ut vilka åtgärder som skulle ha en reellt säkerhetshöjande effekt på nationell nivå?
Eller åtminstone sätta in incidentrapporteringen i ett sammanhang som redovisas och som kan vara del av en större styrmodell?
30 juni kom alltså äntligen strategi.
Två dagar före Almedalen och samma dag som de i det offentliga Sverige som inte är och tycker på Gotland förhoppningsvis sjunker in i sommardvala alldeles oavsett vilka strategier som lanseras.
Det är nästan svårt att veta var jag ska börja eftersom det trettiotal sidor som utgör strategin väcker så många frågor.
Att försöka redogöra för dem skulle kräva ett utrymme som vida överstiger strategins sidantal.
Bara användningen av begrepp gör läsaren konfys.
Exempel ett: strategin heter .
Vi som sedan ”cybersäkerhet” började användas för att hotta upp konferenspunkter undrat vad det egentligen betyder är inte så få.
En förklaring som varit återkommande är att det är ”säkerhet i domänen cyber”, alltså något kopplat till försvarets indelningar och något ”internationellt”.
Strategin släpper dock redan på sidan 4 alla ambitioner att försöka utreda denna fråga: För informationssäkerhet som avser digital information används i denna skrivelse även begreppet cybersäkerhet.
I denna skrivelse används begreppen beroende av sitt sammanhang, där exempelvis cybersäkerhetsbegreppet är vanligt förekommande i en internationell kontext.
Ska man tolka det som ”informationssäkerhet” är aningen mer inriktad på icke-digital information?
Och på vilket sätt skulle en sådan uppdelning tillföra något klargörande?
Och om det egentligen är samma sak varför skulle man då i svenska texter ta hänsyn till vilket begrepp som används internationellt om det egentligen inte har någon annan innebörd än informationssäkerhet?
Det är som författarna på ett tidigt stadium gett upp men ändå velat ha med det litet läckrare ”cybersäkerhet”, tänkt ”wtf” och bara gått vidare.
Exempel två är definitionen av ”tillgänglighet”: Med tillgänglighet menas att behöriga ska kunna ha tillgång till informationen på det sätt och vid den tidpunkt som tjänsterna erbjuder.
Här har strategins författare ändrat innebörden av begreppet på ett fatalt sätt.
I den terminologi som reviderades 2015 (och som man visserligen kan ha synpunkter på) SIS handbok Terminologi för Informationssäkerhet (SIS HB 550 utgåva 3) är definitionen: Åtkomlighet för behörig person vid rätt tillfälle.
Strategin har alltså gjort det märkliga tillägget vilket jag finner både missvisande och i någon mån obegripligt.
Vilka tjänster är det som avses?
Någon typ av it-tjänster sannolikt men eftersom strategin i övrigt har en stark förkärlek för ”system” vandrar tankarna iväg mot de samhällsviktiga tjänster som beskrivs i NIS-direktivet som är verksamhet och inte it-lösningar.
Dessutom leder beskrivningen tanken mot ett synsätt att det är tjänsterna – inte informationen- som är i centrum vilket för den som vill planera för att upprätthålla kontinuitet inte är bra.
Den som vill ha en fungerande kontinuitetshantering måste ha alternativa sätt för sin informationsförsörjning och då räcker det inte att titta på enskilda ”tjänster”.
Mest svårtolkat uppfattar jag ”som tjänsterna erbjuder”.
Det är som det smygs in ett konfidentialitetsperspektiv i tillgänglighetsbegreppet, att tillgänglighet skulle betyda att endast behöriga ska tillgång till tjänsterna när de erbjuds.
Det finns ett antal andra begrepp som förtjänar en diskussion men som vila tills vidare.
Jag tänkte istället ta upp några utgångspunkter för strategins författare.
Dessa ligger till grund för de prioriteringar som görs och som jag menar i många stycken gör strategin irrelevant.
I mycket känns strategins inriktning igen från Infosäkutredningen som lämnade sin rapport med förslag om en informationssäkerhetspolitik 2005 .
Gemensamt att både utredningen 2005 och den nya strategin är skrivna helt sett ur statens intressen trots att man i båda fallen säger sig behandla informationssäkerhet.
Det behövs knappast några poäng i statsvetenskap för att inse att staten inte är synonym med samhället och det känns därför intellektuellt torftigt att strategin inte på något ställe erkänner och problematiserar de intressekonflikter inryms i samhällets informationssäkerhet.
Det gäller relationen stat-individ, stat-privata företag och stat-kommuner/landsting för att ta de mest uppenbara ytorna för konvergerande intressen.
Istället utgår strategin okommenterat från att alla samhällets aktörer är villiga att underkasta de åtgärder som strategin föreslår som till stor del motiveras ur ett nationellt försvarsperspektiv.
Genomgående är förslagen inriktade på att staten talar om hur saker ligger till, föreskriver och sedan genom tillsyn kontrollerar att ”samhället” lyder.
Jag tror att den här ”far vet bäst”-mentaliteten är omotiverad i så måtto att pappa staten faktiskt inte vet bäst på det här området utan har all anledning att ta till sig andra samhällsaktörers kunskap och intressen.
Att peka med hela handen fungerar kanske bra inom den gröna sektorn.
De kommunpolitiker som måste göra intresseavvägningar mellan insatser inom äldreomsorgen och att satsa på säkerhetsåtgärder som inte kan motiveras är nog däremot betydligt mindre villiga att utan protester röra sig i handens riktning.
Kanske är det också detta förhållningssätt som gjort att så litet av de förslag av de som presenterade har realiserats – en insikt som möjligen skulle kunnat ge strategin en annan inriktning och ton.
Den implicita föreställningen att statens intressen per automatik sammanfaller med allas (förutom brottslingars och fientliga nationers) intressen får egenartade konsekvenser då strategin tar sig an integritetsfrågan.
Det enda sammanhang där strategin utvecklar sig om den personliga integriteten är när den är hotad av privatpersoner i form av näthat och grooming.
Närmast ohederligt blir det när man inte ens nämner den kritik som framkommit gällande konsekvenserna på den personliga integriteten i remissvar rörande förslaget att MSB ska få installera sensorsystem.
Istället framställs sensorsystemen som i princip redan beslutade: Regeringen har under våren 2017 remitterat en promemoria om tekniska sensorsystem (Ju2017/02002/L4) med förslag att MSB får stödja verksamhetsutövare inom samhällsviktig verksamhet med informationssäkerheten genom att tillhandahålla sensorsystem som kan stärka samhällets möjlighet att upptäcka och hantera it-incidenter.
MSB:s sensorsystem ska inte tillhandahållas till de verksamheter som erbjuds TDV.
Därmed var relationen mellan staten och individen överstökad.
Dataskyddsförordningen känns mycket avlägsen i strategin.
En annan genomgående tendens är att strategin i princip endast intresserar sig för de antagonistiska hoten.
Andra typer av risker diskas av i två förströdda meningar: Olika former av störningar i mjuk- eller hårdvara eller störningar i driftmiljö är vanligt förekommande.
Yttre fysiska händelser som t.ex.
bränder, avgrävda kablar, översvämningar eller solstormar utgör också en del av hotbilden.
Resten av hotavsnittet beskriver en leviathan-liknande situation där framför allt statens intressen måste tillvaratas.
Utan upphovsman för riskbedömningen meddelas: Det möjliga agerandet av stater, statsunderstödda aktörer eller andra aktörer med liknande förmåga utgör det allvarligaste informations- och cybersäkerhetshotet mot Sverige.
Självklart kan inte dessa hot underskattas – de är verkliga och omfattande.
Men enligt min erfarenhet äventyras de flesta organisationers verksamhet i lika hög grad av t.ex.
bristande rutiner som leder till uppdateringsfel.
Ett stort antal av de större incidenter som inträffat under senare år har också haft icke-antagonistisk bakgrund.
För landsting och kommuner skulle jag vilja påstå att den absolut största utmaningen ligger i att kunna efterleva dataskyddsförordningen när den träder i kraft.
Oavsett om jag har rätt i denna bedömning eller inte vågar jag hävda att strategins oförmåga att se att olika organisationer lever med olika risker och med olika behov av säkerhetsåtgärder är en av dess mest påtagliga brister.
På ett flertal ställen presenteras lösningar som blickar tillbaka till BITS och andra försök att skapa säkerhet i alla organisationer.
Detta strider inte bara mot grundtanken i ISO 27000 som säger att ledningen i varje organisation måste ta ställning till risker och därefter göra sina prioriteringar.
Det strider också mot de verkliga behov som finns i olika organisationer eftersom olika verksamhetsprocesser kan använda samma information på helt olika sätt.
I strategins anses detta dock fel: Samma information kan få olika skydd i olika organisationer och kunskapen om vilket skydd som är lämpligt och tillgängligt för en viss typ av information är hos många aktörer ofullständig.
Jag tror att man här omedvetet endast utgår från konfidentialitetsaspekten och inte har reflekterat tillräckligt över behovet av riktighet, spårbarhet och tillgänglighet kan skifta starkt mellan olika organisationer.
Under ett par arbetade jag på MSB med att tillsammans med bland annat representanter från hälso- och sjukvårdsområdet med att fram ett koncept för nationell styrmodell.
Tanken var inte att alla organisationer skulle ha samma säkerhet utan att modellen skulle utgöra ett stöd för kommunikation mellan olika verksamheter så att varje organisation skulle kunna få den nivå av säkerhet som dess ledning ansåg lämpligt.
Konkret skulle det innebära att det t.ex.
fanns gemensamma metoder för processkartläggning, informationsklassning och skyddsnivåer.
Att nu strategin ser det som ett problem att olika informationsmängder värderas olika av olika organisationer uppfattar jag som att man tankemässigt är tillbaka till det one size fits all-koncept som BITS byggde på.
Det mest anmärkningsvärda med strategin är att den inte beskriver en relevant framtid, inte ens ger en relevant bild av dagens situation.
Det som utgör strategins existensberättigande redovisas i avsnittet .
Det sidlånga avsnittet börjar tämligen stillsamt med: Det innebär att både informationen i sig och de system som används för att förvara och överföra informationen måste skyddas.
Men därefter bryter ett sammelsurium av demokrati och andra värden, ting, system, kommunikation och i någon mån information ut.
Ungefär på mitten dyker följande märkliga passage upp: I dag bygger systemen för att hantera information huvudsakligen på digital informations- och kommunikationsteknologi.
Detta gäller inte minst de system Sverige är beroende av för att kunna styra och leda riket under omfattande påfrestningar som kan följa av kris eller krig.
Jag biter mig hårt i tungan för att inte ställa ironiska frågor som om det tidigare fanns system som inte byggde på digital teknik och om det är så att just de system som Sverige är beroende av för att kunna styra och leda riket o.s.v.
(vilka de nu kan vara) är ännu mer digitala än övriga it-system.
Även om stycket vidlåds med en ofrivillig komik är det dock inte särskilt lustigt att läsa denna flacka och redan inaktuella beskrivning av beroenden.
Det är som strategins upphovsmän (för övrigt precis som utredarna av NIS-direktivet) fortfarande tänker sig en situation där verksamheter är beroende av tydligt avgränsade ”system” som man själv driftar och förvaltar.
Jag menar att vi redan idag är långt ifrån en sådan situation.
Istället går allt fler organisationer helt eller delvis över till molntjänster som dessutom är intrikat integrerade så att det är svårt att urskilja enskilda tjänster eller komponenter.
Detta är ju också något som uppmuntras i andra inriktningar från regeringen.
För att ta ett konkret exempel vågar jag utan större talang som sierska ändå påstå att en stor del av den svenska förvaltningens dagliga informationshantering kommer att ske i Office 365 som molntjänst inom 5 år.
Att jag vågar sticka ut hakan beror inte enbart på egna observationer i verkligheten utan också på att Microsoft låtit förutskicka att de kommer att sluta att tillhandahålla sina Office-programvaror för installation i egen miljö.
De kommer att gå all in molntjänster.
Denna nya situation behandlas överhuvudtaget inte i strategin.
I där det rimligen borde inrymmas en sådan diskussion och förslag på lämpliga säkerhetsåtgärder nämns detta överhuvudtaget inte.
Lika litet intresse ägnas åt välfärdsteknologin som är i stark framväxt och som innebär nya intressanta frågeställningar inom en stor samhällsviktig verksamhet.
Strategins bristande omvärldsbevakning påverkar även de säkerhetsåtgärder som presenteras.
Mycket är uppstekta tidigare förslag alternativt bekräftelser på redan existerande lösningar även om jag fortfarande när ett visst hopp om den så kallade nationella modellen för systematiskt.
Ett axplock på aktiviteter där regeringen ska enligt strategin fortsätta att verka för det man redan verkat för eller inte kan undvika att verka för: Inte särskilt kraftfullt eller nydanande.
I ärlighetens namn ska väl sägas att det även ingår att regeringen ska verka för en strategi för kryptosystem, mer övervakning i olika hänseenden och mer brottsbekämpning.
Om Sverige ska bli, som regeringen proklamerat, världsbäst inom digitalisering och e-hälsa behövs det en storsatsning på proaktiv informationssäkerhet som stödjer denna inriktning.
Förutom att stärka säkerheten i nätverk och kommunikationer är svårt att se vad den liggande strategin bidrar med i det hänseendet.
Efter att ha begrundat åtgärdsförslagen uppfattar jag att huvuddragen är ett perimeterskydd på nationell nivå, incidentrapportering och tillsyn.
Detta menar jag inte är särskilt verkningsfullt i förhållande till dagens molntjänstsamhälle.
System i egen drift och förvaltningen som staten fysiskt kan kontrollera är inte den framtid som strategin ska fungera i. Att staten skapar säkerhetslösningar för (forntida teknik höll jag på att skriva) tekniska lösningar på utgående är inte unikt för den här strategin; som en klok kollega påpekade häromdagen är det konstigt att det nu görs så stort nummer av säker e-post.
Redan nu sker kommunikationen ofta i andra former än e-post och om fem år kommer sannolikt dess betydelse vara i starkt avtagande.
Bristen på ambition att skapa bättre möjligheter att hantera de nya frågeställningar som digitaliseringen medför präglar också strategins kunskapssyn.
Istället för en offensiv hållning där man utgår från ett läge som jag bedömer som tämligen ovedersägligt, nämligen att vi idag hög grad saknar kunskap om även grundläggande kunskap om vi ska bygga en fungerande informationssäkerhet, är strategin även här konserverande.
Den kunskap som strategins författare anser behövs är att kartlägga brister och sedan öka medvetenheten om dessa till olika aktörer.
Det är enligt regeringens bedömning viktigt att arbetet med att analysera sårbarheter, brister och behov med koppling till Sveriges informations- och cybersäkerhet fortsätter att utvecklas och fördjupas i syfte att stödja och öka medvetenheten om långsiktigtpå alla nivåer i samhället När man sedan kommer in på högre utbildning, forskning och utveckling räknas ett antal redan pågående projekt upp samt en avslutande lam inriktning: Lärosäten, industriforskningsinstitut, näringsliv och offentlig sektor samverkar för att öka nyttiggörande och innovation inom informations- och cybersäkerhetsområdet.
Min uppfattning är att om en större förändring (i positiv riktning är det väl bäst att säga) av samhällets informationssäkerhet så förutsätter det en utvecklad kunskapsstyrning.
Mer effektivt än att använda retroaktivt inriktade och repressiva åtgärder som incidentrapportering och tillsyn är att kunna beskriva för olika typer av aktörer hur de kan använda belagt effektiva säkerhetsåtgärder.
Detta förutsätter dock i sin tur att det finns kunskap som kan utgöra underlag för en relevant styrning.
Ett område som alldeles särskilt borde lyftas fram är det informatik och hur en styrd informationshantering kan ge ökad säkerhet i de tjänster som alltmer kommer att ersätta de traditionella systemen.
Jag bedömer att tekniskt perimeterskydd kommer att vara något som måste fortsätta att utvecklas men att dess relativa betydelse kommer att minskas i förhållande till hur säkerhet kan byggas in i informationshanteringen.
Därmed anser jag att detta borde vara ett strategiskt kunskapsområde för framtiden, en uppfattning som inte förefaller delas av strategins upphovsmän som på ett ytterst vagt sätt sveper över en mängd teknikområden.
Ett annat kunskapsområde som hänger ihop med själva definitionen av informationssäkerhet är betydelsen av spårbarhet i informationshanteringen.
En långvarig men icke-uttryckt schism inom det svenska informationssäkerhetsskrået är begreppet spårbarhet som för många varit tabubelagt utan närmare förklaring.
I de verksamheter som länge varit transaktionstäta och komplexa som exempelvis hälso- och sjukvården har kravet på spårbarhet varit självklart.
För ”purister” har det dock varit en styggelse.
Nu menar jag att det borde vara uppenbart för de flesta praktiskt verksamma att begreppet måste tillämpas aktivt i informationsklassningar och riskanalyser.
Enbart dataskyddsförordningens krav förutsätter åtgärder för spårbarhet som idag inte tillämpas men användningen av integrerade tjänster kommer också att innebära behov av att kunna rekonstruera sammanställd information där alla ingående datamängder har rätt version o.s.v.
Hur detta ska kunna gå till är även det ett område där forskning är nödvändig men denna typ av kunskap ligger långt utanför det område som strategin rör sig inom.
Trots denna orimligt långa text innehåller den bara ett litet antal nedslag i de frågeställningar som väcks.
Min kritik kan sammanfattas i tre punkter.
För det första är det väldigt uppenbart att det är en strategi för staten – inte för samhället.
De stora frågor och intresseavvägningar som de flesta av samhällets aktörer måste hantera lyser med sin frånvaro – inifrån- och ut-perspektivet är så överväldigande att jag får känslan av att man suttit i en bunker och skrivit strategin för att försäkra sig om att inga ovälkomna intryck från verkligheten ska smyga sig in.
Genomgående så förläggs också fel och brister hos aktörerna i samhället; de har dålig kunskap och de gör fel.
Däremot så håller den del av staten som skrivit strategin inte upp en spegel och frågar sig vad man själv kunnat göra bättre.
Trots att staten skottar in omfattande resurser centralt till de myndigheter som ska samordnat har resultatet inte blivit det önskade.
Det är därför märkligt att strategins angreppssätt är att framförallt resten av samhället ska skärpa sig.
Kanske måste man, istället för att fortsätta göra mer av samma sak, våga rikta blicken inåt och försöka analysera varför det hittills inte funkat så bra trots resurserna.
Det vill säga en gammaldags hederlig utvärdering av en fristående part.
För det andra beskriver strategin inte ens dagens digitala situation utan en snart förgången tid.
Jag har ju närt vissa förhoppningar rörande strategin men måste nu redan inledningsvis medge att det kommit helt på skam.
Istället för att vara framåtblickande vilket är ett slags grundkrav på en strategi är den produkt som presenteras häpnadsväckande inaktuell även för dagens situation.
Jag förstår att de som skrivit dokumentet varit snärjda och begränsade av bland annat det fem år gamla NIS-direktivet.
Detta ”ursäktar” dock inte den enligt min bedömning föråldrade bild av verkligheten som är strategins utgångsläge.
Faktiskt är det svårt att se den nya strategin som mer aktuell än den som togs fram 2010 och som dessutom var betydligt mer kortfattad och välstrukturerad .
För det tredje levererar strategin få eller inga konkreta inriktningar – man lyckas inte ens beskriva hur de områden som staten faktiskt kontrollerar ska styras.
Hur ska exempelvis säkerhetsskydd, samhällsviktig verksamhet och normal verksamhet förhålla sig till varandra?
Och de olika incidentrapporteringskrav som staten nu riktar mot olika aktörer, hur ska de integreras till en effektiv och rimlig helhet?
Om exempelvis eHälsomyndigheten råkar ut för en incident där personuppgifter ingår ska man då rapportera till MSB (enligt MSB:s föreskrift), till IVO (enligt NIS-direktivet) och till Datainspektionen (enligt dataskyddsförordningen).
Eftersom incidentrapportering under en längre tid lyfts fram som den mest prioriterade säkerhetsåtgärden vore det rimligt att en strategi gav besked om hur den långsiktigt ska hanteras.
Och om nu en stor del av den samhällsviktiga verksamheten och den offentliga förvaltningen i övrigt kommer att hantera sin information i ett fåtal internationella molntjänster?
Är det då inte en central strategisk säkerhetsfråga för staten att ha en inriktning för relationen till dessa molntjänstleverantörer.
Det är ju knappast ett alternativ att köra ett DDR-lösning och utveckla egna statliga lösningar.
En strategi borde fungera som mer än talepunkter för en minister i Almedalen men här tycks beskedet ganska klart: Fråga inte vad staten kan göra för dig utan vad du kan göra för staten.
För oss andra verksamma i skrået är det viktigt att inte dras in i bunkern utan att vi arbetar med de frågor som är relevanta i dag och i framtiden.
Oavsett vilken roll jag haft inom informationssäkerhetsområdet, informationssäkerhetschef, konsult eller byråkrat på nationell nivå, har ett behov varit lika uppenbart: behovet av ökad samordning och styrning.
Slutsatsen att det inte är möjligt för en enskild organisation att utveckla ett helt eget koncept för informationssäkerhet behöver knappast motiveras, särskilt när utvecklingen gått mot allt mer gränslösa integrationer av informationshanteringen.
En självklar grundsten för många av oss som arbetat länge med informationssäkerhet har varit ISO 27000 och dess föregångare och det har därför varit naturligt att peka på den som en naturlig utgångspunkt i den nationella styrningen.
Däremot har jag alltid uppfattat det som en mycket stor nackdel att standarden liksom trots att syftet är så stor spridning som möjligt är omgivna av avsevärda ekonomiska hinder.
För en stor statlig myndighet kan några tusenlappar tyckas vara småpengar men för en liten kommun eller mindre företag är det summor som inte är lika enkla att motivera.
Att rekommendera organisationer att införa ledningssystem för informationssäkerhet enligt standarden har därför innehållit en inneboende svårighet som kanske ändå går att överse med.
Jag har däremot varit betydligt mer tveksam till den direkta hänvisning som funnits till standarden i MSB:s föreskrift sedan .
Här sägs att myndigheter ska följa en föreskrift som inte är fritt tillgänglig vare sig för myndigheten eller för exempelvis medborgare som vill kunna ha insyn i myndighetens arbete.
Att inte kunna sprida innehållet i en av grundförutsättningarna för myndighetens arbete försvårar naturligtvis kommunikationen.
Ytterligare ett problem är att en myndighet med föreskriftsrätt föreskriver andra myndigheter att följa regler som man själv inte har kontroll över och dessutom snabbt kan göra föreskriften obsolet när de ändras.
Tyvärr följde detta krav med när föreskriften uppdaterades i form av krav på ISO/IEC 27001:2014 och ISO/IEC 27002:2014 ska ”beaktas”.
I dagarna har jag fått tips om ett beslut i Högsta domstolen (tack Carl-Arne!)
som ger mig stöd i min .
Här skrivs explicit: En grundläggande del av legalitetsprincipen får därför anses vara att författningar ska finnas tillgängliga för var och en i läsbar form utan något krav på betalning, och att detta gäller också för en standard som det hänvisas till i en författning.
Att myndigheten kostnadsfritt kan informera om vad som står i standarden anses inte upphäva denna bedömning.
Med Högsta domstolens beslut, om det befinns tillämpligt även i detta sammanhang, finns nu en möjlighet att utveckla den nationella styrningen så att den blir mer transparent och tillgänglig för alla.
Förslaget till ny ger ett intryck av att inte vara fullt genomarbetat i de mer generella avsnitten.
I avsnitten om informationssäkerhet förstärks detta intryck.
När jag läser om informationssäkerhet känns det redan från början som om jag fått på mig ett par helt annorlunda glasögon som får min vanliga informationssäkerhetsverklighet i ett helt nytt perspektiv.
Nya perspektiv brukar vara uppfriskande och klarläggande.
Tyvärr kan jag inte säga att det är min upplevelse av utredningens verklighetsbeskrivning.
Istället känns det litet som när medeltida munkar beskrev djur de aldrig sett men hört talas om, en vag likhet men ganska långt från förlagan.
Man ser liksom att det är en elefant men det liknar inte de elefanter man känner till.
”Informationssäkerhet” är beskrivet från en annan kontinent än min, gissningsvis är den kontinenten Försvarsmakten .
Informationssäkerhet pekas liksom i den gällande säkerhetsskyddslagen ut som en av tre säkerhetsskyddsåtgärder tillsammans med fysisk säkerhet och personalsäkerhet.
Utredningen vill samtidigt utvidga säkerhetsskyddets tillämpning till helt nya verksamheter där det redan finns ett pågåendesom fyller en mycket viktig funktion bland annat för samhällets robusthet.
Dessa två faktorer borde sammantaget lett till att utredningen förhållit sig till den redan existerande verkligheten, försökt ta vara på det redan inarbetade och tillfört endast det som är nödvändigt ur säkerhetssynpunkt.
Utredningen väljer istället en radikalt annorlunda väg och skapar sin egen kontinent utan mer än en tunn landbrygga till det etablerade säkerhetsarbetet, uppfinner sina egna begrepp och metoder.
På denna kontinent betyder ”den vedertagna definitionen av informationssäkerhet” den, sett ur det civila perspektivet, stympade definition som används inom Försvarsmakten och säkerhetsskyddsområdet och som fokuserar på sekretess.
Jag skriver avsiktligt sekretess och inte konfidentialitet eftersom den utgår från vad som är sekretessbelagt enligt OSL.
Den aktivitet som motsvarar informationsklassning är också helt inriktad på sekretessaspekten (mer om detta nedan).
Samtidigt skriver utredningen att man vill utvidga säkerhetsskyddslagens informationssäkerhet till att även omfatta riktighet och spårbarhet, i alla fall i någon mening.
Samma ambivalens till lagens tillämpningsområde finns när det gäller hotbilden.
Medan man, liksom i gällande lag, avgränsar hoten till att främst gälla antagonistiska hot ska nu informationssäkerheten skydda mot hela hotspektrat s 329: Här är visserligen definitionen av informationssäkerhet den samma som för det som beskrivs i en civil verksamhet men då uppstår å andra sidan problemet att sett i den här kontexten skulle det innebära att allt normalt förebyggandekan/ska ses som något som bör styras ur ett säkerhetsskyddsperspektiv.
Över huvud taget är relationen mellan den ordinarie informationssäkerheten och de åtgärder som ska påföras en verksamhet utifrån krav på säkerhetsskydd svårförståelig i utredningens resonemang.
Som på sidan 347 t.ex.
: Detta är ett motsägelsefullt påstående eftersom man i det följande gång på gång visar att den informationssäkerhet som utredningen avser väsentligen skiljer sig från den som tillämpas av t.ex.
de organisationer som följer ISO-standarden eller andra etablerade metoder.
Betyder det att SÄPO:s alternativt Försvarsmaktens föreskrifter om säkerhetsskydd hegemoniskt ska breda ut sig och tillämpas även i informationshantering som inte faller under lagstiftningen?
Med tanke på att en av utredningens huvudnummer är ett tyngre verksamhetsansvar, det vill säga att offentliga och privata verksamheter ska utföra ganska avancerade manövrar inom säkerhetsskyddsområdet på egen hand, är tydlighet a och o. Myndigheter, kommuner, landsting och privata företag har också ett alltmer krävande verksamhetsstyrtsom för den absoluta merparten organisationer är helt dominerande jämfört med säkerhetsskyddet.
Dessa två delar måste därför gå att integreras på ett smidigt sätt.
Det kräver både tydliga avgränsningar av vad som är vad samordning av begrepp och metoder där så är möjligt.
Som jag tidigare skrivit måste premissen av flera skäl också vara att säkerhetsskyddet ska tillämpas endast där så är nödvändigt och berättigat.
Jag ska därför att i det följande se närmare på den centrala aktiviteten klassning och analysera de praktiska konsekvenserna av utredningens förslag.
Tillämpningsområdet av säkerhetsskyddslagen har alltså enligt min mening glidit iväg och blivit otydligt.
Ur informationssäkerhetssynpunkt är det intressant att begrunda utredningens förslag på en tudelad uppdelning hur behovet av skydd ska bestämmas (s 22): Man överger alltså begreppet ”hemlig” och övergår till den övergripande beteckningen ”säkerhetsskyddsklassificerade uppgifter”.
Bakgrunden är att släppa kopplingen till offentlighets- och sekretesslagen (OSL) som ju endast är tillämplig på offentliga organisationer.
Att kunna identifiera och klassa information är alltså avgörande för att kunna bedöma vad som ska falla under säkerhetsskyddslagen.
Förutom att ringa in vilka uppgifter som är av betydelse för Sveriges säkerhet m.m.också för att definiera ”i övrigt säkerhetskänslig verksamhet” vilket är en utvidgad ersättning för det som skulle skyddas mot terrorism.
Som exempel nämns alltså ” Utredningen utlovar en beskrivning av hur säkerhetsskyddet ska utvecklas för de två verksamhetstyperna ( verksamheter som innebär hantering av och verksamheter som av annan anledning är säkerhetskänslig ).).
Redan här börjar ett metodologiskt problem.
Eftersom begreppet ”verksamhet” aldrig diskuteras så det är svårt att avgöra om en verksamhet avser en organisation, en del av en organisation, en process eller en aktivitet.
Jag satsar på att det är en del av en organisation men inte en specificerad funktion utan något mer flytande.
I sina beskrivningar hur det konkreta säkerhetsskyddsarbetet ska utföras beskrivs visserligen en elefant kallad informationssäkerhet som vagt liknar de elefanter som jag känner till spretar rejält i resonemangen.
Jag skulle inte åta mig att ställa upp en logisk sanningstabell över utredningens utsagor.
En central poäng för utredningen är att säkerhetsskyddet som traditionellt varit inriktat på att skydda konfidentialitet nu ska vidgas till att även motverka brister i tillgänglighet och riktighet.
Detta sägs samtidigt som man vill göra en internationell anpassning och ha fyra ”informationssäkerhetsklasser”.
Vad man säger är alltså att man ska anpassa sig internationellt men samtidigt inte, att man ska ta med skydd för information även i förhållande till riktighet och tillgänglighet men samtidigt inte ta med de aspekterna i informationsklassningen.
Även begreppen är motstridiga: man säger att informationen ska ”informationsklassificeras” trots att det enda som avses är en bedömning av behovet av konfidentialitet.
Dessutom är de uppgifter som genomgått informationsklassificeringen inte som man skulle kunna tro utan .
Detta betyder att de ska hanteras i någon av de fyra som utgör säkerhetsskyddet… För att gå vidare med klassificeringen så vill alltså utredningen att det ska införas Jag vill resa en stark invändning mot begreppet informationssäkerhetsklasser eftersom det inte är informationssäkerhet som klassificeras utan endast skydd mot obehörig åtkomst.
Informationssäkerhet har, som utredningen i ett senare avsnitt framhåller, en etablerad definition där även aspekterna riktighet, tillgänglighet och allt oftare även spårbarhet ingår.
Det är direkt vilseledande att använda ”informationssäkerhet” när man endast avser en delmängd.
Jag kan faktiskt inte förstå varför man med berått mod vill skapa en källa till ständiga missförstånd och därmed väsentligen försvåra säkerhetsarbetet i de verksamheter där det ska bedrivas.
Oansvarigt skulle jag vilja säga och en arrogans mot alla de som i sin dagliga gärning har att reda ut begreppen i sina respektive organisationer för att få litet praktisk verkstad.
Överhuvudtaget är synen på informationssäkerhet och klassning märklig och, jag ber om ursäkt, litet slapp.
På sidan 346 slås aspekterna riktighet och tillgänglighet ihop som om de vore jämförbara entiteter trots att alla som arbetat med informationssäkerhet vet att det här högst olika åtgärder som är nödvändiga för de två aspekterna.
Man hävdar också: .
Med tanke på att SLA för tillgänglighet är de mest etablerade nivåkraven är första meningen svår att tolka.
Att tillgänglighetskraven också styr en verksamhets prioriteringar vid en kris borde göra det än mer angeläget att ha en nivåindelning.
För mig med ett osunt intresse för klassning och skyddsnivåer är andra meningen minst lika obegriplig – att kraven är varierande mellan verksamheter borde göra standardisering nödvändig.
Enligt förslaget ser den praktiska hanteringen ut så här (s 344): åtgärderna ska förebygga att uppgifterna röjs, ändras, görs otillgängliga eller förstörs.
I Bortsett från skönhetsfläckar som benämningen av ISO-standarden (”ledning av informationssäkerhet”) är det andra momenten en egendomlig övning.
Det handlar om någon slags friåkning och vars konsekvens är lika oklar som grunden för bedömningen.
Där värderingen av negativa konsekvenser ur konfidentalitetssynpunkt ska ske i fyra nivåer saknas här helt nivåer, vad som ska bedömas är enbart ”betydelse”.
Hur riktighet och tillgänglighet ska hanteras beskrivs ingenstans mer än i en indirekt hänvisning till säkerhetsskyddsanalysen samt här (s. 287): Detta är så konstigt att jag inte riktigt vet hur jag ska reagera, särskilt som just denna utvidgning lyfts fram som en av de centrala förändringarna jämfört med gällande lag.
Frågor som vad detta innebär i praktiken hopar sig.
Hur ska man avgöra vilken information det gäller och i förlängningen vilken utrustning, kommunikationer m.m.
som ska användas?
Vilka typer av åtgärder ska vidtas?
Kommer staten att kräva att särskilda rutiner, viss utrustning och särskilda tjänster ska användas på samma sätt som när det gäller den säkerhetsklassificerade informationen?
Kommer staten att ta på sig att utveckla eller certifiera utrustning?
En vital fråga är också om information som bedöms som väsentlig av säkerhetsskyddskäl men enbart sett till krav på tillgänglighet och/eller riktighet (vet inte vad denna typ av information och andra informationstillgångar ska kallas för de är väl inte säkerhetsskyddsklassificerade?)
också ska påtvingas säkerhetsskyddsåtgärder som gäller sekretessaspekten.
Dessa frågors svar kommer att ha stor påverkan på både offentliga och enskilda organisationer.
Att då inte ägna energi åt att verkligen utreda vad förändringen består i och hur den ska tillämpas är ganska avgörande för hur utredningens kvalitet bör betygsättas.
När man kommer in på välkänd terräng (klassning ur sekretessynpunkt) är man desto mer mångordig.
Här vill man främst med hänvisning till Försvarsmaktens förhållanden samt internationell anpassning införa 4 nivåer.
Nackdelen är att man hela tiden utgår från att resten av världen fungerar som Försvarsmakten där hantering av säkerhetsskydd kan räknas som en kärnverksamhet.
Exempelvis ids man inte ens ta upp frågan om hur verksamheter ska förhålla sig till först de fyra nivåer för informationsklassning som MSB rekommenderar och sedan ytterligare fyra konfidentialitet.
Ska information bedömas på en totalt åttagradig skala eller hur tänker man?

Om vi särskiljer lagring och arkiv innebär arkiv den slutliga förvaringen av information som ska bevaras i hundra-, ja tusentals år.
Att införa e-arkiv är alltså inte något som kan vidtas med en händelsehorisont på tio år.
I den svenska myndighetsvärlden råder en viss begreppsanarki där ”arkiv” kan betyda olika saker som en lokal, en institution och en myndighets bestånd av allmänna handlingar vilket jag skrivit om bland annat En myndighet (inklusive kommuner och regioner) skapar och tar emot stora mängder information av vilka en del utgör allmänna handlingar som enligt huvudregeln ska bevaras för framtiden såvida inte ett formellt gallringsbeslut upprättas som sätter en gallringsfrist.
Gallring kan alltså ske efter olika lång tid vilket gör att viss information ska sparas för all framtid medan annan kan gallras efter viss tid.
För pappersbunden information har man därför ofta skapat för att avställa inaktuell information i väntan på långtidsbevarande respektive gallring.
Det är arkivmyndigheten som i huvudsak ska fatta gallringsbeslut.
Här finns dock en mycket stor skillnad mellan statliga myndigheter och kommuner/regioner.
För statliga myndigheter är Riksarkivet arkivmyndigheter medan i kommuner och regioner är deras egna styrelser som utgör arkivmyndigheter En arkivmyndighet har inte bara uppgiften att fatta gallringsbeslut utan även ansvaret för bland annat arkivvård och tillsyn.
I det nu aktuella sammanhanget är det en central förutsättning att när en arkivmyndighet tar hand om ett arkiv så är det också arkivmyndigheten som ”äger” arkivet.
Arkivmyndigheten ansvarar för utlämnande av allmänna handlingar och den ursprungliga arkivbildaren (d.v.s.
myndigheten som lämnat in) kan inte hålla på att rumstera om i informationen.
Trots att arkivredovisningen ska vara processorienterad och att vi idag har stora sammanhängande informationsinfrastrukturer med ett otal antal bärare är e-arkivfrågan fortfarande inriktad på att överföra informationsmängder från enskilda system för arkivering.
I den enkät jag gjorde 2018 bland myndigheter, kommuner och regioner var ett starkt intryck att e-arkivfrågan inte i någon högre grad kopplats samman med informationssäkerhet.
Få att de tillfrågade hade gjort informationsklassningar och riskanalyser, ännu färre kunde redovisa säkerhetskrav att ställa på e-arkiv.
Tillförlitlighet Äkthet Integritet (oförändrad) Användbarhet avtalshantering ansvarsutkrävande interna kontrollsystem upptäckt av avvikelser teknisk övervakning dataskydd patientsäkerhet medarbetares integritet medarbetares rättssäkerhet brottsutredning forensik fysiskt skydd Såsom beskrivet i skrivelsen Nationell strategi för samhällets informations- och cybersäkerhet (Skr.
2016/17:213, Justitiedepartementet) där definitionen är ”informationssäkerhet som avser digital information”.
För att inte riskera en snäv tolkning som att det enbart omfattar it- och nätverkssäkerhet anser MSB att cybersäkerhet i detta sammanhang avser säkerhetsåtgärder på samhällelig strategisk nivå, främst reglerande och samordnade åtgärder, som behövs så att samhällets aktörer kan bedrivapå organisatorisk nivå, främst för information som hanteras digitalt.
Såsom beskrivet i Sveriges inlaga till FN:s generalförsamling att cybersäkerhet tydligare beskriver de skyddsåtgärder som innefattar konfidentialitet, tillgänglighet och riktighet för att inte blandas samman med den betydelse av informationssäkerhet som används av vissa länder eller organisationer som en del av en doktrin där synen att informationsinnehållet som sådant är ett hot.
I de fall MSB har samverkan med andra organisationer (såsom EU, NATO och FN) kan viss annan betydelse av cybersäkerhet förekomma, utefter de samverkande organisationernas definition av begreppet.
Energi (elektricitet, olja, gas) Transporter (lufttransporter, järnvägstransporter, sjöfart, vägtransport) Bankverksamhet Finansmarknadsinfrastruktur Hälso- och sjukvård (hälso- och sjukvårdsmiljöer [inklusive sjukhus och privata kliniker]) Leverans och distribution av dricksvatten Digital infrastruktur Initiera akut felavhjälpning Inleda återställelsearbete (kontinuitetshantering) Ge underlag för långsiktig förbättring Rapportering internt och externt Indirekt: försörja riskanalys ocht i stort öka tydligheten i myndighetsstyrningen och lyfta betydelsen av ett tillfredsställandeinternt på myndigheterna samverkan mellan myndigheter med särskilda uppgifter på informations- och cybersäkerhetsområdet stärks NIS-direktivet genomförs effektivt och att det etableras en adekvat styrning och tillsyn av säkerheten i nätverk och informationssystem i samhällsviktig verksamhet för vissa aktörer inom de utpekade sektorerna företag och myndigheter som äger eller arbetar med samhällsviktig verksamhet där industriella informations- och styrsystem ingår får stöd i sitt arbete med att stärka informationssäkerheten, berörda myndigheter utvecklar arbetet med att genomföra och stödja kartläggningar och utredningar om sårbarheter och lämpliga säkerhetsåtgärder i samhället förmågan att hantera allvarliga it-incidenter upprätthålls genom en samordnad övningsverksamhet.

autenticitet riktighet giltig bevisvärde mellanarkiv en integrity inte personuppgiftsincident: incident incidenthantering samma hur och men

Meny Begrepp Inläggsnavigering

Bakgrund Vad skulle då upphandlas?
SKI Slutsatser Informationsklassificering

Språkanvändningen i offentlig verksamhet

Om informationstekniskt bevis Juridik som stöd för förvaltningens digitalisering authenticity integrity tillstånd förmåga egenskaper egenskap Informationssäkerhet och organisationskultur Vad är säker kultur Information Security Goals in a Swedish Hospital egenskap Begrepp med definitioner för cyber En samlad strategi för samhällets informations- och cybersäkerhet som tjänsterna erbjuder samhällets Säker information Vad ska skyddas?
Öka säkerheten i nätverk, produkter och system Säkerhetsskyddet har också en viktig funktion i att ge ett skydd för säkerhetsskyddsklassificerade uppgifter mot andra risker än sådana som beror på brott.
Exempel på sådana åtgärder är skydd mot avlyssning och åtgärder för att minska utrymmet för misstag, tekniska brister eller annat som kan medföra oavsiktlig skadlig påverkan på informationen.
Åtgärder som är förknippade med informationssäkerheten enligt säkerhetsskyddslagen kan inte särskiljas från informationssäkerhet i en vidare bemärkelse.
Exempel på detta är skydd mot skadlig kod och användarautentisering som är relevanta åtgärder även för it-system som inte är av betydelse för Sveriges säkerhet.
Föreskrifter som meddelas med stöd av lagstiftningen, måste kunna avse informationssäkerheten i stort för de verksamheter som omfattas av säkerhetsskyddslagens krav.
Detsamma gäller för tillsyn.
En helhetssyn krävs inom detta område och såväl föreskrifter som tillsyn måste kunna omfatta samtliga de relevanta åtgärder som syftar till att ge ett skydd för information.
Säkerhetsskyddet ska inriktas mot verksamhet som innebär hantering av säkerhetsskyddsklassificerade uppgifter.
Det ska innefatta skydd av uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt säkerhetsskyddsåtagande och som till sin natur är sådana uppgifter som avses i bestämmelser om sekretess.
Det innebär således en vidare ram än enligt den nuvarande lagen som utgår från begreppet hemliga uppgifter.
Därutöver ska säkerhetsskyddet inriktas mot verksamheter som av annan anledning behöver ett säkerhetsskydd (i övrigt säkerhetskänslig verksamhet).
Det motsvarar delvis vad som i dag skyddas inom ramen för skydd mot terrorism, dvs.
i huvudsak verksamhet vid skyddsobjekt, flygplatser och vissa verksamheter som ska skyddas enligt folkrättsliga åtaganden om luftfartsskydd, hamnskydd och sjöfartsskydd.
Det skyddsvärda området bör inte avgränsas genom regleringen om skyddsobjekt, utan ska utformas så att det även kan innefatta annan säkerhetskänslig verksamhet, t.ex.
hantering av it-system eller sammanställningar av uppgifter som är av central betydelse för ett fungerande samhälle eller verksamhet som behöver skyddas på den grunden att den kan utnyttjas för att skada nationen, t.ex.
vissa verksamheter inom det kärntekniska området.
I dag utgår säkerhetsskyddslagen från att behov av säkerhetsskydd främst handlar om skydd av hemliga uppgifter.
Kopplingen till offentlighets- och sekretesslagen kan ge intryck av att säkerhetsskydd främst är en angelägenhet för myndigheter och andra offentliga organ för vilka den lagen är tillämplig.
Därutöver handlar det om ett säkerhetsskydd med inriktning att skydda mot terrorism för flygplatser och byggnader, anläggningar m.m.
som enligt skyddslagen är skyddsobjekt.
Sådana avgränsningar är i dag för snäva och medför eller riskerar att medföra att t.ex.
verksamheter som är av betydelse för att upprätthålla grundläggande samhällsfunktioner faller utanför tillämpningsområdet.
Ett första steg är en ändrad systematik som bl.a.
tydligare innefattar sådan säkerhetskänslig verksamhet som bedrivs hos enskilda.
hantering av it-system eller sammanställningar av uppgifter som är av central betydelse för ett fungerande samhälle”.
säkerhetsskyddsklassificerade uppgifter (i övrigt säkerhetskänslig verksamhet informationsklassificerade säkerhetsskyddsklassificerade informationssäkerhetsklasser fyra informationssäkerhetsklasser av internationell modell.
Riktighets- och tillgänglighetskrav är svårare att indela i nivåer än när det gäller konfidentialitetskrav.
Detta på grund av att kraven kan vara mycket varierande i olika verksamheter och system och svårare att uttrycka i generella termer Vi föreslår därför att säkerhetsskyddsåtgärden informationssäkerhet delas upp i två delmoment.
Det första tar sikte på skyddet av säkerhetsskyddsklassificerade uppgifter från det perspektivet att informationssäkerhetssammanhang brukar man tala om skydd för konfidentialitet, riktighet och tillgänglighet.
I denna del är det konfidentialitetsperspektivet som är det framträdande.
I det andra momentet anges att åtgärderna ska förebygga skadlig påverkan på informationstillgångar som annars är av betydelse för säkerhetskänslig verksamhet.
I detta fall är det därför enbart riktighets- och tillgänglighetshänsyn som gör sig gällande.
Med informationstillgångar avses information och informationssystem i vid bemärkelse, dvs.
uppgifter, handlingar och tekniska system som används för att i olika avseenden elektroniskt kommunicera och i övrigt behandla uppgifter.
Observera att begreppet har en delvis annan och mer långtgående betydelse i den internationella standarden för ledning av informationssäkerhet (LIS) där även människor ingår i begreppet.
Överlag ger säkerhetsskyddslagstiftningen i dag intryck av att den del av säkerhetsskyddet som inte handlar om hemliga uppgifter närmast ses som ett kompletterande skydd.
En sådan ordning bör inte behållas.
Som framgår av våra förslag i avsnitt 16.1, 17.1 och 18.1 föreslås syftet med de olika åtgärdsområdena (informationssäkerhet, fysisk säkerhet och personalsäkerhet) beskrivas med utgångspunkt från såväl de skyddsbehov som finns när en verksamhet hanterar säkerhetsskyddsklassificerade uppgifter som de skyddsbehov som finns i verksamheter som av annan anledning är säkerhetskänsliga.
Några skillnader i fråga om åtgärder och förfarandet för de två inriktningarna anser vi inte vara motiverade.

Efter långt om länge släppte nu äntligen Datainspektionen (snart Integritetsskyddsmyndigheten) sina av åtta vårdgivare.
Även om jag var väl förberedd på innehållet så är det en chockerande dyster läsning när den fulla konsekvensen av vad jag redan visste blev förtydligad på detta sätt.
Låt mig först understryka att det Datainspektionen ställer krav på inte är några nya krav för vården utan de har funnits sedan länge bland annat i Socialstyrelsens och i PuL.
De brister som framkommer i granskningar har inte heller de nyhetens behag utan är de samma som i de granskningar av vården som Socialstyrelsen respektive Datainspektionen gjorde typ 2012.
Det är alltså inte så att vårdgivarna är tagna på sängen med helt ny rafflande krav utan det är väl kända försummelser som regioner och vårdgivare medvetet underlåtit att rätta till.
Egentligen räcker det att läsa följande stycke i granskningen gällande Capio S:t Görans Sjukhus AB för att se vidden av hur undermålig säkerheten och skyddet för integriteten är: Ytterligare försvårande omständigheter är att behandlingen av uppgifter om patienter i huvudjournalsystemet hör till kärnan i en vårdgivares verksamhet, att behandlingen omfattar många patienter och möjligheten till åtkomst avser en stor andel av de anställda.
Inom ramen för den inre sekretessen har mer än 2700 medarbetare åtkomst till uppgifter som rör närmare 490 000 patienter.
Utöver det har mer än 600 medarbetare, inom ramen för den sammanhållna journalföringen, åtkomstmöjligheten till uppgifter rörande cirka 3 patienter i TakeCare.
För att strö ytterligare salt i såret kan man läsa om Aleris sjukvård AB: Aleris har ett dokument som benämns ”Behovs-och riskanalys-TakeCare”.
Dokumentet har sett ut som det gör idag sedan den 28 maj 2012 då Take Care infördes och gäller både för den inre sekretessen och inom ramen för den sammanhållna journalföringen.
Av dokumentet framgår de olika profilerna, så kallade behörighetsgrupper.
Dokumentet visar bland annat läsrättigheterna samt skrivrättigheterna för respektive behörighetsgrupp.
Alla profiler förutom tekniker har tilldelats läsbehörighet till uppgifterna i TakeCare.
Då ska noteras att man hade 796 350 unika patienter i maj 2019 och 1058 aktiva användarkonton av vilket det absoluta flertalet alltså har läsrättigheter till samtliga patienter oavsett om de har en vårdrelation eller inte.
Att Aleris slänger fram en oförändrad riskanalys från 2012 säger nog det mesta om nivån på säkerhetsarbetet liksom när Capio hävdar att de visst har en behov- och riskanalys men att den av okänd anledning är borttappad.
Capio St Göran fick 30 miljoner i sanktionsavgift och Aleris Sjukvårds AB 15 miljoner (plus ytterligare 12 miljoner från sitt andra bolag Aleris Närsjukvård AB) men de är långt ifrån unika.
Bristerna hos övriga granskade vårdgivare (granskningen av Kry ännu ej beslutad) bekräftar det vi redan vet bland annat från tidigare granskningar.
Säkerheten i den svenska sjukvården är helt undermålig och det gäller inte bara vad gäller integritetsrelaterade frågor som de Datainspektionen granskat utan generellt.
Jag har begärt en större del av underlagen från Datainspektionens granskningar och ska fördjupa mig ytterligare i dem.
I detta blogginlägg ska jag ta upp några fenomen som aktualiseras i de granskningsfynd som presenteras i de offentliggjorda rapporterna.
Utgångspunkten är att den usla säkerhet som indikeras genom granskningarna är en följdriktig konsekvens av ett konsekvent förhållningssätt till integritet och säkerhet i vården från olika aktörer.
För att förstå hur samtliga granskade vårdgivare (Kry inte inräknade än så länge) så flagrant bryter mot lagstiftningen måsta man känna till att lagtrots när det gäller integritet och säkerhet i digitala lösningar är normen i den svenska vården – inte undantaget.
Att endast medarbetare med vårdrelation eller något annat mycket tydligt definierat skäl ska ha åtkomst till patientuppgifter är ett krav som har kommit med dataskyddsförordningen utan har funnits i princip sedan journalerna övergick från att vara räkenskapsmaterial till att vara vårddokumentation.
Vi rör oss alltså någonstans i början av förra seklet (hur gärna skulle jag inte vilja gå in på detaljerna i denna historia men inser att alla kan inte vara totala journalnördar – skulle någon vilja veta mer så får ni skicka ett mail).
På den tiden pappersjournalerna gällde fanns de inlåsta i journalarkiv med strikta regler för vem som fick ta del av dem.
Det kan sägas att ha rått en minimalistisk åtkomstprincip innan begreppet var uppfunnet.
Återkommande klagomål fanns på att det var för många som ändå kunde slinka in och läsa det de inte fick men möjligheten får ändå säga vara mikroskopisk jämfört med det som skildras i de aktuella granskningsrapporterna.
När de tidiga journalsystemen introducerades på slutet av 1980-talet hade de inte funktionalitet för en effektiv behörighetsstyrning på individ- och rollnivå vilket var ett första steg på färden mot dagens situation.
Istället för att tvinga leverantörerna tillbaka till ritbordet för att konstruera system som följde lagstiftningen började man (med ”man” avses i det följande den grupp av leverantörer, it-chefer, byråkrater, politiker och andra makthavare inom vården som ansvarat för digitaliseringen) tänja på normerna och hävda att det gick lika bra att styra med logguppföljning som med behörigheter.
Istället för att organisatoriskt och tekniskt begränsa åtkomsten hävdade man att logguppföljning var en jämförbar säkerhetsåtgärd (!).
Denna för svensk sjukvård unika bedömning var ett fatalt vägval ligger bakom en stor del av de säkerhetsproblem som finns i vården idag.
De negativa konsekvenserna begränsas inte enbart till att det på dryga tjugo år utvecklats de organisatoriska och tekniska lösningar som är nödvändiga för följa lagen och ha ens ett basalt skydd för patientuppgifterna.
Det har även lett till att man för att motivera det stora felsteget gjort dygd av nödvändigheten genom att hävda att ALLA inom sjukvården behöver tillgång till ALLA patientuppgifter hela tiden – allt annat vore en risk för patientsäkerheten.
I målande ordalag beskrevs hur nödvändig patientinformation inte skulle finnas tillgänglig för vårdpersonalen vid behandlingar olika slag vilket skrämde upp en hel del läkare och sköterskor som därmed köpte den konstruerade motsättningen mellan patientsäkerhet och integritet.
Det ledde till en ond spiral där krav på korrekt behörighetshanteringen inte ens ställts vid upphandlingar och stora utvecklingsprojekt trots att lagstiftningen är tydlig på denna punkt vilket i sin tur knappast motiverat leverantörer av vårdinformationssystem att utveckla sådan funktionalitet.
Det är därför en särskild glädje att Datainspektionen i granskningen av Capio S:t Göran slår fast att loggning kan ersätta att begränsa åtkomst via behörighetshantering: Capio S:t Görans anger att de använder systematisk logguppföljning för att reducera risken för att medarbetare otillbörligen tar del av patientuppgifter.
Datainspektionen konstaterar att patientdatalagen inte lämnar något utrymme förvårdgivare att kompensera frånvaron av behovs-och riskanalys, eller en allt för bred tilldelning av behörighet tillåtkomst, med en omfattande logguppföljning.
Inte heller fiktiva åtkomsthinder som ”journalfilter” eller ”aktiva val” godkänns av Datainspektionen som tillräckligt för att begränsa åtkomsten vilket kan vara en bra tumregel att ha med sig in framtida projekt.
Det känns också bra att Datainspektionen drar undan mattan för det i digitala sammanhanget urgamla svepskälet för att ha lagstridig hantering av personuppgifter, nämligen att hävda att man har en akutverksamhet.
Ytterligare en konsekvens är att den lättsinniga hållningen till lagstiftning sedan dess blivit en tradition inom vård-it.
Ett aktuellt exempel är när Region Skåne först beslutat att medvetet gå emot bättre vetande och upphandla en som går emot dataskyddslagstiftningen och sedan i sista minuten sig.
Hur mycket denna utsvävning kostat i pengar och förlorad tid är oklart.
Argumentationsfelen för att använda exempelvis molntjänster är desamma som medvetet praktiserats under par decennier i vården: ”ja men det blir ju bättre än det vi har” och så bygger man fast sig i bristfällig lösning som det tar åratal att ta sig ur istället för att ställa rätt säkerhetskrav från början och se till att de levereras.
Själv kan jag inte räkna alla gånger som jag, när jag påpekat brister i tänkta lösningar, fått kommentarer som ”ja men det är ju bättre än det som finns idag”, d.v.s.
att legitimera kända risker i nya lösningar med den falska jämförelsen med dagsläget.
Detta är ytterligare en väsentlig bakgrund till dagens situation och som bygger på samma knäppa riskhantering som är den andra återkommande bristen i Datainspektionens aktuella granskningar, nämligen risk- och sårbarhetsanalyser där vårdgivarna återkommande endast analyserar och inte risker.
För en sansad människa framstår det kanske som obegripligt varför man över huvud taget bryr sig om att göra riskanalyser om man inte är intresserad av att identifiera och reducera risker.
Jag ser det mer som en del i den svenska digitaliseringskulturen där det inte får finnas problem utan vi ständigt är glittrande glada.
Och har vi inte identifierat några risker så behöver vi ju inte några säkerhetsåtgärder och då är ”utmaningen” (inte problemet) obefintlig.
Tydliga ansvarsförhållanden är grunden för all fungerande säkerhet.
Saknas denna förutsättningen kommer säkerheten oundvikligen att bli lidande och det går inte heller att genomföra ett ansvarsutkrävande.
I den trassliga spaghettistruktur som är svensk vård-it blir detta synligt även i Datainspektionens granskningar.
En konstruktion som skulle behöva synas beskrivs i rapporten om Aleris Sjukvård AB: Federation Samverkan TakeCare (FSTC) är beställare av journalsystemet Take Care och Compu Group Medical (CGM) är leverantör av journalsystemet och ansvarar för de funktioner som systemet har för att styra behörigheter.
Alla funktioner i journalsystemet är skapade av CGM, men det är Aleris som väljer vilka funktioner som en viss personalkategori ska ha tillgång till bland de funktioner som finns inlagda.
Aleris har inga tekniska möjligheter att göra ändringar i Take Care eftersom Aleris inte har någon rådighet över journalsystemet.
Aleris är endast användare av systemet.
Aleris har inte kunnat ställa några krav på CGM vid upphandlingen av journalsystemet.
Bolaget har till exempel påpekat att det funnits problem med journalsystemet bestående i, så vitt avser behörighetstilldelningen, att systemet inte kan separera läs-och utskriftbehörigheter för en läsfunktion.
CGM har inte varit intresserade av att ändra detta trots synpunkter från Aleris.
Det är FSTC som kan beställa ändringar av funktionerna och det är sedan upp till CGM om de vill utföra ändringarna eller inte.
Aleris har en representant i FSTC som kan framföra Aleris önskemål.
Aleris har dock inte fått något gehör för bolagets synpunkter.
Här förefaller det alltså omöjligt för vårdgivaren som även är personuppgiftsansvarig att genomdriva sina säkerhetskrav eftersom en organisation utan formellt ansvar förhindrar det.
Om vi nu hypotetiskt litar blint på att Aleris verkligen ställt rätt säkerhetskrav är det alltså FSTC som drivs av Region Stockholm som inte bara förorsakat kränkningar av ett mycket stort antal patienters integritet utan också ”användarna” Aleris sanktionsavgifter.
Det borde finnas ett intresse åtminstone från ”användarna” att reda ut ansvarsförhållandena och skapa garantier för att man kan få påverkansmöjlighet på de gemensamma it-systemen så at de följer lagstiftningen även om regionen inte prioriterar den frågan.
Trots att det i övrigt finns en mycket god säkerhetskultur i vården har man alltså inte lyckats inympa informationssäkerhet i den.
Det huvudsakliga ansvaret för detta ligger naturligtvis hos regionerna som sjukvårdshuvudmän tillsammans med SKR som sedan mitten av 90-talet utlovat gemensamma regler för informationssäkerhet men hittills inte lyckats uppvisa något som ens liknar det.
Är det någonstans där Datainspektionen bör göra nästa granskning så är det hos SKR:s it-bolag Inera.
Detta är särskilt angeläget eftersom lösningar som NPÖ som tillhandahålls av Inera saknar adekvat behörighetshantering (se ovan) som inte bara drabbar den enskilde vårdgivare utan samtliga vårdgivare som använder.
En annan aktör som väcker viss tveksamhet är IVO vars granskningar hittills inte alls verkar ha genomförts på samma grundliga nivå som Datainspektionen.
Några granskade verksamheter hänvisar till granskningar som IVO gjort och som på något sätt skulle gett klartecken för den säkerhetsnivå som de nu ligger på.
Förhoppningsvis kan tillsynsansvaret i och med NIS-direktivet leda till att IVO utvecklar sina granskningsmetoder.
Jag tror att det är centralt att myndigheterna samverkar här och ser informationssäkerheten i ett helhetsperspektiv och förstår att det är en sammanhängande säkerhetsarkitektur där brister i ett hänseende skapar risker på flera olika sätt.
Det skulle även vara en fördel att ha gemensamma granskningsmetoder och kanske t.o.m.
genomföra granskningar tillsammans.
Många tillsynsmyndigheter kan lära sig mycket genom att studera med vilken noggrannhet och stringens Datainspektionens granskningar genomförts.
I rättvisans namn ska sägas att vården inte fått särskilt mycket hjälp från myndighetshåll att utveckla sin säkerhet.
Jag har tidigare om att MSB:s knytning till ISO 27000 och det metodstöd som utvecklats i denna anda knappast är till hjälp för vårdens infrastruktur och jag kan inte heller se andra satsningar som tagits fram för att stödja denna i sanning samhällsviktiga verksamhet.
Datainspektionens granskningar som endast rör ett par aspekter av säkerheten borde ge upphov till ett större samordnande projekt lett av myndigheter för att långsiktigt höja vården säkerhet eftersom detta är en fråga som regionerna med all önskvärd tydlighet visat att de inte klarar av.
En helt nödvändig insats är att tvinga regioners och SKR:s makthavare att erkänna att det finns ett mycket stort säkerhetsunderskott i vården och istället för att stoppa huvudet i ta sitt ansvar och börja bygga för framtiden.
Häromveckan kom en OECD-rapport där det framkom att Sverige enligt de måttstockar som användes inte var så bra på digitalisering.
Rapporten väckte förvåning och upprördhet i vissa kretsar.
Jag kan på sätt och vis förstå att det kan upplevas som en kalldusch med tanke på hur mycket offentlig ”digitalisering” haussas och sponsras.
Samtidigt får jag litet drygt medge att jag inte är såååå häpen.
Den svenska digitaliseringen har under decennier fört en haltande tillvaro trots att den ständigt varit omgiven av jublande kaskader av pepp.
Under dessa år har olika mystiska nationella organisationer skapats, marknadsförts och sedan dött utan att lämna några imponerande spår efter sig.
Ur minnet kan jag rada upp följande: Utöver detta har diverse ännu mer kortlivade initiativ tagits av regeringar i form av råd och kanske den mest luftiga av alla: en nationell CIO, en funktion som lyckligtvis evaporerade efter mindre än ett år.
Av allt detta finns idag bara DIGG kvar – en myndighet med oklart ansvar och mandat.
Efter att ha rört mig i både närmare centrum och och för det mesta i periferin av dessa cirklar så finns det vissa genomgående drag som jag tycker mig kunnat notera.
Bara uppräkningen av alla flyktiga organisationer som haft en förväntan på sig att samordna den svenska digitaliseringen visar på det kanske främsta problemet: bristen på kontinuitet.
Det har aldrig funnits en långsiktig plan med prioriteringar för hur den offentliga digitaliseringen ska rullas ut.
Bristen på strategisk inriktning skulle i sig kunna vara en strategi, att den svenska staten gjort en välavvägd bedömning att en organisk framväxt utan styrning av digitala lösningar på sikt skulle gynna samhället bäst.
Om detta har varit planen har den dock hållits väl dold.
Verkligheten tyder på, i alla fall för mig, att planering och tydlig inriktning hade varit mycket önskvärt för att skapa en fungerande digital infrastruktur.
Kanske var vi närmare en möjlighet att skapa en infrastruktur på slutet av 90-talet än idag.
Då fanns en medvetenhet om att Sverige hade unika möjligheter bland annat genom denna snabba spridningen av hemdatorer som skett då anställda fick möjlighet att med förmånliga villkor skaffa sig en egen dator via arbetsgivaren.
Då diskuterades hur en statlig e-legitimation skulle kunna införas som en central infrastrukturkomponent.
Själv tyckte jag att det var en rimlig förlängning av ett statlig åtagande: folkbokföring, personnummer och sedan e-legitimation skulle fullfölja en lång linje i svensk förvaltningshistoria som skulle kunna vara byggstenen för många andra lösningar.
Men sedan hände ingenting, varje år sas det att i september – då kommer den att komma!
Vet ej varför just september var en så bra månad för att lansera e-leg men i min något osäkra minnesbild var det så.
En myndighet (E-nämnden) bildades 2003 för att leva i två somrar med uppdrag att stödja utvecklingen av ett säkert effektivt elektroniskt informationsutbyte mellan myndigheter och mellan myndigheter och enskilda genom att beslut om vilka standarder för informationsutbyte myndigheter under regeringen skulle använda sig av.
Detta inkluderade även e-legfrågan.
Men som sagt någon statlig e-legitimation blev det inte då vilket jag är ganska övertygad berodde på ideologiska skäl.
Politiker av olika schatteringar gick all in för nyliberalism och ville hellre att ”marknaden” skulle hantera e-legitimationerna vilket säkert påverkade införande och fördröjde en säker infrastruktur-utveckling.
Att jag tagit upp denna gamla historia är mest för att peka på ett annat återkommande tema i den svenska digitaliseringen, nämligen att det saknats öppna och tydliga diskussioner om hur staten och marknaden ska samverka på bästa sätt för gynna samhället.
Istället har framtagandet av digitala lösningar skett i en ideologisk blindhet som lett mycket stora kostnader (tänk bara Hälsa för mig) utan att det lett till de resultat som eftersträvats.
Och vad är det då för resultat som eftersträvas?
Man skulle tycka att med den stora förväntan på digitalisering och AI som lösningen på alla problem liksom de miljarder som pytsats in att även utan plan så skulle det vara nödvändigt att ha någon slags tydliga mål som går att följa upp.
Så är dock inte fallet om man inte räknar det outsägligt fåniga målet att ”Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter” som tydligt.
Istället vimlar det av fluffiga utsägelser som digitaliseringen ska rädda allt från äldreomsorgen till exportindustrin och självklart skolan.
Exakt hur det här ska gå till beskrivs vad jag kan se varken av , eller digitaliseringsevangelisterna trots att man skrivit vad man kallar mål och strategier.
Det förväntas bara ske.
Det ligger något av en paradox i att digitaliseringslösningar idag så ofta används för att mäta som en del i det rådande NPM-paradigmet när det samtidigt sker så litet av formell utvärdering av vad digitaliseringen faktiskt leder till.
Om man går in de traditionella utvärderarna av ”vad f-n får vi för pengarna?” som Riksrevisionen, Statskontoret och, när det gäller e-hälsa, Myndigheten för vårdanalys finns påfallande få granskningar och rapporter skrivna just om digitalisering.
Riksrevisionen publicerade 2016 en som knappast är en av dem som länder revisionen till heder med tanken på kvaliteteten som kontrollerar om myndigheter digitaliserat tillräckligt mycket – inte vad digitaliseringen lett till.
Detta är i sig en generell tendens, att se digitaliseringen i sig som något ”gott” samtidigt som man i nästa andetag säger att digitaliseringen inte är självändamål.
Men vad kan vara mer självändamål än att ha som mål att ”Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter”?
Däremot kom 2019 en om digitalisering och nyföretagande som faktiskt sätter nyföretagandet i centrum – inte digitaliseringen.
Utöver detta finns det inte mycket att hämta om digitalisering hos Riksrevisionen om man är intresserad av resultatet av statens insatser på området.
Statskontoret har skrivit myndighetsanalyser av bl.a.
E-delegationen, Digisam och Digitaliseringsrådet (spoiler alert: de har inte lyckats så bra) men egentligen inget vad jag kan se om digitaliseringen i sig.
Riksrevisionens och Statskontorets uppdrag kan möjligen göra dem något begränsade i sina granskningar men att Myndigheten för vårdanalys inte haft detta som ett starkt granskningsområde förvånar mig starkt.
Med tanke på hur e-hälsa, välfärdsteknologi, AI och digitalisering lyfts fram som vårdens frälsare borde utfallet av detta vara mycket angeläget att kontinuerligt följa.
Som det nu är hittar jag egentligen bara en som handlar om cancervården specifik.
Ett om äldreomsorgens digitalisering ska slutlevereras 2023 och inriktningen ”Myndigheten ska bedöma hur digitaliseringen av äldreomsorgen bidrar till verksamhetsutveckling, med särskilt fokus på kostnadseffektivitet.” – alltså hur ska digitaliseringen ”effektivisera” äldreomsorgens.
Sammanfattande kan jag förstå om det är svårt att göra granskningar med så fluffiga mål för vad är det egentligen som ska följas upp?
Min egen anekdotiska upplevelse är att den svenska digitaliseringen lider svårt av ett marshmallowssyndrom.
Ni vet det där gamla experimentet om uppskjuten tillfredställelse som sedan har ifrågasatts men som jag ändå använder här som bild.
På Stanford university erbjöds fyraåring att marshmallows med förutsättningen att om de kunde motstå att genast sluka den godbit de fick och kunde vänta några minuter kunde de istället få två.
Tanken var att de som kunde planera och motstå frestelsen blev framgångsrika längre fram i livet.
Den svenska digitaliseringen tyckte jag ofta har liknat barnen som inte kunde låta bli att genast tillfredsställa sitt sötsug.
De politiker, tjänstemän och företag som drivit på digitaliseringen har dock styrts av starkare tobak än marshmallows men kontentan blir att det idag saknas en plan.
Det tycks som man ofta gör saker för att man inte för att man analyserat och kommit fram till att det är rätt steg i en bestämd riktning.
Detta leder också till den intressanta frågan vems intressen tjänar den nuvarande digitaliseringen.
Som redan nämnts är äldreomsorgen ett frestande område att digitalisera, mindre så digitaliseringsbyråkraternas egna jobb.
Jag ska inte ge mig in på David Graebers tankar om Bullshit jobs (läs gärna själva!)
men tanken på de undersköterskor som flänger omkring som torra skinn i äldreomsorgen är de som ska effektiviseras och inte de som har bullshit jobs är djupt störande.
Jag tänker också på vad en äldre människa tjänar på att inte få en människa som kommer och hjälper till med matning utan en robot.
Detta borde vi prata mycket mer om.
För att ingen ska missförstå ovanstående: jag vet och uppskattar den ständigt puttrande digitaliseringen men skulle uppskatta en plan.
I mitt förra inlägg hävdade jag att arbetet med informationssäkerhet alltför ofta kännetecknas av byråkratiska aktiviteter utan reell säkerhetshöjande effekt men däremot med ett anspråkstagande av verksamheters resurser på ett orimligt sätt.
Det är ju inte heller enbart kärnverksamhetens resurser som används på ett sätt som kan etiskt ifrågasättas.
Att säkerhetsarbetet bedrivs utan hänsyn till hur effektiv användningen av resurser är samtidigt som den oavlåtliga klagovisan ljuder att säkerhetsarbetet får för litet resurser, ständigt för litet resurser, är paradoxalt.
För den som arbetar med säkerhet borde det ha högsta prioritet att få fram arbetssätt som ger största möjliga utdelning av säkerhetshöjande effekter i förhållanden till insatta resurser.
Tyvärr har jag sett mycket litet av den typen av analyser och jag kan t.o.m.
tycka att säkerhetsområdet får rejält med pengar sammantaget utan det riktigt framgår vad som kommit ut av det.
Rubriken på blogginlägget är aningen ironisk eftersom det väl nu är allmänt känt att effektiviseringar sällan leder till bättre verksamhet.
Jag tycker ändå att det är klädsamt om vi som jobbar informationssäkerhet, som är en stödfunktion, håller upp spegeln och ser vad vi kan göra när kärnverksamheten i många organisationer är hårt pressad av krav på besparingar.
Att försöka göra saker bättre och mer kostnadseffektiva behöver inte heller vara till nackdel för metodutveckling, jag dristar mig att anse att det skulle vara en fördel om det fanns ROI-perspektiv på både planerade och genomförda säkerhetsåtgärder.
Jag tror det skulle vara ett stort stöd för många informationssäkerhetsansvariga som nu ibland verkar beta av ett antal aktiviteter utan att kunna bedöma vad det egentligen leder till.
Vissa aktiviteter kan vara stora och dyrbara men det handlar också om annat där kostnaden kanske inte är så stor men effekten ännu mindre.
Att genomföra generiska e-utbildningar är enligt min erfarenhet tämligen bortkastat mensom initierat dem kan bocka av en ruta.
För mig betyder detta mekaniska tillvägagångssätt, förutom pengar och medarbetares tid i sjön, att organisationen invaggas i en vilseledande och farlig falsk trygghet.
Det tämligen obefintliga effektivitetspressen inom säkerhetsområdet, som är så kännbar i andra sektorer, tycker jag mig se leda till en lättja i tanke och i handling.
Det är lätt att glömma bort men informationssäkerhet handlar i grunden om att .
Har man inte det så har man inte en fungerande informationssäkerhet.
Med detta i bakhuvudet så kan den seriösa informationssäkerhetsarbetaren inte leva efter bekvämlighetsprincipen och hela tiden göra det som känns enklast.
Att enbart identifiera information som råkar finnas i system som man redan känner till är som, för att använda en mycket uttjatad bild, att leta efter den borttappade nyckeln under gatlyktan eftersom det är enklast.
Tyvärr är det så jag uppfattar rätt mycket av de insatser som går under beteckningen ”informationsklassning” som inte leder till kontroll över den information som är viktig för verksamheten utan den som redan finns bekvämt paketerad i en behållare a.k.a ett ”system”.
Ibland när jag får ”verktyg” för informationsklassning som är obegripligt efterfrågade presenterade för mig kan jag inte låta bli att fnissa till och tänka på min bekant som var kommunal it-chef på 1990-talet.
Hen hävdade att det var en underbar tillvaro där hen sågs som en wizzard som på vilken fråga som helst (i princip) från verksamheten kunde hacka ihop ett it-verktyg för att lösa en uppgift.
”Stöd” sågs helt enkelt som synonymt med någon slags programvara.
Tyvärr tycks denna uppfattning leva kvar bland många i informationssäkerhetsbranschen trots att det ofta är de icke-digitala delarna i en aktivitet som är svåra.
I informationsklassning (se nedan) är den stora frågan exempelvis att göra rätt analyser, inte att hålla reda på genomförda klassningar.
Innehåller verktygen dessutom generiska skyddsåtgärder uppstår en annan problematik: vem tar då egentligen ansvar för att det är korrekta skyddsåtgärder i förhållande till risken?
Efter denna salva känner jag mig förpliktigad att ge exempel på alternativ.
Här kommer därför ett förslag på arbetssätt motsvarande informationssäkerhetens kinderägg.
De tre fördelarna med mitt förslag är att man faktiskt arbetar med information – inte system, att man kan bygga upp en likvärdig säkerhet i likartade verksamheter och att kostnader i form av pengar och tid radikalt skulle kunna minskas samtidigt som får ökad kvalitet/säkerhet.
Med avsikt har jag valt en mycket säkerhetskänslig funktion som även är mycket vanligt förekommande: processen för läkemedelshantering i äldreomsorgen.
För att ge en kort bakgrund så ombesörjs äldreomsorgen med de 290 kommunerna som huvudman.
Kommunerna kan bedriva omsorgen själva eller anlita underleverantörer som privata vårdföretag.
Oavsett vilket så är det kommunen som har ansvar som sjukvårdshuvudman och ska därmed säkerställa att omsorgen bedrivs på ett säkert och likvärdigt sätt oavsett utförare.
En central del i omsorgen av äldre är läkemedelshanteringen.
Äldre som inte får rätt läkemedel i rätt dos vid rätt tidpunkt löper en avsevärd hälsorisk, i värsta fall med döden som utgång.
Omsorgen sker dygnet runt av ett antal medarbetare som vid varje givet tillfälle måste ha korrekt och spårbar information tillgänglig.
Samtidigt berör uppgifterna om läkemedel omsorgstagarens hälsotillstånd vilket gör dem till känsliga personuppgifter som måste omges med ett mycket starkt skydd mot obehörig åtkomst.
Utöver detta finns en särskild risk i läkemedelshanteringen, narkotiska preparat och även andra är mycket stöldbegärliga.
Även detta stärker det utpräglade behovet av spårbarhet där varje händelse kan följas och och kopplas till person som i en lång verifikationskedja.
En generisk processbeskrivning på övergripande nivå skulle kunna se ut så här.
Inga konstigheter i det men man kan gå ett fördjupande steg till utan att beskrivningen skulle tappa särskilt mycket i allmängiltighet med däremot fånga upp vilken information som hanteras, se detta utsnitt ur processen: Processen startar med att en av regionens läkare gör en läkemedelsordination vilket dokumenteras i regionens vårdsystem samt i den nationella läkemedelslistan.
Dessa moment ligger utanför processbeskrivningen ovan som startar med att information om ordination överförs till kommunen som en pappersutskrift vilket startar processen.
Den intresserade kan notera följande: Detta är inte på något sätt unikt för den här processen utan gäller för många andra.
Slutsatsen man kan dra är att om man seriöst så räcker det sannerligen inte med att ”klassa” ett enskilt system utan måste få kontroll över hela informationshanteringen.
Inte heller att enbart titta på digital information utan det är just helheten som måste fångas för att rätt åtgärder ska kunna vidtas.
Även för dataskyddet är detta en självklarhet – man kan liksom inte bara skydda personuppgifter i digital form.
I den ovan beskrivna processen finns t.o.m.
bärare som apodos-påsar som måste omhändertas på ett korrekt sätt.
Det kan tyckas ansträngande att inte bara få ägna sig åt färdigpaketerad information prydligt avgränsad i system men här finns istället stora effektivitetsvinster att göra.
Det går att klassa informationsmängden ”ordination” och så vidare så att det går att använda som en i samtliga kommuner oavsett vilka bärare man för tillfället råkar använda.
Dagens rekommendation från myndigheter och SKR är att 290 kommuner med vissa fall flera förvaltningar som bedriver äldreomsorg ska klassa system i varje förvaltning.
Dessutom måste samma manöver upprepas av de privata vårdgivare som anlitas av kommunerna.
Enligt beräkningar fanns 2019 14900 företag som ägnade sig åt vård och omsorg.
Jag har inte riktigt tid att fördjupa mig i exakt hur många av dessa som bedriver äldreomsorg men för saken skull så utgår jag från att det åtminstone finns 500 privata äldreboenden.
Sammantaget kanske det då behöver göras 850 klassningar av olika vårdgivare.
Låt oss höfta och säga att resursåtgången per klassning är minst 100 timmar inklusive förberedelser och dokumentation (detta är extremt lågt räknat med tanke på att det ofta är ett flertal deltagare på klassningarna) för att klassa ett system som stödjer en liten del av ordinationsprocessen.
Lustigt nog kommer det också att bli samma system som klassas gång på gång med varierande resultat.
Kontentan blir alltså bristande kontroll över informationen och bristande likvärdighet mellan olika äldreomsorgsverksamheter till en sammantagen resursåtgång av 85 000 timmar.
Betänk också att detta bara är en av flera processer bara i äldreomsorgen.
Mitt förslag är att man istället slår ihop sina påsar, tar fram gemensamma normerande klassningar skyddsnivåer.
Skyddsnivåerna måste då tas fram i stor öppenhet där det redovisas hur man ser på olika risker och hur de föreslagna skyddsåtgärderna avses reducera dessa.
Koppling till krav i föreskrifter med mera bör även finnas.
Skyddsnivåerna måste även innefatta skydd av andra bärare än system och molntjänster, t.ex.
fysiskt skydd av papper.
En jätteuppgift är att hålla skyddsnivåerna uppdaterade så att de inte ger förlegade rekommendationer.
Då ska vi komma ihåg att detta ändå skulle kräva en bråkdel av de resurser som skulle gå åt om varje vårdgivare skulle genomföra alla moment själv.
Jag kan mycket väl tänka mig att man i många fall även kan ge förslag på arbetsrutiner.
Vad skull då detta kunna innebära i praktiken?
Naturligtvis skulle ansvaret för säkerheten aldrig kunna delegeras men exempelvis en vårdgivare skulle kunna gå i ett bibliotek av olika verksamhetsprocesser, välja ut den aktuella och få fram en bild av generisk process samt en normerande klassning av typen nedan (fast ifylld): Därefter jämför vårdgivaren med sin egen verksamhet hur väl det presenterade materialet stämmer överens.
Gör det det i stora drag, kanske med litet annorlunda benämningar, så skulle vårdgivaren med detta stöd kunna ta sig ner till nivå att kunna köpa rätt skåp att förvara den enskilde vårdtagarens medicin i. Att krav på digitala lösningar ingår är naturligtvis självklart.
Som en bonus kan även krav på bevarande och gallring läggas in.
Det kan kännas som en överväldigande uppgift att ta itu med men minns då att den redan är överväldigande och idag tynger kärnverksamheten på ett orimligt sätt.
Kan vi åtminstone ta fram normerande klassningar för generiska processer i samhällsviktig verksamhet skulle vi ge möjlighet att höja samhällssäkerheten högst väsentligt och dessutom kunna reducera resursåtgången.
Eftersom myndigheterna med särskilt ansvar för informationssäkerhet förefaller skeptiska till den här typen av stöd finns det utrymme för andra aktörer att träda fram.
1910 blev Karlstads lasarett det andra i Sverige som blev s.k.
delat lasarett (efter Falun).
Att ett lasarett blev delat betydde att det fanns både en medicinsk och en kirurgisk verksamhet.
I korthet var detta första steget på den snabba utveckling pådriven av en framgångsrik forskning där ögon, öron, ortopedi, röntgen, BB, barn, gynekologi o.s.v, o.s.v.
, blev egna specialiteter och subspecialiteter i ett allt finmaskigare nät.
Till detta kommer allmänmedicin och annan öppenvårdsverksamhet för att inte glömma psykiatrin i olika former.
Alla dessa med tiden hundratals olika kompetensområden måste organiseras i avdelningar, kliniker, mottagningar m.m.
för att få bästa möjliga vård för patienten till en för samhället rimlig kostnad.
Det räcker dock inte med att organisera vårdens olika verksamhet i förhållande till varandra utan vården måste styckevis och delt även passas in i samhällets generella styrning som i sin tur består av förvaltning respektive den politiska styrningen.
För Sveriges del har det i huvudsak inneburit inpassning i kommun, landsting/region och stat eftersom vården varit offentligt finansierad (även detta i huvudsak) sedan lång tid tillbaka.
Historiskt har vårdverksamheten i delar vandrat mellan huvudmännen.
Att allmänmedicin och psykiatri var ett statligt ansvar fram till 1960-talet och äldrevård en landstingsangelägenhet fram till ÄDEL-reformen då den överfördes till primärkommunerna är bara två exempel.
Vad jag vill säga med denna skamligt korta sammanfattning är att sjukvård är EXTREMT svårt att styra med en fullständigt oöverblickbar komplexitet i tre dimensioner: den interna styrningen av vårdarbetet och förvaltningsstyrningen samt den politiska styrningen.
Fram till 1970-talet var inriktningen för att hantera denna komplexitet bland annat att försöka skapa mer enhetliga huvudmannaskap vilket var en av orsakerna till att exempelvis allmänmedicin och psykiatri överfördes till landstingen från staten.
Denna trend avlöstes av den glada NPM-eran när styrningen av offentlig verksamhet fragmentiserades bland annat för att underlätta för privata alternativ.
Det var då äldreomsorgen och den social omsorgen fördes till den kommunala sektorn vilket bland annat har lett till bollandet av gamla multisjuka mellan två huvudmän – något vi sett de avskräckande konsekvenserna av nu efter covid-19.
Det är ett ganska väl beforskat hur organisatorisk komplexitet leder till det som slarvigt brukar kallas byråkrati men som jag hellre skulle benämna administration som inte är direkt kopplad till kärnverksamhetens uppgifter.
Ju större antal aktörer som ska förmås att röra sig i samma riktning eller åtminstone samspela, desto fler samordnade aktiviteter krävs för att hålla ihop helheten.
Det blir strategier, policies, planer, möten, kontroller och rapporteringar i olika riktningar.
Genom privatiseringen av offentlig verksamhet har dessutom ytterligare behov av upphandlingar, kravställningar, regelverk, beställningar och uppföljningar tillkommit.
Detta skapar kohorter av nya typer av administratörer, alltså inte den gamla typen som skötte budget, bokföring och löneutbetalningar.
Istället har kvalitetsutvecklare, upphandlingsspecialister, digitaliseringsstrateger, e-hälsosamordnare och (visst, jag kackar i eget bo) informationssäkerhetsansvariga tillkommit.
Och så naturligtvis kommunikatörer, kommunikatörer och åter kommunikatörer.
Utan jämförelser i övrigt kommer jag osökt att tänka på den här gamla klassiska bilden där jag föreställer mig vårdpersonalen dignar under hela lasset av administration upp till sjukvårdspolitiker och vårdbolagschefer.
Det är med detta i bakhuvudet jag läser i DN som drar en lans för förstatligande av sjukvården.
För mig framstår det som ett relevant förslag.
1962 gav de flesta landsting ut historiker över sina första hundra år.
Dessa historiker rymmer en fascinerande motsättning mellan beständighet och föränderlighet.
Landstingen hade funnits i respektingivande hundra år men vad ett landsting var och skulle syssla med hade ständigt förändrats under dessa är.
Vad detta lär oss är att hur samhällets basala funktioner ska organiseras ständigt måste omprövas för att institutionerna ska vara ändamålsenliga och anpassade till rådande behov.
Historiskt har detta skett kontinuerligt som jag snabbskissat ovan och det finns ingen anledning att tro att just den organisation av sjukvården har idag är den enda möjliga oavsett vad som händer i samhället i övrigt.
Själv hyser jag inte någon ohejdad tilltro till att ett förstatligande av sjukvården skulle lösa alla eller ens merparten av problem som vården har att leva med men i all enkelhet skulle åtminstone ett lager i pyramiden försvinna.
Förhoppningsvis skulle grundläggande mål som likvärdig vård vara enklare att uppnå.
En annan effekt är att den samordnade byråkratin internt mellan de idag 21 regioner skulle kunna plockas bort (även om den säkert delvis skulle komma tillbaka i en annan form).
Att inte bara DN utan även andra med viss energi börjar ifrågasätta regionernas roll väcker oro i regionsleden, inte minst hos särintressets främsta företrädare SKR vars ordförande Anders Knape som skrev ett kanske aningen sentimentalt på DN:s ledare.
Han, liksom regionala företrädare, lobbar ivrigt för att regionernas USP är den politiska styrningen av regionerna som hypotetiskt skulle göra sjukvården regionalt anpassad och därmed ”bättre”.
Med viss bombasm skriver Knape: den lokala och regionala nivåns omkring 40.000 förtroendevalda utifrån kunskap om invånarna lokalt och regionalt.
Deras kraft är oslagbar.
För den som något fördjupat sig i landstingens/regionernas historia väcker denna beskrivning antagligen skuggan av ett leende.
Inga sjukvårdsstrider har varit så infekterade som de enskilda landsting där sedan åtminstone 1920-talet omfattande manifestationer skett för att sjukstugor skulle placeras i ”rätt” samhälle eller rörande nedläggningar av sjukhus.
Knapes uttalande pekar snarare på en klassisk problemställning inom svensk sjukvård: den potentiella motsättningen mellan regional särart å ena sidan och likvärdighet nationellt å andra.
För mig framstår denna argumentationslinje också som alltmer paradoxal då SKR själva så intensivt försöker samla nationell styrning hos sig själva.
Som jag tidigare skrivit om har alltfler frågor börjat samordnas via SKR och därmed flyttats från den regionala nivån till en nationell.
Om SKR starkaste argument mot ett förstatligande är det demokratiska värde som finns i den regionala politiska styrningen verkar det ju vara att såga av sin egen viktigaste sittgren om makten förs från dessa demokratiska församlingar in i det mörker som föreningen SKR utgör.
Själv skulle jag alla dagar i veckan föredra en normal svensk myndighet framför SKR som nationellt samordnande.
Ibland dristar jag mig till och med till att tycka att det kanske är en demokratisk fördel om sjukvården lyfts bort från bypolitiken.
Knape har förstås en poäng när han lyfter fram mindre lyckade statliga experiment och då även inom digitaliseringsområdet.
Tyvärr måste jag dock säga att det är en boll som är svår att inte smasha tillbaka för den som strävar mot förstatligande av sjukvården.
INGEN fråga har engagerat SKR så mycket som digitalisering som lösning på all och jag misstänker att man har en gemensam morgonbön i SKR-palatset som går ungefär så här: Digitalisering, låt ditt namn bli helgat Låt ditt rike komma.
Ge oss i dag vårt dagliga bröd .
Och glöm våra misslyckade projekt, så som vi glömmer dem själva.
Och för oss inte in i verkligheten, utan fräls oss från ansvar.
Förlåt, det är semester… Min poäng är att trots den närmast religiösa inställning som SKR har till digitalisering i teorin så ser i praktiken digitaliseringen av den svenska sjukvården som ett härke trots de enorma resurser som tillförts.
Jag sitter mycket tungt på mina händer för att inte skriva något om den totala frånvaron av samordning av informationssäkerhet och det provocerande ointresset för integritetsfrågor där SKR knappast agerat som insiktsfull vägledare för sina medlemmar.
Om verkligheten ska användas som betygssättare för regionernas och SKR:s förmåga att skapa en nationellt sammanhållande och långsiktigt fungerande vård så ser det rätt illa ut för Knapes linje.
För att komma vidare vore det önskvärt med en hederlig gammaldags utredning som inte helt styrdes av särintressen inom vården.
Personligen lutar jag svagt åt att behovet av nationell samordning av sjukvården bäst hanteras genom ett förstatligande åtminstone av delar av vården.
Det kommer visserligen att skapa nya gränslinjer – hur ska exempelvis äldreomsorgen hanteras med större medicinsk kompetens – men jag tror verkligen det är dags att ompröva dagens situation.
Jag kommer nu att ikläda mig rollen av glädjedödare i dessa ändå så svåra tider – jag ber om ursäkt för det.
Under de senaste veckorna i coronans tid så blommar olika personligheter och mänskliga beteenden för att hantera kriser ut.
I denna vilda blandning av känslor och rationalitet är det inte lätt att urskilja vad som är vad.
Jag tänker nu oftare än vanligt på hur viktigt individens men också organisationens sätt att agera varit i de mer kritiska situationer jag varit inblandad i och vem jag skulle vilja ha vid min sida i en verkligt akut situation.
Att inte låta känslorna styra i en krissituation kan nog alla hålla med om i teorin.
Vi vet att stress försämrar vår tankeförmåga och att det därför i krissituationer är lätt att tillgripa helt fel lösningar eller missa uppenbara svagheter i handlingsalternativen.
Likaså är historien rik på exempel där boten varit värre än soten, d.v.s.
att de åtgärder man vidtagit för att hantera ett akut problem på kort eller lång sikt lett till värre konsekvenser än det ursprungliga problemet kunnat orsaka.
En illustration på detta är agapaddan som trettiotalet importerades till Australien från Hawaii som ett slags biologiskt bekämpningsmedel av en skalbagge som hotade sockerbetsodlingar.
Nu finns det över 100 miljoner av den giftiga paddan som hotar djur- och växtlivet på hela kontinenten.
Detta försvåras av att de sekundära problemen kanske uppstår inom ett helt annat område än där den ursprungliga krisen rör sig.
De som arbetar med krishanteringen kan därmed inte överblicka de möjliga sekundära konsekvenserna eftersom man kanske inte ens har rätt kompetens för att upptäcka dem.
Jag ska inte här gå in på det utslitna filosofiska järnvägsproblemet där olika liv ställs mot varandra utan nöjer mig med att säga att ALLA mår bra av att läsa filosofi och dessutom tänka några extra varv.
När vi blir utsatta för en pressande situation får många individer och organisationer ett starkt behov av att agera.
Att agera är ångestdämpande i sig för det ger känslan av att påverka hotet oavsett effekten av åtgärderna.
Just här menar jag att det just nu finns ett riskabel situation när både individer och myndigheter i positiv anda försöker bekämpa coronan eftersom man i vissa fall tycks släppa sitt ordinarie säkerhetstänkande (vilket väl i ärlighetens namn inte är på toppnivå ens i normalläget).
Samma sak med integritet och skyddet av personuppgifter.
De nya och provisoriska arbetssätten leder till nya risker som måste fångas upp och reduceras.
Anekdoter om hur man helt plötsligt fått oväntat besök i sitt Teams- eller Zoom-möte florerar utan att det observeras som ett säkerhetsproblem.
Okritiska reportage om hur kreativa elever fått skolor att börja använda (!)
i skolans uppgifter.
Entreprenörer som flashar om att de håller på att utveckla appar för smittspårning.
Säkerhet och integritet nämns ytterst sällan och då bara i formuleringar som ”liv går före allt” vilket implicit tycks betyda ”vi struntar i informationssäkerhet och integritet”.
Extra betänksam blir jag av att många tycks inspirerade av Kinas övervakningsmetoder och i denna uppskruvade anda inte tycks se vad de kostar.
När det i fredags kom ett kort meddelande på Ekot att MSB håller på att ta fram någon form av app för smittspårning åt FHM men inte vill kommentera hur den ska utformas undrar jag hur genomtänkt den lösningen egentligen är (särskilt ironiskt med tanke på att MSB varit en bastion spårbarhet som säkerhetsdimension).
Eller är detta myndigheter som drabbats av ett akut behov av att se verksamma ut och därför är beredda att hoppa över säkerhetsskacklarna?
Det är svårt att se hur en sådan lösning skulle kunna tas fram med tillräcklig legal och säkerhetsmässig analys på så kort tid.
När jag pratar om vikten av säkerhet avser jag inte enbart konfidentialitet.
Om man ska skapa olika rapporteringstjänster måste även behovet av riktighet, spårbarhet och tillgänglighet bedömas – annars riskerar man faktiskt att få lösningar där boten är värre än soten.
En lösning för akut rapportering som bygger på sms (förekommer faktiskt) leder till falsk trygghet och att nödvändiga åtgärder kanske inte sätts in för att ta ett enkelt exempel.
Det är just i krissituationer som det systematiskat prövas.
Det är nu som informationsklassningar och riskanalyser har som störst betydelse för att medvetna risker ska kunna tas av den som är riskägare.
Jag vill inte att all kreativitet och god vilja ska kväsas men vi måste arbeta på ett sätt som inte leder till större skador på sikt.
Även om det är kontraintuitivt så måste medvetna bedömningar göras av risker och lagstiftning respekteras.
Appar som används för rapportering av symptom för diagnos är exempelvis medicinsk-teknisk utrustning och måste uppfylla kraven på sådan.
Vi kan inte ge oss hän åt våra känslor utan måste låta systematiken ge oss tillgång till rationaliteten.
Extra illa om en myndighet som MSB signalerar att säkerhet skulle vara av underordnad betydelse i krislägen.
Det är nu vi som mest behöver vårt förnuft och då är det inte alltid bäst att göra ”något” utan vi måste göra så rätt som möjligt.
Jag ska nu kort återkomma med en uppdatering gällande SKR och överföring av känslig information till denna intresseförening, för bakgrund se .
För att sammanfatta frågan så har SKR växt som en gökunge i den svenska förvaltningen och fått/tagit allt fler myndighetsliknande uppgifter trots att man, som SKR själva ivrigt hävdar, inte är en myndighet utan en arbetsgivare- och intresseförening.
Därav följer att SKR inte har det ansvar och den insyn som en myndighet och vi som medborgare egentligen saknar möjlighet att kontrollera och utkräva ansvar av föreningen.
SKR ligger helt enkelt utanför den styrning som den svenska förvaltningen bygger på och det är svårt att ens se vilken lagstiftning som är tillämplig.
Detta förhindrar den kritiska granskning som offentlighetsprincipen möjliggör för myndigheter även om SKR ibland försöker vilseleda genom att hävda att de handlingar som hanteras inom föreningen blir offentliga när de inkommer till medlemmarna.
Häromdagen fick jag detta l mig tillsänt där Marie Morell (m), ordförande för sjukvårdsdelegationen på SKR, hävdar just detta i en fråga som har en ekonomisk betydelse för enskilda: – Vi har kontaktat dem och skickat ut material till dem vid ett flertal tillfällen.
Det är viktigt att de skapar någon form av branschråd så att vi har en motpart att arbeta med.
Vi är en ideell förening och som sådan lyder vi inte under offentlighetsprincipen.
Men handlingarna blir offentliga så fort de inkommer till respektive region eller kommun, säger Marie Morell.
Det finns alltså ingen insyn i själva processen och som jag tidigare visat är det högst tveksamt vilka av SKR:s många ”interna” dokument som verkligen ses som inkomna till medlemmarna.
Att inte ens handlingar i beredande organ hos SKR blir allmänna handlingar hos de regioner/kommuner som har representanter i dessa organ är för mig tämligen hårresande och jag försöker förstå vem en sådan representant tror sig vara.
En privatperson som blivit invald i hembygdsföreningens styrelse (inget ont om hembygdsföreningar)?
Nu när offentlighetsprincipen är hotad från olika håll känns det extra angeläget att slå vakt av denna för Sverige (och Finland) unika medborgerliga rättighet.
I mitt framförde jag dock att det är likaledes viktigt att se vilka risker det innebär att kommunicera känslig information med en aktör där OSL inte kan tillämpas.
Grunden för att kunna skydda känslig information när den utbyts med utomstående parter är att reglera hur informationen får hanteras.
När det gäller utbyte mellan myndigheter finns denna reglering i huvudsak redan på plats genom lagstiftningen (även om jag tycker att det ofta finns anledning att förtydliga relationen myndigheter emellan).
Här intresserar jag mig inte för säkerhetsskyddsområdet utan framför allt den lagstiftning som gäller normala verksamhetsförhållande men där mycket starkt krav på konfidentialitet finns t.ex.
gällande samhällsviktig verksamhet.
Notera att det där även finns annan lagstiftning som är ytterst relevant som exempelvis Krisberedskapsförordningen.
Denna reglering saknas då information ska utbytas med privata aktörer som företag och, som i det aktuella fallet, föreningar.
Då måste menar jag ett avtal slutas som beskriver villkoren för att informationen ska kunna lämnas ut, åtgärder som ska vidtas och ansvarsförhållanden.
För att reducera att konfidentiell information kommer i orätta händer bör man även minimera informationen som utlämnas till det absolut nödvändiga samt ålägga motparten att säkerställa att endast de som verkligen behöver informationen kan ta del av den.
Enligt mitt resonemang är det alltså en självklarhet att myndigheter måste använda sekretessavtal eller motsvarande när de tänker utbyta information med företag och föreningar.
Därför frågade jag två myndigheter som på olika sätt har ett ansvar för samhällsviktig verksamhet om de slutit sekretessavtal med SKR.
Först gick frågan till MSB som ju har ett mycket omfattande ansvar i dessa frågor: Hej!
MSB har ett omfattande samarbete med SKR i olika frågor.
Vissa av dessa frågor kan vara av känslig karaktär som kommuner/regionens insatser i det civila försvaret, samhällsviktig verksamhet, informations- och cybersäkerhet osv.
I dessa frågor utbyts rimligen känslig information.
SKR är en intresseförening som inte omfattas av OSL på samma sätt som en kommun/region, ett kommunalförbund eller ett kommunalt bolag.
Jag är därför intresserad av att ta del av det samarbetsavtal med vidhängande sekretessregler eller motsvarande som utgör reglering av dessa frågor i relationen mellan SKR och MSB.
Efter tämligen lång tid och en påstötning fick jag följande svar: Jag måste först beklaga att du fått vänta på ett besked men på grund av olyckliga omständigheter har beskedet fördröjts.
Genom en sökning i vårt diarium har vi hittat två avtal med SKR: Du har rätt att begära ett skriftligt beslut som går att överklaga.
Skriv till .
För ögonblicket är jag inte så intresserad av det civila försvaret som ju knappt kommit igång så därför gick jag in på .
Det är upp till varje läsare att ta ställning men jag kan inte se att detta dokument på något sätt reglerar sekretessen i förhållande till SKR.
Detta kan synas extra anmärkningsvärt i dessa coronaapokalysens tidevarv när Socialstyrelsen sekretessbelägger information för media om vårdens p medan intresseföreningen SKR sitter med på MSB:s samordningskonferens i samma fråga.
Visserligen togs sannolikt inga känsliga frågor upp då SKR var med men det visar den vinglighet som finns då det gäller just SKR .
Jag ställde samma fråga till eHälsomyndigheten som tillsammans med bland annat SKR arbetar med den nya in (återkommer inom kort angående detta alster) och där man får gissa att det för en del diskussioner om kritiskt infrastruktur osv.
Från denna myndighet fick jag bara ett kort nej på frågan.
Detta är förstås bara två stickprov men ändå från myndigheter som är vana att hantera sekretess.
Det kan tyckas litet märkligt efter allt som hänt med Transportstyrelsen och andra incidenter där information överförts på oklara grunder.
Mitt intryck (bekräftat av ett antal tjänstepersoner på andra myndigheter) är att myndigheterna helt enkelt inte tänker på att SKR inte är en myndighet utan utgår från att föreningen är som vilken deltagare som helst i myndighetssamarbetena.
Inte heller kommuner och regioner verkar reflektera särskilt över detta utan överför utan förbehåll känslig information till det de i vissa fall verkar se som en ”överordnad” aktör.
Detta även då det gäller informationssäkerhet.
Nyligen skickades ett mail ut från SKR: Klassa 4.0 har varit efterfrågat länge och nu finns finansiering för ett projekt som inleds i nästa vecka.
Det blir flera förändringar i den nya versionen, bland annat förbättringar av befintlig funktionalitet, bland annat uppdateringar av kravkataloger som genererar uppgifter till handlingsplanen och en nödvändig översyn av upphandlingskraven.
Dessutom blir det en hel del ny funktionalitet, t.ex.
: – En ny modul för att mäta organisationens mognad, – Möjlighet till uppföljning och att ta ut nyckelvärden för organisationen och anpassat till målgrupp, – Möjlighet för SKR att ta ut nationell uppföljning på aggregerad nivå, – Stöd för CISO i det systematiska arbetet och – Modul för riskanalys.
Dessutom kommer SKR att förstärka sin organisation för att kunna avsätta mer resurser till förvaltning av Klassa.
Det kommer att öppnas en möjlighet för statliga myndigheter att använda Klassa.
Verktyget kommer dock fortsatt att ägas av SKR med kommuner och regioner som primär målgrupp.
Detta menar jag är ett projekt som bör utsättas för en mycket grundlig riskanalys!
Dessutom kan det verkligen ifrågasättas varför denna nationellt intressanta information ska ägas av en förening utan insyn och där det inte heller går att bedöma säkerhetsriskerna.
Det är dags för en mer omfattande diskussion om SKR:s roll.
Myndigheterna bör också ha en konsekvent linje i förhållande till ”förvaltningsskvadern” – antingen är man en myndighet med det fulla ansvar som en sådan har eller så få man återgå till att vara en arbetsgivarorganisation en arbetsgivarorganisation som i huvudsak ägnar sig åt sina medlemmars avtalsfrågor.
Sekretessavtal bör i dagsläget vara ett minimikrav för alla myndigheter, inklusive kommuner och regioner, som utbyter känslig information med SKR på samma sätt som man reglerar relationen med vilken privat aktör som helst.
Efter att till största delen fåfängligt tröskat runt om SKL/SKR:s (hädanefter benämner jag organisationen SKR trots att den hetat SKL) hittar jag plötsligt en från Riksrevisionen som tar upp EXAKT samma saker som jag skrivit om!
Hur har jag kunnat missa det – det var ju inte längre än sedan 2017 den skrevs?
Jag rekommenderar alla intresserade av offentlig styrning att läsa rapporten eftersom här summeras en rad väsentliga frågor.
Rapporten handlar framför allt om hälso- och sjukvård men kan även läsas som en mer generell beskrivning av hur SKR fungerar.
Som jag i tidigare inlägg försökt återge har styrningen inom den offentligt finansierade sjukvården helt förskjutits i och med att Socialstyrelsen slagits i bitar.
Den svenska förvaltningen bygger på att det finns beredande myndigheter som fungerar som ett mellanled mellan olika intressenter och regeringen.
I detta fall har denna mekanism upphört att verka och SKR har istället kunnat förhandla direkt med regeringen och i vissa fall t.o.m.
haft en dubbelroll där man kunnat ge sig själv uppdrag.
I huvudsak har det handlat om att förmedla statsbidrag som (rapportens beteckning) vilket paradoxalt gett SKR en roll de facto överordnad sina medlemmar.
Just detta har ibland framskymtat i samtal med representanter för vården, att gäller att hålla sig väl med SKR eftersom det i annat fall kan påverka den ekonomiska fördelningen.
Sant eller inte, denna roll har inte enbart varit till godo för SKR, särskilt som det inte är små summor man har fått både för att fördela till sjukvårdshuvudmännen och till sin egen organisation.
SKR:s mycket stärkta roll har flera orsaker men en viktig sådan är just de otraditionella styrmedel som regeringen under ett drygt decennium (över-?)
använt särskilt i vården där regeringen velat höja ambitionsnivån men varit delvis förhindrad att styra genom det kommunala självstyret.
Lösningen har varit olika typer av riktade bidrag och överenskommelser som SKR fått i uppdrag att förmedla: Överenskommelserna har inte ingåtts med enskilda landsting utan med SKL för samtliga landsting.
Det har praktiska orsaker.
Det var enligt dåvarande socialministern helt enkelt enklare att teckna överenskommelser med SKL än med 21 — Inom ramen för utvecklingsarbetet framkom också en del kritiska synpunkter från enskilda tjänstemän när det gäller SKL:s roll i överenskommelserna.
Ett exempel är att några tjänstemän ställde sig frågande till SKL:s kapacitet att hantera långsiktighet och mer förvaltande uppgifter i samband med överenskommelserna.
Flera pekade på att SKL i sin roll har att hantera konflikten i att vara en del i en statlig satsning och samtidigt värna medlemmarnas intressen.
Några enskilda tjänstemän tyckte att överenskommelser kan ses som ett slags symptom på att myndigheterna inte fungerar bra; att regeringen i brist på välfungerande myndigheter väljer att vända sig till SKL.
Detta har skapat det SKR som vi känner idag: Regeringen har använt sig av otraditionell styrning som i stor utsträckning involverat SKL, vilket gjort SKL till en central aktör i styrningen.
Riksrevisionens bedömning är att detta skett utan att regeringen aktivt tagit ställning till vilken roll SKL ska ha i styrningen av vården.
Att SKL fått stort inflytande kan snarare ses som ett resultat av att regeringen allt oftare valt att ingå överenskommelser som vid varje enskilt tillfälle gett SKL lite mer att säga till om.
Att SKL påverkar villkoren för kommuner och landsting är naturligt.
(min kursivering) Givet de begränsningar som finns för regeringen att direkt styra vården är det begripligt att regeringen valt att använda sig av SKL.
Mycket talar för att regeringen helt enkelt ansåg att det inte var möjligt att få samma effekt med hjälp av de statliga myndigheterna på vårdområdet.
I praktiken har det emellertid inneburit att regeringen har gett SKL en myndighetsliknande roll.
Riksrevisionen kan konstatera att det saknas normativa principer för när, och i så fall hur, regeringen kan använda icke-offentliga aktörer för att genomföra sin politik.
Det finns fördelar men också nackdelar med att använda SKL i styrningen av vården.
SKL har naturligt närmare till landstingens verksamhet och kan därmed fungera som en viktig länk mellan staten och landstingen.
Det har också framkommit att det ur regeringens perspektiv kan upplevas som en snabb och flexibel väg för att nå ut till vårdens huvudmän.
(min kursivering) Riksrevisionen noterar även att SKR fått uppdrag gällande kunskapsstyrning vilket bland annat handlar om att ta fram kunskapsunderlag på ungefär samma sätt som Socialstyrelsen: I och med att regeringen har involverat SKL i styrningen av vården har det uppstått något som kan liknas vid en konkurrenssituation mellan den centrala förvaltningsmyndigheten och huvudmännens medlemsorganisation.
Båda organisationerna arbetar med kunskapsstöd till kommuner och landsting.
Vidare arbetar både SKL och Socialstyrelsen med att ta fram kunskap om hur vården fungerar.
Socialstyrelsen arbetar alltid på uppdrag av regeringen, och SKL på uppdrag av medlemmarna.
Inom ramen för överenskommelserna agerar SKL även som genomförare av regeringens politik.
Det är svårt att dra gränsen för vad som är SKL:s respektive Socialstyrelsens roll eftersom uppgifterna överlappar varandra.
Vidare har det framkommit i våra intervjuer, även med SKL, att det är vanligt att SKL uppfattas som en myndighet.
Ett sådant kunskapsunderlag som tas upp är väntetidsdatabasen som infördes i samband med vårdgarantin: Som en följd av vårdgarantin infördes en skyldighet för landstingen att lämna uppgifter om väntetider till en nationell databas.
Regeringen har i författningar reglerat att landstingen ska lämna uppgifterna ”till den nationella väntetidsdatabas som förs av Sveriges kommuner och landsting”.
Databasen förvaltas av SKL men har finansierats av staten.
Detta udda arrangemang lyfts fram av Riksrevisionen eftersom de bara kunnat hitta ett annat liknande fall: Att databasen hanteras av en intresseorganisation är en ovanlig lösning.
Riksrevisionen har endast funnit ett delvis liknande exempel inom svensk förvaltning: ett jaktregister som tidigare fördes av Svenska Jägarförbundet, och som nu hanteras av Naturvårdsverket.
I fallet med väntetidsdatabasen tillkommer även komplikationen att staten är beställare av vård av SKR:s medlemmar – att då leverantörernas intresseorganisation kontrollerar möjligheten för beställaren att bedöma i vilken grad ”beställningen” uppförts.
(min kursivering) Att regeringen inte tagit ställning i ägarskapsfrågan innebär i praktiken att det som tagits fram på SKL stannar på SKL.
Det är Riksrevisionens uppfattning att regeringen behöver utvärdera samarbetet med SKL för att på ett principiellt plan ta ställning till formerna för samverkan.
Regeringen har en ambition att minska detaljstyrningen på vårdområdet, men utvecklingen går långsamt.
Regeringen har uttryckt att antalet överenskommelser ska minska.
Trots detta har antalet överenskommelser på vårdområdet inte förändrats, och den ordning som har uppstått där SKL har en mycket central roll i regeringens styrning av vården tycks vara svår för regeringen att ta sig ur.
Om det nära samarbetet med SKL, i form av t.ex.
överenskommelser, ska fortsätta behöver regeringen säkra tillgången till det som tas fram med statliga medel.
Det kan t.ex.
handla om att reglera insyn och förvaltning under och efter en satsning. . (min kursivering) Den omfattande styrningen genom SKL har också lett till att rollfördelningen mellan SKL och Socialstyrelsen uppfattas som otydlig.
(min kursivering) SKR har alltså suttit på dubbla stolar: dels företrätt sina medlemmars intresse, dels agerat som statens förlängda arm och att det dessutom är svårt att avgöra på vems initiativ olika aktiviteter genomförs: Det har framkommit i flera intervjuer att SKL har stor initiativmakt när det gäller statens styrning av vården.
Enligt såväl Socialstyrelsens före detta som den nuvarande generaldirektören har regeringen ett nära samarbete med SKL: ”Regeringen beslutar, men [SKL] har stor möjlighet att föreslå.
Detta bidrar också till finansiering från staten i många fall.” I intervjuer med både SKL och dåvarande socialministern har det framkommit att överenskommelser ibland uppstått på initiativ från SKL och ibland från regeringen.
SKL är involverade både i att generera ämnen för överenskommelser och innehåll, t.ex.
Men SKR har inte bara fått maktmedlet att fördela avsevärda resurser, man har även fått pengar från staten direkt till den egna organisationen.
Totalt för perioden 2009−2016 har staten utbetalt 1 078 miljoner kronor till SKL centralt för hälso- och sjukvård.
finansierat utvecklingsarbete, nationell samordning och uppföljning av landstingens arbete.131 SKL har därmed kunnat bygga upp betydande kompetens och förvaltning med hjälp av de statliga medlen.
Enligt Socialdepartementet kan SKL:s arbete konkret handla om it-stöd, metod- och implementeringsstöd, kommunikationsinsatser, resurser för samordning centralt, regionalt och lokalt etc.
Eftersom Riksrevisionen påpekar att det varit svårt att få en samlad bild av hur staten finansierar SKR:s interna verksamhet har jag inte ens gjort något försök att se vad som hänt efter 2016 men en rimlig gissning är väl att kostnaderna för staten inte på något remarkabelt sätt minskat.
Utöver detta tillkommer de medel som medlemsorganisationerna tillför.
Sammantaget kan det tyckas som SKR lever ganska gott vilket väl faktumet att man har anställda och ett kontor i Bryssel i sin kansliorganisation.
Litet spydigt så skulle man kunna tycka att SKR skulle använda sin universalmedicin ”effektivisering genom digitalisering” på sin egen organisation – kanske skulle en AI-lösning kunna framställa peppiga digitaliseringskampanjer utan mänsklig handpåläggning?
Riksrevisionen jämför i sin rapport de statliga anslagen gällande vårdområdet (för SKR tillkommer ju även andra statliga medel eftersom man inte enbart hanterar vård) och det visar ganska tydligt att SKR får ett rejält tillskott även jämfört med myndigheterna.
Relationen mellan framförallt Socialstyrelsen och SKR är komplicerad på flera sätt: I samtliga intervjuer med chefer och medarbetare på Socialstyrelsen har det framkommit att man betraktar SKL som en stark aktör.
I flera intervjuer har chefer och utredare på Socialstyrelsen beskrivit att de upplever att myndigheten urholkats eller ”hamnat i bakvattnet” i jämförelse med SKL.
Företrädare för SKL har i våra intervjuer varit noga med att betona att deras roll är att ta till vara medlemmarnas intressen och att SKL inte kan bestämma över landstingen.
Samtidigt har chefer på SKL gett uttryck för att organisationen kan och bör vara något mer än en intresseorganisation: ”Utan att vara en formell myndighet kan vi i vissa stycken ha en funktion som stödjer och utvecklar t.ex.
kunskapsstyrning genom vårt arbete.”När det gäller statens roll har företrädare för SKL uttryckt en uppfattning om att staten inte ska vara inne i det verksamhetsnära och att statens uppgift är att göra det som ”ingen annan kan”.
En sammanfattande bedömning från Riksrevisionen är: Riksrevisionens bedömning är att regeringen har låtit samarbetet med SKL − och därmed SKL:s inflytande över styrningen av vården – växa i alltför stor omfattning.
Riksrevisionen noterar att medlen till SKL ökar.
Enligt Riksrevisionens mening vore det rimligt att riksdagen informerades om omfattningen och utvecklingen av medlen till SKL.
Anledningen är att de medel som tilldelats SKL centralt är i nivå med förvaltningsanslagen på vårdområdet som riksdagen beslutar om samtidigt som SKL är en intresseorganisation.
Det är Riksrevisionens uppfattning att regeringen behöver utvärdera samarbetet med SKL för att på ett principiellt plan ta ställning till formerna för samverkan.
Detta var skrivet 2017 och tyvärr har regeringen hittills inte, vad jag kan se, följt Riksrevisionen när man säger att regeringen behöver bland annat utvärdera samarbetet med SKR och reglera insyn, förvaltning och ägande när SKR används.
Det otydliga samarbetet mellan staten och SKR är inte isolerat till vårdområdet.
De negativa konsekvenserna av att använda en intresseorganisation för myndighetsuppdrag gäller inte heller bara bortfall av offentlighetsprincipen, bristande möjlighet till ansvarsutkrävande, snurrig styrning och oklar uppföljning av hur ekonomiska medel fördelas och används.
Många andra myndigheter samarbetar med SKR och jag har blivit nyfiken på hur man reglerar säkerheten i informationsutbytet eftersom t.ex.
inte OSL gäller för en intresseförening.
I min värld borde det slutas samma typ av avtal med en förening som med ett kommersiellt bolag innan känslig information kan utbytas.
Även mellan myndigheter kan överenskommelser behövas slutas men den stora skillnaden är att alla myndigheter måste följa sekretessreglerna i OSL även om inte avtal sluts.
Av ren bekvämlighet valde jag MSB, en myndighet som jag ju vet hanterar känslig information, och skickade för drygt två veckor sedan en fråga: Hej!
MSB har ett omfattande samarbete med SKR i olika frågor.
Vissa av dessa frågor kan vara av känslig karaktär som kommuner/regionens insatser i det civila försvaret, samhällsviktig verksamhet, informations- och cybersäkerhet osv.
I dessa frågor utbyts rimligen känslig information.
SKR är en intresseförening som inte omfattas av OSL på samma sätt som en kommun/region, ett kommunalförbund eller ett kommunalt bolag.
Jag är därför intresserad av att ta del av det samarbetsavtal med vidhängande sekretessregler eller motsvarande som utgör reglering av dessa frågor i relationen mellan SKR och MSB.
Hittills har jag trots en vänlig påminnelse inte fått något svar.
Personligen tycker jag inte denna märkliga hybridform av offentlig aktör som växt fram hör hemma i svensk förvaltning där offentlig verksamhet och offentliga medel flyttas över till en oreglerad och ogenomtränglig sfär.
Jag har svårt att tro att SKR självmant kommer att vilja lämna denna softa tillvaro som skapats.
Det är därför hög tid att regeringen följer Riksrevisionens råd och utvärderar sitt samröre med SKR.
För den som vill läsa regeringens något svala reaktion på Riksrevisionens granskningsrapport finns en länk Ett obligatoriskt men till intet förpliktigande uttryck sedan länge är ”transparens”, ibland så flitigt använt att man riskerar att glömma bort hur viktigt det faktiskt är med öppenhet.
Öppenheten är central för samhällsklimatet och delaktigheten men också för att kunna tillvarata den samlade kompetensen.
I Sverige har vi varit gynnade av den unika institution som offentlighetsprincipen utgjort sedan 1700-talet och som visserligen på många sätt hotas men som fortfarande är ett omhuldat ideal.
Att få insyn i och i förlängningen möjlighet att påverka de stora samhällsfrågorna är det stora värdet med öppenhet för de offentliga verksamheter där offentlighetsprincipen ska tillämpas.
Öppenhet är av samma skäl obekvämt för makthavare, det är liksom bekvämare om man får arbeta ostört och göra som man vill.
Misstag behöver heller inte upptäckas och att slippa stå till svars för det ena och det andra är naturligtvis behagligt.
Sjukvård rankas som den viktigaste frågan av väljarna.
I Sverige är sjukvården offentligt finansierad.
Dessa två premisser sammantaget ger att ett stort mått av öppenhet i hanteringen av sjukvårdsfrågor borde vara en självklarhet.
Tyvärr är inte så fallet när det gäller e-hälsa.
Även för en som tämligen noggrant följt utvecklingen inom området i 25 år är det mycket svårt att få en överblick ens över hur området styrs.
Då menar jag i form institutioner och presenterade inriktningar som rör sig på en konkret nivå.
Under de senaste tio åren har jag sett en rörelse där allt större inflyttande över e-hälsan flyttats över från staten och regionerna till SKL.
Jag har tidigare skrivit om Inera som ändå fattat beslut om att följa offentlighetsprincipen trots att man inte är skyldig att göra det.
Värre är det med SKL som är en arbetsgivarorganisation för regioner och kommuner.
Trots den litet udda konstruktionen att man som intresseorganisation tillskjuts mycket stora offentliga medel från staten och man styrs av folkvalda politiker så har inte kravet på öppenhet följt med.
Bristen på insyn blir mycket påtaglig när man ser på den för digitalisering som tillsattes efter valet och består av politiker från regioner och kommuner.
Det är alltså ett indirekt valt politiskt organ.
Uppdraget är stort och spännande för den som är intresserad av e-hälsa: Beredningen hanterar strategiska frågor om grundläggande gemensamma förutsätt­ning­ar för digital utveckling, exempelvis fråge­ställ­ningar kopplat till effektivisering genom digitalisering, automation och artificiell intelligens (AI), inno­vations- och förändringsledning, data som strategisk resurs, säker informations­hante­ring och nationell digital infrastruktur.
Vidare ska beredningen hantera rättsliga för­utsättningar för en digital samverkande förvaltning.
I uppdraget ingår också att följa SKL-koncernens samverkan för att gemensamt stötta med­lem­marna i deras verk­sam­hetsutveckling med stöd av digitalisering.
Inte minst blir man ju sugen på att läsa mer om hur beredningen ska hantera de rättsliga förutsättningar efter SKL kanske inte helt klargörande angående molntjänster häromveckan där man inte ens nämner eSams rättsliga uttalande där man avråder från att använda molntjänster.
Detta trots att SKL själva uppger följande i sin rapport: Undersökningen från Radar visar att cirka 50 procent av kommunerna använder Microsoft Office 365 (MS O365) och att 100 procent av de större kommunerna använder denna tjänst.
Hur som helst blev jag intresserad av att ta del av beredningen för digitalisering har för arbete på gång, vilka frågor man ventilerade och vilka insatser som planerades.
Detta visade sig vara en stängd dörr för när jag skickade dessa frågor till SKL:s presstjänst (de har ju inget diarium): Jag skulle vilja veta: – vilka handlingar som finns relaterade till Beredningen för digitalisering – vilka av dessa handlingar som jag kan få ta del av fick jag följande, kanske väntade svar: Tack för att du kontaktar oss.
SKL är en intresse- och arbetsgivarorganisation och omfattas inte av skyldigheten att lämna ut allmänna handlingar enligt offentlighetsprincipen.
Vi kan därmed inte hjälpa dig med din förfrågan.
Du kan läsa mer om SKL och vår organisation på .
Jag gjorde ett par försökt med kommuner och regioner, varav ett par med representanter i beredningen, om de fått in några handlingar men helt utan resultat.
Ofrivilligt parafraserar jag Tom Waits gamla låt i huvudet och får en öronmask: what are they building in there?
Men det är inte bara att man faktiskt inte lämnar ut handlingar som är utestängande.
När jag läser programmet till den med underrubriken En dag.
Oändliga möjligheter.
känner jag en lätt yrsel.
Där kommer de usual suspects att prata om ungefär samma saker som vanligt på de otaliga konferenser som går av stapeln (även om jag känner ett visst intresse för den handlingsplan för 2020-2022 som ska diskuteras) medan många av oss andra känner en mycket stor oro för de många alarmerande händelser som tydligt visar att kostnaderna skenar för för e-hälsan och att nya mycket allvarliga säkerhetsbrister hela tiden avslöjas.
Nu senast var det av ett nytt vårdinformationssystem där det avslöjas att det finns stora risker för både patientsäkerhet och integritet: I rapporten pekas på att rutinerna för riskanalys i arbetet med Skånes digitala vårdsystem, SDV, är för dåliga – informationsklassificeringen görs för sent och avklarade riskanalyser sammanställs inte centralt så att de kan följas upp.
Riskanalysverktyget anses dessutom vara svårt att hantera.
Organisationskulturen i sig finns också med bland de identifierade bristerna.
Det finns helt enkelt ingen kommunicerad agenda för informationssäkerhet med verktyg för att rapportera brister i arbetet med den nya vårdinformationsplattformen.
Det gör att brister riskerar att förbises och att ”medarbetare genom uppgivenhet både upplever och bidrar till en tystnadskultur”.
I sin tur leder det till att oro ventileras i korridorerna vilket leder till ytterligare risker.
Naturligtvis fick jag inte ut någon rapport från Region Skåne när jag efterfrågade den utan ett listigt svar att någon sådan rapport inte fanns diarieförd.
Min fråga: Jag undrar då om en sådan rapport inte finns utan att CS blivit vilseförda eller om den finns men man valt eller missat att diarieföra den?
besvarades med att den sannolikt var ett internt arbetsmaterial.
Det mest deprimerande i detta är att upprepningstvånget.
Trots att svenska sjukvården gång på gång råkar ut för stora säkerhetsproblem, trots ett antal liknande projekt i bland annat och med miljardinvesteringar inte fungerar på ett säkert sätt så är det som denna information inte tränger i genom väggarna på den svenska e-hälsans fort.
Att dessa fullkomligt vitala frågor inte tas upp på en konferens om framtidens e-hälsa gör att verkar som vi lever i två olika världar: verkligheten respektive e-hälsans utopia.
Detta är inte en bra grund för ett mycket komplicerat samhällsutvecklingsarbete!
Den tystnadskultur som den interna rapporten som CS tagit del av pekar på en mycket central risk, nämligen tystnadskulturen som gör det omöjligt att föra fram risker eftersom man då avfärdas som negativ.
För den som arbetar med säkerhet och vet hur betydelsefull en positiv säkerhetskultur är för ett fungerande säkerhetsarbete förstår på djupet hur destruktivt det här förhållningssättet är.
Tyvärr praktiseras samma förhållningssätt även på nationell nivå t.ex.
konferensprogram av typen Nationella e-hälsodagen och när en företrädare för SKL på en konferens säger att ”det är mycket enklare att vara emot”, underförstått att resa rationella frågor uppfattas som fientligt.
Jag kan möjligen förstå att SKL som lobbyorganisation jobbar med ensidiga marknadsföringsknep även om jag som skattebetalare inte skulle vilja se pengar som så väl behövs i vården gå till detta.
Däremot tycker jag att myndigheterna borde nyktra till och kunna föra en diskussion där även nyanser är tillåtna.
Jag tror alla kan stå ut med litet av den dåliga stämning som uppstår när folk visar sig ha olika åsikter.
För säkerheten i framtidens e-hälsa är det nödvändigt att kunna prata om risker och reducera dem innan de lett till ett nytt och ett nytt och ett nytt haveri.
Efter Kammarrättens utslag dröjde det bara några dagar innan jag fick ut de dokument som jag började jaga med en fråga den 6 augusti.
Samtliga tre dokument har mycket marginella maskningar vilket jag återkommer till men som läsaren själv har möjlighet att bedöma eftersom jag lägger ut dem i sin helhet.
Låt oss då se på dokumenten och då först till det mest övergripande: Riktlinje för informationssäkerhet.
Detta dokument tycks ha ganska litet att göra med den policy som beslutades i och därts övergripande syfte anges vara att främja digitalisering samtidigt som tillit till informationshanteringen upprätthålls.
De flesta skulle kanske anse att informationssäkerheten ska stödja kärnverksamhetens uppdrag, i det här fallet egentligen kundernas uppdrag, men Inera är sannolikt i detta fall ett offer för SKL:s överideologi där digitalisering är ett dominerande egenvärde.Inte ett ord om patientsäkerhet för att bara ta en sak som jag personligen anser aningen viktigare än att ”främja digitalisering”.
Den sällsynt korta policyn innehåller ingenting om ansvarsförhållanden eller vem som egentligen ska styra säkerheten, däremot är ett mål att säkerhetsarbetet ska grundas på ”gemensamma regelverk, referensarkitekturer och styrande principer”.
Gemensamma för vem och framtagna av vem kan man undra.
Policyn ska tillämpas enbart internt och det saknas relation till kunderna trots att Ineras roll som leverantör: Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering.
Den ska också tillämpas i projekt och på förvaltningsobjekt.
Policyn ger som jag ser det inte någon verksam strategisk ledning för Ineras säkerhetsarbete i rollen som tjänsteleverantör eftersom ansvar och relationer helt saknas.
Hela upplägget med denna helt urvattnade policy känns litet märkligt när Inera dessutom arbetar baklänges och lägger den som olja på vattnet på redan framtagna underliggande dokument.
Kanske har det funnits en annan policy tidigare som fadat bort utan kommentar.
Låt oss lämna policyn och istället titta på riktlinjen som av naturliga skäl saknar den kopplingar till den beslutade policyn.
En första observation som reser den alltid lika spännande frågan om kausalitet och korrelation.
Av en händelse sammanfaller att jag efterfrågade riktlinjen den 6 augusti med en massiv uppdatering som skedde den 9 augusti när en mängd basala säkerhetsaspekter fördes in i riktlinjen (se revisionshistoriken).
Detta var också första gången på tre och ett halvt år som en uppdatering skedde.
Nog om detta lustiga sammanträffande.
Inera är är ju en tjänsteleverantör av känsliga informationstjänster till vården och det som först slår mig då jag läser riktlinjen är att detta förhållande är i det närmaste osynligt i riktlinjen på samma sätt som i policyn.
Riktlinjen gör ingen distinktion mellan Ineras interna informationssäkerhet och den säkerhet som ska finnas i de tjänster som levereras.
Kundernas frånvaro i hanteringen blir närmast självlysande i definitionen av informationsägaren: För varje viktig informationsmängd ska det utses en informationsägare med uppdrag att hantera alla delar av informationssäkerheten som är relaterade till denna informationsmängd.
För de tjänster som Inera tillhandahåller är detta normalt rollen Tjänsteansvarig.
Här man alltså kortslutit systemet så kunderna är inte informationsägare och ska inte heller hantera exempelvis informationsklassning och riskanalys av den information som de faktiskt är ansvariga för.
För att göra det extrem tydligt: Inera är inte en vårdgivare utan hanterar andra vårdgivares information i ett antal gemensamma tjänster.
Vårdgivarna (offentliga och privata) är enligt lag och föreskrift ansvariga för sin information och att den hanteras på ett säkert sätt – det är bara att läsa HSLF-FS 2016:40 för att få en samlad bild av kraven.
Samtidigt skriver man t.ex.
under 15.3.1. om en informationsägare som sannolikt är kunden.
Roller och begrepp är alltså inte konsistenta.
Ytterligare ett tecken på att riktlinje inte tjänar Ineras verksamhet särskilt väl är att de ytterst knapphändiga beskrivningar av utveckling som finns i kapitlen 15.1 och 15.2.
Detta är alltså riktlinjen där ansvar, principer och arbetssätt bör framgå.
Som jag uppfattar det är Ineras huvudsakliga uppdrag att utveckla olika it-lösningar för vården vilket skulle föranleda att ett verksamhetsanpassat säkerhetsarbete skulle ha en tyngdpunkt just i utvecklings- och förvaltningsprocessen av erbjudna lösningar.
I Ineras riktlinje är det dock inte så utan det känns snarare som en ytlig genomgång av kraven i ISO 27001 med mycket små modifikationer.
Dessutom ingår den i det jag brukar tänka på som ”de öde regelverken” eftersom det inte bara kunderna som saknas utan även i hög grad andra aktörer.
Istället upprepas riktlinjen igenom ”Inera ska…” utan att närmare definiera vilken roll inom Inera som ska utföra säkerhetsarbetet.
Igenkänningsfaktorn är hög.
Jag har sett denna typ av regelverk ett otal antal gånger och ett genomgående drag är att när regelverk är så här diffusa så får de ingen eller ringa säkerhetshöjande effekt.
Har ledningen inte pekat ut ansvar (vilket man här inte har i policyn och mycket litet i riktlinjen) så finns inget maskineri som drar runt säkerhetsarbetet.
Att något i denna anonyma text skulle befinnas vara av den art att det går att sekretesslägga med hänvisning till OSL 18 kap.
8 §: Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser byggnader eller andra anläggningar, lokaler eller inventarier, tillverkning, förvaring, utlämning eller transport av pengar eller andra värdeföremål samt transport eller förvaring av vapen, ammunition, sprängämnen, klyvbart material eller radioaktiva ämnen, telekommunikation eller system för automatiserad behandling av information, behörighet att få tillgång till upptagning för automatiserad behandling eller annan handling, den civila luftfarten eller den civila sjöfarten, transporter på land av farligt gods, eller hamnskydd.
kändes märkligt.
Än mer så Ineras ursprungliga beslut att hela dokumentet skulle utgöra risk om det spreds.
På ett sätt skulle jag ironiskt kunna hålla med: kvaliteten på dokumentet indikerar en klar brist på styrning av säkerhetsarbetet vilket kan naturligtvis är en stor risk om det framkommer.
Men det som nu maskats i dokumentet är endast sex passager där man mitt i den i övrigt så generella beskrivningen av allmänna säkerhetsåtgärder tydligen placerat in var datalagring sker samt tekniska beskrivningar av bland annat segmentering.
Om dessa uppgifter är på detaljnivå har de knappast i riktlinjen att göra eftersom den då inte går att sprida i en vidare krets internt.
Även detta är att starkt skäl att se över regelverket och styrningen i stort.
Om vi sedan tittar på de två övriga dokument jag fått ta del av: så går maskningarna i dessa sammantaget att räkna på ena handens fingrar.
Förutom att även dessa i huvudsak saknar anpassning till Ineras egentliga behov av styrning och även till SKL:s flaggskepp KLASSA är det svårt att se vad som föranlett Ineras rädsla för att sprida dem.
Hela hanteringen av min begäran utlämnande av handlingar framstår som fånig och okunnig i mina ögon men har det goda med sig att det kanske hindrar andra från det överutnyttjande av 18.8 som jag tycker mig sett tecken på.
Min sammantagna bild är att Inera saknar ett sammanhängande systematisktoch att den styrning som finns inte är är inriktad på rätt målbild som till exempel att ge kunderna möjlighet att styra sin egen säkerhet eller på patientsäkerhet.
Ingenstans framgår att den informationsklassning som kunderna gör av sin information ger utslag i Ineras leverans, inte heller att Inera har ett kunderbjudande som är transparent och flexibelt.
Jag är den första att erkänna att Ineras uppdrag är mycket komplicerat men just därför skulle det kännas betydligt tryggare om det gick att urskilja ett stort engagemang för säkerhetsfrågor som skulle ge både kunder och allmänheten i stort en anledning att hysa en stor tillit till Inera.
Särskilt tänker jag på detta när nu Inera satt igång ett nytt projekt om säker digital .
Visserligen står det ”säker” i rubriken men vilket stöd har projektet i Ineras LIS för att uppnås denna säkerhet?
Finns det en risk att detta projekt hamnar i samma situation som den som kritiserades så hårt av MSB när det gäller säkerhetsaspekterna (trots att det är se att MSB bidrog på ett så särskilt strukturerat sätt)?
Hälso- och sjukvård är ju i högsta grad en samhällsviktig verksamhet som borde få MSB:s mest djuplodande intresse när en ny nationell lösning ska tas fram.
Möjligen har jag helt fel.
Kanske är säkerheten i Ineras verksamhet mycket bättre än vad de styrande dokumenten ger intryck av.
Men samtidigt är det svårt att föreställa sig edär det inte finns en tydlig dokumenterad styrning.
Självklart borde denna styrning omfatta mer än Inera – jag ska väl inte tjata om en nationell styrmodell á la Normen en gång till… Däremot vore det mycket önskvärt med en större granskning av samtliga större aktörer inom hälso- och sjukvård både för att bedöma den reella säkerheten och för att se vilka samordningsbehov som finns.
Med detta som utgångspunkt går det sedan att börja skissa på den gemensamma styrmodellen.
I väntan på detta mitt utopiska tillstånd är en rimlig inriktning att IVO koncentrerar sin tillsyn utifrån NIS-direktivet främst på dessa stora aktörer eftersom de har den största påverkan på vår gemensamma säkerhet.
Den minnesgode kommer ihåg att jag bett att få se Ineras ledningssystem för informationssäkerhet, blivit nekad och hänvisad till Kammarrätt för att framföra mina besvär över detta, förloppet finns beskrivet .
Själv måste jag medge att jag fann Ineras agerande aningen besynnerligt.
Om det nu finns styrande dokument för informationssäkerheten vid sidan om den A4 som utgör policy (vilket Inera hävdar) så förefaller det märkligt att varje ord i dessa dokument skulle utgöra en sådan betydande risk för Ineras säkerhet att de inte kan lämnas ut.
För den som jag som arbetat med utlämnande av allmänna handlingar är väl bekant med rutinen att maska dokumenten så att de delar som bedöms som sekretesskänsliga inte kan läsas – ytterst sällan är dokumenten i sin helhet känsligt.
Kanske har inte Inera upparbetat rutinen för maskning än men efter att ha läst Kammarrättens utslag så är det nog dags att komma igång med det nu.
Jag är naturligtvis nöjd med utslaget och väntar nu på mina handlingar.
Samtidigt väcker ju historien med Inera en hel del tankar.
En är att vi alla är betjänta av största möjliga öppenhet om de regler gällande säkerhet som finns olika organisationer.
Vi behöver lära av varandra och vi behöver närma oss mer av praxis både på branschnivå och i samhället i stort.
Ett överdrivet hemlighetsmakeri skapar en negativ säkerhetskultur och förhindrar processen mot en nödvändig samsyn om hur styrningen av säkerhet bör utformas.
Ineras förhållningssätt pekar också på ett annat mer praktiskt problem, nämligen vikten av att utforma sin hierarki av styrande dokument rätt.
Om man, som Inera tycks ha gjort, blandar principer,ansvarsfördelning och andra faktorer som bör kunna vara helt öppna i random organisation med detaljbeskrivningar av säkerhetslösningar, risker och sårbarheter har man ju skapat ett regelverk som knappast går att sprida ens internt och ännu mindre till externa parter som kunder.
En betydligt mer positiv erfarenhet var det att begära ut samma information hos eHälsomyndigheten där jag inte bara fick ta del av de handlingar som på ett övergripande sätt styr säkerhetsarbetet utan även en bild av de handlingar som är av mer känslig karaktär.
Tyvärr bekräftades dock min bild av bristande styrning av säkerheten inom vården då två av de stora aktörerna inom svensk e-hälsa inte har ett gemensamt regelverk.
Detta är en mycket stor fråga som måste lösas innan vi kan säga att vi är på väg mot en säker e-hälsa.

Toppledarforum E-nämnden (Nämnden för elektronisk förvaltning) 24-timmarsmyndigheten Verva E-delegationen E-legitimationsnämnden Digitaliseringskommissionen Digitaliseringsrådet DIGG Merparten av informationsmängderna är även de att betrakta som tämligen generiska Merparten av informationen hanteras i pappersform, detta särskilt i kritiska aktiviteter i processen En stor del av informationen finns på flera bärare samtidigt I hela processen är spårbarheten är essentiell för patientsäkerheten Överenskommelse om kommunernas krisberedskap (dnr MSB 2018-09779) Överenskommelse om kommunernas arbete med civilt försvar (dnr MSB 2018-05681) Bilaga 1 omfattas av försvarssekretess (15 kap.
2 § offentlighets- och sekretesslagen (2009:400) och lämnas inte ut.

inte inte behov kan, ha kontroll över sin information normerande klassning och Folkviljan utövas genom inom mot En av nätläkarna tycker att det verkar ha varit en bristfällig konsekvensanalys inför beslutet och att det är märkligt att SKL:s handlingar inte omfattas av offentlighetsprincipen.

Meny E-hälsa Inläggsnavigering

MENU MENU Postat av miljoner Postad i , , , , Tagged , , , , Postat av Postad i , Tagged , , , , Postat av Postad i , , , , Tagged , , , , , , , , , Postat av Postad i , , , , , Tagged , , , , , , Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , , Tagged , , , , , , , Postat av Postad i , , Tagged , , , Postat av Hej!
Postad i , , , Tagged , , , , Postat av Postad i , , , , , , Tagged , , , , , Postat av Postad i , , , , , Tagged , , , , , ← Sök efter:

Tack Calle Lilius för bilderna!
ett otraditionellt styrmedel I Riksrevisionens granskningar har det dock framkommit att SKL kommit att få ett stort inflytande även över den statliga styrningen av vården .
Det är Riksrevisionens bedömning att regeringen inte i tillräcklig utsträckning har tagit hänsyn till konsekvenserna av att använda en intresseorganisation som en del av förvaltningen Eftersom SKL inte är en myndighet lyder organisationen inte under förvaltningslagen eller regeringsformen.
Möjligheterna till ansvarsutkrävande är inte heller samma som om SKL hade varit en myndighet.
SKL företräder offentliga organ, men är i sig själv inte ett sådant.
Därmed kan varken regeringen, andra myndigheter eller medborgarna ställa samma krav på objektivitet och trans-parens på SKL som på Socialstyrelsen.
SKL är en organisation som ska bevaka sina medlemmars intressen och det är därför naturligt för SKL att slå vakt om det kommunala självstyret.
Det gör att man inte kan förvänta sig samma objektivitet från SKL som från en statlig myndighet.
SKL kan dessutom ha ett intresse av att hålla nere kostnader för sina medlemmar .
regeringens utredning Jaktens villkor konstaterades att förvaltningsuppgifter på jaktens och viltvårdens område som innebär myndighetsutövning inte annat än i undantagsfall borde fullgöras av intresseorganisationer.
Såväl in-formations-, rättssäkerhets-, som konkurrenssynpunkter talade för att en myndighet skulle ta över ansvaret för registret Det är Riksrevisionens bedömning att det i praktiken är oklart vem som egentligen äger den kunskap och de databaser som tas fram inom ramen för överenskommelserna.
Regeringen har därmed inte säkrat tillgången till den kompetens som byggts upp med statliga medel.
Riksrevisionen kan konstatera att det inte finns någon diskussion inom Socialdepartementet om att överföra databaser från SKL till Socialstyrelsen .
Riksrevisionens bedömning är att regeringen har låtit samarbetet med SKL − och därmed SKL:s inflytande över styrningen av vården – växa i alltför stor omfattning.
Granskningen visar att de medel som tilldelas SKL utan krav på att fördelas vidare till landstingen beloppsmässigt kan jämföras med förvaltningsanslagen till de större vårdmyndigheterna.
Departementet har inte heller haft en samlad bild av hur de medel som har gått till SKL centralt har utvecklats över tid Riksrevisionen noterar att medlen till SKL ökar.
Riksdagen har inte informerats om omfattningen och utvecklingen av dessa medel.
Enligt Riksrevisionens mening vore det rimligt att riksdagen informerades om medlen till SKL.
Anledningen är att de medel som tilldelats SKL centralt är i nivå med förvaltningsanslagen på vårdområdet som riksdagen beslutar om, samtidigt som SKL är en intresseorganisation .
Varken företrädare för Socialdepartementet, SKL eller Socialstyrelsen kan beskriva vilken typ av uppgifter regeringen ger till respektive aktör.
Riksrevisionen bedömer att en förklaring till detta är att det inte har funnits någon sådan logik i styrningen .
Tillägg 2020-02-20:

Vår ambivalens inför molntjänster är stor.
Å ena sidan har vi risken att personuppgifter och annan känslig information kommer i orätta händer, å andra all den funktionalitet som vi så gärna vill ha.
Dessutom måste det vägas in att molntjänster erbjuder många säkerhetsfördelar, inte minst för mindre organisationer.
menar att vi står i ett vägskäl.
Själv ser jag att många redan har gjort sitt val och tyckt att nyttan med molntjänster överstiger risken.
Att många kommuner har gjort så är ingen hemlighet men jag blir ganska häpen när jag efter ett tips kollade upp , en rekryteringstjänst för Försvarsmakten.
Tipset var att denna tjänst ligger i Office 365, en molntjänst som driftas av Microsoft på Irland.
För att få korrekt information skrev jag och frågade Försvarsmakten litet om detta.
Jag har tre frågor om Mitt försvarsmakten: Slutligen skulle jag vilja ut en lista över vilka personuppgifter som hanteras i Mitt försvarsmakten.
Tack för svar!
och fick då följande svar som jag publicerar in extenso: Hej!
Se svar nedan på dina frågeställningar.
Mitt Försvarsmakten är byggt inom extern molntjänst (Microsoft Office 365).
Försvarsmakten har ställt krav på informations- och IT-säkerhet och granskat den färdiga lösningen utifrån kraven med godkänt resultat.
Inom ramen för utvecklingsarbetet har den militära underrättelse- och säkerhetstjänsten, MUST, löpande deltagit i granskningar av lösningen och har även godkänt lösningen inför driftsättningen.
Försvarsmakten arbetar kontinuerligt med kontroll och förbättringar av informations- och IT-säkerheten i alla IT-tjänster inklusive denna.
Försvarsmakten kommenterar inte i detalj hur säkerhetskraven är implementerade.
Personuppgifterna i Mitt Försvarsmakten behandlas med stöd av samtycke från den enskilde.
Av samtycket framgår även att Microsoft behandlar personuppgifterna.
Försvarsmakten använder Google Analytics från Google som analysverktyg.
Google Analytics använder cookies.
Informationen som genereras av dessa (inklusive IP-adresser) kommer att vidarebefordras till och lagras av Google.
Denna information används i syfte att utvärdera besöksstatistik.
Google kan också överföra denna information till tredje parter om det krävs enligt lag eller i de fall en tredje part behandlar informationen för Googles räkning.
Google kommer inte att koppla samman IP-adresser med annan data som Google innehar.
Google Analytics anonymiserar den information som skickas till Google.
För personer utan registrerad användarprofil i Mitt Försvarsmakten som har registrerat sig för ett specifikt event behandlas endast uppgift om namn och e-postadress.
För personer med registrerad användarprofil i Mitt Försvarsmakten behandlas uppgifter om Namn Personnummer Kontaktuppgifter (adress, telefonnummer och e-postadress) Uppgift om kön Uppgift om svenskt medborgarskap Uppgift om nuvarande sysselsättning Uppgift om nuvarande arbetsgivare Uppgift om godkända betyg MA / SV / EN från gymnasiet Uppgift om kondition och muskelstyrka Intresse för Försvarsmakten Medarbetarstatus, tidigare anställning inom FM Har ansökt om Veterankort eller har Veterankort Har sökt tjänst Har sökt GMU Har gjort rekryttest Startat GMU/GU-F/GSU/Kombattantutbildning Slutfört GMU/delkurs/GU-F Tagit anställning inom FM Avtal tecknat Avtal tecknat den Samtycker till lagring och bearbetning av information Kandidaten vill avregistrera sig Mvh Försvarsmakten Det ska medges att jag ibland varit aningen tveksam till att det ofta framställs som att Försvarsmakten är säkerhetsexperterna även då det gäller det civila samhällets säkerhet.
Men om vi acceptera premissen att Försvarsmakten är någon form av riktkarl för samhällets säkerhet blir detta svar intressant.
Frågorna jag ställer mig är: Observera att jag inte har svaret på dessa frågor – jag bara funderar.
Det är högintressanta tider då vissa frågor ställs på sin spets.
I min begränsade värld är en av dessa frågor det så kallade e-arkivet, denna företeelse så omgiven av förväntningar och föreställningar.
Under den senaste tiden har två stora händelser timat inom området: Statens servicecenter misslyckades med sin upphandling av e-arkiv och SKL Kommentus Inköpscentral (fortsättningsvis kallad SKI) lyckades med sin.
Det kan tyckas vara två mycket likartade händelser men ju mer man gräver så framstår skillnader allt tydligare.
Jag är ju en enkel konsult vars främsta uppgift är att försörja mig men eftersom jag misstänker att ingen annan bättre lämpad funktion tänker göra någon analys av varför det gick som det gick fattar jag ändå pennan/tangentbordet.
En brasklapp är naturligtvis att jag inte har den tid och de resurser som krävs för att göra en fullständig analys utan att jag enbart kommer att ta upp vissa aspekter som särskilt intresserar mig och då främst säkerhetskraven.
I ingetdera fallet kommer jag att kommentera de konsulttjänster som ingår i upphandlingarna utan endast upphandlingen av själva tjänsten eller applikationen.
För att förstå dessa upphandlingar behöver några basala förutsättningar slås fast.
Något som är självklart för den med litet insikt i arkivfrågor är att lagring av digital information inte täcker begreppet e-arkiv.
Här finns dock inte utrymme att gå igenom alla intrikata aspekter men låt mig poängtera vissa grundläggande frågor: Ovanstående punkter sammantaget med att Riksarkivet, för att uttrycka det milt, inte är direkt sugna på att ta emot digital arkivinformation och det inte heller finns en övergripande strategi för den långsiktiga nationella arkivverksamheten försätter myndigheterna i en svår situation.
Man har helt enkelt en exponentiellt växande digital informationsmängd att långsiktigt ta hand om utan det finns tydliga lösningar för hur det ska ske.
Förutom myndigheters, kommuner och regioners vånda så är vi nog en hel del som känner en stor oro på samhällsnivå för de stora informationsförluster vi riskerar att göra.
En informationsförlust som inte bara är ett stort hot mot dagens och framtida forskning utan också för vårt gemensamma minne.
Det finns naturligtvis enstaka ljus i mörkret som Sydarkivera som förtjänar att lyftas fram men som helhet ser det tämligen mörkt ut.
Det är alltså i denna kontext som de två upphandlingarna ska sättas in och som kanske kan ge en förklaring till varför de utfallit som de gjort.
Inledningsvis kan slås fast att de två upphandlingsprojekten knappast kan ha haft mycket samröre.
Olikheten i synsätt och begrepp är iögonfallande trots att det i båda fallen handlar om offentlig sektor och delvis överlappande verksamheter.
En sak är dock den samma för båda upphandlingarna: det handlar inte om att upphandla en lösning för det långsiktiga arkivbehovet.
I stället uppfattar jag det mer som att göra en quick fix i väntan på något mer bestående.
Det är alltså möjligen lösningar för mellanarkiv vi pratar om där information av olika karaktär (allmänna handlingar och annat) lagras under en i arkivperspektivet begränsad tid för att därefter gallras, rensas eller föras över till en slutförvaring.
Såvitt jag kan se handlar också lösningar om överföring från system till system eller från system till tjänst, ingen inriktning mot ett mer infrastrukturellt tänkande finns med.
Jag är inte förvånad över detta men vill ändå betona detta.
Trots likheten i behov har SSC och SKI hamnat i två helt olika upphandlingar.
SSC har sedan 2014 bedrivit sitt upphandlingsprojekt där också ett antal statliga myndigheter deltagit och varit utsedda som ”pilotmyndigheter” (bakgrunden finns ).
Utifrån regeringsuppdraget lämnades en första delrapport 2015 med ett förord signerat både av SSC:s GD och riksarkivarien.
Jag vill inte undanhålla läsaren sammanfattningen i rapporten som var följande (felstavning inkluderad): Det finns goda förutsättningar för att skapa en förvaltningsgemensam tjänst för e-arkiv.
· Det blir en minskad investeringskostnad och en besparing för staten som helhet.
· Bara genom att etablera ett gemensamt e-arkiv istället för sju separata för pilotmyndigheterna, sparar staten flera tiotals miljoner kronor.
· Det finns etablerade arbetsätt för e-arkivering · Marknaden är mogen och det finns system och leverantörer.
· Sju pilotmyndigheter har skrivit på en avsiktsförklaring om att ansluta sig till tjänsten.
Förutsättningar för fortsatt arbete: · Regeringen behöver undanröja de juridiska hindren genom en förordningsändring.
· Statens servicecenter (SSC) och Riksarkivet förordar att projektet går vidare till krav- och upphandlingsfas, under förutsättning att regeringen bidrar med tillräcklig finansiering.
Även den som är luttrad från digitaliseringsprojektens närmast obligatoriska glädjekalkyler kanske ändå hoppar till litet vid sådana diffusa fördelar som att staten ska ”spara flera tiotals miljoner kronor”.
Konstateranden som att det finns en mogen marknad för e-arkiv och dessutom etablerade arbetssätt för e-arkivering känns idag 2019 som önsketänkanden och var det ännu mer 2015.
Det var utgångspunkterna för projektet som visserligen har haft riksarkivarien som styrgruppens ordförande och en stilig projektdokumentation men som ändå slutade i att upphandlingen av en nationell molntjänst avbröts strax före jul 2018.
Vad SSC under fyra år försökt upphandla är alltså en molntjänst för ett stort antal myndigheters e-arkiv (om man ser till de tillväxtstaplar som presenterats i projektet): Den ”tjänst” som Statens servicecenter efterfrågar i denna upphandling är således att betrakta som en sammanhållen leverans och ska inte förväxlas med begreppet ”Software as a service” (SaaS).
Skillnaden är att den grundläggande arkivmjukvaran upphandlas i form av en programvarulicens medan de övriga delarna i leveransen upphandlas som en tjänst på månadsbasis.
Istället för en normal upphandling av molntjänsten valde SSC att göra en så kallad konkurrenspräglad dialog.
Statens servicecenter har valt konkurrenspräglad dialog som upphandlingsförfarande då det inte är möjligt att utforma samtliga krav på tjänsten i förväg.
Med tanke på komplexiteten i uppdraget och de rättsliga förutsättningarna krävs dialog med erfarna leverantörer för att slutgiltigt utforma kraven.
Detta är enligt mig en mycket svår upphandlingsform inte minst när det gäller applikationer och molntjänster.
För att kunna styra en sådan upphandling krävs en mycket fast hand från kunden för att inte hamna på olika typer av grynnor och skär.
När då kunden redan inledningsvis skriver att man inte kunnat utforma kraven på tjänsten känns den fasta handen rätt avlägsen.
Som säkerhetsintresserad börjar man skruva på sig; att upphandla en nationell molntjänst med en glidande kravspec känns…obehagligt.
Låt oss då se på säkerhetsinriktningen i SSC:s konkurrenspräglade dialog.
För det följande är det viktigt att ha i åtanke att syftet med processen att nå fram till leverantör av en molntjänst, d.v.s.
en tjänst där stora mängder offentlig ackumuleras.
Kravet på tjänsten har varit att den ska kunna hantera den information som kundmyndigheterna väljer att stoppa in, även sekretessreglerad information.
Däremot inte hemliga handlingar: den förvaltningsgemensamma tjänsten för e-arkiv ska inte dimensioneras för hantering och lagring av hemliga uppgifter och handlingar.
Hemliga uppgifter och handlingar ska därför fortsatt, och av kundmyndigheterna själva, förvaras på annat sätt e-arkivet som sådant bör betraktas som säkerhetskänslig verksamhet – av betydelse för rikets säkerhet.
Detta bland annat mot bakgrund av de stora informationsmängder, från många myndigheter, som ansamlas i lösningen och de konsekvenser som till exempel ett bortfall av tjänsten skulle kunna medföra för berörda verksamheter – och för samhället Redan här väcks många frågor.
Om man ser det potentiella e-arkivet som en säkerhetskänslig verksamhet enbart p.g.a av att det ansamlas stora informationsmängder varför då utan närmare argumentation välja en lösning som leder just till detta?
Följden av beslutet har blivit att man valt att göra en upphandling med krav på säkerhetsskyddsavtal på nivå 1, alltså den högsta nivån.
Detta ställer stora krav på leverantören som att införa en säkerhetsskyddsorganisation, att välja vissa specifika säkerhetslösningar och att införa utvidgade säkerhetskontroller av anställda.
Förutom att säkerhetsskyddsåtgärderna av naturliga skäl kan minska effektiviteten i lösningen innebär ökade kostnader och därmed ökat utpris för kunden.
Det innebär minskad integritet för anställda och i många fall även fördyrande krav i kundens egen verksamhet.
I detta fall ställer jag mig också tveksam till på vilket sätt e-arkivet om det inte upprätthåller tillgängligheten skulle utgöra ett hot mot Sveriges säkerhet liksom att antagonistiska hot skulle vara den primära risken (jag går inte djupare på den nya lagens syn på riktighet och tillgänglighet eftersom den är i bästa fall oklar).
Om detta synsätt sprids, d.v.s.
att det visserligen inte är säkerhetskänslig information som kommer att hanteras i lösningen men vi kommer ändå att använda SUA, så kommer i princip varenda molntjänst som används i offentliga uppdrag av privata och offentliga aktörer att falla under säkerhetsskyddslagen.
Om säkerhetsskyddslagens syfte är att skydda ”det mest skyddsvärda” så kan vi inte låta det gå inflation i tillämpningen så att den blir det nya normala.
Jag vill bara framföra ett milt: sansa er och försök tänk på konsekvenserna av detta (även om utredningen som ny säkerhetsskyddslag hade en ytterst sangvinisk konsekvensanalys, återkommer till det i ett senare inlägg).
Det kanske mest häpnadsväckande är att informationsklassning och skyddsnivåer inte nämns vare sig i inbjudan eller bilagan.
Utan kommentar förutsätts alla myndigheter ha samma behov av säkerhet och kravs ställs inte på leverantören att kunna leverera tjänsten på olika fastställda skyddsnivåer.
Min fundering blir då vem som blir riskägare i det här konceptet om kundmyndigheten inte kan påverka tjänsten.
Detta känns igen från SSC:s övriga tjänster vilket jag ser som ett grundproblem med hela konstruktionen.
Förutom detta ställde SSC även krav på certifiering mot ISO 27001 eller motsvarande icke-certifierat ledningssystem, SOA samt beskrivning av säkerhetskontroller.
Detta är ett krav som måste finnas med men som i praktiken, enligt min erfarenhet, inte utgör en garant för ett väl fungerande säkerhetsarbete.
Hunnen så här långt i genomgången av upphandlingen pockar två frågor på.
För det första har SSC begränsat antalet möjliga leverantörer mycket starkt.
Fyra års utredande borde ha gett en marknadsanalys som påvisat att det finns mycket få svenska leverantörer som kan eller vill leverera på dessa villkor.
Historien visar ju också att endast en leverantör återstod när upphandlingen avslutades.
Den andra frågan är varför denna upphandlingen sker över huvud taget.
Ett alternativ hade varit att gå ut i en vanlig ramavtalsupphandling där Riksarkivet kunnat bistå med expertkunskap på samma sätt som de nu gjort i SSC:s upphandling.
Vad exakt tillför SSC som inte myndigheterna skulle kunna få i en direktrelation med leverantörerna?
Eftersom man då skulle kunna få fler leverantörer skulle förhoppningsvis den koncentration som påkallat säkerhetsskydd kunnat undvikas (ja, här ligger en mycket, mycket större fråga om den totala mängden tjänster hos leverantörerna och ramavtalens oligopolskapande kraft men jag hinner inte ta den nu).
Till detta kommer en bilaga med ganska ordinära säkerhetskrav.
Några reflektioner kan dock göras.
Påfallande många av kraven är inexakta av typen att leverantören ska beskriva vilken säkerhetsfunktionalitet finns.
En förvånansvärt stor andel av det som kan kallas säkerhetskrav ägnas åt fysisk säkerhet.
Och som sagt: nivåer saknas.
Sammantaget skulle det skapa stora svårigheter för kundmyndigheten att bedöma vilken den faktiska säkerheten i leveransen blir.
Om man summerar SSC:s kravbild inklusive orimliga krav som att leverantören ska ha erfarenhet av att tillämpa Riksarkivets FGS i praktiska lösningar vilket i princip är en omöjlighet eftersom det knappt finns några FGS:er så undrar jag om SSC verkligen velat ha en leverantör.
I förtroende har leverantörer förmedlat att har saknats dialog trots den upphandlingsform som valt och som bygger på just dialog.
Trots att endast en leverantör återstått under det sista året har upphandlingen rullat på och därefter avslutats bland annat med motiveringen att det var för få leverantörer.
I upphandlingsunderlaget återkommer följande formulering: Under avtalstiden kan uppdraget komma att begränsas eller på annat sätt förändras med anledning av författningsändringar eller förändrade uppdrag för Statens servicecenter.
Bland annat kan det bli aktuellt för statliga myndigheter att ansluta till en så kallad statlig molntjänst.
Med tanke på att företrädare för SSC ofta vädrat en önskan om att få uppdraget att ta över statlig it-drift och skapa en statlig molntjänst så kan inte tanken att angelägenheten att få affären i hamn kanske inte var helt odelad helt viftas bort.
SKI:s upphandling är en förnyad sådan så man får anses ha mera erfarenhet på området än SSC.
Av teoretiska och praktiska orsaker är jag tilltalad av SKI:s inriktning att använda definitionen ”funktion för e-arkivering” även om det finns aningen av ironi i motstridigheten när funktionen beskrivs som I definitionen av funktionen för e-arkivering beskrivs e-arkiv i termer av vad e-arkivet ska klara av, vilka behov som ska tillgodoses, snarare än vilka funktioner som ska finnas.
Detta är en betydligt mer öppen upphandling i meningen att det finns möjlighet för kunderna att använda avtalet både för att kunna köpa en molntjänst och för att köpa en applikation för egen drift.
I alla fall hypotetiskt minskar det risken för den koncentration som föranledde kravet på SUA för SSC.
SKI har alltså valt att inte göra en SUA, helt korrekt enligt mig.
Det ger också kunden möjlighet att lägga till egna säkerhetsåtgärder i en applikationsdrift och anpassa applikationsdriften till egna skyddsnivåer.
Att flera leverantörer finns på ramavtalet minskar inte bara koncentrationen av information utan gör också lättare att välja en leverantör som motsvarar den egna kravbilden utöver det som står i ramavtalet.
Jag tror (med betoning på tror) att ramavtal är en bättre lösning även ur säkerhetssynpunkt om det är oklart vad en mellanliggande myndighet ska tillföra eftersom kunden då har möjlighet att ha direktkontakt med leverantören.
Applikationsdrift i all ära men för mindre verksamheter kan molntjänster innebära en mycket bättre säkerhet än vad man kan skapa själv (har redan skrivit om detta ett antal gånger så jag vevar inte argumentationen ytterligare en gång).
Inte heller i SKI:s upphandling finns skyddsnivåer definierade även om informationsklassning nämns som en del i de konsulttjänster som kan avropas.
Krav på certifiering ställs inte och säkerhetskraven är inte frilagda på samma sätt som i SSC:s upphandling.
Likaså är många kraven av samma något diffusa karaktär som i SSC:s upphandling.
Det är därför svårt att på rimlig tid skapa en bild av hur den tänkta säkerhetsarkitekturen ser ut.
Jag tror dock att det varit enklare att hitta fram till ett samförstånd i denna upphandlingstyp än i den konkurrenspräglade dialogen som SSC valde som upphandlingsform.
Ett problem med båda upphandlingarna är att det är svårt att se vilka riskbedömningar som gjorts och det är även svårt att se något systematiskt arbete som föranlett de säkerhetskrav som faktiskt ställts.
Jag uppfattar det inte som att säkerhet varit en väl analyserad fråga i upphandlingarna även om SSC drämde i med storsläggan säkerhetsskydd.
Generellt skulle jag vilja hävda att kunden som använder SKI:s ramavtal har större möjlighet att påverka säkerheten i sin informationshantering än den tänkta kunden hos SSC.
Hur stora koncentrationer av information ska hanteras är en fråga på nationell nivå där jag inte tror att säkerhetsskydd är lösningen.
I båda fallen har (eller skulle ha haft) kunden ett drygt arbete att analysera sitt säkerhetsbehov innan en tjänst kan tas i drift.
En from förhoppning är fortfarande att ta fram gemensamma skyddsnivåer till gagn både för kunder och leverantörer.
Ytterligare en önskan skulle vara att tydligare utgå från de tilltänkta kundernas situation och möta dem där de är.
Om ett nationellt ”e-arkiv” ska byggas upp bör behov och lösningar analyseras mycket mer noggrant.
Det handlar om både organisation, tjänster och infrastruktur.
De utredande ansatser som gjort av SSC övertygar mig inte om att denna myndighet är rätt instans för detta uppdrag.
Under en övergångsperiod menar jag att den realistiska lösningen är att upphandla tjänster.
En observation som kan göras är att den organisation som har till uppgift att göra upphandlingar är den som lyckas.
En lärdom av detta kan vara att uppmärksamma hur komplicerad själva upphandlingsprocessen är och att den bäst sköts av en organisation med expertkompetens.
Att ha icke-koordinerade lösningar mellan stat och kommun/region är olyckligt.
Eftersom informationen flödar mellan arkivbildare bör det konceptuellt vara samma typ av lösningar.
Här finns även möjlighet att ge stöd för de privata utförarna av offentliga uppgifter – ett område som nu tycks bortglömt.
Slutligen vill jag, som så ofta, understryka betydelsen av att Riksarkivet tar ett betydligt större ansvar för e-arkivfrågan.
Det gäller både operativt i rena kravställningar men också strategiskt.
Redan nu görs enorma informationsförluster vilket borde sporra Riksarkivet till att göra det till sin huvudfråga.
Föreställningen om att e-arkiv handlar om att överföra information från ett system till ett annat måste överges och de stora informationsarkitekturerna prioriteras.
För att lyckas med krävs mycket stora insatser.
Två viktiga steg menar jag är att befria SSC från uppdrag inom e-arkivområdet och att inse att det som nu kallas e-arkiv egentligen är ett informationshanteringssystem som inte löser den långsiktiga arkivfrågan.
Därefter bör ett nytt uppdrag skapas.
Grunden för ett sådant uppdrag bör vara att staten nu (och sannolikt inte under överskådlig tid)inte har förutsättning att utveckla informationshanteringslösningar i den omfattningen själv.
Att omforma eller kopiera SKI:s ramavtal så att även statliga myndigheter kan använda det är ett sätt att skapa förutsättningar för en mogen marknad där leverantörer kan se en långsiktighet som gör att de vågar investera i utveckling.
Tillägg 2019-02-10: Uppmärksamma läsare har hört av sig och sagt Kammarkollegiets ramavtal innebär en möjlighet för alla aktörer inom offentliga sektor att upphandla e-arkivlösningar för installation i den egna miljön.
Definitionen av e-arkiv är på samma sätt som övriga sparsmakad och på samma gång förbryllande, arkivarie som jag är har jag svårt att uppfatta skillnaden mellan arkivering och långtidsarkivering: Anbudsgivare ska erbjuda minst en programvara för e-arkiv för installation i kunds it-miljö.
Med e-arkiv menas en programvara för arkivering och långtidsarkivering av handlingar för installation i kunds it-miljö Naturligtvis borde jag nämnt avtalets existens.
Jag har dock redan i ett tidigare inlägg beskrivit hur jag försökt få svar på vilken säkerhet dessa leverantörer kan erbjuda utan att lyckas (ingen svarade).
Dessutom går ramavtalet såvitt jag kan se ut den sista november i år.
Att avtalstiden snart går ut ökar möjligheterna för att ta ett större grepp om frågan.
I augusti 2014 fick den då relativt unga myndigheten Statens servicecenter ett uppdrag av regeringen att i samverkan med Riksarkivet samt sju pilotmyndigheter utveckla och använda en förvaltningsgemensam tjänst för e-arkiv.
Efter dryga fyra år avbryter man nu upphandlingen med hänvisning att det endast inkommit en kvalificerad sökande och att priset är för Detta är mycket bekymmersamt.
I en fråga som varit akut i ett par decennier, nämligen det långsiktiga bevarandet av den information som genereras i myndigheter, kommuner och landsting, har myndigheter blivit intalade att det snart kommer en lösning på deras .
Så sent som för en månad sedan deltog Statens servicecenter på Arkivforum och trumpetade ut att man nu var i mål och att myndigheter skulle kunna ansluta sig till tjänsten inom ett halvår.
Det skulle vara frestande att ropa ”skandal” men det är intressantare att försöka analysera vad misslyckandet beror på.
Själv har jag redan tidigare skrivit om att hela upplägget var märkligt i framförallt två hänseenden.
För det första har det hela tiden saknats en övergripande strategi för det långsiktiga bevarandet av digitala handlingar.Det som kallats e-arkiv hos Statens servicecenter är bara en del i en större helhet som ännu inte finns beskriven.
Eftersom tjänsten enbart är ett mellanarkiv återstår fortfarande att skapa ett slutarkiv och min obesvarade fråga har varit varför ett mellanarkiv över huvud taget skulle vara intressant i ett digitalt perspektiv.
Om information ska överföras från arkivbildaren till en annan myndighet borde det rimligen ske på ett sätt där även slutarkivering ingår eller åtminstone är tydligt planerad.
Så är nu inte fallet och för mig förefaller detta bara vara ett prokrastinerande av en oundviklig uppgift.
Den andra frågan är sammanhängande med detta och handlar om Riksarkivets roll och varför information som ska långtidsbevaras först ska mellanlanda hos en annan myndighet.
Jag menar att Riksarkivet borde ta ansvaret för denna kärnuppgift i det egna området och beskriva hur ett digitalt mellanarkiv borde utformas för att passa in i en större helhet av bevarande.
Att överlåta detta uppdrag till en myndighet utan expertkompetens känns både ologiskt och som ett stort risktagande.
Det som upphandlingen slutligen fallit på är dock den bristande informationssäkerheten hos leverantörerna vilket framgår tydligt i det beslut som Statens servicecenter tagit angående att avbryta .
Av de åtta anbudsgivarna föll sex bort på grund av de inte uppfyllde kraven på informationssäkerhet, en drog sig ur frivilligt och den enda kvarvarande blev för dyr.
Att informationssäkerheten varit en, med ett understatement, underordnad fråga i e-arkivsammanhang är för mig uppenbart både utifrån den enkät jag gjorde i våras och ännu tydligare i de frågor jag ställt till leverantörer.
De leverantörer jag frågat och där det finns en stark korrelation med de som lämnat anbud till Statens servicecenter har inte kunnat svara på en enda fråga gällande säkerhet alternativt har aktivt beslutat att inte svara.
Detta förhållande borde blivit känt även för Statens servicecenter.
Jag har vid förfrågan inte fått ta del av de säkerhetskrav som Statens servicecenter ställt men i dokumentet som offentliggjorts om upphandlingen visar att flertalet leverantörer som lämnat anbud inte kan visa upp ens den mest elementära styrning av säkerhet i sina tjänster.
För mig är det mest förvånande att Statens servicecenter under fyra år drivit ett projekt med syfte att tillgodose myndigheterna med en e-arkivtjänst inte under denna tid vare sig lyckats med att genomföra en relevant marknadsanalys eller med att förmedla information till leverantörerna om informationssäkerhetens betydelse.
Har man verkligen trott att leverantörerna jobbar med informationssäkerhet utan att man behöver betona det eller har man bara kört på trots indikationer på att det inte fungerar?
Och detta efter Transportstyrelsen och alla de diskussioner som förts om molntjänster och outsourcing?
Nu kan en kritisk läsare tänka att utfallet beror på att Statens servicecenter ställt alldeles orimligt höga säkerhetskrav.
Min bedömning är den motsatta.
De fallerande anbudsgivarna uppfyller inte ens elementära säkerhetskrav som till exempel att ha en informationssäkerhetspolicy eller kunna visa vilka säkerhetskontroller man genomför.
Som sagt; jag har ingen aning om hur säkerhetskraven formulerats i upphandling eftersom det sekretessbelagts.
Men om leverantörerna inte ens har ett LIS eller kan beskriva hur det egna säkerhetsarbetet är organiserat måste dialogen mellan upphandlande myndighet och leverantörer gått allvarligt fel.
Detta är dessutom en upphandling som skett med så kallat förhandlat förfarande där den upphandlande myndigheten inbjuder utvalda leverantörer och förhandlar om kontraktsvillkoren med en eller flera av dem.
Dialogen har syftat till att utforma krav och villkor för om hur en förvaltningsgemensam tjänst för e-arkiv på bästa sätt kan utformas.Under dialogen har sökande presenterat och preciserat sin lösning i enlighet med inbjudan till respektive dialogomgång.
Sammanlagt har sex (6) dialogomgångar .
Projektet har alltså pågått i fyra år med dialoger med hugade leverantörer.
Ändå har man inte fått leverantörerna att inse att de åtminstone måste ha en basal informationssäkerhet för att kunna bli aktuella.
För mig bekräftar det mitt intryck av att e-arkivfrågan på alla nivåer varit tämligen konsekvent isolerad frånt.
I den aktuella upphandlingen har det lett till ett ofruktbart resultat för kunder och leverantörer trots nedlagda resurser.
Vad värre är – att arbetet med att ta fram andra lösningar för e-arkiv avstannat hos myndigheterna och därmed en stor förlust av tid.
I sin till regeringen förklarar Statens servicecenter att man inte lyckats upphandla en tjänst som är ekonomiskt försvarbar i förhållande till investeringen.
Man menar sig dock ha vunnit så viktiga erfarenheter av sina fyra projektår att man vill att regeringen ska ge ett nytt uppdrag till myndigheten för att utreda en lösning där Statens servicecenter upphandlar licenser för drift och lagring hos en annan myndighet.
Jag menar att denna tummetott i form av någon typ av erfarenhet inte bör motivera regeringen att ge Statens servicecenter ett fortsatt uppdrag.
Istället bör Riksarkivet få ett uppdrag att ta fram en strategi för långtidslagring av digital information, d.v.s.
omfatta både mellan- och slutarkiv.
Detta ingår inte specifikt i den pågående arkivutredningens trots att det ändå måste uppfattas vara arkivsektorns kärnuppdrag.
Därför bör ett separat uppdrag om detta formuleras som inkluderar arkivteoretiska, informatiska, tekniska, juridiska och organisatoriska aspekter men även på ett djupare plan den informationssäkerhet som måste inarbetas i lösningen.
En mycket omfattande men oundgänglig uppgift för utredningen är också att ta fram strategier för att lagra de allt mer komplexa informationsinfrastrukturer som byggs upp med både offentliga och privata aktörer.
I dag tycks fortfarande e-arkiv ofta handla om att ”arkivera” enskilda system trots att det inte är så verkligheten ser ut.
Man kan tycka att detta i onödan drar ut på tiden men för mig är detta en nödvändig grund för det digitala långtidsbevarandet och i förlängningen det digitala samhället.
När utredningen är klar och beslut fattats om inriktning bör expertmyndigheten Riksarkivet vara beställare av de tekniska lösningarna där mellanarkivet kanske kan vara förlagt hos Försäkringskassan.
Slutarkivet måste dock, anser jag, finnas hos Riksarkivet.
I detta kan jag inte se att Statens servicecenter kan spela någon väsentlig roll.
Och återigen är mitt credo: är det någonstans informationssäkerhet behövs så är det i e-arkiv!
Efter mitt förra inlägg om e-hälsa har jag fått en del kommentarer som visar att sjukvårdens organisation och i ännu högre grad e-hälsoområdets styrning är en okänd värld för många.
Som en projektledare en gång sa till mig som en förebärare för Trump: ”Hur svårt kan det vara med sjukvård (och e-hälsa)?”.
Ganska svårt skulle jag vilja säga vilket även Trump .
Därför kommer här en inledning för att ytterligare förtydliga hur jag uppfattar organisationen idag (finns utrymme för osäkerhet i detta) samt ge ett praktiskt exempel på vad det leder till.
För att bara titta på den bristande styrningen har jag uppdaterat en gammal bild till hur jag tror det ser ut i dag (jag har inte tagit med finlir som kvalitetsregister och trygghetslarm m.m., m.m.).
Bilden är ett försök beskriva samspelet.
Som framgår är ett flertal myndigheter involverade i olika delar, det finns utförare och leverantörer.
Två saker är slående.
Den första är att det inte finns en överordnad myndighet med mandat att hålla ihop helheten och som kan vara kontaktpunkt för övriga aktörer.
Med tanke på hälso- och sjukvårdens betydelse för samhället i olika dimensioner, de mycket stora offentliga resurser som går till sjukvården och det stora antalet aktörer som deltar i det gemensamma vårdarbetet måste detta ses som ett icke-rationellt sätt att organisera det hela om man vill ha effektivitet, kvalitet och strategisk inriktning.
Det andra är SKL och sjukvårdshuvudmännens organisation som jag menar inte håller måttet för de uppgifter som man åtagit sig.
Sjukvårdshuvudmännen har en roll som offentliga organ som är reglerad i lagstiftningen.
Detsamma gäller för vårdgivare oavsett om de är privata eller offentliga.
Men i denna ordning har alltmer SKL glidit in, en intresseorganisation som inte är en myndighet, inte har en lagfäst roll och inte omfattas av offentlighetslagstiftningen.
Riksrevisionen har pekat på detta i en gällande den generella styrningen på vårdområdet.
Inom e-hälsoområdet är problemen med detta mycket tydligt.
En inte oviktig fråga i detta är att det öppenhetskrav som gäller för myndigheter som landsting, regioner och kommuner försvinner då de samarbetar i sin intresseorganisation.
Nu när aktiviteter som tidigare skedde i respektive huvudmans verksamhet flyttas in i SKL:s hägn (inklusive Inera) försvinner också insynen.
Detta kan jämföras med kommunalförbund där insynsmöjligheten fortfarande finns kvar.
Denna fråga verkar inte engagera SKL i någon högre grad, jag söker på hemsidan för att finna om man frivilligt erbjuder en likande insyn i beslutsunderlag och annat som skulle räknas som allmänna handlingar hos SKL:s medlemmar men ser inga sådana informationsinsatser.
Jag skickade även ett mail till SKL:s infoadress den 24 juli: Hej!
Jag vet att SKL inte är en myndighet och därmed inte omfattas av offentlighetslagstiftningen.
Däremot är SKL:s medlemmar det liksom medlemmarnas uppdragsgivare.
Min fråga är hur eftersträvar SKL att ändå kunna erbjuda motsvarande transparens som medlemmarna förutsätts ha?
Detta borde vara allt viktigare i och med att SKL har tagit på sig allt fler uppgifter av operativ karaktär och frågor som starkt påverkar medlemmarnas prioriteringar och finansiering.
Eller är SKL:s linje att allmänheten får tillräcklig insyn via det material som publiceras på den egna webbplatsen?
Detta mail är fortfarande obesvarat efter ett par veckor, kanske beroende på semestertider, vilket i sig är en intressant illustration av att SKL inte omfattas av kraven på myndigheter att snabbt besvara inkommande frågor.
I frågan om e-hälsa är det dock de bristande organisatoriska förutsättningarna som är mest värda att ifrågasätta.
SKL är i sig inte en organisation som är skapad för att bedriva operativ verksamhet utan för att driva förhandlingar i huvudmännens intresse mot arbetstagare och delvis även mot regeringen.
Nu har man omvandlat sig till något som varken är företag eller myndighet men har en horisontell integration där huvudmännen både är leverantörer och kunder, en typ av organisation som redan Vänerskogs jättelika konkurs 1981 visade problemen med.
Denna oreda av aktörer i en infrastruktur av mycket känslig information är detta, ja jag vågar klämma i med, katastrofalt.
Ett mycket stort antal stort antal aktörer är inne och rycker i den gemensamma informationsinfrastrukturen utan att det finns en konkret inriktning utom den som delas av regeringen och SKL.
Jag noterar att webbplatsen inte uppdaterats sedan oktober 2017 men att det kommit en som mest verkar vara ett underlag för förhandlingar samt ett antal fluffiga mål.
Det är långt till verkstaden om man säger så.
Vad leder detta till i praktiken?
Ett bra exempel är hur den ganska naturliga frågeställningen om att ge patienten tillgång till mer information om sin hälsa, behandlingar m.m har hanterats.
För att klargöra utgångsläget så har patienter haft rätt att ta del av sin journal sedan länge, se patientjournallagen (SFS 1985: 562).
En journalhandling inom enskild hälso- och sjukvård skall på begäran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller kopia, om inte annat följer av 2 kap.
8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.
E-hälsofrågan i det hela handlar mer om patienten kan del av journalen.
Personligen tycker jag att hela frågan är felformulerad – istället borde den ha varit: ”hur informerar vi patienten på bästa sätt?”.
Då hade vårdens arbetsverktyg knappast varit den bästa lösningen utan man skulle jobbat på att ge patienten information i den form och på det sätt som gör det enkelt att ta till sig.
Bortsett från detta så påbörjades under början av 2000-talet i landstingsvärlden projekt med målsättning att tillgängliggöra journalen via nätet.
Observera att detta endast handlar envägskommunikation – att patienten får möjlighet att journalen.
Trots att dessa initiativ pågick bland huvudmännen bestämde Göran Hägglund som socialminister att ett nationellt initiativ skulle inledas för att patientjournaler skulle göras tillgängliga i en tjänst där de kunde användas av tredjeparter efter patientens initiativ.
Jag ser det här som ett utslag av att både e-hälsa och e-förvaltning starkt präglades av att under åren runt decennieskiftet ses som en näringsfråga, d.v.s.
de personuppgifter som myndigheter samlar in ska ses som råvara för privata tjänsteleverantörer.
Do´nt get me started – utrymmer räcker inte till för dra upp alla negativa aspekter av detta… Låt mig istället nöja mig med att detta var en lösning med så många problem inte minst säkerhetsmässigt att den skulle ha lagt sig i byrålådan på ett mycket tidigt stadium.
Nu är det stoppat av Datainspektionen även om eHälsomyndigheten fortsätter att processa stödda av en landets mest exklusiva advokatbyråer till en kostnad på drygt 1,5 miljoner bara 2017 (jag har kollat).
För att summera: det har alltså pågått två parallella projekt utan samordning, så vitt jag kan se, för att överföra information från journal till patienter.
Man har inte i lösningarna tagit höjd för hur behovet att patienten med tillräcklig kvalitet och säkerhet ska kunna föra tillbaka uppgifter till vården – en fråga som i sig är en av grundvalarna i en utvecklad e-hälsa.
Exemplet visar mycket tydligt att det inte finns en gemensam plan, behovsanalys eller medvetenhet om att man bygger en gemensam infrastruktur.
Min erfarenhet från olika sammanhang inom området är det också ofta saknas vilja att ta vara på professionernas intresse av fungerande arbetsverktyg eller etiska krav.
Tråkigt nog tycker jag inte att arbetstagarorganisationerna varit särskilt skickliga på att samla och driva sina medlemmars olika behov, detta är dock bara mer än känslomässig upplevelse från konferensbord och från att ha tagit del av olika debattinlägg.
Trots att alla aktörer med emfas skulle säga att de starkt vurmar för patients intresse kan jag tycka att det är väl lätt att utan fog göra sig till patientens företrädare.
Framför allt är det svårt att hitta insikten i att patienter är vi alla och på samma sätt som vi har väldigt olika syn och intressen i andra frågor har vi det även som patienter.
Ett flagrant exempel på detta är de som ständigt ställer patientsäkerhet mot integritet.
Eller inte erkänner att om en välsituerad grupp använder kommersiella nätläkare för att lindra myggbett så kommer det att inkräkta på andra patienters intressen.
Även här måste finnas en mycket större helhetstanke där e-hälsan sätts i sitt rätta sammanhang.
Slutligen kan jag inte underlåta att gå in på integritetsfrågan och hur det gick när jag försökte begära ut mina personuppgifter från vården.
Även detta är en god illustration av läget.
Först till den juridiska historiken som går att scrolla förbi om man inte är intresserad men den har rätt stor betydelse för det praktiska utlämnandet av personuppgifter.
Enligt den gamla patientjournallagen hade varje vårdgivare ansvar för sin egen journal och om uppgifterna behövdes hos en annan vårdgivare måste vissa mått och steg vidtas.
En ansvarig läkare hos vårdgivare A måste göra en menprövning om det var till men eller gagn för patienten att uppgifterna lämnades ut.
Lämnades uppgifter ut skulle ett journalnotat göras om när, vad och till vem uppgifter lämnats ut och hos vårdgivare B fördes uppgifterna in som ”kopia”.
Hela förfarandet hade fördelar som att det gav mycket god spårbarhet, patienten kunde eventuellt förhindra att information lämnades vidare om man ville skydda sin integritet och det var inte hela journalen som lämnades vidare utan bara relevanta delar.
Jag vill bara påpeka dessa fördelar utan att för den delen behöva anklagas för att vara bakåtsträvare för naturligtvis är detta regler som är svåra att upprätthålla i ett digitalt flöde.
Och, ja, jag är väl medveten om att reglerna inte alltid efterlevdes.
Min poäng är att dessa säkerhetsåtgärder inte ersattes av motsvarande funktioner när patientdatalagen (PDL) infördes.
Mitt intryck efter att ha följt frågan om vårdinformation tämligen ingående sedan 1994 är att det inte ens fanns en ambition att göra det.
Denna min uppfattning stärks när jag läser förarbetena till lagstiftningen.
Jag ser patientdatalagen som ett resultat av mer än ett decenniums påverkanskampanj från olika aktörer med innebörden att säkerhet och integritet inte går att förena med digitaliseringen utan man måste välja.
Valet blev då tämligen enkelt eftersom den tekniska och organisatoriska förändringen redan genomförts.
Resultatet, förutom allt newspeak där dålig säkerhet var bra säkerhet o.s.v., var att i patientdatalagen infördes ”sammanhållen journalföring” som enligt lagens definition betyder: Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.
I och med patientdatalagen ändrades grundprincipen för hanteringen av journaluppgifter från att det tidigare defaultläget var att en vårdgivare inte kunde lämna ut uppgifter utan menprövning till nuvarande defaultläge: att information kan flöda mellan vårdgivare om inte patienten aktivt spärrar utlämnandet.
Ett villkor som satts upp för den sammanhållna journalföringen: Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att andra uppgifter än dem som anges i görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.
En sjuk patient ska alltså ta till sig information om hur informationen kommer att hanteras och dessutom ha kraft genomdriva en spärr om hen bedömer att överföringen olämplig.
Några saker bör särskilt noteras i detta redan orimliga scenario.
För det första innebär direktåtkomsten att vårdgivare 2 får tillgång till vårdinformation hos vårdgivare 1 istället för som tidigare ett journalutdrag över information som bedöms vara relevant för det aktuella sjukdomstillfället.
För det andra förutsätter det att vårdpersonalen hos vårdgivare 1 kan ge upplysningar om hur informationen kommer att hanteras i den sammanhållna journalföringen, vilka som kommer att få tillgång till den exempelvis.
Min visserligen anekdotiska men ändå uppfattning efter att ha frågat ett ganska stort antal anställda i vården finns inte en kunskap inom vården hur informationen hanteras och hur ska då personalen kunna upplysa patienten?
Detta är inte så konstigt för jag tror uppriktigt inte någon idag har kontroll över informationsflödena i vården.
För det tredje lyser ett decennium efter PDL:s ikraftträdande fortfarande möjligheten att faktiskt spärra sin journal med sin frånvaro hos ett stort antal vårdgivare.
I praktiken kan jag inte se att patienten har någon reell möjlighet att vare sig få veta hur den egna vårdinformationen hanteras eller att påverka åtkomsten till den.
Med stöd av den sammanhållna journalföringen har det vuxit fram en vårdinformationsspaghetti där det vad jag kunnat se inte finns vare sig överblick, tydlig styrning eller definierade ansvar.
Detta leder också till att när jag hos min vårdgivare frågar: ”Gör ni journalnotat om vilka samtycken till andra vårdgivare jag givit så att jag kan få en sammanställning över vilka som fått åtkomst till mina uppgifter?” får till svar ” Nej, det finns i dagsläget ingen sådan funktion i COSMIC men detta är under utveckling, det vill säga en samtyckestjänst.
Vi dokumenterar inte i x:s journal andra vårdgivares samtycken, detta är var och ens eget ansvar.
När någon inhämtar ett samtycke i COSMIC så genererar detta en logg samt en referens i journalen.”.
Det vill säga att den vårdgivare som lämnar ifrån sig informationen noterar inte detta utan patienten förväntas ansvara för spårbarheten.
Jag vände mig då till Inera som ansvarar för tjänsten Nationell Patientöversikt som är en slags växel då vårdinformation förs mellan olika vårdgivare.
På frågan om de kan redovisa vilka som eventuellt tagit del av min vårdinformation svarar de: ”Samtycke måste alltid inhämtas av den vårdgivare som ska ta del av din information i NPÖ.
Samtycket ska registreras i det lokala journalsystemet hos den aktuella vårdgivaren.
Det tekniska samtycket loggas i den nationella säkerhetstjänsten som förvaltas av Inera.
Det finns ingen dokumentation från journalinformation och inte heller någon information om varför samtycket har inhämtats.” Deras uppfattning är alltså att de endast har ”tekniska loggar” och att jag fortfarande själv måste hålla reda på mina samtycken trots digitaliseringen.
Det framgår också att de anser att de tekniska loggarna inte är att betrakta som personuppgifter.
Jag har valt att inte fördjupa mig ytterligare i detta men hoppas att andra tar upp den tråden.
Sammantaget skulle jag vilja säga att detta rimmar rätt illa med dataskyddsförordningens krav.
Min egentliga poäng med att försöka beskriva att oreda, de oklara ansvarsförhållandena och bristande överblick är att detta naturligtvis inte bara påverkar patientens möjlighet till personlig integritet.
I ännu högre grad påverkas effektivitet, patientsäkerheten och möjligheten att upprätthålla verksamheten vid större störningar.Särskilt bekymmersamt är det oklara ansvaret som även andra Vad blir då kontentan av allt detta?
Jag tror faktiskt inte huvudfrågan är huruvida sjukvården ska förstatligas utan hur den ska styras (även om jag i dagsläget har litet svårt att se exakt vilket värde den regionala politiska styrningen tillför).
Oavsett om det finns 2 eller 200 000 vårdgivare så måste det finnas en stark statlig styrning som då inte enbart omfattar den offentligt finansierade slutenvården som ett förstatligande skulle innebära.
Den nuvarande bristen på styrningen tjänar såvitt jag kan se enbart oseriösa leverantörer på och möjligen de offentliga företrädare som älskar att åka omkring på olika konferenser och framställa sig som visionära.
Situationen där myndigheter processar mot varandra vittnar väl om något om den rådande anarkin.
Om vi inte klarar av att styra digitaliseringen av vården idag så blir tanken på AI och IoT mardrömslik.
Mina förslag är därför att på äktsvenskt maner tillsätta flera rejäla utredningar men med skillnad från de tidigare inte bilägga facit från uppdragsgivaren.
Jag ser framför mig en handfull utredningar inom olika områden men som är starkt koordinerade så att resultaten går att använda.
Viktigt är att ta hänsyn till de mångskiftande intressen som hälso- och sjukvården ska tjäna, inklusive professionernas och forskningens behov på kort och lång sikt.
Inriktningen bör vara att på samma sätt som på 1940-talet bygga en långsiktigt fungerande infrastruktur i bred politisk enighet.
Några förslag (jag tar inte med komplicerade saker som prioriteringar i vården och patienters egentliga intressen): Puh!
Jag vill verkligen inte påstå att jag kommit med de definitiva sanningarna i dessa komplicerade frågor – det finns så många olika sätt att betrakta den svenska e-hälsan.
Säkert har jag missuppfattat eller vantolkat en massa saker.
Mitt enda försvar är att jag efter bästa förmåga försökt måla upp bild av e-hälsa.
Förhoppningsvis kan dessa långa inlägg stimulera andra att dela bild av samma frågor.
För mig är informationsförvaltning och informationssäkerhet nära sammanhängande frågor med många gemensamma förutsättningar och problem.
Det största gemensamma problemet är kanske att de sällan integreras sinsemellan och inte heller med det som kallas digitalisering.
Eftersom jag fått uppdrag att skriva en bok om dessa frågor började jag fundera på hur jag skulle få en bättre bild av hur sambanden ser ut i praktiken.
En fråga som utkristalliserade sig var e-arkiv som en del av informationsförvaltningen.
För att kunna förstå frågan på rätt sätt är det viktigt att först analysera betydelsen av ”arkiv” och därmed av ”e-arkiv”.
Trots att det både säljs och köps s.k.
e-arkivlösningar finns det ingen definition av vad detta skulle kunna vara.
Jag kommer att återkomma till denna fråga i ett senare inlägg men här nöjer jag mig med att utgå från att e-arkiv är en process för att långsiktigt bevara digital information med autenticitet, spårbarhet, konfidentialitet, sökbarhet samt med processuella värden i behåll.
Samtliga dessa krav kan finnas i olika grad beroende på den information som ska bevaras.
Den som delar min bedömning om vad ska ses som ett e-arkiv är sannolikt beredd på att acceptera att informationssäkerhet och e-arkiv har starkt inbördes beroende.
Min utgångspunkt är också att en stor del av allmänna handlingar ska bevaras över tid liksom en inte obetydlig del av den information som produceras i privata verksamheter.
Även om kraven på konfidentialitet och tillgänglighet i de flesta fall klingar av så är ändå slutsatsen att e-arkivlösningar måste kunna erbjuda minst lika bra informationssäkerhet som de digitala lösningar som hanterar informationens mer aktiva skeden.
För e-arkivet ökar istället kraven på autenticitet som kan sägas vara en kombination av spårbarhet och riktighet.
Genom den aggregering av information som planeras i många e-arkivlösningar ökar också kraven på att skydda mot obehörig åtkomst.
Utan att utveckla detta ytterligare så måste med dessa förutsättningar ett mycket aktivtomge e-arkiven med riskanalyser och informationsklassning m.m.
på minst samma nivå som för andra digitala lösningar.
I en allt mer digital värld är jag också mycket nyfiken på hur dessa frågor ska lösas nationellt och om vi inte måste tänka på ett annat sätt när det gäller det långsiktiga bevarandet än vad vi gjort när det gäller pappershandlingar.
För den oinvigde har Riksarkivet varit slutarkivet för de allmänna handlingar som produceras i statliga myndigheter som i långsam process likt sedimentering vandrar från aktivt skede via mellanarkiv till slutlagring.
Digitaliseringen gör hela denna process onödig, de digitala handlingar som ska bevaras för eftervärlden skulle kunna överföras till slutarkiv i samma ögonblick som de skapas och en kopia hanteras i verksamheten.
Ändå tycks tankegången fortfarande var densamma i praktiken och någon slags mellanarkiv för digital information byggas upp av Statens Servicecenter som outsourcar tjänsten till något av de stora leverantörerna.
Jag ställer mig frågande till hela tanken i detta, att tjänsten byggs upp inte av den myndighet med ansvar och kompetens inom arkivområdet utan en annan, men också inför hur erbjudandet eller påbudet uppfattas av de myndigheter som förväntas delta.
Detta är bakgrunden till att jag i början av 2018 skickade ut en enkät till samtliga myndigheter, regioner/landsting och kommuner med följande frågor: Har ni tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1?
Om ja skulle jag, om möjligt, vilja ta del av den.
Har ni en egen e-arkivlösning eller planerar ni att köpa en tjänst för det eller på annat sätt anlita utomstående?
Om ni planerar att köpa en tjänst eller anlita utomstående: ser ni det som ett mellanarkiv?
Vilken tidshorisont har ni för nyttjandet av tjänsten?
Har ni en Plan för informationssäkerhet enligt 6 kap RA-FS 2009:1?
Om ja skulle jag, om möjligt, vilja ta del av den.
Om/när ni tagit fram en egen e-arkivlösning alternativt anlitat utomstående för tjänsten, har detta då föregåtts av en riskanalys och informationsklassning?
Vilka är, som ni ser det, de viktigaste kraven på informationssäkerhet när det gäller e-arkiv?
Ur offentlighetsperspektivet är svarsfrekvensen dyster för detta är hur många som svarat till dags dato trots att förfrågan även innehöll en begäran om att få ta del av allmän handling: 62 kommuner (21 % av samtliga tillfrågade) 8 regioner/landsting (40 %) 86 myndigheter (24 %) Några noteringar kan göras rörande de svarande.
Bland kommuner är det påfallande att det snarare är de små kommunerna som ansträngt sig för att svara än de medelstora eller stora.
Bland myndigheterna har universitet och högskolor varit exceptionellt bra på att svara (75 %).
Av de myndigheter som ingår i eSam som är ”ett medlemsdrivet program för samverkan mellan 24 myndigheter och SKL.
Samarbetet syftar till att underlätta och påskynda digitaliseringen av det offentliga Sverige.” och som bland annat drivit på frågan om öppna data är det knappt hälften av de ingående myndigheterna som svarat på enkäten.
Här skulle man kanske kunna önska litet mer av att leva som man lär och en vilja att förmedla information även i praktiken.
Hela tanken så som den formuleras idag är att ett ”e-arkiv” på något sätt är en applikation i egen regi, i samverkan, hos en myndighet eller i form av en molntjänst.
Därför tyckte jag också att det var intressant att ställa frågor till olika typer av leverantörer hur de formulerat säkerhetskraven på sina lösningar.
Här var svarsfrekvensen extremt låg när jag ställde dessa frågor: Kan ni redovisa på vilket sätt ni arbetat med informationssäkerhet i tjänsten?
Vilka ser ni som de främsta informationssäkerhetsriskerna kopplade till tjänsten?
Kan ni erbjuda tjänsten på olika skyddsnivåer?
Är alla typer av information möjlig att hantera i dem?
Vilka krav ställer ni på eventuella underleverantörer?
Hur ser ni på ert ansvar i förhållande till användarna av tjänsten då det gäller att uppnå tillräcklig informationssäkerhet?
Har ni ett eget internt ledningssystem för informationssäkerhet (LIS)?
Har ni en utpekad informationssäkerhetsansvarig i er organisation?
Har ni ett eget standardförslag på personuppgiftsbiträdesavtal och är det i så fall möjligt för mig att få ta del av?
Är tjänsten planerad för att klara NIS-direktivet och civilt försvar?
Jag har på dessa frågor inte fått ett enda svar som inte varit av typen ”varför ställer du de frågorna” eller ”kan vi ta det per telefon istället”.
Statens Servicecenter var dock mycket snabba och tillmötesgående och skickade över kravspecifikationen de använt när de försökt upphandla tjänsten e-arkiv.
Min slutsats är att leverantörerna: Inte fått tydligt formulerade säkerhetskrav på sina tjänster Inte har tagit fram ett generellt presentationsmaterial som redovisar vilken säkerhet som deras tjänster erbjuder.
Att säkerhet i tjänsten inte är självklara frågor ser jag som mycket bekymmersamt och som en klar brist på mognad hos dessa tjänster vilket också komplicerar situationen för särskilt mindre organisationer som planerar att upphandla ett ”e-arkiv”.
I nästa blogginlägg kommer jag att redovisa de svar som inkommit från kommuner, landsting/regioner och myndigheter.

Om jag förstår det rätt ligger den här rekryteringssiten som en molntjänst där informationen ligger på Irland?
Använder siten Google Analytics?
Har det gjorts en riskanalys/informationsklassning innan man valde det här sättet att hantera informationen?
Har Försvarsmakten gjort rätt riskbedömning när det valt den här lösningen eller har de liksom många andra fallit för frestelsen och sett all fördelar finns med molntjänsterna och låtit detta få överhanden?
Om riskbedömningen är rimlig att hantera personuppgifter och andra uppgifter om exempelvis placeringar som annars uppfattas känsliga, dessutom i en omfattning som svindlar, i en molntjänst i det här sammanhanget – varför skulle det inte vara det i andra sammanhang som exempelvis i kommunal verksamhet?
Om vi särskiljer lagring och arkiv innebär arkiv den slutliga förvaringen av information som ska bevaras i hundra-, ja tusentals år.
Att införa e-arkiv är alltså inte något som kan vidtas med en händelsehorisont på tio år.
I den svenska myndighetsvärlden råder en viss begreppsanarki där ”arkiv” kan betyda olika saker som en lokal, en institution och en myndighets bestånd av allmänna handlingar vilket jag skrivit om bland annat En myndighet (inklusive kommuner och regioner) skapar och tar emot stora mängder information av vilka en del utgör allmänna handlingar som enligt huvudregeln ska bevaras för framtiden såvida inte ett formellt gallringsbeslut upprättas som sätter en gallringsfrist.
Gallring kan alltså ske efter olika lång tid vilket gör att viss information ska sparas för all framtid medan annan kan gallras efter viss tid.
För pappersbunden information har man därför ofta skapat för att avställa inaktuell information i väntan på långtidsbevarande respektive gallring.
Det är arkivmyndigheten som i huvudsak ska fatta gallringsbeslut.
Här finns dock en mycket stor skillnad mellan statliga myndigheter och kommuner/regioner.
För statliga myndigheter är Riksarkivet arkivmyndigheter medan i kommuner och regioner är deras egna styrelser som utgör arkivmyndigheter En arkivmyndighet har inte bara uppgiften att fatta gallringsbeslut utan även ansvaret för bland annat arkivvård och tillsyn.
I det nu aktuella sammanhanget är det en central förutsättning att när en arkivmyndighet tar hand om ett arkiv så är det också arkivmyndigheten som ”äger” arkivet.
Arkivmyndigheten ansvarar för utlämnande av allmänna handlingar och den ursprungliga arkivbildaren (d.v.s.
myndigheten som lämnat in) kan inte hålla på att rumstera om i informationen.
Trots att arkivredovisningen ska vara processorienterad och att vi idag har stora sammanhängande informationsinfrastrukturer med ett otal antal bärare är e-arkivfrågan fortfarande inriktad på att överföra informationsmängder från enskilda system för arkivering.
I den enkät jag gjorde 2018 bland myndigheter, kommuner och regioner var ett starkt intryck att e-arkivfrågan inte i någon högre grad kopplats samman med informationssäkerhet.
Få att de tillfrågade hade gjort informationsklassningar och riskanalyser, ännu färre kunde redovisa säkerhetskrav att ställa på e-arkiv.
Stärkt samordning av de frågor som påverkar vården i regeringskansliet och en stärkt roll för Socialstyrelsen som sammanhållande kraft i vården och beställare av it-lösningar hos e-Hälsomyndigheten, SKL m.fl.
Hur en gemensam infrastruktur ska kunna byggas upp i konkreta termer och ansvarsförhållandena för detta En ny patientdatalag som lever upp till dagens många olika behov och som inte genar när det blir svårt.
En arkivlag som kan tillgodse kravet på att bevara den gemensamma informationsinfrastruktur som uppstår inom bland annat e-hälsa.
I en ny arkivlag bör finnas utrymme för att fatta beslut om bevaranderegler även för andra än statliga myndigheter, t.ex.
ett krav på att viss vårdinformation ska bevaras för all framtid oavsett vårdgivare.
SKL:s roll med övervägande om liknande krav på öppenhet som gäller de ingående sjukvårdshuvudmännen.
Frågan bör ställas om SKL över huvud taget har de institutionella förutsättningarna att leverera gemensamma e-tjänster eller om detta istället bör ske av myndigheter Utred möjligheten att införa en lösning liknande den norska Normenden svenska vården.
Detta drev jag med klent gehör när jag jobbade på MSB men det är aldrig fel att vädra gamla käpphästar.
MSB måste våga överge sin beröringsskräck för verkligheten och kunna ge faktiskt stöd till bland annat vården.
Hur e-hälsan systematiskt ska utvärderas och vem som ska utföra det.

mellanarkiv en 16 § på vilket sätt läsa alla all en sina

Meny Molntjänster

Bakgrund Vad skulle då upphandlas?
SKI Slutsatser

MENU MENU Postat av Postad i , , , Tagged , , , , Postat av Postad i , , , Tagged , , , , , , Postat av Postad i , , Tagged , , , Postat av Postad i , , , , , , , , Tagged , , , , , , , , , , Postat av Postad i , , , Tagged , , , , , , Sök efter:

För att förena episteme och techne (och förhoppningsvis uppnå fronesis) så behöver professionen sina metoder.
Metoderna är i kunskapssamhället professionens verktyg och det som utgör grunden för en intern gemenskap och en extern uppfattning om vad en medlem i professionen kan utföra.
I detta sammanhang kommer jag att använda begreppet ”metod” som ett systematiskt och enhetligt sätt att utföra en viss aktivitet med ett beskrivet önskat resultat.
I teorin finns också ett antal metoder inom informationssäkerhetsområdet som riskanalys, informationsklassning, incident- och kontinuitetshantering.
Ledningssystem a´ la ISO 27000 kan också ses som en metametod där ovanstående metoder ingår som komponenter.
Frågan är dock hur väl metoderna uppfyller kraven på att vara systematiska, enhetliga och ha beskrivet önskat resultat.
Att metoderna är utvärderade och därmed sägas vara effektiva sedda till sitt syfte bör vara ytterligare ett krav för att de ska sägas fungera.
Förutom införandet av ledningssystem är sannolikt informationsklassning den mest upplyfta metoden för att uppnå bättre informationssäkerhet.
För att göra en snabb bedömning av metoder känns det därför ganska rimligt att titta litet närmare på klassningen så som den beskrivs.
Här har jag ett underlag på divergerande åsikter som uppstod när jag arbetade på MSB och dristade mig till att fram ett förslag på vägledning för informationsklassning.
Den informella remissen ledde till att det ramlade in en mängd svar från informationssäkerhetsmänniskor i framför allt myndigheter.
Jag planerar att använda dessa svar för en litet utförligare analys vid ett senare tillfälle – nu räcker det att säga att synpunkterna gick i alla riktningar och att alla var lika övertygade om att det sättet de uppfattade saken var det enda rätta.
Inte ens var man överens om det skulle heta ”klassning” eller ”klassificering”, ännu mindre om huruvida det är information eller system som ska klassas.
En litet märklig upplevelse vid genomläsningen var att själva syftet med informationsklassningen framstod som så odefinierat i ett antal av svaren, framför allt då man hade invändningar mot att jag i vägledningen beskrivit att informationsklassningen som metod också måste innehålla skyddsnivåer.
Lika fången som andra av min egen tankegång så har jag alltid föreställt mig det som meningslöst att klassa information om det inte leder till konkreta skyddsåtgärder.
Detta var dock inte en uppfattning som delades av alla.
Jag svävar fortfarande i ovisshet om vad då klassningen tjänar till och det är en av de många frågor som jag tycker det vore ytterst intressant att diskutera.
I paradgrenen informationsklassning saknas det alltså enhetlighet samt systematik.
Den bristande systematiken ligger bland annat i att klassningen som aktivitet inte har ett givet samband med andra aktiviteter som exempelvis riskanalys och inte heller beskrivs som en process vars resultat regelbundet utvärderas.
I vägledningen skrev jag till exempel djärvt att klassning ska ses som en form av risk- alternativt konsekvensanalys men fick mycket starkt mothugg mot detta och hur då det systematiska sambandet mellan riskanalysen och klassningen ser ut för dessa skribenter är fortfarande oklart för mig.
Det mest slående i svaren var att ofta saknades argument eller teori för den åsikt man förfäktade.
Istället var det redovisande av hur man själv i praktiken genomför sina klassningar eller, mest återkommande, hänvisningar till hur man tolkat ISO 27000.
Här ligger en viss ironi eftersom en del svar rörande klassningen där man hänvisar till standarden faktiskt går emot vad standarden säger, som när man hävdar att det system som ska klassas samtidigt som standarden uttryckligen säger att det är information.
Mycket av det som kan sägas om informationsklassning kan sägas också om ledningssystem som metod.
Förutom att syftet och genomförandet saknar enhetlighet är båda metoderna synnerligen icke utvärderade.
Jag under senare tid plöjt en hel del av den litteratur som finns på området och har ännu inte hittat några studier som exempelvis utvärderar olika metoder för informationsklassning, ej heller av om ledningssystem på det sätt som standarden föreskriver är ett effektivt sätt att styra informationssäkerhet i en organisation.
Och här måste jag gå in på helig mark och framföra ståndpunkten att ISO 27000, som gett mig så mycket stöd genom åren som yrkesverksam, inte så sällan snarare är ett hinder än en hjälp.
Eller, rättare sagt, vårt användande av standarden som en ersättning för utvärderade metoder utgör ett hinder för oss att bli mer professionella.
ISO 27000 definierar ett område som jag skulle vilja kalla organisatorisk styrning men innehåller ingenting om hur olika aktiviteter ska utföras, och är alltså ingen metod.
Som jag skrev inledningsvis skulle man kunna sträcka det till att standarden översiktligt beskriver en metametod men överlämnar till oss praktiserande att ta fram de konkreta, enhetliga, systematiska och utvärderade metoderna.
Denna metametod börjar kanske också bli litet anfrätt av tiden med sin inriktning på styrning av informationssäkerhet i organisation när information i allt högre grad flödar över organisationsgränser.
ISO 27000 har i många fall blivit en ersättning för metoder vilket vi måste erkänna för att komma vidare.
Istället för att i övermåttan peka på standarden som en bibel måste vi ta uppgiften med metodutveckling på allvar och skapa en gemensam plattform som uppfyller kraven på enhetlighet och systematik.
I ett tidigare inlägg skrev jag om vad jag uppfattar som ett bristande vetenskapligt stöd för detsom bedrivs.
Att inte kunna bottna sitt arbete i etablerad kunskap skapar av naturliga skäl avgörande hinder i det kunskapssamhälle som numera är vårt.
Men om vi kontrafaktiskt skulle anta att det fanns en välutvecklad akademisk kunskap om informationssäkerhet skulle inte denna kunskap vara tillräcklig för att få en verkligt fungerande informationssäkerhet i organisationer och i samhället i stort.
Det behövs också aktörer som vet ”hur” man ska göra, det vill säga tillför techne och fronesis till episteme.
Vad jag avser är en profession av låt oss kalla det informationssäkerhetsspecialister.
Behovet av att skapa nya professioner följer med utvecklingen av det moderna samhället från skråväsendets tillkomst under medeltiden till dagens på olika sätt legitimerade eller auktoriserade yrken.
Professionen skapar legitimitet åt yrkesutövarna, ”paketerar” deras kompetens så att den blir hanterbar även för externa parter som är intresserade av att använda den och, inte minst, utgör en dialogpartner för den akademiska kunskapsutvecklingen.
Den fruktbara relationen mellan profession och akademin kan kanske mest arketypiskt ses inom det medicinska fältet där läkarna genomgått en professionaliseringsprocess under mycket lång tid.
Numera har även andra yrkesgrupper som sjuksköterskor och fysioterapeuter gjort samma resa men för enkelhetens skull ska jag fortsättningsvis hålla fast vid läkarna som exempel.
För den som läst något om medicinhistoria är det uppenbart att samspelet mellan de praktiserande läkarna och den akademiska forskningen varit nödvändigt för att nå fram till dagens möjligheter att faktiskt bota, förebygga och lindra allehanda sjukdomstillstånd.
Sextonhundratalets fältskärer skulle inte genom praktiskt karvande i sårade soldater kunnat generalisera sin kunskap så att den skulle kunna beskriva sårinfektioner på ett allmängiltigt sätt.
Lika litet skulle de medicinska forskarna som faktiskt fanns vid denna tid kunnat avvara den praktiska kunskapen hos dem som dagligdags mötte patienter, om än med bensågen i högsta hugg.
För att detta samspel skulle kunna utvecklas på det fruktbara sätt som faktiskt skett var en viktig faktor att de praktiserande läkarna kom att utgöra en alltmer skarpt avgränsad profession med bestämd kompetens och enhetliga metoder.
Jag gör analogin till informationssäkerhetsområdet där vi har samma behov av att förena teori och praktik.
En professionell yrkesutövning kan borga för den kvalitet som är nödvändig i den praktiskt utövande delen av kunskapsområdet och av denna anledning bör en profession av informationssäkerhetsspecialister skapas.
Utvecklandet av en profession är som sagt den normala gången inom olika kunskapsområden och det finns också en omfattande forskning på temat.
Både inom gruppen själv och för externa parter som arbetsgivare in spe måste det gå att beskriva vad professionens eller (USP) är och också skapa organisatoriska strukturer för att upprätthålla denna USP.
Några av de moment i professionsbildandet som brukar tas upp litteraturen är följande: En grund då en profession vill formalisera sig är att man annekterar ett kunskapsområde och hävdar att den egna gruppen är den främsta/enda som äger denna kunskap, jämför läkare och medicinen.
Förutsättningen är att det går att definiera kunskapsområdet på ett sätt som både gruppen internt och omvärlden kan vara eniga om.
Här finns ett problem för informationssäkerhetsspecialisterna om den beskrivningen av oklarheten i vad kunskapsområdet egentligen består i godtas.
Är det en organisatorisk eller teknisk kompetens som utgör kärnan för att bara ta en av de många frågor som kan ställas.
För att få tillhöra en profession måste det definieras vilken teoretisk och praktisk kunskap man måste besitta.
Det måste också finnas en procedur som är erkänd även av utomstående som garanterar att de som utger sig för att tillhöra professionen verkligen kan antas inneha den rätta kompetensen.
Det räcker alltså inte med att man själv kallar sig ”informationssäkerhetsexpert” eller att man har lösliga grupperingar av typen communities.
En ganska självklar del i detta är en vilket idag saknas inom informationssäkerhetsområdet.
De utbildningar som erbjuds på högskolenivå (vilket vi väl får anta är rimligt att kräva) har ett mycket spretigt innehåll från ”Internationella aktörer och regelverk” till ”It-forensik” för att bara ta ett par exempel från högskolekurser som beskriver sig som utbildning i informationssäkerhet.
Andra utbildningar går in på ren it-säkerhet eller på praktiska metoder men kunskapsområdets otydlighet avspeglar sig i utbildningsutbudet.
Om vi tittar på innehållet i olika populära certifieringar blir bilden än mer otydlig, i en CISSP-certifiering uppges bland annat telekommunikation och mjukvaruutveckling ingå.
Kravet på formaliserad utbildning blir därmed i dag svårt att uppfylla liksom två andra vanliga krav på en profession: inträdeskrav och avgränsning av de som inte hör dit.
För att sammanfatta så kan vem som helst oavsett utbildning, erfarenhet eller personlig lämplighet utge sig för att vara informationssäkerhetsspecialist utan att någon kan hävda motsatsen.
En profession definieras inte bara av kunskap utan också av de specifika normer och den kultur som dess medlemmar ansluter sig till.
Exempel på detta är, förutom läkaretiken, de normer som upprätthålls av advokatsamfundet.
Det innebär också en över de som yrkestitel som följer med professionen.
Detta förutsätter i sin tur någon form av kollegial organisation som kan utöva kontroll och utveckla en yrkesmässig kultur och etik.
Idag saknas flertalet av de förutsättningar som krävs för en professionalisering inom informationssäkerhetsområdet.
Behovet är av en sådan är dock stort och om man ska dra slutsatser av andra yrkesgruppers historia måste frågan drivas av de yrkesverksamma själva.
En svårighet är att det inte finns fackföreningar eller starka intresseföreningar inom området som skulle kunna inleda en sådan process.
Ett första steg är att börja diskutera framtiden på ett öppet sätt och försöka hitta vägar framåt.
Är lämpligt med ett brett anslag där hela den spännvidd som nu ryms under beteckningen informationssäkerhet men med en specialisering på samma sätt som läkarkåren?
Eller bör vi resonera oss fram till en tydligare avgränsning mot it-säkerhet och cybersäkerhet?
Frågorna är många men än saknas forat att diskutera dem i. Som redan framgått är det svårt att ens ge en enhetlig och allmänt accepterad definition av begreppet informationssäkerhet.
Att då kunna beskriva kunskapsområdet informationssäkerhet blir därför av naturliga skäl minst lika svårt.
Ändå menar jag att den enda verkliga legitimitet som informationssäkerhetsområdet kan uppnå måste gå genom att kunna motivera synsätt, metoder och investeringar med ett kunskapsunderlag.
Kunskapsunderlaget måste därför vara av en sådan karaktär att det kan accepteras av de aktörer som vi vill ska anamma synsätten, använda metoderna och göra investeringarna.
Om vi inte kan argumentera utifrån en rationell position återstår att försöka övertyga med känslor eller utifrån särintressen alternativt mycket smalt perspektiv som att exempelvis isolera risk och se den som helt dominerande.
Min uppfattning är att vi idag är ganska långt ifrån att ha ett gemensamt kunskapsunderlag.
Kvaliteten på kunskapsunderlaget kan också ifrågasättas av flera skäl, bland annat inte oväsentliga delar har sitt ursprung i rapporter från bolag som säljer säkerhetsprodukter.
Ett kanske ännu större problem är att det saknas arenor för kunskapsutveckling utanför akademin där en professionell diskussion kan föras.
Istället skulle jag vilja hävda att området präglas av ett anti-intellektuellt förhållningssätt som leder till en stagnation också när det gäller att ta fram praktiskt fungerande lösningar för att förbättra säkerheten.
Utan att gå tvärdjupt är en rimlig utgångspunkt för ett kunskapsområde att det har olika lager av kunskapsnivåer inklusive en teoretisk grund.
För att ett auktoritativt stöd i detta men också skapa en ganska enkel pedagogik tar jag hjälp av Aristoteles som delade upp kunskapen i fem former av vilka jag endast kommer att diskutera tre: (vetenskaplig kunskap, påståendekunskap, veta att) (praktisk-produktiv kunskap, färdighetskunskap, veta hur), (praktisk klokhet, det goda omdömet, veta när) För den som vill veta mer om detta på ett enkelt sätt rekommenderar jag denna .
Min känsla har länge varit att det som uppfattas som kunskap inom informationssäkerhetsområdet går att hänföra till techne med betoning på enkla tumregler och tekniska lösningar.
Många duktiga informationssäkerhetsmänniskor har haft rejäla mått av fronesis så att de kunnat tillämpa den fyrkantiga techne-kunskapen på ett bra sätt i sina organisationer.
Däremot så uppfattar jag att episteme, den vetenskapliga kunskapen med krav på generaliserbarhet och mätbarhet, i hög grad saknas inom informationssäkerhetens kärnområde.
Vad jag då avser är att exempelvis en övergripande teoribildning på det som är vanlig inom samhällsvetenskapliga områden inte riktigt går identifiera i många av de vetenskapliga texter som publiceras om informationssäkerhet.
Det har också ofta slagit mig att jag sällan sett att etablerade uppfattningar och metoder prövas på ett vetenskapligt sätt.
För att snabbtesta mina egna fördomar har gjorde jag en sökning i svenska databaser på aktuell forskning om informationssäkerhet och fick fram några hundra publikationer som jag granskade snabbt och översiktligt utan anspråk på någon som helst vetenskaplighet.
Den som själv gå igenom samma material kan följa den här och den .
I beskrivningarna har jag försökt utläsa om det finns en teoretisk utgångspunkt som på försöker beskriva ett ontologiskt perspektiv om hur informationshantering och informationssäkerhet samverkar och vad informationssäkerhet .
Jag har också försökt läsa ut huruvida författarna verkligen ifrågasatt de etablerade synsätten och metoderna samt prövat dess effektivitet och relevans på ett ”objektivt” sätt.
Slutligen har jag tittat på inom vilken disciplin texten är skriven och om den förefaller vara övervägande organisatorisk eller tekniskt orienterad.
Efter denna snabba och djupt orättvisa genomgång tycker jag mig ändå se vissa tendenser.
Oklarheten i begreppet informationssäkerhet som jag tidigare skrivit om gestaltas också i de vetenskapliga texterna och leder till en spretighet.
Begreppet tycks kunna stå för renodlat tekniska lösningar (som jag kanske hellre skulle kalla it-säkerhet) som organisatoriska.
I de fall där jag läst sammanfattningarna är denna begreppsförvirring och ontologiska brist inte något som författarna tycks uppfatta som ett problem.
Inte heller verkar ontologin i grundbegreppen konfidentialitet, riktighet, tillgänglighet, spårbarhet alternativt CIA-begreppen utgjort en frågeställning i området.
Flertalet texter är skrivna av forskare med teknisk eller systemvetenskaplig bakgrund.
Detta leder till två helt olika problem.
Det första är att fokus ofta kommer att ligga på tekniska lösningar istället för organisatorisk styrning trots att man säger sig skriva om informationssäkerhet.
Det andra är att det är forskare med teknisk eller systemvetenskaplig bakgrund som skriver om organisatoriska frågor vilket ligger utanför deras egentliga kompetensområde, något som kan leda till att de inte helt har de redskap som krävs för en organisatoriskt inriktad forskning.
Sammantaget leder det till att den organisatoriska styrningen bli styvmoderligt behandlad.
Ett genomgående drag är att etablerade synsätt och metoder förefaller förutsättas vara fungerande och effektiva.
Detta gäller i hög grad de mer organisatoriskt inriktade texterna som kan handla om mätning, compliance och säkerhetskultur för att ta några exempel.
Detta gäller även då man exempelvis tittar på mognadsmodeller där mognaden kan ses som en slags compliance till etablerade synsätt och metoder.
Förutom compliance är fenomenologi i en relativt vanlig form av studie.
Det kan handla om hur medarbetare, patienter eller någon annan grupp uppfattar säkerhetsåtgärder eller -behov.
Inte heller här tycks metoder egentligen ifrågasättas utan snarare är det uppfattningarna om dem som kan behöva ändras.
Trots inriktningen mot compliance är det få texter som undersöker värdet av de åtgärder som compliance-kravet gäller.
Att vara compliant till kravet att ha bland annat en incidenthantering följs inte av en undersökning av effektiviteten i olika metoder för incidenthantering för att ta ett hypotetiskt exempel.
Att studera metoder och delta i metodutveckling förekommer dock inom rent tekniska frågeställningar.
Forskning är naturligtvis inte den enda källan till kunskap men det finns frågeställningar inom informationssäkerhetsområdet där jag uppfattar att en vetenskaplig metod är lämplig för att skapa nödvändig kunskap.
Det gäller både en slags grundforskning på ontologisk nivå och för insatser för att på ett vetenskapligt sätt skapa en evidensbaserad kunskap kring effektiviteten i olika, framförallt organisatoriska, metoder.
Denna typ av frågeställningar kan svårligen hanteras av enskilda informationssäkerhetsansvariga eller av enskilda organisationer.
Informationssäkerhetsområdet har stort fokus på techne vilket sannolikt leder till ineffektiva och bakåtblickande metoder.
Det är svårt att föreställa sig samma lösliga relation till evidens inom andra områden som trafiksäkerhet eller medicin trots att dessa områden måste sägas ha likartade tekniska eller hantverksmässiga bakgrund som informationssäkerhet.
Min tes är ju informationssäkerheten inte tycks hålla måttet och följaktligen anser jag kan det finnas anledning att även inom detta område inta den förkättrade normkritiska positionen och ifrågasätta även de mest etablerade sanningarna.
Att forskningen går från att anti-intellektuellt handla om ett slags hantverk till att ge frågorna den analytiska och intellektuellt utmanande behandling som de i sanning kräver.
Att gå från ett förhållningssätt som är konserverande till att bli ett explorativt som ligger i linje med den snabba organisatoriska och tekniska utveckling som sker.
För detta krävs kreativa och odogmatiska forskare som banar väg, skapar ny kunskap och ger oss andra underlag för en förbättrad praktik.
För att ta emot den mer utmanande kunskapsproduktion som skulle bli resultatet krävs en profession som har samma förhållningssätt inom techne och fronesis samt plattformar att mötas på.
Som jag skrev inledningsvis är en av de stora bristerna att den typen av plattformar saknas idag och att ingen nationell aktör känner sig manad att ta på sig ett sådant ansvar.
I nästa inlägg ska jag skriva om professionen – kanske finns det i en stärkt professionalisering en möjlighet till ett mer professionellt kunskapsbygge?
Hunnen så långt i mitt funderande får jag tips om en som visserligen är från 2008 men som bekräftar att några av de intryck jag beskrivit är problem kända sedan tidigare som exempelvis bristen på empiri och, som i citatet nedan, på teoribildning: .
Det tycks alltså finnas fler som funderar över från vilken kunskapsgrund vi egentligen utgår.
I mitt förra inlägg hävdade jag att det är svårt att säga vad informationssäkerhet egentligen är.
En fråga som nära ansluter till detta är vad målet för arbetet med informationssäkerhet är.
Jag uppfattar den frågan som central att analysera både för informationssäkerhet som kunskapsområde och för den enskilda organisationen som inleder eller redan har ett fortlöpande arbete för att hantera den egna informationen på ett säkrare sätt.
Om målet inte är klarlagt är risken överhängande att informationssäkerhet blir ett självändamål.
Detta skulle strida mot en av mina mest grundläggande övertygelser;drig kan ha ett existensberättigande i sig själv utan måste se som en stödfunktion.
Då måste man dock veta vad det är som ska stödjas.
Informationssäkerheten så som vi känner den idag (om vi nu gör det) har en kort historia.
Med det menar jag inte bara begreppet informationssäkerhet vars tidigaste belägg tror jag finns på 1970-talet.
Däremot har vissa synsätt och metoder en betydligt längre historia.
Att skydda information mot obehörig åtkomst är något som skett med olika metoder är i princip lika gammalt som skrivkonsten i olika former.
Även metoder för spårbarhet som signering och för riktighet som vidimering blivit alltmer standardiserade i Europa sedan medeltiden och framåt, och då kanske främst som stöd i det alltmer intensiva ekonomiska livet.
Detta finns ganska väl beskrivet på annat håll men inom informationssäkerhetsområdet har traditionen ofta snarare hämtats från militär och polisiär verksamhet.
Målet för aktiviteterna har som en följd av detta formulerats utifrån militär/polisiära behov snarare än det från det civila samhällets behov av säkra ekonomiska transaktioner, rättssäkerhet för den enskilde och det enskilda företagets möjlighet att ha stöd för sina affärer.
I detta perspektiv är syftet med informationssäkerheten att framför allt skydda staten i någon mening, inte den enskilda verksamheten och allra minst den enskilda individen.
Den militär-polisiära bakgrunden påverkar fortfarande området starkt vilket gör målet för arbetet otydligt – är det nationens intresse som står i förgrunden eller är det vardagliga arbetet i en organisation som på bästa sätt försöker upprätthålla sin egen verksamhet med tillräcklig effektivitet och kvalitet?
Är det de externa kraven för att skydda statens intressen som ska vara det som ska lyftas fram som den främsta målbilden eller är det de interna behoven?
Innan någon börjar rasa ska jag vara tydlig: självklart menar jag inte att det går att enbart tillgodose externa krav eller enbart tillfredsställa interna behov – alla organisationer måste göra båda delar.
Vad jag menar är att det inte längre kan vara tillräckligt att se till externa krav i form av säkerhetsskyddslagen.
Inte heller går det enligt min erfarenhet att med någon större framgång att använda merparten av de informationssäkerhetsmetoder framtagna för militära eller polisiära syften i en tidspressad civil informationshantering.
Min slutsats är därmed att målet fört måste vara att stödja den enskilda organisationen, eller idag snarare informationssamverkande organisationer, att klarlägga sitt eget behov av informationssäkerhet inklusive olika typer av externa krav som riktas mot organisationen/organisationerna.
Föga revolutionerande slutsats kan tyckas, särskilt som den är i stark harmoni med ISO 27000 förutom i avseendet att standarden är helt inriktad på en autonom organisation och inte på e-samhällets allt tätare integration av informationshanteringen.
Om målet accepteras är dock konsekvenserna att ta på allvar.
Den viktigaste konsekvensen är informationssäkerhet som kunskapsområde måste kunna erbjuda effektiva sätt att avgöra vad som organisationens/organisationernas faktiska behov.
Det innebär också möjligheten att det måste finnas en öppenhet för att ledningen inte önskar särskilt mycket säkerhet utan är beredd att ta risken eftersom målet inte är så mycket säkerhet som möjligt.
När ledningen gör bedömningen kommer den att ta hänsyn till ett antal faktorer som den formulerar som verksamhetens behov inklusive att följa relevant lagstiftning.
Relevant lagstiftning är för de flesta civila organisationer i mindre grad säkerhetsskyddslagen medan alla organisationer som hanterar personuppgifter måste leva efter dataskyddsförordningen.
Myndigheter ska dessutom hantera sin information enligt offentlighetslagstiftningen vilket förutsätter god ordning på riktighet och spårbarhet.
Informationssäkerhet är alltså i sig inte ett mål utan ett medel som kan tjäna olika mål som exempelvis god integritet och god offentlighetsstruktur – vilket kan leda till intressanta intressekonflikter.
Detta ligger ganska långt ifrån det traditionella militära perspektivet att vissa handlingar som innehåller specifik information ska stämplas med sekretessmarkering och sedan hanteras enligt väl reglerade metoder.
Att kunna beskriva informationssäkerheten som ett medel är därför ett mål i sig.
Ett mål som ställer krav på kommunikation mellanoch verksamheten.
När verksamheten frågar ”vad ska informationssäkerheten egentligen vara bra för?” är detta en rimlig utgångspunkt och en bra prövosten förför att kunna motivera sitt arbete.
Jag tror vi idag är ganska långt ifrån denna typ av målformulering för vårt arbete.
Alltför ofta motiveras säkerhetsarbetet utifrån ett ganska alarmistiskt agiterande utifrån generella hot.
Verksamhetsanknytning i form av bedömning av de egna riskerna eller genom informationsklassning har ju i de genomförda undersökningarna inte visat sig förekomma i närheten av det som föreskrifter och annat stipulerar.
Den otydliga målbilden kan också göra det svårt att hitta en fungerande yrkesroll som ju snarast bör vara en konsultativ och stödjande funktion än en som söker sin legitimitet främst i externa krav som lagstiftning.
När omvärlden präglas inte bara av en stark teknikutveckling utan även en snabb organisatorisk förändring där offentliga och privata verksamheter delar informationshantering kan inte målet vara enbart att skydda statens intresse.
Istället måste målbilden vara tydlig men dynamisk och anpassad till den verksamhet som ska skyddas med hjälp av informationssäkerheten.
Först då kommer en verklig drivkraft att förbättra informationssäkerheten att komma inifrån verksamheterna själva.
Mitt eget utopiska mål är den osynliga informationssäkerheten, när den är så inarbetad i verksamhetens rutiner att ingen tänker på att den finns och risker ur säkerhetssynpunkt bedöms på samma sätt som andra risker utifrån hur de påverkar verksamhetens resultat.

en formaliserad utbildning kollegial kontroll attribut en episteme techne fronesis är

Meny Metod Inläggsnavigering

En profession behöver metoder

Behovet av en profession Krav på en profession Informationssäkerhetens professionalisering – hur ska vi gå vidare?
Kunskap och informationssäkerhet Episteme, Fronesis, Techne Intryck Och vad blir konsekvensen?

Definition av kunskapsområde Krav på teoretisk och praktisk kunskap som säkerställs genom etablerad procedur Normer och kultur

MENU MENU postat av Postad i , , , , Tagged , , , , , , Postat av Postad i , , , Tagged , , , , Postat av Postad i , Tagged , , , , , Postat av Postad i , , Tagged , , , → Sök efter:

Om jag ser tillbaka och försöker se var jag fått vägledning i min roll som informationssäkerhetsansvarig så är det första jag kommer att tänka på den Handbok i it-säkerhet i tre delar som Statskontoret gav ut 1997.
Även om den angav att innehållet var it-säkerhet var det i realiteten informationssäkerhet den handlade om, det vill säga den organisatoriska styrningen med hjälp av ett antal aktiviteter.
När jag tittar tillbaka i den är det inte så mycket som förändrats vilket väl får sägas vara en ganska dyster insikt.
Trots att Statskontoret inte hade ett mer renodlat informationssäkerhetsuppdrag tog man även fram ett metodstöd och mallregelverk som skulle hjälpa myndigheter att införa ett ledningssystem för informationssäkerhet.
Stödet kallades OffLIS och kom 2003 som en del i arbetet med ”24-timmarsmyndigheten”.
Krisberedskapsmyndigheten (KBM), inrättades efter vissa förvecklingar 2002 och var en av de myndigheter som 2009 slogs samman till dagens MSB.
I KBM:s uppdrag fanns bland annat att ha det sammanhållande myndighetsansvaret för samhällets informationssäkerhet och att utforma en nationell handlingsplan för informationssäkerhet.
Som en del i detta uppdrag tog man fram metodstödet BITS (Basnivå för it-säkerhet) som var tänkt att fungera som en de facto-standard för offentlig sektor.
BITS introducerades kraftfullt av KBM inte minst i kommunerna och bistod även med en slags konsultstöd samt olika typer av bidrag för att exempelvis höja den fysiska säkerheten och förbättra tillgången till reservkraft till kommunala datorhallar.
OffLIS och BITS slogs ihop 2005 för att få en ökad enhetlighet.
Seklets första årtionde var rörligt när de gällde informationssäkerhet.
Vid sidan om KBM:s uppdrag pågick informationssäkerhetsutredningen, Verva skrev föreskrifter om säkert informationsutbyte och Nämnden för elektronisk förvaltning tillsattes 2003 med uppgiften: ” att stödja utvecklingen av ett säkert effektivt elektroniskt informationsutbyte mellan myndigheter och mellan myndigheter och enskilda genom att beslut om vilka standarder för informationsutbyte myndigheter under skulle använda sig av” vilket ju låter välbekant.
Trots att frestelsen är stark ska jag inte gå längre in detta just nu utan bara konstatera att BITS var synnerligen populärt inte minst hos kommuner och efterfrågades långt efter att MSB valt att avveckla stödet.
Ett antal kommuner hänvisar fortfarande i sina styrande dokument till BITS (det är bara att googla och kolla).
Vad var det då som gjorde BITS så populärt?
En vanlig uppfattning bland de kommunala företrädare jag diskuterat frågan med var att BITS gav dem enkla handfasta regler och en tydlig lägstanivå att förhålla sig till.
Utifrån de resurser som står till buds i en liten eller medelstor kommun har detta setts med viss tacksamhet, särskilt då stödet åtföljdes med ett visst konsultativt och ekonomiskt bistånd.
Själv har jag varit skeptisk.
Ett skäl var att BITS var så inriktat på it-säkerhet (även om man vid revideringen 2006 gjorde en strukturell anpassning till ISO 27000).
Ett annat att en tillämpning av BITS leder till en basnivå medan det verkliga behovet i en kommun (liksom i andra organisationer) är att kunna ha olika nivåer av skydd beroende på informationens och verksamhetens karaktär.
Framförallt har jag tyckt att man riskerar att missa den unika organisationens behov.
BITS övergavs också av KBM och sedermera MSB.
Idag är utgångspunkten för de stöd som tas fram att varje organisation ska starta från noll och ta fram sitt eget ledningssystem med alla delar.
Den enskilda organisationen erbjuds det som kallas metodstöd eller delmängder som stöd för att klassa system.
Bara i offentlig sektor innebär det att över 400 myndigheter, 290 kommuner och 21 regioner själva ska ta fram och förvalta respektive ledningssystem, metoder för risk-och kontinuitetshantering och skyddsnivåer.
Detta är en enorm arbetsinsats som dessutom kräver att varje myndighets/kommuns/landstings ledningssystem måste översättas vid samarbeten.
Till detta kommer alla andra nödvändiga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering,….
Objektivt sett kommer detta inte att vara möjligt att genomföra eftersom det inte finns tillgänglig kompetens i en omfattning som ens är i närheten av vad som skulle behövas.
Min uppfattning är att en dellösning på den annars omöjliga ekvationen med starkt ökande krav på systematiskti kombination med en mycket påtaglig brist på tillgänglig kompetens är en ökad standardisering.
Jag har därför börjat ompröva min tidigare inställning.
Som en följd av detta tror jag det dags att ta fram en ny inriktning där en omvärdering göras av de tankar som låg bakom BITS och även OffLIS kan ingå som ett första steg.
Då menar jag inte att en revision av BITS eller en återstart på OffLIS.
Snarare att seriöst analysera vilka delar av esom kan standardiseras i olika typer av organisationer.
Ett nytt koncept borde istället vara inriktat på s. Jag ska här bara skissa upp några punkter där en standardisering skulle kunna ske och ge mycket stora samordningsvinster.
För enkelhetens skull så kan vi ta kommunerna som exempel.
Det är också lämpligt eftersom kommunerna har mycket komplexa säkerhetsbehov som är mycket svåra att hantera för den enskilda kommunen, inte minst för de små och medelstora kommunerna.
De svenska kommunerna har tio obligatoriska uppgifter, det vill säga uppgifter som de enligt lag ska utföra oavsett kommunens storlek och resurser.
Dessa uppgifter genomförs på olika sätt i olika kommuner och i olika organisatoriska konstruktioner.
Men processens olika aktiviteter är i stort sett de samma i flera av dessa obligatoriska uppgifter.
Att söka plats på förskolan eller att administrera den politiska beslutsapparaten innehåller samma moment och i stort samma information om än med olika benämningar.
För att underlätta för kommunerna skulle följande kunna göras nationellt: Naturligtvis bör det framgå att organisationen måste göra egna riskbedömningar och att det enbart är förslag.
Ändå skulle detta vara en mycket värdefull hjälp för kommunerna som också skulle kunna tillämpa grundmodellen för informationsklassning med skyddsnivåer för den unika information som kan utöver de standardiserade förslagen.
Låter mycket att ta fram nationellt tänker ni kanske.
Betänk då att alternativet är att ta fram detta i 290 kommuner, i många fall utan tillräcklig kompetens och resurser, och då få fram inkompatibla lösningar.
Sannolikheten för att flertalet kommuner inte klarar uppgiften och istället får skämmas i rapporter från MSB och Riksrevisionen är inte direkt låg.
Jag menar därför att det är en mycket rimlig investering att skapa nationella lösningar där det faktiskt går.
Hur dessa lösningar ska tas fram och vem som ska ansvara för utveckling och förvaltning tål att diskuteras.
Kanske är en stiftelse där även privata aktörer skulle kunna ingå ett alternativ?

Ta fram en grundmodell för informationsklassning inklusive skyddsnivåer.
Observera att skyddsnivåerna är den stora tunga uppgiften som kommer att kräva långsiktig förvaltning men som kan användas även andra organisationer t.ex.
som stöd för att efterleva NIS-direktivet.
Ta fram en certifieringsinstitution där leverantörer kan certifiera sina tjänster och system på olika skyddsnivåer.
Ta fram ett antal standardprocesser utifrån de obligatoriska uppdragen Identifiera informationen i dessa processer.
Ge stöd för att kartlägga vilka bärare som används för att hantera informationen.
Observera att det inte enbart gäller system och tjänster utan även andra bärare.
Ge förslag på en standardklassning av informationsmängderna.
Med detta som utgångspunkt kan ut skyddsnivåerna plockas fram krav både på den egna verksamheten, egen it och på externa leverantörer av tjänster.

Meny Skyddsnivåer

MENU MENU Postat av Postad i , , , , Tagged , , , , , , Sök efter:

Här kommer en summering av min diskussion med SKR angående ett eventuellt tillämpande av offentlighetsprincipen även inom SKR.
Jag inledde med ett i Dagens samhälle där jag försökte resonera angående varför det vore lämpligt att SKR skulle omfattas av offentlighetsprincipen.
De 3500 tecken som står till buds för en debattartikel omöjliggör naturligtvis en rättvis behandling av de frågeställningar som skulle behövas för en så komplicerad fråga som den jag lyfte.
Ändå tyckte jag än då att det tydligt i min artikel framgick att det finns ett antal skäl till varför SKR:s ställning som ”ideell förening” borde omprövas.
En resonerande inställning där olika argument prövas är dock inget som intresserar SKR.
Istället skickades föreningens VD för att ge ett .
Kanske det ändå inte blev så dräpande som önskat eftersom en hel del läsare (t.ex.
och och ) reagerade på SKR:s icke-svar och den attityd varmed det förmedlades.
Litet orolig blir man ju med tanke på att Isling rekryterats till SKR för .” Själv tycker jag att SKR ofta verkar lida av ett attitydproblem där tjänstemännen antingen uttrycker sig med viss arrogans eller inte alls då motiverade frågor ställs.
Isling är i detta fall inget undantag och är hans förhållningssätt ett exempel på den nya inriktningen för SKR bör man kanske sätta sig och titta litet på på kartan för att ta ut en annan riktning.
I min försökte jag visa att SKR har stora möjligheter att uppnå den öppenhet som Isling menar att man vill men inte kan (enligt honom) ha.
Jag pekar på paradoxen att Inera valt att frivilligt tillämpa öppenhet men inte SKR men det vilar en kanske en ännu större paradox i att SKR ska ge för att utveckla demokratin kommuner och regioner.
Den som ska ge stöd i demokratiutvecklingen borde rimligen vinna på att vara ett föredöme.
För att förstå SKR:s ställning måste man förstå kommunernas (inklusive landstingskommuners även om de kallar sig regioner) ställning i det svenska styrelseskicket.
Även om man ofta pratar om det kommunala självstyret är alla den makt och det inflytande som kommuner har en delegation från den centrala statsmakten.
Kommuners existensberättigande ligger framför allt i att de har en territoriell förankring, d.v.s.
de har en delegation för styrning av vissa frågor inom ett avgränsat geografiskt område samt beskattningsrätt för samma område.
Kommunerna ska alltså kunna utgöra en motpol till den nationella styrningen och tillgodose lokalsamhällets interna behov utan att först behöva passera den nationella nivån (mycket förenklat uttryckt).
Även i detta perspektiv är SKR något av en paradox.
Genom sin ständiga tillväxt och överförande av allt fler kommunala frågor till en nationell nivå så blir legitimiteten hos det kommunala självstyret i samma takt naggat i kanten.
Mitt intresse i debattartikeln var dock främst inriktat på informationshanteringen där information som i kommunerna hanteras enligt TF och OSL blir utslussad till en ideell förening som inte alls har samma krav på sin hantering av samma information.
Det gäller öppenheten där t.ex.
stora framtidsfrågor som digitalisering och e-hälsa beslutas helt utan insyn och medborgardialog.
Men det gäller även skyddet för känslig information som i ursprungskommunerna styrs av OSL.
Jag tänkte på det när jag läste om SKR gjort en stor enkätundersökning om informationssäkerhet i alla kommuner och började då fundera på hur denna känsliga information hanterades inom SKR.
Har de deltagande kommunerna slutit sekretessavtal med SKR och vilken information har de fått om hur informationen hanteras?
Jag läser också om SKR:s där det inte står ett ord om statistiksekretess.
Ytterligare en fråga där sekretessen är av central betydelse är civilt försvar där ett alltmer aktivt deltagande kommer att krävas av kommunerna.
Vilken information i dessa frågor är möjlig att lämna till SKR?
Det är möjligt att dessa frågor hanteras på ett utmärkt sätt men just i och med avsaknaden av tillämplig lagstiftning föreställer jag mig att behovet av avtal blir stort och något krångligt att administrera liksom att ansvarsförhållanden ständigt måste redas ut.
Jag ser en risk för något jag skulle vilja kalla ”trust by proxy”, d.v.s.
att man förutsätter att SKR har samma styrning som de ingående medlemmarna och därmed inte vidtar de skyddsåtgärder som är nödvändiga.
Om jag låter omotiverat misstänksam ber jag om ursäkt men bakgrunden är delvis att det är mycket svårt att få uppgifter om säkerheten inom SKR.
När jag exempelvis ställde en fråga för ett tag sedan om föreningen har en säkerhetsskyddschef fick jag till svar att de behövde man inte svara på eftersom man inte är en myndighet… Sammantaget tror jag man skulle ha mycket att vinna på att vara tydligare i dessa frågor och då inte bara visavi medlemmar.
Alla dessa viktiga välfärdsfrågor som SKR i allt högre grad hanterar så att de därmed försvinner från offentligheten är inte bara viktiga i nuet utan också för framtiden.
Tanken att framtida forskning inte kommer att ha ett grundmaterial att utgår från för att kunna förstå hur vitala offentliga frågor beslutats svider verkligen.
Att SKR inte har ett krav på sig att bevara och tillhandahålla denna information är en förlust för hela samhällsutvecklingen!
Som en liten julklapp till SKR kommer jag här med ett förslag på lösning på problemet så att SKR också kan bedriva verksamheten med den öppenhet man säger sig vilja ha.
Idag är man alltså en ”ideell förening” vilket känns aningen märkligt med tanke på verksamhet och finansiering.
Det gör att det i finns mycket litet av som påverkar hur verksamheten ska bedrivas vilket i och för sig gör det fullt möjligt att tillämpa TF och OSL på samma sätt som Inera beslutat göra.
Å andra sidan finns det en i mitt tycke betydligt mer stabil lösning, nämligen att SKR omvandlas till ett kommunalförbund som det beskrivs i . På det sättet skulle man både få en verksamhet som är effektiv, har reglerade styrformer och de krav på informationshantering som finns i medlemsorganisationerna.
Det skulle bryta den nuvarande rörelsen där delaktighet och insyn försvinner när betydelsen av frågorna ökar men också ge betydligt bättre grund för samarbete mellan stat och kommuner.
I annat fall undrar jag var gränsen för SKR som ideell förening går – hur mycket kommunala uppgifter kan en förening egentligen ta över?
Mottar tacksamt motargument mot omvandlingen till kommunalförbund eftersom för mig känns den lösningen ganska praktisk men säkert har jag förbisett några för andra självklara förutsättningar som talar emot en sådan lösning.
Trots min julklapp tror jag ärligt talat att intresset för att ens överväga övergång från förening till kommunalförbund är mycket svalt inom SKR, det är sällan de som har privilegier som arbetar för att ta bort dem.
Däremot är det en idé att försöka få igång en debatt i riksdagen vilket kan vara en målsättning för 2020.
Ibland är man tvungen att återvända till gamla jaktmarker.
Där är jag nu.
Efter en sensommar och höst då jag funderat en hel över Inera och i förlängningen SKR blev frestelsen för stor och jag började plocka fram gamla luntor ur bokhyllan.
Luntor som jag framför allt samlat på mig när jag började forskarutbildningen i ekonomisk historia med ambitionen att skriva en avhandling om landstingens roll i den svenska modellen.
Sedan kom barn och livet emellan så det blev aldrig mer än en ambition.
Däremot ledde det till ett fortfarande pågående stort intresse för den regionala styrningen och sjukvård samt, som sagt, till en inte obetydlig samling litteratur i frågan.
Livet är cirkulärt och nu gläds jag över att återigen ha anledning att dyka in mina gamla böcker (verkligen gamla).
Jag läser om hur Svenska Landskommuners Förbund, Svenska Landstingsförbundet och Svenska Stadsförbundet via Landstings- respektive Kommunförbundet utvecklats till SKR.
Från att ha varit renodlade arbetsgivarorganisationer med uppgift att ge medlemmarna stöd i förhandlingarna med de anställdas organisationer har SKR nu utvecklats till en organisation med ständigt växande antal anställda och som lika kontinuerligt påtar sig nya operativa uppgifter.
Mycket stora skattemedel fördelas via SKR och en inte på alldeles anspråkslös summa (understatement) går till SKR:s egen interna organisation, se budgeten på sida 49 i denna redovisning jag fått ut från SKR.
per medborgare och år enligt SKR själva.
Slutligen leds SKR av indirekt valda politiker som även har kontroll över de bolag som ingår i SKR-sfären.
Enligt svensk lagstiftning ska offentlighetsprincipen tillämpas i alla myndigheter (inklusive kommuner och regioner) samt kommunala bolag m.m..
I OSL 2 kap står det följande: Vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter ska i tillämpliga delar gälla också handlingar hos aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande.
Sådana bolag, föreningar och stiftelser ska vid tillämpningen av denna lag jämställas med myndigheter.
Kommuner och landsting ska anses utöva ett rättsligt bestämmande inflytande om de ensamma eller tillsammans 1. äger aktier i ett aktiebolag eller andelar i en ekonomisk förening med mer än hälften av samtliga röster i bolaget eller föreningen eller på något annat sätt förfogar över så många röster i bolaget eller föreningen, 2. har rätt att utse eller avsätta mer än hälften av ledamöterna i styrelsen för ett aktiebolag, en ekonomisk förening eller en stiftelse, eller 3. utgör samtliga obegränsat ansvariga bolagsmän i ett handelsbolag.
Vid tillämpningen av andra stycket 1-3 ska inflytande som utövas av en juridisk person över vilken en kommun eller ett landsting bestämmer på det sätt som anges i de nämnda punkterna anses utövat av kommunen eller landstinget.
Första stycket gäller också för handlingar som efter medgivande av en kommun eller ett landsting för viss bestämd tid förvaras hos aktiebolag, handelsbolag, ekonomiska föreningar eller stiftelser där kommuner eller landsting tidigare har utövat ett rättsligt bestämmande inflytande.
Vad som föreskrivs om kommuner och landsting i första-tredje styckena tillämpas också på kommunalförbund.
För en ytlig betraktare förefaller SKR uppfylla alla kriterier som t.ex.
att kommuner/regioner utövar ett rättsligt bestämmande inflytande.
Ändå omfattas inte SKR av offentlighetsprincipen, ett förhållande som är allt mer förvånande ju mer man tänker på det.
Bristen på insyn i en politiskt styrd organisation med den makt SKR har är en anomali i det svenska systemet som sannolikt har sin upprinnelse i de ursprungliga förhandlingsorganisationernas uppgifter.
I arbetsgivarorganisationer med enda syfte att förhandla arbetsvillkor kan möjligen hemlighetsmakeriet accepteras – i en organisation som för kommuners och regioners talan i en mängd frågor, opinionsbildar på ett inte helt okontroversiellt sätt och dessutom leder allt fler operativa verksamheter kan det det inte.
Inte minst att det inte går att utkräva ansvar borde ses som en mycket missklädande fläck i det offentliga Sverige.
Att slutna sällskap inte är nyttiga ens för sig själva är en ganska uppenbar slutsats efter i Svenska Akademien.
Samma faror av vänskapskorruption lurar i SKR, dessutom är man utsatta för ett starkt kommersiellt tryck i exempelvis digitaliseringsfrågorna.
Vad synen att digitalisering är lösningen på i princip alla samhällsfrågor bygger på när inga seriösa siffror som underbygger detta väcker frågan vems intressen som egentligen tjänas av SKR.
Ökad öppenhet i denna och andra frågor skulle ställa krav på samma typ av underlag och ansvar som i de kommuner och regioner som skickat delegater till SKR.
Istället urlakas den demokratiska processen markant i och med överförandet av frågor till SKR.
Det finns även andra skäl att göra en reglering i OSL så att även SKR omfattas av kraven på offentlighet och sekretess.
Ett starkt sådant är att SKR allt mer fungerar som en mellanstation mellan statliga och kommunala myndigheter också kan komma att hantera känslig information som rör exempelvis informationssäkerhet.
Eftersom OSL inte gäller kan det vara svårt för myndigheterna att reglera eller överblicka hur informationen hanteras i föreningen SKR.
Samtidigt är det svårt för kommuner och regioner att ifrågasätta att lämna ut information om sina förhållanden till SKR.
Ytterligare ett skäl är kopplingen till arkivlagen som ställer krav på att allmänna handlingar ska bevaras inte bara av insynsskäl utan även för att garantera rättssäkerhet och möjlighet till forskning.
Risken för att den helt offentligt finansierade verksamheten SKR med sin allt tyngre samhällsroll inte lämnar ett bra forskningsmaterial efter sig är överhängande.
Min enkla poäng är att om SKR agerar som en myndighet ska man behandlas som en myndighet.
Det är dags för SKR att inte bara byta namn utan även vara beredda att ta ansvar i förhållande till sitt inflytande.
Hur OSL och kanske TF behöver förändras och kompletteras med en rad som inkluderar SKR i dess räckvidd bör vara en ganska enkel juridisk manöver (jag är ju inte jurist så jag kan ju unna mig att ta lätt på frågan).
Sannolikt är det en betydligt svårare politisk process att tvinga ut SKR:s makthavare ur den så behagliga hemliga stugvärmen men icke förty är detta vad demokratisk anständighet kräver.
Teknikhistoria är ett fascinerande ämne som jag ägnat mycket intresse genom åren och då alldeles särskilt samspelet mellan teknik, samhällsutveckling och ekonomi.
Frågor som varför vissa tekniska uppfinningar blir innovationer medan andra inte gör det och de institutionella förutsättningar som gör att teknik leder till positiv samhällsutveckling är ganska grundligt beforskade.
En underbar populärvetenskaplig bok på detta tema är Wolfgang Schivelbuschs som jag rekommenderar alla som vill skapa sig en hälsosam distans till det utmattande nuet.
Det är med denna bakgrund som den svenska förvaltningens digitalisering ständigt förvånar mig eftersom dess genomförande tycks strida mot det som framkommit som framgångsfaktorer för införande av ny teknik.
Istället för att bygga gemensam infrastruktur och institutionella förutsättningar har svenska myndigheter och regioner/landsting ägnat sin energi åt någon slags känslomässig påverkan.
Vad är då budskapet i denna känslomässiga kommunikation?
Så här ser de mest förekommande implicita och explicita budskap ut.
Det övergripande budskapet att det finns ett stort antal ludditer som är passionerat motverkar digitalisering och som måste övertygas om att digitalisering är BRA.
Efter noggrant begrundande kan jag inte erinra mig en enda person som varit emot digitalisering, däremot många som varit emot dålig digitalisering.
Det hindrar inte att det förekommer en ständig underström av halmdockor (läs mer om det klassiska fula argumentationsfelet ) när digitalisering diskuteras.
Dessa figurer som med lock och pock måste forceras att överge papper och penna är del i en ganska bra härskarteknik eftersom den som låtsas som att dessa finns då själv framstår som en ljusbringare som står för det ”moderna”.
Och det är något som i svenska sammanhang vördas så är det det moderna, så har det varit sedan 1800-talet, oavsett vad moderniteten stått för.
Det uppenbart ologiska i att hävda att populasen är teknikfientliga bakåtsträvare på jobbet eller när de ska använda offentliga e-tjänster när de samtidigt på sin fritid har olika kommersiella e-tjänster som sina närmaste livskamrater tycks inte störa.
Nästa centrala budskap är att digitalisering per definition är bra vilket leder till den underförstådda tesen att digitalisering är bra.
Som följd av detta görs ingen skillnad mellan bra och dålig digitalisering trots att alla känner till minst fem misslyckade digitaliseringsprojekt i sin närhet.
Att det inte får finnas dåliga digitaliseringsprojekt till en dubbelriktad kultur av icke-existerande uppföljning och erfarenhetsåtervinning; eftersom det inte görs någon uppföljning kan dålig digitalisering inte påvisas.
Jag tittar in på webbplatserna för två centrala aktörer för den offentliga sektorns digitalisering, eSam och SKL, för att se hur man hanterar utvärderingsfrågan.
eSam har gett ut ett antal vägledningar och metodbeskrivningar för digital samverkan (a.k.a.
ta fram digitala lösningar) i alla möjliga skärningar men vad jag kan se har inte uppföljning och utvärdering förlänats något eget metodstöd.
I den 84-sidiga för behovsdriven utveckling finns visserligen dessa rader med: Efter varje införande bör det genomföras en utvärdering för att ta vara på erfarenheter om vad som gick bra respektive mindre bra i behovsinsamling, planering, metodval, samarbete samt hur resultaten mottogs.
Infriade tjänsten de förhoppningar verksamheten och målgruppen tänkt sig?
men i ett systematiskt arbete förväntar man sig ett något större intresse för frågan.
SKL, som får ses som ett epicentrum för den vingliga offentliga digitaliseringen, förvånar mig positivt genom att erbjuda verktyg för uppföljning exempelvis och så kallade LIKA-värderingar som den för socialtjänst.
Tyvärr visar sig dessa undersökningar vara mognadsundersökningar av i vilken omfattning man lyckats digitalisera, d.v.s.
det handlar inte om att utvärdera hur väl digitaliseringen fungerar.
Ointresset för utvärdering är paradoxalt sett i ljuset av att digilisatörerna gärna vill tala om digitalt ledarskap och vikten av styrning samt nyttorealisering (nej, det är ingen idé ni går till den vägledningen för nyttorealisering för den innehåller inget substantiellt om uppföljning).
För att kunna leda, styra och nyttorealisera i verklig bemärkelse måste man arbeta systematiskt med att utvärdera gjorda satsningar ur ett antal aspekter som ekonomi och effektivitet.
Förhållningssättet att arbeta utan systematik är menar jag en av de mest grundläggande orsakerna till att det offentliga Sveriges digitalisering inte alls når den nivå som skulle kunna förväntas med tanke på de investeringar som gjorts.
Att den svenska digitaliseringen kraftigt underpresterar är ett faktum som det nu tycks råda konsensus om även från internationella bedömare som OECD.
Orsakerna till detta borde vara synnerligen intressanta att identifiera och då inte bara genom att komma dragande med gamla kära bortförklaringar som att juridiken inte är anpassad till digitaliseringen.
Kraften i det argumentet är ju inte heller så övertygande då till exempelvis sjukvårdshuvudmän och vårdgivare högaktningsfullt struntar i viss lagstiftning som man finner obekväm.
Det går inte att argumentera för digitalisering med rationella argument, tråkiga och genomarbetade analyser eller krassa ekonomiska beräkningar.
Istället sker kommunikationen med ett överflöd av uttalande av den här typen: Eftersom dessa uttalande inte går att vare sig be- eller vederlägga befinner vi oss i en situation där ledande aktörer inom digitaliseringsetablissemanget ständigt vädjar till våra känslor istället för att föra en dialog grundad i sakfrågor.
Här uppstår tror jag den olyckliga pepp-cirkelargumentationen där utomstående inte kan delta eftersom ramen för deltagandet är satt; bara de som accepterar pepp-läget kan ingå, de som efterfrågar rationalitet, siffror och nytta uppfattas som fientligt inställda och görs mer eller mindre förfinat till icke-deltagare och i värsta fall till halmdockan ”motståndare till digitalisering”.
Att det finns ett digitaliseringsetablissemang (precis som det finns ett informationssäkerhetsetablissemang) som har mycket att försvara blir ganska uppenbart vid minsta lilla glutt in på LinkedIn.
Det vore kul att se ett sociogram över det ganska begränsade antal människor som genom åren konfererat med varandra, gett varandra komplimanger, titlar, priser och positioner.
Man har skapar myndigheter, kommittéer, kommissioner och råd för att underlätta digitaliseringen, oundgängliga roller som regeringens CDO och kommunala digitaliseringsstrateger och peppat varandra på karnevaler och festivaler (det sista var kanske en liten överdrift…).
Digitaliseringen har beskrivits som det största tekniksprånget i historien (jag skulle nog snarare hävda ångmaskinen eller elektriciteten) och som lösningen på flertalet svåra samhällsproblem.
Den arma fackutbildade personalen i välfärdssektorn har fått finna sig att bli mästrade av allehanda ”evangelister” utan definierad kompetens givits utrymme att predika.
Helt olika räknesätt har tillämpats i de kommunala ekonomierna där lärplattformar för bortåt en halv miljard kunnat prioriteras samtidigt med kraftiga nedskärningar på personalen.
Under senare tid har jag alltmer kommit att grubbla över hur den privata sektorn kunnat genomföra sin digitalisering utan detta etablissemang och överbyggnad.
Jag tror att det är dags för ett paradigmskifte inom den offentliga digitaliseringen i Sverige.
Det är inte fel på förutsättningar, ekonomi eller teknik i första hand utan på den metafysik som omger digitaliseringssträvandena, alltså de föreställningar som finns om digitaliseringen och det sammanhang som de digitala lösningarna ska fungera i. Som samhällsmedborgare skulle jag önska att digitaliseringsetablissemanget tar ett steg tillbaka och med viss självkritik granskar sina argument för att kunna börja tillämpa mer kvalitativ och effektiva arbetssätt.
Det vill säga mindre marknadsföring och mera hantverk, mindre känslor och mera strukturellt tänkande, färre halmdockor och fler verkliga läkare och lärare, färre evangelister och flera ingenjörer i vid bemärkelse, mindre digitala lösningar i sig och mer intresse för de resultat som digitaliseringen ger.
Framför allt önskar jag viljan och förmågan till ett normalt kritiskt förhållningssätt till digitalisering.
Ett stöd för denna typ av reflektioner kan vara följande över vanliga villfarelser.
Särskilt rekommenderar jag närstudier av följande bias: sunk cost fallacy, dunning kruger effect, back fire effect, self serving bias och group think.
Det har knappast gått någon förbi att det under några år nu rasar in nya eller nygamla regleringar gäller olika aspekter av informationssäkerhet: dataskyddsförordningen, lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet), ny säkerhetsskyddslag och sedan litet civilt försvar på det.
Samtliga av ovanstående regleringar ”drabbar” primärkommunerna.
En egenhet för primärkommunerna generellt är att kravbördan inom alla områden drabbar samtliga kommuner lika hårt oavsett om de har 4000 invånare eller 900 000.
Detsamma gäller för ovan nämnda nya lagar.
Kommunerna har den, vid sidan om sjukvården, mest komplexa kravbilden på informationssäkerhet i samhället redan från början i kombination med att flertalet av små och medelstora kommuner alltför ofta helt eller delvis saknar den kompetens som behövs för att hantera situationen.
För att uppnå målbilden; ett säkrare Sverige, behöver de ansvariga myndigheterna därmed anstränga sig till det yttersta för att ge ett stöd som fungerar till kommunerna.
Att inta en hållning av typen ”det är deras eget ansvar” är helt meningslöst och kontraproduktivt eftersom det objektivt sett saknas förutsättningar för att de skulle kunna lyckas med det.
Ytterligare en aktör i detta är SKL som under senare påtagit sig ett allt större operativt ansvar i frågor bland annat av denna typ.
Nu är det alltså litet upp till bevis-läge.
Jag ska därför göra en liten kontrollrunda för att se vilken information och stöd Söpple kommun kan räkna med när det gäller NIS och därefter göra en sequel om säkerhetsskyddslagen.
Först en kort bakgrund.
NIS-direktivet antogs av Europaparlamentet 2016 och den svenska lag som följden av detta, lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, trädde med tillhörande förordning i kraft 1 augusti 2018.
Målsättningen med direktivet och följaktligen med lagen är att hög gemensam nivå på säkerhet i nätverk och informationssystem.
Lagstiftningen är inriktad på de nätverk och informationssystem som stödjer samhällsviktiga tjänster i sju sektorer (energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten, digital infrastruktur) samt i digitala tjänster.
Det är inte i en begreppsvärld klar som ett vårregn vi rör oss i här vilket gör att jag hänvisar den intresserade till definitionerna i lag och förordning för att själv bilda sig en uppfattning om den exakta betydelsen i begreppen.
Viktig avgränsning är att lagen inte gäller för verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen.
Däremot gäller den för både offentlig och privat verksamhet.
För att uppnå bättre säkerhet är de främst två krav lagen riktar in sig på.
För det första ska leverantörerna av samhällsviktiga tjänster bedriva einklusive riskanalyser och incidenthantering.
Av någon anledning betonas det särskilt att man också ska vidta åtgärder för att reducera de risker man upptäcker(!).
Man skulle kunna tycka att det är en ganska självklar del i emen lagstiftaren känner ändå att detta måste påpekas.
För det andra är det universalmedlet incidentrapportering som jag i förtroende vill meddela att jag tror är tecknet på att det offentliga säkerhetsarbetet har fastnat i en NPM-fälla.
Det vill säga att tvinga ett antal decentraliserade verksamheter att rapportera in uppgifter som man inte sedan vet vad man ska göra med.
Lagen innehåller också nyheten att leverantörerna av samhällsviktiga och digitala tjänster ska tillsynas vilket i sin tur bygger på att de som lagen berör själva ska anmäla sig till tillsynsmyndigheten.
Om så inte sker, om man inte vidtar korrekta säkerhetsåtgärder eller inte rapporterar incidenter kan en sanktionsavgift tas ut av tillsynsmyndigheten.
Efter dataskyddsförordningen kan ordet ”sanktionsavgift” väcka viss panik men i lagen om informationssäkerhet för samhällsviktiga och digitala tjänster sägs En sanktionsavgift ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor.
10 miljoner kan ju vara skrämmande för en liten kommun men för en större organisation kan det som en summa värd att gambla med.
Vad som är skrämmande är att det inte är en tillsynsmyndighet utan sex förutom MSB: Sammanfattningsvis är min bedömning att det är minst lika omfattande krav som ställs i den här lagen som i dataskyddsförordningen.
Att bedriva ett systematiskt och riskbaseratär en mycket komplex uppgift som de statliga myndigheterna inte lyckas leva upp på något särskilt övertygande sätt trots att kravet funnits i föreskrift i snart ett decennium.
Nu vidgas kretsen som skulle uppfylla den målbilden till även kommuner och landsting vilkas möjlighet att realisera den är långt, långt sämre än de statliga myndigheternas.
Och så till ett stort antal företag som kommer att ta in kravet i sin affärsplanering och vara extremt intresserade av att förstå exakt vad som krävs eftersom säkerhet kostar.
Missförstå mig rätt.
Jag är den första att hävda nödvändigheten av att bedriva eoch då särskilt i kommuner och landsting.
Hur starkt jag än uttrycker den övertygelsen framstår det som ett understatement.
Men för att uppnå detta måste man förstå förutsättningarna.
Jag ska därför här göra ett litet tankeexperiment för att försöka förstå hur den nya lagstiftningen landar i en medelstor kommun som vi kan kalla Söpple kommun.
En första observation är när vi tittar på de obligatoriska uppgifterna för en kommun är att Söpple kommun kommer att få fem tillsynsmyndigheter: Energimyndigheten eftersom man har ett kommunalt elbolag, Transportstyrelsen eftersom man har kommunal kollektivtrafik, IVO eftersom man bedriver hälso- och sjukvård bland annat inom äldrevården, Livsmedelsverket eftersom man producerar och levererar dricksvatten och PTS eftersom man har ett stadsnät (jag har inte här gjort någon skillnad på om det är kommunala bolag).
Söpple kommun måste alltså vara beredda på att dessa fem olika myndigheter kan komma på tillsynsbesök.
Vilka förutsättningar har då Söpple kommun som med sina 24 000 invånare kan sägas vara en normalstor kommun.
I kommunen finns ingen informationssäkerhetsansvarig utan frågan ligger under it vilket också är normalt men olyckligt.
Man har påbörjat en sondering med två grannkommuner för att gemensamt kunna inrätta en tjänst som informationssäkerhetssamordnare vilket suttit hårt åt eftersom varje utgift ställs mot personal i äldreomsorgen.
Tyvärr har man redan insett att även om man lyckas få beslut om medel för en sådan tjänst kommer det att bli extremt svårt att hitta en sökande som både har kompetens och är villig att flytta till Söpple.
Sannolikheten för att hitta någon i kommunen är mycket låg, det finns inga utbildningar för att snabbt utbilda en redan anställd och de som finns på marknaden kan definitivt få bättre betalt än i kommunal verksamhet.
Jag vill bara här återigen understryka att informationssäkerhet i en kommun är på en svårighetsgrad som få informationssäkerhetsansvariga i statlig verksamhet någonsin råkar ut för så är det någonstans kompetens verkligen behövs så är det i kommunerna.
Både tjänstemannaledningen och den politiska ledningen i Söpple kommun är yrvakna.
De har inte hört talas om något NIS-direktiv och har precis tagits sig igenom pärsen med dataskyddsförordningen.
Min hypotes om okunskapen i Söpple bygger jag på att det är just det förhållande som jag stött på när jag varit i kontakt med ett stort antal kommunala företrädare.
För att göra en bedömning om varför beredskapen inför NIS är så låg så gjorde jag i förra veckan en rundvandring på MSB:s och de övriga tillsynsmyndigheternas samt SKL:s webbplatser för att se vilken information som fanns om NIS där.
På MSB:s webbplats finns en sida med undersidor som i huvudsak bygger på vad som står i lag, förordning och MSB:s . Hur olika aktörer ska göra för att de ska kunna klara en tillsyn står det däremot mycket litet om, där hänvisar man till det så kallade Metodstödet som på en tämligen abstrakt nivå går igenom olika aktiviteter som kan ingå i ett systematiskt säkerhetsarbete.
Vällovligt men inte särskilt användbart för en kommun med de mycket konkreta frågor som måste lösas i detta sammanhang – bara en sådan sak som att hantera nämndorganisationen… Ytterligare en komplikation är att man tungt lutar sig mot en standard som inte är fritt tillgänglig, något som kan bli mycket besvärligt när tillsynsaktiviteterna sätter igång.
Det går liksom inte att kräva att varje organisation som ska tillsynas måste köpa standarderna för att veta vad de är tvungna att göra.
Skyldigheterna måste framgå av föreskriften och vara möjliga att granska även i ett offentlighetsperspektiv.
Övriga tillsynsmyndigheter har inte heller de såvitt jag kan se ingen information riktad till kommunerna specifikt.
I vissa fall tycker jag dock att den generella information de erbjuder är överlägsen den som finns på MSB:s webbplats som Energimyndighetens frågor och svar som ger rediga besked i en del kniviga .
Mest sparsmakad är kanske IVO som egentligen bara konstaterar att man är Inte heller SKL erbjuder sina uppdragsgivare något överflöd av information i . Webbplatserna gav alltså inte något bra stöd för Söpple kommun att ta tag i frågan men det är kanske inte den vägen som är den primära för att sprida information till kommunerna – för att börja söka där måste man ju först veta att det finns ett NIS-direktiv.
Jag skickade därför ett mail till MSB.
PTS, Livsmedelsverket, Energimyndigheten, IVO och Transportstyrelsen med följande lydelse: Hej!
Jag skulle vilja ta del av information angående lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet) som x (d.v.s.
den aktuella myndigheten) skickat direkt till kommuner.
Samma meddelande lade jag in i frågelåda på SKL:s webbplats och jag kan redan nu avslöja att jag inte fått något svar på detta.
När det gäller myndigheterna kan man sammanfattningsvis säga att det endast är MSB som skickat ut någon information direkt till kommunerna och då inte till kommunerna specifikt eftersom det handlar om missiven till föreskrifterna när de gått ut på remiss.
Detta skedde sista augusti.
MSB har deltagit i en träff i nätverketkommuner (KIS) och har en frågelåda på webbplatsen där man kan skicka in mail.
Dessa frågor är dock inte ännu synliga för någon annan än den som skickat frågan.
Livsmedelsverket har tagit fram en broschyr som man delat ut på en konferens om dricksvatten.
I övrigt säger sig tillsynsmyndigheterna invänta att MSB ska samordna dem.
Så här fyra månader efter att lagen trätt i kraft är det svårt att inte jämföra med hur vi blev fullständigt översköljda från olika håll med information om dataskyddsförordningen.
Datainspektionen måste faktiskt få en eloge för att man redan ett par år innan det äntligen blev 25 maj 2018 byggde upp informationskanaler både IRL och på sin webbplats.
Jag kommer med särskild glädje ihåg en realtidschatt för kanske två år sedan då det gick att ställa alla möjliga frågor till myndighetens kunniga jurister.
För aktiva personuppgiftsansvariga har det varit fullt möjligt att planera och bygga upp de nödvändiga funktionerna i sin organisation.
Att det sedan inte alltid blivit så är en annan fråga.
Att Datainspektionen bedrivit ett aktivt informationsarbete i god tid innan dataskyddsförordningen blev verklighet gör att de tillsyner man raskt kommit igång med känns rimliga.
Samma sak kan inte sägas i fallet med NIS-direktivet som trots att det varit känt på central nivå i flera år inte alls åtföljts av samma förberedelser.
Utifrån vad jag hittills sett kan mycket väl frågan fortfarande vara helt okänd i Söpple kommun men även hos andra både offentliga och privata aktörer.
Nu verkar ju inte tillsynsmyndigheterna kommit igång än vilket måste vara lika bra sett till det rådande läget när det gäller information och stöd.
Meningen med tillsyn är inte att skapa ett blame game och inte heller innebär tillsyn i sig några förbättringar om det inte tydligt framgår vad som ska göras (jag hävdar detta med viss emfas efter att ha jobbat med tillsyn ett antal år).
Tyvärr tycker jag mig spåra en omedveten trend inom både säkerhet och digitalisering att information från myndigheter främst sker muntligt på konferenser m.m.
Förutom den otydlighet och det breda tolkningsutrymme som övergivandet av skriftlig information innebär gör det att informationen inte når utanför de invigdas krets.
Det är inte heller möjligt att fördjupa sig, gå tillbaka, sprida vidare och att ha kontroll över att det är korrekt information som förmedlas.
Nu när olika lagstiftningar dessutom ska samexistera i en mängd organisationer krävs betydligt djupare resonemang än de som kan förmedlas via en power point-presentation.
För att göra en u-sväng i mitt argumenterande kanske det finns fördelar med att det ännu spridits information och stöd gällande lagen om informationssäkerhet för samhällsviktiga och digitala tjänster.
Nu kanske det finns möjlighet att ta ett nationellt ansvar och samordna de olika regleringarna så att inte varje kommun behöver sitta och försöka få ihop olika lagstiftningar och hur de ska uttolkas för den egna verksamheten?
Låt oss hoppas det.
För att de här nya regleringarna dels ska få genomslag, dels leda till säkerhetshöjande effekter krävs mycket tydlig information om som ska göras till som ska göra något samt stöd för det ska göras, d.v.s.
Dessutom, snälla, behövs samordning så att det blir en enhetlig kravbild.
Utan starkt stöd, gemensam prioritering och samordning kommer Söpple kommun vare sig att klara NIS-direktivet eller säkerhetsskyddslagen.
För kommuner som Söpple där egen kompetens i hög grad saknas tror jag att vi måste tänka mycket mer i fasta skyddsnivåer och ett mycket välutvecklat centralt stöd för att det inte bara ska bli både dålig säkerhet och dålig stämning.Men vem är det då som ska ta ansvar för helheten?
Kanske behövs det rent av en ny informationssäkerhetsutredning som utgår från verklighetens utförare av informationssäkerhet och vad de behöver för att klara uppgiften?
Jag tror helt enkelt vi har råd att leva i en drömvärld där olika aktörer oberoende av varandra pekar på vad de vill ha men ingen talar om för Söpple kommun få ihop det i den egna verksamheten.
Förtydligande: jag har efter jag publicerade detta fått ett påpekande att kommunens stadsnät sannolikt inte faller under NIS men däremot under lagen om elektronisk kommunikation (LEK) som har likartade krav som NIS.
Effekten för Söpple kommun blir alltså ungefär densamma i slutändan.
Sedan jag skrev mitt förra blogginlägg där jag förordade att vi borde införa en starkare gemensam styrning av informationssäkerheten bland annat i form av gemensamma skyddsnivåer samt t.o.m.
ett gemensamt ledningssystem har jag flera gånger fått frågan ”har du kollat på KLASSA?”.
Svaret är ja, det har jag och till och med skrivit på bloggen .
Sedan dess har det skett en viss men som jag ser det så kvarstår de huvudproblem som jag skrev om i det tidigare inlägget.
Att man dessutom tagit bort spårbarhet som en bedömning i klassningen gör ju inte saken direkt bättre (vilket också ett antal personer verksamma i landsting och kommuner upprört framfört till mig).
De mest övergripande invändningarna jag hade var att verktyget bygger på att man klassar system, inte information, och att säkerhetskraven är alldeles för glesa.
Detta kan menar jag leda till att man snarast skapar säkerhetsproblem än förebygger dem eftersom en organisation kan bli invaggad i en falsk trygghet av att ha vidtagit åtgärder när de i själva verket är otillräckliga.
Dessutom stöds samma aktivitet ofta av samma eller snarlik information på olika bärare som i detta exempel från en tämligen harmlös anställningsaktivitet direkt hämtad från verkligheten: Om man då fragmentiserar klassandet till att endast omfatta informationen då den exempelvis befinner sig i rekryteringsverktyget missar man ju att skydda samma information då den förekommer i andra sammanhang.
Ju fler olika typer av tjänster och bärare som används desto viktigare blir det att ha kontroll över informationen oavsett var den befinner sig.
Med tanke på att verktyget är framtaget för kommunal verksamhet blir man litet brydd i detta hänseende när man tänker på vissa av de mest känsliga verksamheterna.
Ta till exempel överförmyndarna där konfidentialitet, riktighet och spårbarhet är oerhört viktiga för att verksamheten ska kunna bedrivas.
Överförmyndarnas informationshantering sker i en komplex mosaik av bland annat enskilda beslutssystem, lagringsytor, papper och mail.
I detta sammanhang är det självklart helt otillräckligt att bara genomföra en systemklassning av ett ärendehanteringssystem.
Man skulle kunna invända att överförmyndarna är en liten och unik verksamhet med specifika krav där man inte kan förvänta sig att generella metoder ska kunna fungera.
Visserligen svarar jag men i grunden gäller detta för de flesta verksamheter inom en kommun eller landsting eller t.o.m.
med en statlig verksamhet oavsett omfattning.
Kraven på säkerhet ligger på alla de bärare, inte bara det som en händelse definieras som ett ”system” (vilket dessutom är alltmer oklar definition sett till dagens tekniska utveckling).
Återigen vill jag propagera för att istället se det som att system och tjänster ska certifieras för att klara vissa skyddsnivåer – inte klassas.
Bortsett från kvaliteten på metoden för klassningen funderar jag över det i mitt tycke oproportionerliga intresse som finns för klassning och incidenthantering.
Samt att detta intresse tar sig uttryck i att klassning respektive incidenthantering ses som fristående aktiviteter och inte som delar i en större helhet.
Det fragmentiserade synsättet går igen i de metoder som presenteras.
Den bärande idéen är att varje organisation med egna resurser och egna värderingar ska styra informationssäkerheten i den egna verksamheten.
Detta menar jag är ett mer och mer verklighetsfrämmande paradigm i en värld där vi i allt högre grad delar information mellan organisationer samt mellan organisationer och individer.
I ett digitalt tjänstesamhälle är det inte den interna säkerheten i den enskilda organisationen som är det mest centrala utan den gemensamma infrastrukturens säkerhet.
Det är ungefär som att i vägtrafiken låta varje transportföretag men även varje individ ta fram sina egna regler och tillämpa dem på de gemensamma vägarna.
Det är klart att man genom frivilliga samordnande insatser och tillsyn skulle uppnå en viss effekt men jag tror de flesta skulle uppfatta det som ett absurt och närmast nihilistiskt trafikpolitiskt förslag.
När det gäller säkerheten i den digitala infrastrukturen är fortfarande en dominerande uppfattning.
I det tidigare blogginlägget om KLASSA ställde jag upp sex krav på en fungerande metod för informationsklassning.
Omättligt krävande som jag är vill jag nu lägga till två ytterligare.
För det första måste metoden vara tillämplig även i ett större sammanhang än i en enskild organisations användning av ett system.
För det andra ingå i en större helhet av systematiskt– att klassa information utan relation till det kretslopp av övriga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering, ansvarsfördelning och uppföljning är inte effektivt säkerhetshöjande.
Särskilt inte om skyddsnivåerna har stora brister.
Informationsklassning är helt enkelt inte sååå viktig i sig.
Men inte ens då tror jag att detta är en särskilt bra väg att gå.
Det inte alldeles enkelt att utföra klassning på ett välavvägt sätt ens med stöd av en bra metod.
Vad som krävs är erfarenhet och kompetens inom informationshantering och risker samt förståelse för hur organisationer fungerar.
Att klassa information är inte att som professor Balthazar stoppa in information i ett rör på en informationsklassningsmaskin och med automatik få ut en färdig klassning.
Därför är det inte en metod där olika organisationer förväntas göra sina egna klassningar en lösning på det mycket stora kompetensunderskottet – kompetensen behövs ändå.
Och om alla gör sina egna bedömningar i en gemensam struktur kan man fråga sig vad som blir resultatet.
En god gissning är att den lägsta nivån blir trendsättande inte minst eftersom om en part har en låg nivå på sina säkerhetsåtgärder riskerar det övriga aktörers säkerhet.
Den som har gjort en större investering riskerar att få denna investering underminerad av den som väljer en lägre nivå – ekonomin i att ändå välja den högre nivån kan starkt ifrågasättas.
Att klassa information är varken så enkelt eller så viktigt som enstaka aktivitet som man ibland vill ge sken av.
Sammantaget vill jag därmed propagera för en mycket starkare styrning av processer, informationshantering och informationssäkerhet där den gemensamma grunden inte är optional.
Vi måste lämna det föråldrade synsättet där ”system” sätts i centrum och istället inse att det är en informationsinfrastruktur som måste hanteras med vederbörlig respekt och med styrande säkerhetsregler.
Kanske har vi förlorat ett decennium av möjligheter att skapa en gemensam informationssäkerhet genom att låta en slavisk tolkning av ISO 27000 kombineras med en flummig samordningstanke.
Det räcker inte med lösryckta initiativ kring olika aktiviteter som klassning utan vi måste se att ebygger på en samverkande helhet av säkerhetsåtgärder.
Om jag ser tillbaka och försöker se var jag fått vägledning i min roll som informationssäkerhetsansvarig så är det första jag kommer att tänka på den Handbok i it-säkerhet i tre delar som Statskontoret gav ut 1997.
Även om den angav att innehållet var it-säkerhet var det i realiteten informationssäkerhet den handlade om, det vill säga den organisatoriska styrningen med hjälp av ett antal aktiviteter.
När jag tittar tillbaka i den är det inte så mycket som förändrats vilket väl får sägas vara en ganska dyster insikt.
Trots att Statskontoret inte hade ett mer renodlat informationssäkerhetsuppdrag tog man även fram ett metodstöd och mallregelverk som skulle hjälpa myndigheter att införa ett ledningssystem för informationssäkerhet.
Stödet kallades OffLIS och kom 2003 som en del i arbetet med ”24-timmarsmyndigheten”.
Krisberedskapsmyndigheten (KBM), inrättades efter vissa förvecklingar 2002 och var en av de myndigheter som 2009 slogs samman till dagens MSB.
I KBM:s uppdrag fanns bland annat att ha det sammanhållande myndighetsansvaret för samhällets informationssäkerhet och att utforma en nationell handlingsplan för informationssäkerhet.
Som en del i detta uppdrag tog man fram metodstödet BITS (Basnivå för it-säkerhet) som var tänkt att fungera som en de facto-standard för offentlig sektor.
BITS introducerades kraftfullt av KBM inte minst i kommunerna och bistod även med en slags konsultstöd samt olika typer av bidrag för att exempelvis höja den fysiska säkerheten och förbättra tillgången till reservkraft till kommunala datorhallar.
OffLIS och BITS slogs ihop 2005 för att få en ökad enhetlighet.
Seklets första årtionde var rörligt när de gällde informationssäkerhet.
Vid sidan om KBM:s uppdrag pågick informationssäkerhetsutredningen, Verva skrev föreskrifter om säkert informationsutbyte och Nämnden för elektronisk förvaltning tillsattes 2003 med uppgiften: ” att stödja utvecklingen av ett säkert effektivt elektroniskt informationsutbyte mellan myndigheter och mellan myndigheter och enskilda genom att beslut om vilka standarder för informationsutbyte myndigheter under skulle använda sig av” vilket ju låter välbekant.
Trots att frestelsen är stark ska jag inte gå längre in detta just nu utan bara konstatera att BITS var synnerligen populärt inte minst hos kommuner och efterfrågades långt efter att MSB valt att avveckla stödet.
Ett antal kommuner hänvisar fortfarande i sina styrande dokument till BITS (det är bara att googla och kolla).
Vad var det då som gjorde BITS så populärt?
En vanlig uppfattning bland de kommunala företrädare jag diskuterat frågan med var att BITS gav dem enkla handfasta regler och en tydlig lägstanivå att förhålla sig till.
Utifrån de resurser som står till buds i en liten eller medelstor kommun har detta setts med viss tacksamhet, särskilt då stödet åtföljdes med ett visst konsultativt och ekonomiskt bistånd.
Själv har jag varit skeptisk.
Ett skäl var att BITS var så inriktat på it-säkerhet (även om man vid revideringen 2006 gjorde en strukturell anpassning till ISO 27000).
Ett annat att en tillämpning av BITS leder till en basnivå medan det verkliga behovet i en kommun (liksom i andra organisationer) är att kunna ha olika nivåer av skydd beroende på informationens och verksamhetens karaktär.
Framförallt har jag tyckt att man riskerar att missa den unika organisationens behov.
BITS övergavs också av KBM och sedermera MSB.
Idag är utgångspunkten för de stöd som tas fram att varje organisation ska starta från noll och ta fram sitt eget ledningssystem med alla delar.
Den enskilda organisationen erbjuds det som kallas metodstöd eller delmängder som stöd för att klassa system.
Bara i offentlig sektor innebär det att över 400 myndigheter, 290 kommuner och 21 regioner själva ska ta fram och förvalta respektive ledningssystem, metoder för risk-och kontinuitetshantering och skyddsnivåer.
Detta är en enorm arbetsinsats som dessutom kräver att varje myndighets/kommuns/landstings ledningssystem måste översättas vid samarbeten.
Till detta kommer alla andra nödvändiga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering,….
Objektivt sett kommer detta inte att vara möjligt att genomföra eftersom det inte finns tillgänglig kompetens i en omfattning som ens är i närheten av vad som skulle behövas.
Min uppfattning är att en dellösning på den annars omöjliga ekvationen med starkt ökande krav på systematiskti kombination med en mycket påtaglig brist på tillgänglig kompetens är en ökad standardisering.
Jag har därför börjat ompröva min tidigare inställning.
Som en följd av detta tror jag det dags att ta fram en ny inriktning där en omvärdering göras av de tankar som låg bakom BITS och även OffLIS kan ingå som ett första steg.
Då menar jag inte att en revision av BITS eller en återstart på OffLIS.
Snarare att seriöst analysera vilka delar av esom kan standardiseras i olika typer av organisationer.
Ett nytt koncept borde istället vara inriktat på s. Jag ska här bara skissa upp några punkter där en standardisering skulle kunna ske och ge mycket stora samordningsvinster.
För enkelhetens skull så kan vi ta kommunerna som exempel.
Det är också lämpligt eftersom kommunerna har mycket komplexa säkerhetsbehov som är mycket svåra att hantera för den enskilda kommunen, inte minst för de små och medelstora kommunerna.
De svenska kommunerna har tio obligatoriska uppgifter, det vill säga uppgifter som de enligt lag ska utföra oavsett kommunens storlek och resurser.
Dessa uppgifter genomförs på olika sätt i olika kommuner och i olika organisatoriska konstruktioner.
Men processens olika aktiviteter är i stort sett de samma i flera av dessa obligatoriska uppgifter.
Att söka plats på förskolan eller att administrera den politiska beslutsapparaten innehåller samma moment och i stort samma information om än med olika benämningar.
För att underlätta för kommunerna skulle följande kunna göras nationellt: Naturligtvis bör det framgå att organisationen måste göra egna riskbedömningar och att det enbart är förslag.
Ändå skulle detta vara en mycket värdefull hjälp för kommunerna som också skulle kunna tillämpa grundmodellen för informationsklassning med skyddsnivåer för den unika information som kan utöver de standardiserade förslagen.
Låter mycket att ta fram nationellt tänker ni kanske.
Betänk då att alternativet är att ta fram detta i 290 kommuner, i många fall utan tillräcklig kompetens och resurser, och då få fram inkompatibla lösningar.
Sannolikheten för att flertalet kommuner inte klarar uppgiften och istället får skämmas i rapporter från MSB och Riksrevisionen är inte direkt låg.
Jag menar därför att det är en mycket rimlig investering att skapa nationella lösningar där det faktiskt går.
Hur dessa lösningar ska tas fram och vem som ska ansvara för utveckling och förvaltning tål att diskuteras.
Kanske är en stiftelse där även privata aktörer skulle kunna ingå ett alternativ?
Efter mitt förra inlägg om e-hälsa har jag fått en del kommentarer som visar att sjukvårdens organisation och i ännu högre grad e-hälsoområdets styrning är en okänd värld för många.
Som en projektledare en gång sa till mig som en förebärare för Trump: ”Hur svårt kan det vara med sjukvård (och e-hälsa)?”.
Ganska svårt skulle jag vilja säga vilket även Trump .
Därför kommer här en inledning för att ytterligare förtydliga hur jag uppfattar organisationen idag (finns utrymme för osäkerhet i detta) samt ge ett praktiskt exempel på vad det leder till.
För att bara titta på den bristande styrningen har jag uppdaterat en gammal bild till hur jag tror det ser ut i dag (jag har inte tagit med finlir som kvalitetsregister och trygghetslarm m.m., m.m.).
Bilden är ett försök beskriva samspelet.
Som framgår är ett flertal myndigheter involverade i olika delar, det finns utförare och leverantörer.
Två saker är slående.
Den första är att det inte finns en överordnad myndighet med mandat att hålla ihop helheten och som kan vara kontaktpunkt för övriga aktörer.
Med tanke på hälso- och sjukvårdens betydelse för samhället i olika dimensioner, de mycket stora offentliga resurser som går till sjukvården och det stora antalet aktörer som deltar i det gemensamma vårdarbetet måste detta ses som ett icke-rationellt sätt att organisera det hela om man vill ha effektivitet, kvalitet och strategisk inriktning.
Det andra är SKL och sjukvårdshuvudmännens organisation som jag menar inte håller måttet för de uppgifter som man åtagit sig.
Sjukvårdshuvudmännen har en roll som offentliga organ som är reglerad i lagstiftningen.
Detsamma gäller för vårdgivare oavsett om de är privata eller offentliga.
Men i denna ordning har alltmer SKL glidit in, en intresseorganisation som inte är en myndighet, inte har en lagfäst roll och inte omfattas av offentlighetslagstiftningen.
Riksrevisionen har pekat på detta i en gällande den generella styrningen på vårdområdet.
Inom e-hälsoområdet är problemen med detta mycket tydligt.
En inte oviktig fråga i detta är att det öppenhetskrav som gäller för myndigheter som landsting, regioner och kommuner försvinner då de samarbetar i sin intresseorganisation.
Nu när aktiviteter som tidigare skedde i respektive huvudmans verksamhet flyttas in i SKL:s hägn (inklusive Inera) försvinner också insynen.
Detta kan jämföras med kommunalförbund där insynsmöjligheten fortfarande finns kvar.
Denna fråga verkar inte engagera SKL i någon högre grad, jag söker på hemsidan för att finna om man frivilligt erbjuder en likande insyn i beslutsunderlag och annat som skulle räknas som allmänna handlingar hos SKL:s medlemmar men ser inga sådana informationsinsatser.
Jag skickade även ett mail till SKL:s infoadress den 24 juli: Hej!
Jag vet att SKL inte är en myndighet och därmed inte omfattas av offentlighetslagstiftningen.
Däremot är SKL:s medlemmar det liksom medlemmarnas uppdragsgivare.
Min fråga är hur eftersträvar SKL att ändå kunna erbjuda motsvarande transparens som medlemmarna förutsätts ha?
Detta borde vara allt viktigare i och med att SKL har tagit på sig allt fler uppgifter av operativ karaktär och frågor som starkt påverkar medlemmarnas prioriteringar och finansiering.
Eller är SKL:s linje att allmänheten får tillräcklig insyn via det material som publiceras på den egna webbplatsen?
Detta mail är fortfarande obesvarat efter ett par veckor, kanske beroende på semestertider, vilket i sig är en intressant illustration av att SKL inte omfattas av kraven på myndigheter att snabbt besvara inkommande frågor.
I frågan om e-hälsa är det dock de bristande organisatoriska förutsättningarna som är mest värda att ifrågasätta.
SKL är i sig inte en organisation som är skapad för att bedriva operativ verksamhet utan för att driva förhandlingar i huvudmännens intresse mot arbetstagare och delvis även mot regeringen.
Nu har man omvandlat sig till något som varken är företag eller myndighet men har en horisontell integration där huvudmännen både är leverantörer och kunder, en typ av organisation som redan Vänerskogs jättelika konkurs 1981 visade problemen med.
Denna oreda av aktörer i en infrastruktur av mycket känslig information är detta, ja jag vågar klämma i med, katastrofalt.
Ett mycket stort antal stort antal aktörer är inne och rycker i den gemensamma informationsinfrastrukturen utan att det finns en konkret inriktning utom den som delas av regeringen och SKL.
Jag noterar att webbplatsen inte uppdaterats sedan oktober 2017 men att det kommit en som mest verkar vara ett underlag för förhandlingar samt ett antal fluffiga mål.
Det är långt till verkstaden om man säger så.
Vad leder detta till i praktiken?
Ett bra exempel är hur den ganska naturliga frågeställningen om att ge patienten tillgång till mer information om sin hälsa, behandlingar m.m har hanterats.
För att klargöra utgångsläget så har patienter haft rätt att ta del av sin journal sedan länge, se patientjournallagen (SFS 1985: 562).
En journalhandling inom enskild hälso- och sjukvård skall på begäran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller kopia, om inte annat följer av 2 kap.
8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.
E-hälsofrågan i det hela handlar mer om patienten kan del av journalen.
Personligen tycker jag att hela frågan är felformulerad – istället borde den ha varit: ”hur informerar vi patienten på bästa sätt?”.
Då hade vårdens arbetsverktyg knappast varit den bästa lösningen utan man skulle jobbat på att ge patienten information i den form och på det sätt som gör det enkelt att ta till sig.
Bortsett från detta så påbörjades under början av 2000-talet i landstingsvärlden projekt med målsättning att tillgängliggöra journalen via nätet.
Observera att detta endast handlar envägskommunikation – att patienten får möjlighet att journalen.
Trots att dessa initiativ pågick bland huvudmännen bestämde Göran Hägglund som socialminister att ett nationellt initiativ skulle inledas för att patientjournaler skulle göras tillgängliga i en tjänst där de kunde användas av tredjeparter efter patientens initiativ.
Jag ser det här som ett utslag av att både e-hälsa och e-förvaltning starkt präglades av att under åren runt decennieskiftet ses som en näringsfråga, d.v.s.
de personuppgifter som myndigheter samlar in ska ses som råvara för privata tjänsteleverantörer.
Do´nt get me started – utrymmer räcker inte till för dra upp alla negativa aspekter av detta… Låt mig istället nöja mig med att detta var en lösning med så många problem inte minst säkerhetsmässigt att den skulle ha lagt sig i byrålådan på ett mycket tidigt stadium.
Nu är det stoppat av Datainspektionen även om eHälsomyndigheten fortsätter att processa stödda av en landets mest exklusiva advokatbyråer till en kostnad på drygt 1,5 miljoner bara 2017 (jag har kollat).
För att summera: det har alltså pågått två parallella projekt utan samordning, så vitt jag kan se, för att överföra information från journal till patienter.
Man har inte i lösningarna tagit höjd för hur behovet att patienten med tillräcklig kvalitet och säkerhet ska kunna föra tillbaka uppgifter till vården – en fråga som i sig är en av grundvalarna i en utvecklad e-hälsa.
Exemplet visar mycket tydligt att det inte finns en gemensam plan, behovsanalys eller medvetenhet om att man bygger en gemensam infrastruktur.
Min erfarenhet från olika sammanhang inom området är det också ofta saknas vilja att ta vara på professionernas intresse av fungerande arbetsverktyg eller etiska krav.
Tråkigt nog tycker jag inte att arbetstagarorganisationerna varit särskilt skickliga på att samla och driva sina medlemmars olika behov, detta är dock bara mer än känslomässig upplevelse från konferensbord och från att ha tagit del av olika debattinlägg.
Trots att alla aktörer med emfas skulle säga att de starkt vurmar för patients intresse kan jag tycka att det är väl lätt att utan fog göra sig till patientens företrädare.
Framför allt är det svårt att hitta insikten i att patienter är vi alla och på samma sätt som vi har väldigt olika syn och intressen i andra frågor har vi det även som patienter.
Ett flagrant exempel på detta är de som ständigt ställer patientsäkerhet mot integritet.
Eller inte erkänner att om en välsituerad grupp använder kommersiella nätläkare för att lindra myggbett så kommer det att inkräkta på andra patienters intressen.
Även här måste finnas en mycket större helhetstanke där e-hälsan sätts i sitt rätta sammanhang.
Slutligen kan jag inte underlåta att gå in på integritetsfrågan och hur det gick när jag försökte begära ut mina personuppgifter från vården.
Även detta är en god illustration av läget.
Först till den juridiska historiken som går att scrolla förbi om man inte är intresserad men den har rätt stor betydelse för det praktiska utlämnandet av personuppgifter.
Enligt den gamla patientjournallagen hade varje vårdgivare ansvar för sin egen journal och om uppgifterna behövdes hos en annan vårdgivare måste vissa mått och steg vidtas.
En ansvarig läkare hos vårdgivare A måste göra en menprövning om det var till men eller gagn för patienten att uppgifterna lämnades ut.
Lämnades uppgifter ut skulle ett journalnotat göras om när, vad och till vem uppgifter lämnats ut och hos vårdgivare B fördes uppgifterna in som ”kopia”.
Hela förfarandet hade fördelar som att det gav mycket god spårbarhet, patienten kunde eventuellt förhindra att information lämnades vidare om man ville skydda sin integritet och det var inte hela journalen som lämnades vidare utan bara relevanta delar.
Jag vill bara påpeka dessa fördelar utan att för den delen behöva anklagas för att vara bakåtsträvare för naturligtvis är detta regler som är svåra att upprätthålla i ett digitalt flöde.
Och, ja, jag är väl medveten om att reglerna inte alltid efterlevdes.
Min poäng är att dessa säkerhetsåtgärder inte ersattes av motsvarande funktioner när patientdatalagen (PDL) infördes.
Mitt intryck efter att ha följt frågan om vårdinformation tämligen ingående sedan 1994 är att det inte ens fanns en ambition att göra det.
Denna min uppfattning stärks när jag läser förarbetena till lagstiftningen.
Jag ser patientdatalagen som ett resultat av mer än ett decenniums påverkanskampanj från olika aktörer med innebörden att säkerhet och integritet inte går att förena med digitaliseringen utan man måste välja.
Valet blev då tämligen enkelt eftersom den tekniska och organisatoriska förändringen redan genomförts.
Resultatet, förutom allt newspeak där dålig säkerhet var bra säkerhet o.s.v., var att i patientdatalagen infördes ”sammanhållen journalföring” som enligt lagens definition betyder: Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.
I och med patientdatalagen ändrades grundprincipen för hanteringen av journaluppgifter från att det tidigare defaultläget var att en vårdgivare inte kunde lämna ut uppgifter utan menprövning till nuvarande defaultläge: att information kan flöda mellan vårdgivare om inte patienten aktivt spärrar utlämnandet.
Ett villkor som satts upp för den sammanhållna journalföringen: Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att andra uppgifter än dem som anges i görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.
En sjuk patient ska alltså ta till sig information om hur informationen kommer att hanteras och dessutom ha kraft genomdriva en spärr om hen bedömer att överföringen olämplig.
Några saker bör särskilt noteras i detta redan orimliga scenario.
För det första innebär direktåtkomsten att vårdgivare 2 får tillgång till vårdinformation hos vårdgivare 1 istället för som tidigare ett journalutdrag över information som bedöms vara relevant för det aktuella sjukdomstillfället.
För det andra förutsätter det att vårdpersonalen hos vårdgivare 1 kan ge upplysningar om hur informationen kommer att hanteras i den sammanhållna journalföringen, vilka som kommer att få tillgång till den exempelvis.
Min visserligen anekdotiska men ändå uppfattning efter att ha frågat ett ganska stort antal anställda i vården finns inte en kunskap inom vården hur informationen hanteras och hur ska då personalen kunna upplysa patienten?
Detta är inte så konstigt för jag tror uppriktigt inte någon idag har kontroll över informationsflödena i vården.
För det tredje lyser ett decennium efter PDL:s ikraftträdande fortfarande möjligheten att faktiskt spärra sin journal med sin frånvaro hos ett stort antal vårdgivare.
I praktiken kan jag inte se att patienten har någon reell möjlighet att vare sig få veta hur den egna vårdinformationen hanteras eller att påverka åtkomsten till den.
Med stöd av den sammanhållna journalföringen har det vuxit fram en vårdinformationsspaghetti där det vad jag kunnat se inte finns vare sig överblick, tydlig styrning eller definierade ansvar.
Detta leder också till att när jag hos min vårdgivare frågar: ”Gör ni journalnotat om vilka samtycken till andra vårdgivare jag givit så att jag kan få en sammanställning över vilka som fått åtkomst till mina uppgifter?” får till svar ” Nej, det finns i dagsläget ingen sådan funktion i COSMIC men detta är under utveckling, det vill säga en samtyckestjänst.
Vi dokumenterar inte i x:s journal andra vårdgivares samtycken, detta är var och ens eget ansvar.
När någon inhämtar ett samtycke i COSMIC så genererar detta en logg samt en referens i journalen.”.
Det vill säga att den vårdgivare som lämnar ifrån sig informationen noterar inte detta utan patienten förväntas ansvara för spårbarheten.
Jag vände mig då till Inera som ansvarar för tjänsten Nationell Patientöversikt som är en slags växel då vårdinformation förs mellan olika vårdgivare.
På frågan om de kan redovisa vilka som eventuellt tagit del av min vårdinformation svarar de: ”Samtycke måste alltid inhämtas av den vårdgivare som ska ta del av din information i NPÖ.
Samtycket ska registreras i det lokala journalsystemet hos den aktuella vårdgivaren.
Det tekniska samtycket loggas i den nationella säkerhetstjänsten som förvaltas av Inera.
Det finns ingen dokumentation från journalinformation och inte heller någon information om varför samtycket har inhämtats.” Deras uppfattning är alltså att de endast har ”tekniska loggar” och att jag fortfarande själv måste hålla reda på mina samtycken trots digitaliseringen.
Det framgår också att de anser att de tekniska loggarna inte är att betrakta som personuppgifter.
Jag har valt att inte fördjupa mig ytterligare i detta men hoppas att andra tar upp den tråden.
Sammantaget skulle jag vilja säga att detta rimmar rätt illa med dataskyddsförordningens krav.
Min egentliga poäng med att försöka beskriva att oreda, de oklara ansvarsförhållandena och bristande överblick är att detta naturligtvis inte bara påverkar patientens möjlighet till personlig integritet.
I ännu högre grad påverkas effektivitet, patientsäkerheten och möjligheten att upprätthålla verksamheten vid större störningar.Särskilt bekymmersamt är det oklara ansvaret som även andra Vad blir då kontentan av allt detta?
Jag tror faktiskt inte huvudfrågan är huruvida sjukvården ska förstatligas utan hur den ska styras (även om jag i dagsläget har litet svårt att se exakt vilket värde den regionala politiska styrningen tillför).
Oavsett om det finns 2 eller 200 000 vårdgivare så måste det finnas en stark statlig styrning som då inte enbart omfattar den offentligt finansierade slutenvården som ett förstatligande skulle innebära.
Den nuvarande bristen på styrningen tjänar såvitt jag kan se enbart oseriösa leverantörer på och möjligen de offentliga företrädare som älskar att åka omkring på olika konferenser och framställa sig som visionära.
Situationen där myndigheter processar mot varandra vittnar väl om något om den rådande anarkin.
Om vi inte klarar av att styra digitaliseringen av vården idag så blir tanken på AI och IoT mardrömslik.
Mina förslag är därför att på äktsvenskt maner tillsätta flera rejäla utredningar men med skillnad från de tidigare inte bilägga facit från uppdragsgivaren.
Jag ser framför mig en handfull utredningar inom olika områden men som är starkt koordinerade så att resultaten går att använda.
Viktigt är att ta hänsyn till de mångskiftande intressen som hälso- och sjukvården ska tjäna, inklusive professionernas och forskningens behov på kort och lång sikt.
Inriktningen bör vara att på samma sätt som på 1940-talet bygga en långsiktigt fungerande infrastruktur i bred politisk enighet.
Några förslag (jag tar inte med komplicerade saker som prioriteringar i vården och patienters egentliga intressen): Puh!
Jag vill verkligen inte påstå att jag kommit med de definitiva sanningarna i dessa komplicerade frågor – det finns så många olika sätt att betrakta den svenska e-hälsan.
Säkert har jag missuppfattat eller vantolkat en massa saker.
Mitt enda försvar är att jag efter bästa förmåga försökt måla upp bild av e-hälsa.
Förhoppningsvis kan dessa långa inlägg stimulera andra att dela bild av samma frågor.
I maj när dataskyddsförordningen trädde i kraft inledde jag ett test: att genom att ställa frågor om hur mina personuppgifter hanterades i vården ville jag göra en temperaturmätning av den kontroll som vården generellt har över vårdinformationen.
För hälso- och sjukvård innebär (i princip) inte dataskyddsförordningen någon så stor skillnad eftersom både patientdatalagen och PuL redan gett patienten möjlighet att få tillgång till sin information och (i teorin) spärra åtkomsten till sin vårdinformation.
I verkligheten är det och har det sedan patientdatalagen varit svårt för att inte säga omöjligt att få veta hur patientuppgifter hanteras – det är i alla fall min uppfattning som jag ville pröva genom att begära upplysningar om mina egna vårduppgifter med stöd av dataskyddsförordningen.
Svaren på mina frågor var negativa (vilket jag kommer att återkomma till senare) men jag fick underlag rörande dagssituationen inom e-hälsoområdet.
Detta inlägg svävar ut in extremis och handlar om i vilket landskap som digitalisering av vårdinformationen sker.
Jag ska resonera om den bristande styrningen av e-hälsa samt pusta ut orosmoln om informationssäkerhet och det långsiktiga bevarandet av vårdinformationen.
I ett följande inlägg kommer jag att skriva mer om den bakomliggande juridiken.
Först till organisationen av den svenska sjukvården som förvånansvärt många som gör inlägg i e-hälsofrågor inte tycks bottna helt i. Tillåt mig att roa mig med en historisk utflykt.
Den svenska vården är i huvudsak offentligt finansierad via skattemedel.
Det regionala ansvarar för att erbjuda vård inom det egna upptagningsområdet enligt hälsosjukvårdslagen.
Men landstingen och regioner behöver inte själva vara utförare av all vård utan kan även vara privata.
Andelen privata vårdgivare har tillväxt mycket starkt under de senaste 20 åren men strukturen med självständiga landsting som sjukvårdshuvudmän har funnits sedan 1862 (med varierande uppdrag).
Redan här finns underlag för vanliga missuppfattningar om ansvar men också reella problem eftersom de flesta krav i föreskrifter m.m.
riktas mot vårdgivarna och inte sjukvårdshuvudmännen.
När det gäller säkerhet och integritet har dock vårdgivarna inte så stora möjligheter att påverka sin situation trots att de har ansvaret – de tvingas (formellt eller informellt) ofta av sjukvårdshuvudmän, SKL eller myndigheter att använda lösningar oavsett egna säkerhetskrav.
Landstingen är kommuner med en politisk ledning vilket gör att inriktningen för olika landsting och regioner kan variera.
För e-hälsan som av naturliga skäl blir allt mer nationell är detta en ansvarsfördelning som innebär stora problem, inte minst eftersom landstingspolitiker använt rollen för egna, i mitt tycke kortsiktiga, kampanjer.
En misstanke som gror är att e-hälsa används av politiker för att undkomma att diskutera den offentligt finansierade vårdens grundfråga: den nödvändiga prioriteringen.
Det är ett väl känt faktum att det inte finns någon bortre gräns för behovet av vård, det finns hela tiden nya sjukdomar och tillstånd som kan behandlas och definitionen av hälsa kan sättas så högt att inte minsta krämpa blir acceptabel.
Däremot är vårdens resurser begränsade – alltså måste prioriteringar ske.
Detta är den mest laddade av alla frågor för sjukvårdspolitiker eftersom prioriteringar ofelbart kommer att leda till att några patienter blir missnöjda.
Den som tillsattes i slutet av nittiotalet för att ge de lokala politikerna stöd i form av nationella prioriteringslistor släppte också snabbt den glödheta potatisen och lämnande ifrån sig litet allmänna rekommendationer om hur processen för prioriteringar skulle kunna ske .
Min teori är att politiker och högre tjänstemän i vården nu (omedvetet) använder e-hälsa som en dimridå för att undvika frågan om prioriteringar genom att hävda att e-hälsosatsningar skulle kunna leda till enorma effektivitetsvinster (som då underförstått skulle leda till att får den vård de vill ha).
I verkligheten sker en mycket negativ icke-styrd prioritering av sjukvårdsmedel genom bland annat kommersiella nätläkare där en ohelig allians mellan nätläkarnas ekonomiska intresse och människor med lättare krämpor prioriterar upp sig på bekostnad av andra med reella hälsoproblem.
En hårdvinklad beskrivning men ni förstår vad jag menar.
Detta sätter stark press på sjukvårdspolitiker som i vissa fall måste säga nej men hellre säger att e-hälsa kommer att lösa problemen.
Själv är jag positiv till de former av e-hälsa som leder till reella förbättringar men att tro att den ska kunna upphäva den omöjliga ekvationen mellan outtömliga behov och begränsade resurser är en vanföreställning som ansvarsfulla politiker borde göra upp med.
En annan viktig negativ faktor är SKL:s förändrade roll.
SKL driver sina medlemsorganisationers intressen i förhållande gentemot uppdragsgivaren staten, d.v.s.
att man vill att staten ska styra så litet som möjligt (även om det inte uttrycks preeeecis så) vilket ökar på fragmentiseringen ytterligare.
Den tidigare sammanhållande myndigheten Socialstyrelsen som var en beredande motpart för SKL blev sönderslagen för några år sedan.
Uppgifterna är nu fördelade på fyra myndigheter som tillsammans med Läkemedelsverket tycks ha ett tämligen lågintensivt samarbete.
SKL och sjukvårdshuvudmännen agerar som månghövdad maktfaktor utan eget ansvar i det tomrum som skapades när Socialstyrelsen nedmonterades.
Dessutom står e-hälsoområdet under ett starkt kommersiellt intresse, inte bara genom nätläkarna.
Den nära alliansen mellan känns inte helt betryggande för det kommande.
I den tidigare regeringen var två av hälso- och sjukvårdsministerns statssekreterare hämtade från it-leverantörer vilket Dagens samhälle skrev om förra året.
Förväntan på stora vinster inom vården och en kanske alltför nära relation är knappast positiva nyheter för patienter och skattebetalare.
Eftersom jag intresserat mig en hel del för den svenska sjukvårdens historia kan jag inte undgå att fundera över att maktbalansen mellan staten som är uppdragsgivaren och utförarna, d.v.s.
sjukvårdshuvudmännen (regioner och landsting) samt numera SKL, har förskjutits.
Att göra historiska jämförelser är alltid vanskligt men för mig går det inte att motstå frestelsen att försöka analysera varför e-hälsa och digitalisering relativt sett varit så litet framgångsrika samhällsprojekt i förhållande till de resurser som satsat.
Hade det gått att prata fram e-hälsa och digitalisering hade det svenska samhället genomgått ett Civilization-moment där den framgångsrike spelaren lyckas uppfinna elektricitet på 1100-talet.
Men tyvärr räcker det inte med miljontals power point bilder, konferensinlägg, möten, testbäddar och avgränsade dellösningar för att skapa infrastruktur.
I detta delar jag uppfattningen i om floden av åsikter.
Jag tror mig att se några orsaker till det haltande genomförandet av något som trots allt alla varit överens om ska genomföras.
Detta är en situation som i mycket liknar den som rådde från slutet av fyrtiotalet och i ett par decennier framåt då det skedde en så här i efterhand nästan ofattbar mobilisering och utbyggnad av den svenska hälso- och sjukvården.
När jag skrev en historik om den värmländska sjukvården häpnade jag över att landstinget under en tioårsperiod byggde inte mindre än fyra nya sjukhus!
Även om jag är starkt lockad ska jag inte gräva ner mig ytterligare i detta utan bara tacksamt konstatera att den samhälleliga kraftsamling är något som vi nu fortsätter att skörda frukterna av.
Hur kunde man lyckas med denna infrastrukturella revolution?
En första förutsättning var att det fanns en stark politisk enighet om att detta skulle genomföras även från de borgerliga partierna som annars kampanjade för skattesänkningar.
Men till skillnad mot e-hälsoutvecklingen (liksom digitaliseringen i övrigt) nöjde man sig inte med den politiska enigheten utan skapade även de institutionella förutsättningarna (för den som vill läsa mer om institutionella förutsättningar rekommenderar jag verkligen att läsa litet Lennart Lundqvist eller Bo Rothstein) för utbyggnad.
En viktig sådan var att skapa ett mycket genomarbetat kunskapsunderlag att ta ut riktningen ifrån.
I detta var utredningsväsendet mycket betydelsefullt, de utredningsinsatser som gjordes var av mycket hög kvalitet.
Häri ligger en väsentlig skillnad mot de utredningar och kommittéer som levererat förslag inom digitalisering och e-hälsa, jag nöjer mig med att instämma i de synpunkter som framförs i den här .
I utvecklingen fanns en mycket kraftfull och sammanhållande motor i Medicinalstyrelsen, sedermera Socialstyrelsen.
Det är idag nästan svårt att förstå hur inflytelserik myndigheten var och på vilken detaljnivå man styrde sjukvården.
Om vi bara ser till vårdbyggnader fanns det ett regelverk som ner till hur många luftkubik per vårdplats definierade hur sjukhusen skulle byggas.
Varje ritning på ny- eller ombyggnad måste skickas in för godkännande och stränga inspektörer åkte ut och kontrollerade att det som byggts höll måttet.
Landstingen var byggherrar och hade det praktiska ansvaret för byggande och vård men deras intressen samlade ingen front i Landstingsförbundet (en del av SKL:s föregångare tillsammans med Kommunförbundet) utan gick huvudsakligen via riksdagen.
Där fanns det som kallades ”landstingspartiet” eller ”landstingsbänken” där landstingsordförande som nästan undantagslöst även vara riksdagsmän kunde driva sina frågor – ofta i gott samförstånd oavsett partipolitisk tillhörighet.
Även detta var en viktig institutionell förutsättning eftersom det då fanns etablerade och lagfästa former för att lösa intressemotsättningar.
Idag är situationen radikalt annorlunda.
En viktig skillnad är förstås att det kommit in så många privata aktörer men också att när de gamla institutionerna revs ner ersattes de inte av nya som skulle varit verkningsfulla då man anammade new public management som grundfilosofi för den svenska vården.
Jag är för tillfället inne på att försöken att uppnå effektiv digitalisering och e-hälsa är bland de bästa exemplen på hur new public management på ett negativt sätt präglat svensk offentlig sektor.
Resultatet har bland annat blivit att Socialstyrelsen i accelererande takt fråntagits mandat och att sammanhållen utveckling ersatts med fragmentisering.
Intresseorganisationen SKL tycks inte heller längre gå via en beredning på myndighetsnivå utan direkt på regeringen och jag har t.o.m.
läst meningar som att ”regeringen bör SKL i uppdrag …”.
Den geografiska uppdelningen av ansvar var under perioden mindre problematisk än idag eftersom större delen av vårdens uppgifter kunde lösas inom varje landstings hank och stör.
När digitaliseringen tog fart i början av nittiotalet skapades överbryggande strukturer som exempelvis Sjunet och sedermera Carelink.
Nu finns både eHälsomyndigheten och Inera m.fl.
som utan tydlig gemensam strategi eller regelverk grejar i infrastrukturen.
Bortsett från det negativa i att sakna gemensam styrning ser jag det inte heller som problemfritt när digitalisering och e-hälsa blir frikopplade från den kärnverksamhet de ska utgöra stödfunktion för.
En annan aspekt som tycks ha glömts bort är vårdinformationens långsiktiga betydelse både för den enskilda patienten och för forskningen.
För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård.
Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades).
Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman.
Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän.
Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring.
Alla sjukvårdshuvudmän (alltså landsting/regioner) utom en om jag kommer ihåg rätt hade åtagit sig att bevara alla läkarförda journaler för all framtid.
Bakgrunden till detta var den enorma betydelse som den vårdinformation som arkiverats från sjuttonhundratalet och framåt haft för den svenska forskningen.
I PDL är kravet att en journal ska bevaras i minst tio är efter att sista anteckningen förts in i handlingen samt att journaler som allmänna handlingar ska hanteras som sådana.
Det är ungefär vad som stod i patientjournallagen också men nu är kontexten radikalt annorlunda och även innebörden av begreppen – vad är ens en ”handling” i dagens vårdinformation?
Bara den förändringen att betydligt mindre andel av vårdinformationen är allmänna handlingar och därmed kan gallras av den enskilda vårdgivaren är en stor risk.
Vissa sjukvårdshuvudmän har försökt reglera arkivfrågan i avtal med de privata vårdgivarna men detta är knappast tillräckligt.
Redan idag är det som presenteras på skärmen hos en vårdgivare en sammanställning av information ur en rad system och tjänster som kan finnas både inom och utom vårdgivarens organisation.
Detta är bara inledning av en utveckling där informationshanteringen kommer att bli organisatoriskt och tekniskt allt mer komplex.
För att bevara denna gigantiska informationsmassa för framtiden för att kunna serva patienter som envisas med att leva i bortåt ett sekel och för att kunna ge underlag för livsviktig forskning räcker det inte med att litet svävande beskriva ”e-arkiv”.
För mig är detta en mycket bekymmersam fråga och det förvånar mig att varken Riksarkivet eller de utredningar som genomförts gällande registerforskningen intresserat sig för detta.
Så här i slutet av litanian vill jag inte på något sätt hävda att vi kan använda gårdagens lösningar idag.
Däremot tror jag att det finns mycket att vinna på att ha ett historiskt perspektiv.
I detta fall vill jag lyfta fram behovet av kvalitativa kunskapsunderlag som är parlamentariskt förankrade, en långsiktig väl definierad inriktning, institutionella förutsättningar anpassade efter aktuell situation och en sammanhållande kraft med mandat att genomdriva beslutade lösningar.
Framför allt tror jag att vi måste erkänna att det finns intressemotsättningar och lyfta fram dem i ljuset för att kunna diskutera hur de ska lösas.
Ofta framhålls svårigheten med den geografiska uppdelningen, minst lika stor är den som handlar om de inte helt kompatibla intressena privata utförare och den offentliga finansieringen.
Hur dessa intressen ska balanseras mot varandra har hittills varit en icke-fråga i e-hälsosammanhang.
Det har vi inte råd att låta den fortsätta vara.
Om vi ska klara upprätthålla den väsentliga del i välfärdssamhället som den offentligt finansierade sjukvården utgör och dessutom införa dataskyddsförordning, NIS-direktiv, civil beredskap och allt annat så måste vi ändra bilden av e-hälsa.
Det handlar inte om att släppa ner litet slumpmässiga tekniska lösningar (gärna efter påtryckning av olika leverantörer) utan att se att det kräver samma mobilisering, organisation och koordinering som då sjukvården byggdes ut under efterkrigstiden.
Och glöm inte forskningen!
Den första frågan i min enkät var huruvida myndigheten, landstinget respektive kommunen tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1.
Det var en klumpigt formulerad fråga eftersom RA-FS naturligtvis bara gäller statliga myndigheter.
Min tanke var dock i all enkelhet att även om det inte finns en föreskrift om att planera sitt långsiktiga bevarande av digital information direkt riktad till den egna verksamheten så borde det ändå vara nödvändigt att ha en strategi för att kunna efterleva alla andra krav som finns på att informationen bevaras i exempelvis vårddokumentation.
För en arkivarie borde detta också vara kärnuppdraget: att ta fram en inriktning för det långsiktiga bevarandet.
För att friska upp minnet på de enstaka människor som inte har alla sina RA-FS:ar färskt i minnet så är kravet i 3 kap 1 § i RA-FS 2009:1 formulerat så här: 1 § Myndigheten ska upprätta en strategi för bevarande av elektroniska handlingar.
Av strategin ska framgå vilka åtgärder myndigheten avser att vidta för att säkerställa ett bevarande av handlingarna.
Åtgärderna ska dokumenteras i enlighet med 2 §.
Strategin ska fortlöpande kompletteras och hållas aktuell. . Med åtgärder avses hur elektroniska handlingar ska framställas, överföras, hanteras, förvaras och vårdas under den tid som de ska bevaras.
Myndigheten bör vid planeringen av system och rutiner, i enlighet med bestämmelserna i 6 § arkivförordningen (1991:446), samråda med arkivmyndigheten.
Därefter följer mer detaljerade krav på vad strategin ska innehålla men i min enkät nöjde jag mig att efterfråga själva befintligheten av en strategi.
Innan jag går vidare gör jag här en liten utvikning om förutsättningarna för ett långsiktigt bevarande.
En reflektion jag gör när jag läser Riksarkivets krav är inriktningen på system, teknik och handlingar.
Detta rimmar, menar jag, inte helt med kravet på en processorienterad arkivredovisning som finns i RA-FS 2008:4.
Till detta kommer de förvaltningsgemensamma specifikationerna som inte heller är processinriktade.
De e-arkivlösningar som presenteras som verkar vara helt inriktade på att lyfta över information från ett system till ett annat utan någon koppling till process såvitt jag kunnat utröna.
Jag är dessutom osäker på hur OAIS-modellen ska tillämpas i relation till processer.
Det framstår som det finns ett antal komponenter som det långsiktiga bevarandet ska bygga på men att dessa inte är helt koordinerade.
När jag läser de kravspecifikationer som tagits fram för e-arkiv verkar det vara de tekniska kraven som kommit i förgrunden och tyvärr på ett ganska daterat sätt.
Att prata om system i en tid då allt mer information hanteras i molntjänster kan få ganska ödesdigra konsekvenser för arkivbildnigen.
Det är synd för jag tror inte att de tekniska aspekterna är det som främst utgör ett hinder för att lyckas med ett långsiktigt bevarande.
Den här frågan går inte heller att hantera i bitar utan måste ses som en sammanfogad helhet som vilar på en solid teoretisk grund, och det är den grunden som jag uppfatta är undflyende i de resonemang som förs.
För mig som arkivteoretisk nörd skulle det optimala vara det processorienterade perspektivet var genomgående som strukturerande princip för att knyta ihop verksamhet och information, självklart ända in i det digitala långtidsbevarandet.
Konkret skulle vi kunna försöka utveckla proveniensbegreppet till att förutom den inre och yttre proveniensen även omfatta en processproveniens.
Proveniensen har ett antal funktioner för arkivbildningen som att ge informationen ett mervärde då den sätts i organisatoriska kontext, att skapa autenticitet och att ge oss de bästa möjligheterna för att kunna återsöka information.
Dessutom som redan den store Nils Nilsson underströk: de processuella värdena.
Om vi nu tar tanken med de processuella värdena och sammanför det med ett proveniensbegrepp i det långsiktiga bevarandet skulle vi kunna utveckla helt nya lösningar.
Det känns aningen pinsamt att dra upp gamla texter stup i kvarten men faktiskt skrev jag i Arkiv, samhälle och forskning redan 1997 en artikel, (AFS 1997:3 – det går tyvärr inte att länka till den) som försöker resonera om hur nya tekniska lösningar ändrar förutsättningarna för arkivteorins grundpelare.
Mycket i texten är kanske passerat men något som jag ändå tycker fortfarande förtjänar att poängteras är skillnaden mellan Müller, Feith och Fruins öppna förhållningssätt till vad som avgränsar den yttre proveniensen där de om och helhet.
I Sverige, till skillnad mot i andra länder, har arkivbildarbegreppet blivit manifest och alltid kopplat till en enskild organisation.
Om vi nu tittar på världen såsom den ser ut med snabba omorganisationer och en alltmer gemensam informationsinfrastruktur – borde vi inte då skruva upp processbegreppets betydelse och samtidigt något tona ner arkivbildarbegreppet för att uppnå det vi ska proveniensprincipen till?
Med dagens tekniska lösningar menar jag att detta vore fullt möjligt att både hitta lösningar som ger en bättre proveniens samtidigt som de skulle ge effektivitet och minskade kostnader.
För att ta ett enkelt exempel skulle det menar jag var betydligt bättre att identifiera ett antal större samhällsprocesser som varat över tid i olika former och redovisa informationen per process som första steg och därefter arkivbildare.
Ta exempelvis folkskolan som fram till 1930-talet hade kyrkan som huvudman, därefter staten och nu kommunerna medan verksamheten i huvudsak varit densamma.
För att ge bättre överblick och även proveniens skulle informationen kunna vara sökbar både per process och per arkivbildare.
Jag vill bara hinta med vad detta skulle innebära när det gäller vårdinformation där det idag är stora problem att avgöra vilken information som finns var och vem som är ansvarig för den.
Med en processorientering vid en omorganisation skulle det också vara möjligt att låta den digitala informationen vara tillgänglig både i den avslutade arkivbildningen och som överförd i den nya (ja, jag vet att man måste lösa utnämningsfrågan men det känns som ett mindre aber).
För det långsiktiga bevarandet menar jag att dessa frågeställningar har stor betydelse eftersom de både avgör arkivbildningens värde, möjligheten till återsökbarhet och inte minst ansvarsfördelningen.
Men låt oss lämna mina tankar i frågan och istället se hur de myndigheter, kommuner och landsting som svarat på enkät hanterat frågan.
Av de kommuner som svarat är det bara två som säger ett tydligt ”ja” på frågan om de tagit fram en strategi i linje RA-FS.
En handfull svarar att de gjort det som medlemmar i Sydarkivera, ytterligare några säger att de är på gång eller har strategisk inriktning i andra dokument men det absoluta flertalet uppger sig inte ha någon strategi.
Bland landstingen är det ingen av de svarande utom en region som anser sig ha en strategi motsvarande kravställningen i RA-FS 2009:1 men några har reglerat delelement i ett långtidslagrande som format.
Det man kan se i svaren är att många kommuner, landsting och regioner har försökt hitta olika typer av samarbetsformer för att gemensamt ta fram en inriktning där den mest framgångsrika tycks vara Sydarkivera.
Många respondenter uttrycker att frågan är svår att hantera autonomt eftersom man inte har kompetens eller resurser att ens utreda hur långtidsbevarandet skulle kunna gå till.
Och som någon påpekar ”Vi kommuner har ju ett speciellt förhållande till Riksarkivets föreskrifter.”, det vill säga att man kan välja att efterleva dem men det är inget tungt argument eftersom man inte är skyldig att följa dem.
är en imponerande ansats men inte heller den ger de svar som behövs.
Från myndigheterna har jag fått in svar där c.a.
50 myndigheter säger sig ha en strategi av vilka flertalet även bifogat strategin.
Det förekommer en hel del disclaimers av typen ”den har några år på nacken” eller ”vi håller på att omarbeta den”.
Ett antal myndigheter skriver också att de håller på att ta fram en strategi.
Det är ett rätt omfattande material att tränga igenom men det finns ändå några gemensamma drag som jag här ska sammanfatta i några punkter (observera att detta är generaliseringar – undantag finns).
Jag är också angelägen om att återigen understryka att frågans komplexitet som ställer nästintill orimliga krav de enskilda myndigheterna.
Först en glädjande observation: få myndigheter har idag som uttalad strategi att ta ut digital information i pappersformat för arkivering.
Visserligen förekommer detta fortfarande i verkligheten trots de mycket stora informationsförluster som detta leder till men nu är ambitionen åtminstone att komma vidare med ett kvalitativt bevarande av digital information.
De flesta strategier följer, föga förvånande, RA-FS:ens krav.
Efterlevnaden kan uppfattas som litet väl hörsam eftersom det i vissa fall blir en upprepning av vad som står i RA-FS med tillägget att ”det ska vi göra”.
Men det finns också många som gjort stora insatser för att beskriva hur den digitala informationen ska omhändertas konkret och i detalj.
Det gör att vissa av dokumenten kanske inte egentligen är strategier utan mer av riktlinjer eller instruktioner.
Genomgående är att myndigheterna har avgränsat scoopet för strategin till den egna verksamhetens verksamhetssystem eller förvaltningsobjekt trots att dagens e-förvaltning i allt högre grad innebär integrerade informationshanteringslösningar.
I de fall där det av strategierna ändå framgår att myndigheten ingår i myndighetsövergripande informationshantering nämns inte vad jag kunnat upptäcka hur detta ska hanteras arkivbildningsmässigt.
Jag kan inte se att eSam (en efterföljare till E-delegationen) ger någon vägledning i hur frågan ska omhändertas vare sig strategiskt eller operativt, teoretiskt eller .
Om jag ska utnämna en fråga som särskilt oroande är det just denna – att det skapas allt större allmänna handlingar där ansvaret för den långsiktiga hanteringen är till synes oklart.
Att för den enskilda myndigheten göra de utredningsinsatser som krävs för att lösa frågeställningen och därefter få accept på detta i ett större sammanhang framstår inte som en optimal inriktning.
Föreskriften är från 2009 och är som jag tidigare redovisat inriktad på system och elektroniska handlingar.
Det är sannolikt bakgrunden till att de strategier som jag tagit del av också är det.
Det handlar om verksamhetssystem, inte tjänster och inte heller processer, samt är i hel del fall länkade till myndighetens systemförvaltningsmodell.
Vissa formuleringar skulle kunna tolkas som att strategierna är tillämpbara även på tjänster.
Elektroniska handlingar kan förekomma även i tjänster och tjänster skulle kunna vara förvaltningsobjekt.
Sådana möjliga tolkningar verifieras dock inte i de mer instruktionslika tillvägagångssätt som ingår i strategierna.
Koppling till processorienterad arkivredovisning saknas ofta men man ser ansträngningar för att integrera arkivredovisning och bevarandeplaner (möjligen även klassificeringsstrukturer) på ett bra sätt men det framgår inte hur.
Trots det tekniska perspektivet är det svårt att se en verkligt strategisk inriktning i strategierna.
Man pekar ibland på att man valt en viss programvara eller en viss tjänst för lagring men inte för hur länge.
Ibland omnämns att överlämning till arkivmyndigheten inte är aktuellt, ibland berörs inte slutarkivering alls.
Sammantaget är jag imponerad av den kompetens som arkivarier lagt in i sina strategier.
Även om jag inte sett en strategi som jag tycker uppfyller alla krav så finns det en stor gemensam resurs i de många strategierna att crowd-sourca ur för att kanske skapa en gemensam linje.
Ur ett forsknings- och kulturarvsperspektiv finns det dock anledning att vara bekymrad.
Det finns en inte oväsentlig risk inte bara för att information inte arkiveras utan också för att den information som verkligen tas om hand kommer att sakna tillräcklig proveniens, kontext och återsökningsmöjligheter.
”Inget är så starkt som en idé, vars tid har kommit” skrev Victor Hugo.
Egentligen tycker jag att den nu inte längre så nya verksamhetsbaserade arkivredovisningen (RA-FS 2008:4) borde ha fått större genomslag i kommunsverige vid det här laget.
Visst, det är många kommuner som infört verksamhetsbaserad arkivredovisning och även börjat skruva till sina dokumenthanteringsplaner (a k a informationsförvaltningsplaner), men därifrån till att arkivredovisningen verkligen implementeras såväl tekniskt som verksamhetsmässigt känns vägen lång.
Kanske ligger en del av förklaringen i att arkivvärlden tidigare in behövt förklara saker för verksamheten på samma sätt tidigare.
I den gamla pappersbaserade världen (och den hängde med längre än många tror i den kommunala världen) skötte arkivarien eventuella sökningar efter avställda handlingar.
Hän behövde inte förklara så mycket för verksamheten och verksamheten behövde heller inte veta så mycket om hur söket faktiskt gick till.
I och med RA-FS 2008:4 tvingas arkivvärlden och resten av verksamheten mötas på ett helt annat sätt än tidigare.
Intentionerna med RA-FS 2008:4 är ju, vilket framgår tydligt av vägledningen ”Redovisa verksamhetsinformation”, att arkivredovisningen (och då främst klassificeringsstrukturen) ska styra informationshantering i såväl diarium som verksamhetssystem.
Denna intention stöder jag för övrigt till fullo!
Men…som säkert många av er som läser Fias blogg vet så är det lättare sagt än gjort att skapa dylika styrningar.
Förutom det hästjobb som många av er lagt ned på att beskriva verksamhetsprocesser, uppdatera dokumenthanteringsplaner, eventuellt försöka väva in informationssäkerhetsperspektivet (inklusive dataskydd) så ska ni dessutom lyckas få femtioelva systemägare, chefer m fl att förstå vikten av att detta arbete genomförs samt implementeras i diverse system/tjänster.
Jag är själv ingen ”äkta” arkivarie, utan har närmat mig disciplinen via diverse jobb inom informationshantering och verksamhetsutveckling.
Jag vill ändå tro att jag har lyckats förstå ganska mycket av RA-FS 2008:4 och vägledningen som nämndes ovan.
Jag var bland annat med och startade upp arbetet med att införa den nya arkivredovisningen hos Myndigheten för samhällsskydd och beredskap (MSB).
Redan då, 2011, kände jag att det var tufft att förklara det värde den skulle kunna tillföra verksamheten.
Det var snarare än fråga om att uppfylla Riksarkivets krav på myndigheten.
Eftersom det pågick ett arbete med att införa ett ledningssystem för informationssäkerhet (LIS) på MSB så väcktes idén att försöka slå två flugor i en smäll.
Tanken var att en dokumenthanteringsplan rimligen borde kunna beskriva hanteringsregler utifrån såväl ett arkivperspektiv som ett informationssäkerhetsperspektiv.
Många av de krav som ställs från respektive håll är trots allt överlappande.
Eftersom jag jobbat en tid på ett bolag som hette Astrakan och därför arbetet en del med processmodellering kändes det naturligt att försöka beskriva sambanden med hjälp av grafiska processer I och med Riksarkivets föreskrift (RA-FS) 2008:4 ska myndigheter i Sverige redovisa sina handlingar utifrån verksamhetens processer istället för enligt det gamla klassificeringsschemat från 1903.
Denna omvälvning har också på allvar börjat slå igenom i kommunsverige, vilket på många sätt är bra och egentligen bara en återspegling av den verkliga informationshanteringen.Dock upplever jag fortfarande, och jag tror att jag är i relativt stort sällskap, att det är svårt att pedagogiskt förklara för kommunens verksamheter hur arkivredovisningen kan hjälpa till att styra upp informationshanteringen annat än i själva arkivet.
Därför har jag tagit fram följande grafiska presentation.

Sverige måste förstå att digitalisering inte är en lyxprodukt utan en kärnverksamhet.
En strategisk fråga blir att lyfta fram de förändringsagenter som finns ute i verksamheterna och helt enkelt vända på bevisbördan.
Det ska inte längre vara så att det är den som vill förändra som måste förklara sig utan snarare den som vill bevara det gamla.
Hur många av er upplever att juridiken stimulerar och möjliggör digitaliseringsresan inom hälso- och sjukvården?
Digitalisering skapar mervärde Man behöver förändra helheten – inte bara småändra i marginalen.
Då är risken att man lägger all kraft på en enskild lösning och inte på att förändra det som verkligen ger effekt Möt innevånaren/patienten tidigt genom digitala arbetsmetoder Ta fram en grundmodell för informationsklassning inklusive skyddsnivåer.
Observera att skyddsnivåerna är den stora tunga uppgiften som kommer att kräva långsiktig förvaltning men som kan användas även andra organisationer t.ex.
som stöd för att efterleva NIS-direktivet.
Ta fram en certifieringsinstitution där leverantörer kan certifiera sina tjänster och system på olika skyddsnivåer.
Ta fram ett antal standardprocesser utifrån de obligatoriska uppdragen Identifiera informationen i dessa processer.
Ge stöd för att kartlägga vilka bärare som används för att hantera informationen.
Observera att det inte enbart gäller system och tjänster utan även andra bärare.
Ge förslag på en standardklassning av informationsmängderna.
Med detta som utgångspunkt kan ut skyddsnivåerna plockas fram krav både på den egna verksamheten, egen it och på externa leverantörer av tjänster.
Stärkt samordning av de frågor som påverkar vården i regeringskansliet och en stärkt roll för Socialstyrelsen som sammanhållande kraft i vården och beställare av it-lösningar hos e-Hälsomyndigheten, SKL m.fl.
Hur en gemensam infrastruktur ska kunna byggas upp i konkreta termer och ansvarsförhållandena för detta En ny patientdatalag som lever upp till dagens många olika behov och som inte genar när det blir svårt.
En arkivlag som kan tillgodse kravet på att bevara den gemensamma informationsinfrastruktur som uppstår inom bland annat e-hälsa.
I en ny arkivlag bör finnas utrymme för att fatta beslut om bevaranderegler även för andra än statliga myndigheter, t.ex.
ett krav på att viss vårdinformation ska bevaras för all framtid oavsett vårdgivare.
SKL:s roll med övervägande om liknande krav på öppenhet som gäller de ingående sjukvårdshuvudmännen.
Frågan bör ställas om SKL över huvud taget har de institutionella förutsättningarna att leverera gemensamma e-tjänster eller om detta istället bör ske av myndigheter Utred möjligheten att införa en lösning liknande den norska Normenden svenska vården.
Detta drev jag med klent gehör när jag jobbade på MSB men det är aldrig fel att vädra gamla käpphästar.
MSB måste våga överge sin beröringsskräck för verkligheten och kunna ge faktiskt stöd till bland annat vården.
Hur e-hälsan systematiskt ska utvärderas och vem som ska utföra det.

all vad de hur sina sina sina 16 § på vilket sätt läsa alla all en sina sjukvårdsvårdshuvudmännen vårdgivare alla

Meny Kommuner Inläggsnavigering

MENU MENU Postat av Postad i , , , Tagged , , , Postat av Postad i , , , , Tagged , , , Postat av Postad i , , , , , Tagged , , , , Postat av Postad i , , , , Tagged , , , , , Postat av Postad i , , , , Tagged , , , , , Postat av Postad i , , , , Tagged , , , , , , Postat av Postad i , , , , , , , , Tagged , , , , , , , , , , Postat av Postad i , , , , , , , , Tagged , , , , , , , Postat av Postad i , , , , Tagged , , , , Postat av → Postad i , , Tagged , , , , ← Sök efter:

Järnvägsresandets historia Allmänna råd Arkivbildarbegreppet och proveniensprincipen under press?
adminstrative bodies Göteborgs Stads föreskrifter och riktlinjer om arkiv- och informationshantering Detta är ett gästinlägg av Fredrik Granholm, verksamhetsarkitekt i Sollefteå kommun.

I mitt förra inlägg hävdade jag att arbetet med informationssäkerhet alltför ofta kännetecknas av byråkratiska aktiviteter utan reell säkerhetshöjande effekt men däremot med ett anspråkstagande av verksamheters resurser på ett orimligt sätt.
Det är ju inte heller enbart kärnverksamhetens resurser som används på ett sätt som kan etiskt ifrågasättas.
Att säkerhetsarbetet bedrivs utan hänsyn till hur effektiv användningen av resurser är samtidigt som den oavlåtliga klagovisan ljuder att säkerhetsarbetet får för litet resurser, ständigt för litet resurser, är paradoxalt.
För den som arbetar med säkerhet borde det ha högsta prioritet att få fram arbetssätt som ger största möjliga utdelning av säkerhetshöjande effekter i förhållanden till insatta resurser.
Tyvärr har jag sett mycket litet av den typen av analyser och jag kan t.o.m.
tycka att säkerhetsområdet får rejält med pengar sammantaget utan det riktigt framgår vad som kommit ut av det.
Rubriken på blogginlägget är aningen ironisk eftersom det väl nu är allmänt känt att effektiviseringar sällan leder till bättre verksamhet.
Jag tycker ändå att det är klädsamt om vi som jobbar informationssäkerhet, som är en stödfunktion, håller upp spegeln och ser vad vi kan göra när kärnverksamheten i många organisationer är hårt pressad av krav på besparingar.
Att försöka göra saker bättre och mer kostnadseffektiva behöver inte heller vara till nackdel för metodutveckling, jag dristar mig att anse att det skulle vara en fördel om det fanns ROI-perspektiv på både planerade och genomförda säkerhetsåtgärder.
Jag tror det skulle vara ett stort stöd för många informationssäkerhetsansvariga som nu ibland verkar beta av ett antal aktiviteter utan att kunna bedöma vad det egentligen leder till.
Vissa aktiviteter kan vara stora och dyrbara men det handlar också om annat där kostnaden kanske inte är så stor men effekten ännu mindre.
Att genomföra generiska e-utbildningar är enligt min erfarenhet tämligen bortkastat mensom initierat dem kan bocka av en ruta.
För mig betyder detta mekaniska tillvägagångssätt, förutom pengar och medarbetares tid i sjön, att organisationen invaggas i en vilseledande och farlig falsk trygghet.
Det tämligen obefintliga effektivitetspressen inom säkerhetsområdet, som är så kännbar i andra sektorer, tycker jag mig se leda till en lättja i tanke och i handling.
Det är lätt att glömma bort men informationssäkerhet handlar i grunden om att .
Har man inte det så har man inte en fungerande informationssäkerhet.
Med detta i bakhuvudet så kan den seriösa informationssäkerhetsarbetaren inte leva efter bekvämlighetsprincipen och hela tiden göra det som känns enklast.
Att enbart identifiera information som råkar finnas i system som man redan känner till är som, för att använda en mycket uttjatad bild, att leta efter den borttappade nyckeln under gatlyktan eftersom det är enklast.
Tyvärr är det så jag uppfattar rätt mycket av de insatser som går under beteckningen ”informationsklassning” som inte leder till kontroll över den information som är viktig för verksamheten utan den som redan finns bekvämt paketerad i en behållare a.k.a ett ”system”.
Ibland när jag får ”verktyg” för informationsklassning som är obegripligt efterfrågade presenterade för mig kan jag inte låta bli att fnissa till och tänka på min bekant som var kommunal it-chef på 1990-talet.
Hen hävdade att det var en underbar tillvaro där hen sågs som en wizzard som på vilken fråga som helst (i princip) från verksamheten kunde hacka ihop ett it-verktyg för att lösa en uppgift.
”Stöd” sågs helt enkelt som synonymt med någon slags programvara.
Tyvärr tycks denna uppfattning leva kvar bland många i informationssäkerhetsbranschen trots att det ofta är de icke-digitala delarna i en aktivitet som är svåra.
I informationsklassning (se nedan) är den stora frågan exempelvis att göra rätt analyser, inte att hålla reda på genomförda klassningar.
Innehåller verktygen dessutom generiska skyddsåtgärder uppstår en annan problematik: vem tar då egentligen ansvar för att det är korrekta skyddsåtgärder i förhållande till risken?
Efter denna salva känner jag mig förpliktigad att ge exempel på alternativ.
Här kommer därför ett förslag på arbetssätt motsvarande informationssäkerhetens kinderägg.
De tre fördelarna med mitt förslag är att man faktiskt arbetar med information – inte system, att man kan bygga upp en likvärdig säkerhet i likartade verksamheter och att kostnader i form av pengar och tid radikalt skulle kunna minskas samtidigt som får ökad kvalitet/säkerhet.
Med avsikt har jag valt en mycket säkerhetskänslig funktion som även är mycket vanligt förekommande: processen för läkemedelshantering i äldreomsorgen.
För att ge en kort bakgrund så ombesörjs äldreomsorgen med de 290 kommunerna som huvudman.
Kommunerna kan bedriva omsorgen själva eller anlita underleverantörer som privata vårdföretag.
Oavsett vilket så är det kommunen som har ansvar som sjukvårdshuvudman och ska därmed säkerställa att omsorgen bedrivs på ett säkert och likvärdigt sätt oavsett utförare.
En central del i omsorgen av äldre är läkemedelshanteringen.
Äldre som inte får rätt läkemedel i rätt dos vid rätt tidpunkt löper en avsevärd hälsorisk, i värsta fall med döden som utgång.
Omsorgen sker dygnet runt av ett antal medarbetare som vid varje givet tillfälle måste ha korrekt och spårbar information tillgänglig.
Samtidigt berör uppgifterna om läkemedel omsorgstagarens hälsotillstånd vilket gör dem till känsliga personuppgifter som måste omges med ett mycket starkt skydd mot obehörig åtkomst.
Utöver detta finns en särskild risk i läkemedelshanteringen, narkotiska preparat och även andra är mycket stöldbegärliga.
Även detta stärker det utpräglade behovet av spårbarhet där varje händelse kan följas och och kopplas till person som i en lång verifikationskedja.
En generisk processbeskrivning på övergripande nivå skulle kunna se ut så här.
Inga konstigheter i det men man kan gå ett fördjupande steg till utan att beskrivningen skulle tappa särskilt mycket i allmängiltighet med däremot fånga upp vilken information som hanteras, se detta utsnitt ur processen: Processen startar med att en av regionens läkare gör en läkemedelsordination vilket dokumenteras i regionens vårdsystem samt i den nationella läkemedelslistan.
Dessa moment ligger utanför processbeskrivningen ovan som startar med att information om ordination överförs till kommunen som en pappersutskrift vilket startar processen.
Den intresserade kan notera följande: Detta är inte på något sätt unikt för den här processen utan gäller för många andra.
Slutsatsen man kan dra är att om man seriöst så räcker det sannerligen inte med att ”klassa” ett enskilt system utan måste få kontroll över hela informationshanteringen.
Inte heller att enbart titta på digital information utan det är just helheten som måste fångas för att rätt åtgärder ska kunna vidtas.
Även för dataskyddet är detta en självklarhet – man kan liksom inte bara skydda personuppgifter i digital form.
I den ovan beskrivna processen finns t.o.m.
bärare som apodos-påsar som måste omhändertas på ett korrekt sätt.
Det kan tyckas ansträngande att inte bara få ägna sig åt färdigpaketerad information prydligt avgränsad i system men här finns istället stora effektivitetsvinster att göra.
Det går att klassa informationsmängden ”ordination” och så vidare så att det går att använda som en i samtliga kommuner oavsett vilka bärare man för tillfället råkar använda.
Dagens rekommendation från myndigheter och SKR är att 290 kommuner med vissa fall flera förvaltningar som bedriver äldreomsorg ska klassa system i varje förvaltning.
Dessutom måste samma manöver upprepas av de privata vårdgivare som anlitas av kommunerna.
Enligt beräkningar fanns 2019 14900 företag som ägnade sig åt vård och omsorg.
Jag har inte riktigt tid att fördjupa mig i exakt hur många av dessa som bedriver äldreomsorg men för saken skull så utgår jag från att det åtminstone finns 500 privata äldreboenden.
Sammantaget kanske det då behöver göras 850 klassningar av olika vårdgivare.
Låt oss höfta och säga att resursåtgången per klassning är minst 100 timmar inklusive förberedelser och dokumentation (detta är extremt lågt räknat med tanke på att det ofta är ett flertal deltagare på klassningarna) för att klassa ett system som stödjer en liten del av ordinationsprocessen.
Lustigt nog kommer det också att bli samma system som klassas gång på gång med varierande resultat.
Kontentan blir alltså bristande kontroll över informationen och bristande likvärdighet mellan olika äldreomsorgsverksamheter till en sammantagen resursåtgång av 85 000 timmar.
Betänk också att detta bara är en av flera processer bara i äldreomsorgen.
Mitt förslag är att man istället slår ihop sina påsar, tar fram gemensamma normerande klassningar skyddsnivåer.
Skyddsnivåerna måste då tas fram i stor öppenhet där det redovisas hur man ser på olika risker och hur de föreslagna skyddsåtgärderna avses reducera dessa.
Koppling till krav i föreskrifter med mera bör även finnas.
Skyddsnivåerna måste även innefatta skydd av andra bärare än system och molntjänster, t.ex.
fysiskt skydd av papper.
En jätteuppgift är att hålla skyddsnivåerna uppdaterade så att de inte ger förlegade rekommendationer.
Då ska vi komma ihåg att detta ändå skulle kräva en bråkdel av de resurser som skulle gå åt om varje vårdgivare skulle genomföra alla moment själv.
Jag kan mycket väl tänka mig att man i många fall även kan ge förslag på arbetsrutiner.
Vad skull då detta kunna innebära i praktiken?
Naturligtvis skulle ansvaret för säkerheten aldrig kunna delegeras men exempelvis en vårdgivare skulle kunna gå i ett bibliotek av olika verksamhetsprocesser, välja ut den aktuella och få fram en bild av generisk process samt en normerande klassning av typen nedan (fast ifylld): Därefter jämför vårdgivaren med sin egen verksamhet hur väl det presenterade materialet stämmer överens.
Gör det det i stora drag, kanske med litet annorlunda benämningar, så skulle vårdgivaren med detta stöd kunna ta sig ner till nivå att kunna köpa rätt skåp att förvara den enskilde vårdtagarens medicin i. Att krav på digitala lösningar ingår är naturligtvis självklart.
Som en bonus kan även krav på bevarande och gallring läggas in.
Det kan kännas som en överväldigande uppgift att ta itu med men minns då att den redan är överväldigande och idag tynger kärnverksamheten på ett orimligt sätt.
Kan vi åtminstone ta fram normerande klassningar för generiska processer i samhällsviktig verksamhet skulle vi ge möjlighet att höja samhällssäkerheten högst väsentligt och dessutom kunna reducera resursåtgången.
Eftersom myndigheterna med särskilt ansvar för informationssäkerhet förefaller skeptiska till den här typen av stöd finns det utrymme för andra aktörer att träda fram.
Statskontorets publikationer är en underskattad men ständig källa om inte till glädje så till mycket nyttig kunskap.
Under sommaren har jag en forskningsantologi kallad .
Min bedömning är att denna antologi är ett måste för den som arbetar med informationshantering eller informationssäkerhet i offentlig sektor.
Här får man så mycket sammanhang och tankar att man går ur boken som en tjänsteperson eller konsult stärkt och betydligt bättre rustad att hantera sitt uppdrag.
Ur en informationssäkerhetskonsults vinkel är det framför allt avsnitten om hur förpappring, managementbyråkrati, användning av standarder och konsulter riskerar leda inte bara till onödig administration utan också till bristande styrförmåga.
Tyvärr är det mycket som känns obehagligt välbekant.
Det är dystert att blir varse om hur det område man själv jobbar inom liksom man själv kanske är en förgiftad gåva till uppdragsgivaren, att det kostar mer än det smakar.
Vi kanske ödmjukt borde inseltför ofta ger upphov till mer byråkrati än nytta, till mer krångel än säkerhet.
En ständigt närvarande fråga borde vara hur kan vi skapa bättre säkerhet utan att tynga våra uppdragsgivare och utan att ta kraft från organisationernas verkliga uppgifter.
Hur mycket har alla de icke-fungerande ledningssystem inte kostat i pengar, incidenter och en falsk trygghet som hindrat att man vidtagit reella säkerhetsåtgärder.
Slutligen är det för mig oetiskt att ta mer resurser från kärnverksamheten till säkerhet om det inte går att påvisa att det är nödvändigt.
Givna frågor borde vara: Varför fungerar då så mycket avt så dåligt trots de avsevärda resurser som läggs på det från olika håll?
Efter att ha begrundat Statskontorets antologi vill jag på prov lansera hypotesen att många av informationssäkerhetens tillkortakommande beror på att arbetet bedrivits som en del i den new public management-trend som varit rådande i svensk förvaltning de senaste decennierna.
NPM diskuteras frekvent i antologin och många av dessa resonemang kan med lätthet översättas till informationssäkerhetsområdet.
Kännetecknande för NPM är bland annat en strävan att styrformerna i offentlig förvaltning ska likna de i privata företag.
Konsekvenserna blir i korthet decentralisering, ram/mål-styrning, standarder och en massa mätande.
Det som regleras är som ska göras men inte Ansvaret för hur åtgärder ska genomföras trycks ner i den decentraliserade strukturen.
Någon som kommer att tänka på den så omtalade ansvarsprincipen kanske?
NPM kan låta lockande men jag skulle säga att informationssäkerheten nationellt och i de enskilda organisationerna lidit stor skada av att det inte funnits en inriktning att ge tydliga direktiv om olika säkerhetsåtgärder ska utföras.
Det är en närmast kuslig suboptimering att varje organisation ska räkna ut allt själva.
Kravet på kortsiktig leverans och mätbarhet gör att det strategiska arbetet försummas.
Dessutom leder till en bristande samordning i en alltmer integrerad informationsinfrastruktur där en parts investering i säkerhet görs helt urarva genom att andra aktörer har gjort andra bedömningar och därmed inte infört samma skydd.
Fokus ligger också på dokument, standarder och rapportering, allt i enlighet med NPM:s styrfilosofi.
Jag tror inte att motståndet mot att få en konkretare styrning i säkerhetsfrågor ligger hos enskilda myndigheter, kommuner eller regioner, tvärtom är en vanlig utgångspunkt i diskussioner att man vill ha tydlighet och stöd i att veta vilka säkerhetsåtgärder som är adekvata och uppdaterade.
Snarare uppfattar jag att myndigheterna med föreskriftsrätt duckar och inte vill ta det ansvar som det innebär att peka med hela handen.
Det är liksom lättare att klaga på den bristande säkerheten i förvaltningen än att ge ett ändamålsenligt stöd.
Jag vill lansera ett förslag som jag haft sedan jag jobbade på MSB som exempel på hur vi skulle kunna bryta med ovanstående ineffektiva styrning och få en bättre och billigare säkerhet.
Mitt förslag är och har varit att erbjuda stöd i form av standardiserade skyddsnivåer och det jag kallar normerande klassningar.
Skyddsnivåer har jag skrivit om tidigare så därför koncentrerar jag mig på de normerande klassningarna.
Det mest uppenbara exemplet på hur det skulle kunna fungera gäller kommunal verksamhet.
Tänk er att det finns 290 kommuner med samma tio obligatoriska uppgifter.
Det leder till att man har i grunden har mycket likartade processer även om man ofta har egna beteckningar på förvaltningar, processer och informationsmängder.
I större kommuner kan det vara så att flera organisatoriska enheter ägnar sig åt samma slags verksamhet, exempelvis förskola eller äldreomsorg.
Man kan också anlita utomstående leverantörer för att driva verksamhet som till exempel ett äldreboende.
En viktig grundprincip för kommunal verksamhet är likvärdighet, dvs.
att invånare har rätt att förvänta sig samma kommunala service oavsett var man bor eller vem som är utförare.
I det här sammanhanget bör det tolkas som att invånare har rätt till samma säkerhet och integritet.
Detta uppnås dock knappast om informationsklassningar genomförs på tusentals olika sätt med helt olika resultat (jag kommer inte att ta upp SKR:s KLASSA här eftersom jag gjort det på annat ställe och kommit fram till att det inte är ett verktyg för informationsklassning utan möjligen för att ställa baskrav på enskilda system och som dessutom ger precis samma risk för olikartade bedömningar som om man inte använde verktyget).
Vad som skulle leda till både ensartade bedömningar och dramatiskt minskad resursåtgång är att göra normerande klassningar på prioriterade processer i kommunal verksamhet.
Man skulle då gå igenom en generisk process, exempelvis utbetalning av försörjningsstöd, se vilka informationsmängder som stödjer och skapas i de olika aktiviteterna i processen.
Därefter kan informationsmängderna klassas och den normerande klassningen användas av samtliga som utbetalar försörjningsstöd.
I och med att aktiviteter och informationsmängder är förvånansvärt konstanta över tid i många processer (tro mig, jag har gått igenom ett stort antal processer även i ett ”historiskt” perspektiv) så skulle denna grund kunna användas under lång tid.
Uppdateringar måste göras då exempelvis lagstiftning eller andra nya förutsättningar leder till att en förändrad bedömning blir nödvändig.
Även denna förvaltningsinsats har allt att vinna på att genomföras kollektivt och inte av varje informationsägare.
Och, observera, den normerande klassningen är bara ett stöd.
Det står varje informationsägare fritt att välja en annan nivå eftersom ansvaret för säkerheten kvarstår hos hen.
Ytterligare en poäng är att det här finns mycket stora samordningsvinster att göra även med dataskydd och arkiv.
Jamen systemen och it-tjänsterna säger ni uppbragt – varför finns inte de med i konceptet???
Det gör de faktiskt eftersom it-säkerheten hanteras i de standardiserade skyddsnivåerna och gör man sin processorienterade informationskartläggning rätt så identifierar man inte bara de digitala lösningar som används som bärare utan även de andra medier som faktiskt används.
Dessutom förekommer idag information i många fall i flera versioner på olika bärare så därför kan man inte gå nerifrån och upp.
Slutligen är bärarna inte alls lika konstanta som aktiviteter och informationsmängder så att ha dem som utgångspunkt för strategiskt styrning skulle vara göra sig själv en stor otjänst.
En passant kan sägas att samma synsätt sannolikt skulle kunna användas av SÄPO till allas nytta.
Att göra generiska säkerhetsskyddsanalyser för exempelvis kommuner och regioner skulle avlasta dessa aktörer och ge ett mer likvärdigt skydd.
(Jag flyr nu eftersom jag vet att detta är en helig ko som absolut inte får besudlas….).
Min förutsägelse är att det inte finns något ljus som automatiskt kommer att slås på i denna mörka byråkratiska tunnel utan det är vi själva genom att tänka fritt och nytt som måste skapa det.
Det är inte i mängden dokument säkerheten sitter.
Vår ambivalens inför molntjänster är stor.
Å ena sidan har vi risken att personuppgifter och annan känslig information kommer i orätta händer, å andra all den funktionalitet som vi så gärna vill ha.
Dessutom måste det vägas in att molntjänster erbjuder många säkerhetsfördelar, inte minst för mindre organisationer.
menar att vi står i ett vägskäl.
Själv ser jag att många redan har gjort sitt val och tyckt att nyttan med molntjänster överstiger risken.
Att många kommuner har gjort så är ingen hemlighet men jag blir ganska häpen när jag efter ett tips kollade upp , en rekryteringstjänst för Försvarsmakten.
Tipset var att denna tjänst ligger i Office 365, en molntjänst som driftas av Microsoft på Irland.
För att få korrekt information skrev jag och frågade Försvarsmakten litet om detta.
Jag har tre frågor om Mitt försvarsmakten: Slutligen skulle jag vilja ut en lista över vilka personuppgifter som hanteras i Mitt försvarsmakten.
Tack för svar!
och fick då följande svar som jag publicerar in extenso: Hej!
Se svar nedan på dina frågeställningar.
Mitt Försvarsmakten är byggt inom extern molntjänst (Microsoft Office 365).
Försvarsmakten har ställt krav på informations- och IT-säkerhet och granskat den färdiga lösningen utifrån kraven med godkänt resultat.
Inom ramen för utvecklingsarbetet har den militära underrättelse- och säkerhetstjänsten, MUST, löpande deltagit i granskningar av lösningen och har även godkänt lösningen inför driftsättningen.
Försvarsmakten arbetar kontinuerligt med kontroll och förbättringar av informations- och IT-säkerheten i alla IT-tjänster inklusive denna.
Försvarsmakten kommenterar inte i detalj hur säkerhetskraven är implementerade.
Personuppgifterna i Mitt Försvarsmakten behandlas med stöd av samtycke från den enskilde.
Av samtycket framgår även att Microsoft behandlar personuppgifterna.
Försvarsmakten använder Google Analytics från Google som analysverktyg.
Google Analytics använder cookies.
Informationen som genereras av dessa (inklusive IP-adresser) kommer att vidarebefordras till och lagras av Google.
Denna information används i syfte att utvärdera besöksstatistik.
Google kan också överföra denna information till tredje parter om det krävs enligt lag eller i de fall en tredje part behandlar informationen för Googles räkning.
Google kommer inte att koppla samman IP-adresser med annan data som Google innehar.
Google Analytics anonymiserar den information som skickas till Google.
För personer utan registrerad användarprofil i Mitt Försvarsmakten som har registrerat sig för ett specifikt event behandlas endast uppgift om namn och e-postadress.
För personer med registrerad användarprofil i Mitt Försvarsmakten behandlas uppgifter om Namn Personnummer Kontaktuppgifter (adress, telefonnummer och e-postadress) Uppgift om kön Uppgift om svenskt medborgarskap Uppgift om nuvarande sysselsättning Uppgift om nuvarande arbetsgivare Uppgift om godkända betyg MA / SV / EN från gymnasiet Uppgift om kondition och muskelstyrka Intresse för Försvarsmakten Medarbetarstatus, tidigare anställning inom FM Har ansökt om Veterankort eller har Veterankort Har sökt tjänst Har sökt GMU Har gjort rekryttest Startat GMU/GU-F/GSU/Kombattantutbildning Slutfört GMU/delkurs/GU-F Tagit anställning inom FM Avtal tecknat Avtal tecknat den Samtycker till lagring och bearbetning av information Kandidaten vill avregistrera sig Mvh Försvarsmakten Det ska medges att jag ibland varit aningen tveksam till att det ofta framställs som att Försvarsmakten är säkerhetsexperterna även då det gäller det civila samhällets säkerhet.
Men om vi acceptera premissen att Försvarsmakten är någon form av riktkarl för samhällets säkerhet blir detta svar intressant.
Frågorna jag ställer mig är: Observera att jag inte har svaret på dessa frågor – jag bara funderar.
Den minnesgode kommer ihåg att jag tyckte det saknades några frågor vid den öppna utfrågningen i riksdagens försvarsutskott om cybersäkerhet för ett par veckor sedan.
För att inte bara planlöst gnälla ska jag formulera några av de frågor jag själv skulle ställt i rollen som en hyfsat insatt folkvald ledamot i försvarsutskottet.
Rollen kräver ju en något mer nobel approach än den som småaktig bloggare.
Jag kommer därför naturligtvis inte att ställa tråkiga frågor som vad cybersäkerhet betyder eller vad det är för värden på axlarna på MSB:s bild över utvecklingen av digitalisering respektive cybersäkerhet även om jag grubblat över detta sedan jag såg den.
Jag ska heller inte göra banala zingers av typen ”här ser vi hur man försöker lösa morgondagens frågor med gårdagens lösningar.”.
Istället kommer jag att försöka ställa fem övergripande frågor som jag menar är av betydelse för samhället och inte bara för samhällets säkerhet.
– Herr ordförande, vi har nu fått en genomgång av ett statsråd och fyra myndighetsföreträdare.
Tyvärr kan inte genomgången ha lett till en bra helhetsbild av frågan.
Varje myndighetsrepresentant har presenterat sin myndighets perspektiv på ett sätt som får åhöraren att känna sig som på toppen av ett utsiktstorn där det bara är möjligt att beskåda utsikten genom fyra fastlåsta och begränsade kikare.
Själva vyn är osynlig genom dessa tunnlade perspektiv.
När vi som folkvalda får en presentation där cyberförsvar, säkerhetsskydd, samhällsviktig verksamhet, och den vardagliga informationssäkerheten presenterade som helt separerade spår är det lätt att förstå den vanmakt som många aktörer som förväntas göra något i praktiken känner.
I NISU-utredningen 2015 var det första åtgärdsförslaget för att förbättra informationssäkerheten att utveckla en nationell styrmodell för informationssäkerhet: En nationell styrmodell för informationssäkerhet består av ett antal komponenter som måste utvecklas och förvaltas över tid.
En del är ett sammanhållande regelverk som innehåller olika nivåer av reglering under föreskriftsnivån, det vill säga en regelhierarki som motsvarar ett ledningssystem inom en organisation.
Förutom de resurser som krävs för att utveckla och förvalta styrmodellen krävs en lösning för anslutning och efterlevnadskontroll som löpande samordnas med andra intressenter.
I detta ligger också omfattande utbildningsinsatser.
I styrmodellen är informationsklassning den mest omfattande aktiviteten som går från processorienterad informationskartläggning via själva klassningsmomentet till utvecklade gemensamma skyddsnivåer.
För att skyddsnivåerna ska kunna fylla sin funktion krävs omfattande insatser av både egen och extern kompetens inom områdena administrativ, fysisk och it-inriktad säkerhet.
Slutligen förutsätter en nationell styrmodell en väl utvecklad kunskapsstyrning.
Kunskap kan i detta sammanhang röra sig om kunskap om metoder men i ännu högre grad om att kunna ge ett vederhäftigt underlag för en styrning utifrån risk.
Det innebär att kunna förmedla en uppdaterad riskbild och att samtidigt kunna förmedla stöd för riskreducerande åtgärder.
Behovet av en nationell styrmodell förefaller större än någonsin, inte minst sett i perspektivet av att försöka samordna digitalisering och säkerhet.
Min fråga till statsrådet är därför var detta förslag hamnat.
En följdfråga till myndighetsföreträdarna är om det är omöjligt att utan ett formellt uppdrag från regeringen börja samarbeta på ett sätt som leder till konkreta samordnade stöd för – Herr ordförande, två konkreta frågor angående molntjänster.
I efterdyningarna av skandalen vid Transportstyrelsen har molntjänster blivit en huvudfråga för regeringen när det gäller säkerhet.
Samtidigt vet vi att molntjänster redan används i stor omfattning av svenska myndigheter, kommuner och regioner/landsting, att de ger effektiva lösningar och i många fall bättre säkerhet än om verksamheterna själva skulle drifta och förvalta i egen miljö.
Många av de tjänster som idag finns även som applikationer för egen förvaltning kommer snart enbart att finnas som molntjänster.
Samtidigt är det svårt för Söpple kommun att ställa krav på Microsoft och Google angående säkerhet och integritetsskydd.
En lösning som skulle kunna ge både bättre säkerhet och nödvändig effektivitet var om svenska staten på samma sätt som den tyska sluter ett gemensamt avtal med några av de stora jättarna.
Jag förstår problematiken när det gäller konkurrensfrågor m.m.
men vill ändå ställa frågan om detta är något regeringen överväger eller om varje kommun och myndighet även fortsättningsvis ska försöka lista ut om det är juridiskt korrekt att använda Office 365 samt ta fram sina egna avtal.
Jag skulle också vilja fråga om den ändring som redan skett, nämligen att SÄPO och Försvarsmakten tilldelats en vetorätt när det gäller utkontraktering av information från säkerhetskänslig verksamhet.
Detta ställer ju ansvarsprincipen på ända och jag funderar i detta sammanhang om regeringen ser framför sig även andra förändringar i denna grundpelare i svensk förvaltning.
Vem tar ansvar för verksamheten i det här fallet – SÄPO eller verksamhetsledningen?
-Herr ordförande, under dagens presentationer är det lätt att få föreställningen att säkerhet är ett enkelt och entydigt begrepp samt att säkerhetsåtgärder alltid är obestridligt ”goda”.
Den som ägnat minsta tanke åt detta och kanske dessutom kanske ändå studerat lite samhällsvetenskap, historia eller filosofi vet naturligtvis att så inte är fallet.
Säkerhet existerat alltid i en relation till andra värden.
En supersäker lösning som skulle förhindra alla brott vore att låsa in alla medborgare och slänga bort nyckeln för att dra frågan över det löjligas gräns.
Samtidigt måste jag som folkvald naturligtvis beakta de olika intressen som finns i samhället och som delvis står i konflikt med ”säkerhet”.
För mig framstår det som det finns tre värden som ständigt kommer i konflikt med den renodlade säkerheten; effektivitet, demokrati och individens integritet.
I digitaliseringssträvandena ligger önskan om effektivitet.
Demokrati i den form vi känner den är ett centralt element insyn och delaktighet.
Övervakning är per se en inskränkning i integritet.
Jag hörde ingen av talarna ta upp dessa konflikter och ställer därför frågan om myndighetsföreträdarna ser det som liggande utanför sitt uppdrag att även ta hänsyn till denna typ av aspekter.
Det är i så fall viktigt att veta eftersom utgångspunkten då måste vara att myndigheterna agerar som ”säkerhetsnördar” och de övriga perspektiven måste tillföras från annat håll innan beslut tas i viktiga frågor.
– Herr ordförande, jag tror vi alla är överens om att det finns ett stort behov av att utveckla informationssäkerheten i Sverige.
En absolut vital förutsättning för att kunna göra det är att det finns tillgänglig kunskap och kompetens på olika nivåer.
Min bedömning är att detta behov är skriande idag alltifrån den vetenskapliga nivån till att det saknas tusentals informationssäkerhetsansvariga företag, kommuner, landsting och myndigheter.
Detta leder till att vi inte vet vad vi ska göra för att faktiskt vara effektiva och att det saknas operativ förmåga att bedriva det säkerhetsarbete som åläggs olika aktörer.
Situationen kommer knappast att förbättras av sig själv eftersom det idag endast finns en handfull utbildningsplatser per år för att utbilda kompetenta informationssäkerhetsansvariga.
Många av de som idag är informationssäkerhetsansvariga (eller kallar sig certifierade och informationssäkerhetsexperter) saknar helt utbildning inom området.
Fortbildningsbehovet är därför oerhört stort.
Ytterligare en aspekt är att kunskapsuppbyggnad bygger på ett kritiskt tänkande och en öppen dialog.
Ett intryck från säkerhetsområdet är att det ofta präglas av en tystnadskultur och en anti-intellektualism.
Detta bygger, tror jag, på tradition, på att det saknas arenor för ett intellektuellt utbyte i säkerhetsfrågor och på att en osäker profession sluter sig inom sig själv i kotterier.
För att komma vidare och hitta den goda säkerhetskulturen som skapar kunskap och insikt även på den nationella nivån krävs insatser även från myndigheterna.
Min fråga är hur det stora kunskaps- och kompetensbehovet ska tillgodoses och hur myndigheterna kan verka för en god säkerhetskultur med kritiskt tänkande även i de nationella sammanhangen.
– Herr ordförande, en sista fråga.
I de presentationer vi tagit del av lyfts diverse försumligheter och bristande medvetande hos samhällets aktörer fram.
Däremot sägs mycket litet om och i så fall hur myndigheterna med särskilt ansvar för säkerhet bedriver en systematisk utvärdering av sina egna insatser.
Utvärdering är ju en grundläggande aktivitet i ett systematiskt arbetssätt och det finns därför anledning att anta att denna kvalitetshöjande mekanism måste vara inbyggd i myndigheternas verksamhet.
Detta framgår dock inte i de årsredovisningar jag tagit del av och inte heller i dagens presentationer.
Därför skulle jag vilja ställa frågan om den bristande säkerheten alltid är någon annans fel eller om det är möjligt att myndigheterna sett anledning att även förbättra sina egna insatser?
Det är klart man bänkar sig framför tv:n (i ärlighetens namn bakom en datorskärm) när riksdagen har en öppen utfrågning om cybersäkerhet vilket skedde förra Sändningen börjar med en lång och mycket grynig mingelupptagning när alla deltagare och åhörare ska leta upp sina platser.
Trots mitt seriösa intresse för frågan uppstår nästan omedelbart samma problem som under de senaste veckornas rapportering från Svenska akademien; gränsen mellan fiktivt och faktiskt berättande glider ihop.
Jag och mitt sällskap följer de stela tjänstemannakramarna, den tidigare statliga chefen som nu blivit lobbyist som ivrigt söker sällskapet hos sina tidigare kollegor, den aningen nervöse talskrivaren som flackar med blicken och hoppas på att chefen ska hålla sig till manus och inte sväva ut i egna funderingar, den tidigare myndighetschefen som överraskande dyker upp.
Soundtracket till House of cards tonar upp i medvetandet och det är med stigande intresse man följer scenen.
Enda missen sett ur ett underhållningsperspektiv är den tekniska kvaliteten och att personaget inte introduceras.
Den nerv som fanns i minglet dör tråkigt nog ut i samma ögonblick som redovisningarna av vad som sker på cybersäkerhetsområdet börjar.
Först ministern, sedan myndighetscheferna i tur och ordning.
Det mest förvånande är att absolut inget förvånande sägs.
Det är exakt samma saker som sägs som har upprepats i 15-20 år.
Inga nya lösningar, inga nya självinsikter och inga reflektioner av vad som skulle kunna ändras hos myndigheterna själva.
Naturligtvis förekommer ordet ”cyber” mer ymnigt än någonsin och aktuella catch phrases som ”det förändrade omvärldsläget”.
Nya aningen dunkla fenomen som ”civila cyberförsvaret” förs in utan att det klargörs vad exakt detta skulle vara.
Axiom som att brister upptäcks när incidenter rapporteras ventileras.
Det mest genomgående temat är att de utfrågade myndigheterna säger sig behöva ännu mer resurser.
Alltså i sak intet nytt.
Däremot saknar i alla fall jag ett analytiskt förhållningssätt där man faktiskt kommer in på frågan hur intresseavvägningen mellan den effektivitet som digitaliseringen står för och en bättre säkerhet ska göras på samhällsnivå.
Eller hur det demokratiska samhället ska leva ihop med den ständigt ökade övervakningen från både företag och staten.
Sammantaget blir utfrågningen en god illustration över varför nuläget är som det är: säkerhetslägret och digitaliseringslägret är som två cykloper som möts och aldrig skapas ett stereoseende.
Inte heller då riksdagsledamöterna släpps in för att ställa frågor efter statsrådets och myndighetschefernas redovisningar tillkommer något nytt perspektiv.
De folkvalda håller sig hovsamt inom den uppdragna ramen och ställer välvilliga frågor som möts av föga förvånande svar.
Enda gången där det hettar till är när det bekymmersamma läget i kommunerna återkommande lyfts fram och en representant från SKL i lätt agiterad ton hävdar att tillståndet minsann är bättre än så eftersom så många kommuner börjat använda KLASSA (!).
För att övertyga den som inte tror mig har jag sammanställt ett litet quiz där den som vill får gissa om citaten kommer från den öppna utfrågningen förra veckan eller från För att göra det litet svårare har jag bytt ut ”informationssäkerhet” i texten från 2005 mot ”cybersäkerhet”.
Innebörden i begreppsanvändningen är mycket likartad i detta sammanhang och samtliga talare förra veckan.
Den som först sänder in ett rätt svar bjuder jag på lunch eller ett glas efter jobbet.
Skicka in en tipsrad med A för SOU 2005:42, B för citat från utfrågningen.
En rimlig ståndpunkt är att tydliga begrepp i de flesta fall är en förutsättning för en fungerande kommunikation.
Personligen ser jag kommunikation som det viktigaste redskapet för att få till en fungerande informationssäkerhet både i den egna organisationen och nationellt.
Därför är begrepp inom informationssäkerhet en avgörande faktor för att lyckas.
Ett begrepp som gjort en raketkarriär är cyber.
Det är inte bara en allmän känsla utan stöds också av en sökning i Retriever, se graf: I många sammanhang, även från regeringen, lyfts betydelsen av s.k.
cybersäkerhet fram som en central fråga för det svenska samhället.
Jag uppfattar försvarsminister Peter Hultqvist som en informell rekordhållare då han lyckades säga ”cyber” inte mindre än 36 gånger i ett men då krävdes det också stycken som det här för att lyckas: Cyberdomänen, eller cyberrymden, vad vi än väljer att kalla den, har kommit att bli en ytterligare arena för militär och annan verksamhet.
Den trenden har varit tydlig under en tid.
Tidigare rapporter från Försvarsberedningen har lyft fram de problem och risker som präglar cyberdomänen.
Den tilltagande antagonistiska dimensionen i cyberrymden gör det nödvändigt att utveckla och stärka cyberförsvarsresurser.
Vi kan se att ett flertal länder i världen har gjort just det.
Det försvarspolitiska inriktningsbeslutet från 2015 innehöll ett tydligt och nytt steg i arbetet med svenskt cyberförsvar.
Här förekommer även sammansättningar som cyberdomänen respektive cyberrymden som antingen är samma sak eller möjligen inte eftersom begreppen används varannan gång t.o.m.
Detta är kanske bara ett uttryck för språkglädje där man vill variera uttrycken.
Hur som helst har begreppet ”cyber” här någon slags rumslig dimension.
I den nationella strategi för samhällets informations- och cybersäkerhet som regeringen presenterade 2017 och som statsrådet hänvisar till i sitt anförande saknas dock denna rumsliga dimension då begreppen som utgör strategins ämne definieras: Med informations- och cybersäkerhet avses i denna skrivelse en uppsättning säkerhetsåtgärder för bevarande av konfidentialitet, riktighet och tillgänglighet hos information.
Med konfidentialitet avses att obehöriga inte ska kunna ta del av informationen.
Med riktighet menas att informationen inte förändras, manipuleras eller förstörs på ett obehörigt sätt.
Med tillgänglighet menas att behöriga ska kunna ha tillgång till informationen på det sätt och vid den tidpunkt som tjänsterna erbjuder.
För informationssäkerhet som avser digital information används i denna skrivelse även begreppet cybersäkerhet.
I denna skrivelse används begreppen beroende av sitt sammanhang, där exempelvis cybersäkerhetsbegreppet är vanligt förekommande i en internationell .
Det är litet svårt att se skillnaden mellan informations- respektive cybersäkerhet men jag tolkar det som att man ser cybersäkerhet som en delmängd av informationssäkerhet där cybersäkerhet bara handlar om ”digital information”.
Cybersäkerhet anses också mer ”internationellt”.
För mig är blir det aningen besynnerligt att tala om digital information eftersom det blir en mix av information och bärare– när man exempelvis klassar information är det ju inte mediet som klassas utan informationsinnehållet.
För att få bättre bild av hur begreppet används av de myndigheter som har särskilda ansvar inom området och därmed ofta kommunicerar med begreppet i fokus skrev jag en enkel fråga till tre av dessa myndigheter; Försvarsmakten, SÄPO och MSB.
Begreppet ”cyber” används flitigt för tillfället.
Jag skulle behöva ha x:s definition av begreppet eftersom det används på olika sätt i olika sammanhang.
Samma dag fick jag svar från Försvarsmakten med en hel ordlista ( ) med sammansättningar med ”cyber”, däribland cybersäkerhet: Cybersäkerhet är den samling av säkerhetsåtgärder, riskhanteringsmetoder och tekniker som kan användas i syfte att bevara konfidentialitet, riktighet, spårbarhet och tillgänglighet i cyberrymden.
En stor eloge till FM för denna goda service!
Definitionen pekar mindre på styrning på organisatorisk men desto mer på konkreta säkerhetsåtgärder, alltså ganska långt från ledningssystem.
Åtgärderna ska vidtas i cyberrymden (med synonymer som cyberspace, cybermiljön, cyberarenan, cyberdomänen) som enligt begreppslistan är: Cyberrymden är den del av informationsmiljön som består av de sammanlänkade och av varandra beroende it-infrastrukturer, som möjliggör kommunikation, med tillhörande data och information.
Den inkluderar internet, intranät, telekommunikationssystem, it-system samt inbyggda processorer och styrenheter.
Jag uppfattar det som cyberrymden är den gemensamma tekniska infrastrukturen men inte informationen i sig.
Från SÄPO kom efter en knapp vecka det något förvånande svaret: Hej, Säkerhetspolisen har ingen egen definition av begreppet cyber.
Det är inte ett begrepp som används primärt i vår verksamhet.
Förvånande eftersom ”cyber” förekommer flitigt på SÄPO:s webbplats, i olika rapporter och utåtriktad verksamhet som och för att bara ta ett par exempel.
Slutligen då MSB där svaret satt hårdare inne och inte kom förrän efter en dryg månad: Hej!
Ordet ”cyber ”kan inte anses stå för sig själv, utan används av MSB i sammansättning med andra ord, främst ”cybersäkerhet”.
Beroende på sammanhanget använder MSB ordet ”cybersäkerhet” med något olika betydelse: MSB har under flera år engagerat sig i terminologifrågor och stöttar bl.a.
SIS i arbetet med terminologi på informations- och cybersäkerhetsområdet.
MSB planerar inte att ta fram en egen definition av begreppet cyber, eller cybersäkerhet.
De definitioner/beskrivningar som myndigheten behöver kunna använda är, enligt ovan, bl.a.
från regeringens strategier, standardiseringsorgan (ex SIS), FN, EU samt Nato.
Cyber/cybersäkerhet förekommer i dag i förslag till reglering från EU (den s.k.
cybersäkerhetsakten, COM(2017) 477 final).
Myndigheten har därmed tre olika definitioner för olika sammanhang och har dessutom gjort en egen utveckling av den definition som fanns med i 2017 år nationella strategi.
Detta blir aningen motsägelsefullt när man samtidigt säger sig använda befintliga definitioner/beskrivningar och inte utveckla egna.
Formuleringen om SIS undviker elegant att MSB faktiskt inte använder den definition av cybersäkerhet (”cyber” i sig själv ingår inte) som finns terminologin SIS-TR 50:2015 (tyvärr är jag inte länka till terminologin eftersom den inte är fritt tillgänglig): bevarande av konfidentialitet, riktighet och tillgänglighet hos information i cyberrymden Cyberrymden;telerymden har i sin tur definitionen: abstrakt rymd som utgörs av digital kommunikation mellan datornätverk och där all digital information befinner sig Med den förtydligande kommentaren: Cyberrymden innefattar all kommunikation via internet samt telekommunikation.
En cyberrymd möjliggörs av den hårdvara och de system som ingår i en infrastruktur.
Jag är inte alldeles säker på att jag förstår vad detta exakt betyder.
Terminologin verkar dock ha den implicita uppfattningen att ”cyber” har med internationella konflikter och antagonism att göra vilket markeras redan i det inledande stycket till kapitlet om Samhällets informations- och cybersäkerhet: Varje dag utsätts svenska myndigheter och företag för cyberattacker.
Detta har bidragit till att bl.a.
frågor om cybersäkerhet och cyberresiliens har blivit mer aktuella inom olika branscher.
Sverige, liksom många andra europeiska länder, har på senare år börjat uppmärksamma risken för cyberattacker som en global och militär hotbild.
Det är därför viktigt att introducera cybersäkerhet inom olika branscher för att öka förståelsen och kompetensen för hur man kan skydda information från dessa hot.
Cybersäkerheten har medfört nya termer, men eftersom området fortfarande är nytt kan dessa termer komma att ändras och det kommer att krävas fortsatt terminologiutredning inom detta område.
Det verkar inte råda någon konsensus om skillnaden mellan informations- och cybersäkerhet, utan de två termerna används ibland omväxlande.
Ibland används termen informationssäkerhet när inriktningen ligger på informationen och termen cybersäkerhet när det handlar om den digitala domänen; ibland ses cybersäkerhet som informationssäkerhet på en global nivå .
Samtliga sammansatta ord med förleden cyber som presenteras i terminologin är företeelser som skulle kunna ingå i en krigföring eller terrorism på hög nivå (cyberattack, cyberavskräckande, cyberförsvar, cyberkrigföring, cyberoperation osv.).
I en lustig cirkelrörelse hänvisar man i en fotnot till SOU 2015:23 (NISU) och den begreppsdiskussion som förs där på sidan 40: En grundläggande definitionsfråga för hela den svenska informationssäkerhetsnomenklaturen handlar just om innebörden av det svenska begreppet ”informationssäkerhet”.
På engelska är detta begrepp uppdelat i två betydelser dels ”Information Security” som utgår från ett tekniskt perspektiv och återspeglas i ISO 27001-standarden, dels i ”Information Assurance” som utgår från ett nationellt säkerhetsperspektiv och där även organisation och policy ingår.
I tidigare utredningsarbeten gjordes försök att särskilja det senare begreppet från det förra genom att introducera termen ”informationssäkring”, vilket också infördes i SIS-nomenklatur.
Begreppet – liksom den förenklade varianten ”övergripande informationssäkerhet” – vann aldrig någon uppslutning i det offentliga Sverige då det ansågs för komplicerat att beskriva.
Följden har dock blivit olyckliga sammanblandningar i begreppens innebörd – inte minst i internationella sammanhang.
Cybersäkerhetsbegreppet är mer strategiskt och fokuserar mer på nationella och internationella nätverk.
Därmed har cybersäkerhet en större internationell räckvidd med t.ex.
folkrättsliga frågeställningar och normer på cyberområdet än det mer tekniska informationssäkerhetsbegreppet.
Det senare har en större tyngdpunkt mot hård- och mjukvara samt standardisering.
Motivet för fokus mot cybersäkerhet är att det är på detta område som statsmaktsperspektivet behöver utvecklas då frågeställningarna ligger ovanför myndigheternas ansvarsområden, samt att avdömningar mellan olika sektorsstrategier kan behöva göras inom ramen för ett svenskt koherent nationellt förhållningssätt gentemot EU och andra internationella .
Detta är ju ett märkligt stycke där den uttalat organisatoriskt inriktade ISO 27001 framställs som fokuserade på tekniska åtgärder (!).
Cybersäkerhet sägs vara mer ”strategiskt” och verkande på nationell nivå.
Till att detta kommer alla företag som använder ”cyber” i olika konstellationer för sin produkter och tjänster som knappast är på nationell nivå.
Sammantaget är användningen av begreppet ”cyber” högst inkonsistent och rör sig i en skala från å ena sidan normal it-säkerhet med vissa tillägg av informationssäkerhet till en del av det nationella försvaret.
Vissa gemensamma drag tycks finnas som att det gäller digital infrastruktur i någon bemärkelse samt den renodlade inriktningen mot antagonistiska hot.
I övrigt är det ganska fritt valt vilken betydelse man vill ge ordet.
Är denna otydlighet då egentligen ett problem?
Det kanske behövs ett sådant här amorft begrepp som beskriver en amorf verklighet och inte enbart för sexa till vilken konferensrubrik eller vilket tjänsteutbud i it-sektorn som helst?
Kanske inte men jag måste ändå resa invändningen att om att vårt, enligt många, största hot förtjänar en något mer entydig beskrivning.
Att måla upp ett förödande hot mot nationen och mot enskilda men göra det i så oklara termer är inte bra för samhällsklimatet i en demokrati (vilket jag skrivit om tidigare).
Inte heller är det en fördel för kunder att erbjuda tjänster där det inte närmare går att avgöra vad tjänsten egentligen består i. Jag tycker därför att det är en rimlig önskan att åtminstone centrala myndigheter sätter sig ner för att begreppsmodellera vad ”cyber” är och vilken relation cybersäkerhet har till informationssäkerhet.
Betänk språklagens krav på myndigheterna: Språket i offentlig verksamhet ska vara vårdat, enkelt och begripligt.
Ingen kan idag förneka vikten av att förbättra informationssäkerheten i de samhällsviktiga verksamheterna.
Ett antal utredningar har under de senaste tre åren utmynnat i olika förslag på hur detta ska ske.
Tyvärr har fokus legat allt för mycket på reaktiva åtgärder som incidentrapportering och allt för litet på det förebyggande arbetet, detta trots att det ofta påpekats att de stora säkerhetsvinsterna kan göras genom olika typer av incidenter och säkerhetsproblem motverkas innan de uppstår.
För mig framstår den i särklass viktigaste förebyggande åtgärden att tillräcklig kompetens finns för att hantera informationssäkerhetsrelaterade frågor på olika nivåer.
För att uppnå detta krävs både episteme, fronesis och techne.
Det vill säga det måste finnas en vetenskaplig grund för att de åtgärder som vidtas är effektiva i förhållande till de problem de avses att lösa, att det måste finnas en praktisk kunskap hur fungerandeska bedrivas och det måste finnas en djupare förståelse att nya situationer kan hanteras.
Jag skulle vilja hävda att detta idag i allt för hög grad saknas.
Konkret kommer ett stort antal organisationers ledningar behöver ett kompetent stöd för att styra sittså att det motsvarar de risker som verksamheten är utsatt för och för att kunna tillvarata alla nya möjligheter som den pågående digitaliseringen innebär.
Jag pratar alltså inte om it-säkerhet som är inriktad på tekniska åtgärder utan informationssäkerhet som handlar om verksamhetsstyrning och information.
Utöver befintliga krav kommer även nya från bland annat dataskyddsförordningen, NIS, civilt försvar och en ny säkerhetsskyddslag.
Det gäller c.a.
350 myndigheter, 290 kommuner, ett tjugotal landsting/regioner och ett okänt antal privata aktörer som medverkar till att upprätthålla samhällsviktiga verksamhet.
En av de vanligaste frågorna jag får när jag besöker kommuner, regioner och myndigheter är vilka utbildningsmöjligheter som finns.
Hos de som får allt tyngre ansvar för det faktiskat finns såvitt jag kan bedöma en allt större medvetenhet om kompetensbehovet.
Till viss del fanns denna insikt även i den strategi för samhällets som MSB tog fram tillsammans med andra myndigheter.
Tyvärr har inte insikten utmynnat i några konkreta satsningar för att stödja utvecklandet av professionsinriktade utbildningar.
Även om behovet av kompetens är känt anvisas få vägar för kompetensförsörjningen.
Vare sig i den nationella säkerhetsstrategin eller i digitaliseringsstrategin, båda presenterade av regeringen 2017, nämns något om kompetensförsörjning inom informationssäkerhetsområdet.
Utredningar som SOU 2015:23 , SOU 2017:36 SOU 2017:114 liksom lagrådsremissen om ny säkerhetsskyddslag är lika renons på förslag annat än de som gäller utpekade tillsynsmyndigheter.
Den nationella strategin för informations- och cyberssäkerhet (Skr.
2016/17:213) skulle kunna inge ett visst hopp eftersom den faktiskt innehåller ett avsnitt som heter Öka kunskapen och främja kompetensutvecklingen.
Hoppet om att finna ett mål att tillgodose behovet av professionell kompetens generellt avtar dock snabbt då det visar sig att det som avses är att informera organisationer om sårbarheter och behovet av säkerhetsåtgärder samt att höja den enskilda användarens kunskap.
Samtliga strategier och utredningar tycks dock förutsätta att den kompetens som behövs kommer att finnas utan vidare styrning.
Jag delar inte denna tilltro till den osynliga handen.
Istället ser jag att vi står inför ett mycket stort och komplicerat kompetensförsörjningsbehov.
Bara det ett nyrekryteringsbehov av något hundratal informationssäkerhetsspecialister årligen till kommuner och landsting/regioner som kanske har samhällets mest komplexa informationssäkerhetsbehov måste uppmärksammas.
Många av oss som idag är verksamma inom informationssäkerhetsområdet saknar formell utbildning för våra jobb eftersom utbildningar helt enkelt inte funnits i någon högre grad (jag jämställer inte olika certifieringar med högskoleutbildning även om de säkert är bra på sitt sätt).
Därav ett stort fortbildningsbehov.
De kurser på högskolenivå som erbjuds idag via en sökning på antagning.se för hösten 2018 är antingen korta kurser eller har en renodlad teknisk inriktning.
Undantagen är masterutbildningar i Örebro som har ett handfull platser samt i Luleå där ett organisatoriskt perspektiv tillförs en huvudsak it-inriktad utbildning.
Detta räcker naturligtvis inte långt.
Mitt förslag är därför att en utredning tillsätts som tillåts koncentrera sig på hur behovet av kunskap och kompetens inom informationssäkerhetsområdet ska tillgodoses under de närmaste åren.
Utgångspunkten är att staten måste ta ett betydligt större ansvar för kunskapsförsörjning på en vetenskaplig nivå och för att kunskapen omsätts till kompetenshöjande åtgärder för prioriterade målgrupper i samhället.
Målen bör vara att det gemensamma utbildningsplaner för en treårig högskoleutbildning som informationssäkerhetsspecialist med inriktning på organisation och information, att det utbildas 50 informationssäkerhetsspecialister per år samt att varje kommun har tillgång till minimum en halvtids informationssäkerhetsspecialist.
Inom detta fält kan även utbildningar av typen ”informationssäkerhetsspecialist kommunal verksamhet” och ”informationssäkerhetsspecialist hälso- och sjukvård” kunna finnas.
Även fortbildningar för redan yrkesverksamma bör ingå i ett kunskapslyft för informationssäkerhetsområdet.
Utan denna typ av insats har jag mycket svårt att se hur alla andra mål för att höja samhällets informationssäkerhet ska kunna realiseras.

Merparten av informationsmängderna är även de att betrakta som tämligen generiska Merparten av informationen hanteras i pappersform, detta särskilt i kritiska aktiviteter i processen En stor del av informationen finns på flera bärare samtidigt I hela processen är spårbarheten är essentiell för patientsäkerheten Har den här åtgärden en säkerhetshöjande effekt som står i paritet med den kostnad och krångel som den orsakar verksamheten?
Är den här åtgärden verkligen avpassad till och tar hänsyn till verksamhetens egentliga behov av säkerhet?
Indirekt: vet jag som vill lansera den tillräckligt mycket om verksamhetens behov för att kunna avgöra det?
Kommer den här åtgärden verkligen att fungera i praktiken eller är den en ren pappersprodukt?
Och kommer den även att fungera över tid, t.ex.
när konsulten lämnat skeppet?
Finns det verkligen inte ett effektivare sätt att reducera risken till en acceptabel nivå?
Om jag förstår det rätt ligger den här rekryteringssiten som en molntjänst där informationen ligger på Irland?
Använder siten Google Analytics?
Har det gjorts en riskanalys/informationsklassning innan man valde det här sättet att hantera informationen?
Har Försvarsmakten gjort rätt riskbedömning när det valt den här lösningen eller har de liksom många andra fallit för frestelsen och sett all fördelar finns med molntjänsterna och låtit detta få överhanden?
Om riskbedömningen är rimlig att hantera personuppgifter och andra uppgifter om exempelvis placeringar som annars uppfattas känsliga, dessutom i en omfattning som svindlar, i en molntjänst i det här sammanhanget – varför skulle det inte vara det i andra sammanhang som exempelvis i kommunal verksamhet?
Alla våra moderna samhällsbärande system bärs upp av den nya informationsteknologin.
Det går inte att organisera fram cybersäkerhet utan det krävs resursförstärkningar.
Enligt x mening är det av strategisk betydelse att kunna säkerställa kompetensförsörjningen inom informationssäkerhetsområdet.
X konstaterar också att staten behöver egen och unik kompetens.
Staten har också det yttersta ansvaret för den nationella säkerheten, vilket ställer särskilda krav.
Staten förfogar över en rad administrativa, ekonomiska och informativa styrmedel.
I praktiken är dessa relativt svagt utvecklade på informationssäkerhetsområdet.
Vår sårbarhet ökar och vi har stora brister trots att stora åtgärder vidtagits.
Såsom beskrivet i skrivelsen Nationell strategi för samhällets informations- och cybersäkerhet (Skr.
2016/17:213, Justitiedepartementet) där definitionen är ”informationssäkerhet som avser digital information”.
För att inte riskera en snäv tolkning som att det enbart omfattar it- och nätverkssäkerhet anser MSB att cybersäkerhet i detta sammanhang avser säkerhetsåtgärder på samhällelig strategisk nivå, främst reglerande och samordnade åtgärder, som behövs så att samhällets aktörer kan bedrivapå organisatorisk nivå, främst för information som hanteras digitalt.
Såsom beskrivet i Sveriges inlaga till FN:s generalförsamling att cybersäkerhet tydligare beskriver de skyddsåtgärder som innefattar konfidentialitet, tillgänglighet och riktighet för att inte blandas samman med den betydelse av informationssäkerhet som används av vissa länder eller organisationer som en del av en doktrin där synen att informationsinnehållet som sådant är ett hot.
I de fall MSB har samverkan med andra organisationer (såsom EU, NATO och FN) kan viss annan betydelse av cybersäkerhet förekomma, utefter de samverkande organisationernas definition av begreppet.

ha kontroll över sin information normerande klassning och vad hur.
hur

Meny Cybersäkerhet

MENU MENU Postat av Postad i , , , , Tagged , , , , , , , , , Postat av Postad i , , , Tagged , , , , , , , Postat av Postad i , , , Tagged , , , , Postat av Postad i , , , , , Tagged , , , , , , Postat av Postad i , , , Tagged , , , , , postat av Postad i , , Tagged , , , , , Postat av Postad i , , , , , , , Tagged , , , , , , , Sök efter:

Tack Calle Lilius för bilderna!
Statlig förvaltningspolitik för 2020-talet SOU 2005:42 Säker information.
Förslag till informationssäkerhetspolitik.
Begrepp med definitioner för cyber Informations- och cybersäkerhet i Sverige Informationssäkerhet för samhällsviktiga och digitala tjänster, reboot – omstart för den digitala förvaltningen

Att lyckas med sitthandlar i hög grad om att kommunicera.
Att kommunicera handlar i sin tur i hög grad om att skapa förståelse och samsyn.
Detta är nödvändigt för att få människor och organisationer att agera.
Banala sanningar kan tyckas men tyvärr är dålig kommunikation en ständig ledsagare för de som arbetar med informationssäkerhet.
Själva begreppet informationssäkerhet saknar en tydlig och accepterad .
Detta leder till problem både för dem som anser sig arbeta med ”informationssäkerhet” och för dem som avser att anställa eller anlita vad de tror är en definierad kompetens.
Det blir inte enklare då man slänger in nya spännande beteckningar som ” ”.
Jag tror att det finns en olycklig tendens att de som arbetar med informationssäkerhet (i någon form) är mer intresserade av att bekräfta varandra i gruppen än att skapa en relation med omvärlden, d.v.s.
en relation byggd på ömsesidig förståelse.
Ta exemplet med titeln ”CISO” som fått en snabb spridning i svenska myndigheter inklusive regioner och kommuner.
Uttytt står CISO för vilket låter flott men titeln leder enligt min mening till mer oförståelse och förvirring än klarhet.
När informationssäkerhet i sig ännu inte är ett hushållsbegrepp så min fråga är varför man i Söpple kommun väljer att höja svårighetsnivån ytterligare och införa en titel som är helt ogenomtränglig för alla utanför skrået.Vad man chiefar över är även det höljt i dunkel.
Särskilt märkligt blir detta titulerande sett i ljuset av den svenska språklagen som uttryckligen skriver: Språket i domstolar, förvaltningsmyndigheter och andra organ som fullgör uppgifter i offentlig verksamhet är svenska.
I annan lag finns särskilda bestämmelser om rätt att använda nationella minoritetsspråk och annat nordiskt språk.
När det gäller skyldigheten för domstolar och förvaltningsmyndigheter att anlita tolk och att översätta handlingar finns det särskilda bestämmelser.
Språket i offentlig verksamhet ska vara vårdat, enkelt och begripligt.
Myndigheter har ett särskilt ansvar för att svensk terminologi inom deras olika fackområden finns tillgänglig, används och utvecklas.
Detta har alltså svenska myndigheter att följa vilket jag finner som ett rimligt krav.
Jag har funderat över varför så många väljer att bryta mot detta när det gäller CISO-begreppet, vad vill man uppnå på bekostnad av att varken den egna organisationen eller de invånare man är satt att tjäna begriper vad man sysslar med?
CISO är ju inte heller på något sätt en skyddad yrkestitel eller resultatet av en specifik utbildning utan kan stå för litet vad som helst.
Jag är den första att förespråka en klassisk professionalisering av vår yrkesgrupp, vilket jag skrivit om bland annat , men då är det helt andra och mer seriösa åtgärder som krävs än en flashig titel.
Vi borde vilja nå ut, inte spinna in oss i en allt tätare skråkokong.
Återigen; CISO-begreppet är bara ett exempel men jag tycker det är signifikativt för en attityd som jag menar är till nackdel både för professionen och för uppdragsgivare.
En episod som ofta återkommer i mitt minne är när en medarbetare för ett antal år sedan argumenterade för sin linje (som inte var min) med fritt citerat:” well, det är så vi i communitiet ser det.”.
Tyvärr fann jag mig inte tillräckligt snabbt för att fråga exakt vad ”communitiet” egentligen var och vilka som ingick i det men jag misstänker att det var någon slags informell och självutnämnd kommitté av människor som såg sig som ägare av informationssäkerhetsfrågan i Sverige.
Eftersom jag själv alltid skytt den här typen av gemenskaper är jag partisk.
Ändå vill jag säga jag uppfattar den här kårandan som ett problem som gestaltas bland annat genom lanserandet av CISO-titeln.
Istället för att rikta blicken på den egentliga målgruppen, det vill säga de som inte arbetar med informationssäkerhet, spelar vi för vårt eget galleri.
Den skapar också osunda lojalitetsband eftersom det saknas objektiva och accepterade krav på den som ska ses som en kompetent yrkesutövare.
Låt oss skingra dimman och inrikta oss på att nå ut till de som vi egentligen ska tjäna och skapa förutsättningarna för en seriös utveckling mot en profession.
Detta kan också en etablerad titel med ett tydligt kompetenskrav som på sikt till och med skulle kunna bli en skyddad.
Kriser har den fördelen att de oftast tar slut.
Att framgångsrikt hantera kriser bygger därför på att man inte bara hanterar nuet utan även framtiden.
Folkhälsomyndigheten har varit beundransvärda i att de lyckats hålla blicken uppe och fått allt fler att förstå att bekämpningen av coronaviruset inte bara handlar om drastiska åtgärder här och nu utan att vi både måste tänka på nästa virusvåg som kanske kommer redan i höst.
Ett annat budskap är att vad som ska värnas är folkhälsa där virusbekämpningen inte får överskuggande sekundäreffekter som i skapar större ohälsa och död än själva viruset.
Däremot når nu MSB:s insatser en sådan nivå att de t.o.m.
får vara med i satirinslaget i P1, en ynnest som är få myndigheter förunnad.
Inslaget handlar förstås om den famösa enkätappen som jag omnämnde i mitt förra och som nu även tagits upp i MSB har hintat om lanseringen av appen med en näraliggande men okänd startpunkt.
Tyvärr har myndigheten inte någon kommunikationslinje i frågan, vid konkreta frågor som i Eko-inslaget kommer endast undflyende svar.
Jag kan förstå det.
Det är svårt att sälja in en lagring av personuppgifter på befolkningsnivå i en amerikansk molntjänst.
Eftersom jag själv varit engagerad i svagheterna i projektet Hälsa för mig så har jag svårt att känna stark tilltro till att det snabbt går att vispa ihop en dylik tjänst med tillräcklig säkerhet och med tillräcklig respekt för dataskyddsförordningen.
Det är ju liksom ingen slump att eSam gjort ett om det olämpliga i att använda molntjänster när personuppgifter eller annan känslig information förekommer.
Vid sidan om själva enkätappen är MSB:s kommunikation den lika märklig.
Grunden för fungerande kriskommunikation är att inte skapa mer oro än nödvändigt utan delge de fakta som finns och som är relevanta i den aktuella situationen.
MSB har nu haft några olyckliga veckor trots att de ska vara samhällets experter på kriskommunikation.
Kanske tröttnade man att vara transportsträckan i dagliga presskonferensen på Folkhälsomyndigheten och att det var orsaken till att man helt plötsligt spicade upp sin monotona redogörelse om samordningsmöten med länsstyrelserna med att föranstalta en möjlig vattenbrist.
En signal som ledde till att redan hårt tyngda kommuner fick svara på helt irrelevanta frågor om icke-existerande vattenbrister från oroliga medborgare och medier.
Sedan detta smyglanserande av enkätappen som skapar frågor som inte besvaras utan skjuts till en obestämd framtid.
Detta leder inte till en större tillit i krisen.
Någon skulle kunna invända att nu när vi står inför en så stor kris som denna blir frågor som säkerhet och integritet underordnade.
Jag håller inte med om detta utan som jag skrev i mitt tidigare inlägg så är det när vi är som mest pressade som vi måste försöka tänka klart och följa de rutiner vi satt i normalläget, t.ex.
gällande riskbedömningar.
Vi ser nu hur det runt om i världen sker överträdelser mot grundläggande rättigheter och att auktoritära medel som inkräktar på individens sfär alltför villigt vidtas.
I Sverige har vi en lång stabil tradition av tillit och respekt men det finns ingen garanti att vi klarar att bevara detta.
Att myndigheterna sköter sig, inte genar eller agerar impulsivt är också grunden för den tillit som krävs för krisbekämpningen – inklusive att genomföra smittspårning m.m.
Efterklokt skulle man möjligen kunna kritisera myndigheterna för att de inte tagit fram ett smittspårningsverktyg i mellantiden sedan svininfluensan för ett decennium sedan utan börja ad hoca nu för då skulle säkerhetsfrågorna sannolikt kunnat hanteras på ett systematiskt sätt men det båtar föga.
Naturligtvis skulle man kunna säga att det är dumt att spekulera när så litet är känt och allt det jag skriver nu står på en mycket vacklande grund.
Ändå är detta en så viktig fråga att det är svårt att låta bli och spekulationernas kvalitet blir även den ett resultat av MSB:s kommunikationsplan.
För mig är det svårt att förstå hur en kombination av inloggning med BankID, amerikansk molntjänst och och känsliga personuppgifter inte skulle leda till mycket stora risker och att dataskyddsförordningen inte kan efterlevas.
MSB:s gedigna juridiska kompetens har möjligen gjort en annan bedömning men det är just den man skulle vilja ta del av, särskilt som den rimligen redan är färdigställd om breddlanseringen ska ske i dagarna.
Med den som underlag skulle kriskommunikationen kunna ske utan att orimliga spekulationer och onödig oro uppstår.
Mitt förslag är att, särskilt efter medieuppmärksamheten, MSB omedelbart presenterar den som är av stort intresse särskilt för oss som följt diskussionerna efter eSams uttalande.
Har MSB lyckats knäcka den nöten så är det stora nyheter för både Eller så har jag och en hel del andra missuppfattat upplägget (inte alls otroligt) och då vore det ju bra om MSB gick ut och beskrev hur det egentligen ser ut.
Är det så att MSB inte har ett vattentätt underlag så kommer man att underminera det mycket mödosamma arbete som bedrivs i många, om inte de flesta, organisationer, idag för att nå fram till ett ansvarsfull sätt att hantera molntjänster.
Detta menar jag vore förödande för MSB som den myndighet som ska samordna samhälletsslarvar med säkerheten.
Det skulle leda till att det svenska samhället skulle få ännu svårare att bemästra de mycket utmanande uppgifter vi redan står inför.
MSB:s egen verksamhet är ett show room för hur det är tänkt att andra myndigheter ska agera och förutom legitimitet finns det också mycket reell säkerhet att förlora om inte MSB klarar sin roll att leda genom sitt exempel.
MSB:s skrift Om krisen eller kriget kommer har en aningen märklig titel som om det finns ett krisfritt alternativ.
Jag tror både myndigheten och vi andra skulle tjäna på att ”när” snarare än om, i alla fall när det gäller kriser.
När krisen verkligen kommer skapas ett skilje där organisationer och individer ofrivilligt visar sitt virke, om man klarar att fungera rationellt även under press.
Planering för vad som ska göras när allt står på ända är ett bra sätt att stärka sitt virke.
Så än mer att kunna upprätthålla sina principer och sin planering när krisen väl inträffar.
Länge fanns en syn att säkerhet var ett hinder för en fungerande verksamhet.
Långsamt har vi tagit oss till en situation där allt fler ser att säkerhet inte är hinder för verksamheten utan en förutsättning, och då alldeles särskilt i svåra situationer.
Vi kan inte gå tillbaka till ett antingen det ena eller det andra, vi måste fortsätta kämpa för både effektivitet och säkerhet.
Det är bra om MSB befinner sig på rätt sida i det arbetet så att inte nya stora problem har skapats som ger utslag när krisen väl är över.
Jag kommer nu att ikläda mig rollen av glädjedödare i dessa ändå så svåra tider – jag ber om ursäkt för det.
Under de senaste veckorna i coronans tid så blommar olika personligheter och mänskliga beteenden för att hantera kriser ut.
I denna vilda blandning av känslor och rationalitet är det inte lätt att urskilja vad som är vad.
Jag tänker nu oftare än vanligt på hur viktigt individens men också organisationens sätt att agera varit i de mer kritiska situationer jag varit inblandad i och vem jag skulle vilja ha vid min sida i en verkligt akut situation.
Att inte låta känslorna styra i en krissituation kan nog alla hålla med om i teorin.
Vi vet att stress försämrar vår tankeförmåga och att det därför i krissituationer är lätt att tillgripa helt fel lösningar eller missa uppenbara svagheter i handlingsalternativen.
Likaså är historien rik på exempel där boten varit värre än soten, d.v.s.
att de åtgärder man vidtagit för att hantera ett akut problem på kort eller lång sikt lett till värre konsekvenser än det ursprungliga problemet kunnat orsaka.
En illustration på detta är agapaddan som trettiotalet importerades till Australien från Hawaii som ett slags biologiskt bekämpningsmedel av en skalbagge som hotade sockerbetsodlingar.
Nu finns det över 100 miljoner av den giftiga paddan som hotar djur- och växtlivet på hela kontinenten.
Detta försvåras av att de sekundära problemen kanske uppstår inom ett helt annat område än där den ursprungliga krisen rör sig.
De som arbetar med krishanteringen kan därmed inte överblicka de möjliga sekundära konsekvenserna eftersom man kanske inte ens har rätt kompetens för att upptäcka dem.
Jag ska inte här gå in på det utslitna filosofiska järnvägsproblemet där olika liv ställs mot varandra utan nöjer mig med att säga att ALLA mår bra av att läsa filosofi och dessutom tänka några extra varv.
När vi blir utsatta för en pressande situation får många individer och organisationer ett starkt behov av att agera.
Att agera är ångestdämpande i sig för det ger känslan av att påverka hotet oavsett effekten av åtgärderna.
Just här menar jag att det just nu finns ett riskabel situation när både individer och myndigheter i positiv anda försöker bekämpa coronan eftersom man i vissa fall tycks släppa sitt ordinarie säkerhetstänkande (vilket väl i ärlighetens namn inte är på toppnivå ens i normalläget).
Samma sak med integritet och skyddet av personuppgifter.
De nya och provisoriska arbetssätten leder till nya risker som måste fångas upp och reduceras.
Anekdoter om hur man helt plötsligt fått oväntat besök i sitt Teams- eller Zoom-möte florerar utan att det observeras som ett säkerhetsproblem.
Okritiska reportage om hur kreativa elever fått skolor att börja använda (!)
i skolans uppgifter.
Entreprenörer som flashar om att de håller på att utveckla appar för smittspårning.
Säkerhet och integritet nämns ytterst sällan och då bara i formuleringar som ”liv går före allt” vilket implicit tycks betyda ”vi struntar i informationssäkerhet och integritet”.
Extra betänksam blir jag av att många tycks inspirerade av Kinas övervakningsmetoder och i denna uppskruvade anda inte tycks se vad de kostar.
När det i fredags kom ett kort meddelande på Ekot att MSB håller på att ta fram någon form av app för smittspårning åt FHM men inte vill kommentera hur den ska utformas undrar jag hur genomtänkt den lösningen egentligen är (särskilt ironiskt med tanke på att MSB varit en bastion spårbarhet som säkerhetsdimension).
Eller är detta myndigheter som drabbats av ett akut behov av att se verksamma ut och därför är beredda att hoppa över säkerhetsskacklarna?
Det är svårt att se hur en sådan lösning skulle kunna tas fram med tillräcklig legal och säkerhetsmässig analys på så kort tid.
När jag pratar om vikten av säkerhet avser jag inte enbart konfidentialitet.
Om man ska skapa olika rapporteringstjänster måste även behovet av riktighet, spårbarhet och tillgänglighet bedömas – annars riskerar man faktiskt att få lösningar där boten är värre än soten.
En lösning för akut rapportering som bygger på sms (förekommer faktiskt) leder till falsk trygghet och att nödvändiga åtgärder kanske inte sätts in för att ta ett enkelt exempel.
Det är just i krissituationer som det systematiskat prövas.
Det är nu som informationsklassningar och riskanalyser har som störst betydelse för att medvetna risker ska kunna tas av den som är riskägare.
Jag vill inte att all kreativitet och god vilja ska kväsas men vi måste arbeta på ett sätt som inte leder till större skador på sikt.
Även om det är kontraintuitivt så måste medvetna bedömningar göras av risker och lagstiftning respekteras.
Appar som används för rapportering av symptom för diagnos är exempelvis medicinsk-teknisk utrustning och måste uppfylla kraven på sådan.
Vi kan inte ge oss hän åt våra känslor utan måste låta systematiken ge oss tillgång till rationaliteten.
Extra illa om en myndighet som MSB signalerar att säkerhet skulle vara av underordnad betydelse i krislägen.
Det är nu vi som mest behöver vårt förnuft och då är det inte alltid bäst att göra ”något” utan vi måste göra så rätt som möjligt.
Jag blev ombedd att vara med som expert i en rörande den nu så aktuella frågan distansarbete.
Det blir ju litet fragmentariskt när man svarar på inkomna frågor så jag tänkte ta tillfället i akt och sammanställa några rekommendationer rörande distansarbete.
Den organisation som tagit fram (samt övat) en fungerande och dessutom tagit fram regler för distansarbete i normalläget har naturligtvis ett stort försprång nu.
För de som inte fokuserat på detta är det en längre väg att gå men då gäller det att man är på rätt väg innan man börjar gå.
Utgångspunkten för nedanstående rekommendationer är att det är verksamhetens processer som ska upprätthållas.
För processerna är informationen en central resurs.
Informationen och organisation i centrum alltså medan it-säkerheten blir den följd av de krav som verksamheten ställer.
Jag tar inte upp ergonomi eller vikten av gemensamma kaffestunder.
Målbilden är att kunna arbeta lika säkert på distans som på den ordinarie arbetsplatsen.
Jag har tidigare skrivit om att jag ser kommunikation som det centrala verktyget it och kanske det tydligast inte funkar.
Det här inlägger kommer att ytligt behandla om några aspekter av det vittomfattande ämnet, nämligen förutsättningar och förförståelse, innehåll och form.
Att kommunikationen inom informationssäkerhetsområdet har jag redan försökt beskriva i ett tidigare inlägg.
Det saknas arenor och samtalsformer för att utveckla kunskap och samsyn.
Det språkbruk och de metaforer som uppstår i denna dysfunktionella kultur gör även att vår kommunikation inte fungerar i samspelet med de vi vill engagera.
Ofta framstår både vi själva och det vi säger uppfattas som ovidkommande, auktoritärt, svårbegripligt och alarmistiskt (källa: de många verksamhetsföreträdare jag samverkat med under ett par decennier).
Själv uppfattar jag kommunikationen i informationssäkerhetsfrågor ibland som direkt vilseledande för civila organisationer.
Ett exempel är den nednötta metaforen om att skydda sina guldägg.
Den underförstådda tanken är att alla organisationer har avgränsade informationsmängder eller hård/mjukvara som ska skyddas mot främst obehörig åtkomst (?)
framför alla andra.
Detta menar jag är en feltolkning av hur dagens informations- och it-infrastrukturer fungerar där det snarare handlar om komplexa samband där olika men i många fall lika viktiga krav ställs på olika delar för att helheten ska fungera.
För att ta ett exempel från verkligheten så är det i en kommunal verksamhet meningslöst att försöka peka ut vad som skulle vara ”guldägg”.
I den kommunala äldreomsorgen bör det ställas mycket höga krav på tillgänglighet i trygghetslarmen, lika höga krav på riktighet och spårbarhet i journaldokumentationen och mycket höga krav på konfidentialitet i alla delar.
För den ekonomiska redovisningen kommer peakar i tillgänglighetskraven vid vissa perioder under bokföringsåret.
Jag kan fortsätta uppräkningen med att peka på PuL, algoritmer, webbplatser m.m., m.m.
men det enda jag vill komma fram till är att jakten på ”guldägg” leder tanken och därmed kommunikationen helt fel.
Andra vanliga påståenden på konferenser och i marknadsföring är att medarbetarna skulle vara det största problemet.
Detta påstående saknar belägg och den organisation som skulle se medarbetarna som den största risken tror jag får anledning att snabbt göra en förnyad riskanalys.
Den som tycker att ovanstående kan ses som bagateller behöver sannolikt mer övergripande argumentation om den problematiska kommunikationen.
Låt oss se ett grundscenario som både gäller i den enskilda organisationen och på ett nationellt plan.
Å ena sidan finns informationssäkerhetsexperterna som ser generella risker och som har organisatoriska och tekniska metoder för att reducera dessa risker (i alla fall hypotetiskt).
Å andra sidan finns det organisationer för vilka informationen är en resurs för verksamhetens olika processer.
Det är de senare som har den faktiska möjligheten och resurserna att genomföra informationssäkerhetsåtgärder.
För att uppnå fungerande informationssäkerhet krävs insatser från båda parter.
Enda sättet att skapa en sådan gynnsam situation är god kommunikation, den goda kommunikation som jag menar ofta saknas.
Resultatet blir alltför ofta att verksamhet och informationssäkerhet samexisterar som olja och vatten.
Trots att det är verksamheten som har behov av informationssäkerhet för att kunna leverera talar informationssäkerhetsspecialisten för döva öron.
Ett aktuellt exempel på hur det kan gå är när eHälsomyndigheten, som objektivt sett är en av de svenska organisationer som har mest behov av god informationssäkerhet, levererar två om framtiden och överhuvudtaget inte analyserar behovet av just informationssäkerhet .
Jag kommer återkomma till detta i ett senare inlägg.
Sammantaget är min erfarenhet som statlig tjänsteman som försökt förbättra informationssäkerheten inom e-förvaltning och e-hälsa att försöket mötts med en ganska avsevärd brist på förståelse från båda lägren.
De som arbetar med informationssäkerhet nationellt har haft begränsat intresse av och insikt om behovet av informationssäkerhet i verksamheter som är utpräglat civila.
De som arbetar med digitalisering i förvaltning och sjukvård har med två undantag sagt typ: ”jaja, det är säkert viktigt med säkerhet men det tar vi sedan när vi realiserat våra lösningar – säkerhet innebär ju bara en massa krångel som kan leda till att vi inte kan genomföra det vi vill.” Förutsättningen för kommunikationen är alltså en ömsesidig misstro som måste överbryggas.
Behovet av informationssäkerhet finns främst hos organisationerna själva även om det på aggregerad nivå naturligtvis i hög grad är ett samhällsintresse.
Ansvaret för kommunikationen ligger dock på informationssäkerhetsspecialisterna eftersom organisationerna inte är medvetna om sitt behov.
Här uppstår dock ett avgörande problem eftersom kommunikationen om informationssäkerheten som skapas i denna situation i de flesta fall är istället för .
Det är informationssäkerhetsspecialisterna som försöker sälja in sitt utbud av standardiserade synsätt och metoder till en verksamhet som har ett behov, ett behov som tyvärr formuleras på verksamhetens egna premisser.
Detta gäller även det nationella planet där det är myndigheterna med ett utbud som fått styra strategier och handlingsplaner, inte de civila verksamheterna med behov.
Och som alltid vid utbudsstyrning är det svårt att sätta nivån och inriktningen eftersom behovet inte är definierat – utmärkt situation för ett kommersiellt företag men knappast då man försöker styra med begränsade resurser.
Kommunikationen är en produkt av områdets kultur.
Den blir därför alltför ofta inriktad på envägskommunikation, förutsätter att de man riktar sig till är okunniga (”hur ska vi få dem att förstå”) samt på lösningar som är helt omöjliga i praktiken (som att använda signalskyddslösningar i sjukvården).
Den känslomässiga argumentationen kring attacker och antagonistiska hot lämnar mottagaren i ett rationellt limbo, kvar blir rädda människor underkastade olika auktoriteter.
Den auktoritära kommunikationsformen är naturligtvis också ett resultat av vår bristande kunskap inom informationssäkerhetsområdet (se tidigare inlägg), om man är osäker ger man sig ogärna in i dialog och diskussion.
Inte så få av de ”kommunikationsplaner” jag sett har enbart innehållit aktiviteter där avsändaren förmedlat budskap men inga aktiviteter av inlyssnande.
Hur ska vi då förbättra vår kommunikation så att organisationerna drivs av en inre motivation och på så sätt får ett ständigt förbättrat?
Jag tror det viktigaste förhållningssättet är att bestämma sig för en rollfördelning där informationssäkerhetsspecialisten (både i en enskild organisation och i form av myndigheter på nationell nivå) är en stödfunktion.
Informationssäkerheten tjänar istället syftet att organisationen ska kunna upprätthålla sitt uppdrag och sin leverans med tillräcklig kvalitet och utan störningar (i detta ligger naturligtvis även att kunna uppfylla externa krav).
För att kunna ge stöd måste informationssäkerhetsspecialisten förstå verksamheten, den unika informationshanteringen och de unika behoven.
Helt enkelt förstå att en pågående dialog, ett ömsesidigt utbyte är nödvändigt i lika hög grad för den som ska stödja som den blir stödd.
Under senare år har frågan om säkerhetskultur blivit alltmer aktuell.
Att få medarbetare i en organisation att vara medvetna och motiverade i säkerhetsfrågor ses av allt fler som något som inte bara är ett komplement till den traditionella regelstyrningen.
Tidigare har jag skrivit om betydelsen av en profession inom informationssäkerhetsområdet.
Även för en profession är det centralt att ha någon form av kultur som både skapar gemenskap inom gruppen men också bär upp de handlingar, synsätt och värderingar som gruppen förmedlar till utomstående.
Kort sagt kan ett kollektivs kultur ge gruppen en enighet om mål och medel som inte bara beskrivs i standarder, strategier och andra dokument utan som ett socialt kitt och ett ethos.
Kultur handlar i första rummet inte om beteenden utan om det som ligger bakom beteenden, som innebörder, förståelser, idéer, värden, trosföreställningar, prioriteringar och förgivettaganden.
Kulturens betydelse finns belagd i en ganska ymnig forskning inom olika fält som jag inte här kommer att gå närmare in på utan bara som icke-expert nicka och säga: ja, detta verkar relevant även för oss som arbetar med informationssäkerhet.
Det kan verka flummigt men jag tror detta är en mer central fråga än vad det först kan tyckas eftersom den kulturella grunden kan peka ut vägen för gruppen långsiktigt.
De kulturella värderingarna ger också underlaget för prioriteringar i det vardagliga arbetet.
Sist men inte minst är en grupps kultur kärnan i den kommunikation som sker med de utanför för gruppen, de kulturella budskapen som gruppen förmedlar överröstar i princip alltid själv sakinnehållet i kommunikationen.
Eftersom jag ser kommunikation som det viktigaste verktyget i arbetet med informationssäkerhet blir därför kulturfrågan central.
Vad är då våra gemensamma värderingar och vad leder de till för beteenden?
Ingen har, såvitt jag vet, gjort en kulturanalys av aktiva inom säkerhetsområdet utan jag ska försöka uttolka de gemensamma tendenser jag tyckt mig se genom åren.
Redan nu ber jag om ursäkt för de kategoriska och säkert missvisande beskrivningar som följer men jag har för närvarande enbart tillgång till mina egna erfarenheter (vilket i sig är en del av kulturen eftersom denna typ av diskussion aldrig förs).
En första reflektion är att den militär-polisiära bakgrunden fortfarande vilar tung över oss.
Det tar sig många uttryck som i den metaforvärld som används där ”attacker”, ”hot” och ”antagonism” bara är några exempel.
Detta skapar naturligtvis en speciell atmosfär men eftersom det inte bara är så att tankar som styr ord utan i lika hög grad det omvända: att våra metaforer styr våra tankar kommer detta att påverka vårt agerande.
Jag dristar mig till att säga att traditionella informationssäkerhetsmänniskor finner det betydligt enklare att fokusera på ”attacker” än att inrikta sig på de störningar i informationshanteringen som uppstår av andra orsaker som uppdateringsfel, buggar, bristande rutiner, ineffektivitet som gör att medarbetarna är mer eller mindre tvungna att bryta mot reglerna m.m.
Vårt mindset är helt enkelt mer inriktat på attacker och det är också det vi kommunicerar exempelvis med ledningarna i de organisationer där vi verkar.
Men denna kulturella värdering kan leda oss fel även i praktisk handling för om ENISA har rätt i sin så är det inte antagonistiska hot som skapar flertalet störningar: Även om alla säkert kan vara överens om att incidentrapportering är problematiskt som underlag för att bedöma vad som egentligen händer och i ännu högre grad om vilka hot som finns är ENISA:s redovisning intressant, särskilt som det väl för Sveriges del inte finns någon som är mer relevant.
Om vi nu antar att ENISA:s uppgifter stämmer så är det stora problemet störningar i kommunikationen som leder till störningar i system.
Malicious actions är däremot en mycket liten kategori.
Flera rimliga frågor inställer sig som vad som orsakat störningarna i kommunikationen.
En annan vanlig kommentar när den här typen av siffror redovisas är att det finns ett stort mörkertal när det gäller attacker m.m.
Där är jag helt beredd att hålla med, vi ju är långt ifrån att ha en heltäckande redovisning av inträffade incidenter, rimligen är mörkertalet lika stort eller större när det gäller icke-antagonistiska incidenter.
Min poäng är i all enkelhet att den kulturella styrningen mot antagonistiska hot kan leda till felprioriteringar it.
Att vara inriktad på antagonistiska hot är också belönande i så måtto att det enklare att få uppmärksamhet både från ledningar och media om man pratar om spännande hotbilder med antagonister än om frågeställningarna tangerar den vardagliga verksamhetsutvecklingen.
I den nu rådande kulturen finns en påtaglig fara för att informationssäkerhetschefen medverkar till att ledningen beslutar om säkerhetsåtgärder som inte motsvarar den faktiska riskbilden.
Och här gömmer sig kanske också ett kulturellt problem eftersom det finns två mål för säkerhetsarbetet; att avvärja hot respektive att stödja att informationshanteringen uppfyller verksamhetens krav på konfidentialitet, riktighet, spårbarhet och tillgänglighet.
Det förstnämnda liknar mer än militär uppgift medan det andra är mer att jämföra med ett kvalitetsarbete och inbegriper en nära dialog med verksamheten.
Om vi ska arbeta mer aktivt med kulturfrågan måste vi förtydliga vilken som är vår gemensamma målbild och också vår roll.
För att skissa vidare på den kultur jag uppfattar finns i vårt sammanhang så ser jag också ett auktoritärt drag.
Detta drag har förmodligen samma militär-polisiära bakgrund som det tidigare men kanske det svaga kunskapsunderlag vi ofta har för det vi föreslår också spelar in.
Exempel på vad jag menar med det auktoritära draget är att jag tycker att det finns en övertro på regler och compliance jämfört med andra typer av styrning som mer bygger på diskussion och tvåvägskommunikation.
Jag uppfattar också att kultur och former för diskussioner som alltför litet öppna och ”akademiska”, kanske för att det inte forum som inbjuder till det.
De forum som finns är i de flesta fall konferenser där ”heliga” sanningar presenteras utan återkoppling.
Denna attityd förstärks genom att informationssäkerhetsspecialistens legitimitet oftare hämtas i externa krav som lagstiftning eller standarden än verksamhetens egna behov.
Det finns också dragning mot hemlighetsfullhet.
Detta kan härledas till när säkerhetsarbetet i första hand var inriktat på att skydda rikets säkerhet men kanske också till att vi har svårt att rationellt argumentera för olika åtgärder.
Det kan då vara enklare att antyda att det finns hot som tyvärr inte kan yppas än att tydligt redogöra för olika risker och låta ledningen eller verksamheten avgöra vad som är nödvändiga åtgärder.
Detta är en bräcklig position som jag också tror skapar osäkerhet hos många i branschen.
Jag uppfattar inställningen som felriktad därför att betoningen på det hemliga, förutom att göra de flesta samtal till återvändsgränder, också gör att andra lika viktiga frågor kommer helt i bakgrunden.
I myndigheter finns till exempel kravet på öppenhet i offentlighetsprincipen som ställer stora krav på riktighet och spårbarhet i de offentliga informationsflödena.
Informationssäkerhetsspecialisten har, i min mening, ett lika tungt uppdrag i att medverka till detta som att skydda mot obehörig åtkomst.
Detta är ett exempel på statusbalansen i kulturen, sekretess har högre status än öppenhet, men det finns även andra statusförhållanden som kan diskuteras.
Ett sådant är förhållandet mellan teknik och organisation som ofta omnämns som ”hårda” respektive ”mjuka” frågor.
Man behöver inte ha läst genusvetenskap för att tolka att den egentliga innebörden är att de hårda, manliga frågorna är aningen viktigare än de mjuka, kvinnliga.
Så är det i det övriga samhället och det finns inga skäl att tro att det set annorlunda ut inom informationssäkerhetsområdet.
I praktiken leder denna inställning ofta till en överbetoning av tekniska lösningar framför organisatoriska och också till ett ofta väl teknokratiskt förhållningssätt även i organisatoriska åtgärderna.
Det blir litet märkligt i kombination med standardens tydliga organisatoriska inriktning men det är en dissonans som har accepterats.
Slutligen är en annan viktig aspekt av kulturen den tydliga mansdominansen.
Jag ser det som ett svaghetstecken för en yrkeskår när det måste skapas särskilda forum för kvinnor vilket nu skett på flera håll.
Kanske känns det nödvändigt för att kunna leva vidare i den auktoritära och teknokratiska kultur som jag frammanat ovan.
Jag skulle dock hellre se att vi gick vidare och försökte utveckla en mer ändamålsenlig kultur för de uppgifter vi har att lösa och där alla kan delta i ett gemensamt samtal på lika villkor.
För att förena episteme och techne (och förhoppningsvis uppnå fronesis) så behöver professionen sina metoder.
Metoderna är i kunskapssamhället professionens verktyg och det som utgör grunden för en intern gemenskap och en extern uppfattning om vad en medlem i professionen kan utföra.
I detta sammanhang kommer jag att använda begreppet ”metod” som ett systematiskt och enhetligt sätt att utföra en viss aktivitet med ett beskrivet önskat resultat.
I teorin finns också ett antal metoder inom informationssäkerhetsområdet som riskanalys, informationsklassning, incident- och kontinuitetshantering.
Ledningssystem a´ la ISO 27000 kan också ses som en metametod där ovanstående metoder ingår som komponenter.
Frågan är dock hur väl metoderna uppfyller kraven på att vara systematiska, enhetliga och ha beskrivet önskat resultat.
Att metoderna är utvärderade och därmed sägas vara effektiva sedda till sitt syfte bör vara ytterligare ett krav för att de ska sägas fungera.
Förutom införandet av ledningssystem är sannolikt informationsklassning den mest upplyfta metoden för att uppnå bättre informationssäkerhet.
För att göra en snabb bedömning av metoder känns det därför ganska rimligt att titta litet närmare på klassningen så som den beskrivs.
Här har jag ett underlag på divergerande åsikter som uppstod när jag arbetade på MSB och dristade mig till att fram ett förslag på vägledning för informationsklassning.
Den informella remissen ledde till att det ramlade in en mängd svar från informationssäkerhetsmänniskor i framför allt myndigheter.
Jag planerar att använda dessa svar för en litet utförligare analys vid ett senare tillfälle – nu räcker det att säga att synpunkterna gick i alla riktningar och att alla var lika övertygade om att det sättet de uppfattade saken var det enda rätta.
Inte ens var man överens om det skulle heta ”klassning” eller ”klassificering”, ännu mindre om huruvida det är information eller system som ska klassas.
En litet märklig upplevelse vid genomläsningen var att själva syftet med informationsklassningen framstod som så odefinierat i ett antal av svaren, framför allt då man hade invändningar mot att jag i vägledningen beskrivit att informationsklassningen som metod också måste innehålla skyddsnivåer.
Lika fången som andra av min egen tankegång så har jag alltid föreställt mig det som meningslöst att klassa information om det inte leder till konkreta skyddsåtgärder.
Detta var dock inte en uppfattning som delades av alla.
Jag svävar fortfarande i ovisshet om vad då klassningen tjänar till och det är en av de många frågor som jag tycker det vore ytterst intressant att diskutera.
I paradgrenen informationsklassning saknas det alltså enhetlighet samt systematik.
Den bristande systematiken ligger bland annat i att klassningen som aktivitet inte har ett givet samband med andra aktiviteter som exempelvis riskanalys och inte heller beskrivs som en process vars resultat regelbundet utvärderas.
I vägledningen skrev jag till exempel djärvt att klassning ska ses som en form av risk- alternativt konsekvensanalys men fick mycket starkt mothugg mot detta och hur då det systematiska sambandet mellan riskanalysen och klassningen ser ut för dessa skribenter är fortfarande oklart för mig.
Det mest slående i svaren var att ofta saknades argument eller teori för den åsikt man förfäktade.
Istället var det redovisande av hur man själv i praktiken genomför sina klassningar eller, mest återkommande, hänvisningar till hur man tolkat ISO 27000.
Här ligger en viss ironi eftersom en del svar rörande klassningen där man hänvisar till standarden faktiskt går emot vad standarden säger, som när man hävdar att det system som ska klassas samtidigt som standarden uttryckligen säger att det är information.
Mycket av det som kan sägas om informationsklassning kan sägas också om ledningssystem som metod.
Förutom att syftet och genomförandet saknar enhetlighet är båda metoderna synnerligen icke utvärderade.
Jag under senare tid plöjt en hel del av den litteratur som finns på området och har ännu inte hittat några studier som exempelvis utvärderar olika metoder för informationsklassning, ej heller av om ledningssystem på det sätt som standarden föreskriver är ett effektivt sätt att styra informationssäkerhet i en organisation.
Och här måste jag gå in på helig mark och framföra ståndpunkten att ISO 27000, som gett mig så mycket stöd genom åren som yrkesverksam, inte så sällan snarare är ett hinder än en hjälp.
Eller, rättare sagt, vårt användande av standarden som en ersättning för utvärderade metoder utgör ett hinder för oss att bli mer professionella.
ISO 27000 definierar ett område som jag skulle vilja kalla organisatorisk styrning men innehåller ingenting om hur olika aktiviteter ska utföras, och är alltså ingen metod.
Som jag skrev inledningsvis skulle man kunna sträcka det till att standarden översiktligt beskriver en metametod men överlämnar till oss praktiserande att ta fram de konkreta, enhetliga, systematiska och utvärderade metoderna.
Denna metametod börjar kanske också bli litet anfrätt av tiden med sin inriktning på styrning av informationssäkerhet i organisation när information i allt högre grad flödar över organisationsgränser.
ISO 27000 har i många fall blivit en ersättning för metoder vilket vi måste erkänna för att komma vidare.
Istället för att i övermåttan peka på standarden som en bibel måste vi ta uppgiften med metodutveckling på allvar och skapa en gemensam plattform som uppfyller kraven på enhetlighet och systematik.
I mitt förra inlägg hävdade jag att det är svårt att säga vad informationssäkerhet egentligen är.
En fråga som nära ansluter till detta är vad målet för arbetet med informationssäkerhet är.
Jag uppfattar den frågan som central att analysera både för informationssäkerhet som kunskapsområde och för den enskilda organisationen som inleder eller redan har ett fortlöpande arbete för att hantera den egna informationen på ett säkrare sätt.
Om målet inte är klarlagt är risken överhängande att informationssäkerhet blir ett självändamål.
Detta skulle strida mot en av mina mest grundläggande övertygelser;drig kan ha ett existensberättigande i sig själv utan måste se som en stödfunktion.
Då måste man dock veta vad det är som ska stödjas.
Informationssäkerheten så som vi känner den idag (om vi nu gör det) har en kort historia.
Med det menar jag inte bara begreppet informationssäkerhet vars tidigaste belägg tror jag finns på 1970-talet.
Däremot har vissa synsätt och metoder en betydligt längre historia.
Att skydda information mot obehörig åtkomst är något som skett med olika metoder är i princip lika gammalt som skrivkonsten i olika former.
Även metoder för spårbarhet som signering och för riktighet som vidimering blivit alltmer standardiserade i Europa sedan medeltiden och framåt, och då kanske främst som stöd i det alltmer intensiva ekonomiska livet.
Detta finns ganska väl beskrivet på annat håll men inom informationssäkerhetsområdet har traditionen ofta snarare hämtats från militär och polisiär verksamhet.
Målet för aktiviteterna har som en följd av detta formulerats utifrån militär/polisiära behov snarare än det från det civila samhällets behov av säkra ekonomiska transaktioner, rättssäkerhet för den enskilde och det enskilda företagets möjlighet att ha stöd för sina affärer.
I detta perspektiv är syftet med informationssäkerheten att framför allt skydda staten i någon mening, inte den enskilda verksamheten och allra minst den enskilda individen.
Den militär-polisiära bakgrunden påverkar fortfarande området starkt vilket gör målet för arbetet otydligt – är det nationens intresse som står i förgrunden eller är det vardagliga arbetet i en organisation som på bästa sätt försöker upprätthålla sin egen verksamhet med tillräcklig effektivitet och kvalitet?
Är det de externa kraven för att skydda statens intressen som ska vara det som ska lyftas fram som den främsta målbilden eller är det de interna behoven?
Innan någon börjar rasa ska jag vara tydlig: självklart menar jag inte att det går att enbart tillgodose externa krav eller enbart tillfredsställa interna behov – alla organisationer måste göra båda delar.
Vad jag menar är att det inte längre kan vara tillräckligt att se till externa krav i form av säkerhetsskyddslagen.
Inte heller går det enligt min erfarenhet att med någon större framgång att använda merparten av de informationssäkerhetsmetoder framtagna för militära eller polisiära syften i en tidspressad civil informationshantering.
Min slutsats är därmed att målet fört måste vara att stödja den enskilda organisationen, eller idag snarare informationssamverkande organisationer, att klarlägga sitt eget behov av informationssäkerhet inklusive olika typer av externa krav som riktas mot organisationen/organisationerna.
Föga revolutionerande slutsats kan tyckas, särskilt som den är i stark harmoni med ISO 27000 förutom i avseendet att standarden är helt inriktad på en autonom organisation och inte på e-samhällets allt tätare integration av informationshanteringen.
Om målet accepteras är dock konsekvenserna att ta på allvar.
Den viktigaste konsekvensen är informationssäkerhet som kunskapsområde måste kunna erbjuda effektiva sätt att avgöra vad som organisationens/organisationernas faktiska behov.
Det innebär också möjligheten att det måste finnas en öppenhet för att ledningen inte önskar särskilt mycket säkerhet utan är beredd att ta risken eftersom målet inte är så mycket säkerhet som möjligt.
När ledningen gör bedömningen kommer den att ta hänsyn till ett antal faktorer som den formulerar som verksamhetens behov inklusive att följa relevant lagstiftning.
Relevant lagstiftning är för de flesta civila organisationer i mindre grad säkerhetsskyddslagen medan alla organisationer som hanterar personuppgifter måste leva efter dataskyddsförordningen.
Myndigheter ska dessutom hantera sin information enligt offentlighetslagstiftningen vilket förutsätter god ordning på riktighet och spårbarhet.
Informationssäkerhet är alltså i sig inte ett mål utan ett medel som kan tjäna olika mål som exempelvis god integritet och god offentlighetsstruktur – vilket kan leda till intressanta intressekonflikter.
Detta ligger ganska långt ifrån det traditionella militära perspektivet att vissa handlingar som innehåller specifik information ska stämplas med sekretessmarkering och sedan hanteras enligt väl reglerade metoder.
Att kunna beskriva informationssäkerheten som ett medel är därför ett mål i sig.
Ett mål som ställer krav på kommunikation mellanoch verksamheten.
När verksamheten frågar ”vad ska informationssäkerheten egentligen vara bra för?” är detta en rimlig utgångspunkt och en bra prövosten förför att kunna motivera sitt arbete.
Jag tror vi idag är ganska långt ifrån denna typ av målformulering för vårt arbete.
Alltför ofta motiveras säkerhetsarbetet utifrån ett ganska alarmistiskt agiterande utifrån generella hot.
Verksamhetsanknytning i form av bedömning av de egna riskerna eller genom informationsklassning har ju i de genomförda undersökningarna inte visat sig förekomma i närheten av det som föreskrifter och annat stipulerar.
Den otydliga målbilden kan också göra det svårt att hitta en fungerande yrkesroll som ju snarast bör vara en konsultativ och stödjande funktion än en som söker sin legitimitet främst i externa krav som lagstiftning.
När omvärlden präglas inte bara av en stark teknikutveckling utan även en snabb organisatorisk förändring där offentliga och privata verksamheter delar informationshantering kan inte målet vara enbart att skydda statens intresse.
Istället måste målbilden vara tydlig men dynamisk och anpassad till den verksamhet som ska skyddas med hjälp av informationssäkerheten.
Först då kommer en verklig drivkraft att förbättra informationssäkerheten att komma inifrån verksamheterna själva.
Mitt eget utopiska mål är den osynliga informationssäkerheten, när den är så inarbetad i verksamhetens rutiner att ingen tänker på att den finns och risker ur säkerhetssynpunkt bedöms på samma sätt som andra risker utifrån hur de påverkar verksamhetens resultat.
Det finns vissa återkommande anekdotiska exempel inom informationssäkerhetsområdet som ska beskriva en situation eller ett problem.
Vissa har jag säkert använt själv vid olika tillfällen.
Men när man hört något litet för många gånger börjar i alla fall jag begrunda vad som är den egentliga innebörden i exemplet – vad vill man ha sagt?
Och därefter funderar jag på vad effekten hos åhörarna, blir den verkligen den som eftersträvas?
Ett sådant återkommande exempel i presentationer, föreläsningar och utbildningar handlar om lösenord.
Antingen genom att beskriva det hela som en personlig upplevelse eller en mer generell företeelse så säger vi (även jag har gjort det någon gång för länge sedan…) att användare haft lösenord på post it-lappar fästa vid skärmen eller under skrivbordsunderlägget.
Samma exempel återkommer i tips för bättre säkerhet som och .
Det är uppenbarligen en bild som säkerhetsmänniskor finner effektfull trots att skrivbordsunderläggen i ärlighetens namn numera är sällsynta.
Ofta berättas detta med ett överseende, eller ännu värre; ett smått föraktfullt, leende som låter påskina att medarbetarna inte förstår sig på alternativt inte bryr sig om säkerhet.
Min erfarenhet är att detta är en helt felaktig uppfattning.
I princip alla verksamheter som jag jobbat i, och inte minst inom vården, är de allra flesta medarbetare mycket engagerade i att göra ett bra jobb.
Detta inkluderar även att följa de säkerhetsregler som finns.
Att sedan lösenordshanteringen ändå kan vara litet si och så tror jag beror på flera faktorer.
En väsentlig elefant i rummet är att det jobbigt att hantera lösenord på det sätt som sker nu.
Sedan mitten av 90-talet har det utlovats single sign-on-lösningar men få har hittills skådat fungerande lösningar i verkligheten.
Istället fortsätter det som förut med allt längre lösenord, olika lösenord i de allt fler applikationer som används på arbetsplatserna och med krav på byten var tredje månad.
I en stressig arbetssituation kan jag inte annat än ha förståelse för att medarbetare söker genvägar.
I vårt privatliv kan vi använda olika lösningar som automatgenererar hyfsat säkra lösenord men i arbetsmiljön är många kvar på ruta ett.
En annan faktor är kommunikationen om lösenord.
När jag läser och hör hur reglerna för lösenordshantering kommuniceras med medarbetare är det sällan med någon motivation eller beskrivning av vari risken ligger om lösenordet är för kort eller används längre än ett kvartal.
Detta tror jag är en mer generell problematik inom säkerhetsområdet.
Alltför ofta använder vi olika former av envägskommunikation och dessutom utan att ge tillräckligt bra förklaringar hur bristande tillämpningar av säkerhetsåtgärder påverkar kvaliteten och effektiviteten i verksamheten.
Jag ser det hela framför mig som en våg där goda förklaringar gör säkerhetsåtgärden uppfattas som motiverad och krångligheten acceptabel.
Slutligen är ett problem att det tycks finnas mycket litet evidens om lösenord, hur långa de bör vara och hur ofta de bör bytas.
Vi går på det som litet slängigt brukar kallas ”best practice” vilket kan tolkas som ”vi tror att det här det bästa sättet att göra det men har inga belägg för det”.
Att beläggen är svaga gör vår egen argumentation svag vilket gör det svårare att övertyga andra vilket sannolikt är en förklaring till att vi hellre kör ut en oemotsagd regel än har en mer djuplodande diskussion om risker med verksamheten.
Jag tror inte medarbetare känner sig särskilt motiverade av den här typen av exempel hur ”dumma” andra medarbetare i samma situation är.
Förmodligen kommer istället antingen en viss skamsenhet över att man inte själv heller alltid lyckas leva upp till de krångliga reglerna eller så fnyser man invärtes och tänker: ”det är ju lätt att säga när man inte vet hur det fungerar här och hur stressigt det är”.
I båda fallen tapparkontakten med sin publik.
Sammantaget drar jag tre slutsatser av ovanstående.
Att det inte är så konstigt att medarbetare gömmer lösenord under de imaginära skrivbordsunderläggen.
Att vi måste hitta bättre fungerande säkerhetslösningar både i bemärkelsen att de fungerar effektivt mot beskrivna risker och i bemärkelsen att de går att använda på ett inte alltför tyngande sätt för medarbetare.
Att vi måste bli bättre på att belägga de säkerhetslösningar vi föreslår med evidens istället för att hänvisa till ”best practice”.
Med tanke på att behovet av informationssäkerhet kommer att öka alltmer måste vi kunna både för oss själva och för de organisationer vi verkar i visa att vågen är i balans; att de tyngande rutiner och åtgärder vi förordar är motiverade.
Vad ska det första blogginlägget handla om?
Det finns en uppsjö av intressanta frågor som bara ligger och väntar på att ventileras, alltifrån teoretiska frågor som vad informationssäkerhet är till hur man genomför en bra riskanalys i praktiken.
Jag bestämde mig dock för en rivstart; att ta upp den så omtalade ledningsfrågan som i alla sammanhang framhålls som förutsättningen för attt ska lyckas.
Ledningens engagemang ni vet… Genom åren har jag träffat ett mycket stort antal informationssäkerhetsansvariga (med litet olika titlar).
Den mest återkommande förklaringen till att säkerheten inte är så bra som man skulle vilja är att ledningen inte lyssnar, inte intresserar sig, inte förstår varför informationssäkerhet är så viktigt.
Ledsna och irriterade säkerhetsmänniskor beskriver hur de ihärdigt försöker förklara för till synes oengagerade ledningar allt som borde göras, vilka risker som finns och vad lagstiftningen säger.
Ibland lyckasfaktiskt upprätta en relation med ledningen, hen kanske till och med får vara adjungerad i ledningsgruppen eller åtminstone vara en fast punkt på agendan en gång i kvartalet.
I de mest lyckade ögonblicken inser ledningen att informationssäkerhet är en förutsättning för att organisationen ska kunna leverera det man har som mål på ett bra sätt.
Ofta är dessa lyckosamma relationer, enligt min erfarenhet, mycket personberoende och med dagens snabba arbetsmarknad så riskerar de snabbt att upplösas.
Vad jag talar om är inte att lyckas med att få ledningen att besluta om att införa ett ledningssystem, vilket inte behöver vara så svårt – särskilt inte med en omedveten ledning som tror att det gäller att besluta några dokument så är det klart.
Men att skapa en god säkerhetskultur där både ledning och medarbetare är engagerade i säkerhetsfrågor, vaksamma för nya risker och beredda att ständigt utveckla säkerhetsarbetet, det är något helt annat.
För att komma vidare tror jag att vi säkerhetsmänniskor måste omformulera frågan.
Istället för att se ledningens bristande engagemang som grundad i att ledningen inte förstår vikten av säkerhet så tror jag att vi måste se på oss själva.
Hur väl förstår vi verksamheten och dess säkerhetsbehov, vilka aspekter som är prioriterade för ledningen och hur vi få säkerhetsarbetet att stödja dessa prioriteringar?
Informationssäkerhet har inget egenvärde utan måste ställas i relation till behoven i den verksamhet där man verkar där behov kan vara förmågan att leva upp till externa krav som lagstiftning men också så mycket mer.
Själv har jag träffat många ledningsgrupper både som anställd och som konsult.
Framgången med att lyckas övertyga ledningarna om hur central informationssäkerhetsfrågan är har varierat och om jag försöker summera vad som funkat och vad som inte funkat i punktform ser det ut så här: Detta var några tankar kring ledningens engagemang.

Skapa en insikt om att i nuvarande läge kommer inte all verksamhet att kunna upprätthållas utan en måste ske.
Har man kontinuitetsplanerat kan man använda den prioritering av processer som redan gjorts (även om det kan behövas en liten analys för att se om tidigare prioritering fortfarande är relevant.
Om kontinuitetshanteringen inte finns på plats måste ledningen göra en prioriteringen av vilka processer/funktioner som måste fungera.
När prioriteringen bör en snabb göras för att identifiera vilken information som stödjer processen samt hur informationen hanteras, d.v.s.
vilka system, tjänster eller andra bärare som telefoni och papper som används.
Därefter görs en för att fastställa säkerhetskrav.
Även detta bör ske enligt prioriteringen så att de mest tidskritiska processerna/funktionerna tas först.
It får i uppgift att gå igenom hur befintliga lösningar kan användas för distansarbete utifrån klassningen/riskanalyserna och kontrollera i dessa lösningar.
I detta ligger även att bedöma om åtkomst och kommunikation vid distansarbete kan ske på ett tillräckligt säkert sätt.
Om it-säkerheten bedöms som för låg i befintliga lösningar föreslås alternativa lösningar där så behövs.
Om det finns en stor kvarstående risk måste ledningen få möjlighet att acceptera risken alternativt säga att den är oacceptabel vilket kan leda till att nya lösningar arbetas fram eller så bedömningen att distansarbete är olämpligt för den aktuella aktiviteten.
Börja planera och bemanna en som är avpassas till hur många som förväntas distansarbeta och se till att supporten finns när medarbetaren behöver hjälp.
Att inte få support i en ny arbetssituation leder ofelbart till att många kommer att göra fel, gena, hoppa över säkerhetsåtgärder.
Bristande support är därför ett garanterat säkerhetsproblem.
redan från början och slarva inte med sådana frågor som att det är ledningen som tar ansvar för helheten och de åtgärder som ska vidtas.
I kommunikationen bör även ingå signaler som kan leda till en positiv som att det är viktigt att medarbetare är observanta på att det kan uppstå nya risker och att det finns en tydlig punkt att rapportera detta till.
Det vill säga visa respekt för medarbetarna och se dem som en resurs i säkerhetsarbetet!
Ta fram über-tydliga till medarbetarna där det bland annat framgår: – att samma säkerhetsregler ska användas hemma som jobbet, exempelvis att alltid låsa datorn när den är obevakad – hur pappersdokument ska hanteras – vilken typ av information som kan ses som extra känslig, exempelvis känsliga personuppgifter och känslig företagsinformation – att arbetsgivarens utrustning bara får användas för arbetsändamål – att privat utrustning inte får användas för att hantera arbetsgivarens information – att telefonsamtal bör ske på ett skyddat sätt – vilka verktyg som ska användas – hur de ska användas – att verktyg som inte godkänts av arbetsgivaren inte får användas (dubbel negation, jag vet) – vem som ska kontaktas för support – vem som ska kontaktas för säkerhetsrelaterade frågor – hur incidenter ska rapporteras När man kan räkna med att distansarbetet blir långvarigt bör även den gås igenom.
Det kan handla om att skaffa skåp med tillräcklig säkerhetsnivå för vissa medarbetare eller att se över det yttre skalskyddet i vissa bostäder där känslig information ska hanteras.
Skapa rutiner för där ni minst en gång i veckan går igenom hur säkerheten vid distansarbetet fungerar, om vidtagna åtgärder fallit ut som ni hoppats eller om det finns anledning att förbättra skyddsåtgärder, om ni upplever att medarbetare fått tillräckligt bra information och om det inträffat incidenter.
Uppföljningen bör rapporteras till ledningen.
Planera för .
De säkerhetsåtgärder som vidtas i samband med distansarbete måste planeras för längre tid och det kan vara bättre att ha en mer långsam uppbyggnad för att få en långsiktigt väl fungerande lösning än att göra quick fixes som snabbt måste ersättas till allmän irritation och med medföljande säkerhetsrisker.
En fråga som tål att ställas är om verksamheten verkligen är så tidskritisk som man tror särskilt i rådande läge då ingenting riktigt fungerar som vanligt.
Att slippa stressa fram lösningar leder alltid till bättre kvalitet och oftast bättre ekonomi.
Försök att använda det påtvingade säkerhetsarbetet som måste göras till följd av pandemin som en .
Skapa säkerhetslösningar och en säkerhetskultur som förbättrar säkerheten även i det normalläge som vi förhoppningsvis snart ska återgå till.
Detaljerade beskrivningar av tekniska problem och tekniska lösningar – ledningsgrupper har sällan den tekniska kompetensen så att de uppskattar detta.
Långrandig och överdrivet heltäckande rapportering – ledningen har ju anställtför att ha kompetens vilket också innebär kompetens att sålla fram det som relevant.
Att hämta alltför mycket av argumentationen ur lagstiftning – självklart inser alla ledningar att lagstiftning måste följas men det är liksom inte huvuduppgiften för verksamheten.
Att var alltför ängslig och ovillig att inse att riskhantering innebär att leva med vissa risker – informationssäkerhet skiljer sig inte från andra områden och en fungerande ledning tar alltid risker och kommer att göra det även när det gäller informationssäkerhet.
Att presentera risker och brister utan komma med förslag om åtgärder – denna typ av kommunikation gör ofta att ledningar går i baklås och är oförmögna att hantera problemet.
Att vara alarmistisk och försöka ”skrämma” ledningen till att vidta åtgärder – detta är det absolut sämsta sättet att kommunicera kring säkerhet och leder enligt min erfarenhet osvikligen till att ledningsgruppen stänger av och försöker undvika kontakt i fortsättningen.
Att försöka sätta sig i ledningens position och försöka förstå vad det är de vill veta – att känna till ledningens inriktning och kunna anknyta till den underlättar påtagligt kommunikationen.
Att försöka sätta sig in i vad ledningen kan och vet om informationssäkerhet och anpassa kommunikationen därefter – ofta utgår vi ifrån att de vi talar med vet mycket mer än vad de faktiskt gör.
Om man respekterar de man pratar med och deras förförståelse av ämnet är det också mycket lättare att nå fram.
Att genomföra riskanalyser med ledningen – riskanalyser ger ledningsgrupper möjlighet att själva reflektera kring risker vilket gör att de får en egen relation till frågan.
Att alltid kommunicera specifikt om den egna organisationen och dess behov – ledningar har sällan tålamod med abstraktioner, däremot om det finns en uppenbar verksamhetsnytta i den egna organisationen blir ämnet mycket intressantare.
Att presentera hur brister leder till konkreta konsekvenser i verksamheten – de tekniska orsakerna är ofta ointressanta, däremot innebär konsekvenser i verksamheten också konsekvenser för ledningen vilket får dem att lystra.
Att göra ledningsgruppen beslutsför – ledningars funktion är att fatta beslut och att då ta fram väl underbyggda underlag om risker och åtgärder för att reducera dem som det går att fatta beslut om gör de flesta ledningar vänligt stämda.

om mot prioritering processkartläggning informationsklassning/riskanalys it-säkerheten supportfunktion Kommunicera säkerhetskultur instruktioner fysiska säkerheten uppföljning uthållighet resurs för framtiden internt utbudsstyrd behovsstyrd men en är egentligen Funkar inte: Funkar:

En profession behöver metoder

Språkanvändningen i offentlig verksamhet

Jag kommer nu att ikläda mig rollen av glädjedödare i dessa ändå så svåra tider – jag ber om ursäkt för det.
Under de senaste veckorna i coronans tid så blommar olika personligheter och mänskliga beteenden för att hantera kriser ut.
I denna vilda blandning av känslor och rationalitet är det inte lätt att urskilja vad som är vad.
Jag tänker nu oftare än vanligt på hur viktigt individens men också organisationens sätt att agera varit i de mer kritiska situationer jag varit inblandad i och vem jag skulle vilja ha vid min sida i en verkligt akut situation.
Att inte låta känslorna styra i en krissituation kan nog alla hålla med om i teorin.
Vi vet att stress försämrar vår tankeförmåga och att det därför i krissituationer är lätt att tillgripa helt fel lösningar eller missa uppenbara svagheter i handlingsalternativen.
Likaså är historien rik på exempel där boten varit värre än soten, d.v.s.
att de åtgärder man vidtagit för att hantera ett akut problem på kort eller lång sikt lett till värre konsekvenser än det ursprungliga problemet kunnat orsaka.
En illustration på detta är agapaddan som trettiotalet importerades till Australien från Hawaii som ett slags biologiskt bekämpningsmedel av en skalbagge som hotade sockerbetsodlingar.
Nu finns det över 100 miljoner av den giftiga paddan som hotar djur- och växtlivet på hela kontinenten.
Detta försvåras av att de sekundära problemen kanske uppstår inom ett helt annat område än där den ursprungliga krisen rör sig.
De som arbetar med krishanteringen kan därmed inte överblicka de möjliga sekundära konsekvenserna eftersom man kanske inte ens har rätt kompetens för att upptäcka dem.
Jag ska inte här gå in på det utslitna filosofiska järnvägsproblemet där olika liv ställs mot varandra utan nöjer mig med att säga att ALLA mår bra av att läsa filosofi och dessutom tänka några extra varv.
När vi blir utsatta för en pressande situation får många individer och organisationer ett starkt behov av att agera.
Att agera är ångestdämpande i sig för det ger känslan av att påverka hotet oavsett effekten av åtgärderna.
Just här menar jag att det just nu finns ett riskabel situation när både individer och myndigheter i positiv anda försöker bekämpa coronan eftersom man i vissa fall tycks släppa sitt ordinarie säkerhetstänkande (vilket väl i ärlighetens namn inte är på toppnivå ens i normalläget).
Samma sak med integritet och skyddet av personuppgifter.
De nya och provisoriska arbetssätten leder till nya risker som måste fångas upp och reduceras.
Anekdoter om hur man helt plötsligt fått oväntat besök i sitt Teams- eller Zoom-möte florerar utan att det observeras som ett säkerhetsproblem.
Okritiska reportage om hur kreativa elever fått skolor att börja använda (!)
i skolans uppgifter.
Entreprenörer som flashar om att de håller på att utveckla appar för smittspårning.
Säkerhet och integritet nämns ytterst sällan och då bara i formuleringar som ”liv går före allt” vilket implicit tycks betyda ”vi struntar i informationssäkerhet och integritet”.
Extra betänksam blir jag av att många tycks inspirerade av Kinas övervakningsmetoder och i denna uppskruvade anda inte tycks se vad de kostar.
När det i fredags kom ett kort meddelande på Ekot att MSB håller på att ta fram någon form av app för smittspårning åt FHM men inte vill kommentera hur den ska utformas undrar jag hur genomtänkt den lösningen egentligen är (särskilt ironiskt med tanke på att MSB varit en bastion spårbarhet som säkerhetsdimension).
Eller är detta myndigheter som drabbats av ett akut behov av att se verksamma ut och därför är beredda att hoppa över säkerhetsskacklarna?
Det är svårt att se hur en sådan lösning skulle kunna tas fram med tillräcklig legal och säkerhetsmässig analys på så kort tid.
När jag pratar om vikten av säkerhet avser jag inte enbart konfidentialitet.
Om man ska skapa olika rapporteringstjänster måste även behovet av riktighet, spårbarhet och tillgänglighet bedömas – annars riskerar man faktiskt att få lösningar där boten är värre än soten.
En lösning för akut rapportering som bygger på sms (förekommer faktiskt) leder till falsk trygghet och att nödvändiga åtgärder kanske inte sätts in för att ta ett enkelt exempel.
Det är just i krissituationer som det systematiskat prövas.
Det är nu som informationsklassningar och riskanalyser har som störst betydelse för att medvetna risker ska kunna tas av den som är riskägare.
Jag vill inte att all kreativitet och god vilja ska kväsas men vi måste arbeta på ett sätt som inte leder till större skador på sikt.
Även om det är kontraintuitivt så måste medvetna bedömningar göras av risker och lagstiftning respekteras.
Appar som används för rapportering av symptom för diagnos är exempelvis medicinsk-teknisk utrustning och måste uppfylla kraven på sådan.
Vi kan inte ge oss hän åt våra känslor utan måste låta systematiken ge oss tillgång till rationaliteten.
Extra illa om en myndighet som MSB signalerar att säkerhet skulle vara av underordnad betydelse i krislägen.
Det är nu vi som mest behöver vårt förnuft och då är det inte alltid bäst att göra ”något” utan vi måste göra så rätt som möjligt.
Jag blev ombedd att vara med som expert i en rörande den nu så aktuella frågan distansarbete.
Det blir ju litet fragmentariskt när man svarar på inkomna frågor så jag tänkte ta tillfället i akt och sammanställa några rekommendationer rörande distansarbete.
Den organisation som tagit fram (samt övat) en fungerande och dessutom tagit fram regler för distansarbete i normalläget har naturligtvis ett stort försprång nu.
För de som inte fokuserat på detta är det en längre väg att gå men då gäller det att man är på rätt väg innan man börjar gå.
Utgångspunkten för nedanstående rekommendationer är att det är verksamhetens processer som ska upprätthållas.
För processerna är informationen en central resurs.
Informationen och organisation i centrum alltså medan it-säkerheten blir den följd av de krav som verksamheten ställer.
Jag tar inte upp ergonomi eller vikten av gemensamma kaffestunder.
Målbilden är att kunna arbeta lika säkert på distans som på den ordinarie arbetsplatsen.

Skapa en insikt om att i nuvarande läge kommer inte all verksamhet att kunna upprätthållas utan en måste ske.
Har man kontinuitetsplanerat kan man använda den prioritering av processer som redan gjorts (även om det kan behövas en liten analys för att se om tidigare prioritering fortfarande är relevant.
Om kontinuitetshanteringen inte finns på plats måste ledningen göra en prioriteringen av vilka processer/funktioner som måste fungera.
När prioriteringen bör en snabb göras för att identifiera vilken information som stödjer processen samt hur informationen hanteras, d.v.s.
vilka system, tjänster eller andra bärare som telefoni och papper som används.
Därefter görs en för att fastställa säkerhetskrav.
Även detta bör ske enligt prioriteringen så att de mest tidskritiska processerna/funktionerna tas först.
It får i uppgift att gå igenom hur befintliga lösningar kan användas för distansarbete utifrån klassningen/riskanalyserna och kontrollera i dessa lösningar.
I detta ligger även att bedöma om åtkomst och kommunikation vid distansarbete kan ske på ett tillräckligt säkert sätt.
Om it-säkerheten bedöms som för låg i befintliga lösningar föreslås alternativa lösningar där så behövs.
Om det finns en stor kvarstående risk måste ledningen få möjlighet att acceptera risken alternativt säga att den är oacceptabel vilket kan leda till att nya lösningar arbetas fram eller så bedömningen att distansarbete är olämpligt för den aktuella aktiviteten.
Börja planera och bemanna en som är avpassas till hur många som förväntas distansarbeta och se till att supporten finns när medarbetaren behöver hjälp.
Att inte få support i en ny arbetssituation leder ofelbart till att många kommer att göra fel, gena, hoppa över säkerhetsåtgärder.
Bristande support är därför ett garanterat säkerhetsproblem.
redan från början och slarva inte med sådana frågor som att det är ledningen som tar ansvar för helheten och de åtgärder som ska vidtas.
I kommunikationen bör även ingå signaler som kan leda till en positiv som att det är viktigt att medarbetare är observanta på att det kan uppstå nya risker och att det finns en tydlig punkt att rapportera detta till.
Det vill säga visa respekt för medarbetarna och se dem som en resurs i säkerhetsarbetet!
Ta fram über-tydliga till medarbetarna där det bland annat framgår: – att samma säkerhetsregler ska användas hemma som jobbet, exempelvis att alltid låsa datorn när den är obevakad – hur pappersdokument ska hanteras – vilken typ av information som kan ses som extra känslig, exempelvis känsliga personuppgifter och känslig företagsinformation – att arbetsgivarens utrustning bara får användas för arbetsändamål – att privat utrustning inte får användas för att hantera arbetsgivarens information – att telefonsamtal bör ske på ett skyddat sätt – vilka verktyg som ska användas – hur de ska användas – att verktyg som inte godkänts av arbetsgivaren inte får användas (dubbel negation, jag vet) – vem som ska kontaktas för support – vem som ska kontaktas för säkerhetsrelaterade frågor – hur incidenter ska rapporteras När man kan räkna med att distansarbetet blir långvarigt bör även den gås igenom.
Det kan handla om att skaffa skåp med tillräcklig säkerhetsnivå för vissa medarbetare eller att se över det yttre skalskyddet i vissa bostäder där känslig information ska hanteras.
Skapa rutiner för där ni minst en gång i veckan går igenom hur säkerheten vid distansarbetet fungerar, om vidtagna åtgärder fallit ut som ni hoppats eller om det finns anledning att förbättra skyddsåtgärder, om ni upplever att medarbetare fått tillräckligt bra information och om det inträffat incidenter.
Uppföljningen bör rapporteras till ledningen.
Planera för .
De säkerhetsåtgärder som vidtas i samband med distansarbete måste planeras för längre tid och det kan vara bättre att ha en mer långsam uppbyggnad för att få en långsiktigt väl fungerande lösning än att göra quick fixes som snabbt måste ersättas till allmän irritation och med medföljande säkerhetsrisker.
En fråga som tål att ställas är om verksamheten verkligen är så tidskritisk som man tror särskilt i rådande läge då ingenting riktigt fungerar som vanligt.
Att slippa stressa fram lösningar leder alltid till bättre kvalitet och oftast bättre ekonomi.
Försök att använda det påtvingade säkerhetsarbetet som måste göras till följd av pandemin som en .
Skapa säkerhetslösningar och en säkerhetskultur som förbättrar säkerheten även i det normalläge som vi förhoppningsvis snart ska återgå till.

mot prioritering processkartläggning informationsklassning/riskanalys it-säkerheten supportfunktion Kommunicera säkerhetskultur instruktioner fysiska säkerheten uppföljning uthållighet resurs för framtiden

MENU MENU Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , Tagged , Sök efter:

Det är lätt att bli tidsblind men jag tror att vi även efterhand kommer att uppfatta våren 2020 som den värsta krisperioden i Sverige sedan andra världskriget.
Skadad av historiska studier är jag väl medveten om hur svårt det är att bedöma nutiden medan den pågår men har ändå blivit fascinerad av hur den nationella beredskapen fungerar när det som alla pratar om men ingen sett inträffar.
Det vill säga den stora samhällskrisen.
En termometer på hur väl det svenska krissystemet mår är den centrala myndigheten för dessa frågor Myndigheten för samhällsskydd och beredskap, MSB.
Jag hade egentligen, efter att ha studerat ett ganska stort antal allmänna handlingar, tänkt skriva om hur myndigheten hanterat det beryktade enkätverktyget.
Det är i sig en intressant historia som i delar redan skildrats av flera medier, kanske mest heltäckande av Arbetaren bland annat .
När man läser handlingarna är det så många överraskande steg allt sedan regeringen den 19 mars ger MSB ett uppdrag (Ju2020/01165/SSK) : Regeringen uppdrar åt Myndigheten för samhällsskydd och beredskap (MSB) att säkerställa att myndigheternas information med anledning av utbrottet av det nya coronaviruset är samordnad och tydlig samt att det finns effektiva kanaler för att föra ut informationen.
I uppdraget ingår att skyndsamt utarbeta ett nationellt informationsmaterial som på ett effektivt sätt ska kommuniceras till så många som möjligt.
MSB får 75 miljoner (!)
för att genomföra uppdraget under 2020, ett uppdrag som till synes inte på något sätt innehåller smittspårning eller insamlande av uppgifter.
Kanske är det de 75 miljonerna som snedvrider uppdraget från början, kanske lockar de 75 miljonerna till sig aktörer som ger myndigheten tips om vad de skulle kunna hitta på för att sätta sprätt på pengarna.
I vilket fall så är det inte MSB:s professionella kommunikatörer som får lead i detta jättelika kommunikationsuppdrag utan Avdelningen för cybersäkerhet och säkra kommunikationer.
Det formella beslutet på denna interna delning kommer den 26 mars, dagen efter att MSB bjudit in Folkhälsomyndigheten till ett möte där den förra myndigheten erbjuder den senare ett digitalt verktyg, allt enligt minnesanteckning från mötet: Kort möte med GD Folkhälsomyndigheten (FHM) sen em 25/3.
MSB tar upp initiativ kring digitalt verktyg för digital självskattning.
GD FHM positiv, betonar att ett sådant här verktyg inte ska driva fysisk testning i fel riktning.
Viktigt att anpassa svar på självskattning så respondenten inte förväntar sig att bara för att man gör digitalt test så får man fysiskt test.
Vad som händer under veckan där MSB:s samordningsuppdrag för myndigheters kommunikation angående corona övergår till att handla om ett digitalt verktyg för självskattning av smitta är för mig okänt men det är uppenbart att det är MSB som vill ha verktyget.
Litet småaktigt vill jag poängtera det eftersom jag själv blivit åthutad på sociala medier av en i utvecklingsarbetet involverad konsult när jag hävdade att det var så det låg till.
Några dagar efter åthutningen gick MSB officiellt ut och sa att det var på deras initiativ som verktyget .
Note to self som konsult: undvik att agera som dina kunders talesperson om du inte formellt blivit ombedd.
Enligt den juridiska utredning som MSB låter en extern byrå genomföra framgår det att det inte ingår i MSB:s uppdrag att bedriva smittspårning.
Därför måste man ha med sig expertmyndigheten FHM för att kunna genomföra projektet med digital självskattning.
Redan här går det se de problem som snart kommer att göra att projektet blir en återvändsgränd.
Rollen som samordnande myndighet kräver respekt för olika aktörers uppdrag och mandat och detta särskilt i trängda lägen, inte att man försöker ta över andra myndigheters uppgifter.
Sedan följer en närmast smärtsam historia fram till slutlig nedläggning via ett antal anhalter där det blir allt tydligare att ingen utom MSB (och leverantör samt konsulter) är intresserade av verktyget.
Kontentan blir x antal miljoner i sjön (konsultkostnaderna är inte medräknade i de 6,4 miljoner som MSB ska betala till leverantören), en granskning av Konkurrensverket och ett rejält tapp i anseende när MSB som bäst skulle behöva det.
Sannolikt har MSB tappat i förmåga att genomföra det egentliga uppdraget från regeringen: att samordna myndigheters information angående corona vilket knappast kan glädja uppdragsgivaren.
Det går att föreställa sig mindre trivsamma samtal på regeringskansliet.
Som en slutkommentar till Arbetaren säger MSB:s pressekreterare: Vi tar hellre kritik för att vi skyndar på att ta fram en lösning som på något sätt kan vara till hjälp när människor dör, än att få kritik för att vi sitter på händerna och inte gör något.
Vi ansåg att vi var, och är, i ett läge där det var viktigt att agera när det handlar om människoliv.
MSB reagerar alltså exakt på det sätt som jag skrivit om i ett tidigare , att göra NÅGOT känns alltid bättre även om detta något är inte leder framåt eller förbättrar situationen.
I krissituation är det viktiga tillit och att alla vet vem som ska göra vad.
I bakhuvudet gnager en liten olustig känsla av att myndigheten kan ha reagerat på yttre påverkan vilket lett fram till haveriet.
Det är lätt att glömma bort att de vanligaste påverkanskampanjerna är de ekonomiska.
Det skulle vara lätt att göra sig lustig över denna tragikomiska historia.
Det är inte min intention.
Istället får den mig, liksom många andra i dessa dagar, att reflektera över den svenska beredskapen och myndigheters förmåga.
Framförallt funderar jag på hur MSB (och andra myndigheter) förefaller så synnerligen oförberedda på en pandemi att man är tvungen att kasta sig in i så äventyrliga och ofruktbara aktiviteter som webenkäten.
Pandemi är verkligen inte en svart svan i ett riskperspektiv utan snarare vad Michele Wucker kallar en ”grå noshörning”: A “gray rhino” is a highly probable, high impact yet neglected threat: kin to both the elephant in the room and the improbable and unforeseeable black swan.
Pandemier har redan inträffat och har varit på MSB:s short list över samhällsrisker ända sedan myndigheten startade.
Ändå tycks inte nödvändiga förberedelser för samordning i en pandemisituation ha gjorts.
Detta ska inte MSB lastas för utan snarare de regeringar som styrt under perioden.
Kanske måste djurmetaforerna gå vidare till svarta strutsar (ja, jag vet att det inte är så i verkligheten att strutsar gräver ner huvudet vid annalkande fara men det är en bra metafor).
Nu pratas det i alla politiska läger om vikten av att förbättra den civila beredskapen och kanske till och med snegla tillbaka till beredskapens guldålder i Sverige: .
Problemet med detta är att det innebär att ett antal av dagens heliga kor måste slaktas om det ska fungera.
Det är inte bara mycket stora ekonomiska resurser som behövs.
Vi har under närmare 40 år demonterat den starka staten som är en förutsättning för en sammanhållen nationell beredskap och istället privatiserat och fragmentiserat ansvaret utan tanke på hur alla skärvor ska kunna skapa en helhet då det behövs.
Typexemplet på detta är ansvarsprincipen som inte är inskriven i någon lag men som har haft en förödande inverkan på den gemensamma styrningen av krisberedskapen.
Fragmentiseringen har inte kompenserats med en stark myndighet som nationellt nav.
MSB:s roll är istället att försöka samordna utan sammanhållen nationell planering och i stort utan mandat att faktiskt styra samhällsviktiga aktörer.
Fallet med webenkäten får tolkas som ett utslag av MSB:s omöjliga roll och borde vara ett exempel av många som bör leda till att ansvarsprincipen omprövas och att en verklig krisberedskapsmyndighet med fullt mandat skapas.
Jag kommer nu att ikläda mig rollen av glädjedödare i dessa ändå så svåra tider – jag ber om ursäkt för det.
Under de senaste veckorna i coronans tid så blommar olika personligheter och mänskliga beteenden för att hantera kriser ut.
I denna vilda blandning av känslor och rationalitet är det inte lätt att urskilja vad som är vad.
Jag tänker nu oftare än vanligt på hur viktigt individens men också organisationens sätt att agera varit i de mer kritiska situationer jag varit inblandad i och vem jag skulle vilja ha vid min sida i en verkligt akut situation.
Att inte låta känslorna styra i en krissituation kan nog alla hålla med om i teorin.
Vi vet att stress försämrar vår tankeförmåga och att det därför i krissituationer är lätt att tillgripa helt fel lösningar eller missa uppenbara svagheter i handlingsalternativen.
Likaså är historien rik på exempel där boten varit värre än soten, d.v.s.
att de åtgärder man vidtagit för att hantera ett akut problem på kort eller lång sikt lett till värre konsekvenser än det ursprungliga problemet kunnat orsaka.
En illustration på detta är agapaddan som trettiotalet importerades till Australien från Hawaii som ett slags biologiskt bekämpningsmedel av en skalbagge som hotade sockerbetsodlingar.
Nu finns det över 100 miljoner av den giftiga paddan som hotar djur- och växtlivet på hela kontinenten.
Detta försvåras av att de sekundära problemen kanske uppstår inom ett helt annat område än där den ursprungliga krisen rör sig.
De som arbetar med krishanteringen kan därmed inte överblicka de möjliga sekundära konsekvenserna eftersom man kanske inte ens har rätt kompetens för att upptäcka dem.
Jag ska inte här gå in på det utslitna filosofiska järnvägsproblemet där olika liv ställs mot varandra utan nöjer mig med att säga att ALLA mår bra av att läsa filosofi och dessutom tänka några extra varv.
När vi blir utsatta för en pressande situation får många individer och organisationer ett starkt behov av att agera.
Att agera är ångestdämpande i sig för det ger känslan av att påverka hotet oavsett effekten av åtgärderna.
Just här menar jag att det just nu finns ett riskabel situation när både individer och myndigheter i positiv anda försöker bekämpa coronan eftersom man i vissa fall tycks släppa sitt ordinarie säkerhetstänkande (vilket väl i ärlighetens namn inte är på toppnivå ens i normalläget).
Samma sak med integritet och skyddet av personuppgifter.
De nya och provisoriska arbetssätten leder till nya risker som måste fångas upp och reduceras.
Anekdoter om hur man helt plötsligt fått oväntat besök i sitt Teams- eller Zoom-möte florerar utan att det observeras som ett säkerhetsproblem.
Okritiska reportage om hur kreativa elever fått skolor att börja använda (!)
i skolans uppgifter.
Entreprenörer som flashar om att de håller på att utveckla appar för smittspårning.
Säkerhet och integritet nämns ytterst sällan och då bara i formuleringar som ”liv går före allt” vilket implicit tycks betyda ”vi struntar i informationssäkerhet och integritet”.
Extra betänksam blir jag av att många tycks inspirerade av Kinas övervakningsmetoder och i denna uppskruvade anda inte tycks se vad de kostar.
När det i fredags kom ett kort meddelande på Ekot att MSB håller på att ta fram någon form av app för smittspårning åt FHM men inte vill kommentera hur den ska utformas undrar jag hur genomtänkt den lösningen egentligen är (särskilt ironiskt med tanke på att MSB varit en bastion spårbarhet som säkerhetsdimension).
Eller är detta myndigheter som drabbats av ett akut behov av att se verksamma ut och därför är beredda att hoppa över säkerhetsskacklarna?
Det är svårt att se hur en sådan lösning skulle kunna tas fram med tillräcklig legal och säkerhetsmässig analys på så kort tid.
När jag pratar om vikten av säkerhet avser jag inte enbart konfidentialitet.
Om man ska skapa olika rapporteringstjänster måste även behovet av riktighet, spårbarhet och tillgänglighet bedömas – annars riskerar man faktiskt att få lösningar där boten är värre än soten.
En lösning för akut rapportering som bygger på sms (förekommer faktiskt) leder till falsk trygghet och att nödvändiga åtgärder kanske inte sätts in för att ta ett enkelt exempel.
Det är just i krissituationer som det systematiskat prövas.
Det är nu som informationsklassningar och riskanalyser har som störst betydelse för att medvetna risker ska kunna tas av den som är riskägare.
Jag vill inte att all kreativitet och god vilja ska kväsas men vi måste arbeta på ett sätt som inte leder till större skador på sikt.
Även om det är kontraintuitivt så måste medvetna bedömningar göras av risker och lagstiftning respekteras.
Appar som används för rapportering av symptom för diagnos är exempelvis medicinsk-teknisk utrustning och måste uppfylla kraven på sådan.
Vi kan inte ge oss hän åt våra känslor utan måste låta systematiken ge oss tillgång till rationaliteten.
Extra illa om en myndighet som MSB signalerar att säkerhet skulle vara av underordnad betydelse i krislägen.
Det är nu vi som mest behöver vårt förnuft och då är det inte alltid bäst att göra ”något” utan vi måste göra så rätt som möjligt.
Jag ska nu kort återkomma med en uppdatering gällande SKR och överföring av känslig information till denna intresseförening, för bakgrund se .
För att sammanfatta frågan så har SKR växt som en gökunge i den svenska förvaltningen och fått/tagit allt fler myndighetsliknande uppgifter trots att man, som SKR själva ivrigt hävdar, inte är en myndighet utan en arbetsgivare- och intresseförening.
Därav följer att SKR inte har det ansvar och den insyn som en myndighet och vi som medborgare egentligen saknar möjlighet att kontrollera och utkräva ansvar av föreningen.
SKR ligger helt enkelt utanför den styrning som den svenska förvaltningen bygger på och det är svårt att ens se vilken lagstiftning som är tillämplig.
Detta förhindrar den kritiska granskning som offentlighetsprincipen möjliggör för myndigheter även om SKR ibland försöker vilseleda genom att hävda att de handlingar som hanteras inom föreningen blir offentliga när de inkommer till medlemmarna.
Häromdagen fick jag detta l mig tillsänt där Marie Morell (m), ordförande för sjukvårdsdelegationen på SKR, hävdar just detta i en fråga som har en ekonomisk betydelse för enskilda: – Vi har kontaktat dem och skickat ut material till dem vid ett flertal tillfällen.
Det är viktigt att de skapar någon form av branschråd så att vi har en motpart att arbeta med.
Vi är en ideell förening och som sådan lyder vi inte under offentlighetsprincipen.
Men handlingarna blir offentliga så fort de inkommer till respektive region eller kommun, säger Marie Morell.
Det finns alltså ingen insyn i själva processen och som jag tidigare visat är det högst tveksamt vilka av SKR:s många ”interna” dokument som verkligen ses som inkomna till medlemmarna.
Att inte ens handlingar i beredande organ hos SKR blir allmänna handlingar hos de regioner/kommuner som har representanter i dessa organ är för mig tämligen hårresande och jag försöker förstå vem en sådan representant tror sig vara.
En privatperson som blivit invald i hembygdsföreningens styrelse (inget ont om hembygdsföreningar)?
Nu när offentlighetsprincipen är hotad från olika håll känns det extra angeläget att slå vakt av denna för Sverige (och Finland) unika medborgerliga rättighet.
I mitt framförde jag dock att det är likaledes viktigt att se vilka risker det innebär att kommunicera känslig information med en aktör där OSL inte kan tillämpas.
Grunden för att kunna skydda känslig information när den utbyts med utomstående parter är att reglera hur informationen får hanteras.
När det gäller utbyte mellan myndigheter finns denna reglering i huvudsak redan på plats genom lagstiftningen (även om jag tycker att det ofta finns anledning att förtydliga relationen myndigheter emellan).
Här intresserar jag mig inte för säkerhetsskyddsområdet utan framför allt den lagstiftning som gäller normala verksamhetsförhållande men där mycket starkt krav på konfidentialitet finns t.ex.
gällande samhällsviktig verksamhet.
Notera att det där även finns annan lagstiftning som är ytterst relevant som exempelvis Krisberedskapsförordningen.
Denna reglering saknas då information ska utbytas med privata aktörer som företag och, som i det aktuella fallet, föreningar.
Då måste menar jag ett avtal slutas som beskriver villkoren för att informationen ska kunna lämnas ut, åtgärder som ska vidtas och ansvarsförhållanden.
För att reducera att konfidentiell information kommer i orätta händer bör man även minimera informationen som utlämnas till det absolut nödvändiga samt ålägga motparten att säkerställa att endast de som verkligen behöver informationen kan ta del av den.
Enligt mitt resonemang är det alltså en självklarhet att myndigheter måste använda sekretessavtal eller motsvarande när de tänker utbyta information med företag och föreningar.
Därför frågade jag två myndigheter som på olika sätt har ett ansvar för samhällsviktig verksamhet om de slutit sekretessavtal med SKR.
Först gick frågan till MSB som ju har ett mycket omfattande ansvar i dessa frågor: Hej!
MSB har ett omfattande samarbete med SKR i olika frågor.
Vissa av dessa frågor kan vara av känslig karaktär som kommuner/regionens insatser i det civila försvaret, samhällsviktig verksamhet, informations- och cybersäkerhet osv.
I dessa frågor utbyts rimligen känslig information.
SKR är en intresseförening som inte omfattas av OSL på samma sätt som en kommun/region, ett kommunalförbund eller ett kommunalt bolag.
Jag är därför intresserad av att ta del av det samarbetsavtal med vidhängande sekretessregler eller motsvarande som utgör reglering av dessa frågor i relationen mellan SKR och MSB.
Efter tämligen lång tid och en påstötning fick jag följande svar: Jag måste först beklaga att du fått vänta på ett besked men på grund av olyckliga omständigheter har beskedet fördröjts.
Genom en sökning i vårt diarium har vi hittat två avtal med SKR: Du har rätt att begära ett skriftligt beslut som går att överklaga.
Skriv till .
För ögonblicket är jag inte så intresserad av det civila försvaret som ju knappt kommit igång så därför gick jag in på .
Det är upp till varje läsare att ta ställning men jag kan inte se att detta dokument på något sätt reglerar sekretessen i förhållande till SKR.
Detta kan synas extra anmärkningsvärt i dessa coronaapokalysens tidevarv när Socialstyrelsen sekretessbelägger information för media om vårdens p medan intresseföreningen SKR sitter med på MSB:s samordningskonferens i samma fråga.
Visserligen togs sannolikt inga känsliga frågor upp då SKR var med men det visar den vinglighet som finns då det gäller just SKR .
Jag ställde samma fråga till eHälsomyndigheten som tillsammans med bland annat SKR arbetar med den nya in (återkommer inom kort angående detta alster) och där man får gissa att det för en del diskussioner om kritiskt infrastruktur osv.
Från denna myndighet fick jag bara ett kort nej på frågan.
Detta är förstås bara två stickprov men ändå från myndigheter som är vana att hantera sekretess.
Det kan tyckas litet märkligt efter allt som hänt med Transportstyrelsen och andra incidenter där information överförts på oklara grunder.
Mitt intryck (bekräftat av ett antal tjänstepersoner på andra myndigheter) är att myndigheterna helt enkelt inte tänker på att SKR inte är en myndighet utan utgår från att föreningen är som vilken deltagare som helst i myndighetssamarbetena.
Inte heller kommuner och regioner verkar reflektera särskilt över detta utan överför utan förbehåll känslig information till det de i vissa fall verkar se som en ”överordnad” aktör.
Detta även då det gäller informationssäkerhet.
Nyligen skickades ett mail ut från SKR: Klassa 4.0 har varit efterfrågat länge och nu finns finansiering för ett projekt som inleds i nästa vecka.
Det blir flera förändringar i den nya versionen, bland annat förbättringar av befintlig funktionalitet, bland annat uppdateringar av kravkataloger som genererar uppgifter till handlingsplanen och en nödvändig översyn av upphandlingskraven.
Dessutom blir det en hel del ny funktionalitet, t.ex.
: – En ny modul för att mäta organisationens mognad, – Möjlighet till uppföljning och att ta ut nyckelvärden för organisationen och anpassat till målgrupp, – Möjlighet för SKR att ta ut nationell uppföljning på aggregerad nivå, – Stöd för CISO i det systematiska arbetet och – Modul för riskanalys.
Dessutom kommer SKR att förstärka sin organisation för att kunna avsätta mer resurser till förvaltning av Klassa.
Det kommer att öppnas en möjlighet för statliga myndigheter att använda Klassa.
Verktyget kommer dock fortsatt att ägas av SKR med kommuner och regioner som primär målgrupp.
Detta menar jag är ett projekt som bör utsättas för en mycket grundlig riskanalys!
Dessutom kan det verkligen ifrågasättas varför denna nationellt intressanta information ska ägas av en förening utan insyn och där det inte heller går att bedöma säkerhetsriskerna.
Det är dags för en mer omfattande diskussion om SKR:s roll.
Myndigheterna bör också ha en konsekvent linje i förhållande till ”förvaltningsskvadern” – antingen är man en myndighet med det fulla ansvar som en sådan har eller så få man återgå till att vara en arbetsgivarorganisation en arbetsgivarorganisation som i huvudsak ägnar sig åt sina medlemmars avtalsfrågor.
Sekretessavtal bör i dagsläget vara ett minimikrav för alla myndigheter, inklusive kommuner och regioner, som utbyter känslig information med SKR på samma sätt som man reglerar relationen med vilken privat aktör som helst.

Överenskommelse om kommunernas krisberedskap (dnr MSB 2018-09779) Överenskommelse om kommunernas arbete med civilt försvar (dnr MSB 2018-05681) Bilaga 1 omfattas av försvarssekretess (15 kap.
2 § offentlighets- och sekretesslagen (2009:400) och lämnas inte ut.

mot En av nätläkarna tycker att det verkar ha varit en bristfällig konsekvensanalys inför beslutet och att det är märkligt att SKL:s handlingar inte omfattas av offentlighetsprincipen.

MENU MENU Postat av Postad i , , , Tagged , , Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , , Tagged , , , , , , , Sök efter:

Det kan knappast ha förbigått någon att information blivit det nya guldet och att det finns extremt starka både offentliga och privata intressen som vill vara med och ta hem vinster från den resursen.
Framför allt den information som skapas i offentlig sektor är extra åtråvärd dels för att den är så omfångsrik, dels för att den ofta innehåller detaljerade uppgifter om olika allmänt intressanta förhållanden.
Intresset för att använda den offentligt producerade informationen som här kallas ”öppna data” har inom EU formaliserats genom PSI-direktivet som även blivit svensk lag sedan 2010.
En utredning tillsattes på klassiskt och bra svenskt maner 2019 för att bl.a.
genomföra en översyn och utvärdering av lagen (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen, analysera behovet av för-fattningsändringar för att genomföra öppna data-direktivet och säkerställa en ändamålsenlig nationell reglering som, ur ett rättsligt perspektiv, främjar och stödjer den offentliga förvaltningens arbete med att tillgängliggöra öppna data och annan digital information samt lämna förslag till nödvändiga författningsändringar.
Den lämnades över i höstas under beteckningen SOU 2020:55 Innovation genom information och har knappast lett till några större rubriker.
Att vidareförädla data kan ju tyckas som en högst okontroversiell inriktning för ett alltmer digitaliserat samhälle men ändå är det vissa frågor som skaver alltmer ju mer jag funderar på dem.
I utredningen ges följande beskrivning av syftet med offentlig verksamhet ska lägga resurser på arbetet med öppna data: I portalparagrafen till PSI-lagen anges att syftet med lagen är att främja utvecklingen av en informationsmarknad genom att underlätta enskildas användning av handlingar som tillhandahålls av myndigheter.
Redan där kan man haja till.
I Sverige har vi en mycket lång tradition av att utnyttja offentlig information för forskning och allmänhetens insyn men vad som här avses skapas är en ”informationsmarknad”.
Observera att med enskilda avses inte medborgare som vill ha insyn enligt offentlighetsprincipen vilket klargörs längre fram i utredningen utan endast företag som ska använda informationen.
Den tes som drivs i direktivet och i efterföljande lagar och utredningar är att det finns ett starkt samhällsintresse av att skapa en ”informationsmarknad” som ska försörja nationella och internationella företag med råvaran offentlig information till ett självkostnadspris.
I en som tagits fram av Lantmäteriet på uppdrag av regeringen blandas ändå syftena ihop så att det framstår som att öppna data skulle förbättra möjligheten till insyn: Öppna data skapar värde på flera olika plan i samhället.
Det rör sig dels om rena ekonomiska värden i form av stimulerad tillväxt och ökad effektivitet som ger aktörer möjlighet att utveckla nya produkter och tjänster.
Dessutom bidrar öppna offentliga data per definition till ökad transparens och demokratisk kontroll genom att öka insyn och förståelse för offentlig förvaltning.
Den ökade insynen innebär nya möjligheter för externa aktörer att mäta policyeffekter och granska, upptäcka samt motverka oegentligheter inom offentlig sektor.
För mig framstår som mycket tydligt att det finns framför allt tre olika syften med extern åtkomst till myndigheters information: Av dessa syften har under de senaste decennierna det sistnämnda syftet varit extremt prioriterat (även om forskning och företagande ofta kan vara överlappande).
I de olika initiativ som bedrivits i Sverige rörande digitalisering har jag inte på ett enda ställe sett några konkreta förslag för att utveckla lösningar för att stärka offentlighetsprincipen.
Detta trots att öppenheten blivit ordentligt naggad i kanten bland annat genom Sveriges EU-inträde genom avsiktliga och oavsiktliga anpassningar till den betydligt mer begränsade insynsmöjlighet som finns i övriga EU-länder (bortsett från Finland).
När man pratar om ökad delaktighet i digitala sammanhang är det alltså inte ökad insyn som diskuteras utan i de allra flesta olika tekniska lösningar som lanseras för offentlig service.
Vilka möjligheter som finns att digitalt utveckla demokratin är ett ämne som ligger mig varmt om hjärtat men jag skulle här även vilja peka på ytterligare en aspekt där den nuvarande satsningen på öppna data rymmer stora intressekonflikter.
Eftersom jag skulle vilja belysa den på ett principiellt plan och inte fastna i inhemska perspektiv väljer jag att ta ett exempel från USA.
I Erik Åsards nya bok Med lögnen som vapen som handlar om Donald Trump och hans påverkan på det amerikanska samhället.
I ett avsnitt berättar Åsard om Trumps märkliga tillsättningar av ledande tjänstemän.
Detta är nog så intressant men i det som jag fastnat för i detta sammanhang är när han föreslog Barry Myers, en miljonär och gammal kompis, som chef för NOAA som är den amerikanska motsvarigheten till SMHI.
Myers var av en händelse även ägare till ett privat företag som säljer väderrapporter som en kommersiell tjänst.
Enligt Åsard såg Myers rapporteringen från NOAA som en svår konkurrent eftersom myndigheten tillhandahöll samma data kostnadsfritt (enligt lag) som Myers paketerade om och marknadsförde i sin egen tjänst.
Som Åsard skriver: Rapporterna från the National Weather Service är kostnadsfria, men AccuWeather lyckades genom förförisk och inte sällan vilseledande marknadsföring få kunderna att betala för dem.
Utan den statliga väderlekstjänsten och dess skattefinansierade tillgångar (radar, väderstationer, väderballonger) skulle inte företaget ha mycket att erbjuda.
För att skilja ut sig från konkurrenterna började AccuWeather tillverka prognoser som sträckte sig 45 och till och med 90 dagar framåt.
Det är en metod som seriösa meteorologer har dömt ut och liknat vid att använda handläsning eller horoskoptydning.
Vidare skriver Åsard: Till skillnad från bolagen i den privata sektorn är the National Weather Service enligt lag förbjuden att göra reklam för sina tjänster.
Det har utnyttjats av företagare som Myers, som under 1990-talet offentligt började argumentera för att den statliga myndigheten borde förbjudas att göra några väderprognoser överhuvudtaget (utom vid fara för liv och egendom).
Sådan information borde vara en fråga mellan kunderna och de privata företagen, menade han.
När den konservativa republikanska senatorn Rick Santorum lade fram ett snarlikt lagförslag 2005, fick det entusiastiskt stöd av Myers.
Förslaget föll, men Myers tvekade alltså inte att stödja en lag som flagrant skulle gynnat hans eget företag och tvingat skattebetalarna att betala dubbelt för en tjänst som den statliga myndigheten tillhandahållit gratis.
Som Michael Lewis påpekar har privata företag i branschen ett ekonomiskt intresse av väderkatastrofer som deras offentliga motsvarigheter saknar.
Ju större och farligare orkaner, desto fler kunder kommer att vilja betala för att få varningar om dem.
Och ju fler kunder desto större vinster.
Lewis föreställer sig en dystopiskt slut – ”dagen då du bara får den väderleksrapport du betalar för”.
Lyckligtvis har vi ingen Trump i Sverige (än).
De många intressekonflikter som Erik Åsard så elegant lyfter fram i ett kort stycke i sin bok saknas är dock helt relevanta för Sverige när det gäller öppna data.
Av någon anledning har de utredningar som genomförts sedan direktivets tillkomst undvikit att ta upp dessa frågor trots att de har stor betydelse för både samhälle och den enskilde individen.
Att låta marknadskrafter bli dominerande när det gäller hur offentlig information ska användas skapar intressekonflikter.
”Öppna data” kan leda till motsatsen, att de undanhålls från medborgarna för att de utgör råvara för ett företag.
Och kommer det att ställas krav på myndigheterna att de måste upprätthålla informationshantering som annars skulle effektiviseras bort för att det skulle påverka företag som använder informationen negativt om den togs bort?
Det är inte heller säkert att låta multinationella försäkringsbolag kostnadsfritt ta del av patientuppgifter är något som gynnar några andra än just försäkringsbolagen.
Som alltid när det gäller intressekonflikter finns det inget entydigt svart eller vitt i hanteringen av öppna data även om det i det svenska sammanhanget hittills framställts som helt utan komplikationer att langa ut vår viktigaste gemensamma resurs gratis på marknaden.
Själv har jag svårt att förstå hur det kan utgöra en marknad överhuvudtaget, snarare en nationell välgörenhetsbasar.
För att skapa en mer mångdimensionell bild av öppna data där olika intressen kartläggs och ställs mot varandra på ett öppet (!)
sätt bör ett mer gediget underlag än olika tas fram om det verkliga ekonomiska värdet.
Därefter kan en offentlig diskussion föras om hur vår gemensamma informationsbonanza ska användas så att alla våra olika intressen tillvaratas – inte bara de ekonomiska för vissa aktörer.
Häromveckan kom en OECD-rapport där det framkom att Sverige enligt de måttstockar som användes inte var så bra på digitalisering.
Rapporten väckte förvåning och upprördhet i vissa kretsar.
Jag kan på sätt och vis förstå att det kan upplevas som en kalldusch med tanke på hur mycket offentlig ”digitalisering” haussas och sponsras.
Samtidigt får jag litet drygt medge att jag inte är såååå häpen.
Den svenska digitaliseringen har under decennier fört en haltande tillvaro trots att den ständigt varit omgiven av jublande kaskader av pepp.
Under dessa år har olika mystiska nationella organisationer skapats, marknadsförts och sedan dött utan att lämna några imponerande spår efter sig.
Ur minnet kan jag rada upp följande: Utöver detta har diverse ännu mer kortlivade initiativ tagits av regeringar i form av råd och kanske den mest luftiga av alla: en nationell CIO, en funktion som lyckligtvis evaporerade efter mindre än ett år.
Av allt detta finns idag bara DIGG kvar – en myndighet med oklart ansvar och mandat.
Efter att ha rört mig i både närmare centrum och och för det mesta i periferin av dessa cirklar så finns det vissa genomgående drag som jag tycker mig kunnat notera.
Bara uppräkningen av alla flyktiga organisationer som haft en förväntan på sig att samordna den svenska digitaliseringen visar på det kanske främsta problemet: bristen på kontinuitet.
Det har aldrig funnits en långsiktig plan med prioriteringar för hur den offentliga digitaliseringen ska rullas ut.
Bristen på strategisk inriktning skulle i sig kunna vara en strategi, att den svenska staten gjort en välavvägd bedömning att en organisk framväxt utan styrning av digitala lösningar på sikt skulle gynna samhället bäst.
Om detta har varit planen har den dock hållits väl dold.
Verkligheten tyder på, i alla fall för mig, att planering och tydlig inriktning hade varit mycket önskvärt för att skapa en fungerande digital infrastruktur.
Kanske var vi närmare en möjlighet att skapa en infrastruktur på slutet av 90-talet än idag.
Då fanns en medvetenhet om att Sverige hade unika möjligheter bland annat genom denna snabba spridningen av hemdatorer som skett då anställda fick möjlighet att med förmånliga villkor skaffa sig en egen dator via arbetsgivaren.
Då diskuterades hur en statlig e-legitimation skulle kunna införas som en central infrastrukturkomponent.
Själv tyckte jag att det var en rimlig förlängning av ett statlig åtagande: folkbokföring, personnummer och sedan e-legitimation skulle fullfölja en lång linje i svensk förvaltningshistoria som skulle kunna vara byggstenen för många andra lösningar.
Men sedan hände ingenting, varje år sas det att i september – då kommer den att komma!
Vet ej varför just september var en så bra månad för att lansera e-leg men i min något osäkra minnesbild var det så.
En myndighet (E-nämnden) bildades 2003 för att leva i två somrar med uppdrag att stödja utvecklingen av ett säkert effektivt elektroniskt informationsutbyte mellan myndigheter och mellan myndigheter och enskilda genom att beslut om vilka standarder för informationsutbyte myndigheter under regeringen skulle använda sig av.
Detta inkluderade även e-legfrågan.
Men som sagt någon statlig e-legitimation blev det inte då vilket jag är ganska övertygad berodde på ideologiska skäl.
Politiker av olika schatteringar gick all in för nyliberalism och ville hellre att ”marknaden” skulle hantera e-legitimationerna vilket säkert påverkade införande och fördröjde en säker infrastruktur-utveckling.
Att jag tagit upp denna gamla historia är mest för att peka på ett annat återkommande tema i den svenska digitaliseringen, nämligen att det saknats öppna och tydliga diskussioner om hur staten och marknaden ska samverka på bästa sätt för gynna samhället.
Istället har framtagandet av digitala lösningar skett i en ideologisk blindhet som lett mycket stora kostnader (tänk bara Hälsa för mig) utan att det lett till de resultat som eftersträvats.
Och vad är det då för resultat som eftersträvas?
Man skulle tycka att med den stora förväntan på digitalisering och AI som lösningen på alla problem liksom de miljarder som pytsats in att även utan plan så skulle det vara nödvändigt att ha någon slags tydliga mål som går att följa upp.
Så är dock inte fallet om man inte räknar det outsägligt fåniga målet att ”Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter” som tydligt.
Istället vimlar det av fluffiga utsägelser som digitaliseringen ska rädda allt från äldreomsorgen till exportindustrin och självklart skolan.
Exakt hur det här ska gå till beskrivs vad jag kan se varken av , eller digitaliseringsevangelisterna trots att man skrivit vad man kallar mål och strategier.
Det förväntas bara ske.
Det ligger något av en paradox i att digitaliseringslösningar idag så ofta används för att mäta som en del i det rådande NPM-paradigmet när det samtidigt sker så litet av formell utvärdering av vad digitaliseringen faktiskt leder till.
Om man går in de traditionella utvärderarna av ”vad f-n får vi för pengarna?” som Riksrevisionen, Statskontoret och, när det gäller e-hälsa, Myndigheten för vårdanalys finns påfallande få granskningar och rapporter skrivna just om digitalisering.
Riksrevisionen publicerade 2016 en som knappast är en av dem som länder revisionen till heder med tanken på kvaliteteten som kontrollerar om myndigheter digitaliserat tillräckligt mycket – inte vad digitaliseringen lett till.
Detta är i sig en generell tendens, att se digitaliseringen i sig som något ”gott” samtidigt som man i nästa andetag säger att digitaliseringen inte är självändamål.
Men vad kan vara mer självändamål än att ha som mål att ”Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter”?
Däremot kom 2019 en om digitalisering och nyföretagande som faktiskt sätter nyföretagandet i centrum – inte digitaliseringen.
Utöver detta finns det inte mycket att hämta om digitalisering hos Riksrevisionen om man är intresserad av resultatet av statens insatser på området.
Statskontoret har skrivit myndighetsanalyser av bl.a.
E-delegationen, Digisam och Digitaliseringsrådet (spoiler alert: de har inte lyckats så bra) men egentligen inget vad jag kan se om digitaliseringen i sig.
Riksrevisionens och Statskontorets uppdrag kan möjligen göra dem något begränsade i sina granskningar men att Myndigheten för vårdanalys inte haft detta som ett starkt granskningsområde förvånar mig starkt.
Med tanke på hur e-hälsa, välfärdsteknologi, AI och digitalisering lyfts fram som vårdens frälsare borde utfallet av detta vara mycket angeläget att kontinuerligt följa.
Som det nu är hittar jag egentligen bara en som handlar om cancervården specifik.
Ett om äldreomsorgens digitalisering ska slutlevereras 2023 och inriktningen ”Myndigheten ska bedöma hur digitaliseringen av äldreomsorgen bidrar till verksamhetsutveckling, med särskilt fokus på kostnadseffektivitet.” – alltså hur ska digitaliseringen ”effektivisera” äldreomsorgens.
Sammanfattande kan jag förstå om det är svårt att göra granskningar med så fluffiga mål för vad är det egentligen som ska följas upp?
Min egen anekdotiska upplevelse är att den svenska digitaliseringen lider svårt av ett marshmallowssyndrom.
Ni vet det där gamla experimentet om uppskjuten tillfredställelse som sedan har ifrågasatts men som jag ändå använder här som bild.
På Stanford university erbjöds fyraåring att marshmallows med förutsättningen att om de kunde motstå att genast sluka den godbit de fick och kunde vänta några minuter kunde de istället få två.
Tanken var att de som kunde planera och motstå frestelsen blev framgångsrika längre fram i livet.
Den svenska digitaliseringen tyckte jag ofta har liknat barnen som inte kunde låta bli att genast tillfredsställa sitt sötsug.
De politiker, tjänstemän och företag som drivit på digitaliseringen har dock styrts av starkare tobak än marshmallows men kontentan blir att det idag saknas en plan.
Det tycks som man ofta gör saker för att man inte för att man analyserat och kommit fram till att det är rätt steg i en bestämd riktning.
Detta leder också till den intressanta frågan vems intressen tjänar den nuvarande digitaliseringen.
Som redan nämnts är äldreomsorgen ett frestande område att digitalisera, mindre så digitaliseringsbyråkraternas egna jobb.
Jag ska inte ge mig in på David Graebers tankar om Bullshit jobs (läs gärna själva!)
men tanken på de undersköterskor som flänger omkring som torra skinn i äldreomsorgen är de som ska effektiviseras och inte de som har bullshit jobs är djupt störande.
Jag tänker också på vad en äldre människa tjänar på att inte få en människa som kommer och hjälper till med matning utan en robot.
Detta borde vi prata mycket mer om.
För att ingen ska missförstå ovanstående: jag vet och uppskattar den ständigt puttrande digitaliseringen men skulle uppskatta en plan.
1910 blev Karlstads lasarett det andra i Sverige som blev s.k.
delat lasarett (efter Falun).
Att ett lasarett blev delat betydde att det fanns både en medicinsk och en kirurgisk verksamhet.
I korthet var detta första steget på den snabba utveckling pådriven av en framgångsrik forskning där ögon, öron, ortopedi, röntgen, BB, barn, gynekologi o.s.v, o.s.v.
, blev egna specialiteter och subspecialiteter i ett allt finmaskigare nät.
Till detta kommer allmänmedicin och annan öppenvårdsverksamhet för att inte glömma psykiatrin i olika former.
Alla dessa med tiden hundratals olika kompetensområden måste organiseras i avdelningar, kliniker, mottagningar m.m.
för att få bästa möjliga vård för patienten till en för samhället rimlig kostnad.
Det räcker dock inte med att organisera vårdens olika verksamhet i förhållande till varandra utan vården måste styckevis och delt även passas in i samhällets generella styrning som i sin tur består av förvaltning respektive den politiska styrningen.
För Sveriges del har det i huvudsak inneburit inpassning i kommun, landsting/region och stat eftersom vården varit offentligt finansierad (även detta i huvudsak) sedan lång tid tillbaka.
Historiskt har vårdverksamheten i delar vandrat mellan huvudmännen.
Att allmänmedicin och psykiatri var ett statligt ansvar fram till 1960-talet och äldrevård en landstingsangelägenhet fram till ÄDEL-reformen då den överfördes till primärkommunerna är bara två exempel.
Vad jag vill säga med denna skamligt korta sammanfattning är att sjukvård är EXTREMT svårt att styra med en fullständigt oöverblickbar komplexitet i tre dimensioner: den interna styrningen av vårdarbetet och förvaltningsstyrningen samt den politiska styrningen.
Fram till 1970-talet var inriktningen för att hantera denna komplexitet bland annat att försöka skapa mer enhetliga huvudmannaskap vilket var en av orsakerna till att exempelvis allmänmedicin och psykiatri överfördes till landstingen från staten.
Denna trend avlöstes av den glada NPM-eran när styrningen av offentlig verksamhet fragmentiserades bland annat för att underlätta för privata alternativ.
Det var då äldreomsorgen och den social omsorgen fördes till den kommunala sektorn vilket bland annat har lett till bollandet av gamla multisjuka mellan två huvudmän – något vi sett de avskräckande konsekvenserna av nu efter covid-19.
Det är ett ganska väl beforskat hur organisatorisk komplexitet leder till det som slarvigt brukar kallas byråkrati men som jag hellre skulle benämna administration som inte är direkt kopplad till kärnverksamhetens uppgifter.
Ju större antal aktörer som ska förmås att röra sig i samma riktning eller åtminstone samspela, desto fler samordnade aktiviteter krävs för att hålla ihop helheten.
Det blir strategier, policies, planer, möten, kontroller och rapporteringar i olika riktningar.
Genom privatiseringen av offentlig verksamhet har dessutom ytterligare behov av upphandlingar, kravställningar, regelverk, beställningar och uppföljningar tillkommit.
Detta skapar kohorter av nya typer av administratörer, alltså inte den gamla typen som skötte budget, bokföring och löneutbetalningar.
Istället har kvalitetsutvecklare, upphandlingsspecialister, digitaliseringsstrateger, e-hälsosamordnare och (visst, jag kackar i eget bo) informationssäkerhetsansvariga tillkommit.
Och så naturligtvis kommunikatörer, kommunikatörer och åter kommunikatörer.
Utan jämförelser i övrigt kommer jag osökt att tänka på den här gamla klassiska bilden där jag föreställer mig vårdpersonalen dignar under hela lasset av administration upp till sjukvårdspolitiker och vårdbolagschefer.
Det är med detta i bakhuvudet jag läser i DN som drar en lans för förstatligande av sjukvården.
För mig framstår det som ett relevant förslag.
1962 gav de flesta landsting ut historiker över sina första hundra år.
Dessa historiker rymmer en fascinerande motsättning mellan beständighet och föränderlighet.
Landstingen hade funnits i respektingivande hundra år men vad ett landsting var och skulle syssla med hade ständigt förändrats under dessa är.
Vad detta lär oss är att hur samhällets basala funktioner ska organiseras ständigt måste omprövas för att institutionerna ska vara ändamålsenliga och anpassade till rådande behov.
Historiskt har detta skett kontinuerligt som jag snabbskissat ovan och det finns ingen anledning att tro att just den organisation av sjukvården har idag är den enda möjliga oavsett vad som händer i samhället i övrigt.
Själv hyser jag inte någon ohejdad tilltro till att ett förstatligande av sjukvården skulle lösa alla eller ens merparten av problem som vården har att leva med men i all enkelhet skulle åtminstone ett lager i pyramiden försvinna.
Förhoppningsvis skulle grundläggande mål som likvärdig vård vara enklare att uppnå.
En annan effekt är att den samordnade byråkratin internt mellan de idag 21 regioner skulle kunna plockas bort (även om den säkert delvis skulle komma tillbaka i en annan form).
Att inte bara DN utan även andra med viss energi börjar ifrågasätta regionernas roll väcker oro i regionsleden, inte minst hos särintressets främsta företrädare SKR vars ordförande Anders Knape som skrev ett kanske aningen sentimentalt på DN:s ledare.
Han, liksom regionala företrädare, lobbar ivrigt för att regionernas USP är den politiska styrningen av regionerna som hypotetiskt skulle göra sjukvården regionalt anpassad och därmed ”bättre”.
Med viss bombasm skriver Knape: den lokala och regionala nivåns omkring 40.000 förtroendevalda utifrån kunskap om invånarna lokalt och regionalt.
Deras kraft är oslagbar.
För den som något fördjupat sig i landstingens/regionernas historia väcker denna beskrivning antagligen skuggan av ett leende.
Inga sjukvårdsstrider har varit så infekterade som de enskilda landsting där sedan åtminstone 1920-talet omfattande manifestationer skett för att sjukstugor skulle placeras i ”rätt” samhälle eller rörande nedläggningar av sjukhus.
Knapes uttalande pekar snarare på en klassisk problemställning inom svensk sjukvård: den potentiella motsättningen mellan regional särart å ena sidan och likvärdighet nationellt å andra.
För mig framstår denna argumentationslinje också som alltmer paradoxal då SKR själva så intensivt försöker samla nationell styrning hos sig själva.
Som jag tidigare skrivit om har alltfler frågor börjat samordnas via SKR och därmed flyttats från den regionala nivån till en nationell.
Om SKR starkaste argument mot ett förstatligande är det demokratiska värde som finns i den regionala politiska styrningen verkar det ju vara att såga av sin egen viktigaste sittgren om makten förs från dessa demokratiska församlingar in i det mörker som föreningen SKR utgör.
Själv skulle jag alla dagar i veckan föredra en normal svensk myndighet framför SKR som nationellt samordnande.
Ibland dristar jag mig till och med till att tycka att det kanske är en demokratisk fördel om sjukvården lyfts bort från bypolitiken.
Knape har förstås en poäng när han lyfter fram mindre lyckade statliga experiment och då även inom digitaliseringsområdet.
Tyvärr måste jag dock säga att det är en boll som är svår att inte smasha tillbaka för den som strävar mot förstatligande av sjukvården.
INGEN fråga har engagerat SKR så mycket som digitalisering som lösning på all och jag misstänker att man har en gemensam morgonbön i SKR-palatset som går ungefär så här: Digitalisering, låt ditt namn bli helgat Låt ditt rike komma.
Ge oss i dag vårt dagliga bröd .
Och glöm våra misslyckade projekt, så som vi glömmer dem själva.
Och för oss inte in i verkligheten, utan fräls oss från ansvar.
Förlåt, det är semester… Min poäng är att trots den närmast religiösa inställning som SKR har till digitalisering i teorin så ser i praktiken digitaliseringen av den svenska sjukvården som ett härke trots de enorma resurser som tillförts.
Jag sitter mycket tungt på mina händer för att inte skriva något om den totala frånvaron av samordning av informationssäkerhet och det provocerande ointresset för integritetsfrågor där SKR knappast agerat som insiktsfull vägledare för sina medlemmar.
Om verkligheten ska användas som betygssättare för regionernas och SKR:s förmåga att skapa en nationellt sammanhållande och långsiktigt fungerande vård så ser det rätt illa ut för Knapes linje.
För att komma vidare vore det önskvärt med en hederlig gammaldags utredning som inte helt styrdes av särintressen inom vården.
Personligen lutar jag svagt åt att behovet av nationell samordning av sjukvården bäst hanteras genom ett förstatligande åtminstone av delar av vården.
Det kommer visserligen att skapa nya gränslinjer – hur ska exempelvis äldreomsorgen hanteras med större medicinsk kompetens – men jag tror verkligen det är dags att ompröva dagens situation.
Jag ska nu framföra den något inopportuna åsikten att det dokumenteras för litet i organisationerna.
Inopportun eftersom vi fortfarande lever i en tid med oändlig övertro på fragmentiserade mätvärden, checklistor, matriser och inkodande, väl skildrat .
Huvudsak blir bisak och frågan är allt oftare för vems skull allt detta registrerande sker, kanske inte för patienten eller eleven utan för att försörja något multinationellt företags omätliga begär efter data?
Det är inte denna typ av dokumentation jag skriver om här utan snarare när matriser ersätter resonemang och utvecklade bedömningar.
För att ta informationssäkerhetsområdet som ett exempel ser jag som regel snarare än undantag informationsklassningar och riskanalyser vars värde kan ifrågasättas, särskilt i det längre perspektivet.
Det som återstår efter timmar av nedlagd arbetstid och noggrann analys är alltför ofta en matris eller ett excel-ark utan förklaringar.
Deltagare eller roller som ingått framgår inte och inte heller hur resultatet ska hanteras.
Men mest saknas på vilka grunder bedömningen gjorts.
Att arbeta på det här sättet är som att skriva i vatten.
Skrivandet, när det sker på ett beständigt sätt, är i sig ett stöd för tanken.
Medan man skriver formulerar man sina tankar, utvecklar och förtydligar, hittar svagheter, gör synteser och lägger grunden för kommunikation.
Man skapar förutsättningar för en diskussion som vaskar fram de bästa praktiska lösningarna.
Både informationsklassningar och riskanalyser ska naturligtvis ske återkommande.
En väl dokumenterad tidigare klassning eller riskanalys är ovärderligt stöd då proceduren ska upprepas.
Istället för att börja från noll kan man gå igenom vilka faktorer som kvarstår eller ändrats, om man fått fördjupad kunskap som påverkar bedömningarna, om åtgärder vidtagits som påverkar risken eller om lagstiftning tillkommit för att ta några exempel.
Utan bra dokumentation kommer inte ens de som deltagit i den förra övningen hur diskussionen gick, än mindre de som kommer till.
Att det organisatoriska minnet skapar effektivitet är en sak.
Ytterligare en är att dokumentationens syfte inte enbart är att kommunicera utan det är också ett sätt att aggregera kunskap inte bara i enstaka situationer utan genom att skapa ett större kunskapsunderlag som kan återanvändas i nya situationer.
Detta bör även ses som en del i organisationens generella riskarbete.
Det skrivna ordet är vår kapsel för kunskap vilket även går att översätta till mänsklighetens utveckling.
Låt mig ta ett sista argument för bättre dokumentation och organisatoriskt minne, nämligen att det är verktyg för att skapa ett sammanhang för de som arbetar i organisationen.
En fullödig dokumentation lägger fram de rationella skälen till gjorda bedömningar och motiverar i förlängningen säkerhetsåtgärder.
Detta leder till en positiv säkerhetskultur kan växa fram där det är naturligt att samtala om säkerhet och där det är tillåtet att ifrågasätta säkerhetsbedömningar.
Den som arbetar med säkerhet behöver inte känna sig pressad och defensiv när någon frågar varför ett visst tillvägagångssätt ska tillämpas eftersom det finns mer än siffra att bygga sin motiverande argumentation på.
KASAM, känslan av sammanhang, var ett begrepp som myntades av sociologen Se alltså detta inlägg som en plädering för att skriva bättre och läsa mer.
Den som känner sig osäker i sitt skrivande måste få öva, öva, öva och att skriva bra bör uppvärderas och ses som en omistlig kompetens för den som arbetar med informationssäkerhet.
Sällan har jag läst en utredning med sådant intresse som den nya arkivutredningen SOU 2019:58 ” ” och då har jag ändå läst många.Stoffet i utredningen och hur den är genomförd vore helt enkelt värt en egen utredning och inte bara ett blogginlägg men man tager vad man haver.
Det finns alltså hur mycket som helst att skriva ytterligare men som inte ryms här.
Innan jag går in på utredningens egentliga leverans vill jag jag uppmärksamma den metodik och presentation som tillämpats som känns mer som en redovisning av en fortlöpande workshop än en traditionell svensk utredning.
Genomgående refereras samtal med olika intressegrupper vars argument framförs utförligt innan utredningen lämnar sina förslag.
Det ger verkligen en fyllig bild av den stora bredd av frågeställningar och konfliktlinjer som förekommer i Arkiv-Sverige (detta märkliga land).
Detta tillsammans med beskrivningen med bakgrundshistorik av hur arkivväsendet är organiserat i Sverige ser jag som den stora behållningen av utredningen, mycket användbar exempelvis i undervisningssammanhang.
Utöver detta är mitt sammanfattande intryck att utredningen ägnat sig åt en mängd relativt sett små frågor, om än i vissa fall intressanta, men duckar för alla verkligt väsentliga frågor.
Dessutom är förslagen angående de frågor som man verkligen ägnar sig i de flesta fall ytterst konservativa, typ: ”efter noggrant övervägande har vi kommit fram till att den rådande ordningen är den bästa.”.
Sin djärvhet och kreativitet tycks utredningen ha reserverat för titeln på utredningen som synes sällsynt missvisande i förhållande till innehållet (intresset för putslustiga utredningstitlar är visserligen inte unikt för den här utredningen utan snarare legio i det svenska utredningsväsendet).
När man läser förslagen på ny arkivlag är det många ”skall” som blivit ”ska” och ”arkivvård” som som blivit ”arkivförvaltning” men i övrigt mycket litet förändrande kraft.
En mer rimlig utredningstitel hade varit ”Härifrån till hit”.
En annan mindre men tyvärr betydelsefull förskjutning som skett är betoningen av ”kulturarvet” ökat.
I dagens arkivlag står: Myndigheternas arkiv är en del av det nationella kulturarvet.
Myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser 1. rätten att ta del av allmänna handlingar, 2. behovet av information för rättskipningen och förvaltningen, och 3. forskningens behov.
I utredningens författningsförslag sker inga större skillnader i detta förutom att ”syfte” bli ”ändamål”, ändamålet får en egen paragraf och det nationella försvinner från kulturarvet.
Däremot ägnar utredningen sig nästintill enbart åt resonemang om kulturarvet och hur det ska skyddas och i princip inte alls åt de tre övriga ändamålen.
För mig självklara och angelägna frågor som exempelvis hur demokratin skulle kunna utvecklas genom bättre insyn i myndigheterna via de allmänna handlingarna, hur behovet av snabb och säker tillgång till information med hög grad av autenticitet i myndigheterna ska tillgodoses samt betydelsen av ett organisatoriskt minne behandlas inte alls.
Forskning likställs i bästa fall med historisk forskning men alltför ofta tycks det vara släktforskning som avses.
Ibland framstår forskning och kulturarv som på något sätt synonyma begrepp.
Kanske skulle utredningens experter och sekreterare kunnat ha en något annorlunda sammansättning för att andra centrala perspektiv kunnat lyftas fram.
De glasögon känsliga för kulturarv som använts präglar hur utredningen tar sig an övriga frågor.
Släktforskare i all ära men vilken möjlighet som här förlorats att redovisa hur de övriga ändamålen skulle kunna tillgodoses på ett bättre sätt!
Som ett par exempel på hur kulturarvsglasögonen påverkar utredningens resonemang skulle jag vilja lyfta fram följande.
Utredningen tar upp de olika uppfattningar som kan finnas mellan att digitalisera äldre material alternativt lägga resurser på att omhänderta det digitala material som hela tiden tillväxer.
Detta presenteras som om det vore två jämförbara alternativ vilket jag menar är en tankevurpa.
Att digitalisera redan omhändertaget material i pappersformat är framförallt en åtgärd för att förbättra tillgänglighet och service vilket i sig är behjärtansvärt.
Däremot är fönstret för att bevara den digitala information som ständigt tillväxer en engångschans – görs det inte kommer informationen helt enkelt inte att finnas kvar.
Även om jag inte sett någon forskning om detta är mitt intryck att vi redan nu har förlorat en stor del av de senaste decenniernas viktiga information eftersom det saknats verktyg för att ta hand om den.
I ett sådant läge är det knappast rätt prioritering att tillfredsställa dagens kulturarvsintressenter med bättre service eftersom det oundvikligen sker på framtidens bekostnad.
Ett annat (betydligt mindre viktigt) resursmässigt vägval som kommit i förgrunden för mig under senare år är att det borde vara fullt möjligt att minska arkivinstitutionernas lokalytorna i attraktiva lägen.
Idag finns de statliga arkiven fortfarande ofta kvar i pampiga byggnader trots den stark sinande strömmen av besökare till forskarsalarna när alltmer material finns digitalt tillgängligt.
Går det att moraliskt försvara denna resursfördelning eller börjar det bli dags att avveckla forskarsalarna, samarbeta med biblioteken om forskarservice och flytta depåer till billigare lägen?
Även här tror jag kulturarvskulturen (!)
spelar in i bedömningen eller att frågan inte ens tas upp när arkivens knala ekonomi diskuteras i utredningen.
Jag menar, det är ju inte säkert att det finns pengar att spara, men finns ju anledning att åtminstone ställa frågan.
Jag skulle också vilja hävda att det positiva som ligger i det empiriska förhållningssättet med mängder av intervjuer och kompilationer av bakgrund möjligen skett på bekostnad av en genomarbetad teoretisk utgångspunkt.
Arkivteori lyser helt med sin frånvaro, något som jag tror missgynnat utredningen i dess problemformuleringar.
Exempelvis tror jag att analyser med avstamp i en problematisering av inre och yttre proveniens i ett dagens gemensamma informationssäkerhetsarkitekturer skulle kunna ge intressanta ingångar för exempelvis ansvarsfördelning och nya tekniska lösningar.
En fåfäng önskan, jag vet det, är att utredningen skulle fördjupat sig i för- och nackdelar med den nära kopplingen mellan TF, OSL och arkivlagen.
När starka krafter strävar att allt mindre del av myndigheters information ska ses som allmänna handlingar kommer det i nuvarande legala konstruktion att påverka inte bara insynsmöjligheten utan i sin förlängning både forskning och kulturarv.
Som den arkivarie jag innerst inne är sörjer jag över att utredningen missat möjligheten att faktiskt göra något som skulle rädda den situation som jag idag skulle vilja jämställa med klimatkrisen.
Den gigantiska mängden information som ständigt skapas men som inte omhändertas eller bevaras på ett beständigt och säkert sätt och där arkivarierna står som med snöskyfflar i en global lavin.
Utredningens ytterst modesta försök att greppa denna situation kan delvis ses som ett symptom på att det saknas en gemensam metateori om samhällets informationshantering som gör att varje utredning eller annan insats blir som ett fragment utan sammanhang.
Ofta blir utredningar fångar i sitt uppdrag.
Orsakerna till detta kan vara flera.
En vanlig orsak är att uppdragsgivaren redan bestämt sig för vilket svar man vill ha från utredningen, en annan att uppdragsgivaren har så oklar bild av området att uppdraget får en så märklig inriktning att det blir svårt att genomföra.
Jag kan inte se att detta gäller arkivutredningen.
Uppdraget som utredaren fått är både helt fritt och detaljstyrt på en gång: En särskild utredare ska göra en bred översyn av arkivområdet.
Det övergripande syftet är att säkerställa samhällets tillgång till allmänna handlingar både nu och i framtiden.Utredaren ska bl.a.
•översiktligt beskriva arkivsektorn samt beskriva och analysera hur samhällsutvecklingen har påverkat och kan förväntas påverka förutsättningarna för arkivverksamheten och olika arkivinstitutioner, •se över arkivlagstiftningen och närliggande lagstiftning och vid behov lämna förslag på hur lagstiftningen kan anpassas till utvecklingen på området, •analysera Riksarkivets roll och lämna förslag på uppgifter i förhållande till andra myndigheter och arkivaktörer för att undvika över-lappning och för att upprätthålla en god och säker informations-hantering och möjliggöra en allsidig historiebeskrivning, •analysera de ekonomiska konsekvenserna för Riksarkivet och andra arkivmyndigheter på kort och lång sikt av den offentliga förvaltningens övergång till digitala processer, och •analysera om regleringen för de enskilda arkiven bör förändras för att kunna tillgodose behov inom rättsskipning, förvaltning, forskning och skydd för kulturarvet •lämna nödvändiga författningsförslag.
Smaka på det syftet.
Jag menar att utredningen haft chansen att ta ett strategiskt grepp om samhällets arkivfråga men istället fastnat i detaljerna och inte minst i de konflikter som finns inom arkivområdet.
Den allt överskuggande konflikten är den gällande Riksarkivets ställning vilket också framkommer i redovisningar som lämnas från de dialoger som utredningen fört med olika aktörer.
Konflikten har funnits under lång tid men har tack vare utredningen kommit i öppen dager på ett sunt sätt.
En resumé av konflikten är ungefär så här: Riksarkivet vill gärna centralisera och bestämma mer medan andra aktörer som kommuner och regioner tycker att Riksarkivet lämnar alldeles för dåligt stöd och borde ägna sig åt att utveckla sin styrning genom att sysselsätta sig med metodutveckling och effektiv rådgivning.
Riksarkivet vill t.ex.
kunna meddela föreskrifter för kommuner och regioner vilket inte mottas väl av de tilltänkta objekten för föreskrivandet.
Detta anspråk förefaller även mig rätt övermaga med tanke på att kommuner och regioner ligger betydligt längre fram i centrala arkivfrågor än vad staten och Riksarkivet gör.
Riksarkivet tycks gärna vilja fly ett operativt ansvar t.ex.
i fråga om e-arkiv och FGS:er men känner sig sedan förbisedda trots att det sällan finns anledning att uppsöka den som inte gör något.
Kritiken mot Riksarkivet är tämligen förödande då den beskrivs i ämbetsmannaprosa i utredningen: Det finns en uppfattning om att så länge den statliga arkivmyndigheten inte fullt ut klarar sina grundläggande uppgifter bör myndigheten inte tillföras nya.
Frågetecken sätts för om myndigheten verkligen har förmåga att i framtiden leda utvecklingen kring digital informationshantering.
Utredningen tycks ställa sig på deras sida som tycker att Riksarkivet borde luta sig mer mot att tillhandahålla nyttiga redskap än att genomdriva sin vilja på ett mer repressivt sätt: Utredningens inriktning bakom de föreslagna bestämmelserna är att samförstånd, tydliga föreskrifter och en generös rådgivning ska prioriteras framför arkivmyndigheternas tillsyn och sanktioner.
Jag delar helt den uppfattningen.
Både som verksam arkivarie och därefter har jag förundrats över hur torftigt stöd Riksarkivet tillhandahåller.
För att bara ta ett exempel i den stora högen så har myndigheten inte tagit fram någon vägledning för centrala arkivuppgiften gallring sedan 1995 och jag tror vi alla kan vara överens om att det hänt en del på 25 år.
Legitimiteten för Riksarkivet tycks låg också då myndigheten avlövats ett antal uppdrag till bland annat DIGG.
Den brist på metateori om samhällets informationshantering som jag tidigare nämnde leder även till en oförmåga att hantera myndigheters uppdrag i förhållande till varandra där nu det finns stora oklarheter om hur Riksarkivet och DIGG ska leva tillsammans.
Utredningens lösning på frågan är att Riksarkivet ska samordna metoden då de orimligt upphaussade FGS:er (ser verkligen fram emot att nyttan av dem utvärderas på ett opartiskt sätt) även då de tas fram på annat håll.
DIGG ska å sin sida föreslås fortsätta: samordna frågor om gemensamma standarder, format, specifikationer och liknande krav för den offentliga förvaltningens informationsutbyte i de fall uppgifterna inte ligger på regeringen eller en annan myndighet FGS:erna är verkligen ett tröstpris då Riksarkivet blir omkörda av DIGG i princip allt annat som gäller informationshantering.
Det är svårt att se att Riksarkivet spelar en viktig roll i samhällets digitalisering.
Istället lever myndigheten i en permanent identitetskris med ständiga omorganisationer där man förlamats av frågan hur mycket arkivverksamheten ska vara en del i den pågående informationshantering.
Det förefaller som de som deltagit i dialoger med utredningen, och då särskilt representanter från kommuner och regioner, starkt pläderat för det som kallas ”proaktivitet”.
Häri ligger av de andra stora konflikterna inom arkivområdet.
Ska arkiven helt koncentrera sig på att omhänderta avställt material eller ska man även gå in och proaktivt bearbeta organisationers informationshantering så att arkivintresset är med redan från då information skapas?
Eller ska arkivarierna t.o.m.
vara specialister på informationshantering generellt och inte bara sett i arkivperspektivet?
Medan vankelmod råder centralt där nog traditionen att kalla informationshanteringen för ”kontors-ADB” och något att frynas över går framför allt fler kommuner och regioner över mot organisatoriska lösningar man samordnar uppgifter relaterade till informationshantering som arkiv, informationsförvaltning, dataskydd och informationssäkerhet.
Man ser helt enkelt informationen som den kanske viktigaste resursen för en organisation, en resurs som måste utvecklas och förvaltas för att organisationen ska fungera på ett ändamålsenligt sätt.
Detta är en linje som jag själv drivit sedan 90-talet så det är klart jag hyllar denna utveckling.
Samtidigt går det inte att förneka att det uppstår en dissonans när Riksarkivet inte alls är i takt med denna rörelse utan snarare utgör en konserverande kraft (och då inte på ett positivt sätt).
Det gör att det saknas ett nationellt nav för teori-, metod-, och kunskapsutveckling, erfarenhetsutbyte och styrning för det som till och med saknar ett entydigt begrepp, jag menar informationsstyrning, informationshantering eller informationsförvaltning kan innebära vad som helst (ja, jag vet att det finns en standard för informationsförvaltning men det hjälper inte särskilt mycket här).
För mig framkommer här ytterligare en av de stora bristerna i utredningen, nämligen att man helt missar kopplingen till informationssäkerhet.
Ordet ”informationssäkerhet” nämns nio (9!)
gånger i hela utredningen och då bara en passant.
Inga analyser eller ens resonemang om hur informationssäkerhet och -hantering inklusive arkiv skulle kunna vara två hjul på samma vagn trots att mål, objekt och metoder verkligen behöver samordnas för att bli ett effektivt stöd för verksamheten.
Extra tråkigt är det då allt fler arkivarier sett sambandet i praktiken och skulle behöva inriktning och moraliskt stöd för att gå vidare.
Samma sak gäller dataskydd.
Men den stora frågan är trots allt att man inte orkar närma sig den stora elefanten: hur ska den alltmer gemensamma informationsarkitekturen tas med in i framtiden?
I detta sammanfaller alla de brister som jag tidigare pekat på.
Som att det saknas ett arkivteoretiskt resonemang om hur proveniensprincipen ska tillämpas när det inte längre går att urskilja tydliga arkivbildare i en gemensam informationshantering.
Som att utredningen inte förmår att föra en diskussion om information istället för det snäva begreppet ”allmänna handlingar”?
Som att man inte tar på allvar hur den verkligt bevarandevärda informationen som patientjournaler löper en överhängande risk att försvinna för att lagstiftning tillåter det och för att det saknas metodik för att hand om den.
Som att det inte finns en antydan till förslag på hur det långsiktiga bevarandet ska ske organisatoriskt eller tekniskt eller ens hur frågan ska angripas.
Som att det inte görs något begreppsmässigt klarläggande gällande ”e-arkiv” och långsiktigt digitalt bevarande.
Som att varken utredningen eller Riksarkivet kräver rimliga ekonomiska förutsättningar för att göra det som är nödvändigt, jag menar 288 miljoner under 5 år … Jag skulle kunna fortsätta med denna uppräkning ett bra tag till men skonar de eventuella läsare som orkat följa mig ända hit.
Ett obligatoriskt men till intet förpliktigande uttryck sedan länge är ”transparens”, ibland så flitigt använt att man riskerar att glömma bort hur viktigt det faktiskt är med öppenhet.
Öppenheten är central för samhällsklimatet och delaktigheten men också för att kunna tillvarata den samlade kompetensen.
I Sverige har vi varit gynnade av den unika institution som offentlighetsprincipen utgjort sedan 1700-talet och som visserligen på många sätt hotas men som fortfarande är ett omhuldat ideal.
Att få insyn i och i förlängningen möjlighet att påverka de stora samhällsfrågorna är det stora värdet med öppenhet för de offentliga verksamheter där offentlighetsprincipen ska tillämpas.
Öppenhet är av samma skäl obekvämt för makthavare, det är liksom bekvämare om man får arbeta ostört och göra som man vill.
Misstag behöver heller inte upptäckas och att slippa stå till svars för det ena och det andra är naturligtvis behagligt.
Sjukvård rankas som den viktigaste frågan av väljarna.
I Sverige är sjukvården offentligt finansierad.
Dessa två premisser sammantaget ger att ett stort mått av öppenhet i hanteringen av sjukvårdsfrågor borde vara en självklarhet.
Tyvärr är inte så fallet när det gäller e-hälsa.
Även för en som tämligen noggrant följt utvecklingen inom området i 25 år är det mycket svårt att få en överblick ens över hur området styrs.
Då menar jag i form institutioner och presenterade inriktningar som rör sig på en konkret nivå.
Under de senaste tio åren har jag sett en rörelse där allt större inflyttande över e-hälsan flyttats över från staten och regionerna till SKL.
Jag har tidigare skrivit om Inera som ändå fattat beslut om att följa offentlighetsprincipen trots att man inte är skyldig att göra det.
Värre är det med SKL som är en arbetsgivarorganisation för regioner och kommuner.
Trots den litet udda konstruktionen att man som intresseorganisation tillskjuts mycket stora offentliga medel från staten och man styrs av folkvalda politiker så har inte kravet på öppenhet följt med.
Bristen på insyn blir mycket påtaglig när man ser på den för digitalisering som tillsattes efter valet och består av politiker från regioner och kommuner.
Det är alltså ett indirekt valt politiskt organ.
Uppdraget är stort och spännande för den som är intresserad av e-hälsa: Beredningen hanterar strategiska frågor om grundläggande gemensamma förutsätt­ning­ar för digital utveckling, exempelvis fråge­ställ­ningar kopplat till effektivisering genom digitalisering, automation och artificiell intelligens (AI), inno­vations- och förändringsledning, data som strategisk resurs, säker informations­hante­ring och nationell digital infrastruktur.
Vidare ska beredningen hantera rättsliga för­utsättningar för en digital samverkande förvaltning.
I uppdraget ingår också att följa SKL-koncernens samverkan för att gemensamt stötta med­lem­marna i deras verk­sam­hetsutveckling med stöd av digitalisering.
Inte minst blir man ju sugen på att läsa mer om hur beredningen ska hantera de rättsliga förutsättningar efter SKL kanske inte helt klargörande angående molntjänster häromveckan där man inte ens nämner eSams rättsliga uttalande där man avråder från att använda molntjänster.
Detta trots att SKL själva uppger följande i sin rapport: Undersökningen från Radar visar att cirka 50 procent av kommunerna använder Microsoft Office 365 (MS O365) och att 100 procent av de större kommunerna använder denna tjänst.
Hur som helst blev jag intresserad av att ta del av beredningen för digitalisering har för arbete på gång, vilka frågor man ventilerade och vilka insatser som planerades.
Detta visade sig vara en stängd dörr för när jag skickade dessa frågor till SKL:s presstjänst (de har ju inget diarium): Jag skulle vilja veta: – vilka handlingar som finns relaterade till Beredningen för digitalisering – vilka av dessa handlingar som jag kan få ta del av fick jag följande, kanske väntade svar: Tack för att du kontaktar oss.
SKL är en intresse- och arbetsgivarorganisation och omfattas inte av skyldigheten att lämna ut allmänna handlingar enligt offentlighetsprincipen.
Vi kan därmed inte hjälpa dig med din förfrågan.
Du kan läsa mer om SKL och vår organisation på .
Jag gjorde ett par försökt med kommuner och regioner, varav ett par med representanter i beredningen, om de fått in några handlingar men helt utan resultat.
Ofrivilligt parafraserar jag Tom Waits gamla låt i huvudet och får en öronmask: what are they building in there?
Men det är inte bara att man faktiskt inte lämnar ut handlingar som är utestängande.
När jag läser programmet till den med underrubriken En dag.
Oändliga möjligheter.
känner jag en lätt yrsel.
Där kommer de usual suspects att prata om ungefär samma saker som vanligt på de otaliga konferenser som går av stapeln (även om jag känner ett visst intresse för den handlingsplan för 2020-2022 som ska diskuteras) medan många av oss andra känner en mycket stor oro för de många alarmerande händelser som tydligt visar att kostnaderna skenar för för e-hälsan och att nya mycket allvarliga säkerhetsbrister hela tiden avslöjas.
Nu senast var det av ett nytt vårdinformationssystem där det avslöjas att det finns stora risker för både patientsäkerhet och integritet: I rapporten pekas på att rutinerna för riskanalys i arbetet med Skånes digitala vårdsystem, SDV, är för dåliga – informationsklassificeringen görs för sent och avklarade riskanalyser sammanställs inte centralt så att de kan följas upp.
Riskanalysverktyget anses dessutom vara svårt att hantera.
Organisationskulturen i sig finns också med bland de identifierade bristerna.
Det finns helt enkelt ingen kommunicerad agenda för informationssäkerhet med verktyg för att rapportera brister i arbetet med den nya vårdinformationsplattformen.
Det gör att brister riskerar att förbises och att ”medarbetare genom uppgivenhet både upplever och bidrar till en tystnadskultur”.
I sin tur leder det till att oro ventileras i korridorerna vilket leder till ytterligare risker.
Naturligtvis fick jag inte ut någon rapport från Region Skåne när jag efterfrågade den utan ett listigt svar att någon sådan rapport inte fanns diarieförd.
Min fråga: Jag undrar då om en sådan rapport inte finns utan att CS blivit vilseförda eller om den finns men man valt eller missat att diarieföra den?
besvarades med att den sannolikt var ett internt arbetsmaterial.
Det mest deprimerande i detta är att upprepningstvånget.
Trots att svenska sjukvården gång på gång råkar ut för stora säkerhetsproblem, trots ett antal liknande projekt i bland annat och med miljardinvesteringar inte fungerar på ett säkert sätt så är det som denna information inte tränger i genom väggarna på den svenska e-hälsans fort.
Att dessa fullkomligt vitala frågor inte tas upp på en konferens om framtidens e-hälsa gör att verkar som vi lever i två olika världar: verkligheten respektive e-hälsans utopia.
Detta är inte en bra grund för ett mycket komplicerat samhällsutvecklingsarbete!
Den tystnadskultur som den interna rapporten som CS tagit del av pekar på en mycket central risk, nämligen tystnadskulturen som gör det omöjligt att föra fram risker eftersom man då avfärdas som negativ.
För den som arbetar med säkerhet och vet hur betydelsefull en positiv säkerhetskultur är för ett fungerande säkerhetsarbete förstår på djupet hur destruktivt det här förhållningssättet är.
Tyvärr praktiseras samma förhållningssätt även på nationell nivå t.ex.
konferensprogram av typen Nationella e-hälsodagen och när en företrädare för SKL på en konferens säger att ”det är mycket enklare att vara emot”, underförstått att resa rationella frågor uppfattas som fientligt.
Jag kan möjligen förstå att SKL som lobbyorganisation jobbar med ensidiga marknadsföringsknep även om jag som skattebetalare inte skulle vilja se pengar som så väl behövs i vården gå till detta.
Däremot tycker jag att myndigheterna borde nyktra till och kunna föra en diskussion där även nyanser är tillåtna.
Jag tror alla kan stå ut med litet av den dåliga stämning som uppstår när folk visar sig ha olika åsikter.
För säkerheten i framtidens e-hälsa är det nödvändigt att kunna prata om risker och reducera dem innan de lett till ett nytt och ett nytt och ett nytt haveri.
Efter Kammarrättens utslag dröjde det bara några dagar innan jag fick ut de dokument som jag började jaga med en fråga den 6 augusti.
Samtliga tre dokument har mycket marginella maskningar vilket jag återkommer till men som läsaren själv har möjlighet att bedöma eftersom jag lägger ut dem i sin helhet.
Låt oss då se på dokumenten och då först till det mest övergripande: Riktlinje för informationssäkerhet.
Detta dokument tycks ha ganska litet att göra med den policy som beslutades i och därts övergripande syfte anges vara att främja digitalisering samtidigt som tillit till informationshanteringen upprätthålls.
De flesta skulle kanske anse att informationssäkerheten ska stödja kärnverksamhetens uppdrag, i det här fallet egentligen kundernas uppdrag, men Inera är sannolikt i detta fall ett offer för SKL:s överideologi där digitalisering är ett dominerande egenvärde.Inte ett ord om patientsäkerhet för att bara ta en sak som jag personligen anser aningen viktigare än att ”främja digitalisering”.
Den sällsynt korta policyn innehåller ingenting om ansvarsförhållanden eller vem som egentligen ska styra säkerheten, däremot är ett mål att säkerhetsarbetet ska grundas på ”gemensamma regelverk, referensarkitekturer och styrande principer”.
Gemensamma för vem och framtagna av vem kan man undra.
Policyn ska tillämpas enbart internt och det saknas relation till kunderna trots att Ineras roll som leverantör: Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering.
Den ska också tillämpas i projekt och på förvaltningsobjekt.
Policyn ger som jag ser det inte någon verksam strategisk ledning för Ineras säkerhetsarbete i rollen som tjänsteleverantör eftersom ansvar och relationer helt saknas.
Hela upplägget med denna helt urvattnade policy känns litet märkligt när Inera dessutom arbetar baklänges och lägger den som olja på vattnet på redan framtagna underliggande dokument.
Kanske har det funnits en annan policy tidigare som fadat bort utan kommentar.
Låt oss lämna policyn och istället titta på riktlinjen som av naturliga skäl saknar den kopplingar till den beslutade policyn.
En första observation som reser den alltid lika spännande frågan om kausalitet och korrelation.
Av en händelse sammanfaller att jag efterfrågade riktlinjen den 6 augusti med en massiv uppdatering som skedde den 9 augusti när en mängd basala säkerhetsaspekter fördes in i riktlinjen (se revisionshistoriken).
Detta var också första gången på tre och ett halvt år som en uppdatering skedde.
Nog om detta lustiga sammanträffande.
Inera är är ju en tjänsteleverantör av känsliga informationstjänster till vården och det som först slår mig då jag läser riktlinjen är att detta förhållande är i det närmaste osynligt i riktlinjen på samma sätt som i policyn.
Riktlinjen gör ingen distinktion mellan Ineras interna informationssäkerhet och den säkerhet som ska finnas i de tjänster som levereras.
Kundernas frånvaro i hanteringen blir närmast självlysande i definitionen av informationsägaren: För varje viktig informationsmängd ska det utses en informationsägare med uppdrag att hantera alla delar av informationssäkerheten som är relaterade till denna informationsmängd.
För de tjänster som Inera tillhandahåller är detta normalt rollen Tjänsteansvarig.
Här man alltså kortslutit systemet så kunderna är inte informationsägare och ska inte heller hantera exempelvis informationsklassning och riskanalys av den information som de faktiskt är ansvariga för.
För att göra det extrem tydligt: Inera är inte en vårdgivare utan hanterar andra vårdgivares information i ett antal gemensamma tjänster.
Vårdgivarna (offentliga och privata) är enligt lag och föreskrift ansvariga för sin information och att den hanteras på ett säkert sätt – det är bara att läsa HSLF-FS 2016:40 för att få en samlad bild av kraven.
Samtidigt skriver man t.ex.
under 15.3.1. om en informationsägare som sannolikt är kunden.
Roller och begrepp är alltså inte konsistenta.
Ytterligare ett tecken på att riktlinje inte tjänar Ineras verksamhet särskilt väl är att de ytterst knapphändiga beskrivningar av utveckling som finns i kapitlen 15.1 och 15.2.
Detta är alltså riktlinjen där ansvar, principer och arbetssätt bör framgå.
Som jag uppfattar det är Ineras huvudsakliga uppdrag att utveckla olika it-lösningar för vården vilket skulle föranleda att ett verksamhetsanpassat säkerhetsarbete skulle ha en tyngdpunkt just i utvecklings- och förvaltningsprocessen av erbjudna lösningar.
I Ineras riktlinje är det dock inte så utan det känns snarare som en ytlig genomgång av kraven i ISO 27001 med mycket små modifikationer.
Dessutom ingår den i det jag brukar tänka på som ”de öde regelverken” eftersom det inte bara kunderna som saknas utan även i hög grad andra aktörer.
Istället upprepas riktlinjen igenom ”Inera ska…” utan att närmare definiera vilken roll inom Inera som ska utföra säkerhetsarbetet.
Igenkänningsfaktorn är hög.
Jag har sett denna typ av regelverk ett otal antal gånger och ett genomgående drag är att när regelverk är så här diffusa så får de ingen eller ringa säkerhetshöjande effekt.
Har ledningen inte pekat ut ansvar (vilket man här inte har i policyn och mycket litet i riktlinjen) så finns inget maskineri som drar runt säkerhetsarbetet.
Att något i denna anonyma text skulle befinnas vara av den art att det går att sekretesslägga med hänvisning till OSL 18 kap.
8 §: Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser byggnader eller andra anläggningar, lokaler eller inventarier, tillverkning, förvaring, utlämning eller transport av pengar eller andra värdeföremål samt transport eller förvaring av vapen, ammunition, sprängämnen, klyvbart material eller radioaktiva ämnen, telekommunikation eller system för automatiserad behandling av information, behörighet att få tillgång till upptagning för automatiserad behandling eller annan handling, den civila luftfarten eller den civila sjöfarten, transporter på land av farligt gods, eller hamnskydd.
kändes märkligt.
Än mer så Ineras ursprungliga beslut att hela dokumentet skulle utgöra risk om det spreds.
På ett sätt skulle jag ironiskt kunna hålla med: kvaliteten på dokumentet indikerar en klar brist på styrning av säkerhetsarbetet vilket kan naturligtvis är en stor risk om det framkommer.
Men det som nu maskats i dokumentet är endast sex passager där man mitt i den i övrigt så generella beskrivningen av allmänna säkerhetsåtgärder tydligen placerat in var datalagring sker samt tekniska beskrivningar av bland annat segmentering.
Om dessa uppgifter är på detaljnivå har de knappast i riktlinjen att göra eftersom den då inte går att sprida i en vidare krets internt.
Även detta är att starkt skäl att se över regelverket och styrningen i stort.
Om vi sedan tittar på de två övriga dokument jag fått ta del av: så går maskningarna i dessa sammantaget att räkna på ena handens fingrar.
Förutom att även dessa i huvudsak saknar anpassning till Ineras egentliga behov av styrning och även till SKL:s flaggskepp KLASSA är det svårt att se vad som föranlett Ineras rädsla för att sprida dem.
Hela hanteringen av min begäran utlämnande av handlingar framstår som fånig och okunnig i mina ögon men har det goda med sig att det kanske hindrar andra från det överutnyttjande av 18.8 som jag tycker mig sett tecken på.
Min sammantagna bild är att Inera saknar ett sammanhängande systematisktoch att den styrning som finns inte är är inriktad på rätt målbild som till exempel att ge kunderna möjlighet att styra sin egen säkerhet eller på patientsäkerhet.
Ingenstans framgår att den informationsklassning som kunderna gör av sin information ger utslag i Ineras leverans, inte heller att Inera har ett kunderbjudande som är transparent och flexibelt.
Jag är den första att erkänna att Ineras uppdrag är mycket komplicerat men just därför skulle det kännas betydligt tryggare om det gick att urskilja ett stort engagemang för säkerhetsfrågor som skulle ge både kunder och allmänheten i stort en anledning att hysa en stor tillit till Inera.
Särskilt tänker jag på detta när nu Inera satt igång ett nytt projekt om säker digital .
Visserligen står det ”säker” i rubriken men vilket stöd har projektet i Ineras LIS för att uppnås denna säkerhet?
Finns det en risk att detta projekt hamnar i samma situation som den som kritiserades så hårt av MSB när det gäller säkerhetsaspekterna (trots att det är se att MSB bidrog på ett så särskilt strukturerat sätt)?
Hälso- och sjukvård är ju i högsta grad en samhällsviktig verksamhet som borde få MSB:s mest djuplodande intresse när en ny nationell lösning ska tas fram.
Möjligen har jag helt fel.
Kanske är säkerheten i Ineras verksamhet mycket bättre än vad de styrande dokumenten ger intryck av.
Men samtidigt är det svårt att föreställa sig edär det inte finns en tydlig dokumenterad styrning.
Självklart borde denna styrning omfatta mer än Inera – jag ska väl inte tjata om en nationell styrmodell á la Normen en gång till… Däremot vore det mycket önskvärt med en större granskning av samtliga större aktörer inom hälso- och sjukvård både för att bedöma den reella säkerheten och för att se vilka samordningsbehov som finns.
Med detta som utgångspunkt går det sedan att börja skissa på den gemensamma styrmodellen.
I väntan på detta mitt utopiska tillstånd är en rimlig inriktning att IVO koncentrerar sin tillsyn utifrån NIS-direktivet främst på dessa stora aktörer eftersom de har den största påverkan på vår gemensamma säkerhet.
Den minnesgode kommer ihåg att jag bett att få se Ineras ledningssystem för informationssäkerhet, blivit nekad och hänvisad till Kammarrätt för att framföra mina besvär över detta, förloppet finns beskrivet .
Själv måste jag medge att jag fann Ineras agerande aningen besynnerligt.
Om det nu finns styrande dokument för informationssäkerheten vid sidan om den A4 som utgör policy (vilket Inera hävdar) så förefaller det märkligt att varje ord i dessa dokument skulle utgöra en sådan betydande risk för Ineras säkerhet att de inte kan lämnas ut.
För den som jag som arbetat med utlämnande av allmänna handlingar är väl bekant med rutinen att maska dokumenten så att de delar som bedöms som sekretesskänsliga inte kan läsas – ytterst sällan är dokumenten i sin helhet känsligt.
Kanske har inte Inera upparbetat rutinen för maskning än men efter att ha läst Kammarrättens utslag så är det nog dags att komma igång med det nu.
Jag är naturligtvis nöjd med utslaget och väntar nu på mina handlingar.
Samtidigt väcker ju historien med Inera en hel del tankar.
En är att vi alla är betjänta av största möjliga öppenhet om de regler gällande säkerhet som finns olika organisationer.
Vi behöver lära av varandra och vi behöver närma oss mer av praxis både på branschnivå och i samhället i stort.
Ett överdrivet hemlighetsmakeri skapar en negativ säkerhetskultur och förhindrar processen mot en nödvändig samsyn om hur styrningen av säkerhet bör utformas.
Ineras förhållningssätt pekar också på ett annat mer praktiskt problem, nämligen vikten av att utforma sin hierarki av styrande dokument rätt.
Om man, som Inera tycks ha gjort, blandar principer,ansvarsfördelning och andra faktorer som bör kunna vara helt öppna i random organisation med detaljbeskrivningar av säkerhetslösningar, risker och sårbarheter har man ju skapat ett regelverk som knappast går att sprida ens internt och ännu mindre till externa parter som kunder.
En betydligt mer positiv erfarenhet var det att begära ut samma information hos eHälsomyndigheten där jag inte bara fick ta del av de handlingar som på ett övergripande sätt styr säkerhetsarbetet utan även en bild av de handlingar som är av mer känslig karaktär.
Tyvärr bekräftades dock min bild av bristande styrning av säkerheten inom vården då två av de stora aktörerna inom svensk e-hälsa inte har ett gemensamt regelverk.
Detta är en mycket stor fråga som måste lösas innan vi kan säga att vi är på väg mot en säker e-hälsa.
Jag läste en så fantastisk metafor i Jennifer Clements roman Gun love.
Romanen handlar Pearl och hennes mamma Margot som bor i baksätet i en bil.
Miljön är den där sortens misär som bara finns i USA med hemlösa människor som helt saknar riktning i sitt liv.
Redan tidigt i boken finns följande passus: Mamma och jag flyttade in i Mercuryn när hon var sjutton och jag var nyfödd.
Så den bilen, som stod i utkanten av en trailerpark mitt i Florida, var det enda hem jag kände till.
Livet var en prick-till-prick-teckning och vi bekymrade oss inte stort om framtiden.
Bilden av prick-till-prick-teckningen hakade fast i mig och jag fick en stark känsla av hur de här romanfigurerna levde sitt liv.
Så är det ju ofta med god litteratur, den lever vidare inom en.
Men hjärnan är en märklig sak och vips började jag associera metaforen med hur jag uppfattar digitalisering och informationssäkerhet på samhällsnivå, som prickar till synes utan samband.
Finns det en dold teckning under prickarna så kan i alla fall inte jag se den.
Att jag började tänka på det berodde på den nya rapport som regeringens uppdrag tagits fram av sju myndigheter om säkert och effektivt informationsutbyte i offentlig .
Lustigt nog var varken MSB eller någon annan myndighet med säkerhetsprofil bland de sju myndigheterna trots att uppdraget rörde just säkert informationsutbyte.
Detta var säkert en bakgrund till de slängar som slungades från MSB på sociala medier men efter en genomläsning av rapporten får det sägas att de avsnitt som skrivits om säkerhet knappast skrivits av någon med erfarenhet från detta område.
Att Försäkringskassan är en av de myndigheter som ingått i arbetet med att ta fram rapporten känns aningen illavarslande när man läser budgetproppen där det står om Försäkringskassans allt större roll som intern it-leverantör i staten: Förhoppningsvis är det andra som ska stå för den leveransen än de som skrivit om säkerhet i rapporten.
Ändå är rapporten positiv i andra avseende, främst genom att man pratar om en gemensam digital infrastruktur.
Detta är något jag försökt driva i olika sammanhang utan påtaglig effekt.
Jag vill självklart inte framhäva min egen roll utan bara säga att detta är en inriktning som tidigare saknats på ett mer uttalat sätt och som jag tror i sig har en tydligt säkerhetshöjande effekt.
Att notera detta positiva anslag känns viktigt även om den stora bilden av infrastrukturen inte kan anas och på sin höjd tre prickar sammanfogats.
Problemet är inte endast att det tycks sakna en ritning för utveckling av digitaliseringen utan även för samhällets informationssäkerhet.
MSB:s handläggare (ja, jag vet att hen liksom många andra tjänstemän friskriver sig på sociala medier genom att hävda att de ”twittrar som privatperson” – ett oskick jag beskrivit ) ansåg att rapporten var ett ”hafsverk” och att rapportförfattarna inte tagit till sig MSB:s synpunkter.
Nyfiken som jag efterfrågade jag då de diarieföra synpunkter som det hänvisades till och fick ut detta mail: Det avslöjar inte mycket av ett eventuellt infrastrukturellt synsätt.
Informationssäkerhetsområdet tycks alltså ha sin egen mycket ofullständiga prick-till-prick-teckning.
Liksom arkivväsendet som även det har en stor betydelse för den offentliga informationshanteringen.
Sammantaget så är planeringen av vår gemensamma informationshanteringsinfrastruktur uppenbart fragmentiserad och där olika myndigheter ritar sina prickar oberoende av varandra trots att de åtminstone borde vara i samma teckning.
I detta dystra scenario är det inspirerande att snegla österut.
I Finland har nämligen antagits en ny lag med om informationshantering inom den offentliga förvaltning.
I som låg till grund för lagen ges inriktningen: Det är fråga om en allmän lag som ska reglera informationshanteringen inom den offentliga sektorn.
Lagen avses gälla all informationshantering som sker inom myndigheternas verksamhet.
Genom lagen säkerställs en enhetlig förvaltning och en informationssäker behandling av myndigheternas informationsmaterial i syfte att genomföra offentlighetsprincipen.
Dessutom har lagen bestämmelser om elektronisk överföring av information mellan olika myndigheters informationssystem.
Genom regleringen effektiveras myndigheternas informationshantering så att myndigheterna kan tillhandahålla förvaltningskunderna sina tjänster på ett kvalitativt sätt som är förenligt med god förvaltning och kan sköta sina uppgifter på ett resultatgivande sätt.
Syftet med lagen är att främja också interoperabiliteten mellan informationssystemen och informationslagren.
träder i kraft vid årsskiftet och innebär också att en informationshanteringsnämnd ska säkerställa samordningen mellan informationshantering (inklusive arkiv), digitalisering och informationssäkerhet.
I dagarna har även en ny cyberstrategi antagits.
För mig förefaller denna ordning mycket ändamålsenlig särskilt om det även blir ett gemensamt myndighetsansvar.
I Sverige skulle det kunna kopieras så att DIGG får skärpa till sig och samtidigt överta ansvaret för samhällets informationssäkerhet och se till att det blir integrerat i hela digitaliseringensprocessen.
De myndigheter som redan idag framför allt är intresserade av internationella antagonistiska hot och cyberkrig kan fortsätta med detta med gott samvete.
På detta sätt skulle prickarna åtminstone fyllas i på samma teckning.
Jag vet att detta är en överdriven förenkling och att det inte går att dra snörräta linjer mellan olika säkerhetsområden men jag tror vi måste komma tillbaka till en situation där normallägets funktionalitet respekteras och där bygget av en gemensam infrastruktur kan ske med god säkerhet.
Ibland behöver vi ta ett steg tillbaka och betrakta en till synes fast definierad problemformulering på litet avstånd för att se om det är ett tillräckligt bra sätt att förstå en viktig fråga eller om det kanske finns andra sätt att betrakta den.
Jag ska nu göra ett försök att vidga frågan om integritet i förhållande till vårdinformation i synnerhet men även till den information som skapas och bearbetas i offentliga verksamhet i allmänhet.
När vi pratar om den personliga integriteten idag handlar det i de flesta sammanhang om teknik som åtkomst till personuppgifter i it-system eller övervakningskameror.
Jag tror att detta är en alldeles för begränsade problemformulering när vi ser hur personuppgifter är det högoktaniga bränslet för multinationella företag som jag skrivit om .
Samma fenomen beskrivs i den mycket välförtjänt hyllade och lästa Konsulterna av Anna Gustafsson och Lisa Röstlund.
Vår nuvarande inställning bygger på att obehörig åtkomst till uppgifterna skulle skada vårt anseende, att intima uppgifter om oss själva skulle bli kända för ”fel” personer.
Det är en rättighetstradition som bygger på tanken att vi har en rätt till en privat sfär och även till att kontrollera ”bilden” av oss själva.
Det är i min mening en alldeles rimlig uppfattning att känsliga uppgifter om oss endast ska vara åtkomliga för de som verkligen behöver dem, t.ex.
för att ge oss rätt vård.
Det är också en inriktning som fungerat i den svenska vården sedan patientjournalerna övergick från att vara räkenskapsmaterial till att bli stöd för vård och behandling.
En snabb och hårdragen exposé skulle kunna se ut som följer.
I och med att den svenska vården till sin absoluta merpart varit offentligt finansierad och offentligt utförd under i princip hela 1900-talet har vårdinformationen varit allmänna handlingar som ägts av vårdgivaren och i väsentliga delar bevarats i och med att sjukvårdshuvudmännen (landsting/regioner) har åtagit sig att bevara alla läkarförda journaler för all framtid.
Förutom att detta förhållande har gynnat patienterna som kunnat få vård grundad på vederhäftig information har det gett Sverige ett unikt forskningsläge med tillgång till en hel befolknings data om hälsa och vård i ett välordnat system.
Förutom att det är lätt glömma bort att vi faktiskt haft mycket väl utvecklad hantering av patientdata i över ett sekel är det också lätt att glömma bort att detta bygger på ett samhällskontrakt som kan ses som en del i den svenska välfärdsstaten.
Ungefär: högkvalitativ vård och en avancerad forskning finansieras via skatten och dina vårduppgifter används för att ge dig själv och andra patienter bättre vård.
Förutsättningen för kontraktet var 1) att patientuppgifterna användes för etiskt prövad akademisk forskning och 2) att patientuppgifterna omgavs med sekretess och att det fanns hög grad av spårbarhet i vilka som tagit del av dem.
Jag vet att så fort man säger eller skriver att patientuppgifterna omgavs med höga krav på sekretess så kommer det alltid ett antal människor rusande och återger hårresande berättelser från gamla journalarkiv.
Min utgångspunkt är vad lagstiftning i form av bland annat patientjournallagen betonade och studier som gjorts av journalhantering under 60-80-talet samt de mycket konkreta erfarenheter jag har av praktisk journalhantering samt sekretessmedvetande från ett antal år i olika typer av vårdverksamheter.
Personligen har jag tycket att detta varit ett bra samhällskontrakt som bygger på ett stort mått av tillit och har ofta argumenterat emot dem som menat att patienten själv ska äga sin journal eftersom det, enligt mig, skulle leda till stora nackdelar både för patienten och för samhället.
Tyvärr har jag varit tvungen att börja ompröva detta efter de senaste decenniernas digitalisering inom sjukvården.
Om vi tar det aktuella exemplet Region Stockholms för hälsodata liksom NKS intention att lämna ut stora mängder patientdata via BCG till amerikanska företag måste vi kanske övergå till ett annat sätt att se på integritet.
Kanske måste vi lämna den traditionella svenska uppfattning och se på integritet som en äganderätt vilket är ett synsätt som varit etablerat i mer konservativa tanketraditioner som exempelvis Nozick med efterföljare.
Det skulle i detta alltmer kommersialiserade sammanhang där personuppgifter blivit guldet eller kunna tolkas som att din äganderätt av dig själv också innebär att du också äger den eftertraktade resursen som dina personuppgifter utgör.
Om du äger uppgifterna måste också ha rätten att avgöra hur de får användas utöver exempelvis vad vården kräver.
Detta är ett synsätt som går emot den rådande trenden inom svensk sjukvård där inte ens tycker de mycket begränsade möjligheter till samtycken ska få finnas kvar utan hanteringen av personuppgifter ska ske långt över huvudet på patienterna.
En randanmärkning är att sjukvårdspolitiker och SKL inte riktigt tycks acceptera gällande lagstiftning som den gällande spärrar, integritet eller molntjänster.
Istället för att inrätta sina verksamheter så att de följer lagstiftningen lägger man all energi på att argumentera för att lagstiftningen ska ändras.
Det känns inte som allt igenom konstruktivt förhållningssätt och min uppfattning är att detta är en delförklaring till den haltande digitaliseringen av vården.
I ovan refererade debattartikel förefaller inriktningen vara att patientuppgifterna generellt liksom i centret för hälsodata få användas för random ändamål för var går gränserna för ändamål som exempelvis life science, kvalitetsutveckling och uppföljning?
Det är aningen förbryllande att de politiker som kallar sig liberala tycks minst intresserade av liberala värderingar och individers rättigheter utan har en närmast kinesiskt touch i synen på relationen mellan individ, kapital och staten.
När jag läser om Centrum för hälsodata tänker jag också hur Region Stockholm ständigt upprepade bristande affärssinne som i utförsäljningar av allmän egendom till totala underpriser.
Nu ska man sälja hälsodata till ”självkostnadspris”.
Varför ska kommersiella företag inte betala marknadspris för den råvara som personuppgifterna utgör?
Även om det i mina ögon är en olycklig utveckling inte minst för den medicinska forskningen vill jag ändå pröva tanken på hur det skulle se ut om vi ägde vår egen patientinformation.
Det finns liksom ingen fördel för svenska patienter att lämna data till amerikanska försäkringsbolag eller som stöd till företagen i det som Zuboff kallar den multinationella övervakningskapitalismen.
Om vi ska ersätta tillitsbaserade relationer med kommersiella måste detta ske på ett sätt som inte bara gynnar den ena parten.
Vi skulle kunna laborera med möjligheten till en digital valfrihet där man som patient fick en äganderätt till sina patientuppgifter och därmed kunna bestämma över hur de får hanteras.
Exempelvis kryssa i ett formulär med alternativ som Mina patientuppgifter får användas: Till detta kan läggas verklig anonymisering som alternativ på samtliga val.
Patienten kanske ska erbjudas möjligheten att få ta ut ersättning då personuppgifterna säljs till kommersiella aktörer och då inte ”självkostnadspris” utan ett reellt pris.
Detta tror jag vore ett bra sätt att återföra makten till patienten, sätta till press på sjukvårdshuvudmännen att ta frågan på allvar och att utveckla privacy by design vilket ju är ett lagkrav för de som glömt bort det.
Ett annat resultat vore möjligen också att patientföreningar som representerar patientens olika intressen kunde bildas och utgöra ett komplement till de patientföreningar vars oberoende kan . En ny sorts patientföreningar skulle kunna bli förhandlingspartners och förhandla fram bättre priser än självkostnadspris för råvaran.
Tanken svindlar för vilka möjligheter som skulle kunna öppnas.
Resonemanget om en digital valfrihet för individen kan med fördel även tas in i diskussionerna om öppna data.
Jag är inte säker på om jag håller med mig själv men jag tror vi som verkligen är intresserad av den personliga integriteten måste börja fundera på hur vi ska kunna hitta verktygen i en ny tid.

Det är närmast en tradition att arkivutredningar inte kommer fram till något särskilt.
Att även är som en kompass utan visare ska kanske därför inte dömas för hårt.
Istället får vi tacka för det redovisande innehållet och söka de nödvändiga lösningarna på organisation och vision för hur det långsiktiga bevarandet av information ska ske på annat håll.
Själv pläderar jag återigen för framtagandet av en arkivstrategi där både vägval görs om vad som ska ses som ingående i arkivområdet och alla de spretiga som frågor som ändå kommer att återstå knyts ihop i en rörelse framåt.
Framför allt borde INGEN kunna blunda för att det ännu inte finns någon plan för hur all den information som skapas idag ska bevaras med kvalitet, säkerhet och autenticitet för framtiden.
Detta gör att övriga arkivfrågor i min värld framstår som petitesser.

demokratiaspekter genom insyn och transparens forskningens tillgång till information på lång och kort sikt förtags behov av råvara till olika typer av tjänster inklusive AI Toppledarforum E-nämnden (Nämnden för elektronisk förvaltning) 24-timmarsmyndigheten Verva E-delegationen E-legitimationsnämnden Digitaliseringskommissionen Digitaliseringsrådet DIGG endast för min vård, den uppföljning är lagstadgad och tydligt definierad administrativ hantering utöver ovanstående även akademisk forskning där resultaten kommer samhället till del utöver ovanstående även akademiskt forskning i kommersiell regi för kommersiellt bruk oavsett bransch

kan, Folkviljan utövas genom inom

Meny Digitalisering Inläggsnavigering

MENU MENU Postat av Postad i , , , Tagged , , Postat av Postad i , Tagged , , , , Postat av Postad i , , , , , Tagged , , , , , , Postat av Aaron Antonovsky på 1960-talet och innebär i korthet att om omvärlden ter sig begriplig, hanterbar och meningsfull så har du lättare att hantera svåra situationer.
Jag menar att det organisatoriska minnet är en betydelsefull del i om vi upplever kasam eller inte på vår arbetsplats.
Bättre rutiner för att ta fram och återanvända meningsfull dokumentation ökar vår förmåga att känna delaktighet och motverkar stress.
Detta är inte på något sätt oväsentligt i dessa dagar då allt fler mår dåligt på jobbet.
Postad i , , Tagged , , , Postat av Postad i , , Tagged , , , , Postat av Hej!
Postad i , , , Tagged , , , , Postat av Postad i , , , , , , Tagged , , , , , Postat av Postad i , , , , , Tagged , , , , , Postat av Säker och samordnad it-drift Försäkringskassan har påbörjat anslutning av sex myndigheter inom regeringsuppdraget att er- bjuda samordnad och säker statlig it-drift (Fi2017/03257/DF).
Intresset är stort och flera statliga myndigheter har inlett dialog med Försäkringskassan med avsikt att ansluta sin it- drift.
Postad i , , , , , Tagged , , Postat av Postad i , , , , Tagged , , , , ← Sök efter:

Det övergripande syftet är att säkerställa samhällets tillgång till allmänna handlingar både nu och i framtiden.
Härifrån till evigheten

Tre rapporter rörande obligatorisk incidentrapportering har kommit sedan årsskiftet: två från MSB och en från IMY (Integritetsskyddsmyndigheten).
Spännande läsning men säger rapporterna något väsentligt som jag kan dra nytta av i mitt säkerhetsarbete?
Under senare år har det nationella och även europeiska säkerhetsarbetet präglats av en klockarkärlek till obligatorisk inrapportering av incidenter.
Själv känner jag mig mer ambivalent.
Å ena sidan kan det tyckas som en självklarhet att det ska finnas en nationell lägesbild över vad som händer både för det akuta läget men även för att dra nytta av erfarenheterna som det brukar heta.
Å andra sidan är incidentrapportering en aktivitet som rusar i komplexitet när man bara börjar skrapa på ytan, det räcker att försöka rigga en fungerande process i den egna organisationen för att inse det.
Se bara den enkla processbeskrivning jag tagit fram som stöd för den enskilda organsiationer: Tyvärr måste jag medge att jag inte är alldeles övertygad om att kvantitativa insamlingar av något så komplext som incidenter är det bästa sättet att bringa klarhet i vilka verksamhetsstörningar och andra typer av realiserade hot som kan kopplas till it-incidenter (vilket är det som MSB och NIS-direktivet fokuserar på).
Förutom att det tynger de inrapporterande verksamheterna i kritiska faser undrar jag generellt om kvaliteten på rapporteringen och vilken säkerhetshöjande effekt den har.
Generellt är det ett problem att det saknas systematik i det nationella säkerhetsarbetet.
I myndigheter, kommuner, regioner och företag försöker vi få till en PDCA-snurra med ett tydligt C men i de nationella satsningarna för att stödja säkerhetsarbetet tycks inte utvärdering ses som ett nödvändigt steg.
För att ta ett par exempel så har jag frågat MSB om vilken utvärdering som skett av det s.k.
Metodstödet som ligger ute Informationssäkerhet.se och vilken säkerhetshöjande effekt det haft samt ställt samma typ av fråga till SKR angående KLASSA.
I båda fallen var svaret att man inte genomfört någon utvärdering och några planer i den riktningen nämndes inte heller.
Det finns en risk att mycket blir vad jag brukar kalla ”religiös säkerhet”, d.v.s.
åtgärder som vidtas i god tro men där det krävs just tro istället för evidens för att se resultaten.
Ofta handlar det om det som jag redan skrivit om som Graeberskt: när arbetet stannar vid dokument som skrivs, mallar som fylls i, enkäter som besvaras och engångsutbildningar som inte leder till någon djupare kunskap.
När en kommun glatt skriver om att deras styrande dokument blivit ”godkända” av tillsynsmyndigheten men att man inte tittat på hur det faktiskt ser ut i verkligheten tycker jag mig leva i Graebers värld av BS jobs.
Det finns en risk att nationell incidentrapportering blivit så populär just för att den kan röra sig i denna värld.
Vad kommer man då fram till i rapporterna?
För att få litet grepp om frågan har jag gjort en sammanställning av 2020 års inrapporterade incidenter: Efter diskussionerna om 1177-skandalen och andra händelser inom e-hälsoområdet har jag efterfrågat en nationell genomlysning av hur det egentligen står till med informationssäkerheten i den svenska vården.
I väntan på en större aktör som kan genomföra en omfattande analys av den i mitt tycke centrala frågan så tänkte jag börja dra några små strån till stacken och titta närmare på hur några viktiga aktörer inom e-hälsoområdet hanterar informationssäkerhetsfrågan.
Hälso- och sjukvården är också en av de utpekade branscher där aktörer åläggs att bedriva ei NIS-direktivet.
Att sanktionsavgifter kan utdömas från både dataskyddsmyndigheten och från IVO i det här fallet borde vara en starkt pådrivande faktor för att förbättra säkerheten.
En naturlig startpunkt är Inera som presenterar sig så här: Inera ägs av SKL Företag, regioner och kommuner.
Genom att erbjuda kompetens inom digitalisering stödjer Inera ägarnas verksamhetsutveckling.
Inera koordinerar och utvecklar gemensamma digitala lösningar till nytta för invånare, medarbetare och beslutsfattare.
och Inera utvecklar och förvaltar nationella tjänster inom e-hälsa och digitalisering på uppdrag av regioner och kommuner.
Ungefär 35 digitala tjänster drivs idag av Inera, bland annat 1177 Vårdguiden, Nationell patientöversikt och Journalen.
Vissa tjänster används av invånare, andra av vårdpersonal.
Arbete pågår med nuvarande tjänster och på vilket sätt de kan anpassas för kommunerna.
Inera ansvarar också för den gemensamma infrastruktur och it-arkitektur som ligger till grund för många av tjänsterna.
Därmed har Inera uppdraget från sjukvårdshuvudmännen att koordinera och utveckla gemensamma e-hälsolösningar – en supertungviktare inom e-hälsoområdet alltså.
Av detta följer att man har ett lika tungt ansvar när det gäller informationssäkerheten i de lösningar man erbjuder.
Detta faktum accentueras av att sjukvårdshuvudmän och vårdgivare i de flesta fall inte kan välja andra lösningar än de som Inera erbjuder eftersom de är nationella tjänster som det är nödvändigt att använda för att kunna bedriva vård.
Till skillnad mot om man skulle anlita kommersiell leverantör där man både kan styra med kravspecifikation och genom att byta leverantör om man inte är nöjd med säkerheten.
Dessutom ska Inera stödja digitalisering av regioners och kommuners verksamheter genom att tillhandahålla kompetens och material.
Bland annat säger man sig ta fram regelverk för informationssäkerhet, juridik och kvalitetssäkring.
Det vore konstigt om man inte skulle bli intresserad av hur Inera arbetar med informationssäkerhet då dessa olika uppdrag presenteras.
När man bedömer en organisations förutsättningar för att bedriva eär den vanliga metoden att utgå från vilka styrande dokument som tagits fram och beslutats.
Inte för att styrande dokument i sig med nödvändighet leder till bättre säkerhet men de ger ramarna för arbetet och beskriver förhoppningsvis det organisatoriska maskineri med bland annat ansvar och roller som förlängningen ska snurra igång det systematiska arbetet.
I korthet: regelverk är en nödvändig men absolut inte tillräcklig förutsättning för fungerande informationssäkerhet och det finns definitivt olika kvalitet på regelverk.
Dessutom innehåller regler på högre nivå mycket sällan någon som helst känslig information och skulle det återfinnas någon liten del som bedöms som känslig är den lätt att maskera vid ett utlämnande (tro mig – jag har begärt ut regler i stor omfattning från myndigheter, kommuner och regioner).
Innan vi går vidare ska jag för transparensens påpeka att jag för ett femtontal år sedan gjorde ett par konsultuppdrag för Ineras föregångare och jag hade även kontakt med Inera under den tid jag arbetade på MSB.
Mitt sammantagna intryck är att det varit motigt att införa ett systematisktt trots uppdraget Inera och dess föregångare haft.
Men åter till nuläget.
Med ovan beskrivna bakgrund var ett första steg för mig att be att få ta del av Ineras regelverk vilket jag gjorde den 6 augusti: Hej!
Jag skulle vilja ta del av: – Ineras interna ledningssystem för informationssäkerhet (LIS) som tillämpas i Ineras verksamhet – Aktuella regelverk och stödmaterial för informationssäkerhet som Inera tagit fram som stöd för sina kunder Jag skulle dessutom vilja veta när Inera senast genomförde en mer omfattande informationssäkerhetsrevision av den egna verksamheten.
Tack på förhand!
Jag fick snabbt ett automatsvar som kvitterade att mitt ärende tagits emot.
Sedan dröjde det och dröjde det.
Till slut kom ett svar den 22 augusti: Ni har begärt utlämnande av Ineras interna ledningssystem för informationssäkerhet (LIS), som tillämpas i Ineras verksamhet, samt vidare aktuella regelverk och stödmaterial för informationssäkerhet, som Inera tagit fram som stöd för sina kunder.
Ineras informationssäkerhetspolicy återfinns på .
Regelverk och stödmaterial inom informationssäkerhet och arkitektur, som delas med kunder, återfinns på .
Beträffande LIS gör Inera följande bedömning: Informationssäkerhet syftar till att hindra information från att läcka ut, förvanskas eller förstöras samt säkerställa att informationen finns tillgänglig för en legitim användare.
Ineras produkter och tjänster håller en sådan säkerhetsnivå att kunder kan känna förtroende för Inera som leverantör och uppnå en hög nivå av informationssäkerhet.
Inera har ett ledningssystem för informationssäkerhet, som är baserat på ISO 27001.
av regelverk som beskriver krypteringsnivåer, autentiserings-metoder, säkerhetsåtgärder i driftsmiljön m.m.
I systemet ingår vidare modeller förificering, incidenthantering, etc., liksom uppföljning i form av interna och externa revisioner samt säkerhetstester.
Sekretess gäller enligt 18 kap.
8 § 3 offentlighets- och sekretesslagen för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser telekommunikation eller system för automatiserad behandling av information.
LIS innehåller uppgifter av sådan art att ett utlämnande typiskt sett är ägnat att medföra skada för det intresse som skall skyddas genom den aktuella bestämmelsen.
Handlingarna kan därför inte lämnas ut.
Om ni inte är nöjd med sekretessbedömningen har ni rätt att begära ett formellt beslut.
Med vänlig hälsning Inera Detta var ett intressant svar av flera skäl.
För det första är den informationssäkerhetspolicy som bifogas och som också ligger ute på Ineras så sällsynt innehållslös och består enbart av det som i andra policys brukar ligga under rubriken ”mål”.
Bland annat saknas helt inriktning för ansvarsförhållanden vilket är av stor betydelse att definiera för en leverantör .
Att policyn är beslutad den 14 juni i år väcker även det en hel del tankar (mer om innehållet i de dokument jag fått ut längre ner).
Det riktigt förvånande är dock att Inera anser att övriga styrande dokument i sin helhet går att sekretesslägga och det med hänvisning till OSL trots att man inte tillhör de offentliga organisationer som faller under offentlighetslagstiftningen!
Detta sporrade min nyfikenhet och som den jobbiga människa jag är måste jag ställa ytterligare frågor med vändande post: Tack för svar!
En formfråga: har Inera fattat ett beslut att tillämpa OSL generellt för sin verksamhet?
Till svar fick jag följande: I Ineras bolagsordningen (från 2017) står följande: Allmänheten ska ha rätt att ta del av handlingar hos bolaget enligt de grunder som gäller för allmänna handlingars offentlighet i 2 kap.
tryckfrihetsförordningen och offentlighets- och sekretesslagen.
Här tätnade mystiken för mig.
2 kap TF och OSL handlar om hanteringen av allmänna handlingar.
Inera har per definition inte några allmänna handlingar och vad betyder då egentligen paragrafen i Ineras bolagsordning?
En generös tolkning är att man menar att Ineras handlingar ska hanteras som allmänna handlingar i myndigheter, regioner och landsting.
För att den handlingsoffentligheten ska fungera krävs bland annat diarieföring av handlingar där ärenden/handlingar får unika identiteter som går att söka fram och begära ut.
Om myndigheten, i det här fallet icke-myndigheten Inera, bedömer att det finns grund i OSL för sekretess för hela eller delar begärda handlingar ska ett sådant beslut lämnas skyndsamt med besvärshänvisning så begäran prövas i Kammarrätten.
Min nästa fråga blev därför: Tack!
Det innebär alltså att jag kan få ett formellt beslut med besvärshänvisning inom typ tre dagar?
Och svaret kom pronto: Ja, det stämmer.
Vill du alltså helst få ett formellt beslut?
Självklart vill jag ha ett formellt beslut men på vad?
Jag var tvungen att skriva tillbaka för klarläggande: Hej igen!
För att följa ert beslut om att efterleva OSL och TF bör jag få ta del av vilka handlingar och dess unika ID så att jag kan begära ut dem.
I policyn står inget om vilka övriga styrande dokument om ingår i ledningssystemet så därför behöver jag uppgifter om detta.
Exempel kan vara Riktlinje för åtkomst osv.
Dokumentnamnet kan inte falla under den sekretess ni hänvisar till.
Tyvärr har ni ju inget diarium på nätet så att jag själv kan söka reda på dessa uppgifter.
Jag skulle också vilja se beslut om till vilken instans ni skickar besvär i utlämnandefrågor.
När jag fått dessa uppgifter kan jag göra en formell begäran om utlämnande.
En vecka senare (30 augusti) kom svaret med en bilaga Hej Fia, Bifogad fil innehåller en beskrivning av Ineras ledningssystem och dess komponenter.
Den instans som är aktuell i besvärsfrågor är Kammarrätten.
Återkommer till innehållet i dokumentet senare men efter att ha läst beskrivningen skickade jag in följande begäran: Tack!
Jag har alltså fått en beskrivning av ert ledningssystem där ni bedömer att samtliga ingående dokument i sin helhet faller under OSL 18:8 § 3.
Förutom att jag tycker att det är tämligen unikt för Inera att se hela regelverket som fallande ur sekretess blir jag litet fundersam över vilka dokument i beskrivningen som är framtagna och beslutade.
Är beskrivningen en plan över vad som ska tas fram eller finns omnämnda dokument?
Och kommer Kammarrätten verkligen att anse att de är en instans för besvär gällande utbegäran om icke-allmänna handlingar (eftersom Inera inte är skyldiga att följa TF och OSL utan har det mer som en policyinriktning)?
Eftersom jag håller på att skriva om det just nu vill jag gärna pröva detta så jag begär ett formellt beslut angående utlämnande av följande dokument (eftersom de saknar unik identitet anger jag den beteckning som anges i beskrivningen): Jag förutsätter att ni gör en sekretessprövning som innebär att de delar av dokumenten som inte faller under reglerna för sekretess lämnas ut.
Förhoppningsvis håller ni också den praxis som gäller för skyndsam handläggning för denna typ av ärenden, d.v.s.
beslut inom tre arbetsdagar.
Idag den 3 september fick jag ett formell avslag med en besvärshänvisning där beslutet där samtliga handlingar i ledningssystemet förutom policyn i sin helhet bedöms i behov av sekretess.
Besvärshänvisningen är till Kammarrätten som kan göra en annan bedömning.
Själv är jag tveksam till om besvärshänvisningen verkligen fungerar eftersom Inera formellt inte faller under offentlighetsprincipen och de handlingar jag begärt ut därmed inte är att betrakta som allmänna vilket också fastslagits i ett liknande fall, då gällande (SKI).
Av rent intresse kommer jaag ändå att skicka in ett besvär.
Om vi ser till själva processen tycks Inera lägga betoningen på S snarare än O i OSL.
Det är tyvärr inte en ovanlig attityd bland myndigheter, det är klart att det är mycket bekvämare att arbeta bakom lyckta dörrar, men en mycket tråkig utveckling i ett samhälle där vi berömt oss för vår fina offentlighetsprincip.
Min fråga här blir hur syftet med informationsklassningen som säkerhetsåtgärd skulle kunna skadas om Inera lämnade ut beskrivningen av sin metod.
Eller hur riktlinjersin helhet skulle kunna vara känsliga.
För att undvika missförstånd: självklart finns det ingående beskrivningar av tekniska lösningar alternativt risker/sårbarheter som bör hållas skyddade för obehöriga (särskilt som Inera paradoxalt nog är frikostiga med tekniska beskrivningar .
Men styrande dokument på en högre nivå borde Inera ha all anledning att vilja sprida om man tar sitt uppdrag att ”koordinera och utveckla digitala lösningar” på allvar.
Eftersom vi vet att informationssäkerheten är så illa utvecklad inom sjukvården borde Inera föregå med gott exempel och visa upp vilken säkerhet man själv har i sin instans av 1177 till skillnad mot Medhelps hantering.
Vad skulle nyttan vara i att begränsa harmlös information om sitt säkerhetsarbete till sina ”kunder” om man hanterar personuppgifter för hela befolkningen och ett mycket stort antal aktörer är berörda av dessa regler på olika sätt?
En mer cynisk människa än jag skulle ifrågasätta att de dokument jag efterfrågar över huvudtaget finns annat än på ritbordet med tanke på att policyn antogs i mitten av juni i år och övriga dokument rimligen borde vara underdokument till den.
Jag väljer att tro att dokumenten i beskrivningen verkligen finns men det ledningssystem som framtonar liknar inget jag tidigare sett i en organisation med Ineras betydelse och ambition att följa ISO/IEC 27001/27002.
Policyn är som jag tidigare skrivit torftig och innehåller inte delar som ändå får uppfattas som praxis som exempelvis ansvar och roller, incident och kontinuitet vilket även är centrala aspekter för en tjänsteleverantör.
Dessa frågor återkommer inte heller på anvisningsnivå.
Inledningsvis sägs att: Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering.
Den ska också tillämpas i projekt och på förvaltningsobjekt.
Det är alltså en intern policy för bolaget Inera men vad säger det om informationssäkerheten i tjänsterna?
Och i relationen med kunderna?
När så basala frågor lämnas öppna är frågan vad policyn egentligen fyller för syfte.
Sammantaget är den bild jag får att detta inte ens om det blir genomfört skulle bli ett fungerande ledningssystem på det sätt som beskrivs i standarden.
Men då har jag som sagt inte sett själva dokumenten.
Kanske någon som är ”kund” i Ineras mening kan kolla på dessa dokument och återkomma med en beskrivning?
Ineras hemlighetsmakeri blir ännu mer märkligt med tanke på att ett flertal av de ägare som Inera kallar kunder villigt lämnat ut sina styrande dokument för informationssäkerhet när jag frågat.
Varför skulle större sekretess råda hos Inera?
Kanske är det ovanan att leva med en god offentlighetskultur som präglar Ineras synsätt.
På samhällsnivå är det i så fall ett stort problem om viktig information flyttas från öppna organisationer till slutna som Inera och SKL.
Jag tror att överdrivet sekretessläggande är till stor nackdel för säkerhetsarbete generellt men alldeles särskilt i sammanhang då en ett antal aktörer ska dela information, tjänster och infrastruktur.
Det måste finnas en grundlig kännedom och diskussion om gemensamma regler hos de som är aktörer i samarbetet men det måste också gå att presentera utanför den snävaste kretsen för att kunna skapa tillit.
Konsulter och leverantörer måste även de få inblick för att kunna utveckla sina tjänster så att de passar.
Detta gäller än mer om Inera ska axla rollen att stödja kommunerna i deras digitalisering.
Min förslag har sedan länge varit att ta fram gemensamma regelverk och skyddsnivåer för att skapa gemensam säkerhet och dessutom slippa de stora konverteringsproblem som uppstår då aktörer med olika regelverk ska samverka i samma infrastruktur.
Svensk digitalisering är i sig planlös men det skulle kunna gå att riva det Babels torn av språkförbistring som redan finns inom informationssäkerhetsområdet genom att skapa just gemensamma regelverk.
Jag gjorde ett försök 2014 när jag jobbade på MSB att få olika centrala aktörer att samverka men denna strategi har fallit i glömska trots ett flertal tunga undertecknare (bland annat SKL och Inera).
Idag är behovet av fungerande informationssäkerhet i vården större än någonsin finns det definitivt utrymme för Inera att kliva fram och göra mer av sitt uppdrag att ta fram regelverk för informationssäkerhet än det som nu finns presenterat på n, detta särskilt som SKL säger att man ska arbeta ”resolut” med att förbättra informationssäkerheten.
Ska man lyckas med det krävs dock öppenhet och dialog med de många aktörer som måste ingå i ett sådant förbättringsarbete.
Att hävda att sekretess råder för varje mening i styrande dokument på hög nivå är inte ett tecken på vilja till öppenhet och dialog.
Det har knappast gått någon förbi att det under några år nu rasar in nya eller nygamla regleringar gäller olika aspekter av informationssäkerhet: dataskyddsförordningen, lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet), ny säkerhetsskyddslag och sedan litet civilt försvar på det.
Samtliga av ovanstående regleringar ”drabbar” primärkommunerna.
En egenhet för primärkommunerna generellt är att kravbördan inom alla områden drabbar samtliga kommuner lika hårt oavsett om de har 4000 invånare eller 900 000.
Detsamma gäller för ovan nämnda nya lagar.
Kommunerna har den, vid sidan om sjukvården, mest komplexa kravbilden på informationssäkerhet i samhället redan från början i kombination med att flertalet av små och medelstora kommuner alltför ofta helt eller delvis saknar den kompetens som behövs för att hantera situationen.
För att uppnå målbilden; ett säkrare Sverige, behöver de ansvariga myndigheterna därmed anstränga sig till det yttersta för att ge ett stöd som fungerar till kommunerna.
Att inta en hållning av typen ”det är deras eget ansvar” är helt meningslöst och kontraproduktivt eftersom det objektivt sett saknas förutsättningar för att de skulle kunna lyckas med det.
Ytterligare en aktör i detta är SKL som under senare påtagit sig ett allt större operativt ansvar i frågor bland annat av denna typ.
Nu är det alltså litet upp till bevis-läge.
Jag ska därför göra en liten kontrollrunda för att se vilken information och stöd Söpple kommun kan räkna med när det gäller NIS och därefter göra en sequel om säkerhetsskyddslagen.
Först en kort bakgrund.
NIS-direktivet antogs av Europaparlamentet 2016 och den svenska lag som följden av detta, lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, trädde med tillhörande förordning i kraft 1 augusti 2018.
Målsättningen med direktivet och följaktligen med lagen är att hög gemensam nivå på säkerhet i nätverk och informationssystem.
Lagstiftningen är inriktad på de nätverk och informationssystem som stödjer samhällsviktiga tjänster i sju sektorer (energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten, digital infrastruktur) samt i digitala tjänster.
Det är inte i en begreppsvärld klar som ett vårregn vi rör oss i här vilket gör att jag hänvisar den intresserade till definitionerna i lag och förordning för att själv bilda sig en uppfattning om den exakta betydelsen i begreppen.
Viktig avgränsning är att lagen inte gäller för verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen.
Däremot gäller den för både offentlig och privat verksamhet.
För att uppnå bättre säkerhet är de främst två krav lagen riktar in sig på.
För det första ska leverantörerna av samhällsviktiga tjänster bedriva einklusive riskanalyser och incidenthantering.
Av någon anledning betonas det särskilt att man också ska vidta åtgärder för att reducera de risker man upptäcker(!).
Man skulle kunna tycka att det är en ganska självklar del i emen lagstiftaren känner ändå att detta måste påpekas.
För det andra är det universalmedlet incidentrapportering som jag i förtroende vill meddela att jag tror är tecknet på att det offentliga säkerhetsarbetet har fastnat i en NPM-fälla.
Det vill säga att tvinga ett antal decentraliserade verksamheter att rapportera in uppgifter som man inte sedan vet vad man ska göra med.
Lagen innehåller också nyheten att leverantörerna av samhällsviktiga och digitala tjänster ska tillsynas vilket i sin tur bygger på att de som lagen berör själva ska anmäla sig till tillsynsmyndigheten.
Om så inte sker, om man inte vidtar korrekta säkerhetsåtgärder eller inte rapporterar incidenter kan en sanktionsavgift tas ut av tillsynsmyndigheten.
Efter dataskyddsförordningen kan ordet ”sanktionsavgift” väcka viss panik men i lagen om informationssäkerhet för samhällsviktiga och digitala tjänster sägs En sanktionsavgift ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor.
10 miljoner kan ju vara skrämmande för en liten kommun men för en större organisation kan det som en summa värd att gambla med.
Vad som är skrämmande är att det inte är en tillsynsmyndighet utan sex förutom MSB: Sammanfattningsvis är min bedömning att det är minst lika omfattande krav som ställs i den här lagen som i dataskyddsförordningen.
Att bedriva ett systematiskt och riskbaseratär en mycket komplex uppgift som de statliga myndigheterna inte lyckas leva upp på något särskilt övertygande sätt trots att kravet funnits i föreskrift i snart ett decennium.
Nu vidgas kretsen som skulle uppfylla den målbilden till även kommuner och landsting vilkas möjlighet att realisera den är långt, långt sämre än de statliga myndigheternas.
Och så till ett stort antal företag som kommer att ta in kravet i sin affärsplanering och vara extremt intresserade av att förstå exakt vad som krävs eftersom säkerhet kostar.
Missförstå mig rätt.
Jag är den första att hävda nödvändigheten av att bedriva eoch då särskilt i kommuner och landsting.
Hur starkt jag än uttrycker den övertygelsen framstår det som ett understatement.
Men för att uppnå detta måste man förstå förutsättningarna.
Jag ska därför här göra ett litet tankeexperiment för att försöka förstå hur den nya lagstiftningen landar i en medelstor kommun som vi kan kalla Söpple kommun.
En första observation är när vi tittar på de obligatoriska uppgifterna för en kommun är att Söpple kommun kommer att få fem tillsynsmyndigheter: Energimyndigheten eftersom man har ett kommunalt elbolag, Transportstyrelsen eftersom man har kommunal kollektivtrafik, IVO eftersom man bedriver hälso- och sjukvård bland annat inom äldrevården, Livsmedelsverket eftersom man producerar och levererar dricksvatten och PTS eftersom man har ett stadsnät (jag har inte här gjort någon skillnad på om det är kommunala bolag).
Söpple kommun måste alltså vara beredda på att dessa fem olika myndigheter kan komma på tillsynsbesök.
Vilka förutsättningar har då Söpple kommun som med sina 24 000 invånare kan sägas vara en normalstor kommun.
I kommunen finns ingen informationssäkerhetsansvarig utan frågan ligger under it vilket också är normalt men olyckligt.
Man har påbörjat en sondering med två grannkommuner för att gemensamt kunna inrätta en tjänst som informationssäkerhetssamordnare vilket suttit hårt åt eftersom varje utgift ställs mot personal i äldreomsorgen.
Tyvärr har man redan insett att även om man lyckas få beslut om medel för en sådan tjänst kommer det att bli extremt svårt att hitta en sökande som både har kompetens och är villig att flytta till Söpple.
Sannolikheten för att hitta någon i kommunen är mycket låg, det finns inga utbildningar för att snabbt utbilda en redan anställd och de som finns på marknaden kan definitivt få bättre betalt än i kommunal verksamhet.
Jag vill bara här återigen understryka att informationssäkerhet i en kommun är på en svårighetsgrad som få informationssäkerhetsansvariga i statlig verksamhet någonsin råkar ut för så är det någonstans kompetens verkligen behövs så är det i kommunerna.
Både tjänstemannaledningen och den politiska ledningen i Söpple kommun är yrvakna.
De har inte hört talas om något NIS-direktiv och har precis tagits sig igenom pärsen med dataskyddsförordningen.
Min hypotes om okunskapen i Söpple bygger jag på att det är just det förhållande som jag stött på när jag varit i kontakt med ett stort antal kommunala företrädare.
För att göra en bedömning om varför beredskapen inför NIS är så låg så gjorde jag i förra veckan en rundvandring på MSB:s och de övriga tillsynsmyndigheternas samt SKL:s webbplatser för att se vilken information som fanns om NIS där.
På MSB:s webbplats finns en sida med undersidor som i huvudsak bygger på vad som står i lag, förordning och MSB:s . Hur olika aktörer ska göra för att de ska kunna klara en tillsyn står det däremot mycket litet om, där hänvisar man till det så kallade Metodstödet som på en tämligen abstrakt nivå går igenom olika aktiviteter som kan ingå i ett systematiskt säkerhetsarbete.
Vällovligt men inte särskilt användbart för en kommun med de mycket konkreta frågor som måste lösas i detta sammanhang – bara en sådan sak som att hantera nämndorganisationen… Ytterligare en komplikation är att man tungt lutar sig mot en standard som inte är fritt tillgänglig, något som kan bli mycket besvärligt när tillsynsaktiviteterna sätter igång.
Det går liksom inte att kräva att varje organisation som ska tillsynas måste köpa standarderna för att veta vad de är tvungna att göra.
Skyldigheterna måste framgå av föreskriften och vara möjliga att granska även i ett offentlighetsperspektiv.
Övriga tillsynsmyndigheter har inte heller de såvitt jag kan se ingen information riktad till kommunerna specifikt.
I vissa fall tycker jag dock att den generella information de erbjuder är överlägsen den som finns på MSB:s webbplats som Energimyndighetens frågor och svar som ger rediga besked i en del kniviga .
Mest sparsmakad är kanske IVO som egentligen bara konstaterar att man är Inte heller SKL erbjuder sina uppdragsgivare något överflöd av information i . Webbplatserna gav alltså inte något bra stöd för Söpple kommun att ta tag i frågan men det är kanske inte den vägen som är den primära för att sprida information till kommunerna – för att börja söka där måste man ju först veta att det finns ett NIS-direktiv.
Jag skickade därför ett mail till MSB.
PTS, Livsmedelsverket, Energimyndigheten, IVO och Transportstyrelsen med följande lydelse: Hej!
Jag skulle vilja ta del av information angående lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet) som x (d.v.s.
den aktuella myndigheten) skickat direkt till kommuner.
Samma meddelande lade jag in i frågelåda på SKL:s webbplats och jag kan redan nu avslöja att jag inte fått något svar på detta.
När det gäller myndigheterna kan man sammanfattningsvis säga att det endast är MSB som skickat ut någon information direkt till kommunerna och då inte till kommunerna specifikt eftersom det handlar om missiven till föreskrifterna när de gått ut på remiss.
Detta skedde sista augusti.
MSB har deltagit i en träff i nätverketkommuner (KIS) och har en frågelåda på webbplatsen där man kan skicka in mail.
Dessa frågor är dock inte ännu synliga för någon annan än den som skickat frågan.
Livsmedelsverket har tagit fram en broschyr som man delat ut på en konferens om dricksvatten.
I övrigt säger sig tillsynsmyndigheterna invänta att MSB ska samordna dem.
Så här fyra månader efter att lagen trätt i kraft är det svårt att inte jämföra med hur vi blev fullständigt översköljda från olika håll med information om dataskyddsförordningen.
Datainspektionen måste faktiskt få en eloge för att man redan ett par år innan det äntligen blev 25 maj 2018 byggde upp informationskanaler både IRL och på sin webbplats.
Jag kommer med särskild glädje ihåg en realtidschatt för kanske två år sedan då det gick att ställa alla möjliga frågor till myndighetens kunniga jurister.
För aktiva personuppgiftsansvariga har det varit fullt möjligt att planera och bygga upp de nödvändiga funktionerna i sin organisation.
Att det sedan inte alltid blivit så är en annan fråga.
Att Datainspektionen bedrivit ett aktivt informationsarbete i god tid innan dataskyddsförordningen blev verklighet gör att de tillsyner man raskt kommit igång med känns rimliga.
Samma sak kan inte sägas i fallet med NIS-direktivet som trots att det varit känt på central nivå i flera år inte alls åtföljts av samma förberedelser.
Utifrån vad jag hittills sett kan mycket väl frågan fortfarande vara helt okänd i Söpple kommun men även hos andra både offentliga och privata aktörer.
Nu verkar ju inte tillsynsmyndigheterna kommit igång än vilket måste vara lika bra sett till det rådande läget när det gäller information och stöd.
Meningen med tillsyn är inte att skapa ett blame game och inte heller innebär tillsyn i sig några förbättringar om det inte tydligt framgår vad som ska göras (jag hävdar detta med viss emfas efter att ha jobbat med tillsyn ett antal år).
Tyvärr tycker jag mig spåra en omedveten trend inom både säkerhet och digitalisering att information från myndigheter främst sker muntligt på konferenser m.m.
Förutom den otydlighet och det breda tolkningsutrymme som övergivandet av skriftlig information innebär gör det att informationen inte når utanför de invigdas krets.
Det är inte heller möjligt att fördjupa sig, gå tillbaka, sprida vidare och att ha kontroll över att det är korrekt information som förmedlas.
Nu när olika lagstiftningar dessutom ska samexistera i en mängd organisationer krävs betydligt djupare resonemang än de som kan förmedlas via en power point-presentation.
För att göra en u-sväng i mitt argumenterande kanske det finns fördelar med att det ännu spridits information och stöd gällande lagen om informationssäkerhet för samhällsviktiga och digitala tjänster.
Nu kanske det finns möjlighet att ta ett nationellt ansvar och samordna de olika regleringarna så att inte varje kommun behöver sitta och försöka få ihop olika lagstiftningar och hur de ska uttolkas för den egna verksamheten?
Låt oss hoppas det.
För att de här nya regleringarna dels ska få genomslag, dels leda till säkerhetshöjande effekter krävs mycket tydlig information om som ska göras till som ska göra något samt stöd för det ska göras, d.v.s.
Dessutom, snälla, behövs samordning så att det blir en enhetlig kravbild.
Utan starkt stöd, gemensam prioritering och samordning kommer Söpple kommun vare sig att klara NIS-direktivet eller säkerhetsskyddslagen.
För kommuner som Söpple där egen kompetens i hög grad saknas tror jag att vi måste tänka mycket mer i fasta skyddsnivåer och ett mycket välutvecklat centralt stöd för att det inte bara ska bli både dålig säkerhet och dålig stämning.Men vem är det då som ska ta ansvar för helheten?
Kanske behövs det rent av en ny informationssäkerhetsutredning som utgår från verklighetens utförare av informationssäkerhet och vad de behöver för att klara uppgiften?
Jag tror helt enkelt vi har råd att leva i en drömvärld där olika aktörer oberoende av varandra pekar på vad de vill ha men ingen talar om för Söpple kommun få ihop det i den egna verksamheten.
Förtydligande: jag har efter jag publicerade detta fått ett påpekande att kommunens stadsnät sannolikt inte faller under NIS men däremot under lagen om elektronisk kommunikation (LEK) som har likartade krav som NIS.
Effekten för Söpple kommun blir alltså ungefär densamma i slutändan.
Det är klart man bänkar sig framför tv:n (i ärlighetens namn bakom en datorskärm) när riksdagen har en öppen utfrågning om cybersäkerhet vilket skedde förra Sändningen börjar med en lång och mycket grynig mingelupptagning när alla deltagare och åhörare ska leta upp sina platser.
Trots mitt seriösa intresse för frågan uppstår nästan omedelbart samma problem som under de senaste veckornas rapportering från Svenska akademien; gränsen mellan fiktivt och faktiskt berättande glider ihop.
Jag och mitt sällskap följer de stela tjänstemannakramarna, den tidigare statliga chefen som nu blivit lobbyist som ivrigt söker sällskapet hos sina tidigare kollegor, den aningen nervöse talskrivaren som flackar med blicken och hoppas på att chefen ska hålla sig till manus och inte sväva ut i egna funderingar, den tidigare myndighetschefen som överraskande dyker upp.
Soundtracket till House of cards tonar upp i medvetandet och det är med stigande intresse man följer scenen.
Enda missen sett ur ett underhållningsperspektiv är den tekniska kvaliteten och att personaget inte introduceras.
Den nerv som fanns i minglet dör tråkigt nog ut i samma ögonblick som redovisningarna av vad som sker på cybersäkerhetsområdet börjar.
Först ministern, sedan myndighetscheferna i tur och ordning.
Det mest förvånande är att absolut inget förvånande sägs.
Det är exakt samma saker som sägs som har upprepats i 15-20 år.
Inga nya lösningar, inga nya självinsikter och inga reflektioner av vad som skulle kunna ändras hos myndigheterna själva.
Naturligtvis förekommer ordet ”cyber” mer ymnigt än någonsin och aktuella catch phrases som ”det förändrade omvärldsläget”.
Nya aningen dunkla fenomen som ”civila cyberförsvaret” förs in utan att det klargörs vad exakt detta skulle vara.
Axiom som att brister upptäcks när incidenter rapporteras ventileras.
Det mest genomgående temat är att de utfrågade myndigheterna säger sig behöva ännu mer resurser.
Alltså i sak intet nytt.
Däremot saknar i alla fall jag ett analytiskt förhållningssätt där man faktiskt kommer in på frågan hur intresseavvägningen mellan den effektivitet som digitaliseringen står för och en bättre säkerhet ska göras på samhällsnivå.
Eller hur det demokratiska samhället ska leva ihop med den ständigt ökade övervakningen från både företag och staten.
Sammantaget blir utfrågningen en god illustration över varför nuläget är som det är: säkerhetslägret och digitaliseringslägret är som två cykloper som möts och aldrig skapas ett stereoseende.
Inte heller då riksdagsledamöterna släpps in för att ställa frågor efter statsrådets och myndighetschefernas redovisningar tillkommer något nytt perspektiv.
De folkvalda håller sig hovsamt inom den uppdragna ramen och ställer välvilliga frågor som möts av föga förvånande svar.
Enda gången där det hettar till är när det bekymmersamma läget i kommunerna återkommande lyfts fram och en representant från SKL i lätt agiterad ton hävdar att tillståndet minsann är bättre än så eftersom så många kommuner börjat använda KLASSA (!).
För att övertyga den som inte tror mig har jag sammanställt ett litet quiz där den som vill får gissa om citaten kommer från den öppna utfrågningen förra veckan eller från För att göra det litet svårare har jag bytt ut ”informationssäkerhet” i texten från 2005 mot ”cybersäkerhet”.
Innebörden i begreppsanvändningen är mycket likartad i detta sammanhang och samtliga talare förra veckan.
Den som först sänder in ett rätt svar bjuder jag på lunch eller ett glas efter jobbet.
Skicka in en tipsrad med A för SOU 2005:42, B för citat från utfrågningen.
Ingen kan idag förneka vikten av att förbättra informationssäkerheten i de samhällsviktiga verksamheterna.
Ett antal utredningar har under de senaste tre åren utmynnat i olika förslag på hur detta ska ske.
Tyvärr har fokus legat allt för mycket på reaktiva åtgärder som incidentrapportering och allt för litet på det förebyggande arbetet, detta trots att det ofta påpekats att de stora säkerhetsvinsterna kan göras genom olika typer av incidenter och säkerhetsproblem motverkas innan de uppstår.
För mig framstår den i särklass viktigaste förebyggande åtgärden att tillräcklig kompetens finns för att hantera informationssäkerhetsrelaterade frågor på olika nivåer.
För att uppnå detta krävs både episteme, fronesis och techne.
Det vill säga det måste finnas en vetenskaplig grund för att de åtgärder som vidtas är effektiva i förhållande till de problem de avses att lösa, att det måste finnas en praktisk kunskap hur fungerandeska bedrivas och det måste finnas en djupare förståelse att nya situationer kan hanteras.
Jag skulle vilja hävda att detta idag i allt för hög grad saknas.
Konkret kommer ett stort antal organisationers ledningar behöver ett kompetent stöd för att styra sittså att det motsvarar de risker som verksamheten är utsatt för och för att kunna tillvarata alla nya möjligheter som den pågående digitaliseringen innebär.
Jag pratar alltså inte om it-säkerhet som är inriktad på tekniska åtgärder utan informationssäkerhet som handlar om verksamhetsstyrning och information.
Utöver befintliga krav kommer även nya från bland annat dataskyddsförordningen, NIS, civilt försvar och en ny säkerhetsskyddslag.
Det gäller c.a.
350 myndigheter, 290 kommuner, ett tjugotal landsting/regioner och ett okänt antal privata aktörer som medverkar till att upprätthålla samhällsviktiga verksamhet.
En av de vanligaste frågorna jag får när jag besöker kommuner, regioner och myndigheter är vilka utbildningsmöjligheter som finns.
Hos de som får allt tyngre ansvar för det faktiskat finns såvitt jag kan bedöma en allt större medvetenhet om kompetensbehovet.
Till viss del fanns denna insikt även i den strategi för samhällets som MSB tog fram tillsammans med andra myndigheter.
Tyvärr har inte insikten utmynnat i några konkreta satsningar för att stödja utvecklandet av professionsinriktade utbildningar.
Även om behovet av kompetens är känt anvisas få vägar för kompetensförsörjningen.
Vare sig i den nationella säkerhetsstrategin eller i digitaliseringsstrategin, båda presenterade av regeringen 2017, nämns något om kompetensförsörjning inom informationssäkerhetsområdet.
Utredningar som SOU 2015:23 , SOU 2017:36 SOU 2017:114 liksom lagrådsremissen om ny säkerhetsskyddslag är lika renons på förslag annat än de som gäller utpekade tillsynsmyndigheter.
Den nationella strategin för informations- och cyberssäkerhet (Skr.
2016/17:213) skulle kunna inge ett visst hopp eftersom den faktiskt innehåller ett avsnitt som heter Öka kunskapen och främja kompetensutvecklingen.
Hoppet om att finna ett mål att tillgodose behovet av professionell kompetens generellt avtar dock snabbt då det visar sig att det som avses är att informera organisationer om sårbarheter och behovet av säkerhetsåtgärder samt att höja den enskilda användarens kunskap.
Samtliga strategier och utredningar tycks dock förutsätta att den kompetens som behövs kommer att finnas utan vidare styrning.
Jag delar inte denna tilltro till den osynliga handen.
Istället ser jag att vi står inför ett mycket stort och komplicerat kompetensförsörjningsbehov.
Bara det ett nyrekryteringsbehov av något hundratal informationssäkerhetsspecialister årligen till kommuner och landsting/regioner som kanske har samhällets mest komplexa informationssäkerhetsbehov måste uppmärksammas.
Många av oss som idag är verksamma inom informationssäkerhetsområdet saknar formell utbildning för våra jobb eftersom utbildningar helt enkelt inte funnits i någon högre grad (jag jämställer inte olika certifieringar med högskoleutbildning även om de säkert är bra på sitt sätt).
Därav ett stort fortbildningsbehov.
De kurser på högskolenivå som erbjuds idag via en sökning på antagning.se för hösten 2018 är antingen korta kurser eller har en renodlad teknisk inriktning.
Undantagen är masterutbildningar i Örebro som har ett handfull platser samt i Luleå där ett organisatoriskt perspektiv tillförs en huvudsak it-inriktad utbildning.
Detta räcker naturligtvis inte långt.
Mitt förslag är därför att en utredning tillsätts som tillåts koncentrera sig på hur behovet av kunskap och kompetens inom informationssäkerhetsområdet ska tillgodoses under de närmaste åren.
Utgångspunkten är att staten måste ta ett betydligt större ansvar för kunskapsförsörjning på en vetenskaplig nivå och för att kunskapen omsätts till kompetenshöjande åtgärder för prioriterade målgrupper i samhället.
Målen bör vara att det gemensamma utbildningsplaner för en treårig högskoleutbildning som informationssäkerhetsspecialist med inriktning på organisation och information, att det utbildas 50 informationssäkerhetsspecialister per år samt att varje kommun har tillgång till minimum en halvtids informationssäkerhetsspecialist.
Inom detta fält kan även utbildningar av typen ”informationssäkerhetsspecialist kommunal verksamhet” och ”informationssäkerhetsspecialist hälso- och sjukvård” kunna finnas.
Även fortbildningar för redan yrkesverksamma bör ingå i ett kunskapslyft för informationssäkerhetsområdet.
Utan denna typ av insats har jag mycket svårt att se hur alla andra mål för att höja samhällets informationssäkerhet ska kunna realiseras.

Riktlinje informationssäkerhet Anvisning för informationsklassicering Anvisning för informations- och it-säkerhet för medarbetare Alla våra moderna samhällsbärande system bärs upp av den nya informationsteknologin.
Det går inte att organisera fram cybersäkerhet utan det krävs resursförstärkningar.
Enligt x mening är det av strategisk betydelse att kunna säkerställa kompetensförsörjningen inom informationssäkerhetsområdet.
X konstaterar också att staten behöver egen och unik kompetens.
Staten har också det yttersta ansvaret för den nationella säkerheten, vilket ställer särskilda krav.
Staten förfogar över en rad administrativa, ekonomiska och informativa styrmedel.
I praktiken är dessa relativt svagt utvecklade på informationssäkerhetsområdet.
Vår sårbarhet ökar och vi har stora brister trots att stora åtgärder vidtagits.

OFFENTLIGHET vad de hur

MENU MENU Postat av → Postad i , , , , , , , Tagged , , , , , , , Postat av Postad i , , , , , Tagged , , , , , Postat av Postad i , , , , Tagged , , , , , Postat av Postad i , , , Tagged , , , , , Postat av Postad i , , , , , , , Tagged , , , , , , , Sök efter:

Förslag till informationssäkerhetspolitik.
Informations- och cybersäkerhet i Sverige Informationssäkerhet för samhällsviktiga och digitala tjänster, reboot – omstart för den digitala förvaltningen

Jag har grubblat en hel del över den falske officeren som i hägn av den svenska försvarsmakten lyckades ta sig ända in i . Som en bakgrund kan sägas att jag aldrig arbetat inom Försvarsmakten men varit i nära kontakt med representanter för myndigheten i olika sammanhang, inte minst då jag arbetade på MSB.
Dessutom gav utbildningen till signalskyddschef som jag genomgick för många år sedan en inblick i Försvarsmaktens syn på säkerhet.
Tillåt mig att framföra några obekväma iakttagelser som helt baserar sig på uppgifter i media.
Min egen upplevelse har varit att representanter från Försvarsmakten har självbilden att säkerheten i denna verksamhet är mycket bättre både vad gäller omfattning och kvalitet än den som den civila världen lyckas leverera.
Denna bild förefaller som så självklar att den aldrig ens diskuteras och påverkar även verksamheter utanför Försvarsmakten.
Det går ofta så långt att man vill exportera de säkerhetslösningar som tillämpas inom försvaret till andra delar av samhället.
Själv har jag ofta reflekterat över huruvida Försvarsmaktens (och säkerhetsskyddets) lösningar verkligen är ”bättre” än civila respektive kommersiella dito samt om de över huvud taget är möjliga att implementera i en mindre styrd miljö än Försvarsmaktens.
Skillnaderna mellan mål, organisation, kultur och teknik är så i grunden olika varandra att jag betvivlar att en rak export från Försvarsmakten är vare sig möjlig eller önskvärd.
Tvivlet har förstärkts av den attityd som kan finnas hos de som kommer från det gröna hållet, en viss överlägsenhet och ovilja att ta till sig att andra mål och medel är centrala i det civila livet.
Vid ett antal anställningsprocesser har jag också varit med om att militärer ansett sig lämpade som informationssäkerhetsspecialister i det civila trots att de saknat erfarenhet både från den rekryterande verksamhetens bransch och av informationssäkerheten.
Att ha jobbat i Försvarsmakten har varit en tillräcklig merit för dessa sökande.
Eftersom min grundprincip för säkerhetsarbete är att säkerheten måste anpassas till de unika förutsättningar som råder i varje organisation har denna inställning förefallit missriktad för den som vill förbättra säkerheten.
Det behöver kanske inte tilläggas att representanter för den hållningen inte skapar förutsättningar för en givande diskussion med respekt från båda håll.
Vart vill jag då komma med dessa anekdotiska grundade beskyllningar sammanförda med skandalincidenten den falska officeren?
En del är min egen förundran över att en verksamhet med ovanstående rykte och självbild som ”säkerhetsexperter” hamnat i en säkerhetsskandal som enligt min mening faktiskt slår den i Transportstyrelsen.
Här har man gett en uppenbart opålitlig person fått en säkerhetsklassad tjänst på Must, fått samordna signalskyddstjänsten och haft tillgång till !
Därefter har utlandstjänster med mera följt, också dessa tjänster med reella möjligheter att åstadkomma stor skada.
Slutligen blev han även en av Kustbevakningens kontaktpersoner för den ryska säkerhetstjänsten .
Sammantaget en karriär med potentiell tillgång till mycket känslig information under ett par decennier.
Lustigt nog förekommer samma kommentarer från Försvarsmakten och Must som från Transportstyrelsen där man vill reducera allvaret i händelsen genom att hävda att inget tyder på att någon skada är skedd.
Dessutom sägs att rutinerna för säkerhetskontroller skärpts de senaste tio åren.
Båda dessa defensiva kommentarer är problematiska menar jag.
Det förefaller svårt att på någon månad grundligt reda ut eventuella skadeverkningar av ett bedrägeri som vad jag förstår av media pågått i ett par decennier och dessutom i mycket känslig verksamhet.
Sakförhållanden borde föranleda en mycket större utredning med tanke på hur länge han varit där och hur kort tid som Försvarsmakten känt till förhållandena.
För mig som okunnig utomstående borde bara vetskapen om de insiderjobb Wennerström och Bergling genomförde framkalla frossa och en oerhörd iver att verkligen ta reda på vad som hänt.
Kanske sker också detta i det tysta men den till synes obekymrade hållningen i media inger inte förtroende.
Argumentet att säkerhetskontrollerna blivit så mycket bättre på senare år motsägs av att bedragaren under just de senaste åren manövrerat sig mellan olika känsliga positioner ända fram till Nato.
Det tyder inte på att noggranna kontroller gjorts.
Att verifiera de uppgifter en sökande lämnar vid ansökningsförfarandet uppfattar jag ändå som en slags basnivå.
I min okunnighet förfaller det som en relativt enkel uppgift när det gäller officerstjänster.
Den aktuella bedragaren hade ljugit om akademiska studier vilket är en sak.
En annan att han uppgivit att han genomfört officersutbildning vilket är en lögn som är mycket svårare att förstå att han lyckades slå i sina arbetsgivare.
När ett företag eller myndigheter ska anställa finns det ofta bokstavligen hundratals möjliga studiemeriter med utländska universitet inräknade.
Försvarsmakten har däremot en potentiell totalkoll på inflödet till officerstjänster, de kontrollerar ju den enda möjliga meriten.
Det finns mig veterligen inga alternativa eller privata officersutbildningar.
Att då någon ändå slipper igenom är högst förvånande.
När falska läkare avslöjas går det snabbt att kontrollera mot Socialstyrelsens förteckning över vilka som är legitimerade.
Då finns det ändå c.a.
jämfört med c.a.
vilket borde vara litet enklare att hålla reda på.
På sociala medier har jag fått upplysningen av mer insatta i branschen att det här sannolikt är ett fall av vad som kallas ”bäste bror”.
Jag tolkar det som en kåranda där man av rädsla att uppfattas som ifrågasättande av en officerskollegas kompetens eller heder underlåter att genomföra de rutinkontroller som beslutats.
Kanske känns det pinsamt att fråga någon som man borde känna utan och innan vad de egentligen har för formella meriter.
I en så liten yrkesgrupp som 9000 officerare kan naturligtvis en sådan tendens förstärkas.
Det känns inte som detta är förklaringen till varför Försvarsmakten inte reagerade när det fick uppgifterna från Kustbevakningen om de fynd myndigheten gjort angående ”officerens” meriter.
Det är bara obegripligt för en utomstående att den informationen inte ledde till omedelbara åtgärder.
Faktiskt känns det som det hela kunna fortgå än om inte Dagens Nyheter uppmärksammat det hela och ställt de frågor som fortfarande i stort är .
Vad kan vi lära av detta när det gäller säkerhet i allmänhet, förutom att pressen gör ett viktigt renhållningsarbete när myndigheterna själva inte klarar av det?
Min första tanke är hur svårt det är att få till en fungerande säkerhet.
Även om säkerhetsarbete alltför ofta framställs som enkelt att genomföra bara man följer de rätta ”mallarna” känner jag och troligen många andra som arbetat i praktiken en stor ödmjukhet inför uppgiften.
Det är så mycket som inte står i manualerna, det är så många procedurer som ska fungera, det är så många människor som ska tänka, känna och göra rätt.
Och det räcker inte att det fungerar en gång, det ska fungera åt efter år.
I det aktuella fallet är det ju de i allmänhet så hånade ”medarbetarna” som slarvat utan de som gjort säkerhetskontrollerna (eller borde ha gjort) måste ju vara människor med utpekat säkerhetsansvar.
Även detta kan jag på någon nivå förstå, att det känns fånigt och pinsamt att be någon man kanske jobbat ihop med länge presentera formella meriter och sedan dessutom kontrollera dessa merithandlingar som är utfärdade av i princip den egna arbetsgivaren.
En hel del säkerhetsarbete är ”going through the motions”, att man utan större engagemang utför repetitiva kontroller och hur frestande är det då inte att gena litet grann.
Den uthållighet som krävs här underskattas ofta.
Det är (relativt) lätt att besluta som säkerhetsregler men det blir en stor säkerhetsrisk om de regler som beslutats av olika anledningar inte tillämpas.
Orsakerna till att reglerna inte efterlevs är många, vi behöver inte gå in på dem alla, här vill jag bara peka på den situation som kan uppstå när alla låtsas som att reglerna fungerar fast alla egentligen vet att det fuskas.
En sådan säkerhetsmässig potemkinkuliss är en större risk anser jag än en beslutad lägre säkerhetsnivå som faktiskt fungerar.
Nu menar jag inte att det i det aktuella fallet fanns ett alternativ utan detta är mer en reflektion efter de senaste årens säkerhetshausse där många organisationer har beslut och styrande dokument som anvisar säkerhetsåtgärder som det i realiteten finns ambition att införa.
Kort sagt: verklig säkerhet trumfar fantasier!
För mig som arbetar med säkerhet är det en viktig uppgift att i dialog med ledningen för den aktuella organisationen bedöma vilken säkerhet som går att införa och vilka risker som olika alternativ innebär.
Det sämsta alternativet är när ledningen har uppfattningen att allt är hunky dory och att organisationen har en väl fungerande säkerhet medan verkligheten är en helt annan.
En sådan ledning kan ha mycket svårt att hantera situationer där stora brister uppdagas eftersom det strider helt mot deras verklighetsuppfattning.
Hypotetiskt skulle man kunna tänka sig hur svårt det var för Försvarsmaktens ledning att ta in att man huserat en bedragare i det allra känsligaste i ett par decennium utan att detta upptäckts.
Lika hypotetiskt kan man då förstå att detta kan leda till beslutsångest och oförmåga att agera trots att korten ligger på borden, som när Försvarsmakten fick information av Kustbevakningen och inte tycktes kunna hantera den.
Jag tror helt enkelt att det är farligt att vara alltför övertygad om att man per definition är bra på säkerhet.
Att vara bra på säkerhet är att ständigt ompröva och vara medveten om alla brister som hela tiden finns oavsett vilka insatser som görs.
Ytterligare en tankeställare ligger i att skandalen inte skulle ha upptäckts om inte DN lagt ner omfattande insatser på att gräva och gräva.
Att seriösa media är en förutsättning för icke-korrupta myndigheter är en slutsats man kan dra, en annan att det saknas interna funktioner som säkerställer compliance på ett effektivt sätt.
Det är inte så att jag vill måla f-n på väggen men jag tror att rätt många nu grubblar hur många andra som kunnat slinka in i systemet om kontrollerna är så obefintliga.
Nu har vi ett exempel på hur illa det kan gå.
Det bästa vi kan göra med det exemplet att återkommande hålla upp det framför oss och ställa frågan: kan det hända även här?
Och sedan försöka svara ärligt på det.
Tillägg 2020-02-05: Nu visar det sig att anställda själva kunnat lägga in sin meriter hos Försvarsmakten utan att kontroll skett hos .
Ganska häpnadsväckande.
Den svenska förvaltningen bygger sedan gammalt på ett väloljat utredningsmaskineri som jag är djupt positiv till men som jag känner en stigande oro för.
Med min bakgrund inom historieområdet har jag kunnat följa uppgången av synsättet att offentliga beslut ska vila på rationell grund och att denna grund bäst skapas genom genomlysande utredningar genomförda av högt kvalificerade företrädare för akademi och förvaltning.
Hur hånade utredningarna än varit i debatten som politiska undermanövrar så har de möjliggjort insyn och ett demokratiskt samtal om de viktiga vägvalen i samhället.
Utan att gripas av allt för djup förvaltningsnostalgi försöker jag läsa och värdera de utredningar som kommer i för mig relevanta områden.
Värderingen underlättas eller påverkas i alla fall av att jag själv varit expert eller på annat sätt deltagit i ett antal utredningar, bland annat som ”spökskrivare” av text som sedan hamnat i den slutgiltiga utredningen.
Min slutsats av dessa erfarenheter är att de utredningar som genomförs ofta lider av brister både i utredningsarbetet, i mottagandet hos remissinstanser och i genomförandet.
I denna korta text kommer jag med nödvändighet att bli orimligt svepande och kategorisk men har ändå gjort bedömningen att det finns ett intresse i att lyfta fram vissa systemfel som jag tyckt mig se genom åren.
De som har andra erfarenheter och uppfattningar uppmanar jag med emfas att delge dessa – utredningsväsendet förtjänar verkligen att diskuteras, förtjänar i positiv bemärkelse eftersom det är en så bärande institution i den svenska demokratin.
Det finns ju även olika typer av utredningar men här tänker jag främst på de utredningar som tillkommer genom att regeringen tillkallar en kommitté eller en särskild utredare för att skaffa underlag för ett politiskt ställningstagande.
Kommitténs uppgift är att ta fram fakta, göra analyser av dessa fakta och därefter presentera förslag på åtgärder.
När uppdraget är slutfört avrapporteras resultatet oftast i form av ett betänkande, en SOU (Statens offentliga utredningar).
En utredning av denna typ bör på ett rättvisande sätt inte bara beskriva förslagen utan även alternativen till dessa förslag samt vilka positiva och negativa konsekvenser som förslagen förväntas få.
Efter att betänkandet är presenterat sker remissomgången där olika parter kan redovisa sina synpunkter och argumentera för eller emot betänkandet.
Många utredningar stannar här, d.v.s.
hamnar i en djup malpåse och blir bortglömda medan några lyckligt utvalda går vidare i beslutsprocessen.
Syftet med processen är det bästa, att få rationell grund för besluten i ett öppet förfarande och dessutom en god möjlighet att revidera hur förslagen genomförts, men det är just detta gör en dyster när processen inte hanteras på ett tillräckligt bra sätt.
Förutom det generella gnället är en återkommande kritik att utredningarnas uppdrag ofta är att bekräfta en redan befintlig politisk inriktning snarare än att på ett öppet sätt undersöka en frågeställning.
Annorlunda formulerat; redan problemformuleringen snöper utredningens möjlighet att nå fram till de objektivt sett mest relevanta förslagen.
Naturligtvis kan inte utredningarna jämställas med akademiska undersökningar, de sker på ett politiskt uppdrag, men med tanke på att de ofta fortskrider under flera år kan en snäv och tidsbunden partipolitisk utgångspunkt snabbt göra hela utredningen daterad och oanvändbar.
Denna typ av kortsiktig problemformulering leder i sin tur till två andra fatala systemfel.
För det första gör det att utredningar tenderar att bli alltför operativa, det vill säga svara på en nästintill dagsaktuell fråga vilket i sin tur leder till att utredningarna blir som stuprör utan gemensam överbyggnad.
Då hjälper inte det mycket tröttande tricket att låta utredningen till tre fjärdedelar bestå av kompilat från tidigare utredningar.
Om inte redovisningen av redan gjorda utredningar åtföljs av en analys av hur de påverkar den aktuella utredningen undanröjer det inte på något sätt stuprörstänkandet.
För det andra leder det ofta till en ytlighet i begrepp och förutsättningar.
Som ett exempel på detta kan vi ta ”digitalisering” en företeelse som utretts på längden och tvären men där själva fenomenet och dess förutsättningar mycket sällan analyserats.
Istället ses digitalisering som en fastställd entitet som bara kan utvecklas i en given riktning och med i princip goda konsekvenser.
Denna egendomligt deterministiska syn på teknik och samhälle anammas även när Riksrevisionen granskar .
Då granskas inte huruvida regeringens målbild att Sverige ska vara bäst i världen på digitalisering, vilket skulle vara mycket rimligt att ifrågasätta i förhållande till samhällsnyttan, utan enbart hur långt myndigheter och regering tagit sig i den riktningen.
Om vi därefter tittar litet på utredarna och deras medhjälpare finns den vanlige utredaren som får stöd av experter av olika slag men också kommittéer.
I det första fallet kan jag se två påtagliga sårbarheter.
Den ena är utredaren själv som allt oftare tycks vara en jurist vilket skulle kunna tyckas rimligt med tanke på att utredningen förhoppningsvis ska leda fram till lagförslag men det kan också ses som ett exempel på den tilltagande juridifieringen efter Sveriges EU-inträde.
Det är inte säkert att alla problem gynnas av att främst formuleras i juridiska termer utan att det ibland vore bättre med en utredningsprocess som inleds av de som är ämneskunniga för att först därefter bearbetas som en juridisk frågeställning.
Sedan är det experterna där det ofta synes vara en hårfin skillnad mellan expert och särintresse.
Det gäller de tjänstemän som ska bevaka den egna myndighetens intresse men jag måste medge att jag grubblat över det rimliga i att tillsätta en representant för den största leverantören som expert i en utredning om .
Säkert mycket kunnig men kanske då lämpligare att skapa en fokusgrupp för olika leverantörer för att undvika frågan om jäv?
Lika ofta är dock avsaknaden av nödvändiga perspektiv i expertgruppen slående.
Om vi till exempel tar NISU (SOU 2015:23) och utredningen om nu säkerhetsskyddslag (SOU 2015:25) samt dess efterföljare med kompletteringar (SOU 2018:82) så har dessa tre utredningar gemensamt att de helt saknar representation från kommuner och regioner.
Detta trots att utredningarna måste utgå från att deras förslag till stor del ska omsättas just av kommuner och regioner.
Bristen påpekades från några remissinstanser men jag tror att risken är stor att man även fortsättningsvis kommer att se utredningar med ett i huvudsak inifrån och ut-perspektiv.
Att särintressena får så stort utrymme har nackdelen att det också skapas stuprörsformation utredningarna.
finns ett antal förslag som uppenbart skrivits fram av de olika myndigheter som är närmast berörda.
Tyvärr är inte förslagen integrerade sinsemellan, beroendeförhållande mellan förslagen är inte beskrivna, inte heller finns en prioritering gjord.
Den här typen av hopplockade åtgärder måste vara mycket svåra att använda som beslutsunderlag utan vidare bearbetning.
De utredningar som bedrivs som kommittéer (exempelvis E-delegationen och Digitaliseringskommissionen) löper å andra sidan risken att utvecklas till egna särintressen och bli mer som en form av myndigheter utan ansvar.
Själv läser jag alltid utredningarnas konsekvensbeskrivningar med största intresse eftersom det är där som man enligt min mening bäst kan bedöma utredningens kvalitet.
Om utredaren verkligen försökt, utan hänsyn till sina egna darlings, beskriva även de negativa konsekvenser som kan uppstå om utredningens förslag förverkligas är det en bra utredning där beslutsfattarna får stöd att fatta rätt beslut.
Då ges även en möjlighet att i tid börja arbeta med att reducera eventuella risker och negativa konsekvenser.
Tyvärr blir jag sällan glad när jag läser konsekvensbeskrivningar eftersom de ofta förefaller verklighetsfrämmande och främst bestående av glädjekalkyler som för att visa det geniala i utredningens förslag.
Avsaknaden av relation med de som har kännedom om verkligheten är sannolikt den bakomliggande orsaken till de sangviniska konsekvensanalyser som avslutar utredarens möda.
Jag har nu under ett par år funderat över hur säkerhetsskyddslagens utredare kunde komma fram till denna sammanfattning av konsekvenserna av sitt förslag: Bedömning: Förslagen medför inte annat än marginella kostnadsökningar för vissa myndigheter som får delvis utökade upp-gifter enligt våra förslag.
Dessa kostnadsökningar bedöms kunna hanteras inom nuvarande budgetramar.
Förslagen bedöms inte medföra några kostnadsökningar för företag utom i de fall dessa på eget initiativ och för egen nytta begär s.k.
säkerhetsintyg för leverantör, då kostnader kan upp-komma för vissa säkerhetsskyddsåtgärder.
Förslagen kan medföra att något fler personer säkerhetsprövas.
Få torde idag hålla med om den bedömningen vilket bland annat framgår av remissvaren på den kompletterande utredningen då det börjat gå upp för allt fler vad den nya lagen faktiskt kommer att innebära.
Vad som förbryllar mig är att alla de ökade kostnader och andra negativa konsekvenser som idag är uppenbara för de flesta inta kan ha varit särskilt svårt att förutse.
Detta är inte unikt för just den här utredningen utan är, menar jag, mer att se som ett systemfel där utredare systematiskt tonar ner de negativa konsekvenserna.
Möjligen beror detta på att de är rädda för att deras förslag ska ses som ”dåliga” eftersom det innebär vissa negativa effekter men det är ju en attityd som knappast gagnar utredarens uppdragsgivare.
En sista svag punkt i utredningsmaskineriet är att remissinstanserna ägnar ett så till synes svagt intresse för att läsa hela utredningen.
Istället kommenterar man möjligen de delar som berör den egna verksamheten.
Jag har förståelse för att många myndigheter och andra blir överösta med remisser och har svårt få tiden att räcka till för att ge kvalitativa svar på alla.
Samtidigt så är remissvaren inte bara ett sätt att värja den egna verksamheten från dumma förslag.
Det är också en möjlighet att bidra med juridiska och andra bedömningar för att förbättra helheten.
Nu ska jag göra ett djärvt grepp och citera Sun Tzu (tror jag) direkt ur mina djupaste hjärnvindlingar utan att kolla upp det.
Han sa ungefär så här: om jag får tio dagar på mig att fälla skogens största träd ägnar jag åtta dagar åt att slipa min yxa.
Ni får nu möjligheten att komma med en massa bra rättelser men vad jag vill säga är att detta skulle kunna vara ett citat som både uppdragsgivare och utredare skulle kunna tatuera in som gadd.
De stora utmaningar vi står inför inom digitalisering, informationshantering, arkiv och säkerhet förtjänar de bästa utredningar som tar minst åtta dagar av de tio.
Jag måste genast rätta mig själv innan någon annan hinner göra det!
En mig närstående har grävt fram att det nog inte var Sun Tzu och inte ens Lincoln som myntat men det blir en snygg tatuering om det är kinesiska tecken… Den minnesgode kommer ihåg att jag tyckte det saknades några frågor vid den öppna utfrågningen i riksdagens försvarsutskott om cybersäkerhet för ett par veckor sedan.
För att inte bara planlöst gnälla ska jag formulera några av de frågor jag själv skulle ställt i rollen som en hyfsat insatt folkvald ledamot i försvarsutskottet.
Rollen kräver ju en något mer nobel approach än den som småaktig bloggare.
Jag kommer därför naturligtvis inte att ställa tråkiga frågor som vad cybersäkerhet betyder eller vad det är för värden på axlarna på MSB:s bild över utvecklingen av digitalisering respektive cybersäkerhet även om jag grubblat över detta sedan jag såg den.
Jag ska heller inte göra banala zingers av typen ”här ser vi hur man försöker lösa morgondagens frågor med gårdagens lösningar.”.
Istället kommer jag att försöka ställa fem övergripande frågor som jag menar är av betydelse för samhället och inte bara för samhällets säkerhet.
– Herr ordförande, vi har nu fått en genomgång av ett statsråd och fyra myndighetsföreträdare.
Tyvärr kan inte genomgången ha lett till en bra helhetsbild av frågan.
Varje myndighetsrepresentant har presenterat sin myndighets perspektiv på ett sätt som får åhöraren att känna sig som på toppen av ett utsiktstorn där det bara är möjligt att beskåda utsikten genom fyra fastlåsta och begränsade kikare.
Själva vyn är osynlig genom dessa tunnlade perspektiv.
När vi som folkvalda får en presentation där cyberförsvar, säkerhetsskydd, samhällsviktig verksamhet, och den vardagliga informationssäkerheten presenterade som helt separerade spår är det lätt att förstå den vanmakt som många aktörer som förväntas göra något i praktiken känner.
I NISU-utredningen 2015 var det första åtgärdsförslaget för att förbättra informationssäkerheten att utveckla en nationell styrmodell för informationssäkerhet: En nationell styrmodell för informationssäkerhet består av ett antal komponenter som måste utvecklas och förvaltas över tid.
En del är ett sammanhållande regelverk som innehåller olika nivåer av reglering under föreskriftsnivån, det vill säga en regelhierarki som motsvarar ett ledningssystem inom en organisation.
Förutom de resurser som krävs för att utveckla och förvalta styrmodellen krävs en lösning för anslutning och efterlevnadskontroll som löpande samordnas med andra intressenter.
I detta ligger också omfattande utbildningsinsatser.
I styrmodellen är informationsklassning den mest omfattande aktiviteten som går från processorienterad informationskartläggning via själva klassningsmomentet till utvecklade gemensamma skyddsnivåer.
För att skyddsnivåerna ska kunna fylla sin funktion krävs omfattande insatser av både egen och extern kompetens inom områdena administrativ, fysisk och it-inriktad säkerhet.
Slutligen förutsätter en nationell styrmodell en väl utvecklad kunskapsstyrning.
Kunskap kan i detta sammanhang röra sig om kunskap om metoder men i ännu högre grad om att kunna ge ett vederhäftigt underlag för en styrning utifrån risk.
Det innebär att kunna förmedla en uppdaterad riskbild och att samtidigt kunna förmedla stöd för riskreducerande åtgärder.
Behovet av en nationell styrmodell förefaller större än någonsin, inte minst sett i perspektivet av att försöka samordna digitalisering och säkerhet.
Min fråga till statsrådet är därför var detta förslag hamnat.
En följdfråga till myndighetsföreträdarna är om det är omöjligt att utan ett formellt uppdrag från regeringen börja samarbeta på ett sätt som leder till konkreta samordnade stöd för – Herr ordförande, två konkreta frågor angående molntjänster.
I efterdyningarna av skandalen vid Transportstyrelsen har molntjänster blivit en huvudfråga för regeringen när det gäller säkerhet.
Samtidigt vet vi att molntjänster redan används i stor omfattning av svenska myndigheter, kommuner och regioner/landsting, att de ger effektiva lösningar och i många fall bättre säkerhet än om verksamheterna själva skulle drifta och förvalta i egen miljö.
Många av de tjänster som idag finns även som applikationer för egen förvaltning kommer snart enbart att finnas som molntjänster.
Samtidigt är det svårt för Söpple kommun att ställa krav på Microsoft och Google angående säkerhet och integritetsskydd.
En lösning som skulle kunna ge både bättre säkerhet och nödvändig effektivitet var om svenska staten på samma sätt som den tyska sluter ett gemensamt avtal med några av de stora jättarna.
Jag förstår problematiken när det gäller konkurrensfrågor m.m.
men vill ändå ställa frågan om detta är något regeringen överväger eller om varje kommun och myndighet även fortsättningsvis ska försöka lista ut om det är juridiskt korrekt att använda Office 365 samt ta fram sina egna avtal.
Jag skulle också vilja fråga om den ändring som redan skett, nämligen att SÄPO och Försvarsmakten tilldelats en vetorätt när det gäller utkontraktering av information från säkerhetskänslig verksamhet.
Detta ställer ju ansvarsprincipen på ända och jag funderar i detta sammanhang om regeringen ser framför sig även andra förändringar i denna grundpelare i svensk förvaltning.
Vem tar ansvar för verksamheten i det här fallet – SÄPO eller verksamhetsledningen?
-Herr ordförande, under dagens presentationer är det lätt att få föreställningen att säkerhet är ett enkelt och entydigt begrepp samt att säkerhetsåtgärder alltid är obestridligt ”goda”.
Den som ägnat minsta tanke åt detta och kanske dessutom kanske ändå studerat lite samhällsvetenskap, historia eller filosofi vet naturligtvis att så inte är fallet.
Säkerhet existerat alltid i en relation till andra värden.
En supersäker lösning som skulle förhindra alla brott vore att låsa in alla medborgare och slänga bort nyckeln för att dra frågan över det löjligas gräns.
Samtidigt måste jag som folkvald naturligtvis beakta de olika intressen som finns i samhället och som delvis står i konflikt med ”säkerhet”.
För mig framstår det som det finns tre värden som ständigt kommer i konflikt med den renodlade säkerheten; effektivitet, demokrati och individens integritet.
I digitaliseringssträvandena ligger önskan om effektivitet.
Demokrati i den form vi känner den är ett centralt element insyn och delaktighet.
Övervakning är per se en inskränkning i integritet.
Jag hörde ingen av talarna ta upp dessa konflikter och ställer därför frågan om myndighetsföreträdarna ser det som liggande utanför sitt uppdrag att även ta hänsyn till denna typ av aspekter.
Det är i så fall viktigt att veta eftersom utgångspunkten då måste vara att myndigheterna agerar som ”säkerhetsnördar” och de övriga perspektiven måste tillföras från annat håll innan beslut tas i viktiga frågor.
– Herr ordförande, jag tror vi alla är överens om att det finns ett stort behov av att utveckla informationssäkerheten i Sverige.
En absolut vital förutsättning för att kunna göra det är att det finns tillgänglig kunskap och kompetens på olika nivåer.
Min bedömning är att detta behov är skriande idag alltifrån den vetenskapliga nivån till att det saknas tusentals informationssäkerhetsansvariga företag, kommuner, landsting och myndigheter.
Detta leder till att vi inte vet vad vi ska göra för att faktiskt vara effektiva och att det saknas operativ förmåga att bedriva det säkerhetsarbete som åläggs olika aktörer.
Situationen kommer knappast att förbättras av sig själv eftersom det idag endast finns en handfull utbildningsplatser per år för att utbilda kompetenta informationssäkerhetsansvariga.
Många av de som idag är informationssäkerhetsansvariga (eller kallar sig certifierade och informationssäkerhetsexperter) saknar helt utbildning inom området.
Fortbildningsbehovet är därför oerhört stort.
Ytterligare en aspekt är att kunskapsuppbyggnad bygger på ett kritiskt tänkande och en öppen dialog.
Ett intryck från säkerhetsområdet är att det ofta präglas av en tystnadskultur och en anti-intellektualism.
Detta bygger, tror jag, på tradition, på att det saknas arenor för ett intellektuellt utbyte i säkerhetsfrågor och på att en osäker profession sluter sig inom sig själv i kotterier.
För att komma vidare och hitta den goda säkerhetskulturen som skapar kunskap och insikt även på den nationella nivån krävs insatser även från myndigheterna.
Min fråga är hur det stora kunskaps- och kompetensbehovet ska tillgodoses och hur myndigheterna kan verka för en god säkerhetskultur med kritiskt tänkande även i de nationella sammanhangen.
– Herr ordförande, en sista fråga.
I de presentationer vi tagit del av lyfts diverse försumligheter och bristande medvetande hos samhällets aktörer fram.
Däremot sägs mycket litet om och i så fall hur myndigheterna med särskilt ansvar för säkerhet bedriver en systematisk utvärdering av sina egna insatser.
Utvärdering är ju en grundläggande aktivitet i ett systematiskt arbetssätt och det finns därför anledning att anta att denna kvalitetshöjande mekanism måste vara inbyggd i myndigheternas verksamhet.
Detta framgår dock inte i de årsredovisningar jag tagit del av och inte heller i dagens presentationer.
Därför skulle jag vilja ställa frågan om den bristande säkerheten alltid är någon annans fel eller om det är möjligt att myndigheterna sett anledning att även förbättra sina egna insatser?
Det är klart man bänkar sig framför tv:n (i ärlighetens namn bakom en datorskärm) när riksdagen har en öppen utfrågning om cybersäkerhet vilket skedde förra Sändningen börjar med en lång och mycket grynig mingelupptagning när alla deltagare och åhörare ska leta upp sina platser.
Trots mitt seriösa intresse för frågan uppstår nästan omedelbart samma problem som under de senaste veckornas rapportering från Svenska akademien; gränsen mellan fiktivt och faktiskt berättande glider ihop.
Jag och mitt sällskap följer de stela tjänstemannakramarna, den tidigare statliga chefen som nu blivit lobbyist som ivrigt söker sällskapet hos sina tidigare kollegor, den aningen nervöse talskrivaren som flackar med blicken och hoppas på att chefen ska hålla sig till manus och inte sväva ut i egna funderingar, den tidigare myndighetschefen som överraskande dyker upp.
Soundtracket till House of cards tonar upp i medvetandet och det är med stigande intresse man följer scenen.
Enda missen sett ur ett underhållningsperspektiv är den tekniska kvaliteten och att personaget inte introduceras.
Den nerv som fanns i minglet dör tråkigt nog ut i samma ögonblick som redovisningarna av vad som sker på cybersäkerhetsområdet börjar.
Först ministern, sedan myndighetscheferna i tur och ordning.
Det mest förvånande är att absolut inget förvånande sägs.
Det är exakt samma saker som sägs som har upprepats i 15-20 år.
Inga nya lösningar, inga nya självinsikter och inga reflektioner av vad som skulle kunna ändras hos myndigheterna själva.
Naturligtvis förekommer ordet ”cyber” mer ymnigt än någonsin och aktuella catch phrases som ”det förändrade omvärldsläget”.
Nya aningen dunkla fenomen som ”civila cyberförsvaret” förs in utan att det klargörs vad exakt detta skulle vara.
Axiom som att brister upptäcks när incidenter rapporteras ventileras.
Det mest genomgående temat är att de utfrågade myndigheterna säger sig behöva ännu mer resurser.
Alltså i sak intet nytt.
Däremot saknar i alla fall jag ett analytiskt förhållningssätt där man faktiskt kommer in på frågan hur intresseavvägningen mellan den effektivitet som digitaliseringen står för och en bättre säkerhet ska göras på samhällsnivå.
Eller hur det demokratiska samhället ska leva ihop med den ständigt ökade övervakningen från både företag och staten.
Sammantaget blir utfrågningen en god illustration över varför nuläget är som det är: säkerhetslägret och digitaliseringslägret är som två cykloper som möts och aldrig skapas ett stereoseende.
Inte heller då riksdagsledamöterna släpps in för att ställa frågor efter statsrådets och myndighetschefernas redovisningar tillkommer något nytt perspektiv.
De folkvalda håller sig hovsamt inom den uppdragna ramen och ställer välvilliga frågor som möts av föga förvånande svar.
Enda gången där det hettar till är när det bekymmersamma läget i kommunerna återkommande lyfts fram och en representant från SKL i lätt agiterad ton hävdar att tillståndet minsann är bättre än så eftersom så många kommuner börjat använda KLASSA (!).
För att övertyga den som inte tror mig har jag sammanställt ett litet quiz där den som vill får gissa om citaten kommer från den öppna utfrågningen förra veckan eller från För att göra det litet svårare har jag bytt ut ”informationssäkerhet” i texten från 2005 mot ”cybersäkerhet”.
Innebörden i begreppsanvändningen är mycket likartad i detta sammanhang och samtliga talare förra veckan.
Den som först sänder in ett rätt svar bjuder jag på lunch eller ett glas efter jobbet.
Skicka in en tipsrad med A för SOU 2005:42, B för citat från utfrågningen.
En rimlig ståndpunkt är att tydliga begrepp i de flesta fall är en förutsättning för en fungerande kommunikation.
Personligen ser jag kommunikation som det viktigaste redskapet för att få till en fungerande informationssäkerhet både i den egna organisationen och nationellt.
Därför är begrepp inom informationssäkerhet en avgörande faktor för att lyckas.
Ett begrepp som gjort en raketkarriär är cyber.
Det är inte bara en allmän känsla utan stöds också av en sökning i Retriever, se graf: I många sammanhang, även från regeringen, lyfts betydelsen av s.k.
cybersäkerhet fram som en central fråga för det svenska samhället.
Jag uppfattar försvarsminister Peter Hultqvist som en informell rekordhållare då han lyckades säga ”cyber” inte mindre än 36 gånger i ett men då krävdes det också stycken som det här för att lyckas: Cyberdomänen, eller cyberrymden, vad vi än väljer att kalla den, har kommit att bli en ytterligare arena för militär och annan verksamhet.
Den trenden har varit tydlig under en tid.
Tidigare rapporter från Försvarsberedningen har lyft fram de problem och risker som präglar cyberdomänen.
Den tilltagande antagonistiska dimensionen i cyberrymden gör det nödvändigt att utveckla och stärka cyberförsvarsresurser.
Vi kan se att ett flertal länder i världen har gjort just det.
Det försvarspolitiska inriktningsbeslutet från 2015 innehöll ett tydligt och nytt steg i arbetet med svenskt cyberförsvar.
Här förekommer även sammansättningar som cyberdomänen respektive cyberrymden som antingen är samma sak eller möjligen inte eftersom begreppen används varannan gång t.o.m.
Detta är kanske bara ett uttryck för språkglädje där man vill variera uttrycken.
Hur som helst har begreppet ”cyber” här någon slags rumslig dimension.
I den nationella strategi för samhällets informations- och cybersäkerhet som regeringen presenterade 2017 och som statsrådet hänvisar till i sitt anförande saknas dock denna rumsliga dimension då begreppen som utgör strategins ämne definieras: Med informations- och cybersäkerhet avses i denna skrivelse en uppsättning säkerhetsåtgärder för bevarande av konfidentialitet, riktighet och tillgänglighet hos information.
Med konfidentialitet avses att obehöriga inte ska kunna ta del av informationen.
Med riktighet menas att informationen inte förändras, manipuleras eller förstörs på ett obehörigt sätt.
Med tillgänglighet menas att behöriga ska kunna ha tillgång till informationen på det sätt och vid den tidpunkt som tjänsterna erbjuder.
För informationssäkerhet som avser digital information används i denna skrivelse även begreppet cybersäkerhet.
I denna skrivelse används begreppen beroende av sitt sammanhang, där exempelvis cybersäkerhetsbegreppet är vanligt förekommande i en internationell .
Det är litet svårt att se skillnaden mellan informations- respektive cybersäkerhet men jag tolkar det som att man ser cybersäkerhet som en delmängd av informationssäkerhet där cybersäkerhet bara handlar om ”digital information”.
Cybersäkerhet anses också mer ”internationellt”.
För mig är blir det aningen besynnerligt att tala om digital information eftersom det blir en mix av information och bärare– när man exempelvis klassar information är det ju inte mediet som klassas utan informationsinnehållet.
För att få bättre bild av hur begreppet används av de myndigheter som har särskilda ansvar inom området och därmed ofta kommunicerar med begreppet i fokus skrev jag en enkel fråga till tre av dessa myndigheter; Försvarsmakten, SÄPO och MSB.
Begreppet ”cyber” används flitigt för tillfället.
Jag skulle behöva ha x:s definition av begreppet eftersom det används på olika sätt i olika sammanhang.
Samma dag fick jag svar från Försvarsmakten med en hel ordlista ( ) med sammansättningar med ”cyber”, däribland cybersäkerhet: Cybersäkerhet är den samling av säkerhetsåtgärder, riskhanteringsmetoder och tekniker som kan användas i syfte att bevara konfidentialitet, riktighet, spårbarhet och tillgänglighet i cyberrymden.
En stor eloge till FM för denna goda service!
Definitionen pekar mindre på styrning på organisatorisk men desto mer på konkreta säkerhetsåtgärder, alltså ganska långt från ledningssystem.
Åtgärderna ska vidtas i cyberrymden (med synonymer som cyberspace, cybermiljön, cyberarenan, cyberdomänen) som enligt begreppslistan är: Cyberrymden är den del av informationsmiljön som består av de sammanlänkade och av varandra beroende it-infrastrukturer, som möjliggör kommunikation, med tillhörande data och information.
Den inkluderar internet, intranät, telekommunikationssystem, it-system samt inbyggda processorer och styrenheter.
Jag uppfattar det som cyberrymden är den gemensamma tekniska infrastrukturen men inte informationen i sig.
Från SÄPO kom efter en knapp vecka det något förvånande svaret: Hej, Säkerhetspolisen har ingen egen definition av begreppet cyber.
Det är inte ett begrepp som används primärt i vår verksamhet.
Förvånande eftersom ”cyber” förekommer flitigt på SÄPO:s webbplats, i olika rapporter och utåtriktad verksamhet som och för att bara ta ett par exempel.
Slutligen då MSB där svaret satt hårdare inne och inte kom förrän efter en dryg månad: Hej!
Ordet ”cyber ”kan inte anses stå för sig själv, utan används av MSB i sammansättning med andra ord, främst ”cybersäkerhet”.
Beroende på sammanhanget använder MSB ordet ”cybersäkerhet” med något olika betydelse: MSB har under flera år engagerat sig i terminologifrågor och stöttar bl.a.
SIS i arbetet med terminologi på informations- och cybersäkerhetsområdet.
MSB planerar inte att ta fram en egen definition av begreppet cyber, eller cybersäkerhet.
De definitioner/beskrivningar som myndigheten behöver kunna använda är, enligt ovan, bl.a.
från regeringens strategier, standardiseringsorgan (ex SIS), FN, EU samt Nato.
Cyber/cybersäkerhet förekommer i dag i förslag till reglering från EU (den s.k.
cybersäkerhetsakten, COM(2017) 477 final).
Myndigheten har därmed tre olika definitioner för olika sammanhang och har dessutom gjort en egen utveckling av den definition som fanns med i 2017 år nationella strategi.
Detta blir aningen motsägelsefullt när man samtidigt säger sig använda befintliga definitioner/beskrivningar och inte utveckla egna.
Formuleringen om SIS undviker elegant att MSB faktiskt inte använder den definition av cybersäkerhet (”cyber” i sig själv ingår inte) som finns terminologin SIS-TR 50:2015 (tyvärr är jag inte länka till terminologin eftersom den inte är fritt tillgänglig): bevarande av konfidentialitet, riktighet och tillgänglighet hos information i cyberrymden Cyberrymden;telerymden har i sin tur definitionen: abstrakt rymd som utgörs av digital kommunikation mellan datornätverk och där all digital information befinner sig Med den förtydligande kommentaren: Cyberrymden innefattar all kommunikation via internet samt telekommunikation.
En cyberrymd möjliggörs av den hårdvara och de system som ingår i en infrastruktur.
Jag är inte alldeles säker på att jag förstår vad detta exakt betyder.
Terminologin verkar dock ha den implicita uppfattningen att ”cyber” har med internationella konflikter och antagonism att göra vilket markeras redan i det inledande stycket till kapitlet om Samhällets informations- och cybersäkerhet: Varje dag utsätts svenska myndigheter och företag för cyberattacker.
Detta har bidragit till att bl.a.
frågor om cybersäkerhet och cyberresiliens har blivit mer aktuella inom olika branscher.
Sverige, liksom många andra europeiska länder, har på senare år börjat uppmärksamma risken för cyberattacker som en global och militär hotbild.
Det är därför viktigt att introducera cybersäkerhet inom olika branscher för att öka förståelsen och kompetensen för hur man kan skydda information från dessa hot.
Cybersäkerheten har medfört nya termer, men eftersom området fortfarande är nytt kan dessa termer komma att ändras och det kommer att krävas fortsatt terminologiutredning inom detta område.
Det verkar inte råda någon konsensus om skillnaden mellan informations- och cybersäkerhet, utan de två termerna används ibland omväxlande.
Ibland används termen informationssäkerhet när inriktningen ligger på informationen och termen cybersäkerhet när det handlar om den digitala domänen; ibland ses cybersäkerhet som informationssäkerhet på en global nivå .
Samtliga sammansatta ord med förleden cyber som presenteras i terminologin är företeelser som skulle kunna ingå i en krigföring eller terrorism på hög nivå (cyberattack, cyberavskräckande, cyberförsvar, cyberkrigföring, cyberoperation osv.).
I en lustig cirkelrörelse hänvisar man i en fotnot till SOU 2015:23 (NISU) och den begreppsdiskussion som förs där på sidan 40: En grundläggande definitionsfråga för hela den svenska informationssäkerhetsnomenklaturen handlar just om innebörden av det svenska begreppet ”informationssäkerhet”.
På engelska är detta begrepp uppdelat i två betydelser dels ”Information Security” som utgår från ett tekniskt perspektiv och återspeglas i ISO 27001-standarden, dels i ”Information Assurance” som utgår från ett nationellt säkerhetsperspektiv och där även organisation och policy ingår.
I tidigare utredningsarbeten gjordes försök att särskilja det senare begreppet från det förra genom att introducera termen ”informationssäkring”, vilket också infördes i SIS-nomenklatur.
Begreppet – liksom den förenklade varianten ”övergripande informationssäkerhet” – vann aldrig någon uppslutning i det offentliga Sverige då det ansågs för komplicerat att beskriva.
Följden har dock blivit olyckliga sammanblandningar i begreppens innebörd – inte minst i internationella sammanhang.
Cybersäkerhetsbegreppet är mer strategiskt och fokuserar mer på nationella och internationella nätverk.
Därmed har cybersäkerhet en större internationell räckvidd med t.ex.
folkrättsliga frågeställningar och normer på cyberområdet än det mer tekniska informationssäkerhetsbegreppet.
Det senare har en större tyngdpunkt mot hård- och mjukvara samt standardisering.
Motivet för fokus mot cybersäkerhet är att det är på detta område som statsmaktsperspektivet behöver utvecklas då frågeställningarna ligger ovanför myndigheternas ansvarsområden, samt att avdömningar mellan olika sektorsstrategier kan behöva göras inom ramen för ett svenskt koherent nationellt förhållningssätt gentemot EU och andra internationella .
Detta är ju ett märkligt stycke där den uttalat organisatoriskt inriktade ISO 27001 framställs som fokuserade på tekniska åtgärder (!).
Cybersäkerhet sägs vara mer ”strategiskt” och verkande på nationell nivå.
Till att detta kommer alla företag som använder ”cyber” i olika konstellationer för sin produkter och tjänster som knappast är på nationell nivå.
Sammantaget är användningen av begreppet ”cyber” högst inkonsistent och rör sig i en skala från å ena sidan normal it-säkerhet med vissa tillägg av informationssäkerhet till en del av det nationella försvaret.
Vissa gemensamma drag tycks finnas som att det gäller digital infrastruktur i någon bemärkelse samt den renodlade inriktningen mot antagonistiska hot.
I övrigt är det ganska fritt valt vilken betydelse man vill ge ordet.
Är denna otydlighet då egentligen ett problem?
Det kanske behövs ett sådant här amorft begrepp som beskriver en amorf verklighet och inte enbart för sexa till vilken konferensrubrik eller vilket tjänsteutbud i it-sektorn som helst?
Kanske inte men jag måste ändå resa invändningen att om att vårt, enligt många, största hot förtjänar en något mer entydig beskrivning.
Att måla upp ett förödande hot mot nationen och mot enskilda men göra det i så oklara termer är inte bra för samhällsklimatet i en demokrati (vilket jag skrivit om tidigare).
Inte heller är det en fördel för kunder att erbjuda tjänster där det inte närmare går att avgöra vad tjänsten egentligen består i. Jag tycker därför att det är en rimlig önskan att åtminstone centrala myndigheter sätter sig ner för att begreppsmodellera vad ”cyber” är och vilken relation cybersäkerhet har till informationssäkerhet.
Betänk språklagens krav på myndigheterna: Språket i offentlig verksamhet ska vara vårdat, enkelt och begripligt.
Ingen kan idag förneka vikten av att förbättra informationssäkerheten i de samhällsviktiga verksamheterna.
Ett antal utredningar har under de senaste tre åren utmynnat i olika förslag på hur detta ska ske.
Tyvärr har fokus legat allt för mycket på reaktiva åtgärder som incidentrapportering och allt för litet på det förebyggande arbetet, detta trots att det ofta påpekats att de stora säkerhetsvinsterna kan göras genom olika typer av incidenter och säkerhetsproblem motverkas innan de uppstår.
För mig framstår den i särklass viktigaste förebyggande åtgärden att tillräcklig kompetens finns för att hantera informationssäkerhetsrelaterade frågor på olika nivåer.
För att uppnå detta krävs både episteme, fronesis och techne.
Det vill säga det måste finnas en vetenskaplig grund för att de åtgärder som vidtas är effektiva i förhållande till de problem de avses att lösa, att det måste finnas en praktisk kunskap hur fungerandeska bedrivas och det måste finnas en djupare förståelse att nya situationer kan hanteras.
Jag skulle vilja hävda att detta idag i allt för hög grad saknas.
Konkret kommer ett stort antal organisationers ledningar behöver ett kompetent stöd för att styra sittså att det motsvarar de risker som verksamheten är utsatt för och för att kunna tillvarata alla nya möjligheter som den pågående digitaliseringen innebär.
Jag pratar alltså inte om it-säkerhet som är inriktad på tekniska åtgärder utan informationssäkerhet som handlar om verksamhetsstyrning och information.
Utöver befintliga krav kommer även nya från bland annat dataskyddsförordningen, NIS, civilt försvar och en ny säkerhetsskyddslag.
Det gäller c.a.
350 myndigheter, 290 kommuner, ett tjugotal landsting/regioner och ett okänt antal privata aktörer som medverkar till att upprätthålla samhällsviktiga verksamhet.
En av de vanligaste frågorna jag får när jag besöker kommuner, regioner och myndigheter är vilka utbildningsmöjligheter som finns.
Hos de som får allt tyngre ansvar för det faktiskat finns såvitt jag kan bedöma en allt större medvetenhet om kompetensbehovet.
Till viss del fanns denna insikt även i den strategi för samhällets som MSB tog fram tillsammans med andra myndigheter.
Tyvärr har inte insikten utmynnat i några konkreta satsningar för att stödja utvecklandet av professionsinriktade utbildningar.
Även om behovet av kompetens är känt anvisas få vägar för kompetensförsörjningen.
Vare sig i den nationella säkerhetsstrategin eller i digitaliseringsstrategin, båda presenterade av regeringen 2017, nämns något om kompetensförsörjning inom informationssäkerhetsområdet.
Utredningar som SOU 2015:23 , SOU 2017:36 SOU 2017:114 liksom lagrådsremissen om ny säkerhetsskyddslag är lika renons på förslag annat än de som gäller utpekade tillsynsmyndigheter.
Den nationella strategin för informations- och cyberssäkerhet (Skr.
2016/17:213) skulle kunna inge ett visst hopp eftersom den faktiskt innehåller ett avsnitt som heter Öka kunskapen och främja kompetensutvecklingen.
Hoppet om att finna ett mål att tillgodose behovet av professionell kompetens generellt avtar dock snabbt då det visar sig att det som avses är att informera organisationer om sårbarheter och behovet av säkerhetsåtgärder samt att höja den enskilda användarens kunskap.
Samtliga strategier och utredningar tycks dock förutsätta att den kompetens som behövs kommer att finnas utan vidare styrning.
Jag delar inte denna tilltro till den osynliga handen.
Istället ser jag att vi står inför ett mycket stort och komplicerat kompetensförsörjningsbehov.
Bara det ett nyrekryteringsbehov av något hundratal informationssäkerhetsspecialister årligen till kommuner och landsting/regioner som kanske har samhällets mest komplexa informationssäkerhetsbehov måste uppmärksammas.
Många av oss som idag är verksamma inom informationssäkerhetsområdet saknar formell utbildning för våra jobb eftersom utbildningar helt enkelt inte funnits i någon högre grad (jag jämställer inte olika certifieringar med högskoleutbildning även om de säkert är bra på sitt sätt).
Därav ett stort fortbildningsbehov.
De kurser på högskolenivå som erbjuds idag via en sökning på antagning.se för hösten 2018 är antingen korta kurser eller har en renodlad teknisk inriktning.
Undantagen är masterutbildningar i Örebro som har ett handfull platser samt i Luleå där ett organisatoriskt perspektiv tillförs en huvudsak it-inriktad utbildning.
Detta räcker naturligtvis inte långt.
Mitt förslag är därför att en utredning tillsätts som tillåts koncentrera sig på hur behovet av kunskap och kompetens inom informationssäkerhetsområdet ska tillgodoses under de närmaste åren.
Utgångspunkten är att staten måste ta ett betydligt större ansvar för kunskapsförsörjning på en vetenskaplig nivå och för att kunskapen omsätts till kompetenshöjande åtgärder för prioriterade målgrupper i samhället.
Målen bör vara att det gemensamma utbildningsplaner för en treårig högskoleutbildning som informationssäkerhetsspecialist med inriktning på organisation och information, att det utbildas 50 informationssäkerhetsspecialister per år samt att varje kommun har tillgång till minimum en halvtids informationssäkerhetsspecialist.
Inom detta fält kan även utbildningar av typen ”informationssäkerhetsspecialist kommunal verksamhet” och ”informationssäkerhetsspecialist hälso- och sjukvård” kunna finnas.
Även fortbildningar för redan yrkesverksamma bör ingå i ett kunskapslyft för informationssäkerhetsområdet.
Utan denna typ av insats har jag mycket svårt att se hur alla andra mål för att höja samhällets informationssäkerhet ska kunna realiseras.

Alla våra moderna samhällsbärande system bärs upp av den nya informationsteknologin.
Det går inte att organisera fram cybersäkerhet utan det krävs resursförstärkningar.
Enligt x mening är det av strategisk betydelse att kunna säkerställa kompetensförsörjningen inom informationssäkerhetsområdet.
X konstaterar också att staten behöver egen och unik kompetens.
Staten har också det yttersta ansvaret för den nationella säkerheten, vilket ställer särskilda krav.
Staten förfogar över en rad administrativa, ekonomiska och informativa styrmedel.
I praktiken är dessa relativt svagt utvecklade på informationssäkerhetsområdet.
Vår sårbarhet ökar och vi har stora brister trots att stora åtgärder vidtagits.
Såsom beskrivet i skrivelsen Nationell strategi för samhällets informations- och cybersäkerhet (Skr.
2016/17:213, Justitiedepartementet) där definitionen är ”informationssäkerhet som avser digital information”.
För att inte riskera en snäv tolkning som att det enbart omfattar it- och nätverkssäkerhet anser MSB att cybersäkerhet i detta sammanhang avser säkerhetsåtgärder på samhällelig strategisk nivå, främst reglerande och samordnade åtgärder, som behövs så att samhällets aktörer kan bedrivapå organisatorisk nivå, främst för information som hanteras digitalt.
Såsom beskrivet i Sveriges inlaga till FN:s generalförsamling att cybersäkerhet tydligare beskriver de skyddsåtgärder som innefattar konfidentialitet, tillgänglighet och riktighet för att inte blandas samman med den betydelse av informationssäkerhet som används av vissa länder eller organisationer som en del av en doktrin där synen att informationsinnehållet som sådant är ett hot.
I de fall MSB har samverkan med andra organisationer (såsom EU, NATO och FN) kan viss annan betydelse av cybersäkerhet förekomma, utefter de samverkande organisationernas definition av begreppet.

inom

Meny Säkerhetsskydd

MENU MENU Postat av Postad i , , Tagged , Postat av Postad i , , Tagged , , Postat av Postad i , , , , , Tagged , , , , , , Postat av Postad i , , , Tagged , , , , , postat av Postad i , , Tagged , , , , , Postat av Postad i , , , , , , , Tagged , , , , , , , Sök efter:

Förslag till informationssäkerhetspolitik.
Begrepp med definitioner för cyber Informations- och cybersäkerhet i Sverige Informationssäkerhet för samhällsviktiga och digitala tjänster, reboot – omstart för den digitala förvaltningen

Det är lätt att bli tidsblind men jag tror att vi även efterhand kommer att uppfatta våren 2020 som den värsta krisperioden i Sverige sedan andra världskriget.
Skadad av historiska studier är jag väl medveten om hur svårt det är att bedöma nutiden medan den pågår men har ändå blivit fascinerad av hur den nationella beredskapen fungerar när det som alla pratar om men ingen sett inträffar.
Det vill säga den stora samhällskrisen.
En termometer på hur väl det svenska krissystemet mår är den centrala myndigheten för dessa frågor Myndigheten för samhällsskydd och beredskap, MSB.
Jag hade egentligen, efter att ha studerat ett ganska stort antal allmänna handlingar, tänkt skriva om hur myndigheten hanterat det beryktade enkätverktyget.
Det är i sig en intressant historia som i delar redan skildrats av flera medier, kanske mest heltäckande av Arbetaren bland annat .
När man läser handlingarna är det så många överraskande steg allt sedan regeringen den 19 mars ger MSB ett uppdrag (Ju2020/01165/SSK) : Regeringen uppdrar åt Myndigheten för samhällsskydd och beredskap (MSB) att säkerställa att myndigheternas information med anledning av utbrottet av det nya coronaviruset är samordnad och tydlig samt att det finns effektiva kanaler för att föra ut informationen.
I uppdraget ingår att skyndsamt utarbeta ett nationellt informationsmaterial som på ett effektivt sätt ska kommuniceras till så många som möjligt.
MSB får 75 miljoner (!)
för att genomföra uppdraget under 2020, ett uppdrag som till synes inte på något sätt innehåller smittspårning eller insamlande av uppgifter.
Kanske är det de 75 miljonerna som snedvrider uppdraget från början, kanske lockar de 75 miljonerna till sig aktörer som ger myndigheten tips om vad de skulle kunna hitta på för att sätta sprätt på pengarna.
I vilket fall så är det inte MSB:s professionella kommunikatörer som får lead i detta jättelika kommunikationsuppdrag utan Avdelningen för cybersäkerhet och säkra kommunikationer.
Det formella beslutet på denna interna delning kommer den 26 mars, dagen efter att MSB bjudit in Folkhälsomyndigheten till ett möte där den förra myndigheten erbjuder den senare ett digitalt verktyg, allt enligt minnesanteckning från mötet: Kort möte med GD Folkhälsomyndigheten (FHM) sen em 25/3.
MSB tar upp initiativ kring digitalt verktyg för digital självskattning.
GD FHM positiv, betonar att ett sådant här verktyg inte ska driva fysisk testning i fel riktning.
Viktigt att anpassa svar på självskattning så respondenten inte förväntar sig att bara för att man gör digitalt test så får man fysiskt test.
Vad som händer under veckan där MSB:s samordningsuppdrag för myndigheters kommunikation angående corona övergår till att handla om ett digitalt verktyg för självskattning av smitta är för mig okänt men det är uppenbart att det är MSB som vill ha verktyget.
Litet småaktigt vill jag poängtera det eftersom jag själv blivit åthutad på sociala medier av en i utvecklingsarbetet involverad konsult när jag hävdade att det var så det låg till.
Några dagar efter åthutningen gick MSB officiellt ut och sa att det var på deras initiativ som verktyget .
Note to self som konsult: undvik att agera som dina kunders talesperson om du inte formellt blivit ombedd.
Enligt den juridiska utredning som MSB låter en extern byrå genomföra framgår det att det inte ingår i MSB:s uppdrag att bedriva smittspårning.
Därför måste man ha med sig expertmyndigheten FHM för att kunna genomföra projektet med digital självskattning.
Redan här går det se de problem som snart kommer att göra att projektet blir en återvändsgränd.
Rollen som samordnande myndighet kräver respekt för olika aktörers uppdrag och mandat och detta särskilt i trängda lägen, inte att man försöker ta över andra myndigheters uppgifter.
Sedan följer en närmast smärtsam historia fram till slutlig nedläggning via ett antal anhalter där det blir allt tydligare att ingen utom MSB (och leverantör samt konsulter) är intresserade av verktyget.
Kontentan blir x antal miljoner i sjön (konsultkostnaderna är inte medräknade i de 6,4 miljoner som MSB ska betala till leverantören), en granskning av Konkurrensverket och ett rejält tapp i anseende när MSB som bäst skulle behöva det.
Sannolikt har MSB tappat i förmåga att genomföra det egentliga uppdraget från regeringen: att samordna myndigheters information angående corona vilket knappast kan glädja uppdragsgivaren.
Det går att föreställa sig mindre trivsamma samtal på regeringskansliet.
Som en slutkommentar till Arbetaren säger MSB:s pressekreterare: Vi tar hellre kritik för att vi skyndar på att ta fram en lösning som på något sätt kan vara till hjälp när människor dör, än att få kritik för att vi sitter på händerna och inte gör något.
Vi ansåg att vi var, och är, i ett läge där det var viktigt att agera när det handlar om människoliv.
MSB reagerar alltså exakt på det sätt som jag skrivit om i ett tidigare , att göra NÅGOT känns alltid bättre även om detta något är inte leder framåt eller förbättrar situationen.
I krissituation är det viktiga tillit och att alla vet vem som ska göra vad.
I bakhuvudet gnager en liten olustig känsla av att myndigheten kan ha reagerat på yttre påverkan vilket lett fram till haveriet.
Det är lätt att glömma bort att de vanligaste påverkanskampanjerna är de ekonomiska.
Det skulle vara lätt att göra sig lustig över denna tragikomiska historia.
Det är inte min intention.
Istället får den mig, liksom många andra i dessa dagar, att reflektera över den svenska beredskapen och myndigheters förmåga.
Framförallt funderar jag på hur MSB (och andra myndigheter) förefaller så synnerligen oförberedda på en pandemi att man är tvungen att kasta sig in i så äventyrliga och ofruktbara aktiviteter som webenkäten.
Pandemi är verkligen inte en svart svan i ett riskperspektiv utan snarare vad Michele Wucker kallar en ”grå noshörning”: A “gray rhino” is a highly probable, high impact yet neglected threat: kin to both the elephant in the room and the improbable and unforeseeable black swan.
Pandemier har redan inträffat och har varit på MSB:s short list över samhällsrisker ända sedan myndigheten startade.
Ändå tycks inte nödvändiga förberedelser för samordning i en pandemisituation ha gjorts.
Detta ska inte MSB lastas för utan snarare de regeringar som styrt under perioden.
Kanske måste djurmetaforerna gå vidare till svarta strutsar (ja, jag vet att det inte är så i verkligheten att strutsar gräver ner huvudet vid annalkande fara men det är en bra metafor).
Nu pratas det i alla politiska läger om vikten av att förbättra den civila beredskapen och kanske till och med snegla tillbaka till beredskapens guldålder i Sverige: .
Problemet med detta är att det innebär att ett antal av dagens heliga kor måste slaktas om det ska fungera.
Det är inte bara mycket stora ekonomiska resurser som behövs.
Vi har under närmare 40 år demonterat den starka staten som är en förutsättning för en sammanhållen nationell beredskap och istället privatiserat och fragmentiserat ansvaret utan tanke på hur alla skärvor ska kunna skapa en helhet då det behövs.
Typexemplet på detta är ansvarsprincipen som inte är inskriven i någon lag men som har haft en förödande inverkan på den gemensamma styrningen av krisberedskapen.
Fragmentiseringen har inte kompenserats med en stark myndighet som nationellt nav.
MSB:s roll är istället att försöka samordna utan sammanhållen nationell planering och i stort utan mandat att faktiskt styra samhällsviktiga aktörer.
Fallet med webenkäten får tolkas som ett utslag av MSB:s omöjliga roll och borde vara ett exempel av många som bör leda till att ansvarsprincipen omprövas och att en verklig krisberedskapsmyndighet med fullt mandat skapas.
Kriser har den fördelen att de oftast tar slut.
Att framgångsrikt hantera kriser bygger därför på att man inte bara hanterar nuet utan även framtiden.
Folkhälsomyndigheten har varit beundransvärda i att de lyckats hålla blicken uppe och fått allt fler att förstå att bekämpningen av coronaviruset inte bara handlar om drastiska åtgärder här och nu utan att vi både måste tänka på nästa virusvåg som kanske kommer redan i höst.
Ett annat budskap är att vad som ska värnas är folkhälsa där virusbekämpningen inte får överskuggande sekundäreffekter som i skapar större ohälsa och död än själva viruset.
Däremot når nu MSB:s insatser en sådan nivå att de t.o.m.
får vara med i satirinslaget i P1, en ynnest som är få myndigheter förunnad.
Inslaget handlar förstås om den famösa enkätappen som jag omnämnde i mitt förra och som nu även tagits upp i MSB har hintat om lanseringen av appen med en näraliggande men okänd startpunkt.
Tyvärr har myndigheten inte någon kommunikationslinje i frågan, vid konkreta frågor som i Eko-inslaget kommer endast undflyende svar.
Jag kan förstå det.
Det är svårt att sälja in en lagring av personuppgifter på befolkningsnivå i en amerikansk molntjänst.
Eftersom jag själv varit engagerad i svagheterna i projektet Hälsa för mig så har jag svårt att känna stark tilltro till att det snabbt går att vispa ihop en dylik tjänst med tillräcklig säkerhet och med tillräcklig respekt för dataskyddsförordningen.
Det är ju liksom ingen slump att eSam gjort ett om det olämpliga i att använda molntjänster när personuppgifter eller annan känslig information förekommer.
Vid sidan om själva enkätappen är MSB:s kommunikation den lika märklig.
Grunden för fungerande kriskommunikation är att inte skapa mer oro än nödvändigt utan delge de fakta som finns och som är relevanta i den aktuella situationen.
MSB har nu haft några olyckliga veckor trots att de ska vara samhällets experter på kriskommunikation.
Kanske tröttnade man att vara transportsträckan i dagliga presskonferensen på Folkhälsomyndigheten och att det var orsaken till att man helt plötsligt spicade upp sin monotona redogörelse om samordningsmöten med länsstyrelserna med att föranstalta en möjlig vattenbrist.
En signal som ledde till att redan hårt tyngda kommuner fick svara på helt irrelevanta frågor om icke-existerande vattenbrister från oroliga medborgare och medier.
Sedan detta smyglanserande av enkätappen som skapar frågor som inte besvaras utan skjuts till en obestämd framtid.
Detta leder inte till en större tillit i krisen.
Någon skulle kunna invända att nu när vi står inför en så stor kris som denna blir frågor som säkerhet och integritet underordnade.
Jag håller inte med om detta utan som jag skrev i mitt tidigare inlägg så är det när vi är som mest pressade som vi måste försöka tänka klart och följa de rutiner vi satt i normalläget, t.ex.
gällande riskbedömningar.
Vi ser nu hur det runt om i världen sker överträdelser mot grundläggande rättigheter och att auktoritära medel som inkräktar på individens sfär alltför villigt vidtas.
I Sverige har vi en lång stabil tradition av tillit och respekt men det finns ingen garanti att vi klarar att bevara detta.
Att myndigheterna sköter sig, inte genar eller agerar impulsivt är också grunden för den tillit som krävs för krisbekämpningen – inklusive att genomföra smittspårning m.m.
Efterklokt skulle man möjligen kunna kritisera myndigheterna för att de inte tagit fram ett smittspårningsverktyg i mellantiden sedan svininfluensan för ett decennium sedan utan börja ad hoca nu för då skulle säkerhetsfrågorna sannolikt kunnat hanteras på ett systematiskt sätt men det båtar föga.
Naturligtvis skulle man kunna säga att det är dumt att spekulera när så litet är känt och allt det jag skriver nu står på en mycket vacklande grund.
Ändå är detta en så viktig fråga att det är svårt att låta bli och spekulationernas kvalitet blir även den ett resultat av MSB:s kommunikationsplan.
För mig är det svårt att förstå hur en kombination av inloggning med BankID, amerikansk molntjänst och och känsliga personuppgifter inte skulle leda till mycket stora risker och att dataskyddsförordningen inte kan efterlevas.
MSB:s gedigna juridiska kompetens har möjligen gjort en annan bedömning men det är just den man skulle vilja ta del av, särskilt som den rimligen redan är färdigställd om breddlanseringen ska ske i dagarna.
Med den som underlag skulle kriskommunikationen kunna ske utan att orimliga spekulationer och onödig oro uppstår.
Mitt förslag är att, särskilt efter medieuppmärksamheten, MSB omedelbart presenterar den som är av stort intresse särskilt för oss som följt diskussionerna efter eSams uttalande.
Har MSB lyckats knäcka den nöten så är det stora nyheter för både Eller så har jag och en hel del andra missuppfattat upplägget (inte alls otroligt) och då vore det ju bra om MSB gick ut och beskrev hur det egentligen ser ut.
Är det så att MSB inte har ett vattentätt underlag så kommer man att underminera det mycket mödosamma arbete som bedrivs i många, om inte de flesta, organisationer, idag för att nå fram till ett ansvarsfull sätt att hantera molntjänster.
Detta menar jag vore förödande för MSB som den myndighet som ska samordna samhälletsslarvar med säkerheten.
Det skulle leda till att det svenska samhället skulle få ännu svårare att bemästra de mycket utmanande uppgifter vi redan står inför.
MSB:s egen verksamhet är ett show room för hur det är tänkt att andra myndigheter ska agera och förutom legitimitet finns det också mycket reell säkerhet att förlora om inte MSB klarar sin roll att leda genom sitt exempel.
MSB:s skrift Om krisen eller kriget kommer har en aningen märklig titel som om det finns ett krisfritt alternativ.
Jag tror både myndigheten och vi andra skulle tjäna på att ”när” snarare än om, i alla fall när det gäller kriser.
När krisen verkligen kommer skapas ett skilje där organisationer och individer ofrivilligt visar sitt virke, om man klarar att fungera rationellt även under press.
Planering för vad som ska göras när allt står på ända är ett bra sätt att stärka sitt virke.
Så än mer att kunna upprätthålla sina principer och sin planering när krisen väl inträffar.
Länge fanns en syn att säkerhet var ett hinder för en fungerande verksamhet.
Långsamt har vi tagit oss till en situation där allt fler ser att säkerhet inte är hinder för verksamheten utan en förutsättning, och då alldeles särskilt i svåra situationer.
Vi kan inte gå tillbaka till ett antingen det ena eller det andra, vi måste fortsätta kämpa för både effektivitet och säkerhet.
Det är bra om MSB befinner sig på rätt sida i det arbetet så att inte nya stora problem har skapats som ger utslag när krisen väl är över.
Ingen kan idag förneka vikten av att förbättra informationssäkerheten i de samhällsviktiga verksamheterna.
Ett antal utredningar har under de senaste tre åren utmynnat i olika förslag på hur detta ska ske.
Tyvärr har fokus legat allt för mycket på reaktiva åtgärder som incidentrapportering och allt för litet på det förebyggande arbetet, detta trots att det ofta påpekats att de stora säkerhetsvinsterna kan göras genom olika typer av incidenter och säkerhetsproblem motverkas innan de uppstår.
För mig framstår den i särklass viktigaste förebyggande åtgärden att tillräcklig kompetens finns för att hantera informationssäkerhetsrelaterade frågor på olika nivåer.
För att uppnå detta krävs både episteme, fronesis och techne.
Det vill säga det måste finnas en vetenskaplig grund för att de åtgärder som vidtas är effektiva i förhållande till de problem de avses att lösa, att det måste finnas en praktisk kunskap hur fungerandeska bedrivas och det måste finnas en djupare förståelse att nya situationer kan hanteras.
Jag skulle vilja hävda att detta idag i allt för hög grad saknas.
Konkret kommer ett stort antal organisationers ledningar behöver ett kompetent stöd för att styra sittså att det motsvarar de risker som verksamheten är utsatt för och för att kunna tillvarata alla nya möjligheter som den pågående digitaliseringen innebär.
Jag pratar alltså inte om it-säkerhet som är inriktad på tekniska åtgärder utan informationssäkerhet som handlar om verksamhetsstyrning och information.
Utöver befintliga krav kommer även nya från bland annat dataskyddsförordningen, NIS, civilt försvar och en ny säkerhetsskyddslag.
Det gäller c.a.
350 myndigheter, 290 kommuner, ett tjugotal landsting/regioner och ett okänt antal privata aktörer som medverkar till att upprätthålla samhällsviktiga verksamhet.
En av de vanligaste frågorna jag får när jag besöker kommuner, regioner och myndigheter är vilka utbildningsmöjligheter som finns.
Hos de som får allt tyngre ansvar för det faktiskat finns såvitt jag kan bedöma en allt större medvetenhet om kompetensbehovet.
Till viss del fanns denna insikt även i den strategi för samhällets som MSB tog fram tillsammans med andra myndigheter.
Tyvärr har inte insikten utmynnat i några konkreta satsningar för att stödja utvecklandet av professionsinriktade utbildningar.
Även om behovet av kompetens är känt anvisas få vägar för kompetensförsörjningen.
Vare sig i den nationella säkerhetsstrategin eller i digitaliseringsstrategin, båda presenterade av regeringen 2017, nämns något om kompetensförsörjning inom informationssäkerhetsområdet.
Utredningar som SOU 2015:23 , SOU 2017:36 SOU 2017:114 liksom lagrådsremissen om ny säkerhetsskyddslag är lika renons på förslag annat än de som gäller utpekade tillsynsmyndigheter.
Den nationella strategin för informations- och cyberssäkerhet (Skr.
2016/17:213) skulle kunna inge ett visst hopp eftersom den faktiskt innehåller ett avsnitt som heter Öka kunskapen och främja kompetensutvecklingen.
Hoppet om att finna ett mål att tillgodose behovet av professionell kompetens generellt avtar dock snabbt då det visar sig att det som avses är att informera organisationer om sårbarheter och behovet av säkerhetsåtgärder samt att höja den enskilda användarens kunskap.
Samtliga strategier och utredningar tycks dock förutsätta att den kompetens som behövs kommer att finnas utan vidare styrning.
Jag delar inte denna tilltro till den osynliga handen.
Istället ser jag att vi står inför ett mycket stort och komplicerat kompetensförsörjningsbehov.
Bara det ett nyrekryteringsbehov av något hundratal informationssäkerhetsspecialister årligen till kommuner och landsting/regioner som kanske har samhällets mest komplexa informationssäkerhetsbehov måste uppmärksammas.
Många av oss som idag är verksamma inom informationssäkerhetsområdet saknar formell utbildning för våra jobb eftersom utbildningar helt enkelt inte funnits i någon högre grad (jag jämställer inte olika certifieringar med högskoleutbildning även om de säkert är bra på sitt sätt).
Därav ett stort fortbildningsbehov.
De kurser på högskolenivå som erbjuds idag via en sökning på antagning.se för hösten 2018 är antingen korta kurser eller har en renodlad teknisk inriktning.
Undantagen är masterutbildningar i Örebro som har ett handfull platser samt i Luleå där ett organisatoriskt perspektiv tillförs en huvudsak it-inriktad utbildning.
Detta räcker naturligtvis inte långt.
Mitt förslag är därför att en utredning tillsätts som tillåts koncentrera sig på hur behovet av kunskap och kompetens inom informationssäkerhetsområdet ska tillgodoses under de närmaste åren.
Utgångspunkten är att staten måste ta ett betydligt större ansvar för kunskapsförsörjning på en vetenskaplig nivå och för att kunskapen omsätts till kompetenshöjande åtgärder för prioriterade målgrupper i samhället.
Målen bör vara att det gemensamma utbildningsplaner för en treårig högskoleutbildning som informationssäkerhetsspecialist med inriktning på organisation och information, att det utbildas 50 informationssäkerhetsspecialister per år samt att varje kommun har tillgång till minimum en halvtids informationssäkerhetsspecialist.
Inom detta fält kan även utbildningar av typen ”informationssäkerhetsspecialist kommunal verksamhet” och ”informationssäkerhetsspecialist hälso- och sjukvård” kunna finnas.
Även fortbildningar för redan yrkesverksamma bör ingå i ett kunskapslyft för informationssäkerhetsområdet.
Utan denna typ av insats har jag mycket svårt att se hur alla andra mål för att höja samhällets informationssäkerhet ska kunna realiseras.

om

MENU MENU Postat av Postad i , , , Tagged , , Postat av Postad i , , , , , Tagged , , , Postat av Postad i , , , , , , , Tagged , , , , , , , Sök efter:

Informations- och cybersäkerhet i Sverige Informationssäkerhet för samhällsviktiga och digitala tjänster, reboot – omstart för den digitala förvaltningen

Jag har tagit del av den granskningsrapport som KPMG genomfört på uppdrag av Region Stockholm efter 1177-skandalen och som av en händelse (?)
publicerades dagen för midsommarafton.
Rapportens omfång motsvarar på intet sätt skandalens omfång utan är ett luftigt dokument på 14 sidor inklusive bilagor.
Att rapporten är tunn räknat i sidor behöver naturligtvis inte påverka skärpan i analysen men som rätt luttrad granskare av informationssäkerhet känns de 14 sidorna som rätt kraftigt i obalans med uppdragets genomförande och omfattning: Granskningen har omfattat en kombination av IT-revision, inhämtning av information från tillgänglig dokumentation av karaktären styr- och stöddokument, uppföljningsrapporter samt intervjuer med nyckelpersoner.
Granskningen har utgått från vedertagna granskningsmetoder inom området informationssäkerhet, vilket omfattat såväl Vårdgivaren och dennes underleverantörer som Region Stockholm genom HSF.
En lista över de personer som intervjuats återfinns i bilaga 2.
Granskningen har genomförts under maj-juni 2019.
Vidare är rapportens utformning i avvikelseformat där endast väsentliga iakttagelser har lyfts fram med förslag på förbättringsåtgärder, inklusive eventuella behov att förtydliga avtal, uppföljningsrutiner och processer för att minimera att motsvarande inträffar igen.
Att på så få sidor beskriva Region Stockholms, Medhelps och ett antal underleverantörers styrning av sin informationssäkerhet, vad som gått fel och vad som bör göras för att undvika att systemfel som det inträffade upprepas känns inte riktigt seriöst.
Den sammanfattande bedömningen är dock på allvar oroande: Vår övergripande bedömning är att HSF bör se över kravställningen på informationssäkerheten i samband med upphandlingar samt att uppföljningsprocessen behöver struktureras och formaliseras för icke funktionella krav, däribland informationssäkerhet.
I allt väsentligt behöver kravställningen preciseras för att säkerställa att leverantörerna är införstådda i HSF:s förväntningar, men även för att öka den interna förståelsen för hur kraven ska följas upp.
Att avtalskraven beträffande informationssäkerhet är allmänt hållna, samtidigt som standarden inom området inte är fullt integrerad i HSF:s verksamhet, innebär i praktiken att Vårdgivarens hantering av informationssäkerhet endast har följts upp i begränsad omfattning.
Vad gäller Vårdgivaren kan vi konstatera att det inte finns något dokumenterat ledningssystem för informationssäkerhet samt att det förekommit brister i rutinen för utvärdering och uppföljning av underleverantörer till vårdtjänsten.
Vi noterar dock att Vårdgivaren, sedan incidenten, arbetar med en åtgärdsplan för att förbättra informationssäkerheten, rutiner beträffande kontroll av leverantörer samt planerar för en certifiering inom ISO 27001.
Vi noterar att de akuta bristerna hänförliga till incidenten har hanterats, bland annat genom den skyndsamma nedstängningen av den felkonfigurerade servern, uppsägningen av avtalet med underleverantören som givit upphov till incidenten samt inhämtandet av all patientinformation till Vårdgivarens egen tekniska lösning.
Vi har dock identifierat ett antal framåtblickande förbättringsområden som rör HSF:s övergripande arbetssätt beträffande informationssäkerhet, fördelningen av roller och ansvar samt metoden för hantering och uppföljning av leverantörer.
Vidare har vi även identifierat åtgärder hänförliga till Vårdgivarens arbete med informationssäkerhet och den planerade ISO-certifieringen samt sättet till vilket Vårdgivaren arbetar med att vidareförmedla HSF:s avtalskrav beträffande informationssäkerhet.
HSF är alltså Hälso- och sjukvårdsförvaltningen i Region Stockholm och vårdgivaren Medhelp.
Att Region Stockholm inte lyckas formulera tydliga säkerhetskrav i upphandlingar i en så central tjänst som 1177 är i sig skandalöst.
Att sedan Medhelp som vårdgivare helt saknar ledningssystem för informationssäkerhet och att Region Stockholm inte ens ställt krav på en så grundläggande nivå är information som bekräftar min bild att den svenska sjukvården fortfarande ignorerar behovet av informationssäkerhet.
1177-skandalen var trots allt bara sten som vändes, om än stor.
Det som verkligen oroar är de brister i Region Stockholm säkerhetsarbete som avslöjas indirekt i rapporten.
Dessa brister gör det mycket sannolikt att 1177 bara är en del i större systemfel där patienters hälsa och integritet är i en ständig riskzon om rapportens uppgifter stämmer.
Ta till exempel följande iakttagelse från granskarna: HSF saknar ett fullständigt ledningssystem för informationssäkerhet (LIS).
Enligt den regionsövergripande informationssäkerhetspolicyn ska varje nämnd införa ett lokalt ledningssystem för informationssäkerhet.
I förekommande fall har HSF tagit fram lokala styrande dokument för informationssäkerhet, men dessa återspeglar i allt väsentligt de styrdokument som finns på regional nivå.
Graden av verksamhetsanpassning är relativt låg och förvaltningen har inte tagit fram några instruktioner eller utvecklat processer för hanteringen av informationssäkerhet.
Vi noterar att instruktioner håller på att arbetas fram, men dessa berör hanteringen av portabel IT-utrustning och syftar således inte till att tydliggöra riktlinjerna för hur förvaltningen.
Region Stockholm har alltså inte tagit fram säkerhetsregler för avpassade för sjukvården utan i huvudsak nöjt sig med de generella för regionen (trots att det funnits en föreskrift att så ska göras sedan 2008 SOSFS 2008:14) och att man inte heller är på väg att göra det för mer än för bärbar utrustning.
Jag tror redan den som rent tillfälligt jobbat med informationssäkerhet i vården förstår hur mycket arbete och eftertanke som krävs för att anpassa generella regler så att de fungerar i vården, t.ex.
bara att ge en uttolkning av ansvasförhållandena för informationshanteringen är en mycket komplex fråga.
Situationen i Region Stockholm gäller även hos Medhelp som inte heller har förmåga att ställa relevanta krav på sina underleverantörer: Processer och rutiner ska finnas för att säkerställa uppfyllandet av Socialstyrelsens krav på informationssäkerhet.
Vårdgivaren har inget dokumenterat LIS och det är vår bedömning att vissa processer saknas för att kunna försäkra att kraven uppfylls.
Vi noterar exempelvis att Vårdgivaren, i enlighet med vedertagna standarder och god praxis, inte har ställt ändamålsenliga krav på samt följt upp leverantörers hantering av informationssäkerhet.
Vidare anger Socialstyrelsen att vårdgivare ska ha en informationssäkerhetspolicy som anger mål och inriktning på verksamhetens arbete med informationssäkerhet.
Vi har identifierat att Vårdgivaren har antagit en informationssäkerhetspolicy i maj 2019.
Vi noterar i sammanhanget att Vårdgivaren planerar för en certifiering inom ISO 27001 till kvartal 2, 2020 samt har ett ledningssystem för GDPR.
Den här råttan-på-repet situationen illustrerar väl varför startpunkten för att förbättra säkerheten i vården på måste ligga på sjukvårdshuvudmännen eftersom det är huvudmännen som utformar förutsättningarna för de övriga aktörerna.
Tyvärr har ju lagstiftning och föreskrifter i huvudsak varit inriktade på vårdgivarna vilka i praktiken numera har svårt att ens den egna informationssäkerheten eftersom informationen hanteras i gemensamma lösningar.
Det är därför extra nedslående när sjukvårdshuvudmännen väljer att inte driva frågan ens i den egna verksamheten och inte heller att respektera de föreskrifter som finns.
Framför allt är det en fråga där det inte skulle behövas en föreskrift för att få de styrande i Sveriges största sjukvårdshuvudman att inse behovet av att styra informationshanteringen så att patienterna kan lita på att få god och säker vård.
I den kommentar som regionens ansvariga för vård upprepar man att man ska införa emen fokuserar i åtgärderna huvudsakligen på underleverantörerna.
Men att styra underleverantörerna utan ett eget fungerande regelverk är ett moment 22 som även granskarna noterar: HSF ställer inte tillräckligt tydliga krav på sina privata vårdgivare vad gäller deras informationssäkerhet.
Kravställningen på informationssäkerhet sker genom tillämpningen av en standardbilaga, vilken anger att leverantörer/vårdgivare ska följa regionövergripande styrande dokument för informationssäkerhet.
Vi noterar att de styrande dokumenten, i sin tur, anger att informationssäkerheten hos de som arbetar på uppdrag av Region Stockholm ska regleras genom avtal.
Vår bedömning är att dessa hänvisningar kan ge upphov till skiljande uppfattningar gällande kravbilden på informationssäkerheten.
Med hänsyn till att Socialstyrelsen anger som krav att vissa kontrollmål ska uppfyllas beträffande informationssäkerheten, företrädesvis med stöd av ett LIS enligt standarder i ISO 27000-serien, är det även vår bedömning att HSF:s tillkommande avtalskrav endast ger en begränsad effekt vad gäller att tydliggöra förväntningarna på de privata vårdgivarna.
Jag ska inte tjata mer om hur uppseendeväckande det är att Region Stockholm trots föreskrifter, alla incidenter och trots alla granskningar genom åren ändå inte prioriterar att införa ens ett regelverk för vården att utgå ifrån.
Det gör att man vare sig kan ha ett internt systematiskteller ställa relevanta krav på underleverantörer, det senare framgår på ett nästan tragikomiskt sätt i relationen med Medhelp.
Informationssäkerheten i vården är ingen ny fråga utan har varit uppmärksammad sedan åtminstone första hälften av nittiotalet.
Den stora frågan är Region Stockholm (och övriga sjukvårdshuvudmän) år efter år undviker att komma till rätta med bristerna.
Varför tycker man att det är rimligt att utsätta verksamheten och patienterna för de stora risker som den bristande säkerheten leder till samtidigt som man är beredd att investera ofattbara resurser i experiment som NKS?
Och nej, det går inte att säga att 1177 var ett undantag från en i övrigt fungerande situation.
KPMG:s rapport är den senaste i en rad av rapporter som visar att den bristande säkerheten är ett systemfel som genomsyrar hela den svenska vården – har man inte styrning av informationssäkerheten så finns den inte mer än fläckvis och utan möjlighet att reducera riskerna.
En relaterad fråga är om NIS-direktivet kommer att ha någon positiv inverkan över huvud taget eller om även denna styrning mot ekommer att ignoreras.
Om läsaren tycker att jag ger en alltför mörk bild av Region Stockholms informationssäkerhet rekommenderar jag att ni läser KPMG:s knapphändiga rapport som ändå ger en antydan om regionens förmåga rörande informationssäkerhet.
Tillägg 2019-06-24: Lägger ut rapporten som pdf här: Även för den som är relativt insatt i svensk hälso- och sjukvård och dessutom fortlöpande läst DN:s långa rapportering om alla turer i NKS:s skandalen är ”Kampen om Karolinska.
Konsulterna” av journalisterna Anna Gustafsson och Lisa Röstlund en upprörande och i vissa stycken hjärtslitande läsning.
Sammanställningen av en lång rad av medvetna beslut av den politiska majoriteten under ett antal år som lett till en alltmer katastrofal situation är skakande och i förstone närmast obegriplig.
Att denna politiska revolution av den stockholmska sjukvården kunnat genomföras trots att den kantats av ekonomiska haverier i en hittills okänd skala, personal som flyr eller är helt uppgivna samt i sin yttersta konsekvens patienter som faktiskt dör på grund av omorganisationen.
Boken ger en mycket grundlig och researchad beskrivning av förloppet, dessutom välskriven.
Jag kommer inte här att gå in på djupet i boken utan rekommenderar den som sommarläsning för alla.
Som konsult kan jag särskilt uppmuntra andra konsulter läsning och därefter visst begrundade av vilken skada man kan göra om man som konsult driver sin egen agenda i kundens organisation.
Det är inte en särskilt hårfin skillnad mellan att ha integritet och att driva sina egna intressen hos kunden.
Efter att ha arbetat i offentlig sektor är det vissa drag i historien obehagligt välbekanta som övertron på att gigantiska omorganisationer löser problem och managementkonsulter som löper amok och kör över alla som har någon slags kompetens, d.v.s.
Den tystnadskultur som drivits fram vid NKS där enbart lovprisning av den värdebaserade vården tolererats är inte heller den ett unikt fenomen utan en sjuka som enligt min uppfattning äter sig allt djupare in i den offentliga sektorn generellt.
Det till synes oreflekterade upphöjandet av nya organisationsteorier som frälsningslära är inte heller unikt för NKS med sin värdebaserade vård.
Själv har jag varit med om allt från LOTS till Lean via lärande organisation, det sistnämnda något ironiskt eftersom varken landstingspolitiker eller myndighetschefer verkar lära sig något av de misslyckade organisationsexperimenten – snabbt är man på nästa modeteori.
Själv har jag mycket liten tilltro till att omorganisationer löser större problem, och för detta finns det heller föga stöd i forskningen.
Men för den ledare som vill sätta sitt märke på kommunen, regionen eller myndigheten kan en stor omorganisation vara det som skapar synlighet och inge en känsla av handlingskraft.
Region Stockholm har dock tagit vissa fenomen till en ny nivå.
Varför den borgerliga majoriteten med m och kd i spetsen valde en ekonomisk driftform (OPS) som blivit många gånger dyrare än att bygga och drifta det nya sjukhuset i egen regi saknar fortfarande rimliga svar förutom att de drevs av en nyliberal överideologi.
För den intresserade som vill djupdyka i denna del finns SvD-journalisterna Henrik Ennart och Fredrik Mellgrens bok ”Sjukt hus: om Nya Karolinska – svindlerierna, skandalerna och sjukvårdskrisen i Stockholm”, också den mycket läsvärd.
Stockholmare kommer att dras med effekterna av denna mycket dåliga affär i decennier framåt.
Att man dessutom låtit konsulter från BCG skicka in juniora konsulter, fakturera vilt samt anställa sina gamla kollegor är även det ganska många snäpp mer än vad som brukar förekomma.
Lägg därtill alla turer där anställda på KI även driver företag tillsammans med amerikanska intressen och försöker påverka utvecklingen av den stockholmska sjukvården så det gynnar de egna företagen snarare än patienterna och vi har en soppa som inte skådats i Sverige i modern tid.
Särskilt oroande blir detta med tanke på att hälso- och sjukvård är en av de sektorer som är mest utsatta för korruption vilket det finns ett aktuellt Konflikt om .Det tål att påminnas om den gamla sanningen att Sverige löper en stor risk för korruption eftersom vår självbild är att vårt samhälle är immunt mot korruption.
För mig har det dock varit av särskilt intresse att ta några steg tillbaka och sätta den värdebaserade vården och den informationshantering som följt med den i ett större historiskt och politiskt perspektiv.
Jag pratar då inte om de ”normala” it-haveriförloppen inom den svenska sjukvården och framför allt Region Stockholm där först politiker går ut med löften om fantastiska nya som sedan .
Därefter glöm, få andra att glömma och upprepa.
Nu pratar vi om en informationshantering med risker på en hel annan nivå och inbyggda i själva styrningen av sjukvården.
Den värdebaserade vårdens ledande företrädare Michael Porter (forskare i management och strategi, inte medicin) brukar enligt författarna av sammanfatta sin teori i ekvationen .
Resultatet mäts i hög grad utifrån patientens upplevelse, inte ett faktiskt mätbart resultat vilket känns fascinerande paradoxalt eftersom modellen i övrigt bygger på att mäta, mäta och åter mäta.
Observera att jag inte på något sätt ifrågasätta patientens rätt att känna sig nöjd med och delaktighet i sin vård utan invändningen ligger i att det finns få så luriga mått som upplevd nöjdhet samt att detta är ett mått är skräddarsytt för en konkurrensstyrd kommersiell verksamhet.
Redan här kan man se hur valet av vårdmodell klickar i den ideologiska revolutionen av den stockholmska sjukvården.
Den värdebaserade vården satt i system förutsätter en gigantisk datainsamling för att verkligen kunna bedöma vilken aktör som vid varje tillfälle lyckas lösa Porters ekvation bäst.
Förutom att i sig skapar det NPM-inferno som även känns igen från den svenska skolan med överdokumentation och rapportering med efterföljande stress är detta en modell som illa överensstämmer med en offentligt finansierad vård.
Istället för att ta det ansvar som krävs för bland annat multisjuka äldre maximeras istället vinsten i modellen för de vårdgivare som avverkar enskilda vårdepisoder snabbast.
Som så ofta i den moderna vårdens historia har frälsare av Porters typ fått dominera och hävda att sjukvård kan ses på precis samma sätt som bilfabriker.
Och varje gång havererar de löpande bandsprinciperna utom i vissa specifika operationstyper eftersom människor envisas med att ha kroppar och sinnen som är så mycket mer unika och komplexa än nyproducerade bilar.
Skandalen på NKS gör dock att jag (och förhoppningsvis andra) får upp ögonen för hur det ekonomiska skede vi lever i fungerar.
Sedan åtminstone 70-talet har vi vetat att vi lever i ett informationssamhälle men vad betyder egentligen det?
Inte bara att vi får en massa nya coola prylar och kan kommunicera via the world wide ( wild) webb utan att vi faktiskt gått in i en ekonomi som har information som sin huvudsakliga råvara.
Den amerikanska professorn i social psykologi Shoshana Zuboff har i sin mycket omskriva beskrivit framväxten av hur det ekonomiska systemet byggt på information som råvara fungerar.
Ofta tolkas hennes teorier endast i förhållande till Google, Facebook och liknande plattformar som .
Att se Zuboffs bok snävt som en beskrivning av hur Google och Facebook fungerar är fel menar jag.
Bland annat den globala hälso- och sjukvårdsmarknaden fungerar idag enligt samma grundprinciper.
I fallet med NKS, BCG och den värdebaserade vården blir det uppenbart hur ekonomiska intressen utanför NKS, Region Stockholm och Sverige ser den svenska sjukvården som en naturresurs att utvinna.
Zuboff är inte ensam i sitt uppsåt att skildra den digitala ekonomins framväxt men hon gör det på ett sammanfattande och övertygande sätt (och med en titel som för tankarna till favoriten bland författare till breda historiska exposéer Hobsbawm).
Mycket grovt förenklat kan Zuboffs skildring av övervakningskapitalismens era ses som ett skede där teknisk innovation korrelerar med framför allt två huvudsakliga faktorer: att det från 70-talet växer fram en nyliberal hegemoni i västvärlden och efter 11 september 2001 ett samhällsklimat som präglas av en allt starkare befogad eller obefogad känsla av otrygghet.
Nyliberalismens huvudkonflikt kan, även detta starkt förenklat, ses som en maktkamp mellan statlig/samhällelig reglering och de fria marknadskrafterna.
Under de senare decennierna av förra århundradet och de två i vårt nuvarande har en systemförändrande avreglering skett och ersatts av metoder som compliance och standarder där marknaden påstår sig kunna reglera sig själv.
Kombinerad med den konsekventa nedmonteringen av rätten till integritet som motiverats av att kunna förhindra terrorism och andra brott har kapat både samhällets och individens förmåga att på ett effektivt sätt skydda sig, eller ens vilja skydda sig, mot att personlig information utan insyn och kontroll används som råvara.
När informationen blivit råvara förflyttas äganderätten av uppgifterna från individen till det företag som kan hävda sig ha ”förädlat” den (här finns en intressant koppling till Nozick som jag inte hinner utveckla närmare men låt mig ändå säga att jag ser Nozick som själva gudfadern till berättigandet av utvecklingen).
I denna historiska korsväg utvecklar först Google och därefter bl.a.
Facebook sina tjänster.
I lika hög grad som att erbjuda användarna möjlighet att utbyta information sinsemellan börjar företagen exponentiellt samla allt mer information om användarnas beteende.
I förstone motiveras detta med att det ska ge underlag för att ge användarna allt bättre tjänster för att sedan allt mer tydligt ge stöd för riktad marknadsföring.
Med den fullständigt enorma informationsbas av överskottsinformation som Google byggde upp kunde de göra så annonsörerna kunde få stor träffsäkerhet i sin annonsering.
Steget efter att ge sökvägar till annonsörerna var det som Zuboff menar är det verkligt revolutionerande: ett överskott av information rörande användarnas beteende som med algoritmernas hjälp går att användarnas behov: Instead, we are the objects from which raw materials are extracted and expropriated for Google’s prediction factories.
Förutsägelserna berör inte bara den enskilda användarna utan, viktigare, på gruppnivå.
Ett positivt exempel är när det genom användares sökningar på Internet går att förutse influensaepidemier.
Obehagligare när en kvinna börjar få annonser om mammakläder i sitt flöde redan innan hon själv vet att hon är gravid… Den verkliga vinsten i att inte bara veta hur folk/kunder beter sig när de får hålla på som de vill utan när tjänsteleverantörerna påverkar kunderna att agera på ett sätt som gynnar leverantören utan att ens fatta det.
Tjänste- och plattformsleverantörer har, som Zuboff visar, ända sedan början haft ett gemensamt intresse och samarbete med statliga myndigheter i USA och annorstädes vilket inte gör osynliga men obetvingliga styrningen mycket skrämmande.
Den generellt positiva syn som många säkerhetsmänniskor har till övervakning blir satt i detta sammanhang oroande naiv.
Marknadspotentialen i att ha tillgång till oceaner av information om beteenden är omätbar inte bara i första läget för det egna företaget utan framför allt som en förpackad kommoditet som kan säljas vidare.
Sätt då detta i korrelation med en bransch som omsätter mellan 10 och 20 % av BNP i västvärldens länder, är i snabb global tillväxt och dessutom samlar in och bearbetar känslig personlig information om alla invånare.
Landskapet som NKS och den värdebaserade vården sätts i kan liknas vid det El dorado som conquistadorerna drömde om, med skillnaden att Sverige verkligen finns och har kvalitetsregister och patientjournaler för hela befolkningen.
Det vill säga ett verkligt El dorado för inte bara vård- och läkemedelsföretag utan även försäkringsbranschen.
Cyberrymden är en ny jättekontinent som exploatörerna vill hålla så fri från reglering som möjligt.
De fantastiska marknadsmöjligheter som ligger i att kunna prognosticera patienter och försäkringstagarnas utveckling är oöverblickbara.
Denna sanning uttrycks explicit i ett citat av en högt uppsatt tjänsteman på Karolinska som inleder avsnittet som är mycket lämpligt benämnt ”Guldet” i DN-journalisternas bok: Det är en sak som BCG och bolagen de jobbar med främst vill åt.
Det är patientdata som är deras bitcoins.
Däri ligger den stora affären i värdebaserad vård.
Vi måste lära oss att leva med att Sverige med sin långtgående nyliberalism i kombination med de kvalitetsregister som på frivillig basis byggts upp under mycket lång tid tillsammans alla övriga patientdata kommer att ha ofattbar dragningskraft på internationella företag.
Det gäller på samma sätt för all annan information inklusive personuppgifter som sammanställs av svenska myndigheter.
Det viktiga är att detta hanteras på ett öppet sätt där inte bara företagen blir nöjda utan att även kärnverksamheten och dess avnämare som patienter och medborgare.
När man ser mekanismerna som varit i kraft vid NKS kan jag inte låta bli att undra över exempelvis satsningen på När satsningen presenterades av Göran Hägglund (numera tryggt förankrad i privata vårdföretag) framställdes som en särskild USP att app-leverantörer och andra entreprenörer skulle kunna bygga tjänster på de datamängder som insamlades.
Vad var egentligen hönan och vad var ägget i Hälsa för mig?
kan ses i full careta när det gäller även härvan på NKS och den värdebaserade vården.
Lobbyismen, parasiterandet på akademin och de vilseledande budskapen om vem som gynnades.
Utan att ta partipolitisk ställning tycks för närvarande samhällets förmåga att hantera en skandal som den vid NKS undermålig.
Inget ansvarsutkrävande av de verkligt ansvariga, d.v.s.
de politiker som fattat samtliga beslut både när det gäller byggnation, värdebaserad vård, konsultanvändande och it-system, har skett.
Fristående och seriös journalistik förefaller vara det enda sättet för att skapa den insyn och kontroll som de offentliga institutionerna inte är intresserade av att själva bygga upp vilket i sig är en dyster insikt.
I detta sammanhang är en stilla önskan att hela e-hälsoområdet kommer att locka till sig lika envetna, seriösa och välskrivande journalister som de som nu skrivit ”Konsulterna”.
Ett helt ofarligt löfte att ge är att det finns lika mycket att gräva fram om e-hälsa som om NKS!
Det är lätt att hamna i en politisk depression när man funderar över hur digitaliseringens starka krafter ska kunna tyglas för att dra åt ett håll som gynnar hela samhället och så att individen har en basal möjlighet att upprätthålla sin integritet.
Att krafterna som motverkar integritet är mycket kraftfulla är uppenbart och argumentationen från de kommersiella aktörerna mot integritet som hindrar affären dominerar även i ett stort antal myndighetsutredningar har jag länge observerat.
Den sittande majoriteten i Region Stockholm gjorde det till och med till ett vallöfte att göra stockholmarnas patientdata tillgängligt för industrin.
Trots detta drabbades jag litet av en chock när jag i slutet av ”Konsulterna” får läsa att OECD antagit värdebaserad vård som strategisk inriktning och kräver att medlemsländerna, däribland Sverige, ska dela patientdata via en jättelik gemensam databas, ”Parisdatabasen” där OECD är ägare till uppgifterna.
Detta sker i samarbete med – BCG… Databasen vars nytta bedöms oklar av Socialstyrelsen och vars syfte inte klart har definierats anses ändå oumbärlig.
Särskilt upprörande är att det inte går att avtala vem som ska få tillgång till informationen utan har beskrivits som ”OECD och framtida samarbetspartners”.
Ganska långt från dataskyddsförordningens regler är väl ett understatement.
Jag uppmanar alla intresserade att hålla ögonen på detta projekt, särskilt som det verkar som att OECD i aggressiva ordalag kräver in uppgifter trots svenska myndigheters tveksamhet.
Landsting och regioner är däremot föga förvånande positiva, en nödvändig levnadsregel är nog: lita aldrig på en region i integritetsfrågor.
Vad kan då göras?
Jag menar att vi måste kunna införa ett slags samhälleligt marshmallows-test där vi vågar utreda vår nya situation och skaffa oss nödvändiga redskap för att styra utvecklingen åt ett håll som gynnar flertalet och inte bara viljelöst följa med.
Oavsett politisk uppfattning bör vi kunna komma överens om att de intressekonflikter som finns i den digitala utvecklingen måste lyftas fram och diskuteras så att åtminstone invånare i demokratier har möjlighet att ställning till hur de vill ha framtiden.
Ett konkret förslag är att tillsätta en etisk kommitté med uppdrag att fortlöpande utvärdera och ta ställning till större initiativ inom digitaliseringsområdet.
DIGG kan vara sammankallande och sköta kansliet för kommittén men ett antal mycket fristående och erkänt motspänstiga ledamöter av typen filosofer bör ingå.
Otillräckligt men kanske ett första steg på att erkänna att varje mynt har åtminstone två sidor, så även digitaliseringen.
Slutligen måste jag understryka att jag inte ger någon av de nämnda böckerna rättvisa utan uppmanar alla att själva läsa dem och bilda sig en egen uppfattning.
Själv fick jag min nya Fitbit igår… Tillägg 2019-06-18: Ett visst hopp angående möjligheten att OECD:s planer kan ändå skönjas i och med regeringens beslut att inte delta i uppbyggnaden av .
Först en disclaimer.
Denna text är skriven med ett visst undertryckt ursinne.
Under 7-8 år under mina vittflygande studier jobbade jag samtidigt på ett boende för psykiskt funktionsnedsatta barm och ungdomar.
Den erfarenheten gör att jag framförallt tänker på de patienter och anhöriga som drabbats av 1177-skandalen men också på den vårdpersonal som till skillnad från digitaliseringsbyråkrater, ”visionärer” och ”evangelister” möter patienter.
De ska nu leva i oro över hur deras arbetsgivare hanterar den information som de i förtroende tar emot och där samtal från hjälpsökande patienter studsar vidare för hantering i Thailand.
Jag jobbade också i ett landsting under 90-talet då politiker, it-leverantörer och byråkrater gick in i en lustiger dans om digitalisering som var mycket lösligt kopplad till verksamhetsbehov.
Att försöka skjuta in frågor om informationssäkerhet eller kvalitet i informationshanteringen stämplades som närmast illojalt eller i bästa fall som tugg som man måste genomlida innan man gick vidare precis som förut.
Filifjonkan på bilden har inte bara med ångestridna patienter att göra utan också känslan av den annalkande katastrofen som hon symboliserar.
Det finns inget som är så lätt som att förutspå framtiden i efterhand.
Många är nu chockade och totalt överraskade över vad som framkommit om 1177 och dess underleverantörer.
Att försöka påpeka vikten av god informationssäkerhet vid digitaliseringen har som sagt varit ett arbete i stark motvind för att inte säga full stormstyrka i 25 år.
Ofta har den berättigade oron för den alltmer bristande säkerheten inom vård-it utmålats som ett Filifjonka-aktigt beteende och att varningarna för riskerna skulle ha lika litet med vår verklighet att göra som Filifjonkans permanenta ängslighet i Mumindalens idyll.
När det nu exempelvis framkommer att Region Värmland har anlitat en underleverantör för att hantera den extremt känsliga informationen i telefonrådgivning endast med dessa säkerhetskrav: Leverantören ska skydda sin information mot otillbörlig åtkomst och förstörelse i enlighet med gällande lagar, förordningar och föreskrifter.
Hur skyddet genomförs ska dokumenteras.
Leverantören ska på begäran kunna uppvisa denna dokumentation för landstinget.
Leverantören ska följa landstingets vid var tid gällande riktlinjer för informationssäkerhet.
ger det en indikation om hur relevant oron faktiskt var/är.
Observera att inga ytterligare krav ställts till exempel i form av en säkerhetsbilaga som förtydligar vad det är man vill ha, inte ens ett personuppgiftsbiträdesavtal i någondera riktningen finns.
Otroligt nog verkar hela den massiva hypen kring dataskyddsförordningen gått regionen förbi.
Med tanke på att hela härvan ännu inte är utredd ska jag, för att undvika förhastade slutsatser, inte kommentera alla juridiska och tekniska detaljer.
Enkla lösningar är det redan alltför många som kommer med.
Inte heller finner jag det meningsfullt att ägna mer tid åt den lyteskomik som svaren från de olika leden i leverans av telefontjänsten i 1177 gett utrymme för.
Istället ska jag försöka ringa något av det systemfel som ligger som grund för den uppkomna situationen.
Grundproblemet ligger i att vård-it i Sverige under trettio år har fått växa fram inte som en sammanhängande infrastruktur utan som en brädhög där olika aktörer kunnat lägga på sin egen bräda utan att behöva ta hänsyn till någon gemensam plan.
Detta skapar naturligtvis en låg grad av funktionalitet trots de enorma resurser som lagts på digitaliseringen men dessutom har det också skapar de oöverblickbara säkerhetsrisker som 1177-skandalen är ett av de mest flagranta exemplen på.
Den främsta säkerhetsrisken är att det i många fall är omöjligt att klarlägga ansvaret för säkerheten vilket med all önskvärd tydlighet framgår i fallet med 1177.
Intuitivt skulle nog de flesta säga att det största ansvaret ligger hos sjukvårdshuvudmännen, det vill säga främst regionerna/landstingen som i den svenska förvaltningsmodellen delegerats ansvaret för och där ansvaret definieras i hälso- och sjukvårdslagen: Med huvudman avses i denna lag det landsting eller den kommun som enligt lagen ansvarar för att erbjuda hälso- och sjukvård.
Inom en huvudmans geografiska område kan en eller flera vårdgivare bedriva verksamhet.
När det gällde hanteringen av information inklusive säkerhet var detta ansvar inte särskilt besvärligt att definiera på den tiden då landstingen också utförde den absoluta merparten av vården.
Då var journalerna allmänna handlingar som tillhörde landstinget och det också ställdes tydliga krav på hanteringen (ja, jag vet att det inte alltid funkade jättebra i verkligheten men jag rör mig nu på systemnivå).
I och med kommunalisering (ÄDEL) och privatiseringsvågen blev ansvaret otydligare.
Som en andra skänkel i saxen som klippte av tydligheten i ansvarsfördelningen fungerade rörelsen mot alltfler samarbeten mellan landsting som exempelvis Sjunet och de nationella tjänsterna.
Det är här jag menar att juridiken inte hängt med, inte genom att ställa krav på integritet i det nya landskapet.
Det juridiska ansvaret läggs nämligen främst på vårdgivaren: Med vårdgivare avses i denna lag statlig myndighet, landsting, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet.
Vårdgivaren kan vara vilken aktör som helst som bedriver någon form av vård, till exempel Medhelp.
Denne har också ansvaret för informationssäkerheten vilket mycket specifikt beskrivs i Socialstyrelsens föreskrift med regler för vårdens Problemet är bara att den mest säkerhetsmedvetne vårdgivaren ändå inte kan hålla sig för sig själv utan måste fungera i brädhögen av oklara ansvar eftersom man till exempel med nödvändighet måste använda bland annat nationella tjänster.
I och med detta faller alla de många goda råd som även säkerhetsexperter av olika dignitet framfört de senaste dagarna om att det bara är att ha tydliga upphandlingsrutiner, följa upp krav o.s.v.
Inte ens dataskyddet faller ut som man skulle kunna tro när man läser i avtalet mellan Region Stockholm och Medhelp och ser att regionen är personuppgiftsbiträde åt Medhelp och inte tvärtom….
Det som måste understrykas är att den digitala världen inte bygger på bilaterala relationer utan på multilaterala och att vi saknar verktyg att hantera den nya situationen.
Även trogna gamla kämpar som tillsynsvapnet riskerar att bli tandlöst eftersom tillsynen gäller enskilda organisationer.
Att skapa ansvarsförhållanden och möjlighet till ansvarsutkrävande avpassade för multilaterala infrastrukturer bedömer jag som den mest fundamentala säkerhetsåtgärden för vård-it.
Detta är inte något som en enskild vårdgivare kan ta ansvar för utan måste byggas upp på nationell nivå.
Tyvärr har denna grundläggande förutsättning totalt negligerats i de utredningar om e-hälsa som genomfört under senare år.
Mer om de moderna strukturerna finns att läsa i den nyligen utkomna antologin .
Ansvaret är alltså idag osynkroniserat med den nationella informationsinfrastrukturen och även med den tekniska infrastrukturen.
Ändå tror jag det är viktigt med ett ansvarsutkrävande.
Tyvärr kommer nog inte Region Stockholms innovationsregionråd ta sitt ansvar och avgå, inte heller hans motsvarigheter i Region Värmland och Sörmland.
SKL:s programansvarige för e-hälsa kommer att på motsvarande sätt skjuta ansvaret ifrån sig och Inera har snabbt varit ute och sagt att de går skuldfria ur denna förödande situation.
Tyvärr, inte för att vi behöver ett melodramatiskt utspel som när Toyota-chefen gråtande bad om ursäkt för sina fel eller syndabockar, men för att ge en reboot för vård-it.
Om ett antal digitaliseringspotentater inom vården åtminstone hade omdömet att säga: ”jag har villigt tagit emot all cred för att framstå som nyskapande och innovativ, nu tar jag lika villigt mitt ansvar när det visar sig att vi kört totalt fel inom e-hälsoområdet.”.
Detta vore en mycket viktig signal att vi nu inte ska fortsätta som förut utan gå in i en ny tid.
Det jag skriver ovan kan nog de flesta hålla med om på någon nivå men varför ser det då ut som det gör?
Jag skulle vilja hävda att det inte enbart beror på inkompetens utan i lika hög grad på attityd, möjligen arrogans.
Detta är en något nedslående tanke för sannolikheten för att kunna omvandla inkompetens till kompetens är större en att rå på decennier av negativ säkerhetskultur.
Jag förstår att det är mycket behagligare att ständigt mana framåt och inte hänga upp sig på problem och hinder.
I 1177-skandalen är patientens integritet som allvarligt skadats vilket är ett värde som talföra debattörer inom digitaliseringen och e-hälsa till och med i många sammanhang förnekat.
Den bristande samordningen kan också ses som ett resultat av SKL:s framgångsrika arbete som lobbyorganisation.
SKL är en intresseorganisation för regioner och kommuner som arbetsgivare och har med stor frenesi hävdat det kommunala självstyret inom hälso- och sjukvård.
Varje försök till styrning från staten nagelfars och min bedömning är att staten efter nedmonteringen av Socialstyrelsen inte ens har möjlighet till en effektiv myndighetsstyrning vilket lämnat fältet ännu mer fritt för SKL.
Ur ett samhällsperspektiv har det även lett till en starkt minskad insyn eftersom SKL, trots att man är helt finansierad av offentliga medel, inte lyder under offentlighetsprincipen.
Vad som pågår inom SKL och vilken agenda som drivs är därför svårgenomträngligt.
Under den tid jag jobbade på MSB och, bland annat inspirerad av den norska lösningen Normen, försökte få till en styrning bättre avpassad till de multilaterala relationerna fick jag ofta känna av SKL:s maktanspråk.
Ärligt talat så var intresset inte särskilt stort ens i min egen myndighet och inte heller i de andra myndigheter som hade uppdrag i någon form som påverkade säkerhetsaspekterna i vården.
Men var det ett svalt umgänge i myndighetssfären så var SKL:s engagemang i frågan på nollpunkten.
Mitt käcka erbjudande om att MSB skulle kunna samordna och tillföra väsentliga resurser och kompetens för att göra den så skakiga informationssäkerheten i vården bättre möttes mycket kallsinnigt.
Budskapet var att detta var en uppgift som regionerna kunde klara själva (med SKL:s hjälp) och att myndigheter inte hade i territoriet att göra.
Själv kände jag mig som en ovälkommen budbärare från de många medlemsorganisationer som satt med sin usla säkerhetssituation utan reell möjlighet att göra något åt den.
Med ett avancerat tjat lyckades det till slut att få SKL att skriva under den gemensamma strategi som jag tagit fram som underlag och som nu litet patetiskt ligger kvar på MSB .
Någon gemensam styrning á la Normen är lika fjärran som då strategin skrevs.
SKL har alltså haft alla möjligheter att själva ta fram de stöd som så väl skulle behövas i deras medlemsorganisationer.
Så har inte skett förutom det tveksamma verktyget för informationsklassning som jag skrivit om Något gemensamt regelverk för att hantera den multilaterala ansvarssituationen inom vården kan jag fortfarande inte hitta på SKL: s webbsida.
Intressant nog har ju inte SKL något formellt ansvar för informationssäkerheten i vården eftersom man är en intresseorganisation och kommer säkerligen inte att påta sig något sådant nu heller.
När nu nästa trend är AI i vården blir man inte direkt lugnare, särskilt inte när SKL:s programansvarige för e-hälsa ifrågasätter lagstiftningen snarare än ansvarskänslan hos införarna som .
I mina dystrare stunder tror jag vi nått vår kollektiva inkompetensnivå där vi ska skapat ett it-monster som ingen längre kan styra.
Vi har en situation med i princip outtömliga tekniska möjligheter promotas av aggressiva leverantörer.
Tekniken möter en omogen organisationsstruktur där verklig styrning ersatts av fritt spelrum för särintressen.
Till detta kommer den bristande självinsikten om att det är så här det ser ut och den negativa säkerhetskulturen inom vården.
Och slutligen juridik och företrädare för informationssäkerhet som fortsätter att leverera lösningar gjorda för enstaka organisationer eller möjligen bilaterala relationer vilken inte är till någon större hjälp i den dagens multilaterala arkitekturer.
Självklart kan vi inte ge upp utan istället ställa oss frågan hur vi kan genomföra de absolut nödvändiga förändringar som skulle göra vård-it till en seriös verksamhet.
Här vill jag anslå en ny ton för att markera att detta är mycket komplexa frågor som vi idag i huvudsak saknar svar på.
Det är inte enkla förbättringar av upphandlingsrutiner som kan leda framåt utan förändringar av en helt annan dimension som är nödvändiga.
Det är inte beställningar mellan kund och leverantör som är det verkliga problemet utan beställningen från regeringen till sjukvårdshuvudmännen som inte fungerar där sjukvårdshuvudmännen som leverantörer inte klarar av att skapa en säker vård-it.
Mina förslag, som jag inte när något större hopp om att de kommer att anammas, är att likna vid ett undantagstillstånd.
Det kan tyckas dramatiskt men allvaret i situationen kräver extraordinära åtgärder .
Parallellt med åtgärderna bör även en attitydförskjutning initieras där vi slutar se digitalisering som ett självändamål utan blir förmögna att ta in olika perspektiv som till exempel säkerhet.
Utgångspunkten bör också att det är en nationell struktur som ska byggas och förvaltas där de gamla organisationsgränserna inte längre får sätta käppar i hjulet.
Här kan man ana att en del integritetsnihilister vädrar morgonluft men bedra er inte; målet är att stärka integriteten, inte nedmontera den ytterligare!
Efter mitt förra inlägg om e-hälsa har jag fått en del kommentarer som visar att sjukvårdens organisation och i ännu högre grad e-hälsoområdets styrning är en okänd värld för många.
Som en projektledare en gång sa till mig som en förebärare för Trump: ”Hur svårt kan det vara med sjukvård (och e-hälsa)?”.
Ganska svårt skulle jag vilja säga vilket även Trump .
Därför kommer här en inledning för att ytterligare förtydliga hur jag uppfattar organisationen idag (finns utrymme för osäkerhet i detta) samt ge ett praktiskt exempel på vad det leder till.
För att bara titta på den bristande styrningen har jag uppdaterat en gammal bild till hur jag tror det ser ut i dag (jag har inte tagit med finlir som kvalitetsregister och trygghetslarm m.m., m.m.).
Bilden är ett försök beskriva samspelet.
Som framgår är ett flertal myndigheter involverade i olika delar, det finns utförare och leverantörer.
Två saker är slående.
Den första är att det inte finns en överordnad myndighet med mandat att hålla ihop helheten och som kan vara kontaktpunkt för övriga aktörer.
Med tanke på hälso- och sjukvårdens betydelse för samhället i olika dimensioner, de mycket stora offentliga resurser som går till sjukvården och det stora antalet aktörer som deltar i det gemensamma vårdarbetet måste detta ses som ett icke-rationellt sätt att organisera det hela om man vill ha effektivitet, kvalitet och strategisk inriktning.
Det andra är SKL och sjukvårdshuvudmännens organisation som jag menar inte håller måttet för de uppgifter som man åtagit sig.
Sjukvårdshuvudmännen har en roll som offentliga organ som är reglerad i lagstiftningen.
Detsamma gäller för vårdgivare oavsett om de är privata eller offentliga.
Men i denna ordning har alltmer SKL glidit in, en intresseorganisation som inte är en myndighet, inte har en lagfäst roll och inte omfattas av offentlighetslagstiftningen.
Riksrevisionen har pekat på detta i en gällande den generella styrningen på vårdområdet.
Inom e-hälsoområdet är problemen med detta mycket tydligt.
En inte oviktig fråga i detta är att det öppenhetskrav som gäller för myndigheter som landsting, regioner och kommuner försvinner då de samarbetar i sin intresseorganisation.
Nu när aktiviteter som tidigare skedde i respektive huvudmans verksamhet flyttas in i SKL:s hägn (inklusive Inera) försvinner också insynen.
Detta kan jämföras med kommunalförbund där insynsmöjligheten fortfarande finns kvar.
Denna fråga verkar inte engagera SKL i någon högre grad, jag söker på hemsidan för att finna om man frivilligt erbjuder en likande insyn i beslutsunderlag och annat som skulle räknas som allmänna handlingar hos SKL:s medlemmar men ser inga sådana informationsinsatser.
Jag skickade även ett mail till SKL:s infoadress den 24 juli: Hej!
Jag vet att SKL inte är en myndighet och därmed inte omfattas av offentlighetslagstiftningen.
Däremot är SKL:s medlemmar det liksom medlemmarnas uppdragsgivare.
Min fråga är hur eftersträvar SKL att ändå kunna erbjuda motsvarande transparens som medlemmarna förutsätts ha?
Detta borde vara allt viktigare i och med att SKL har tagit på sig allt fler uppgifter av operativ karaktär och frågor som starkt påverkar medlemmarnas prioriteringar och finansiering.
Eller är SKL:s linje att allmänheten får tillräcklig insyn via det material som publiceras på den egna webbplatsen?
Detta mail är fortfarande obesvarat efter ett par veckor, kanske beroende på semestertider, vilket i sig är en intressant illustration av att SKL inte omfattas av kraven på myndigheter att snabbt besvara inkommande frågor.
I frågan om e-hälsa är det dock de bristande organisatoriska förutsättningarna som är mest värda att ifrågasätta.
SKL är i sig inte en organisation som är skapad för att bedriva operativ verksamhet utan för att driva förhandlingar i huvudmännens intresse mot arbetstagare och delvis även mot regeringen.
Nu har man omvandlat sig till något som varken är företag eller myndighet men har en horisontell integration där huvudmännen både är leverantörer och kunder, en typ av organisation som redan Vänerskogs jättelika konkurs 1981 visade problemen med.
Denna oreda av aktörer i en infrastruktur av mycket känslig information är detta, ja jag vågar klämma i med, katastrofalt.
Ett mycket stort antal stort antal aktörer är inne och rycker i den gemensamma informationsinfrastrukturen utan att det finns en konkret inriktning utom den som delas av regeringen och SKL.
Jag noterar att webbplatsen inte uppdaterats sedan oktober 2017 men att det kommit en som mest verkar vara ett underlag för förhandlingar samt ett antal fluffiga mål.
Det är långt till verkstaden om man säger så.
Vad leder detta till i praktiken?
Ett bra exempel är hur den ganska naturliga frågeställningen om att ge patienten tillgång till mer information om sin hälsa, behandlingar m.m har hanterats.
För att klargöra utgångsläget så har patienter haft rätt att ta del av sin journal sedan länge, se patientjournallagen (SFS 1985: 562).
En journalhandling inom enskild hälso- och sjukvård skall på begäran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller kopia, om inte annat följer av 2 kap.
8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.
E-hälsofrågan i det hela handlar mer om patienten kan del av journalen.
Personligen tycker jag att hela frågan är felformulerad – istället borde den ha varit: ”hur informerar vi patienten på bästa sätt?”.
Då hade vårdens arbetsverktyg knappast varit den bästa lösningen utan man skulle jobbat på att ge patienten information i den form och på det sätt som gör det enkelt att ta till sig.
Bortsett från detta så påbörjades under början av 2000-talet i landstingsvärlden projekt med målsättning att tillgängliggöra journalen via nätet.
Observera att detta endast handlar envägskommunikation – att patienten får möjlighet att journalen.
Trots att dessa initiativ pågick bland huvudmännen bestämde Göran Hägglund som socialminister att ett nationellt initiativ skulle inledas för att patientjournaler skulle göras tillgängliga i en tjänst där de kunde användas av tredjeparter efter patientens initiativ.
Jag ser det här som ett utslag av att både e-hälsa och e-förvaltning starkt präglades av att under åren runt decennieskiftet ses som en näringsfråga, d.v.s.
de personuppgifter som myndigheter samlar in ska ses som råvara för privata tjänsteleverantörer.
Do´nt get me started – utrymmer räcker inte till för dra upp alla negativa aspekter av detta… Låt mig istället nöja mig med att detta var en lösning med så många problem inte minst säkerhetsmässigt att den skulle ha lagt sig i byrålådan på ett mycket tidigt stadium.
Nu är det stoppat av Datainspektionen även om eHälsomyndigheten fortsätter att processa stödda av en landets mest exklusiva advokatbyråer till en kostnad på drygt 1,5 miljoner bara 2017 (jag har kollat).
För att summera: det har alltså pågått två parallella projekt utan samordning, så vitt jag kan se, för att överföra information från journal till patienter.
Man har inte i lösningarna tagit höjd för hur behovet att patienten med tillräcklig kvalitet och säkerhet ska kunna föra tillbaka uppgifter till vården – en fråga som i sig är en av grundvalarna i en utvecklad e-hälsa.
Exemplet visar mycket tydligt att det inte finns en gemensam plan, behovsanalys eller medvetenhet om att man bygger en gemensam infrastruktur.
Min erfarenhet från olika sammanhang inom området är det också ofta saknas vilja att ta vara på professionernas intresse av fungerande arbetsverktyg eller etiska krav.
Tråkigt nog tycker jag inte att arbetstagarorganisationerna varit särskilt skickliga på att samla och driva sina medlemmars olika behov, detta är dock bara mer än känslomässig upplevelse från konferensbord och från att ha tagit del av olika debattinlägg.
Trots att alla aktörer med emfas skulle säga att de starkt vurmar för patients intresse kan jag tycka att det är väl lätt att utan fog göra sig till patientens företrädare.
Framför allt är det svårt att hitta insikten i att patienter är vi alla och på samma sätt som vi har väldigt olika syn och intressen i andra frågor har vi det även som patienter.
Ett flagrant exempel på detta är de som ständigt ställer patientsäkerhet mot integritet.
Eller inte erkänner att om en välsituerad grupp använder kommersiella nätläkare för att lindra myggbett så kommer det att inkräkta på andra patienters intressen.
Även här måste finnas en mycket större helhetstanke där e-hälsan sätts i sitt rätta sammanhang.
Slutligen kan jag inte underlåta att gå in på integritetsfrågan och hur det gick när jag försökte begära ut mina personuppgifter från vården.
Även detta är en god illustration av läget.
Först till den juridiska historiken som går att scrolla förbi om man inte är intresserad men den har rätt stor betydelse för det praktiska utlämnandet av personuppgifter.
Enligt den gamla patientjournallagen hade varje vårdgivare ansvar för sin egen journal och om uppgifterna behövdes hos en annan vårdgivare måste vissa mått och steg vidtas.
En ansvarig läkare hos vårdgivare A måste göra en menprövning om det var till men eller gagn för patienten att uppgifterna lämnades ut.
Lämnades uppgifter ut skulle ett journalnotat göras om när, vad och till vem uppgifter lämnats ut och hos vårdgivare B fördes uppgifterna in som ”kopia”.
Hela förfarandet hade fördelar som att det gav mycket god spårbarhet, patienten kunde eventuellt förhindra att information lämnades vidare om man ville skydda sin integritet och det var inte hela journalen som lämnades vidare utan bara relevanta delar.
Jag vill bara påpeka dessa fördelar utan att för den delen behöva anklagas för att vara bakåtsträvare för naturligtvis är detta regler som är svåra att upprätthålla i ett digitalt flöde.
Och, ja, jag är väl medveten om att reglerna inte alltid efterlevdes.
Min poäng är att dessa säkerhetsåtgärder inte ersattes av motsvarande funktioner när patientdatalagen (PDL) infördes.
Mitt intryck efter att ha följt frågan om vårdinformation tämligen ingående sedan 1994 är att det inte ens fanns en ambition att göra det.
Denna min uppfattning stärks när jag läser förarbetena till lagstiftningen.
Jag ser patientdatalagen som ett resultat av mer än ett decenniums påverkanskampanj från olika aktörer med innebörden att säkerhet och integritet inte går att förena med digitaliseringen utan man måste välja.
Valet blev då tämligen enkelt eftersom den tekniska och organisatoriska förändringen redan genomförts.
Resultatet, förutom allt newspeak där dålig säkerhet var bra säkerhet o.s.v., var att i patientdatalagen infördes ”sammanhållen journalföring” som enligt lagens definition betyder: Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.
I och med patientdatalagen ändrades grundprincipen för hanteringen av journaluppgifter från att det tidigare defaultläget var att en vårdgivare inte kunde lämna ut uppgifter utan menprövning till nuvarande defaultläge: att information kan flöda mellan vårdgivare om inte patienten aktivt spärrar utlämnandet.
Ett villkor som satts upp för den sammanhållna journalföringen: Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att andra uppgifter än dem som anges i görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.
En sjuk patient ska alltså ta till sig information om hur informationen kommer att hanteras och dessutom ha kraft genomdriva en spärr om hen bedömer att överföringen olämplig.
Några saker bör särskilt noteras i detta redan orimliga scenario.
För det första innebär direktåtkomsten att vårdgivare 2 får tillgång till vårdinformation hos vårdgivare 1 istället för som tidigare ett journalutdrag över information som bedöms vara relevant för det aktuella sjukdomstillfället.
För det andra förutsätter det att vårdpersonalen hos vårdgivare 1 kan ge upplysningar om hur informationen kommer att hanteras i den sammanhållna journalföringen, vilka som kommer att få tillgång till den exempelvis.
Min visserligen anekdotiska men ändå uppfattning efter att ha frågat ett ganska stort antal anställda i vården finns inte en kunskap inom vården hur informationen hanteras och hur ska då personalen kunna upplysa patienten?
Detta är inte så konstigt för jag tror uppriktigt inte någon idag har kontroll över informationsflödena i vården.
För det tredje lyser ett decennium efter PDL:s ikraftträdande fortfarande möjligheten att faktiskt spärra sin journal med sin frånvaro hos ett stort antal vårdgivare.
I praktiken kan jag inte se att patienten har någon reell möjlighet att vare sig få veta hur den egna vårdinformationen hanteras eller att påverka åtkomsten till den.
Med stöd av den sammanhållna journalföringen har det vuxit fram en vårdinformationsspaghetti där det vad jag kunnat se inte finns vare sig överblick, tydlig styrning eller definierade ansvar.
Detta leder också till att när jag hos min vårdgivare frågar: ”Gör ni journalnotat om vilka samtycken till andra vårdgivare jag givit så att jag kan få en sammanställning över vilka som fått åtkomst till mina uppgifter?” får till svar ” Nej, det finns i dagsläget ingen sådan funktion i COSMIC men detta är under utveckling, det vill säga en samtyckestjänst.
Vi dokumenterar inte i x:s journal andra vårdgivares samtycken, detta är var och ens eget ansvar.
När någon inhämtar ett samtycke i COSMIC så genererar detta en logg samt en referens i journalen.”.
Det vill säga att den vårdgivare som lämnar ifrån sig informationen noterar inte detta utan patienten förväntas ansvara för spårbarheten.
Jag vände mig då till Inera som ansvarar för tjänsten Nationell Patientöversikt som är en slags växel då vårdinformation förs mellan olika vårdgivare.
På frågan om de kan redovisa vilka som eventuellt tagit del av min vårdinformation svarar de: ”Samtycke måste alltid inhämtas av den vårdgivare som ska ta del av din information i NPÖ.
Samtycket ska registreras i det lokala journalsystemet hos den aktuella vårdgivaren.
Det tekniska samtycket loggas i den nationella säkerhetstjänsten som förvaltas av Inera.
Det finns ingen dokumentation från journalinformation och inte heller någon information om varför samtycket har inhämtats.” Deras uppfattning är alltså att de endast har ”tekniska loggar” och att jag fortfarande själv måste hålla reda på mina samtycken trots digitaliseringen.
Det framgår också att de anser att de tekniska loggarna inte är att betrakta som personuppgifter.
Jag har valt att inte fördjupa mig ytterligare i detta men hoppas att andra tar upp den tråden.
Sammantaget skulle jag vilja säga att detta rimmar rätt illa med dataskyddsförordningens krav.
Min egentliga poäng med att försöka beskriva att oreda, de oklara ansvarsförhållandena och bristande överblick är att detta naturligtvis inte bara påverkar patientens möjlighet till personlig integritet.
I ännu högre grad påverkas effektivitet, patientsäkerheten och möjligheten att upprätthålla verksamheten vid större störningar.Särskilt bekymmersamt är det oklara ansvaret som även andra Vad blir då kontentan av allt detta?
Jag tror faktiskt inte huvudfrågan är huruvida sjukvården ska förstatligas utan hur den ska styras (även om jag i dagsläget har litet svårt att se exakt vilket värde den regionala politiska styrningen tillför).
Oavsett om det finns 2 eller 200 000 vårdgivare så måste det finnas en stark statlig styrning som då inte enbart omfattar den offentligt finansierade slutenvården som ett förstatligande skulle innebära.
Den nuvarande bristen på styrningen tjänar såvitt jag kan se enbart oseriösa leverantörer på och möjligen de offentliga företrädare som älskar att åka omkring på olika konferenser och framställa sig som visionära.
Situationen där myndigheter processar mot varandra vittnar väl om något om den rådande anarkin.
Om vi inte klarar av att styra digitaliseringen av vården idag så blir tanken på AI och IoT mardrömslik.
Mina förslag är därför att på äktsvenskt maner tillsätta flera rejäla utredningar men med skillnad från de tidigare inte bilägga facit från uppdragsgivaren.
Jag ser framför mig en handfull utredningar inom olika områden men som är starkt koordinerade så att resultaten går att använda.
Viktigt är att ta hänsyn till de mångskiftande intressen som hälso- och sjukvården ska tjäna, inklusive professionernas och forskningens behov på kort och lång sikt.
Inriktningen bör vara att på samma sätt som på 1940-talet bygga en långsiktigt fungerande infrastruktur i bred politisk enighet.
Några förslag (jag tar inte med komplicerade saker som prioriteringar i vården och patienters egentliga intressen): Puh!
Jag vill verkligen inte påstå att jag kommit med de definitiva sanningarna i dessa komplicerade frågor – det finns så många olika sätt att betrakta den svenska e-hälsan.
Säkert har jag missuppfattat eller vantolkat en massa saker.
Mitt enda försvar är att jag efter bästa förmåga försökt måla upp bild av e-hälsa.
Förhoppningsvis kan dessa långa inlägg stimulera andra att dela bild av samma frågor.
I maj när dataskyddsförordningen trädde i kraft inledde jag ett test: att genom att ställa frågor om hur mina personuppgifter hanterades i vården ville jag göra en temperaturmätning av den kontroll som vården generellt har över vårdinformationen.
För hälso- och sjukvård innebär (i princip) inte dataskyddsförordningen någon så stor skillnad eftersom både patientdatalagen och PuL redan gett patienten möjlighet att få tillgång till sin information och (i teorin) spärra åtkomsten till sin vårdinformation.
I verkligheten är det och har det sedan patientdatalagen varit svårt för att inte säga omöjligt att få veta hur patientuppgifter hanteras – det är i alla fall min uppfattning som jag ville pröva genom att begära upplysningar om mina egna vårduppgifter med stöd av dataskyddsförordningen.
Svaren på mina frågor var negativa (vilket jag kommer att återkomma till senare) men jag fick underlag rörande dagssituationen inom e-hälsoområdet.
Detta inlägg svävar ut in extremis och handlar om i vilket landskap som digitalisering av vårdinformationen sker.
Jag ska resonera om den bristande styrningen av e-hälsa samt pusta ut orosmoln om informationssäkerhet och det långsiktiga bevarandet av vårdinformationen.
I ett följande inlägg kommer jag att skriva mer om den bakomliggande juridiken.
Först till organisationen av den svenska sjukvården som förvånansvärt många som gör inlägg i e-hälsofrågor inte tycks bottna helt i. Tillåt mig att roa mig med en historisk utflykt.
Den svenska vården är i huvudsak offentligt finansierad via skattemedel.
Det regionala ansvarar för att erbjuda vård inom det egna upptagningsområdet enligt hälsosjukvårdslagen.
Men landstingen och regioner behöver inte själva vara utförare av all vård utan kan även vara privata.
Andelen privata vårdgivare har tillväxt mycket starkt under de senaste 20 åren men strukturen med självständiga landsting som sjukvårdshuvudmän har funnits sedan 1862 (med varierande uppdrag).
Redan här finns underlag för vanliga missuppfattningar om ansvar men också reella problem eftersom de flesta krav i föreskrifter m.m.
riktas mot vårdgivarna och inte sjukvårdshuvudmännen.
När det gäller säkerhet och integritet har dock vårdgivarna inte så stora möjligheter att påverka sin situation trots att de har ansvaret – de tvingas (formellt eller informellt) ofta av sjukvårdshuvudmän, SKL eller myndigheter att använda lösningar oavsett egna säkerhetskrav.
Landstingen är kommuner med en politisk ledning vilket gör att inriktningen för olika landsting och regioner kan variera.
För e-hälsan som av naturliga skäl blir allt mer nationell är detta en ansvarsfördelning som innebär stora problem, inte minst eftersom landstingspolitiker använt rollen för egna, i mitt tycke kortsiktiga, kampanjer.
En misstanke som gror är att e-hälsa används av politiker för att undkomma att diskutera den offentligt finansierade vårdens grundfråga: den nödvändiga prioriteringen.
Det är ett väl känt faktum att det inte finns någon bortre gräns för behovet av vård, det finns hela tiden nya sjukdomar och tillstånd som kan behandlas och definitionen av hälsa kan sättas så högt att inte minsta krämpa blir acceptabel.
Däremot är vårdens resurser begränsade – alltså måste prioriteringar ske.
Detta är den mest laddade av alla frågor för sjukvårdspolitiker eftersom prioriteringar ofelbart kommer att leda till att några patienter blir missnöjda.
Den som tillsattes i slutet av nittiotalet för att ge de lokala politikerna stöd i form av nationella prioriteringslistor släppte också snabbt den glödheta potatisen och lämnande ifrån sig litet allmänna rekommendationer om hur processen för prioriteringar skulle kunna ske .
Min teori är att politiker och högre tjänstemän i vården nu (omedvetet) använder e-hälsa som en dimridå för att undvika frågan om prioriteringar genom att hävda att e-hälsosatsningar skulle kunna leda till enorma effektivitetsvinster (som då underförstått skulle leda till att får den vård de vill ha).
I verkligheten sker en mycket negativ icke-styrd prioritering av sjukvårdsmedel genom bland annat kommersiella nätläkare där en ohelig allians mellan nätläkarnas ekonomiska intresse och människor med lättare krämpor prioriterar upp sig på bekostnad av andra med reella hälsoproblem.
En hårdvinklad beskrivning men ni förstår vad jag menar.
Detta sätter stark press på sjukvårdspolitiker som i vissa fall måste säga nej men hellre säger att e-hälsa kommer att lösa problemen.
Själv är jag positiv till de former av e-hälsa som leder till reella förbättringar men att tro att den ska kunna upphäva den omöjliga ekvationen mellan outtömliga behov och begränsade resurser är en vanföreställning som ansvarsfulla politiker borde göra upp med.
En annan viktig negativ faktor är SKL:s förändrade roll.
SKL driver sina medlemsorganisationers intressen i förhållande gentemot uppdragsgivaren staten, d.v.s.
att man vill att staten ska styra så litet som möjligt (även om det inte uttrycks preeeecis så) vilket ökar på fragmentiseringen ytterligare.
Den tidigare sammanhållande myndigheten Socialstyrelsen som var en beredande motpart för SKL blev sönderslagen för några år sedan.
Uppgifterna är nu fördelade på fyra myndigheter som tillsammans med Läkemedelsverket tycks ha ett tämligen lågintensivt samarbete.
SKL och sjukvårdshuvudmännen agerar som månghövdad maktfaktor utan eget ansvar i det tomrum som skapades när Socialstyrelsen nedmonterades.
Dessutom står e-hälsoområdet under ett starkt kommersiellt intresse, inte bara genom nätläkarna.
Den nära alliansen mellan känns inte helt betryggande för det kommande.
I den tidigare regeringen var två av hälso- och sjukvårdsministerns statssekreterare hämtade från it-leverantörer vilket Dagens samhälle skrev om förra året.
Förväntan på stora vinster inom vården och en kanske alltför nära relation är knappast positiva nyheter för patienter och skattebetalare.
Eftersom jag intresserat mig en hel del för den svenska sjukvårdens historia kan jag inte undgå att fundera över att maktbalansen mellan staten som är uppdragsgivaren och utförarna, d.v.s.
sjukvårdshuvudmännen (regioner och landsting) samt numera SKL, har förskjutits.
Att göra historiska jämförelser är alltid vanskligt men för mig går det inte att motstå frestelsen att försöka analysera varför e-hälsa och digitalisering relativt sett varit så litet framgångsrika samhällsprojekt i förhållande till de resurser som satsat.
Hade det gått att prata fram e-hälsa och digitalisering hade det svenska samhället genomgått ett Civilization-moment där den framgångsrike spelaren lyckas uppfinna elektricitet på 1100-talet.
Men tyvärr räcker det inte med miljontals power point bilder, konferensinlägg, möten, testbäddar och avgränsade dellösningar för att skapa infrastruktur.
I detta delar jag uppfattningen i om floden av åsikter.
Jag tror mig att se några orsaker till det haltande genomförandet av något som trots allt alla varit överens om ska genomföras.
Detta är en situation som i mycket liknar den som rådde från slutet av fyrtiotalet och i ett par decennier framåt då det skedde en så här i efterhand nästan ofattbar mobilisering och utbyggnad av den svenska hälso- och sjukvården.
När jag skrev en historik om den värmländska sjukvården häpnade jag över att landstinget under en tioårsperiod byggde inte mindre än fyra nya sjukhus!
Även om jag är starkt lockad ska jag inte gräva ner mig ytterligare i detta utan bara tacksamt konstatera att den samhälleliga kraftsamling är något som vi nu fortsätter att skörda frukterna av.
Hur kunde man lyckas med denna infrastrukturella revolution?
En första förutsättning var att det fanns en stark politisk enighet om att detta skulle genomföras även från de borgerliga partierna som annars kampanjade för skattesänkningar.
Men till skillnad mot e-hälsoutvecklingen (liksom digitaliseringen i övrigt) nöjde man sig inte med den politiska enigheten utan skapade även de institutionella förutsättningarna (för den som vill läsa mer om institutionella förutsättningar rekommenderar jag verkligen att läsa litet Lennart Lundqvist eller Bo Rothstein) för utbyggnad.
En viktig sådan var att skapa ett mycket genomarbetat kunskapsunderlag att ta ut riktningen ifrån.
I detta var utredningsväsendet mycket betydelsefullt, de utredningsinsatser som gjordes var av mycket hög kvalitet.
Häri ligger en väsentlig skillnad mot de utredningar och kommittéer som levererat förslag inom digitalisering och e-hälsa, jag nöjer mig med att instämma i de synpunkter som framförs i den här .
I utvecklingen fanns en mycket kraftfull och sammanhållande motor i Medicinalstyrelsen, sedermera Socialstyrelsen.
Det är idag nästan svårt att förstå hur inflytelserik myndigheten var och på vilken detaljnivå man styrde sjukvården.
Om vi bara ser till vårdbyggnader fanns det ett regelverk som ner till hur många luftkubik per vårdplats definierade hur sjukhusen skulle byggas.
Varje ritning på ny- eller ombyggnad måste skickas in för godkännande och stränga inspektörer åkte ut och kontrollerade att det som byggts höll måttet.
Landstingen var byggherrar och hade det praktiska ansvaret för byggande och vård men deras intressen samlade ingen front i Landstingsförbundet (en del av SKL:s föregångare tillsammans med Kommunförbundet) utan gick huvudsakligen via riksdagen.
Där fanns det som kallades ”landstingspartiet” eller ”landstingsbänken” där landstingsordförande som nästan undantagslöst även vara riksdagsmän kunde driva sina frågor – ofta i gott samförstånd oavsett partipolitisk tillhörighet.
Även detta var en viktig institutionell förutsättning eftersom det då fanns etablerade och lagfästa former för att lösa intressemotsättningar.
Idag är situationen radikalt annorlunda.
En viktig skillnad är förstås att det kommit in så många privata aktörer men också att när de gamla institutionerna revs ner ersattes de inte av nya som skulle varit verkningsfulla då man anammade new public management som grundfilosofi för den svenska vården.
Jag är för tillfället inne på att försöken att uppnå effektiv digitalisering och e-hälsa är bland de bästa exemplen på hur new public management på ett negativt sätt präglat svensk offentlig sektor.
Resultatet har bland annat blivit att Socialstyrelsen i accelererande takt fråntagits mandat och att sammanhållen utveckling ersatts med fragmentisering.
Intresseorganisationen SKL tycks inte heller längre gå via en beredning på myndighetsnivå utan direkt på regeringen och jag har t.o.m.
läst meningar som att ”regeringen bör SKL i uppdrag …”.
Den geografiska uppdelningen av ansvar var under perioden mindre problematisk än idag eftersom större delen av vårdens uppgifter kunde lösas inom varje landstings hank och stör.
När digitaliseringen tog fart i början av nittiotalet skapades överbryggande strukturer som exempelvis Sjunet och sedermera Carelink.
Nu finns både eHälsomyndigheten och Inera m.fl.
som utan tydlig gemensam strategi eller regelverk grejar i infrastrukturen.
Bortsett från det negativa i att sakna gemensam styrning ser jag det inte heller som problemfritt när digitalisering och e-hälsa blir frikopplade från den kärnverksamhet de ska utgöra stödfunktion för.
En annan aspekt som tycks ha glömts bort är vårdinformationens långsiktiga betydelse både för den enskilda patienten och för forskningen.
För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård.
Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades).
Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman.
Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän.
Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring.
Alla sjukvårdshuvudmän (alltså landsting/regioner) utom en om jag kommer ihåg rätt hade åtagit sig att bevara alla läkarförda journaler för all framtid.
Bakgrunden till detta var den enorma betydelse som den vårdinformation som arkiverats från sjuttonhundratalet och framåt haft för den svenska forskningen.
I PDL är kravet att en journal ska bevaras i minst tio är efter att sista anteckningen förts in i handlingen samt att journaler som allmänna handlingar ska hanteras som sådana.
Det är ungefär vad som stod i patientjournallagen också men nu är kontexten radikalt annorlunda och även innebörden av begreppen – vad är ens en ”handling” i dagens vårdinformation?
Bara den förändringen att betydligt mindre andel av vårdinformationen är allmänna handlingar och därmed kan gallras av den enskilda vårdgivaren är en stor risk.
Vissa sjukvårdshuvudmän har försökt reglera arkivfrågan i avtal med de privata vårdgivarna men detta är knappast tillräckligt.
Redan idag är det som presenteras på skärmen hos en vårdgivare en sammanställning av information ur en rad system och tjänster som kan finnas både inom och utom vårdgivarens organisation.
Detta är bara inledning av en utveckling där informationshanteringen kommer att bli organisatoriskt och tekniskt allt mer komplex.
För att bevara denna gigantiska informationsmassa för framtiden för att kunna serva patienter som envisas med att leva i bortåt ett sekel och för att kunna ge underlag för livsviktig forskning räcker det inte med att litet svävande beskriva ”e-arkiv”.
För mig är detta en mycket bekymmersam fråga och det förvånar mig att varken Riksarkivet eller de utredningar som genomförts gällande registerforskningen intresserat sig för detta.
Så här i slutet av litanian vill jag inte på något sätt hävda att vi kan använda gårdagens lösningar idag.
Däremot tror jag att det finns mycket att vinna på att ha ett historiskt perspektiv.
I detta fall vill jag lyfta fram behovet av kvalitativa kunskapsunderlag som är parlamentariskt förankrade, en långsiktig väl definierad inriktning, institutionella förutsättningar anpassade efter aktuell situation och en sammanhållande kraft med mandat att genomdriva beslutade lösningar.
Framför allt tror jag att vi måste erkänna att det finns intressemotsättningar och lyfta fram dem i ljuset för att kunna diskutera hur de ska lösas.
Ofta framhålls svårigheten med den geografiska uppdelningen, minst lika stor är den som handlar om de inte helt kompatibla intressena privata utförare och den offentliga finansieringen.
Hur dessa intressen ska balanseras mot varandra har hittills varit en icke-fråga i e-hälsosammanhang.
Det har vi inte råd att låta den fortsätta vara.
Om vi ska klara upprätthålla den väsentliga del i välfärdssamhället som den offentligt finansierade sjukvården utgör och dessutom införa dataskyddsförordning, NIS-direktiv, civil beredskap och allt annat så måste vi ändra bilden av e-hälsa.
Det handlar inte om att släppa ner litet slumpmässiga tekniska lösningar (gärna efter påtryckning av olika leverantörer) utan att se att det kräver samma mobilisering, organisation och koordinering som då sjukvården byggdes ut under efterkrigstiden.
Och glöm inte forskningen!
En mig närstående berättade att biblioteket där hen jobbar har en dystopihylla på barn- och ungdomsavdelningen.
Så populär är den dystopiska genren för barn att den kräver en egen hylla.
Jämfört med den yviga diskussionen om tysthetsnormen på bibliotek känns det här som en viktigare fråga för mig: varför har dystopin blivit ett så dominerande narrativ, så dominerande att även barn måste få en rejäl dos av dyster framtid?
Det är alltid svårt att bedöma sin nutid men detta är bara ett tecken på att vi för närvarande lever i en tid av ett ökande materiellt välstånd, längre livslängd, ett minskat terrorhot (i alla fall i Europa) och, sett i ett längre perspektiv, färre konflikter men med en känsla av att vi vandrar på avgrundens rand.
Egendomligt nog är oron i mindre grad riktad mot reella hot som klimatsituationen.
Undersökningar liknande den ger en ganska entydig bild av den bristande tilltron till framtiden bland unga.
Flera av senare tids mest populära serier som The handmaids tale (som bygger på min gamla favorit Atwoods bok) är också dystopier.
Inte bara barnen utan även vuxna antingen får sin redan dystra världsbild bekräftad eller influeras till en sådan via masskulturen.
Den dystopiska världsbilden fördystrar inte bara den enskilda människans liv utan avspeglar ett samhälle av rädda människor.
Att rädda människor är mer lättstyrda och mer beredda att underordna sig starka ledare som säger sig kunna erbjuda skydd är väl utforskat, bland annat av Zygmunt Bauman i verk som den Flytande rädslan.
Det förenande kännetecknet för dystopierna är ett auktoritärt styre vilket känns aktuellt även utanför fiktionens värld.
Kanske kan den skräck vi känner för de fiktiva tyrannierna i allt från Harry Potter till vuxenlitteratur omvandlas till en kraft för att förhindra auktoritära tendenser i verkligheten.
Efter att ha läst Timothy Snyders On tyranny, en kort bestseller med hög densitet, funderar jag över om dystopierna på ett olyckligt sätt medverkar till att vi accepterar auktoritära tendenser som oundvikliga.
De auktoritära tendensernas återkomst riskerar att urholka demokratin och på sikt leda till tyranni.
On tyranny beskriver faktorer som historiskt sett har berett vägen för tyranni och vad en ansvarsfull individ kan göra för att motverka att dessa faktorer får genomslagskraft.
Exemplen är hämtade dels från nazismens genombrott i Tyskland, dels det sovjetiska tyranniet.
On tyranny ger uppmaningar som att slå vakt om språket, om sanningen, om institutionerna, om integriteten, om yrkesetik och om att våga stå för en egen åsikt.
Börjar vi ge vika och kompromissa eller, ännu värre, agera som en del i den kraft som vill underminera demokrati, öppenhet och integritet så kan en snabb förflyttning ske till ett auktoritärt styrelseskick.
Exempel på rörelser i den riktningen finns i flera europeiska länder idag och det finns ingen anledning att tro att Sverige skulle vara immunt.
Det kan förtjäna att understrykas att förflyttningen mot auktoritära styren i dagens Europa i huvudsak varit interna angelägenheter och jag tänkte därför i detta sammanhang inte fokusera på vår stora stygga granne i öst utan på vad vi kan göra själva.
En möjlig slutsats utifrån den historiska erfarenheten är att ett samhälle som genomsyras av tillit är det som har bäst motståndskraft mot auktoritära styren.
Vi bör alltså inte hålla ögonen öppna enbart för de auktoritära tendenserna utan även för förhållanden i samhället som antingen skapar eller eroderar tillit.
Den tillitsdelegation som Ardalan Shekarabi tillsatt är sannolikt ett positivt steg i rätt riktning men otillräckligt eftersom målet för delegationens arbete är att ”styrningen av den offentliga förvaltningen i högre utsträckning ska baseras på ”.
Det handlar i huvudsak om saker som att föreslå nya styrmodeller i den offentliga förvaltningen som kan ersätta New public management-modeller som visat sig tämligen destruktiva, d.v.s.
tillit i förhållandet mellan regeringen och myndigheterna istället för detaljerade och mätbara kontrollprogram.
Mycket bra självklart men som sagt otillräckligt för att skapa tillit hos innevånarna i förhållande till staten eller samhället i ett vidare perspektiv.Ändå ska inte verkligen inte myndigheters roll som samhällsbärande institutioner underskattas.
Här finns ett samspel mellan att myndigheterna måste göra sitt yttersta för att få förtroende men också att medborgarna, media och debattörer accepterar ett ansvar för myndigheters och andra institutioners möjlighet att fungera.
En uppfordrande maning från Snyder som känns omodern i dagens skräniga politiska klimat är att vi måste försvara våra institutioner: It is the institutions that helps us to preserve decency.
Det här är naturligtvis ett något obekvämt perspektiv, vana som vi är att få gnälla på allt.
Jag är dock beredd att köpa Snyders resonemang och ska själv försöka komma bort från slentriangnällandet och bli mer konstruktiv.
Min övertygelse om att detta är viktigt stärktes då jag häromdagen läste en terrorismforskare hundvissla om att ”Sverige” accepterar att kriminella spränger polisbilar.
Med Snyders text färsk i minnet gjorde jag en ansträngning för att se något som helst positivt i att hen utnyttjar sin stora plattform för att göra den här typen av utspel som knappast har med verkligheten att göra.
Jag kan inte se någon sådan positiv effekt – bara att tilliten i samhället minskar.
Det måste dock poängteras att försvara institutioner som sådana inte innebär att de inte får kritiseras.
Tvärtom måste ett ständigt förbättringsarbete pågå men det måste ske med respekt för institutionerna som just institutioner.
Om vi kan vara överens om premissen att tillit är en motkraft mot auktoritära synsätt så vill jag nu gå ett steg längre och säga att vi som arbetar med frågor inom informationshantering, säkerhet och integritet har en möjlighet att i någon liten mån påverka en förflyttning i rätt riktning.
Det kräver dock kulturförskjutning inom kåren mot ett arbete tydligare grundat i värderingar och även en uppgörelse med den anti-intellektuella och delvis auktoritära hållning som alltför ofta präglar synsätt och arbetsformer.
Vikten av att förankra säkerhetsåtgärder i värderingar innebär en förståelse av att ”säkerhet” inte har ett existensberättigande i sig själv utan måste vara kopplat till att utveckla och skydda värden i organisationen, och på samhällsnivå; värden för samhället.
De materiella värdena är enkla att identifiera men i förhållandet till tillit så är det, som jag uppfattar det, framför allt öppenhet, korrekthet och respekt för den enskildes integritet.
Att detta inte faller sig alldeles naturligt för alla som jobbar med säkerhet förstår jag utifrån att ha blivit kallad både integritetsextremist och öppenhetsfundamentalist (med viss glimt i ögat) av kollegor.
Och att göra sig fri från det anti-intellektuella handlar väsentligen om att erkänna att informationshantering och säkerhet befinner sig i ett territorium av ständiga dilemman där förmågan till relevanta problemformuleringar är helt central för att vara en positiv kraft.
I detta ligger naturligtvis även förmågan att tänka och att kunna ta till sig ny kunskap samt att inse att det inte finns absoluta sanningar.
Även här föreställer jag mig en ganska mödosam process för att utveckla kåren mot en mer ändamålsenlig kultur.
Låt mig ta några exempel på frågor där säkerhetsarbete kan stärka eller stjälpa tilliten.
Den mest näraliggande proberstenen är dataskyddsförordningen som träder i kraft i maj och vars syfte är stärka den personliga integriteten (och den gemensamma europeiska marknaden).
Vi är väl ett antal som både arbetat med informationssäkerhet och integritetsfrågor, t.ex.
som PUO, men min personliga erfarenhet är att integritet försätter många säkerhetsmänniskor i ett ambivalent tillstånd.
Å ena sidan finns det redan idag lagstiftning som ska skydda integriteten och som förutsätter att informationssäkerheten medverkar till detta, å andra sidan är åtgärder som olika typer övervakning centrala i säkerhetsarbetet.
Integritet och övervakning går inte att förena utan en djupare analys där det måste finnas en beredskap för att den övervakning som skulle vara eftersträvansvärd ur ett rent säkerhetsperspektiv inte går att införa på grund av den inskränker den personliga integriteten.
Den lagstiftning som redan finns angående integritetsskydd efterlevs i många fall inte.
Jag tror inte heller att lagstiftning är tillräckligt utan att relationen mellan värderingar och lagstiftning är mer komplex än vad som framskymtar i dessa mycket seniora jurister .
Värdering och lagstiftning är helt enkelt inte synonymt (för att ta det mest slitna exemplet otrohet som inte är förbjudet men som det finns en stark värdering kring).
För att kunna hantera det återkommande dilemmat mellan integritet (som lagstiftningen kräver) och övervakning måste man ha stöd i värderingar, att verkligen bottna i att integritet är ett viktigt värde och själv aktivt verka för att förbättra den.
Lyckas man med det bidrar man till tilliten inte bara genom att slå vakt om integriteten utan även genom att på ett seriöst och öppet sätt visa att världen inte är svart-vitt utan kräver avvägningar och kompromisser.
Integritet har en tendens att frammana svart-vita resonemang och dessutom märkliga motsatsförhållanden som leder tanken fel.
Jag har tidigare skrivit om den falska dikotomi (ett argumentationsfel där det förutsätts att det bara finns två alternativ, men där det egentligen skulle kunna vara så att båda dessa alternativ är falska eller att dessa inte behöver utesluta varandra) som använts när det gäller integriteten i sjukvården.
Där har nu under 25 år patientsäkerhet ställts mot integritet trots att det är fullt möjligt att uppnå både och.
Denna falska motsättning har upprätthållits av sjukvårdens makthavare på olika nivåer och av programvaruleverantörer och är märkligt seglivad och reproduceras i alla sammanhang rörande digitalisering och e-hälsa, explicit och implicit.
Ett nytt exempel på detta är den rapport som Myndigheten för vård- och omsorgsanalys publicerade i . Rapportens syfte är att beskriva till vilket man haft stöd i enkätundersökning.
Trots den goda intentionen att ta reda på befolkningens inställning till tillgången till vårduppgifter menar jag att man hamnar i ett etiskt moras när man läser enkätens beskrivning av verkligheten och de frågor som respondenterna förväntas besvara.
Ett exempel på bakgrund: Sjukvårdspersonal har inte alltid tillgång till dina journaler som förts på andra vårdenheter.
Till exempel kan det vara så att läkaren på din vårdcentral inte kan se journalen från specialistläkare som du träffat på sjukhus.
Nu tas initiativ för att se till att olika vårdenheter ska kunna se varandras journaler, så att den vårdpersonal du träffar har tillgång till viktig information om dig.
Det är bara personal som deltar i vården av dig eller som på andra sätt behöver uppgifterna för sitt arbete som har rätt att läsa din journal.
Men detta kan ändå medföra en ökad risk att personal som inte har rätt till det läser dina uppgifter.
Redan beskrivningen sätts förutsättningen att patienten måste gå med på en ökad risk för obehörig åtkomst för att få den självklara nyttan av att behöriga vårdgivare ska få rätt underlag för sin behandling.
Samtidigt beskrivs den obehöriga åtkomsten som ett undantag Andra studier och källor pekar emellertid på att hanteringen av digitala hälsouppgifter inte alltid lever upp till dessa förväntningar på säker hantering.
trots att det är väl känt inte minst genom Datainspektionens försorg att personal som inte alls behöver det har tillgång till känslig information i sjukvården är regel idag, inte ett undantag.
När respondenten får frågor som om gissar jag att flertalet förutsätter att det endast är personal som aktivt deltar i respondentens vård som avses.
Den falska dikotomin finns ständigt som en bakgrund som när man i intervjuerna frammanar en situation på liv och död: Anser du att all vårdpersonal som du kommer i kontakt med bör kunna se (allt) ditt journalinnehåll?
a. Vilka uppgifter anser du bör vara synliga – om något – för vårdpersonal på till exempel akutmottagningen?
istället för att fråga om respondenten anser att alla inom en region inklusive fotvårdsterapeuter bör få se din psykjournal.
Min generella invändning mot rapporten, vid sidan om den falska dikotomin, är att den riktar hypotetiska frågor om specifika förhållanden där respondenterna med största sannolikhet har mycket litet kunskap som hur informationshanteringen sker, vårdens organisation och rådande säkerhets- och integritetsförhållanden.
En radikal tanke är att föreställa sig att enkäten utformats utifrån dagens verkliga situation med frågor som: Hur upplever du att tusentals anställda som inte alls deltar i din vård har tillgång till all vårdinformation och det heller inte finns rutiner för att i efterhand på ett rimligt effektivt sätt kontrollera eventuell felaktig åtkomst?
Detta innebär också en möjlighet att förändra information så att du riskerar allvarlig felbehandling.
Jag tror att den typen att frågor skulle ge en mer rättvisande bild av hur människor faktiskt bedömer sin önskan om integritet.
Svarsfrekvensen når inte upp till 30 procent vilket kan vara ett tecken på att många tilltänkta respondenter uppfattade sin förmåga att besvara frågorna som begränsad.
Det har inte utgjort något hinder för de slutsatser som presenteras i rapporten.
Jag kommer säkert att återkomma till den här rapporten då den trots sina brister och luddiga slutsatser med säkerhet kommer att användas i olika e-hälsosammanhang som ett stöd för lösningar med bristfälliga integritetskrav.
Ur ett tillitsperspektiv är det också negativt inte bara på det sätt som beskrivs i rapporten: Westins många studier har också påvisat ett starkt samband mellan graden av tillit till institutioner och inställningen till integritetsskydd.
utan också genom att institutionernas förmåga att värna den enskildes integritet påverkar tilliten.
Med den integritetssyn som signaleras i rapporten riskerar integriteten att påverkas i negativ riktning vilket i sin tur kan leda till en sänkt tillit.
Detta stärks ytterligare av den bild av verkligheten som ges inte rimmar med de granskningar av faktiska förhållanden som gjorts.
För mig blir detta ett dubbelfel sett med spaning på tillit: först de verkliga bristerna i sjukvården, därefter att de ignoreras.
Samma osäkerhet om vilken verklighet vi pratar om infinner sig lätt när det gäller säkerhetsåtgärder.
Ett uppenbart exempel är övervakningskameror.
Vetenskapligt finns det svaga för att övervakningskameror minskar kriminalitet utom då de placeras i parkeringshus.
Ändå lyfts övervakningskameror ständigt fram som ett sätt att visa handlingskraft, inte minst för att bekämpa brottslighet i utsatta områden.
Jag förutsätter att flertalet som argumenterar för fler kameror är väl medvetna om den bristande effektiviteten i åtgärden men av andra skäl ändå framhärdar i sin argumentation.
Som jag ser det leder ineffektiva säkerhetsåtgärder till en falsk trygghet eller till att själva säkerhetsåtgärderna ger belägg för att människor borde känna sig orolig eller till att alerta medborgare inser att de blir ”lurade” av myndigheterna.
Inget av dessa tre alternativ skapar en större tillit i samhället.
De bör dock få oss som arbetar med säkerhet att fundera över vilka direkta och indirekta konsekvenser vårt säkerhetsarbete kan få och att våga ifrågasätta den reella säkerhetshöjande effekten av olika åtgärder.
Avvägningen mellan integritet och vilket annat värde som helst behöver inte med nödvändigt leda till att vilket värde som helst är viktigare.
Den ambivalens som finns hos många säkerhetsmänniskor inför integritetsfrågorna finns i minst lika hög grad inför öppenhet.
Öppenhetens betydelse för samhällelig tillit är knappast ifrågasatt av någon och för svenska förhållanden finns det en stor mängd statsvetenskapliga studier om detta så jag finner det överflödigt att länka till någon enskild av dessa studier.
Den intresserade kan börja med Bo Rothstein och sedan gå vidare.
Sverige har ju också unika förutsättningar för att ge insyn i myndigheters verksamhet genom offentlighetsprincipen.
Även här finns dock ett glapp mellan lagstiftningen och de värderingar som myndigheter och enskilda tjänstemän har.
För att offentlighetsprincipen ska fungera i praktiken krävs en vilja att tillhandahålla information även om det kan leda till negativa konsekvenser för myndigheten.
Den kultur som finns inom säkerhetsområdet bär på ett arv där huvuduppgiften har varit att säkerställa att hemlig information inte blir tillgänglig för obehöriga.
Resultatet blir en osäkerhet som gör att sekretesstämpeln kommer fram för flitigt när det gäller säkerhetsrelaterad information.
Att möjligheten att sekretessbelägga information tillämpas i allt vidare utsträckning uppmärksammas av grävande journalister .
Öppenheten är basen för tillit men också ett viktigt verktyg för att kunna bedriva den källkritik som är nödvändig i ett klimat där falska nyheter och påverkansaktiviteter florerar.
Men även källkritik måste utgå från rimliga värderingar som ger tillit.
För mig som är danad i Lauritz Weibulls hårda källkritiska skola är det centralt att det källkritiska förhållningssättet tillämpas även på grunden för de egna utsagorna.
Om inte denna princip anses giltig uppfattar jag det som att vi tar ett steg mot den asymmetriska situation som råder under auktoritära regimer där enbart andra nationers påverkansförsök nagelfars medan utsagor som gynnar den egna ståndpunkten okritiskt anammas.
Tecken på sådana tendenser av överdrivet välvilligt mottagande har uppmärksammats av bland annat podden Mediespanarna rörande en undermålig rapport om rysk .
Problemet är att de som har det lovvärda syftet att avslöja rysk desinformation själva blir desinformatörer.
Det är dags att avrunda detta långa och pretentiösa inlägg med att komma några förhoppningar inför det nya året, förhoppningar som känns alldeles särskilt aktuella den här veckan då Folk och försvar drar i gång samtidigt som valåret inleds.
En första förhoppning är att vi alla har ett ansvar för att medverka till att skapa tillit i samhället.
Vi som arbetar med säkerhet bör låta vårt arbete styras av värderingar som skyddar öppenhet, integritet och demokrati.
Vi måste också våga ifrågasätta våra egna sanningar och tillämpa en systematisk källkritik där det också är tillåtet att ha fel.
Ta stöd i Timothy Snyders uppmaningar och se hur du kan omsätta dem i ditt arbete.
Läs och se dystopier men motverka att de förverkligas genom att vara extra vaksamma mot alla steg som går i en auktoritär riktning, som inskränker öppenhet och demokrati samt medborgarens möjlighet att hävda sina rättigheter även i förhållande till den egna statsmakten.
Undvik att gå in i starkt polariserade lägen som skapar falska dikotomier som att vi antingen är fullständigt naiva eller att ett storkrig står för dörren vilket legitimerar inskränkningar i öppenheten och andra demokratiska rättigheter.
Och var inte rädd, rädsla urholkar inte bara själen utan även samhället.
Här kommer ett litet mellanspel i min långa rant om varför informationssäkerheten inte funkar.
Istället ska jag ägna ytterligare några rader åt e-hälsa.
I slutet av september inträffade ett nytt stort it-haveri i Stockholms läns landsting (SLL) där flera sjukhus drabbades på ett sådant sätt att patientsäkerheten uppgavs .
I SLL:s digitala lösningar har större incidenter skett vid ett antal tillfällen under de senaste åren och det var bara någon månad sedan en mycket allvarlig händelse skedde i . Som samhällsmedlem och patient in spe med viss insikt om hur det ser ut på e-hälsoområdet är jag djupt oroad.
Trots att de många och allvarliga incidenterna som utgör en stor risk för patientsäkerheten och för patienternas integritet tycks insikten om de stora problemen med säkerhet inte engagera vårdens makthavare nämnvärt.
Pliktskyldigt sägs några fraser om säkerhet, sedan störtar samtalet vidare med muntra trumpetstötar om att Sverige ska bli bäst i världen på e-hälsa vilket inte förefaller innebära att vi ska bli bäst i världen på en e-hälsa.
Digitalisering beskrivs i närmast messianska former och diskussionsklimatet är av en sådan karaktär att det problematiserande som är nödvändigt för alla framgångsrika utvecklingsprojekt avvisas kategoriskt och sägs till och med vara ”förbjudet”.
Jag ser detta i sig som djupt problematiskt eftersom digitaliseringen, liksom alla andra större samhällsförändringar, innebär reella intressekonflikter som måste hanteras på ett rationellt sätt.
Detta gäller även inom informationssäkerhetsområdet specifikt där till exempel tillgänglighet och skydd mot obehörig åtkomst alltid måste balanseras mot varandra.
Historiskt har ,enligt min uppfattning, flertalet e-hälsolösningar hastats fram utan gemensam strategi i meningen långsiktig målbild och långsiktig planering där behov och beroenden är analyserade och utvärderade i en öppen diskussion.
Alltför ofta har mycket kostsamma och administrativt krävande lösningar (tänk exempelvis NPÖ) dykt upp utan att behov, säkerhet och kvalitet har klarlagts.
Efter att ett stort antal miljoner flödat in i de ofärdiga projekten har de försvunnit till en kyrkogård av misslyckade visioner.
När jag läste följande tweet kändes den därför som ett mycket tråkigt exempel på att vårdens makthavare tycks oförmögna att lära sig av tidigare misstag: Sjukvårdsminister Gabriel Wikström har nu uttalat att uppgifter kring aborter ska hanteras som övriga patientuppgifter i vården .
Detta är intressant eftersom hans resonemang ställer ett antal principiella frågor på sin spets.
För att inte bli alltför tjatig kommer jag här att lämna den ständigt återkommande falska motsättningen mellan patientsäkerhet å ena sidan och integritet å den andra där hän även om den är högst relevant.
Insamlandet av känsliga personuppgifter i register sker för det ”greater good”, alltså inte för den enskilda patientens patientsäkerhet.
Få, särskilt i Sverige, skulle argumentera emot den medicinska registerforskningens stora betydelse både för enskilda och för samhället i stort.
Det finns en mycket lång tradition att använda medicinska och andra personuppgifter för forskningsändamål så det får sägas finnas en stor acceptans att vara leverantör till allehanda forskning.
Betydelsen av möjlighet till registerforskning har också fått en aktuell beskrivning i Bengt Westerbergs 2014 .
Förutsättningen för att upprätthålla legitimiteten i registerforskningen är att patienternas integritet i hanteringen vilket Bengt Westerberg uttryckligen hade att utreda.
Han har dock fått kritik för att inte tillräckligt att beakta den intresseavvägning som måste göras och inte heller att ta hänsyn till den kritik som Datainspektionen framfört gällande brister i säkerheten i registerhanteringen.
När Gabriel Wikström nu presenterar sitt förslag lyser hela denna diskussion med sin frånvaro.
Istället sker en märklig omformulering där integriteten i hanteringen av patientuppgifter ses som att man tabubelägger vissa åkommor.
Den ganska självklara och lagstadgade uppfattningen att känsliga uppgifter om hälsa ska hanteras så att de bara är tillgängliga för de som deltar i vården av den enskilda patienten framställs som en litet gammaldags känsla av skam.
Underförstått ska en modern och neurosfri människa glatt dela med sig av dessa uppgifter till de instanser och företag som tycker sig ha nytta av dem.
Förutom att det strider mot det etiska ställningstagande som finns hos allmänheten och i rådande lagstiftning är det också djupt störande ur andra synpunkter.
Uppgifter om sexuell hälsa inklusive abort kan utgöra en verklig risk för patienten om de kommer i orätta händer.
Risken för hedersvåld och vanlig ”hederligt svensk” kvinnomisshandel finns om uppgifter om abort kommer i orätta händer.
Tyvärr har även RFSU som annars brukar vara vaksamma för kvinnors rättigheter negligerat denna .
Ministern hävdar att det saknas anledning för oro.
Registren kommer att omges med nödvändig säkerhet och dessutom finns det inga uppgifter om incidenter i tidigare registerhantering.
Båda dessa påståenden måste som ytterst tveksamma.
Säkerheten i registerhanteringen är en förlängning av säkerheten hos de vårdgivare som lämnar uppgifter till registren.
Det räcker kanske med att ta ett enda aktuellt som visar på skakigheten i den generella informationssäkerheten i sjukvården och dessutom tillägga att det i dag inte sker någon systematisk insamling av it-incidenter i sjukvården över huvud taget.
Jag vågar, utan att darra på manschetten, att informationssäkerheten som är förutsättningen för integriteten i sjukvården är klart undermålig och att ministern därför saknar fog för sitt lugnande besked kring hanteringen.
Datainspektionens utlåtanden om själva registren indikerar även de på påtagliga brister.
Det är inte bara för forskning som sjukvårdshuvudmännen och andra vill återanvända uppgifter insamlade i samband med patientens vård.
I en något märklig förra veckan hävdar ett antal administratörer med emfas rätten till patientuppgifterna.
Självklart finns ett ekonomiskt och etiskt intresse av att säkerställa att de ersättningar som privata vårdgivare erhåller från sjukvårdshuvudmännen verkligen går till vård av patienter.
Det är dock ett logiskt felslut att med svepande formuleringar om tystnadsplikt hävda att det innebär att administratörer hos landstingen måste ha direktåtkomst till alla patienters person- och hälsouppgifter hos de privata vårdgivarna.
För att försöka förtydliga frågan.
Det finns starka och legitima skäl att använda patientuppgifter för andra ändamål än för vården av den enskilda patienten.
Det finns också laglig rätt att göra detta för sjukvårdshuvudmän och vårdgivare.
Men detta måste ske så att patientens integritet kan skyddas och det är sjukvårdshuvudmännens ansvar att skapa säkra lösningar för både uppföljning och forskning.
Detta är naturligtvis ingen omöjlighet att åstadkomma om viljan finns.
Istället för att formulera indignerade debattinlägg om hur integriteten hindrar sjukvårdshuvudmännens administration är det detta man bör koncentrera sig på.
Jag skrev själv ett i Läkartidningen 2010 om möjligheten att avidentifiera patientuppgifter för att öka säkerheten.
Jag tycker fortfarande att det är den typen av lösningar som borde analyseras närmare, särskilt nu när informationssystem inom hälso- och sjukvård i allt högre grad blivit attraktiva mål för externa parter.
Aktörer inom hälso- och sjukvårdsområdet måste också ta risken med integritetsbrott för den enskilda patienten på allvar.
Och när det gäller abortregistret och de undersystem som ska leverera information till registret så måste hanteringen utformas så att det skyddar den egentliga riskägaren, nämligen den kvinna som riskerar sitt liv och sin hälsa om informationen kan läsas av fel personer.
2011 blev jag utsedd som deltagare i en referensgrupp när Socialstyrelsen skulle revidera sin föreskrift om informationshantering och journalföring inom hälso- och sjukvård SOSFS 2008:14.
Föreskriften innehöll en hel del om informationssäkerhet men vården har i ringa grad efterlevt dessa regler vilket Socialstyrelsens egna visade redan 2011 som till exempel gällande Karolinska universitetssjukhuset.
Vårdens informationssäkerhet har knappast blivit bättre sedan dess och det kan väl därför ses som positivt att Socialstyrelsen nu 2016 äntligen ha kommit i mål med den nya föreskriften.
har beteckningen HSLF-FS 2016:40 Journalföring och behandling av personuppgifter i hälso- och sjukvården.
I korthet innebär föreskriften och de allmänna råden ett tydligare krav på vårdgivare att införa ett ledningssystem för informationssäkerhet så att rätt nivå på konfidentialitet, riktighet, tillgänglighet och spårbarhet kan utvecklas och upprätthållas.
Några reflektioner kan dock göras i samband med föreskriftens ikraftträdande.
En föreskrift är en reglering på detaljerad nivå.
När det gäller vårdens informationssäkerhet och e-hälsa saknas dock en strategisk inriktning och en beskrivning av hur vårdens informationshantering på övergripande nivå ska styras så att informationssäkerheten ska förbättras.
En överenskommelse har gjorts mellan staten och Sveriges Kommuner och Landsting som kalla 2025 som en ny version av den tidigare Nationella e-hälsostrategin.
Vision är nog rätta benämningen med tanke på lösligheten i inriktningen där visserligen ”säkerhet” nämns ett antal gånger men under mycket oklara former.
Den heta frågan vem som egentligen har ansvaret för att säkerheten ska bli bättre undviks sorgfälligt.
Även på samma fluffiga sätt skrivit om att det är bra med informationssäkerhet men inte hur detta ska gå till.
Undertexten är påfallande oftaternativt integritet måste ”balanseras” mot exempelvis patientsäkerhet eller effektivitet, d.v.s.
att informationssäkerhet och skyddet av integriteten skulle hindra att patienten skulle få bra och effektiv vård.
Det enda som är tydligt är att många inflytelserika personer inom e-hälsoområdet tycks ha en dimmig uppfattning om vad informationssäkerhet är och därmed inte ser att rätt utformad informationssäkerhet leder till såväl till bättre patientsäkerhet och effektivitet som till skydd för integritet.
Den aktuella föreskriften, som kan ses som den nedersta delen i en hierarki av styrande dokument, fångar upp detta men eftersom den mer övergripande styrningen inte går i samma riktning riskerar föreskriften att liksom sin föregångare att bli utan verkan.
Socialstyrelsen har endast mandat att rikta föreskrifter till de enskilda vårdgivarna.
Föreskriften säger därmed egentligen till varje landsting eller privat vårdgivare att de ska ha ett ledningssystem för och det är naturligtvis en viktig grundprincip.
Men alltmer av vårdens informationshantering sker utanför vårdgivarens kontroll exempelvis i form av att en privat vårdgivare är tvungen att använda den upphandlande sjukvårdshuvudmannens system och rutiner.
Framför allt sker dock alltmer av hanteringen med stöd av gemensamma och nationella tjänster som vårdgivarna i praktiken är nödgade att använda för att kunna bedriva sin verksamhet och föreskriftens räckvidd innefattar exempelvis inte E-hälsomyndigheten eller Inera.
Detta blir ett olösligt dilemma för den säkerhetsmedvetna vårdgivaren.
Å ena sidan stipulerar det egna ledningssystemet att man måste formulera krav på säkerhet hos externa parter som hanterar ens information, å andra sidan har man ingen möjlighet att göra det i förhållande de stora aktörerna som hanterar alltmer av ens information.
Kvar står vårdgivaren med ansvaret gentemot patienterna och den bristande legitimiteten hos det egna ledningssystemet.
Föreskriften matchar alltså inte behovet av styrning av informationssäkerhet i den alltmer omfattande e-hälsan.
Visionen för e-hälsa 2015 sägs vara: I detta borde ingå en stor satsning på att förbättra informationssäkerheten inom vården.
Det finns dock ett ömsesidigt ointresse där e-hälsans banerförare i mycket liten omfattning ser betydelsen av informationssäkerhet samtidigt som instanserna med ansvar för informationssäkerhet inte aktivt stödjer vården.
Svaret på frågan i rubriken är nog tyvärr: nej, inte särskilt mycket.
Vad som skulle behövas vore en ordentlig utredning av vårdens behov av informationssäkerhet som skulle kunna ligga till grund för framtidens visioner.
En bredare utredning skulle också kunna lägga grunden för en bättre kommunikation mellan vårdens representanter och företrädare för informationssäkerhetsområdet.
Med en samsyn kring behov och möjligheter finns en väg framåt som skulle gagna inte bara de enskilda patienterna utan samhället i stort.
Av en händelse ser jag att Daniel Forslund, liberalt landstingsråd för (L) i Stockholms läns landsting med ansvar för innovation, eHälsa, IT-utveckling och patientnära tjänster, på en PR-site för ett it-bolag gör ett intressant uttalande .
Sammanhanget för uttalandet kan i sig tyckas symptomatiskt med tanke på den ofta litet väl nära relation som funnits mellan sjukvårdspolitiker, landstingstjänstemän och it-leverantörerna men den frågan lämnar jag för tillfället.
Det som är intressant är följande avsnitt apropå de tre stora sjukvårdshuvudmännens satsning på en ny it-plattform: För den medborgare och/eller patient som inte haft insyn vare sig i den rådande ideologin inom sjukvården eller i den praktiska verkligheten måste detta uttalande vara ganska häpnadsväckande.
Är det inte en självklarhet att integritet och patientsäkerhet måste kunna upprätthållas samtidigt?
Tyvärr är svaret att under de senaste decennierna har integriteten i sjukvården steg för steg nedmonterats både som värdering och i utformningen av den informationshantering som ska stödja vårdprocesserna.
Detta är inte enbart min personliga uppfattning utan finns även som en av de slutsatser som Integritetskommittén dragit i sin kartläggning ”Hur står det till med integriteten” http://www.regeringen.se/pressmeddelanden/2016/06/kartlaggning-identifierar-allvarliga-risker-for-den-personliga-integriteten/.
Tyvärr har inte de utredningar som skett inom e-hälsoområdet heller sett detta som en prioriterad fråga.
Förhållningssättet till integritet som funnits med i digitaliseringsprocessen av vården ända sedan dess inledande faser är att det har målats upp en motsatsställning mellan patientsäkerhet och integritet.
Det har också funnits ett mycket svagt intresse hos sjukvårdshuvudmän, vårdgivare och it-leverantörer att göra den insats som krävs för att få en styrning av informationshanteringen och systemen/tjänsterna så att båda dessa värden kan uppnås samtidigt.
Min tolkning är att man istället anpassat etik och lagstiftning efter tekniska brister.
Integritetsfrågorna har också lyfts bort från de myndigheter som normalt arbetar med att reglera och tillsyna informationshanteringen i vården, t.ex.
IVO och tidigare Socialstyrelsen.
Tidigare skedde en gemensam intresseavvägning mellan patientssäkerhet och integritet inom samma myndighet som dessutom hade vården i sin helhet som uppdrag.
Nu förväntas Datainspektionen med sina begränsade resurser och mandat försöka styra hanteringen av personuppgifter i rätt riktning inom vården.
Intresseavvägningen mellan patientssäkerhet och integritet har därmed flyttats till den enskilde vårdgivaren som ska uttolka de olika myndigheternas icke samordnade reglering i en informationshantering som däremot blir alltmer gemensam.
Dessutom har tillsynen av de regler för skydd av integritet som faktiskt finns varit otillräcklig.
Det är inte enbart tekniken som varit orsak till att integritetens allt lägre prioritet.
Både organisationsförändringar och förändrade vårdformer har starkt påverkat synen på avgränsning och ansvar för informationen.
För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård.
Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades).
Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman.
Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän.
Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring.
Vid sidan om offentlighetslagstiftningen fanns patientjournallagen som gav vårdgivarna ansvar att både säkerställa patientsäkerhet och integritet.
Socialstyrelsen hade tillsyn enligt patientjournallagen även i de delar som gällde att värna patientens integritet.
Det fanns också en yrkesgrupp som var utbildad för att professionellt hantera vårdinformation – läkarsekreterarna.
Vi som under stark motvind försökt driva integritetsfrågan i sjukvården har bemötts med i princip alla de logiska fallacier som finns i den här både lärorika och underhållande uppräkningen .
Särskilt populära har i min anekdotiska erfarenhet varit: Det kanske vanligaste har ändå varit härskartekniker som tystnad och osynliggörande vilket kanske varit det tråkigaste eftersom det lett till att en mer seriös diskussion inte förts och viktiga intresseavvägningar inte gjorts.
Själv hoppas jag på en mer rationell diskussion som klarar att beakta flera intressen samtidigt.
Integritet har trots detta blivit en allt viktigare fråga i e-samhället och det är naturligtvis positivt att makthavare inom sjukvården också uppfattar det.
Det är bara att hoppas på att det finns en seriös vilja att verkligen åstadkomma detta i 3R-projektet även om det är svårt att tolka in det i det dokument som det hänvisas till http://www.sll.se/Global/Politik/Politiska-organ/Landstingsfullmaktige/2016/2016-06-14-15/forslag-41sid19.pdf.
I beslutet om upphandlingsunderlag står det: Inte så mycket om integritet alltså.
Frågan i rubriken får vara obesvarad ett tag till.

Inför ett moratorium inom vård-it och inför inte några nya lösningar som inte är absolut nödvändiga.
Gör en heltäckande genomgång av säkerhetsbristerna inom den svenska vård-it.
Stärk Socialstyrelsens roll i förhållande till sjukvårdshuvudmän vårdgivare när det gäller vårdens informationshantering.
Detta bör även gälla myndigheter som främst ska leverera e-tjänster som E-hälsomyndigheten.
Utred hur ansvarsförhållandena för informationshanteringen i vården ser ut och hur de borde se ut.
En central fråga är det reella ansvarsutkrävandet.
Säkerställ att även det långsiktiga behovet av vårdinformationen beaktas, både den enskilda patientens behov och samhällets behov av informationen för forskningsändamål.
Ta fram en strategi och en arkitektur för den nationella nivån som inte bara är fluff.
Ta fram en gemensam styrmodellvården och låt den förvaltas av myndigheter – inte av intresseorganisationer eller utförare i första hand.
Skapa ett ackrediteringssystem för anslutning till den nationella arkitekturen.
Skapa verktyg för systematisk uppföljning av informationssäkerheten inom vård-it och lita inte på att tillsyn av enskilda organisationer skapar säkerhet.
Utveckla utbildningar för de somen i vården.
Utveckla ett forskningsprogram för informationssäkerhetsstyrning i miljöer med multilaterala ansvarsförhållanden.
Stärkt samordning av de frågor som påverkar vården i regeringskansliet och en stärkt roll för Socialstyrelsen som sammanhållande kraft i vården och beställare av it-lösningar hos e-Hälsomyndigheten, SKL m.fl.
Hur en gemensam infrastruktur ska kunna byggas upp i konkreta termer och ansvarsförhållandena för detta En ny patientdatalag som lever upp till dagens många olika behov och som inte genar när det blir svårt.
En arkivlag som kan tillgodse kravet på att bevara den gemensamma informationsinfrastruktur som uppstår inom bland annat e-hälsa.
I en ny arkivlag bör finnas utrymme för att fatta beslut om bevaranderegler även för andra än statliga myndigheter, t.ex.
ett krav på att viss vårdinformation ska bevaras för all framtid oavsett vårdgivare.
SKL:s roll med övervägande om liknande krav på öppenhet som gäller de ingående sjukvårdshuvudmännen.
Frågan bör ställas om SKL över huvud taget har de institutionella förutsättningarna att leverera gemensamma e-tjänster eller om detta istället bör ske av myndigheter Utred möjligheten att införa en lösning liknande den norska Normenden svenska vården.
Detta drev jag med klent gehör när jag jobbade på MSB men det är aldrig fel att vädra gamla käpphästar.
MSB måste våga överge sin beröringsskräck för verkligheten och kunna ge faktiskt stöd till bland annat vården.
Hur e-hälsan systematiskt ska utvärderas och vem som ska utföra det.
Strawman: om du är för integritet och ser att den frågan inte hanterats i digitaliseringsprojekt så är du emot digitalisering i sig och vill gå tillbaka till pappersjournaler och hur bra var det med alla som sprang i journalarkiven?
Black or white: om du är för integritet så är du emot patientsäkerhet eftersom det framställs som omöjligt att vara för både och.
Anecdotal: Eftersom det inte finns någon egentlig sammanställning och utvärdering av vilka brister i informationshanteringen som lett till vårdskador så har ofta begränsningar i informationstillgången framställts som orsaken medan det kanske snarare handlat om bristande riktighet eller spårbarhet – detta bevisat genom egna anekdotiska bevis (vilket även kan ses som false cause, det vill säga att man skapar en korrelation som inte kan underbyggas).
Bandwagon: I och med att det funnits en gemensam acceptans för bristande integritet bland sjukvårdspolitiker och andra makthavare i vården så har det varit lätt att implicit och explicit driva en linje innebärande ”att alla gör så och varför skulle vi då ha krav på oss att göra annorlunda?”.
Appeal to authority: Mycket kraftfullt har varit att framställa läkare, annan vårdpersonal och vissa starka patientföreningar som innehavare av sanningen som inte går att motsäga.
Att de representerar särintressen har inte alltid framkommit.
Begging the question: Ett vanligt exempel som jag fått höra sedan början av nittiotalet är: ”tänk när någon kommer in medvetslös på akuten och vi kan rädda hen om vi bara får tillgång till all information – hur kan du vara emot det?” I detta exempel ligger ju antal inbäddade förutsättningar som att detta är den vårdsituation som vi bör ha som mall för alla andra (vilket även är ett exempel på composition/division) och att den som förespråkat integritet därmed sagt att det aldrig finns undantag eller speciella rutiner.

en varför förutse 16 § på vilket sätt läsa alla all en sina sjukvårdsvårdshuvudmännen vårdgivare alla alltid säker

Meny E-hälsa Inläggsnavigering

MENU MENU Postat av Postad i , , , , Tagged , , , , , , Postat av Postad i , , , , , Tagged , , , , , Postat av Postad i , , , , , Tagged , , , , , , Postat av Postad i , , , , , , , , Tagged , , , , , , , , , , Postat av Postad i , , , , , , , , Tagged , , , , , , , Postat av Postad i , , Tagged , , , postat av → Postad i , , , Tagged , , , , , Postat av Postad i , , , Tagged , , , Postat av Postad i , , Tagged , , , Postat av Postad i , , , , , Tagged , , , , → Sök efter:

Konsulterna vårdresultat/kostnad=värde The Age of Surveillance Capitalism Befolkningens inställning till nytta och risker med digitala hälsouppgifter Vad är din uppfattning om att olika vårdenheter får tillgång till varandras journaler?
sin egen verksamhet År 2025 ska Sverige vara bäst i världen på att använda digitaliseringens och ehälsans möjligheter i syfte att underlätta för människor att uppnå en god och jämlik hälsa och välfärd samt utveckla och stärka egna resurser för ökad självständighet och delaktighet i samhällslivet.
Satsningen på en ny plattform som nu ska göras innebär att man nu kan öka både patientsäkerheten och integritetsskyddet på ett sätt som varit svårt tidigare.
– Förut har man varit tvungen att kompromissa mellan dem.
Man har låst in data i respektive system vilket gett ett bra integritetsskydd men en sämre patientsäkerhet, men för första gången kan man nu höja nivån på båda samtidigt.
Dagens tekniska system gör det möjligt att ha gemensamma databaser och ändå sätta behörigheter på informationen.
Om du är kvinna och bryter ett ben behöver ortopeden inte ha tillgång till dina gynrapporter till exempel.
Vi kan också kravställa spårbarhet, vem som läst din information, på ett annat sätt, samtidigt som vi kan öka patientsäkerheten, säger Daniel Forslund.
Kärnsystemet ska stödja följande skapa incitament för verksamhetsutveckling, inklusive arbete med standardisering kopplat till begrepp som process, teknik, patientsäkerhet och kvalitet etablera förutsättningar för arbetet med en gemensam informationsstruktur omfattande informationsmodeller och termer/begrepp system ge invånaren en ökad tillgänglighet till och enklare kommunikation med vården Stockholms läns landsting ge invånaren möjlighet till att ta aktiv del i och ansvar för sin hälsa och sjukvård ge vårdverksamheten tillgång till en användarvänlig informationsmiljö i realtid med besluts- och processtöd ge kvalitetssäkrad information för att kunna utveckla vårdens processer och dess arbetssätt ge verktyg för forskning, utveckling och utbildning ge ett lättillgängligt verktyg för myndigheter och vårdgivare så att arbetet med kvalitets- och ledningssystem underlättas.

Det finns vissa återkommande anekdotiska exempel inom informationssäkerhetsområdet som ska beskriva en situation eller ett problem.
Vissa har jag säkert använt själv vid olika tillfällen.
Men när man hört något litet för många gånger börjar i alla fall jag begrunda vad som är den egentliga innebörden i exemplet – vad vill man ha sagt?
Och därefter funderar jag på vad effekten hos åhörarna, blir den verkligen den som eftersträvas?
Ett sådant återkommande exempel i presentationer, föreläsningar och utbildningar handlar om lösenord.
Antingen genom att beskriva det hela som en personlig upplevelse eller en mer generell företeelse så säger vi (även jag har gjort det någon gång för länge sedan…) att användare haft lösenord på post it-lappar fästa vid skärmen eller under skrivbordsunderlägget.
Samma exempel återkommer i tips för bättre säkerhet som och .
Det är uppenbarligen en bild som säkerhetsmänniskor finner effektfull trots att skrivbordsunderläggen i ärlighetens namn numera är sällsynta.
Ofta berättas detta med ett överseende, eller ännu värre; ett smått föraktfullt, leende som låter påskina att medarbetarna inte förstår sig på alternativt inte bryr sig om säkerhet.
Min erfarenhet är att detta är en helt felaktig uppfattning.
I princip alla verksamheter som jag jobbat i, och inte minst inom vården, är de allra flesta medarbetare mycket engagerade i att göra ett bra jobb.
Detta inkluderar även att följa de säkerhetsregler som finns.
Att sedan lösenordshanteringen ändå kan vara litet si och så tror jag beror på flera faktorer.
En väsentlig elefant i rummet är att det jobbigt att hantera lösenord på det sätt som sker nu.
Sedan mitten av 90-talet har det utlovats single sign-on-lösningar men få har hittills skådat fungerande lösningar i verkligheten.
Istället fortsätter det som förut med allt längre lösenord, olika lösenord i de allt fler applikationer som används på arbetsplatserna och med krav på byten var tredje månad.
I en stressig arbetssituation kan jag inte annat än ha förståelse för att medarbetare söker genvägar.
I vårt privatliv kan vi använda olika lösningar som automatgenererar hyfsat säkra lösenord men i arbetsmiljön är många kvar på ruta ett.
En annan faktor är kommunikationen om lösenord.
När jag läser och hör hur reglerna för lösenordshantering kommuniceras med medarbetare är det sällan med någon motivation eller beskrivning av vari risken ligger om lösenordet är för kort eller används längre än ett kvartal.
Detta tror jag är en mer generell problematik inom säkerhetsområdet.
Alltför ofta använder vi olika former av envägskommunikation och dessutom utan att ge tillräckligt bra förklaringar hur bristande tillämpningar av säkerhetsåtgärder påverkar kvaliteten och effektiviteten i verksamheten.
Jag ser det hela framför mig som en våg där goda förklaringar gör säkerhetsåtgärden uppfattas som motiverad och krångligheten acceptabel.
Slutligen är ett problem att det tycks finnas mycket litet evidens om lösenord, hur långa de bör vara och hur ofta de bör bytas.
Vi går på det som litet slängigt brukar kallas ”best practice” vilket kan tolkas som ”vi tror att det här det bästa sättet att göra det men har inga belägg för det”.
Att beläggen är svaga gör vår egen argumentation svag vilket gör det svårare att övertyga andra vilket sannolikt är en förklaring till att vi hellre kör ut en oemotsagd regel än har en mer djuplodande diskussion om risker med verksamheten.
Jag tror inte medarbetare känner sig särskilt motiverade av den här typen av exempel hur ”dumma” andra medarbetare i samma situation är.
Förmodligen kommer istället antingen en viss skamsenhet över att man inte själv heller alltid lyckas leva upp till de krångliga reglerna eller så fnyser man invärtes och tänker: ”det är ju lätt att säga när man inte vet hur det fungerar här och hur stressigt det är”.
I båda fallen tapparkontakten med sin publik.
Sammantaget drar jag tre slutsatser av ovanstående.
Att det inte är så konstigt att medarbetare gömmer lösenord under de imaginära skrivbordsunderläggen.
Att vi måste hitta bättre fungerande säkerhetslösningar både i bemärkelsen att de fungerar effektivt mot beskrivna risker och i bemärkelsen att de går att använda på ett inte alltför tyngande sätt för medarbetare.
Att vi måste bli bättre på att belägga de säkerhetslösningar vi föreslår med evidens istället för att hänvisa till ”best practice”.
Med tanke på att behovet av informationssäkerhet kommer att öka alltmer måste vi kunna både för oss själva och för de organisationer vi verkar i visa att vågen är i balans; att de tyngande rutiner och åtgärder vi förordar är motiverade.

är

Meny Användarregler

MENU MENU Postat av Postad i , Tagged , , , Sök efter:

Jag har alltid haft svårt för den oreflekterade gruppkänslan, när tillhörigheten till en grupp blir så viktig för ens (yrkes)identitet att det skuggar tankens klarhet.
Tyvärr tycker jag att säkerhetsbranschen ofta drabbas en överdriven gruppkänsla som leder till ett grupptänk och inte minst av en oförståelse för hur det ser ut i ”verkligheten”.
Att predika för kören, d.v.s.
för andra säkerhetsmänniskor, är enklare än att öppet diskutera säkerhetsfrågor med människor som har andra och kanske viktigare prioriteringar än säkerhet.
Själv måste jag erkänna att jag grips av en skamkänsla över att erbjuda lösningar som tar så mycket tid från kärnverksamheten, dessutom med oklart resultat.
Trots att säkerhetsbranschen av tradition är högerlutande, vilket i normala fall skulle leda till ett ifrågasättande av byråkrati, krångel, förmynderi och slöseri med skattemedel, så godtas orimligt insatskrävande säkerhetsåtgärder i just skattefinansierade verksamheter.
Ganska hemmablint kan man tycka.
Låt mig bara ta några exempel.
I Sverige finns runt grundskolor.
Såsom praxis och stöd är utformade ska då informationsklassning genomföras om inte i samtliga grundskolor så åtminstone per förvaltning eller grundskoleområde, gärna med stöd av SKR:s KLASSA.
Många kommuner väljer dessutom att ta in konsulter för att genomföra klassningarna med KLASSA för dyra pengar och utan att den så viktiga dialogen uppstår mellan verksamhet och informationssäkerhetsansvarig.
Åtgärderna som levereras ur KLASSA är inte i de flesta fall konkreta utan snarare på en nivå som kräver en egen utredning för framtagning av åtgärder hos kommunen som använder verktyget.
För mig känns det som en mycket dyrbar metod som ger ett resultat som i bästa fall är tveksamt.
Som jag tidigare betraktar jag inte det som ett sätt att effektivisera säkerhetsarbetet och föreslår andra möjligheter.
Några andra som inte är så ängsliga för att ta säkerhetsresurser i anspråk är MSB.
Myndigheten har nu tagit fram en egen som såvitt jag kan se inte har något vetenskapligt stöd (däremot en närmast rörande metodbeskrivning med formel och allt).
Det framgår inte heller varför man inte tydligare anslutit till ISO 27004 som visserligen nämns men lämnar få spår i utformningen.
MSB har gått så långt att man skrivit in ISO 27001/27002 i sin föreskrift för statliga myndigheter så det skulle känts rätt logiskt att man då gått all in i standardfamiljen även då det gäller uppföljning.
Rapporten är ett svar på ett regeringsuppdrag: Detta skulle kunna tolkas som något som liknar frivillig tillsyn eller revision men istället har MSB knåpat ihop något som enligt min bedömning (jag har ändå rätt många år i mätbranschen) kommer att ta avsevärd tid att hantera för de organisationer som väljer att delta utan egentlig nytta.
Ja, visst får ledningen en överblick men även den som är mest besatt av mantrat ”ledningens genomgång” måste någon gång landa i att det är praktiska åtgärder som måste vidtas för att förbättra säkerheten – det räcker inte att rapportera aldrig så mycket.
Jag vet hur betvingande det är med spindeldiagram, jag har stått inför otaliga ledningsgrupper och showat med gott resultat, men det som gav verklig nytta var något annat.
Det var de insatser vi lade ner på att skriva detaljerade rekommendationer noggrant anpassade efter den specifika organisationens förutsättningar och risker.
Efter att ha läst MSB:s rapport kan jag inte förstå hur denna typ av frågeställningar öht ska kunna besvaras och vad eventuella svar skulle kunna ha för kvalitet: Hur räknar man ens procent på åtgärder?
Är åtgärden att sätt lås på ett dokumentskåp lika mycket värd som att ändra backup-rutiner liksom?
Måste åtgärderna att ha varit fullständigt genomförda för att räknas eller räcker det att de är påbörjade?
Om det endast fullständigt genomförda åtgärder som ingår kommer då organisationen att prioritera kortsiktiga åtgärder och välja bort de som tar lång tid men som kanske har större betydelse för säkerheten?
Att med så många grundläggande osäkerhet försöka tillämpa en formel som denna ger mig ett intryck av ett helt verklighetsfrämmande projekt.
Ett tredje ack så resurskrävande villospår är de externa revisioner som många organisationer väljer att göra.
Det är ett enkelt men kostsamt beslut att ta för ledningen.
Och när man ser på leveranserna från inte minst större välrenommerade företag blir man ofta beklämd.
Rapporterna, som inte sällan kommer i power point-format, är så uppenbart standardrekommendationer som av juniora konsulter klippts samman till något som inte är anpassat till kundens verksamhet och i vissa fall inte ens till svensk kontext.
Hur svårtolkade (en eufemism) rapporterna kan vara tyder den absurda upplevelse som jag stött på när ett revisionsbolag anlitas för att uttolka ett annat revisionsbolags rapport och försöka göra om den till något som liknar förslag på begripliga åtgärder.
Och nej, det blev inte så mycket begripligare i nästa led.
Trots den bristande kvaliteten i många revisionsrapporter får de orimligt stor betydelse i många organisationer.
Ledningar tar dem på stort allvar och tycker sig ha fått ett underlag både för den så omtalade ”benchmarketingen” och för att att kunna vidta rätt säkerhetsåtgärder.
Det är inte så konstigt; ledningen tycker sig ha betalat dyrt för att få en professionell genomgång av ett område som man själv i de flesta fall är dåligt insatt i. Att ställa kritiska frågor är inte aktuellt, särskilt om det skulle kunna avslöja ens egen bristande kunskap.
Vid ett inte oväsentligt antal tillfällen har jag tyckt när jag läst rapporterna att de varit mer eller mindre vilseledande när det gäller vilka åtgärder som rekommenderas.
Eftersom de som utfört revisionen på ett industriellt sätt inte haft möjlighet att sätta sig in i kundens förutsättningar kan fokuseringen på de prefabricerade åtgärderna leda till både dubbelarbete när vissa element faktiskt redan finns på plats men under annan benämning än revisionsbolagets och till att väsentliga risker missas.
Dessutom är hänsyn sällan tagen till beroendeförhållandet mellan olika åtgärder, något som kan göra att kundens åtgärdsarbete blir alldeles i onödan ineffektivt.
Ibland betonar revisorerna väldigt specifika åtgärder som den som arbetar med säkerhet i organisationen vet att man redan klarat av på annat sätt eller att avsaknaden av åtgärden innebär en mycket liten risk.
Detta går dock inte fram till ledningen som sätter en större tillit till den ytliga granskningen än till den egna personalens bedömningar – onödig kraft läggs då på att checka av åtgärdsförslagen istället för på att reducera verkliga risker.
Säkerhetsarbetet kan därmed snedvridas på avgörande sätt för lång tid fram över.
Detta är bara tre exempel, det finns många fler metoder och krav som kan ses som på det hela taget tämligen improduktiva.
Det är naturligtvis inte en slump att compliance och rapportering är så populärt.
Det är betydligt lättare att ”granska” än att skapa fungerande säkerhetsåtgärder – tro mig, jag har varit på båda sidorna.
Ibland skulle jag vilja gå så långt som att det borde vara förbjudet föreslå metoder och åtgärder för den som inte själv stått i det praktiska slitet att försöka förbättra säkerheten i en faktiskt existerande organisation.
Det är först då en djupare förståelse för hur komplicerat det är att förbättra den verkliga säkerheten, inte bara den som finns i kolumner och poängsättning.
Säkerhetsbranschen har anammat synsätten som leder till största nackdelen med NPM med oklara rambeskrivningar, mätningar och rapporteringar en masse.
Trots att aktörerna i branschen som sagt ofta i andra sammanhang klagar på administration tycks man blind för den negativa byråkrati man själv skapar och som äter upp resurserna som skulle gjort så mycket större nytta i kärnverksamheten.
Informationssäkerhetskraven såsom de ser ut idag trängs med likartade strukturer för hållbarhet, miljö, jämställdhet, ekonomi m.m.
som alla är viktiga men samtidigt tar kraft från det egentliga uppdraget.
Det är tyvärr inte så stor risk att vi råkar ut för något ansvarsutkrävande men vi borde verkligen se oss i spegeln och ställa frågan om vi är närande eller tärande.
Sannolikt mest det senare vilket borde sporra oss till att tänka på att varje timme vi tvingar alternativt uppmuntrar andra till att lägga på att svara på frågor och rapportera tas från en sjuksköterska eller lärare eller någon som producerar något vettigt.
I mitt förra inlägg hävdade jag att arbetet med informationssäkerhet alltför ofta kännetecknas av byråkratiska aktiviteter utan reell säkerhetshöjande effekt men däremot med ett anspråkstagande av verksamheters resurser på ett orimligt sätt.
Det är ju inte heller enbart kärnverksamhetens resurser som används på ett sätt som kan etiskt ifrågasättas.
Att säkerhetsarbetet bedrivs utan hänsyn till hur effektiv användningen av resurser är samtidigt som den oavlåtliga klagovisan ljuder att säkerhetsarbetet får för litet resurser, ständigt för litet resurser, är paradoxalt.
För den som arbetar med säkerhet borde det ha högsta prioritet att få fram arbetssätt som ger största möjliga utdelning av säkerhetshöjande effekter i förhållanden till insatta resurser.
Tyvärr har jag sett mycket litet av den typen av analyser och jag kan t.o.m.
tycka att säkerhetsområdet får rejält med pengar sammantaget utan det riktigt framgår vad som kommit ut av det.
Rubriken på blogginlägget är aningen ironisk eftersom det väl nu är allmänt känt att effektiviseringar sällan leder till bättre verksamhet.
Jag tycker ändå att det är klädsamt om vi som jobbar informationssäkerhet, som är en stödfunktion, håller upp spegeln och ser vad vi kan göra när kärnverksamheten i många organisationer är hårt pressad av krav på besparingar.
Att försöka göra saker bättre och mer kostnadseffektiva behöver inte heller vara till nackdel för metodutveckling, jag dristar mig att anse att det skulle vara en fördel om det fanns ROI-perspektiv på både planerade och genomförda säkerhetsåtgärder.
Jag tror det skulle vara ett stort stöd för många informationssäkerhetsansvariga som nu ibland verkar beta av ett antal aktiviteter utan att kunna bedöma vad det egentligen leder till.
Vissa aktiviteter kan vara stora och dyrbara men det handlar också om annat där kostnaden kanske inte är så stor men effekten ännu mindre.
Att genomföra generiska e-utbildningar är enligt min erfarenhet tämligen bortkastat mensom initierat dem kan bocka av en ruta.
För mig betyder detta mekaniska tillvägagångssätt, förutom pengar och medarbetares tid i sjön, att organisationen invaggas i en vilseledande och farlig falsk trygghet.
Det tämligen obefintliga effektivitetspressen inom säkerhetsområdet, som är så kännbar i andra sektorer, tycker jag mig se leda till en lättja i tanke och i handling.
Det är lätt att glömma bort men informationssäkerhet handlar i grunden om att .
Har man inte det så har man inte en fungerande informationssäkerhet.
Med detta i bakhuvudet så kan den seriösa informationssäkerhetsarbetaren inte leva efter bekvämlighetsprincipen och hela tiden göra det som känns enklast.
Att enbart identifiera information som råkar finnas i system som man redan känner till är som, för att använda en mycket uttjatad bild, att leta efter den borttappade nyckeln under gatlyktan eftersom det är enklast.
Tyvärr är det så jag uppfattar rätt mycket av de insatser som går under beteckningen ”informationsklassning” som inte leder till kontroll över den information som är viktig för verksamheten utan den som redan finns bekvämt paketerad i en behållare a.k.a ett ”system”.
Ibland när jag får ”verktyg” för informationsklassning som är obegripligt efterfrågade presenterade för mig kan jag inte låta bli att fnissa till och tänka på min bekant som var kommunal it-chef på 1990-talet.
Hen hävdade att det var en underbar tillvaro där hen sågs som en wizzard som på vilken fråga som helst (i princip) från verksamheten kunde hacka ihop ett it-verktyg för att lösa en uppgift.
”Stöd” sågs helt enkelt som synonymt med någon slags programvara.
Tyvärr tycks denna uppfattning leva kvar bland många i informationssäkerhetsbranschen trots att det ofta är de icke-digitala delarna i en aktivitet som är svåra.
I informationsklassning (se nedan) är den stora frågan exempelvis att göra rätt analyser, inte att hålla reda på genomförda klassningar.
Innehåller verktygen dessutom generiska skyddsåtgärder uppstår en annan problematik: vem tar då egentligen ansvar för att det är korrekta skyddsåtgärder i förhållande till risken?
Efter denna salva känner jag mig förpliktigad att ge exempel på alternativ.
Här kommer därför ett förslag på arbetssätt motsvarande informationssäkerhetens kinderägg.
De tre fördelarna med mitt förslag är att man faktiskt arbetar med information – inte system, att man kan bygga upp en likvärdig säkerhet i likartade verksamheter och att kostnader i form av pengar och tid radikalt skulle kunna minskas samtidigt som får ökad kvalitet/säkerhet.
Med avsikt har jag valt en mycket säkerhetskänslig funktion som även är mycket vanligt förekommande: processen för läkemedelshantering i äldreomsorgen.
För att ge en kort bakgrund så ombesörjs äldreomsorgen med de 290 kommunerna som huvudman.
Kommunerna kan bedriva omsorgen själva eller anlita underleverantörer som privata vårdföretag.
Oavsett vilket så är det kommunen som har ansvar som sjukvårdshuvudman och ska därmed säkerställa att omsorgen bedrivs på ett säkert och likvärdigt sätt oavsett utförare.
En central del i omsorgen av äldre är läkemedelshanteringen.
Äldre som inte får rätt läkemedel i rätt dos vid rätt tidpunkt löper en avsevärd hälsorisk, i värsta fall med döden som utgång.
Omsorgen sker dygnet runt av ett antal medarbetare som vid varje givet tillfälle måste ha korrekt och spårbar information tillgänglig.
Samtidigt berör uppgifterna om läkemedel omsorgstagarens hälsotillstånd vilket gör dem till känsliga personuppgifter som måste omges med ett mycket starkt skydd mot obehörig åtkomst.
Utöver detta finns en särskild risk i läkemedelshanteringen, narkotiska preparat och även andra är mycket stöldbegärliga.
Även detta stärker det utpräglade behovet av spårbarhet där varje händelse kan följas och och kopplas till person som i en lång verifikationskedja.
En generisk processbeskrivning på övergripande nivå skulle kunna se ut så här.
Inga konstigheter i det men man kan gå ett fördjupande steg till utan att beskrivningen skulle tappa särskilt mycket i allmängiltighet med däremot fånga upp vilken information som hanteras, se detta utsnitt ur processen: Processen startar med att en av regionens läkare gör en läkemedelsordination vilket dokumenteras i regionens vårdsystem samt i den nationella läkemedelslistan.
Dessa moment ligger utanför processbeskrivningen ovan som startar med att information om ordination överförs till kommunen som en pappersutskrift vilket startar processen.
Den intresserade kan notera följande: Detta är inte på något sätt unikt för den här processen utan gäller för många andra.
Slutsatsen man kan dra är att om man seriöst så räcker det sannerligen inte med att ”klassa” ett enskilt system utan måste få kontroll över hela informationshanteringen.
Inte heller att enbart titta på digital information utan det är just helheten som måste fångas för att rätt åtgärder ska kunna vidtas.
Även för dataskyddet är detta en självklarhet – man kan liksom inte bara skydda personuppgifter i digital form.
I den ovan beskrivna processen finns t.o.m.
bärare som apodos-påsar som måste omhändertas på ett korrekt sätt.
Det kan tyckas ansträngande att inte bara få ägna sig åt färdigpaketerad information prydligt avgränsad i system men här finns istället stora effektivitetsvinster att göra.
Det går att klassa informationsmängden ”ordination” och så vidare så att det går att använda som en i samtliga kommuner oavsett vilka bärare man för tillfället råkar använda.
Dagens rekommendation från myndigheter och SKR är att 290 kommuner med vissa fall flera förvaltningar som bedriver äldreomsorg ska klassa system i varje förvaltning.
Dessutom måste samma manöver upprepas av de privata vårdgivare som anlitas av kommunerna.
Enligt beräkningar fanns 2019 14900 företag som ägnade sig åt vård och omsorg.
Jag har inte riktigt tid att fördjupa mig i exakt hur många av dessa som bedriver äldreomsorg men för saken skull så utgår jag från att det åtminstone finns 500 privata äldreboenden.
Sammantaget kanske det då behöver göras 850 klassningar av olika vårdgivare.
Låt oss höfta och säga att resursåtgången per klassning är minst 100 timmar inklusive förberedelser och dokumentation (detta är extremt lågt räknat med tanke på att det ofta är ett flertal deltagare på klassningarna) för att klassa ett system som stödjer en liten del av ordinationsprocessen.
Lustigt nog kommer det också att bli samma system som klassas gång på gång med varierande resultat.
Kontentan blir alltså bristande kontroll över informationen och bristande likvärdighet mellan olika äldreomsorgsverksamheter till en sammantagen resursåtgång av 85 000 timmar.
Betänk också att detta bara är en av flera processer bara i äldreomsorgen.
Mitt förslag är att man istället slår ihop sina påsar, tar fram gemensamma normerande klassningar skyddsnivåer.
Skyddsnivåerna måste då tas fram i stor öppenhet där det redovisas hur man ser på olika risker och hur de föreslagna skyddsåtgärderna avses reducera dessa.
Koppling till krav i föreskrifter med mera bör även finnas.
Skyddsnivåerna måste även innefatta skydd av andra bärare än system och molntjänster, t.ex.
fysiskt skydd av papper.
En jätteuppgift är att hålla skyddsnivåerna uppdaterade så att de inte ger förlegade rekommendationer.
Då ska vi komma ihåg att detta ändå skulle kräva en bråkdel av de resurser som skulle gå åt om varje vårdgivare skulle genomföra alla moment själv.
Jag kan mycket väl tänka mig att man i många fall även kan ge förslag på arbetsrutiner.
Vad skull då detta kunna innebära i praktiken?
Naturligtvis skulle ansvaret för säkerheten aldrig kunna delegeras men exempelvis en vårdgivare skulle kunna gå i ett bibliotek av olika verksamhetsprocesser, välja ut den aktuella och få fram en bild av generisk process samt en normerande klassning av typen nedan (fast ifylld): Därefter jämför vårdgivaren med sin egen verksamhet hur väl det presenterade materialet stämmer överens.
Gör det det i stora drag, kanske med litet annorlunda benämningar, så skulle vårdgivaren med detta stöd kunna ta sig ner till nivå att kunna köpa rätt skåp att förvara den enskilde vårdtagarens medicin i. Att krav på digitala lösningar ingår är naturligtvis självklart.
Som en bonus kan även krav på bevarande och gallring läggas in.
Det kan kännas som en överväldigande uppgift att ta itu med men minns då att den redan är överväldigande och idag tynger kärnverksamheten på ett orimligt sätt.
Kan vi åtminstone ta fram normerande klassningar för generiska processer i samhällsviktig verksamhet skulle vi ge möjlighet att höja samhällssäkerheten högst väsentligt och dessutom kunna reducera resursåtgången.
Eftersom myndigheterna med särskilt ansvar för informationssäkerhet förefaller skeptiska till den här typen av stöd finns det utrymme för andra aktörer att träda fram.
Att lyckas med sitthandlar i hög grad om att kommunicera.
Att kommunicera handlar i sin tur i hög grad om att skapa förståelse och samsyn.
Detta är nödvändigt för att få människor och organisationer att agera.
Banala sanningar kan tyckas men tyvärr är dålig kommunikation en ständig ledsagare för de som arbetar med informationssäkerhet.
Själva begreppet informationssäkerhet saknar en tydlig och accepterad .
Detta leder till problem både för dem som anser sig arbeta med ”informationssäkerhet” och för dem som avser att anställa eller anlita vad de tror är en definierad kompetens.
Det blir inte enklare då man slänger in nya spännande beteckningar som ” ”.
Jag tror att det finns en olycklig tendens att de som arbetar med informationssäkerhet (i någon form) är mer intresserade av att bekräfta varandra i gruppen än att skapa en relation med omvärlden, d.v.s.
en relation byggd på ömsesidig förståelse.
Ta exemplet med titeln ”CISO” som fått en snabb spridning i svenska myndigheter inklusive regioner och kommuner.
Uttytt står CISO för vilket låter flott men titeln leder enligt min mening till mer oförståelse och förvirring än klarhet.
När informationssäkerhet i sig ännu inte är ett hushållsbegrepp så min fråga är varför man i Söpple kommun väljer att höja svårighetsnivån ytterligare och införa en titel som är helt ogenomtränglig för alla utanför skrået.Vad man chiefar över är även det höljt i dunkel.
Särskilt märkligt blir detta titulerande sett i ljuset av den svenska språklagen som uttryckligen skriver: Språket i domstolar, förvaltningsmyndigheter och andra organ som fullgör uppgifter i offentlig verksamhet är svenska.
I annan lag finns särskilda bestämmelser om rätt att använda nationella minoritetsspråk och annat nordiskt språk.
När det gäller skyldigheten för domstolar och förvaltningsmyndigheter att anlita tolk och att översätta handlingar finns det särskilda bestämmelser.
Språket i offentlig verksamhet ska vara vårdat, enkelt och begripligt.
Myndigheter har ett särskilt ansvar för att svensk terminologi inom deras olika fackområden finns tillgänglig, används och utvecklas.
Detta har alltså svenska myndigheter att följa vilket jag finner som ett rimligt krav.
Jag har funderat över varför så många väljer att bryta mot detta när det gäller CISO-begreppet, vad vill man uppnå på bekostnad av att varken den egna organisationen eller de invånare man är satt att tjäna begriper vad man sysslar med?
CISO är ju inte heller på något sätt en skyddad yrkestitel eller resultatet av en specifik utbildning utan kan stå för litet vad som helst.
Jag är den första att förespråka en klassisk professionalisering av vår yrkesgrupp, vilket jag skrivit om bland annat , men då är det helt andra och mer seriösa åtgärder som krävs än en flashig titel.
Vi borde vilja nå ut, inte spinna in oss i en allt tätare skråkokong.
Återigen; CISO-begreppet är bara ett exempel men jag tycker det är signifikativt för en attityd som jag menar är till nackdel både för professionen och för uppdragsgivare.
En episod som ofta återkommer i mitt minne är när en medarbetare för ett antal år sedan argumenterade för sin linje (som inte var min) med fritt citerat:” well, det är så vi i communitiet ser det.”.
Tyvärr fann jag mig inte tillräckligt snabbt för att fråga exakt vad ”communitiet” egentligen var och vilka som ingick i det men jag misstänker att det var någon slags informell och självutnämnd kommitté av människor som såg sig som ägare av informationssäkerhetsfrågan i Sverige.
Eftersom jag själv alltid skytt den här typen av gemenskaper är jag partisk.
Ändå vill jag säga jag uppfattar den här kårandan som ett problem som gestaltas bland annat genom lanserandet av CISO-titeln.
Istället för att rikta blicken på den egentliga målgruppen, det vill säga de som inte arbetar med informationssäkerhet, spelar vi för vårt eget galleri.
Den skapar också osunda lojalitetsband eftersom det saknas objektiva och accepterade krav på den som ska ses som en kompetent yrkesutövare.
Låt oss skingra dimman och inrikta oss på att nå ut till de som vi egentligen ska tjäna och skapa förutsättningarna för en seriös utveckling mot en profession.
Detta kan också en etablerad titel med ett tydligt kompetenskrav som på sikt till och med skulle kunna bli en skyddad.
Jag har grubblat en hel del över den falske officeren som i hägn av den svenska försvarsmakten lyckades ta sig ända in i . Som en bakgrund kan sägas att jag aldrig arbetat inom Försvarsmakten men varit i nära kontakt med representanter för myndigheten i olika sammanhang, inte minst då jag arbetade på MSB.
Dessutom gav utbildningen till signalskyddschef som jag genomgick för många år sedan en inblick i Försvarsmaktens syn på säkerhet.
Tillåt mig att framföra några obekväma iakttagelser som helt baserar sig på uppgifter i media.
Min egen upplevelse har varit att representanter från Försvarsmakten har självbilden att säkerheten i denna verksamhet är mycket bättre både vad gäller omfattning och kvalitet än den som den civila världen lyckas leverera.
Denna bild förefaller som så självklar att den aldrig ens diskuteras och påverkar även verksamheter utanför Försvarsmakten.
Det går ofta så långt att man vill exportera de säkerhetslösningar som tillämpas inom försvaret till andra delar av samhället.
Själv har jag ofta reflekterat över huruvida Försvarsmaktens (och säkerhetsskyddets) lösningar verkligen är ”bättre” än civila respektive kommersiella dito samt om de över huvud taget är möjliga att implementera i en mindre styrd miljö än Försvarsmaktens.
Skillnaderna mellan mål, organisation, kultur och teknik är så i grunden olika varandra att jag betvivlar att en rak export från Försvarsmakten är vare sig möjlig eller önskvärd.
Tvivlet har förstärkts av den attityd som kan finnas hos de som kommer från det gröna hållet, en viss överlägsenhet och ovilja att ta till sig att andra mål och medel är centrala i det civila livet.
Vid ett antal anställningsprocesser har jag också varit med om att militärer ansett sig lämpade som informationssäkerhetsspecialister i det civila trots att de saknat erfarenhet både från den rekryterande verksamhetens bransch och av informationssäkerheten.
Att ha jobbat i Försvarsmakten har varit en tillräcklig merit för dessa sökande.
Eftersom min grundprincip för säkerhetsarbete är att säkerheten måste anpassas till de unika förutsättningar som råder i varje organisation har denna inställning förefallit missriktad för den som vill förbättra säkerheten.
Det behöver kanske inte tilläggas att representanter för den hållningen inte skapar förutsättningar för en givande diskussion med respekt från båda håll.
Vart vill jag då komma med dessa anekdotiska grundade beskyllningar sammanförda med skandalincidenten den falska officeren?
En del är min egen förundran över att en verksamhet med ovanstående rykte och självbild som ”säkerhetsexperter” hamnat i en säkerhetsskandal som enligt min mening faktiskt slår den i Transportstyrelsen.
Här har man gett en uppenbart opålitlig person fått en säkerhetsklassad tjänst på Must, fått samordna signalskyddstjänsten och haft tillgång till !
Därefter har utlandstjänster med mera följt, också dessa tjänster med reella möjligheter att åstadkomma stor skada.
Slutligen blev han även en av Kustbevakningens kontaktpersoner för den ryska säkerhetstjänsten .
Sammantaget en karriär med potentiell tillgång till mycket känslig information under ett par decennier.
Lustigt nog förekommer samma kommentarer från Försvarsmakten och Must som från Transportstyrelsen där man vill reducera allvaret i händelsen genom att hävda att inget tyder på att någon skada är skedd.
Dessutom sägs att rutinerna för säkerhetskontroller skärpts de senaste tio åren.
Båda dessa defensiva kommentarer är problematiska menar jag.
Det förefaller svårt att på någon månad grundligt reda ut eventuella skadeverkningar av ett bedrägeri som vad jag förstår av media pågått i ett par decennier och dessutom i mycket känslig verksamhet.
Sakförhållanden borde föranleda en mycket större utredning med tanke på hur länge han varit där och hur kort tid som Försvarsmakten känt till förhållandena.
För mig som okunnig utomstående borde bara vetskapen om de insiderjobb Wennerström och Bergling genomförde framkalla frossa och en oerhörd iver att verkligen ta reda på vad som hänt.
Kanske sker också detta i det tysta men den till synes obekymrade hållningen i media inger inte förtroende.
Argumentet att säkerhetskontrollerna blivit så mycket bättre på senare år motsägs av att bedragaren under just de senaste åren manövrerat sig mellan olika känsliga positioner ända fram till Nato.
Det tyder inte på att noggranna kontroller gjorts.
Att verifiera de uppgifter en sökande lämnar vid ansökningsförfarandet uppfattar jag ändå som en slags basnivå.
I min okunnighet förfaller det som en relativt enkel uppgift när det gäller officerstjänster.
Den aktuella bedragaren hade ljugit om akademiska studier vilket är en sak.
En annan att han uppgivit att han genomfört officersutbildning vilket är en lögn som är mycket svårare att förstå att han lyckades slå i sina arbetsgivare.
När ett företag eller myndigheter ska anställa finns det ofta bokstavligen hundratals möjliga studiemeriter med utländska universitet inräknade.
Försvarsmakten har däremot en potentiell totalkoll på inflödet till officerstjänster, de kontrollerar ju den enda möjliga meriten.
Det finns mig veterligen inga alternativa eller privata officersutbildningar.
Att då någon ändå slipper igenom är högst förvånande.
När falska läkare avslöjas går det snabbt att kontrollera mot Socialstyrelsens förteckning över vilka som är legitimerade.
Då finns det ändå c.a.
jämfört med c.a.
vilket borde vara litet enklare att hålla reda på.
På sociala medier har jag fått upplysningen av mer insatta i branschen att det här sannolikt är ett fall av vad som kallas ”bäste bror”.
Jag tolkar det som en kåranda där man av rädsla att uppfattas som ifrågasättande av en officerskollegas kompetens eller heder underlåter att genomföra de rutinkontroller som beslutats.
Kanske känns det pinsamt att fråga någon som man borde känna utan och innan vad de egentligen har för formella meriter.
I en så liten yrkesgrupp som 9000 officerare kan naturligtvis en sådan tendens förstärkas.
Det känns inte som detta är förklaringen till varför Försvarsmakten inte reagerade när det fick uppgifterna från Kustbevakningen om de fynd myndigheten gjort angående ”officerens” meriter.
Det är bara obegripligt för en utomstående att den informationen inte ledde till omedelbara åtgärder.
Faktiskt känns det som det hela kunna fortgå än om inte Dagens Nyheter uppmärksammat det hela och ställt de frågor som fortfarande i stort är .
Vad kan vi lära av detta när det gäller säkerhet i allmänhet, förutom att pressen gör ett viktigt renhållningsarbete när myndigheterna själva inte klarar av det?
Min första tanke är hur svårt det är att få till en fungerande säkerhet.
Även om säkerhetsarbete alltför ofta framställs som enkelt att genomföra bara man följer de rätta ”mallarna” känner jag och troligen många andra som arbetat i praktiken en stor ödmjukhet inför uppgiften.
Det är så mycket som inte står i manualerna, det är så många procedurer som ska fungera, det är så många människor som ska tänka, känna och göra rätt.
Och det räcker inte att det fungerar en gång, det ska fungera åt efter år.
I det aktuella fallet är det ju de i allmänhet så hånade ”medarbetarna” som slarvat utan de som gjort säkerhetskontrollerna (eller borde ha gjort) måste ju vara människor med utpekat säkerhetsansvar.
Även detta kan jag på någon nivå förstå, att det känns fånigt och pinsamt att be någon man kanske jobbat ihop med länge presentera formella meriter och sedan dessutom kontrollera dessa merithandlingar som är utfärdade av i princip den egna arbetsgivaren.
En hel del säkerhetsarbete är ”going through the motions”, att man utan större engagemang utför repetitiva kontroller och hur frestande är det då inte att gena litet grann.
Den uthållighet som krävs här underskattas ofta.
Det är (relativt) lätt att besluta som säkerhetsregler men det blir en stor säkerhetsrisk om de regler som beslutats av olika anledningar inte tillämpas.
Orsakerna till att reglerna inte efterlevs är många, vi behöver inte gå in på dem alla, här vill jag bara peka på den situation som kan uppstå när alla låtsas som att reglerna fungerar fast alla egentligen vet att det fuskas.
En sådan säkerhetsmässig potemkinkuliss är en större risk anser jag än en beslutad lägre säkerhetsnivå som faktiskt fungerar.
Nu menar jag inte att det i det aktuella fallet fanns ett alternativ utan detta är mer en reflektion efter de senaste årens säkerhetshausse där många organisationer har beslut och styrande dokument som anvisar säkerhetsåtgärder som det i realiteten finns ambition att införa.
Kort sagt: verklig säkerhet trumfar fantasier!
För mig som arbetar med säkerhet är det en viktig uppgift att i dialog med ledningen för den aktuella organisationen bedöma vilken säkerhet som går att införa och vilka risker som olika alternativ innebär.
Det sämsta alternativet är när ledningen har uppfattningen att allt är hunky dory och att organisationen har en väl fungerande säkerhet medan verkligheten är en helt annan.
En sådan ledning kan ha mycket svårt att hantera situationer där stora brister uppdagas eftersom det strider helt mot deras verklighetsuppfattning.
Hypotetiskt skulle man kunna tänka sig hur svårt det var för Försvarsmaktens ledning att ta in att man huserat en bedragare i det allra känsligaste i ett par decennium utan att detta upptäckts.
Lika hypotetiskt kan man då förstå att detta kan leda till beslutsångest och oförmåga att agera trots att korten ligger på borden, som när Försvarsmakten fick information av Kustbevakningen och inte tycktes kunna hantera den.
Jag tror helt enkelt att det är farligt att vara alltför övertygad om att man per definition är bra på säkerhet.
Att vara bra på säkerhet är att ständigt ompröva och vara medveten om alla brister som hela tiden finns oavsett vilka insatser som görs.
Ytterligare en tankeställare ligger i att skandalen inte skulle ha upptäckts om inte DN lagt ner omfattande insatser på att gräva och gräva.
Att seriösa media är en förutsättning för icke-korrupta myndigheter är en slutsats man kan dra, en annan att det saknas interna funktioner som säkerställer compliance på ett effektivt sätt.
Det är inte så att jag vill måla f-n på väggen men jag tror att rätt många nu grubblar hur många andra som kunnat slinka in i systemet om kontrollerna är så obefintliga.
Nu har vi ett exempel på hur illa det kan gå.
Det bästa vi kan göra med det exemplet att återkommande hålla upp det framför oss och ställa frågan: kan det hända även här?
Och sedan försöka svara ärligt på det.
Tillägg 2020-02-05: Nu visar det sig att anställda själva kunnat lägga in sin meriter hos Försvarsmakten utan att kontroll skett hos .
Ganska häpnadsväckande.
Jag går in på LinkedIn eftersom det ingår i jobbet att hålla sig uppdaterad, storknar aningen av de hundratals bilder på människor som står och sitter på olika podier, framför olika power point-presentationer, runt olika sammanträdesbord (hoppas på en etnologisk studie av denna subkultur snart).
Vid de flesta inloggningar tillförs jag ingen ny och värdefull information utan det är mer samma känsla som då jag oengagerat bläddrar igenom lokaltidningen, kanske för att jag fått min beskärda del av denna typ av sammanhang.
Men så ibland dyker det upp något som kittlar till i sinnet.
Som när jag såg en av de inte så få offentligt anställda digitaliseringsmissionärerna (jag menar inte att vara ironisk – jag vet helt enkelt inte vad jag ska använda för begrepp för den här nya rollen) hävda att det var ”säkerhetsmupparna” som hindrat den digitala utvecklingen och att dessa muppar nu borde skärpa sig.
Jag kände mig träffad, jag är nog en del i muppkollektivet även om jag brukar kalla oss säkerhetsnördar.
Visserligen har jag idogt bedrivit en självkritik mot säkerhetsnörderiet, exempelvis i nio blogginlägg om varför säkerhetsarbetet inte funkar (del 1 : ) men är det verkligen säkerhetsarbetet som försvårat digitaliseringen i Sverige?
Bilden av motsättningen mellan å ena sidan digitalisering, å andra säkerhet återkommer ständigt och närs från båda sidor.
Ett purfärskt och illustrativt exempel där säkerhetssidan målar upp den hotfulla digitaliseringen är denna debattartikel.
Här presenteras den återkommande tropen att det finns en ursprunglig och manuell hantering som default är den säkrare .
Jag delar inte den uppfattningen.
Nuläget är för det första inte särskilt säkert (ett understatement) och för det andra är knappast digitalisering ett av många alternativ utan alternativ.
De som hoppas på att hejda utvecklingen av digitalisering hoppas med största sannolikhet förgäves.
Men grundattityden att förändring innebär en ökad risk försvårar av naturliga skäl kommunikationen med de som torgför digitaliseringens välsignelser.
För mig framstår det litet som två grupper, säkerhetsnördar och digitaliseringsmuppar, som delvis tappat orienteringen och börjat se sin egen mission som ett ändamål i sig själv.
Tendensen förstärks av att det finns starka ekonomiska intressen bakom båda riktningarna.
Att det dessutom uppfattas finnas icke helt oväsentliga politiska poäng i att som landstingspolitiker hävda att man står för det moderna digitala samhället eller att man som rikspolitiker frammanar behovet av skydd mot onda makter gör diket ännu djupare.
Hur stor är i realiteten intressekonflikten och hur mycket är säkerheten gruset i digitaliseringsmaskineriet?
När jag läser ESV:s uppföljningsrapport från förra veckan angående digitaliseringssträvandena i offentlig anges inte säkerhetsnördarna som förklaringen till den för sega utvecklingen.
Istället är det regeringens ineffektiva strategiska styrning av infrastrukturen, bristande samordning och bristande organisatorisk mognad som lyfts fram som hinder.
Det är ju litet nedslående med tanke på de många rara miljoner som plöjts ner i digitalisering och som inte lett till önskat resultat.
Samtidigt är det ju en fördel att det inte främst är mer pengar som behövs utan en tydligare riktning.
Själv skulle jag vilja hävda att vare sig säkerhet eller digitalisering har ett autonomt existensberättigande, endast kopplingen till verksamhets- eller samhällsnytta kan skapa anledning att utveckla säkerhet eller att digitalisera.
Det är rimligt att tona ner intressekonflikten eftersom det finns fler likheter än skillnader mellan arterna säkerhets- respektive digitaliseringsmupp och deras habitat.
I båda fallen saknas styrmodeller nationellt, konkret strategisk inriktning och ett evidensbaserat kunskapsområde för praktisk tillämpning.
En negativ likhet är att betydelsen av integritet sällan varit djupt känd av någon av arterna.
För att komma framåt tror jag att det är viktigt att skapa en gemensam insikt om nödvändigheten av både och, både digitalisering och säkerhet.
Då kan en attitydförskjutning ske inom båda kolonierna där respekt för kärnverksamheternas behov prioriteras, inte den egna gruppens agenda.
Därmed kan också grunden läggas för gemensamma strategier, styrmodeller och kunskap – allt det som saknas idag.
Jag är inte för att gå över till digitala val – det skulle innebära alldeles för stora risker… Hälsningar från en säkerhetsnörd.
Som jag litet surt påpekat några gånger är kunskapsgrunden fört påfallande svagt.
Det är därför en händelse av stort intresse när en ny forskningsantologi inom informationssäkerhetsområdet publiceras som nu då presenteras.
Än mer så när den är inriktad på organisation och inte enbart teknik som den övervägande del av de svenska forskningsinsatser varit.
Antologin bygger på resultatet från ett antal olika forskargrupper som finansierats av MSB i ett femårigt forskningsprogram relaterat till frågor om informationssäkerhetskultur.
I programmet genomfördes en omfattande enkätundersökning som använts av flera av de ingående forskningsgrupperingarna.
Att det är ett konglomerat av olika discipliner som deltagit är både en styrka och en svaghet i antologin.
Styrka eftersom det ger en i delar ny och intressant belysning av informationssäkerhet, svaghet då den röda tråden i antologin känns väl tunn och att det mer har handlar om paketering än en reell knytning till just säkerhetskultur.
Att det inte är ett inarbetat forskningsområde visar sig också i att den litteratur som använts i förvånande hög grad är utgiven för tio år sedan eller mer.
Först två allmänna reflektioner efter genomläsning.
För det första beskrivs informationssäkerhet påfallande ofta direkt och indirekt som en statisk entitet, d.v.s.
på ett icke-relationellt sätt, som här t.ex: Informationssäkerhetskultur kan vara bra såväl som dålig.
Den är bra om den gynnar .
Jag menar att informationssäkerheten inte är ett värde i sig utan att det är organisationens intressen som ska gynnas av informationssäkerhetskulturen, d.v.s.
att den goda informationssäkerhetskulturen stödjer organisationen i att identifiera sitt behov av olika informationssäkerhetsåtgärder.
Den andra reflektionen är den i mitt tycke en övertro på regelstyrning.
I några av inläggen framstår det som att informationssäkerhetskulturens främsta och möjligen enda uppgift är att motivera medarbetarna att följa regler.
Med erfarenhet från att vara informationssäkerhetsansvarig alternativt konsult i rätt många organisationer har jag upplevt att det stora behovet av säkerhetskultur är att den lägger grunden för en dialog om informationssäkerhet.
Verksamheten måste vara involverad eftersom det är den som känner de egentliga behoven av säkerhet men behöver hjälp med att kanalisera dem och över huvud taget definiera dem som säkerhetsrelaterade.
I detta är exempelvis verksamhetens förmåga och intresse av att uppmärksamma risker och kommunicera dem.
Och när det gäller styrningen är det också aningen förvånande att ledarskap inte diskuteras – när organisationskultur i allmänhet brukar ses som i en nära samvariation med ledarskap.
Här tänker jag inte enbart på det generella ledarskapet i en organisation.
Minst lika viktigt är det ledarskap som de som arbetar med informationssäkerhet utövar både nationellt och i sina respektive organisationer.
Min uppfattning, som saknar vetenskapligt belägg, är att detta ledarskap fortfarande är starkt präglat av en patriarkal kultur hämtad från en militär-polisiär tradition som är illasittande i de flesta moderna organisationer.
Detta kommer ytterligare att förstärkas när Metoo-revolutionen, som inte bara handlar om sextrakasserier utan även manligt maktmissbruk bland annat på arbetsplatser, rullar vidare.
Några av inläggen läser jag med känsla av: var det inte mer?
Det är inte sååå upphetsande med en slutsats som att tjänstemän som arbetar i regelföljande organisationsklimat anammar informationssäkerhetsregler bättre än tjänstemän i organisationer utan detta klimat.
Eller att informationssäkerhetskulturen gynnas av att ledningen uttrycker att informationssäkerhet är en viktig fråga för organisationen (även om detta ändå touchar ledarskapsfrågan som jag tidigare skrev att jag saknade).
I andra fall blir jag uppriktigt förbryllad.
Avsnittet om ”praktikanpassad informationssäkerhetspolicy” blandar alla nivåer av styrande dokument på ett sätt som jag som strukturfascist känner mig ytterst obekväm med.
Bara att skriva informationssäkerhetspolycier i plural … Ett annat exempel som leder grubbel är detta: Historiskt sett baserast på tre tekniskt orienterade principer: , och .
Författarna vill komplettera dem med ”organisatoriskt orienterade och beteendebaserade principer som ansvar, rollintegritet, förtroende och etiskt handlande”.
Jag gillar känslan av att få mattan undanryckt under fötterna, för mig har aspekterna konfidentialitet, riktighet, tillgänglighet och spårbarhet varit definitioner av vad som ska uppnås i tillräcklig grad med både organisatoriska och tekniska åtgärder.
Tyvärr kan jag inte säga att den nya vinklingen som författarna från Handelshögskolan i Örebro lanserar känns uppenbar ens vid en närmare genomläsning.
”CIA”-begreppen ifrågasätts även av filosofen Björn Lundgren som vill ersätta dem med den s.k.
Trots att jag har en del högskolepoäng i filosofi går mig delar av hans resonemang förbi, kanske för att jag fastnar på ett tidigt skede eftersom det förefaller som om hans utgångspunkt är att det finns ett läge där information är ”säker”.
I min uppfattning strider detta mot det riskbaserade säkerhetsarbetet där det snarare handlar om att rikta in sig mot ett ständigt rörligt mål och få en acceptabel riskmiljö.
Andra inlägg är mer givande.
Den etnologiska studien av den konfliktfyllda kultur som råder runt framtagandet av informationssäkerhetsstandarder bör leda till eftertanke men har också vissa (ofrivilligt?)
komiska inslag.
Flera av inläggen handlar om informationssäkerhet i hälso- och sjukvård och det är kanske här antologin är som mest intressant särskilt med den tydliga kopplingen till integritetsfrågor.
När nu många nya aktörer börjat visa intresse för integritetsfrågor i samband med dataskyddsförordningen har det ett generellt intresse.
Jag ska därför göra en fördjupning rörande ett av antologins inlägg.
Jag har i olika sammanhang ifrågasatt säkerheten och hanteringen av personuppgifter i den nationella tjänsten Hälsa för mig och kan därför säkert uppfattas som jävig men vill ändå hävda att Peter Johanssons och Sofie Hellbergs bidrag som handlar om den tjänsten är det mest givande avsnittet i antologin.
Detta inte enbart för att sjukvårdens informationssäkerhet och hantering av integritetsfrågor är så viktiga i sig utan också för att de frågeställningar de lyfter fram kan generaliseras.
Bidraget inleds med en effektiv genomgång av tidigare forskning om integritet samt om några möjliga synsätt.
Själva förordar de ett s.k.
kontextdrivet förhållningssätt i motsats att försöka skapa en allomfattande och evig definition av integritetsbegreppet: Vi delar uppfattningen om att nyckeln till att förstå och hantera personlig integritet ligger det sammanhang där integritetsfrågorna uppstår.
En fördel med detta förhållningssätt är att man redan i designfasen av nya tekniker och system kan inkludera skydd för den personliga integriteten eller sätt upp regler kring nya teknikers användningsområden.
Utan ett sådant kontextdrivet förhållningssätt finns en risk att man vare sig kan identifiera eller hantera situationer där den personliga integriteten .
Detta stämmer väl med privacy by design (som ju föreskrivs i dataskyddsförordningen) även om jag hellre skulle beskriva det som privacy by design i än i system.
Forskarna identifierar de två parallella trenderna där accelererande mängder information insamlas och bearbetas samtidigt som individen får en ökad tillgång till information om sig själv.
Med denna bakgrund studerar forskarna den tidigare regeringens satsning på tjänsten Hälsa för mig.
Hur ansvaret för säkerhet och integritet ska fördelas i det informationshanteringslandskapet är inte uppenbart vilket caset med Hälsa för mig visar.
Att trycka ner ansvaret till individen med krav på hen själv ska ”styra” sin integritet har varit en bekväm lösning som myndigheter och tjänsteleverantörer.
Individens möjlighet att göra rimliga avvägningar är av flera skäl mycket begränsad av att hen inte kan överblicka användningen av informationen, konsekvenserna av detta och dessutom är i ojämn maktrelation med leverantören av tjänsten.
En egen reflektion är att författarna i marginalen låter ett inslag i den kultur som formats runt e-hälsa skymta fram när man skriver: Att personlig integritet är något som kan upplevas stå i vägen för e-hälsoutvecklingen har vi noterat vid olika e-hälsokonferenser.
Där har vi lyssnat på olika talare som raljerat över ”integritetsivrare”, vilket vi uppfattar som mycket problematiskt då det appliceras svepande på bland annat läkare och patientföreningar som representerar särskilt sårbara .
Potentiellt negativa effekter för integriteten tonas .
Detta är en kultur jag känner igen sedan åtminstone början av nittiotalet.
Som verksam inom informationshanteringen i vården blev jag vittne till ett tydligt perspektivskifte.
Från att tystnadsplikt och integritet hade varit kärnvärden i läkarkåren och vården i stort skedde en snabb relativisering (ja, jag vet att allt inte var idealiskt tidigare heller men pratar här om de uttalade etiska ståndpunkterna).
Relativiseringen av integriteten blev ett förhållningssätt som funnits med i digitaliseringsprocessen av vården ända sedan dess begynnelse, där det har målats upp en motsatsställning mellan patientsäkerhet och integritet.
Bakgrunden till detta är att det har funnits en motvilja hos sjukvårdshuvudmän, vårdgivare och systemleverantörer att göra den insats som krävs för att få en styrning av informationshanteringen och systemen/tjänsterna så att båda dessa värden kan uppnås samtidigt.
Min uppfattning är att denna relativisering främst bottnade i att sjukvårdshuvudmännen m.fl.
inte prioriterade att ta fram organisatoriska beskrivningar av hur ”vårdrelation” ska definieras, d.v.s.
vilka medarbetare som verkligen har anledning att ta del av den enskilda patientens vårdinformationen.
Detta kompletterat med att systemleverantörerna inte klarade av att leverera digitala lösningar med en för ändamålet avpassad behörighetshantering gjorde att den personliga integriteten framställdes som ett hinder för verksamheten och ett hot för patienten.
Ett tydligt tecken var den ständigt återkommande bilden på konferenser och andra sammanhang där det beskrevs hur en medvetslös patient kommer in på akuten och personalen p.g.a.
att patienten kan ge samtycke inte kommer åt information som överkänslighet eller annan medicinsk bakgrund med följd av att patienten avlider.
Att flertalet patienter inte är medvetslösa, inte på akuten och att behörighetsstyrningen kan ske situationsanpassat försvann i detta scenario som gjorde det överväldigande tydligt för många att integritet är av ondo.
En rådande doktrin var också att behörighetsstyrning var onödigt och att loggning var lösningen på kontroll av åtkomst.
Att loggning i detta syfte skulle kräva att det är mycket tydligt vem som har åtkomsträtt, d.v.s.
i princip samma förutsättning som för den behörighetshantering som man sa sig inte kunna åstadkomma, förträngdes.
Effekten blev usel informationssäkerhet samt att etiken och i förlängningen lagstiftning anpassades efter organisatoriska och tekniska brister.
Detta vore ytterst intressant att läsa om i en forskningsstudie.
Den inneboende paradoxen med självstyrd integritet samtidigt som individen inte har det egentliga valet eller möjligheten att styra begränsningen av användningen av personuppgifter är inte unik för Hälsa för mig.
Den möjlighet att spärra uppgifter som patienten fick i patientdatalagen (PDL) 2008 har i praktiken inte realiserats utan på många sätt motarbetats av vårdgivare.
Bidraget om Hälsa för mig och den bristande integritetsanalysen i det projektet illustrerar en historisk utveckling formad genom tekniska ofullkomligheter men därefter stödd av en säkerhetskultur som legitimerar den bristande säkerheten, ja rent av gör den till en dygd.
Den bristande analysen i fråga om integritet i Hälsa för mig har lett till att Datainspektionen listat ett antal förelägganden som måste åtgärdas innan tjänsten kan tas i bruk.
E-hälsomyndigheten har överklagat detta till f men i dagsläget verkar det oklart om tjänsten kommer att kunna tas i bruk.
För mig är detta antologins absolut viktigaste bidrag när det gäller att vissa betydelsen av en positiv respektive negativ informationssäkerhetskultur.
Dessutom att den kulturella påverkan på intet sätt är begränsad till en enskild organisation utan kan omfatta en hel sektor.
Här finns verkligen möjlighet till vidare forskning.
I dessa dataskyddsförordningstider är det också av stor betydelse att visa att integritet inte handlar om teknikaliteter utan om kultur och värderingar.
Sammantaget illustrerar antologin ett spretigt kunskapsområde med oklar teori och en ganska lång väg kvar att gå.
Svaret på frågan i rubriken tycker jag mig kunna se som: ja, det finns både positiv och negativ informationssäkerhetskultur och vi måste förstå mer för att kunna stärka den positiva kulturen.
Jag har tidigare skrivit om att jag ser kommunikation som det centrala verktyget it och kanske det tydligast inte funkar.
Det här inlägger kommer att ytligt behandla om några aspekter av det vittomfattande ämnet, nämligen förutsättningar och förförståelse, innehåll och form.
Att kommunikationen inom informationssäkerhetsområdet har jag redan försökt beskriva i ett tidigare inlägg.
Det saknas arenor och samtalsformer för att utveckla kunskap och samsyn.
Det språkbruk och de metaforer som uppstår i denna dysfunktionella kultur gör även att vår kommunikation inte fungerar i samspelet med de vi vill engagera.
Ofta framstår både vi själva och det vi säger uppfattas som ovidkommande, auktoritärt, svårbegripligt och alarmistiskt (källa: de många verksamhetsföreträdare jag samverkat med under ett par decennier).
Själv uppfattar jag kommunikationen i informationssäkerhetsfrågor ibland som direkt vilseledande för civila organisationer.
Ett exempel är den nednötta metaforen om att skydda sina guldägg.
Den underförstådda tanken är att alla organisationer har avgränsade informationsmängder eller hård/mjukvara som ska skyddas mot främst obehörig åtkomst (?)
framför alla andra.
Detta menar jag är en feltolkning av hur dagens informations- och it-infrastrukturer fungerar där det snarare handlar om komplexa samband där olika men i många fall lika viktiga krav ställs på olika delar för att helheten ska fungera.
För att ta ett exempel från verkligheten så är det i en kommunal verksamhet meningslöst att försöka peka ut vad som skulle vara ”guldägg”.
I den kommunala äldreomsorgen bör det ställas mycket höga krav på tillgänglighet i trygghetslarmen, lika höga krav på riktighet och spårbarhet i journaldokumentationen och mycket höga krav på konfidentialitet i alla delar.
För den ekonomiska redovisningen kommer peakar i tillgänglighetskraven vid vissa perioder under bokföringsåret.
Jag kan fortsätta uppräkningen med att peka på PuL, algoritmer, webbplatser m.m., m.m.
men det enda jag vill komma fram till är att jakten på ”guldägg” leder tanken och därmed kommunikationen helt fel.
Andra vanliga påståenden på konferenser och i marknadsföring är att medarbetarna skulle vara det största problemet.
Detta påstående saknar belägg och den organisation som skulle se medarbetarna som den största risken tror jag får anledning att snabbt göra en förnyad riskanalys.
Den som tycker att ovanstående kan ses som bagateller behöver sannolikt mer övergripande argumentation om den problematiska kommunikationen.
Låt oss se ett grundscenario som både gäller i den enskilda organisationen och på ett nationellt plan.
Å ena sidan finns informationssäkerhetsexperterna som ser generella risker och som har organisatoriska och tekniska metoder för att reducera dessa risker (i alla fall hypotetiskt).
Å andra sidan finns det organisationer för vilka informationen är en resurs för verksamhetens olika processer.
Det är de senare som har den faktiska möjligheten och resurserna att genomföra informationssäkerhetsåtgärder.
För att uppnå fungerande informationssäkerhet krävs insatser från båda parter.
Enda sättet att skapa en sådan gynnsam situation är god kommunikation, den goda kommunikation som jag menar ofta saknas.
Resultatet blir alltför ofta att verksamhet och informationssäkerhet samexisterar som olja och vatten.
Trots att det är verksamheten som har behov av informationssäkerhet för att kunna leverera talar informationssäkerhetsspecialisten för döva öron.
Ett aktuellt exempel på hur det kan gå är när eHälsomyndigheten, som objektivt sett är en av de svenska organisationer som har mest behov av god informationssäkerhet, levererar två om framtiden och överhuvudtaget inte analyserar behovet av just informationssäkerhet .
Jag kommer återkomma till detta i ett senare inlägg.
Sammantaget är min erfarenhet som statlig tjänsteman som försökt förbättra informationssäkerheten inom e-förvaltning och e-hälsa att försöket mötts med en ganska avsevärd brist på förståelse från båda lägren.
De som arbetar med informationssäkerhet nationellt har haft begränsat intresse av och insikt om behovet av informationssäkerhet i verksamheter som är utpräglat civila.
De som arbetar med digitalisering i förvaltning och sjukvård har med två undantag sagt typ: ”jaja, det är säkert viktigt med säkerhet men det tar vi sedan när vi realiserat våra lösningar – säkerhet innebär ju bara en massa krångel som kan leda till att vi inte kan genomföra det vi vill.” Förutsättningen för kommunikationen är alltså en ömsesidig misstro som måste överbryggas.
Behovet av informationssäkerhet finns främst hos organisationerna själva även om det på aggregerad nivå naturligtvis i hög grad är ett samhällsintresse.
Ansvaret för kommunikationen ligger dock på informationssäkerhetsspecialisterna eftersom organisationerna inte är medvetna om sitt behov.
Här uppstår dock ett avgörande problem eftersom kommunikationen om informationssäkerheten som skapas i denna situation i de flesta fall är istället för .
Det är informationssäkerhetsspecialisterna som försöker sälja in sitt utbud av standardiserade synsätt och metoder till en verksamhet som har ett behov, ett behov som tyvärr formuleras på verksamhetens egna premisser.
Detta gäller även det nationella planet där det är myndigheterna med ett utbud som fått styra strategier och handlingsplaner, inte de civila verksamheterna med behov.
Och som alltid vid utbudsstyrning är det svårt att sätta nivån och inriktningen eftersom behovet inte är definierat – utmärkt situation för ett kommersiellt företag men knappast då man försöker styra med begränsade resurser.
Kommunikationen är en produkt av områdets kultur.
Den blir därför alltför ofta inriktad på envägskommunikation, förutsätter att de man riktar sig till är okunniga (”hur ska vi få dem att förstå”) samt på lösningar som är helt omöjliga i praktiken (som att använda signalskyddslösningar i sjukvården).
Den känslomässiga argumentationen kring attacker och antagonistiska hot lämnar mottagaren i ett rationellt limbo, kvar blir rädda människor underkastade olika auktoriteter.
Den auktoritära kommunikationsformen är naturligtvis också ett resultat av vår bristande kunskap inom informationssäkerhetsområdet (se tidigare inlägg), om man är osäker ger man sig ogärna in i dialog och diskussion.
Inte så få av de ”kommunikationsplaner” jag sett har enbart innehållit aktiviteter där avsändaren förmedlat budskap men inga aktiviteter av inlyssnande.
Hur ska vi då förbättra vår kommunikation så att organisationerna drivs av en inre motivation och på så sätt får ett ständigt förbättrat?
Jag tror det viktigaste förhållningssättet är att bestämma sig för en rollfördelning där informationssäkerhetsspecialisten (både i en enskild organisation och i form av myndigheter på nationell nivå) är en stödfunktion.
Informationssäkerheten tjänar istället syftet att organisationen ska kunna upprätthålla sitt uppdrag och sin leverans med tillräcklig kvalitet och utan störningar (i detta ligger naturligtvis även att kunna uppfylla externa krav).
För att kunna ge stöd måste informationssäkerhetsspecialisten förstå verksamheten, den unika informationshanteringen och de unika behoven.
Helt enkelt förstå att en pågående dialog, ett ömsesidigt utbyte är nödvändigt i lika hög grad för den som ska stödja som den blir stödd.
Under senare år har frågan om säkerhetskultur blivit alltmer aktuell.
Att få medarbetare i en organisation att vara medvetna och motiverade i säkerhetsfrågor ses av allt fler som något som inte bara är ett komplement till den traditionella regelstyrningen.
Tidigare har jag skrivit om betydelsen av en profession inom informationssäkerhetsområdet.
Även för en profession är det centralt att ha någon form av kultur som både skapar gemenskap inom gruppen men också bär upp de handlingar, synsätt och värderingar som gruppen förmedlar till utomstående.
Kort sagt kan ett kollektivs kultur ge gruppen en enighet om mål och medel som inte bara beskrivs i standarder, strategier och andra dokument utan som ett socialt kitt och ett ethos.
Kultur handlar i första rummet inte om beteenden utan om det som ligger bakom beteenden, som innebörder, förståelser, idéer, värden, trosföreställningar, prioriteringar och förgivettaganden.
Kulturens betydelse finns belagd i en ganska ymnig forskning inom olika fält som jag inte här kommer att gå närmare in på utan bara som icke-expert nicka och säga: ja, detta verkar relevant även för oss som arbetar med informationssäkerhet.
Det kan verka flummigt men jag tror detta är en mer central fråga än vad det först kan tyckas eftersom den kulturella grunden kan peka ut vägen för gruppen långsiktigt.
De kulturella värderingarna ger också underlaget för prioriteringar i det vardagliga arbetet.
Sist men inte minst är en grupps kultur kärnan i den kommunikation som sker med de utanför för gruppen, de kulturella budskapen som gruppen förmedlar överröstar i princip alltid själv sakinnehållet i kommunikationen.
Eftersom jag ser kommunikation som det viktigaste verktyget i arbetet med informationssäkerhet blir därför kulturfrågan central.
Vad är då våra gemensamma värderingar och vad leder de till för beteenden?
Ingen har, såvitt jag vet, gjort en kulturanalys av aktiva inom säkerhetsområdet utan jag ska försöka uttolka de gemensamma tendenser jag tyckt mig se genom åren.
Redan nu ber jag om ursäkt för de kategoriska och säkert missvisande beskrivningar som följer men jag har för närvarande enbart tillgång till mina egna erfarenheter (vilket i sig är en del av kulturen eftersom denna typ av diskussion aldrig förs).
En första reflektion är att den militär-polisiära bakgrunden fortfarande vilar tung över oss.
Det tar sig många uttryck som i den metaforvärld som används där ”attacker”, ”hot” och ”antagonism” bara är några exempel.
Detta skapar naturligtvis en speciell atmosfär men eftersom det inte bara är så att tankar som styr ord utan i lika hög grad det omvända: att våra metaforer styr våra tankar kommer detta att påverka vårt agerande.
Jag dristar mig till att säga att traditionella informationssäkerhetsmänniskor finner det betydligt enklare att fokusera på ”attacker” än att inrikta sig på de störningar i informationshanteringen som uppstår av andra orsaker som uppdateringsfel, buggar, bristande rutiner, ineffektivitet som gör att medarbetarna är mer eller mindre tvungna att bryta mot reglerna m.m.
Vårt mindset är helt enkelt mer inriktat på attacker och det är också det vi kommunicerar exempelvis med ledningarna i de organisationer där vi verkar.
Men denna kulturella värdering kan leda oss fel även i praktisk handling för om ENISA har rätt i sin så är det inte antagonistiska hot som skapar flertalet störningar: Även om alla säkert kan vara överens om att incidentrapportering är problematiskt som underlag för att bedöma vad som egentligen händer och i ännu högre grad om vilka hot som finns är ENISA:s redovisning intressant, särskilt som det väl för Sveriges del inte finns någon som är mer relevant.
Om vi nu antar att ENISA:s uppgifter stämmer så är det stora problemet störningar i kommunikationen som leder till störningar i system.
Malicious actions är däremot en mycket liten kategori.
Flera rimliga frågor inställer sig som vad som orsakat störningarna i kommunikationen.
En annan vanlig kommentar när den här typen av siffror redovisas är att det finns ett stort mörkertal när det gäller attacker m.m.
Där är jag helt beredd att hålla med, vi ju är långt ifrån att ha en heltäckande redovisning av inträffade incidenter, rimligen är mörkertalet lika stort eller större när det gäller icke-antagonistiska incidenter.
Min poäng är i all enkelhet att den kulturella styrningen mot antagonistiska hot kan leda till felprioriteringar it.
Att vara inriktad på antagonistiska hot är också belönande i så måtto att det enklare att få uppmärksamhet både från ledningar och media om man pratar om spännande hotbilder med antagonister än om frågeställningarna tangerar den vardagliga verksamhetsutvecklingen.
I den nu rådande kulturen finns en påtaglig fara för att informationssäkerhetschefen medverkar till att ledningen beslutar om säkerhetsåtgärder som inte motsvarar den faktiska riskbilden.
Och här gömmer sig kanske också ett kulturellt problem eftersom det finns två mål för säkerhetsarbetet; att avvärja hot respektive att stödja att informationshanteringen uppfyller verksamhetens krav på konfidentialitet, riktighet, spårbarhet och tillgänglighet.
Det förstnämnda liknar mer än militär uppgift medan det andra är mer att jämföra med ett kvalitetsarbete och inbegriper en nära dialog med verksamheten.
Om vi ska arbeta mer aktivt med kulturfrågan måste vi förtydliga vilken som är vår gemensamma målbild och också vår roll.
För att skissa vidare på den kultur jag uppfattar finns i vårt sammanhang så ser jag också ett auktoritärt drag.
Detta drag har förmodligen samma militär-polisiära bakgrund som det tidigare men kanske det svaga kunskapsunderlag vi ofta har för det vi föreslår också spelar in.
Exempel på vad jag menar med det auktoritära draget är att jag tycker att det finns en övertro på regler och compliance jämfört med andra typer av styrning som mer bygger på diskussion och tvåvägskommunikation.
Jag uppfattar också att kultur och former för diskussioner som alltför litet öppna och ”akademiska”, kanske för att det inte forum som inbjuder till det.
De forum som finns är i de flesta fall konferenser där ”heliga” sanningar presenteras utan återkoppling.
Denna attityd förstärks genom att informationssäkerhetsspecialistens legitimitet oftare hämtas i externa krav som lagstiftning eller standarden än verksamhetens egna behov.
Det finns också dragning mot hemlighetsfullhet.
Detta kan härledas till när säkerhetsarbetet i första hand var inriktat på att skydda rikets säkerhet men kanske också till att vi har svårt att rationellt argumentera för olika åtgärder.
Det kan då vara enklare att antyda att det finns hot som tyvärr inte kan yppas än att tydligt redogöra för olika risker och låta ledningen eller verksamheten avgöra vad som är nödvändiga åtgärder.
Detta är en bräcklig position som jag också tror skapar osäkerhet hos många i branschen.
Jag uppfattar inställningen som felriktad därför att betoningen på det hemliga, förutom att göra de flesta samtal till återvändsgränder, också gör att andra lika viktiga frågor kommer helt i bakgrunden.
I myndigheter finns till exempel kravet på öppenhet i offentlighetsprincipen som ställer stora krav på riktighet och spårbarhet i de offentliga informationsflödena.
Informationssäkerhetsspecialisten har, i min mening, ett lika tungt uppdrag i att medverka till detta som att skydda mot obehörig åtkomst.
Detta är ett exempel på statusbalansen i kulturen, sekretess har högre status än öppenhet, men det finns även andra statusförhållanden som kan diskuteras.
Ett sådant är förhållandet mellan teknik och organisation som ofta omnämns som ”hårda” respektive ”mjuka” frågor.
Man behöver inte ha läst genusvetenskap för att tolka att den egentliga innebörden är att de hårda, manliga frågorna är aningen viktigare än de mjuka, kvinnliga.
Så är det i det övriga samhället och det finns inga skäl att tro att det set annorlunda ut inom informationssäkerhetsområdet.
I praktiken leder denna inställning ofta till en överbetoning av tekniska lösningar framför organisatoriska och också till ett ofta väl teknokratiskt förhållningssätt även i organisatoriska åtgärderna.
Det blir litet märkligt i kombination med standardens tydliga organisatoriska inriktning men det är en dissonans som har accepterats.
Slutligen är en annan viktig aspekt av kulturen den tydliga mansdominansen.
Jag ser det som ett svaghetstecken för en yrkeskår när det måste skapas särskilda forum för kvinnor vilket nu skett på flera håll.
Kanske känns det nödvändigt för att kunna leva vidare i den auktoritära och teknokratiska kultur som jag frammanat ovan.
Jag skulle dock hellre se att vi gick vidare och försökte utveckla en mer ändamålsenlig kultur för de uppgifter vi har att lösa och där alla kan delta i ett gemensamt samtal på lika villkor.
I ett tidigare inlägg skrev jag om vad jag uppfattar som ett bristande vetenskapligt stöd för detsom bedrivs.
Att inte kunna bottna sitt arbete i etablerad kunskap skapar av naturliga skäl avgörande hinder i det kunskapssamhälle som numera är vårt.
Men om vi kontrafaktiskt skulle anta att det fanns en välutvecklad akademisk kunskap om informationssäkerhet skulle inte denna kunskap vara tillräcklig för att få en verkligt fungerande informationssäkerhet i organisationer och i samhället i stort.
Det behövs också aktörer som vet ”hur” man ska göra, det vill säga tillför techne och fronesis till episteme.
Vad jag avser är en profession av låt oss kalla det informationssäkerhetsspecialister.
Behovet av att skapa nya professioner följer med utvecklingen av det moderna samhället från skråväsendets tillkomst under medeltiden till dagens på olika sätt legitimerade eller auktoriserade yrken.
Professionen skapar legitimitet åt yrkesutövarna, ”paketerar” deras kompetens så att den blir hanterbar även för externa parter som är intresserade av att använda den och, inte minst, utgör en dialogpartner för den akademiska kunskapsutvecklingen.
Den fruktbara relationen mellan profession och akademin kan kanske mest arketypiskt ses inom det medicinska fältet där läkarna genomgått en professionaliseringsprocess under mycket lång tid.
Numera har även andra yrkesgrupper som sjuksköterskor och fysioterapeuter gjort samma resa men för enkelhetens skull ska jag fortsättningsvis hålla fast vid läkarna som exempel.
För den som läst något om medicinhistoria är det uppenbart att samspelet mellan de praktiserande läkarna och den akademiska forskningen varit nödvändigt för att nå fram till dagens möjligheter att faktiskt bota, förebygga och lindra allehanda sjukdomstillstånd.
Sextonhundratalets fältskärer skulle inte genom praktiskt karvande i sårade soldater kunnat generalisera sin kunskap så att den skulle kunna beskriva sårinfektioner på ett allmängiltigt sätt.
Lika litet skulle de medicinska forskarna som faktiskt fanns vid denna tid kunnat avvara den praktiska kunskapen hos dem som dagligdags mötte patienter, om än med bensågen i högsta hugg.
För att detta samspel skulle kunna utvecklas på det fruktbara sätt som faktiskt skett var en viktig faktor att de praktiserande läkarna kom att utgöra en alltmer skarpt avgränsad profession med bestämd kompetens och enhetliga metoder.
Jag gör analogin till informationssäkerhetsområdet där vi har samma behov av att förena teori och praktik.
En professionell yrkesutövning kan borga för den kvalitet som är nödvändig i den praktiskt utövande delen av kunskapsområdet och av denna anledning bör en profession av informationssäkerhetsspecialister skapas.
Utvecklandet av en profession är som sagt den normala gången inom olika kunskapsområden och det finns också en omfattande forskning på temat.
Både inom gruppen själv och för externa parter som arbetsgivare in spe måste det gå att beskriva vad professionens eller (USP) är och också skapa organisatoriska strukturer för att upprätthålla denna USP.
Några av de moment i professionsbildandet som brukar tas upp litteraturen är följande: En grund då en profession vill formalisera sig är att man annekterar ett kunskapsområde och hävdar att den egna gruppen är den främsta/enda som äger denna kunskap, jämför läkare och medicinen.
Förutsättningen är att det går att definiera kunskapsområdet på ett sätt som både gruppen internt och omvärlden kan vara eniga om.
Här finns ett problem för informationssäkerhetsspecialisterna om den beskrivningen av oklarheten i vad kunskapsområdet egentligen består i godtas.
Är det en organisatorisk eller teknisk kompetens som utgör kärnan för att bara ta en av de många frågor som kan ställas.
För att få tillhöra en profession måste det definieras vilken teoretisk och praktisk kunskap man måste besitta.
Det måste också finnas en procedur som är erkänd även av utomstående som garanterar att de som utger sig för att tillhöra professionen verkligen kan antas inneha den rätta kompetensen.
Det räcker alltså inte med att man själv kallar sig ”informationssäkerhetsexpert” eller att man har lösliga grupperingar av typen communities.
En ganska självklar del i detta är en vilket idag saknas inom informationssäkerhetsområdet.
De utbildningar som erbjuds på högskolenivå (vilket vi väl får anta är rimligt att kräva) har ett mycket spretigt innehåll från ”Internationella aktörer och regelverk” till ”It-forensik” för att bara ta ett par exempel från högskolekurser som beskriver sig som utbildning i informationssäkerhet.
Andra utbildningar går in på ren it-säkerhet eller på praktiska metoder men kunskapsområdets otydlighet avspeglar sig i utbildningsutbudet.
Om vi tittar på innehållet i olika populära certifieringar blir bilden än mer otydlig, i en CISSP-certifiering uppges bland annat telekommunikation och mjukvaruutveckling ingå.
Kravet på formaliserad utbildning blir därmed i dag svårt att uppfylla liksom två andra vanliga krav på en profession: inträdeskrav och avgränsning av de som inte hör dit.
För att sammanfatta så kan vem som helst oavsett utbildning, erfarenhet eller personlig lämplighet utge sig för att vara informationssäkerhetsspecialist utan att någon kan hävda motsatsen.
En profession definieras inte bara av kunskap utan också av de specifika normer och den kultur som dess medlemmar ansluter sig till.
Exempel på detta är, förutom läkaretiken, de normer som upprätthålls av advokatsamfundet.
Det innebär också en över de som yrkestitel som följer med professionen.
Detta förutsätter i sin tur någon form av kollegial organisation som kan utöva kontroll och utveckla en yrkesmässig kultur och etik.
Idag saknas flertalet av de förutsättningar som krävs för en professionalisering inom informationssäkerhetsområdet.
Behovet är av en sådan är dock stort och om man ska dra slutsatser av andra yrkesgruppers historia måste frågan drivas av de yrkesverksamma själva.
En svårighet är att det inte finns fackföreningar eller starka intresseföreningar inom området som skulle kunna inleda en sådan process.
Ett första steg är att börja diskutera framtiden på ett öppet sätt och försöka hitta vägar framåt.
Är lämpligt med ett brett anslag där hela den spännvidd som nu ryms under beteckningen informationssäkerhet men med en specialisering på samma sätt som läkarkåren?
Eller bör vi resonera oss fram till en tydligare avgränsning mot it-säkerhet och cybersäkerhet?
Frågorna är många men än saknas forat att diskutera dem i. Som redan framgått är det svårt att ens ge en enhetlig och allmänt accepterad definition av begreppet informationssäkerhet.
Att då kunna beskriva kunskapsområdet informationssäkerhet blir därför av naturliga skäl minst lika svårt.
Ändå menar jag att den enda verkliga legitimitet som informationssäkerhetsområdet kan uppnå måste gå genom att kunna motivera synsätt, metoder och investeringar med ett kunskapsunderlag.
Kunskapsunderlaget måste därför vara av en sådan karaktär att det kan accepteras av de aktörer som vi vill ska anamma synsätten, använda metoderna och göra investeringarna.
Om vi inte kan argumentera utifrån en rationell position återstår att försöka övertyga med känslor eller utifrån särintressen alternativt mycket smalt perspektiv som att exempelvis isolera risk och se den som helt dominerande.
Min uppfattning är att vi idag är ganska långt ifrån att ha ett gemensamt kunskapsunderlag.
Kvaliteten på kunskapsunderlaget kan också ifrågasättas av flera skäl, bland annat inte oväsentliga delar har sitt ursprung i rapporter från bolag som säljer säkerhetsprodukter.
Ett kanske ännu större problem är att det saknas arenor för kunskapsutveckling utanför akademin där en professionell diskussion kan föras.
Istället skulle jag vilja hävda att området präglas av ett anti-intellektuellt förhållningssätt som leder till en stagnation också när det gäller att ta fram praktiskt fungerande lösningar för att förbättra säkerheten.
Utan att gå tvärdjupt är en rimlig utgångspunkt för ett kunskapsområde att det har olika lager av kunskapsnivåer inklusive en teoretisk grund.
För att ett auktoritativt stöd i detta men också skapa en ganska enkel pedagogik tar jag hjälp av Aristoteles som delade upp kunskapen i fem former av vilka jag endast kommer att diskutera tre: (vetenskaplig kunskap, påståendekunskap, veta att) (praktisk-produktiv kunskap, färdighetskunskap, veta hur), (praktisk klokhet, det goda omdömet, veta när) För den som vill veta mer om detta på ett enkelt sätt rekommenderar jag denna .
Min känsla har länge varit att det som uppfattas som kunskap inom informationssäkerhetsområdet går att hänföra till techne med betoning på enkla tumregler och tekniska lösningar.
Många duktiga informationssäkerhetsmänniskor har haft rejäla mått av fronesis så att de kunnat tillämpa den fyrkantiga techne-kunskapen på ett bra sätt i sina organisationer.
Däremot så uppfattar jag att episteme, den vetenskapliga kunskapen med krav på generaliserbarhet och mätbarhet, i hög grad saknas inom informationssäkerhetens kärnområde.
Vad jag då avser är att exempelvis en övergripande teoribildning på det som är vanlig inom samhällsvetenskapliga områden inte riktigt går identifiera i många av de vetenskapliga texter som publiceras om informationssäkerhet.
Det har också ofta slagit mig att jag sällan sett att etablerade uppfattningar och metoder prövas på ett vetenskapligt sätt.
För att snabbtesta mina egna fördomar har gjorde jag en sökning i svenska databaser på aktuell forskning om informationssäkerhet och fick fram några hundra publikationer som jag granskade snabbt och översiktligt utan anspråk på någon som helst vetenskaplighet.
Den som själv gå igenom samma material kan följa den här och den .
I beskrivningarna har jag försökt utläsa om det finns en teoretisk utgångspunkt som på försöker beskriva ett ontologiskt perspektiv om hur informationshantering och informationssäkerhet samverkar och vad informationssäkerhet .
Jag har också försökt läsa ut huruvida författarna verkligen ifrågasatt de etablerade synsätten och metoderna samt prövat dess effektivitet och relevans på ett ”objektivt” sätt.
Slutligen har jag tittat på inom vilken disciplin texten är skriven och om den förefaller vara övervägande organisatorisk eller tekniskt orienterad.
Efter denna snabba och djupt orättvisa genomgång tycker jag mig ändå se vissa tendenser.
Oklarheten i begreppet informationssäkerhet som jag tidigare skrivit om gestaltas också i de vetenskapliga texterna och leder till en spretighet.
Begreppet tycks kunna stå för renodlat tekniska lösningar (som jag kanske hellre skulle kalla it-säkerhet) som organisatoriska.
I de fall där jag läst sammanfattningarna är denna begreppsförvirring och ontologiska brist inte något som författarna tycks uppfatta som ett problem.
Inte heller verkar ontologin i grundbegreppen konfidentialitet, riktighet, tillgänglighet, spårbarhet alternativt CIA-begreppen utgjort en frågeställning i området.
Flertalet texter är skrivna av forskare med teknisk eller systemvetenskaplig bakgrund.
Detta leder till två helt olika problem.
Det första är att fokus ofta kommer att ligga på tekniska lösningar istället för organisatorisk styrning trots att man säger sig skriva om informationssäkerhet.
Det andra är att det är forskare med teknisk eller systemvetenskaplig bakgrund som skriver om organisatoriska frågor vilket ligger utanför deras egentliga kompetensområde, något som kan leda till att de inte helt har de redskap som krävs för en organisatoriskt inriktad forskning.
Sammantaget leder det till att den organisatoriska styrningen bli styvmoderligt behandlad.
Ett genomgående drag är att etablerade synsätt och metoder förefaller förutsättas vara fungerande och effektiva.
Detta gäller i hög grad de mer organisatoriskt inriktade texterna som kan handla om mätning, compliance och säkerhetskultur för att ta några exempel.
Detta gäller även då man exempelvis tittar på mognadsmodeller där mognaden kan ses som en slags compliance till etablerade synsätt och metoder.
Förutom compliance är fenomenologi i en relativt vanlig form av studie.
Det kan handla om hur medarbetare, patienter eller någon annan grupp uppfattar säkerhetsåtgärder eller -behov.
Inte heller här tycks metoder egentligen ifrågasättas utan snarare är det uppfattningarna om dem som kan behöva ändras.
Trots inriktningen mot compliance är det få texter som undersöker värdet av de åtgärder som compliance-kravet gäller.
Att vara compliant till kravet att ha bland annat en incidenthantering följs inte av en undersökning av effektiviteten i olika metoder för incidenthantering för att ta ett hypotetiskt exempel.
Att studera metoder och delta i metodutveckling förekommer dock inom rent tekniska frågeställningar.
Forskning är naturligtvis inte den enda källan till kunskap men det finns frågeställningar inom informationssäkerhetsområdet där jag uppfattar att en vetenskaplig metod är lämplig för att skapa nödvändig kunskap.
Det gäller både en slags grundforskning på ontologisk nivå och för insatser för att på ett vetenskapligt sätt skapa en evidensbaserad kunskap kring effektiviteten i olika, framförallt organisatoriska, metoder.
Denna typ av frågeställningar kan svårligen hanteras av enskilda informationssäkerhetsansvariga eller av enskilda organisationer.
Informationssäkerhetsområdet har stort fokus på techne vilket sannolikt leder till ineffektiva och bakåtblickande metoder.
Det är svårt att föreställa sig samma lösliga relation till evidens inom andra områden som trafiksäkerhet eller medicin trots att dessa områden måste sägas ha likartade tekniska eller hantverksmässiga bakgrund som informationssäkerhet.
Min tes är ju informationssäkerheten inte tycks hålla måttet och följaktligen anser jag kan det finnas anledning att även inom detta område inta den förkättrade normkritiska positionen och ifrågasätta även de mest etablerade sanningarna.
Att forskningen går från att anti-intellektuellt handla om ett slags hantverk till att ge frågorna den analytiska och intellektuellt utmanande behandling som de i sanning kräver.
Att gå från ett förhållningssätt som är konserverande till att bli ett explorativt som ligger i linje med den snabba organisatoriska och tekniska utveckling som sker.
För detta krävs kreativa och odogmatiska forskare som banar väg, skapar ny kunskap och ger oss andra underlag för en förbättrad praktik.
För att ta emot den mer utmanande kunskapsproduktion som skulle bli resultatet krävs en profession som har samma förhållningssätt inom techne och fronesis samt plattformar att mötas på.
Som jag skrev inledningsvis är en av de stora bristerna att den typen av plattformar saknas idag och att ingen nationell aktör känner sig manad att ta på sig ett sådant ansvar.
I nästa inlägg ska jag skriva om professionen – kanske finns det i en stärkt professionalisering en möjlighet till ett mer professionellt kunskapsbygge?
Hunnen så långt i mitt funderande får jag tips om en som visserligen är från 2008 men som bekräftar att några av de intryck jag beskrivit är problem kända sedan tidigare som exempelvis bristen på empiri och, som i citatet nedan, på teoribildning: .
Det tycks alltså finnas fler som funderar över från vilken kunskapsgrund vi egentligen utgår.

Merparten av informationsmängderna är även de att betrakta som tämligen generiska Merparten av informationen hanteras i pappersform, detta särskilt i kritiska aktiviteter i processen En stor del av informationen finns på flera bärare samtidigt I hela processen är spårbarheten är essentiell för patientsäkerheten

ha kontroll över sin information normerande klassning och internt utbudsstyrd behovsstyrd men formaliserad utbildning kollegial kontroll attribut en episteme techne fronesis är

Meny Säkerhetskultur Inläggsnavigering

Integritet och hälso- och sjukvård

Behovet av en profession Krav på en profession Informationssäkerhetens professionalisering – hur ska vi gå vidare?
Kunskap och informationssäkerhet Episteme, Fronesis, Techne Intryck Och vad blir konsekvensen?

Språkanvändningen i offentlig verksamhet Definition av kunskapsområde Krav på teoretisk och praktisk kunskap som säkerställs genom etablerad procedur Normer och kultur

MENU MENU Postat av MSB fick den 19 september 2019 i uppdrag av regeringen att ta fram en struktur för uppföljning av det systematiskat i den offentliga förvaltningen.
Uppföljningsstrukturen ska syfta till att aktörer i offentlig förvaltning regelbundet ska erbjud as att medverka i uppföljningen och få återkoppling som omfattar en bedömning om vilken nivå derasbefinner sig på samt förslag på åtgärder som bör vidtas för att uppnå en högre nivå påt.
Uppföljnings strukturen ska även syfta till att MSB regelbundet ger regeringen en samlad bedömning om nivån på det systematiskat i den offentliga förvaltningen.

Tack Calle Lilius för bilderna!

Jag har alltid haft svårt för den oreflekterade gruppkänslan, när tillhörigheten till en grupp blir så viktig för ens (yrkes)identitet att det skuggar tankens klarhet.
Tyvärr tycker jag att säkerhetsbranschen ofta drabbas en överdriven gruppkänsla som leder till ett grupptänk och inte minst av en oförståelse för hur det ser ut i ”verkligheten”.
Att predika för kören, d.v.s.
för andra säkerhetsmänniskor, är enklare än att öppet diskutera säkerhetsfrågor med människor som har andra och kanske viktigare prioriteringar än säkerhet.
Själv måste jag erkänna att jag grips av en skamkänsla över att erbjuda lösningar som tar så mycket tid från kärnverksamheten, dessutom med oklart resultat.
Trots att säkerhetsbranschen av tradition är högerlutande, vilket i normala fall skulle leda till ett ifrågasättande av byråkrati, krångel, förmynderi och slöseri med skattemedel, så godtas orimligt insatskrävande säkerhetsåtgärder i just skattefinansierade verksamheter.
Ganska hemmablint kan man tycka.
Låt mig bara ta några exempel.
I Sverige finns runt grundskolor.
Såsom praxis och stöd är utformade ska då informationsklassning genomföras om inte i samtliga grundskolor så åtminstone per förvaltning eller grundskoleområde, gärna med stöd av SKR:s KLASSA.
Många kommuner väljer dessutom att ta in konsulter för att genomföra klassningarna med KLASSA för dyra pengar och utan att den så viktiga dialogen uppstår mellan verksamhet och informationssäkerhetsansvarig.
Åtgärderna som levereras ur KLASSA är inte i de flesta fall konkreta utan snarare på en nivå som kräver en egen utredning för framtagning av åtgärder hos kommunen som använder verktyget.
För mig känns det som en mycket dyrbar metod som ger ett resultat som i bästa fall är tveksamt.
Som jag tidigare betraktar jag inte det som ett sätt att effektivisera säkerhetsarbetet och föreslår andra möjligheter.
Några andra som inte är så ängsliga för att ta säkerhetsresurser i anspråk är MSB.
Myndigheten har nu tagit fram en egen som såvitt jag kan se inte har något vetenskapligt stöd (däremot en närmast rörande metodbeskrivning med formel och allt).
Det framgår inte heller varför man inte tydligare anslutit till ISO 27004 som visserligen nämns men lämnar få spår i utformningen.
MSB har gått så långt att man skrivit in ISO 27001/27002 i sin föreskrift för statliga myndigheter så det skulle känts rätt logiskt att man då gått all in i standardfamiljen även då det gäller uppföljning.
Rapporten är ett svar på ett regeringsuppdrag: Detta skulle kunna tolkas som något som liknar frivillig tillsyn eller revision men istället har MSB knåpat ihop något som enligt min bedömning (jag har ändå rätt många år i mätbranschen) kommer att ta avsevärd tid att hantera för de organisationer som väljer att delta utan egentlig nytta.
Ja, visst får ledningen en överblick men även den som är mest besatt av mantrat ”ledningens genomgång” måste någon gång landa i att det är praktiska åtgärder som måste vidtas för att förbättra säkerheten – det räcker inte att rapportera aldrig så mycket.
Jag vet hur betvingande det är med spindeldiagram, jag har stått inför otaliga ledningsgrupper och showat med gott resultat, men det som gav verklig nytta var något annat.
Det var de insatser vi lade ner på att skriva detaljerade rekommendationer noggrant anpassade efter den specifika organisationens förutsättningar och risker.
Efter att ha läst MSB:s rapport kan jag inte förstå hur denna typ av frågeställningar öht ska kunna besvaras och vad eventuella svar skulle kunna ha för kvalitet: Hur räknar man ens procent på åtgärder?
Är åtgärden att sätt lås på ett dokumentskåp lika mycket värd som att ändra backup-rutiner liksom?
Måste åtgärderna att ha varit fullständigt genomförda för att räknas eller räcker det att de är påbörjade?
Om det endast fullständigt genomförda åtgärder som ingår kommer då organisationen att prioritera kortsiktiga åtgärder och välja bort de som tar lång tid men som kanske har större betydelse för säkerheten?
Att med så många grundläggande osäkerhet försöka tillämpa en formel som denna ger mig ett intryck av ett helt verklighetsfrämmande projekt.
Ett tredje ack så resurskrävande villospår är de externa revisioner som många organisationer väljer att göra.
Det är ett enkelt men kostsamt beslut att ta för ledningen.
Och när man ser på leveranserna från inte minst större välrenommerade företag blir man ofta beklämd.
Rapporterna, som inte sällan kommer i power point-format, är så uppenbart standardrekommendationer som av juniora konsulter klippts samman till något som inte är anpassat till kundens verksamhet och i vissa fall inte ens till svensk kontext.
Hur svårtolkade (en eufemism) rapporterna kan vara tyder den absurda upplevelse som jag stött på när ett revisionsbolag anlitas för att uttolka ett annat revisionsbolags rapport och försöka göra om den till något som liknar förslag på begripliga åtgärder.
Och nej, det blev inte så mycket begripligare i nästa led.
Trots den bristande kvaliteten i många revisionsrapporter får de orimligt stor betydelse i många organisationer.
Ledningar tar dem på stort allvar och tycker sig ha fått ett underlag både för den så omtalade ”benchmarketingen” och för att att kunna vidta rätt säkerhetsåtgärder.
Det är inte så konstigt; ledningen tycker sig ha betalat dyrt för att få en professionell genomgång av ett område som man själv i de flesta fall är dåligt insatt i. Att ställa kritiska frågor är inte aktuellt, särskilt om det skulle kunna avslöja ens egen bristande kunskap.
Vid ett inte oväsentligt antal tillfällen har jag tyckt när jag läst rapporterna att de varit mer eller mindre vilseledande när det gäller vilka åtgärder som rekommenderas.
Eftersom de som utfört revisionen på ett industriellt sätt inte haft möjlighet att sätta sig in i kundens förutsättningar kan fokuseringen på de prefabricerade åtgärderna leda till både dubbelarbete när vissa element faktiskt redan finns på plats men under annan benämning än revisionsbolagets och till att väsentliga risker missas.
Dessutom är hänsyn sällan tagen till beroendeförhållandet mellan olika åtgärder, något som kan göra att kundens åtgärdsarbete blir alldeles i onödan ineffektivt.
Ibland betonar revisorerna väldigt specifika åtgärder som den som arbetar med säkerhet i organisationen vet att man redan klarat av på annat sätt eller att avsaknaden av åtgärden innebär en mycket liten risk.
Detta går dock inte fram till ledningen som sätter en större tillit till den ytliga granskningen än till den egna personalens bedömningar – onödig kraft läggs då på att checka av åtgärdsförslagen istället för på att reducera verkliga risker.
Säkerhetsarbetet kan därmed snedvridas på avgörande sätt för lång tid fram över.
Detta är bara tre exempel, det finns många fler metoder och krav som kan ses som på det hela taget tämligen improduktiva.
Det är naturligtvis inte en slump att compliance och rapportering är så populärt.
Det är betydligt lättare att ”granska” än att skapa fungerande säkerhetsåtgärder – tro mig, jag har varit på båda sidorna.
Ibland skulle jag vilja gå så långt som att det borde vara förbjudet föreslå metoder och åtgärder för den som inte själv stått i det praktiska slitet att försöka förbättra säkerheten i en faktiskt existerande organisation.
Det är först då en djupare förståelse för hur komplicerat det är att förbättra den verkliga säkerheten, inte bara den som finns i kolumner och poängsättning.
Säkerhetsbranschen har anammat synsätten som leder till största nackdelen med NPM med oklara rambeskrivningar, mätningar och rapporteringar en masse.
Trots att aktörerna i branschen som sagt ofta i andra sammanhang klagar på administration tycks man blind för den negativa byråkrati man själv skapar och som äter upp resurserna som skulle gjort så mycket större nytta i kärnverksamheten.
Informationssäkerhetskraven såsom de ser ut idag trängs med likartade strukturer för hållbarhet, miljö, jämställdhet, ekonomi m.m.
som alla är viktiga men samtidigt tar kraft från det egentliga uppdraget.
Det är tyvärr inte så stor risk att vi råkar ut för något ansvarsutkrävande men vi borde verkligen se oss i spegeln och ställa frågan om vi är närande eller tärande.
Sannolikt mest det senare vilket borde sporra oss till att tänka på att varje timme vi tvingar alternativt uppmuntrar andra till att lägga på att svara på frågor och rapportera tas från en sjuksköterska eller lärare eller någon som producerar något vettigt.
Under de (alltför) många år jag arbetat med informationssäkerhet har ingen företeelse varit mer omhuldad än de standarder som använts som stöd i arbetet.
När jag började var det BS 77 99 och nu har vi en hel 27000-familj.
Även om jag under alla år har haft en god hjälp av standarderna har jag aldrig riktigt kunna gripas av samma entusiasm som de många, inklusive utgivare av myndigheters föreskrifter, som sett standarderna som ett magiskt spö som det i princip räcker att hänvisa till så försvinner säkerhetsproblemen.
Jag har redan skrivit ett antal inlägg, bl a och berör den ganska problematiska övertro som finns i Sverige till standardens kraft att skapa bättre informationssäkerhet.
Med tiden har jag kommit att fråga mig om sättet att se på framför allt ISO 27000 kanske snarare stjälpt än hjälptt.
En rejäl tankeställare fick jag när jag hade uppdraget att försöka få in säkerhetsperspektivet i en utredning om e-hälsa.
Få saker har jag misslyckats så kapitalt med och en av orsakerna, förutom mina egna brister, var att både utredaren och utredningens sekretariat så fort frågan kom upp smashade bort den som en irriterande fluga med: vi gör en hänvisning till att standarder ska användas.
Eftersom jag inte förstår en vink när jag får den eller snarare bryr mig om den så fortsatte jag och försökte även få ett förtydligande vilka standarder som skulle användas och hur.
Som ni säkert förstår fick jag aldrig några svar på mina frågor utan det ansågs helt tillfyllest att säkerhetsproblem skulle hanteras via ”standarder”.
Självklart förstår jag lockelsen i att det skulle kunna fungera så.
Problemet är att det inte gör det.
Om man tittar bakåt så var standarder i industrisamhällets begynnelse en typ av nationella och internationella överenskommelser om framför allt utformningen av tekniska produkter och mått.
En av mina favoriter är standarden för avstånd mellan hålen för .
Det är ju ett sant kaos som väntar om hålslagen utformas hur som helst och ingen vet vilka pärmar som kan användas för vilka papper.
Men vad händer egentligen när man flyttar över standardiseringsidéen från vidden för järnvägsspår till hur organisationer ska styra olika verksamhetsområden?
När standarder som framtagits utan kontroll från lagstiftare och den egna förvaltningen ska leva sida vid sida med den ordinarie styrningen?
I en mycket intressant från Örebros universitet har författarna (Andersson, Karlsson och Hedström) genom diskursanalys försökt förstå hur framtagandet av standarder i 27000-serien egentligen går till.
Som en bakgrund gör de en åtskillnad mellan s.k.
de facto-standarder som ta fram av ett företag eller flera företag tillsammans som har ett konkret behov av standardisering.
Den andra typen av standarder benämns de jure-standarder som kan utvecklas av olika lagstiftande organ alternativt myndigheter eller av oberoende standardorganisationer som ISO.
27000-serien är alltså en de jure-standard men ligger utanför det lagstiftande området.
Artikeln lyfter också fram att denna typ av standarder strävar efter att skapa en konsensus av vad som bland experter inom området anses vara ”best practice” vilket även framgår tydligt i arbetet med informationssäkerhetsstandarden: De jure standards play a central role in information security, and organizations are increasingly required to demonstrate compliance with them ( ; ).
Det kan alltså ifrågasättas vad standardens ställningstagande egentligen bygger, om dess anspråk på att vila på ”best practice” uppfylls.
Eftersom den inte bygger på evidens skulle dess USP bestå just i en erfarenhetsbaserad kunskap.
Om inte denna grund finns påverkas naturligtvis standardens legitimitet.
Senare i artikeln framgår på ett litet roande och samtidigt avslöjande sätt hur ytterst få som deltar i standardarbetet även om man tågat omkring på standardiseringsmötena som en fåmansprocession under beteckningen ”Sweden”.
Artikelförfattarna gör en maktanalys av själva arbetet med framtagandet av standarder men jag tycker att en vidare maktanalys av hur en mycket liten krets knutna till standardarbetet har haft ett helt dominerande inflytande över svensk förvaltnings arbete med informationssäkerhet.
Resultatet har blivit en hegemonisk doktrin om att ISO 27000 är den enda framkomliga vägen att arbeta med informationssäkerhet i svensk förvaltning trots att denna doktrin vare sig bygger på evidens eller ”best practice”.
Så här 11 år efter att ISO 27000 pekades ut som vägledande för svenska myndigheters arbete med informationssäkerhet i MSB:s föreskrift MSBFS 2009:10 (ytterligare markerat i de följande föreskrifterna fram till den nu gällande MSBFS 2020:6) så tycker jag inte det är uppenbart att det var ett helt lyckat vägval.
Detta bygger jag på attt knappast kan ses som särdeles framgångsrikt mätt med tillgängliga måttstockar, d.v.s.
de granskningar som gjorts både generellt och de som gjorts med inriktning på samhällsviktiga sektorer som exempelvis sjukvård.
Låt oss komma ihåg att detta inte är den enda möjliga vägen att välja.
I Finland antogs i år en av informationshanteringsnämnden under finansministeriet som explicit undviker att hänvisa till någon standard: referensramar och ger inga anvisningar om tekniska lösningar, som kan förändras till och med snabbt.
Utifrån en riskbedömning som görs från fall till fall ska varje myndighet välja tillräckligt säkra tekniska lösningar som är lämpliga i den aktuella situationen.
Jag kommer ihåg att ansvariga för Normen i Norge förde samma resonemang i sina reglervården, man ville inte referera till någon särskild standard.
Uppfattningen var att det var möjligt att plocka ut det man ville ha ur standarder utan att behöva ansluta sig till en helhet som inte kunde kontrolleras av norsk sjukvård.
När standarder lämnar tekniska specifikationer och övergår till organisatorisk styrning uppstår paradoxala effekter.
Jag tänker nu på att ISO 27000 innehåller mycket allmänna krav, att det ska finnas informationsklassning men inte hur den ska utföras eller vilken normskala som ska tillämpas.
Varje organisation ska själv ta fram sitt eget komplexa ledningssystem med de komponenter som anvisas i standarden men utformningen och tillämpningen kommer att se väldigt olika ut, det tror jag varje erfaren konsult kan intyga.
Istället för centrala regler som specificerar olika lösningar får vi alltså en mängd olika regelverk som ska användas i samma infrastruktur.
Standarden leder alltså sannolikt till mindre standardisering på grund av sin inriktning på enskilda organisationer istället för på helhet.
Bräckligheten i kunskapsunderlaget och det fragmentiserade resultatet är två orsaker att ompröva ISO 27000 ställning i den offentliga verksamhetensi Sverige.
Vi behöver inte kasta ut barnet med badvattnet men vi måste våga ifrågasätta doktrinen även om de som har byggt upp en stark ställning med hjälp av standarden riskerar att ta illa upp.
Informationssäkerhet är en för viktig fråga för att vi ska ha råd med heliga principer som inte tål att diskuteras.
Sedan jag skrev mitt förra blogginlägg där jag förordade att vi borde införa en starkare gemensam styrning av informationssäkerheten bland annat i form av gemensamma skyddsnivåer samt t.o.m.
ett gemensamt ledningssystem har jag flera gånger fått frågan ”har du kollat på KLASSA?”.
Svaret är ja, det har jag och till och med skrivit på bloggen .
Sedan dess har det skett en viss men som jag ser det så kvarstår de huvudproblem som jag skrev om i det tidigare inlägget.
Att man dessutom tagit bort spårbarhet som en bedömning i klassningen gör ju inte saken direkt bättre (vilket också ett antal personer verksamma i landsting och kommuner upprört framfört till mig).
De mest övergripande invändningarna jag hade var att verktyget bygger på att man klassar system, inte information, och att säkerhetskraven är alldeles för glesa.
Detta kan menar jag leda till att man snarast skapar säkerhetsproblem än förebygger dem eftersom en organisation kan bli invaggad i en falsk trygghet av att ha vidtagit åtgärder när de i själva verket är otillräckliga.
Dessutom stöds samma aktivitet ofta av samma eller snarlik information på olika bärare som i detta exempel från en tämligen harmlös anställningsaktivitet direkt hämtad från verkligheten: Om man då fragmentiserar klassandet till att endast omfatta informationen då den exempelvis befinner sig i rekryteringsverktyget missar man ju att skydda samma information då den förekommer i andra sammanhang.
Ju fler olika typer av tjänster och bärare som används desto viktigare blir det att ha kontroll över informationen oavsett var den befinner sig.
Med tanke på att verktyget är framtaget för kommunal verksamhet blir man litet brydd i detta hänseende när man tänker på vissa av de mest känsliga verksamheterna.
Ta till exempel överförmyndarna där konfidentialitet, riktighet och spårbarhet är oerhört viktiga för att verksamheten ska kunna bedrivas.
Överförmyndarnas informationshantering sker i en komplex mosaik av bland annat enskilda beslutssystem, lagringsytor, papper och mail.
I detta sammanhang är det självklart helt otillräckligt att bara genomföra en systemklassning av ett ärendehanteringssystem.
Man skulle kunna invända att överförmyndarna är en liten och unik verksamhet med specifika krav där man inte kan förvänta sig att generella metoder ska kunna fungera.
Visserligen svarar jag men i grunden gäller detta för de flesta verksamheter inom en kommun eller landsting eller t.o.m.
med en statlig verksamhet oavsett omfattning.
Kraven på säkerhet ligger på alla de bärare, inte bara det som en händelse definieras som ett ”system” (vilket dessutom är alltmer oklar definition sett till dagens tekniska utveckling).
Återigen vill jag propagera för att istället se det som att system och tjänster ska certifieras för att klara vissa skyddsnivåer – inte klassas.
Bortsett från kvaliteten på metoden för klassningen funderar jag över det i mitt tycke oproportionerliga intresse som finns för klassning och incidenthantering.
Samt att detta intresse tar sig uttryck i att klassning respektive incidenthantering ses som fristående aktiviteter och inte som delar i en större helhet.
Det fragmentiserade synsättet går igen i de metoder som presenteras.
Den bärande idéen är att varje organisation med egna resurser och egna värderingar ska styra informationssäkerheten i den egna verksamheten.
Detta menar jag är ett mer och mer verklighetsfrämmande paradigm i en värld där vi i allt högre grad delar information mellan organisationer samt mellan organisationer och individer.
I ett digitalt tjänstesamhälle är det inte den interna säkerheten i den enskilda organisationen som är det mest centrala utan den gemensamma infrastrukturens säkerhet.
Det är ungefär som att i vägtrafiken låta varje transportföretag men även varje individ ta fram sina egna regler och tillämpa dem på de gemensamma vägarna.
Det är klart att man genom frivilliga samordnande insatser och tillsyn skulle uppnå en viss effekt men jag tror de flesta skulle uppfatta det som ett absurt och närmast nihilistiskt trafikpolitiskt förslag.
När det gäller säkerheten i den digitala infrastrukturen är fortfarande en dominerande uppfattning.
I det tidigare blogginlägget om KLASSA ställde jag upp sex krav på en fungerande metod för informationsklassning.
Omättligt krävande som jag är vill jag nu lägga till två ytterligare.
För det första måste metoden vara tillämplig även i ett större sammanhang än i en enskild organisations användning av ett system.
För det andra ingå i en större helhet av systematiskt– att klassa information utan relation till det kretslopp av övriga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering, ansvarsfördelning och uppföljning är inte effektivt säkerhetshöjande.
Särskilt inte om skyddsnivåerna har stora brister.
Informationsklassning är helt enkelt inte sååå viktig i sig.
Men inte ens då tror jag att detta är en särskilt bra väg att gå.
Det inte alldeles enkelt att utföra klassning på ett välavvägt sätt ens med stöd av en bra metod.
Vad som krävs är erfarenhet och kompetens inom informationshantering och risker samt förståelse för hur organisationer fungerar.
Att klassa information är inte att som professor Balthazar stoppa in information i ett rör på en informationsklassningsmaskin och med automatik få ut en färdig klassning.
Därför är det inte en metod där olika organisationer förväntas göra sina egna klassningar en lösning på det mycket stora kompetensunderskottet – kompetensen behövs ändå.
Och om alla gör sina egna bedömningar i en gemensam struktur kan man fråga sig vad som blir resultatet.
En god gissning är att den lägsta nivån blir trendsättande inte minst eftersom om en part har en låg nivå på sina säkerhetsåtgärder riskerar det övriga aktörers säkerhet.
Den som har gjort en större investering riskerar att få denna investering underminerad av den som väljer en lägre nivå – ekonomin i att ändå välja den högre nivån kan starkt ifrågasättas.
Att klassa information är varken så enkelt eller så viktigt som enstaka aktivitet som man ibland vill ge sken av.
Sammantaget vill jag därmed propagera för en mycket starkare styrning av processer, informationshantering och informationssäkerhet där den gemensamma grunden inte är optional.
Vi måste lämna det föråldrade synsättet där ”system” sätts i centrum och istället inse att det är en informationsinfrastruktur som måste hanteras med vederbörlig respekt och med styrande säkerhetsregler.
Kanske har vi förlorat ett decennium av möjligheter att skapa en gemensam informationssäkerhet genom att låta en slavisk tolkning av ISO 27000 kombineras med en flummig samordningstanke.
Det räcker inte med lösryckta initiativ kring olika aktiviteter som klassning utan vi måste se att ebygger på en samverkande helhet av säkerhetsåtgärder.
Oavsett vilken roll jag haft inom informationssäkerhetsområdet, informationssäkerhetschef, konsult eller byråkrat på nationell nivå, har ett behov varit lika uppenbart: behovet av ökad samordning och styrning.
Slutsatsen att det inte är möjligt för en enskild organisation att utveckla ett helt eget koncept för informationssäkerhet behöver knappast motiveras, särskilt när utvecklingen gått mot allt mer gränslösa integrationer av informationshanteringen.
En självklar grundsten för många av oss som arbetat länge med informationssäkerhet har varit ISO 27000 och dess föregångare och det har därför varit naturligt att peka på den som en naturlig utgångspunkt i den nationella styrningen.
Däremot har jag alltid uppfattat det som en mycket stor nackdel att standarden liksom trots att syftet är så stor spridning som möjligt är omgivna av avsevärda ekonomiska hinder.
För en stor statlig myndighet kan några tusenlappar tyckas vara småpengar men för en liten kommun eller mindre företag är det summor som inte är lika enkla att motivera.
Att rekommendera organisationer att införa ledningssystem för informationssäkerhet enligt standarden har därför innehållit en inneboende svårighet som kanske ändå går att överse med.
Jag har däremot varit betydligt mer tveksam till den direkta hänvisning som funnits till standarden i MSB:s föreskrift sedan .
Här sägs att myndigheter ska följa en föreskrift som inte är fritt tillgänglig vare sig för myndigheten eller för exempelvis medborgare som vill kunna ha insyn i myndighetens arbete.
Att inte kunna sprida innehållet i en av grundförutsättningarna för myndighetens arbete försvårar naturligtvis kommunikationen.
Ytterligare ett problem är att en myndighet med föreskriftsrätt föreskriver andra myndigheter att följa regler som man själv inte har kontroll över och dessutom snabbt kan göra föreskriften obsolet när de ändras.
Tyvärr följde detta krav med när föreskriften uppdaterades i form av krav på ISO/IEC 27001:2014 och ISO/IEC 27002:2014 ska ”beaktas”.
I dagarna har jag fått tips om ett beslut i Högsta domstolen (tack Carl-Arne!)
som ger mig stöd i min .
Här skrivs explicit: En grundläggande del av legalitetsprincipen får därför anses vara att författningar ska finnas tillgängliga för var och en i läsbar form utan något krav på betalning, och att detta gäller också för en standard som det hänvisas till i en författning.
Att myndigheten kostnadsfritt kan informera om vad som står i standarden anses inte upphäva denna bedömning.
Med Högsta domstolens beslut, om det befinns tillämpligt även i detta sammanhang, finns nu en möjlighet att utveckla den nationella styrningen så att den blir mer transparent och tillgänglig för alla.
För att förena episteme och techne (och förhoppningsvis uppnå fronesis) så behöver professionen sina metoder.
Metoderna är i kunskapssamhället professionens verktyg och det som utgör grunden för en intern gemenskap och en extern uppfattning om vad en medlem i professionen kan utföra.
I detta sammanhang kommer jag att använda begreppet ”metod” som ett systematiskt och enhetligt sätt att utföra en viss aktivitet med ett beskrivet önskat resultat.
I teorin finns också ett antal metoder inom informationssäkerhetsområdet som riskanalys, informationsklassning, incident- och kontinuitetshantering.
Ledningssystem a´ la ISO 27000 kan också ses som en metametod där ovanstående metoder ingår som komponenter.
Frågan är dock hur väl metoderna uppfyller kraven på att vara systematiska, enhetliga och ha beskrivet önskat resultat.
Att metoderna är utvärderade och därmed sägas vara effektiva sedda till sitt syfte bör vara ytterligare ett krav för att de ska sägas fungera.
Förutom införandet av ledningssystem är sannolikt informationsklassning den mest upplyfta metoden för att uppnå bättre informationssäkerhet.
För att göra en snabb bedömning av metoder känns det därför ganska rimligt att titta litet närmare på klassningen så som den beskrivs.
Här har jag ett underlag på divergerande åsikter som uppstod när jag arbetade på MSB och dristade mig till att fram ett förslag på vägledning för informationsklassning.
Den informella remissen ledde till att det ramlade in en mängd svar från informationssäkerhetsmänniskor i framför allt myndigheter.
Jag planerar att använda dessa svar för en litet utförligare analys vid ett senare tillfälle – nu räcker det att säga att synpunkterna gick i alla riktningar och att alla var lika övertygade om att det sättet de uppfattade saken var det enda rätta.
Inte ens var man överens om det skulle heta ”klassning” eller ”klassificering”, ännu mindre om huruvida det är information eller system som ska klassas.
En litet märklig upplevelse vid genomläsningen var att själva syftet med informationsklassningen framstod som så odefinierat i ett antal av svaren, framför allt då man hade invändningar mot att jag i vägledningen beskrivit att informationsklassningen som metod också måste innehålla skyddsnivåer.
Lika fången som andra av min egen tankegång så har jag alltid föreställt mig det som meningslöst att klassa information om det inte leder till konkreta skyddsåtgärder.
Detta var dock inte en uppfattning som delades av alla.
Jag svävar fortfarande i ovisshet om vad då klassningen tjänar till och det är en av de många frågor som jag tycker det vore ytterst intressant att diskutera.
I paradgrenen informationsklassning saknas det alltså enhetlighet samt systematik.
Den bristande systematiken ligger bland annat i att klassningen som aktivitet inte har ett givet samband med andra aktiviteter som exempelvis riskanalys och inte heller beskrivs som en process vars resultat regelbundet utvärderas.
I vägledningen skrev jag till exempel djärvt att klassning ska ses som en form av risk- alternativt konsekvensanalys men fick mycket starkt mothugg mot detta och hur då det systematiska sambandet mellan riskanalysen och klassningen ser ut för dessa skribenter är fortfarande oklart för mig.
Det mest slående i svaren var att ofta saknades argument eller teori för den åsikt man förfäktade.
Istället var det redovisande av hur man själv i praktiken genomför sina klassningar eller, mest återkommande, hänvisningar till hur man tolkat ISO 27000.
Här ligger en viss ironi eftersom en del svar rörande klassningen där man hänvisar till standarden faktiskt går emot vad standarden säger, som när man hävdar att det system som ska klassas samtidigt som standarden uttryckligen säger att det är information.
Mycket av det som kan sägas om informationsklassning kan sägas också om ledningssystem som metod.
Förutom att syftet och genomförandet saknar enhetlighet är båda metoderna synnerligen icke utvärderade.
Jag under senare tid plöjt en hel del av den litteratur som finns på området och har ännu inte hittat några studier som exempelvis utvärderar olika metoder för informationsklassning, ej heller av om ledningssystem på det sätt som standarden föreskriver är ett effektivt sätt att styra informationssäkerhet i en organisation.
Och här måste jag gå in på helig mark och framföra ståndpunkten att ISO 27000, som gett mig så mycket stöd genom åren som yrkesverksam, inte så sällan snarare är ett hinder än en hjälp.
Eller, rättare sagt, vårt användande av standarden som en ersättning för utvärderade metoder utgör ett hinder för oss att bli mer professionella.
ISO 27000 definierar ett område som jag skulle vilja kalla organisatorisk styrning men innehåller ingenting om hur olika aktiviteter ska utföras, och är alltså ingen metod.
Som jag skrev inledningsvis skulle man kunna sträcka det till att standarden översiktligt beskriver en metametod men överlämnar till oss praktiserande att ta fram de konkreta, enhetliga, systematiska och utvärderade metoderna.
Denna metametod börjar kanske också bli litet anfrätt av tiden med sin inriktning på styrning av informationssäkerhet i organisation när information i allt högre grad flödar över organisationsgränser.
ISO 27000 har i många fall blivit en ersättning för metoder vilket vi måste erkänna för att komma vidare.
Istället för att i övermåttan peka på standarden som en bibel måste vi ta uppgiften med metodutveckling på allvar och skapa en gemensam plattform som uppfyller kraven på enhetlighet och systematik.

En profession behöver metoder

MENU MENU Postat av MSB fick den 19 september 2019 i uppdrag av regeringen att ta fram en struktur för uppföljning av det systematiskat i den offentliga förvaltningen.
Uppföljningsstrukturen ska syfta till att aktörer i offentlig förvaltning regelbundet ska erbjud as att medverka i uppföljningen och få återkoppling som omfattar en bedömning om vilken nivå derasbefinner sig på samt förslag på åtgärder som bör vidtas för att uppnå en högre nivå påt.
Uppföljnings strukturen ska även syfta till att MSB regelbundet ger regeringen en samlad bedömning om nivån på det systematiskat i den offentliga förvaltningen.
Postad i , , , , Tagged , , , , Postat av Rekommendationerna hänvisar inte till några allmänna standard er eller Postad i , , , Tagged , , , , , , , Postat av Postad i , , , , Tagged , , , , , Postat av Postad i , , , Tagged , , , postat av Postad i , , , , Tagged , , , , , , Sök efter:

Efter mitt förra inlägg om e-hälsa har jag fått en del kommentarer som visar att sjukvårdens organisation och i ännu högre grad e-hälsoområdets styrning är en okänd värld för många.
Som en projektledare en gång sa till mig som en förebärare för Trump: ”Hur svårt kan det vara med sjukvård (och e-hälsa)?”.
Ganska svårt skulle jag vilja säga vilket även Trump .
Därför kommer här en inledning för att ytterligare förtydliga hur jag uppfattar organisationen idag (finns utrymme för osäkerhet i detta) samt ge ett praktiskt exempel på vad det leder till.
För att bara titta på den bristande styrningen har jag uppdaterat en gammal bild till hur jag tror det ser ut i dag (jag har inte tagit med finlir som kvalitetsregister och trygghetslarm m.m., m.m.).
Bilden är ett försök beskriva samspelet.
Som framgår är ett flertal myndigheter involverade i olika delar, det finns utförare och leverantörer.
Två saker är slående.
Den första är att det inte finns en överordnad myndighet med mandat att hålla ihop helheten och som kan vara kontaktpunkt för övriga aktörer.
Med tanke på hälso- och sjukvårdens betydelse för samhället i olika dimensioner, de mycket stora offentliga resurser som går till sjukvården och det stora antalet aktörer som deltar i det gemensamma vårdarbetet måste detta ses som ett icke-rationellt sätt att organisera det hela om man vill ha effektivitet, kvalitet och strategisk inriktning.
Det andra är SKL och sjukvårdshuvudmännens organisation som jag menar inte håller måttet för de uppgifter som man åtagit sig.
Sjukvårdshuvudmännen har en roll som offentliga organ som är reglerad i lagstiftningen.
Detsamma gäller för vårdgivare oavsett om de är privata eller offentliga.
Men i denna ordning har alltmer SKL glidit in, en intresseorganisation som inte är en myndighet, inte har en lagfäst roll och inte omfattas av offentlighetslagstiftningen.
Riksrevisionen har pekat på detta i en gällande den generella styrningen på vårdområdet.
Inom e-hälsoområdet är problemen med detta mycket tydligt.
En inte oviktig fråga i detta är att det öppenhetskrav som gäller för myndigheter som landsting, regioner och kommuner försvinner då de samarbetar i sin intresseorganisation.
Nu när aktiviteter som tidigare skedde i respektive huvudmans verksamhet flyttas in i SKL:s hägn (inklusive Inera) försvinner också insynen.
Detta kan jämföras med kommunalförbund där insynsmöjligheten fortfarande finns kvar.
Denna fråga verkar inte engagera SKL i någon högre grad, jag söker på hemsidan för att finna om man frivilligt erbjuder en likande insyn i beslutsunderlag och annat som skulle räknas som allmänna handlingar hos SKL:s medlemmar men ser inga sådana informationsinsatser.
Jag skickade även ett mail till SKL:s infoadress den 24 juli: Hej!
Jag vet att SKL inte är en myndighet och därmed inte omfattas av offentlighetslagstiftningen.
Däremot är SKL:s medlemmar det liksom medlemmarnas uppdragsgivare.
Min fråga är hur eftersträvar SKL att ändå kunna erbjuda motsvarande transparens som medlemmarna förutsätts ha?
Detta borde vara allt viktigare i och med att SKL har tagit på sig allt fler uppgifter av operativ karaktär och frågor som starkt påverkar medlemmarnas prioriteringar och finansiering.
Eller är SKL:s linje att allmänheten får tillräcklig insyn via det material som publiceras på den egna webbplatsen?
Detta mail är fortfarande obesvarat efter ett par veckor, kanske beroende på semestertider, vilket i sig är en intressant illustration av att SKL inte omfattas av kraven på myndigheter att snabbt besvara inkommande frågor.
I frågan om e-hälsa är det dock de bristande organisatoriska förutsättningarna som är mest värda att ifrågasätta.
SKL är i sig inte en organisation som är skapad för att bedriva operativ verksamhet utan för att driva förhandlingar i huvudmännens intresse mot arbetstagare och delvis även mot regeringen.
Nu har man omvandlat sig till något som varken är företag eller myndighet men har en horisontell integration där huvudmännen både är leverantörer och kunder, en typ av organisation som redan Vänerskogs jättelika konkurs 1981 visade problemen med.
Denna oreda av aktörer i en infrastruktur av mycket känslig information är detta, ja jag vågar klämma i med, katastrofalt.
Ett mycket stort antal stort antal aktörer är inne och rycker i den gemensamma informationsinfrastrukturen utan att det finns en konkret inriktning utom den som delas av regeringen och SKL.
Jag noterar att webbplatsen inte uppdaterats sedan oktober 2017 men att det kommit en som mest verkar vara ett underlag för förhandlingar samt ett antal fluffiga mål.
Det är långt till verkstaden om man säger så.
Vad leder detta till i praktiken?
Ett bra exempel är hur den ganska naturliga frågeställningen om att ge patienten tillgång till mer information om sin hälsa, behandlingar m.m har hanterats.
För att klargöra utgångsläget så har patienter haft rätt att ta del av sin journal sedan länge, se patientjournallagen (SFS 1985: 562).
En journalhandling inom enskild hälso- och sjukvård skall på begäran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller kopia, om inte annat följer av 2 kap.
8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.
E-hälsofrågan i det hela handlar mer om patienten kan del av journalen.
Personligen tycker jag att hela frågan är felformulerad – istället borde den ha varit: ”hur informerar vi patienten på bästa sätt?”.
Då hade vårdens arbetsverktyg knappast varit den bästa lösningen utan man skulle jobbat på att ge patienten information i den form och på det sätt som gör det enkelt att ta till sig.
Bortsett från detta så påbörjades under början av 2000-talet i landstingsvärlden projekt med målsättning att tillgängliggöra journalen via nätet.
Observera att detta endast handlar envägskommunikation – att patienten får möjlighet att journalen.
Trots att dessa initiativ pågick bland huvudmännen bestämde Göran Hägglund som socialminister att ett nationellt initiativ skulle inledas för att patientjournaler skulle göras tillgängliga i en tjänst där de kunde användas av tredjeparter efter patientens initiativ.
Jag ser det här som ett utslag av att både e-hälsa och e-förvaltning starkt präglades av att under åren runt decennieskiftet ses som en näringsfråga, d.v.s.
de personuppgifter som myndigheter samlar in ska ses som råvara för privata tjänsteleverantörer.
Do´nt get me started – utrymmer räcker inte till för dra upp alla negativa aspekter av detta… Låt mig istället nöja mig med att detta var en lösning med så många problem inte minst säkerhetsmässigt att den skulle ha lagt sig i byrålådan på ett mycket tidigt stadium.
Nu är det stoppat av Datainspektionen även om eHälsomyndigheten fortsätter att processa stödda av en landets mest exklusiva advokatbyråer till en kostnad på drygt 1,5 miljoner bara 2017 (jag har kollat).
För att summera: det har alltså pågått två parallella projekt utan samordning, så vitt jag kan se, för att överföra information från journal till patienter.
Man har inte i lösningarna tagit höjd för hur behovet att patienten med tillräcklig kvalitet och säkerhet ska kunna föra tillbaka uppgifter till vården – en fråga som i sig är en av grundvalarna i en utvecklad e-hälsa.
Exemplet visar mycket tydligt att det inte finns en gemensam plan, behovsanalys eller medvetenhet om att man bygger en gemensam infrastruktur.
Min erfarenhet från olika sammanhang inom området är det också ofta saknas vilja att ta vara på professionernas intresse av fungerande arbetsverktyg eller etiska krav.
Tråkigt nog tycker jag inte att arbetstagarorganisationerna varit särskilt skickliga på att samla och driva sina medlemmars olika behov, detta är dock bara mer än känslomässig upplevelse från konferensbord och från att ha tagit del av olika debattinlägg.
Trots att alla aktörer med emfas skulle säga att de starkt vurmar för patients intresse kan jag tycka att det är väl lätt att utan fog göra sig till patientens företrädare.
Framför allt är det svårt att hitta insikten i att patienter är vi alla och på samma sätt som vi har väldigt olika syn och intressen i andra frågor har vi det även som patienter.
Ett flagrant exempel på detta är de som ständigt ställer patientsäkerhet mot integritet.
Eller inte erkänner att om en välsituerad grupp använder kommersiella nätläkare för att lindra myggbett så kommer det att inkräkta på andra patienters intressen.
Även här måste finnas en mycket större helhetstanke där e-hälsan sätts i sitt rätta sammanhang.
Slutligen kan jag inte underlåta att gå in på integritetsfrågan och hur det gick när jag försökte begära ut mina personuppgifter från vården.
Även detta är en god illustration av läget.
Först till den juridiska historiken som går att scrolla förbi om man inte är intresserad men den har rätt stor betydelse för det praktiska utlämnandet av personuppgifter.
Enligt den gamla patientjournallagen hade varje vårdgivare ansvar för sin egen journal och om uppgifterna behövdes hos en annan vårdgivare måste vissa mått och steg vidtas.
En ansvarig läkare hos vårdgivare A måste göra en menprövning om det var till men eller gagn för patienten att uppgifterna lämnades ut.
Lämnades uppgifter ut skulle ett journalnotat göras om när, vad och till vem uppgifter lämnats ut och hos vårdgivare B fördes uppgifterna in som ”kopia”.
Hela förfarandet hade fördelar som att det gav mycket god spårbarhet, patienten kunde eventuellt förhindra att information lämnades vidare om man ville skydda sin integritet och det var inte hela journalen som lämnades vidare utan bara relevanta delar.
Jag vill bara påpeka dessa fördelar utan att för den delen behöva anklagas för att vara bakåtsträvare för naturligtvis är detta regler som är svåra att upprätthålla i ett digitalt flöde.
Och, ja, jag är väl medveten om att reglerna inte alltid efterlevdes.
Min poäng är att dessa säkerhetsåtgärder inte ersattes av motsvarande funktioner när patientdatalagen (PDL) infördes.
Mitt intryck efter att ha följt frågan om vårdinformation tämligen ingående sedan 1994 är att det inte ens fanns en ambition att göra det.
Denna min uppfattning stärks när jag läser förarbetena till lagstiftningen.
Jag ser patientdatalagen som ett resultat av mer än ett decenniums påverkanskampanj från olika aktörer med innebörden att säkerhet och integritet inte går att förena med digitaliseringen utan man måste välja.
Valet blev då tämligen enkelt eftersom den tekniska och organisatoriska förändringen redan genomförts.
Resultatet, förutom allt newspeak där dålig säkerhet var bra säkerhet o.s.v., var att i patientdatalagen infördes ”sammanhållen journalföring” som enligt lagens definition betyder: Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.
I och med patientdatalagen ändrades grundprincipen för hanteringen av journaluppgifter från att det tidigare defaultläget var att en vårdgivare inte kunde lämna ut uppgifter utan menprövning till nuvarande defaultläge: att information kan flöda mellan vårdgivare om inte patienten aktivt spärrar utlämnandet.
Ett villkor som satts upp för den sammanhållna journalföringen: Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att andra uppgifter än dem som anges i görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.
En sjuk patient ska alltså ta till sig information om hur informationen kommer att hanteras och dessutom ha kraft genomdriva en spärr om hen bedömer att överföringen olämplig.
Några saker bör särskilt noteras i detta redan orimliga scenario.
För det första innebär direktåtkomsten att vårdgivare 2 får tillgång till vårdinformation hos vårdgivare 1 istället för som tidigare ett journalutdrag över information som bedöms vara relevant för det aktuella sjukdomstillfället.
För det andra förutsätter det att vårdpersonalen hos vårdgivare 1 kan ge upplysningar om hur informationen kommer att hanteras i den sammanhållna journalföringen, vilka som kommer att få tillgång till den exempelvis.
Min visserligen anekdotiska men ändå uppfattning efter att ha frågat ett ganska stort antal anställda i vården finns inte en kunskap inom vården hur informationen hanteras och hur ska då personalen kunna upplysa patienten?
Detta är inte så konstigt för jag tror uppriktigt inte någon idag har kontroll över informationsflödena i vården.
För det tredje lyser ett decennium efter PDL:s ikraftträdande fortfarande möjligheten att faktiskt spärra sin journal med sin frånvaro hos ett stort antal vårdgivare.
I praktiken kan jag inte se att patienten har någon reell möjlighet att vare sig få veta hur den egna vårdinformationen hanteras eller att påverka åtkomsten till den.
Med stöd av den sammanhållna journalföringen har det vuxit fram en vårdinformationsspaghetti där det vad jag kunnat se inte finns vare sig överblick, tydlig styrning eller definierade ansvar.
Detta leder också till att när jag hos min vårdgivare frågar: ”Gör ni journalnotat om vilka samtycken till andra vårdgivare jag givit så att jag kan få en sammanställning över vilka som fått åtkomst till mina uppgifter?” får till svar ” Nej, det finns i dagsläget ingen sådan funktion i COSMIC men detta är under utveckling, det vill säga en samtyckestjänst.
Vi dokumenterar inte i x:s journal andra vårdgivares samtycken, detta är var och ens eget ansvar.
När någon inhämtar ett samtycke i COSMIC så genererar detta en logg samt en referens i journalen.”.
Det vill säga att den vårdgivare som lämnar ifrån sig informationen noterar inte detta utan patienten förväntas ansvara för spårbarheten.
Jag vände mig då till Inera som ansvarar för tjänsten Nationell Patientöversikt som är en slags växel då vårdinformation förs mellan olika vårdgivare.
På frågan om de kan redovisa vilka som eventuellt tagit del av min vårdinformation svarar de: ”Samtycke måste alltid inhämtas av den vårdgivare som ska ta del av din information i NPÖ.
Samtycket ska registreras i det lokala journalsystemet hos den aktuella vårdgivaren.
Det tekniska samtycket loggas i den nationella säkerhetstjänsten som förvaltas av Inera.
Det finns ingen dokumentation från journalinformation och inte heller någon information om varför samtycket har inhämtats.” Deras uppfattning är alltså att de endast har ”tekniska loggar” och att jag fortfarande själv måste hålla reda på mina samtycken trots digitaliseringen.
Det framgår också att de anser att de tekniska loggarna inte är att betrakta som personuppgifter.
Jag har valt att inte fördjupa mig ytterligare i detta men hoppas att andra tar upp den tråden.
Sammantaget skulle jag vilja säga att detta rimmar rätt illa med dataskyddsförordningens krav.
Min egentliga poäng med att försöka beskriva att oreda, de oklara ansvarsförhållandena och bristande överblick är att detta naturligtvis inte bara påverkar patientens möjlighet till personlig integritet.
I ännu högre grad påverkas effektivitet, patientsäkerheten och möjligheten att upprätthålla verksamheten vid större störningar.Särskilt bekymmersamt är det oklara ansvaret som även andra Vad blir då kontentan av allt detta?
Jag tror faktiskt inte huvudfrågan är huruvida sjukvården ska förstatligas utan hur den ska styras (även om jag i dagsläget har litet svårt att se exakt vilket värde den regionala politiska styrningen tillför).
Oavsett om det finns 2 eller 200 000 vårdgivare så måste det finnas en stark statlig styrning som då inte enbart omfattar den offentligt finansierade slutenvården som ett förstatligande skulle innebära.
Den nuvarande bristen på styrningen tjänar såvitt jag kan se enbart oseriösa leverantörer på och möjligen de offentliga företrädare som älskar att åka omkring på olika konferenser och framställa sig som visionära.
Situationen där myndigheter processar mot varandra vittnar väl om något om den rådande anarkin.
Om vi inte klarar av att styra digitaliseringen av vården idag så blir tanken på AI och IoT mardrömslik.
Mina förslag är därför att på äktsvenskt maner tillsätta flera rejäla utredningar men med skillnad från de tidigare inte bilägga facit från uppdragsgivaren.
Jag ser framför mig en handfull utredningar inom olika områden men som är starkt koordinerade så att resultaten går att använda.
Viktigt är att ta hänsyn till de mångskiftande intressen som hälso- och sjukvården ska tjäna, inklusive professionernas och forskningens behov på kort och lång sikt.
Inriktningen bör vara att på samma sätt som på 1940-talet bygga en långsiktigt fungerande infrastruktur i bred politisk enighet.
Några förslag (jag tar inte med komplicerade saker som prioriteringar i vården och patienters egentliga intressen): Puh!
Jag vill verkligen inte påstå att jag kommit med de definitiva sanningarna i dessa komplicerade frågor – det finns så många olika sätt att betrakta den svenska e-hälsan.
Säkert har jag missuppfattat eller vantolkat en massa saker.
Mitt enda försvar är att jag efter bästa förmåga försökt måla upp bild av e-hälsa.
Förhoppningsvis kan dessa långa inlägg stimulera andra att dela bild av samma frågor.

Stärkt samordning av de frågor som påverkar vården i regeringskansliet och en stärkt roll för Socialstyrelsen som sammanhållande kraft i vården och beställare av it-lösningar hos e-Hälsomyndigheten, SKL m.fl.
Hur en gemensam infrastruktur ska kunna byggas upp i konkreta termer och ansvarsförhållandena för detta En ny patientdatalag som lever upp till dagens många olika behov och som inte genar när det blir svårt.
En arkivlag som kan tillgodse kravet på att bevara den gemensamma informationsinfrastruktur som uppstår inom bland annat e-hälsa.
I en ny arkivlag bör finnas utrymme för att fatta beslut om bevaranderegler även för andra än statliga myndigheter, t.ex.
ett krav på att viss vårdinformation ska bevaras för all framtid oavsett vårdgivare.
SKL:s roll med övervägande om liknande krav på öppenhet som gäller de ingående sjukvårdshuvudmännen.
Frågan bör ställas om SKL över huvud taget har de institutionella förutsättningarna att leverera gemensamma e-tjänster eller om detta istället bör ske av myndigheter Utred möjligheten att införa en lösning liknande den norska Normenden svenska vården.
Detta drev jag med klent gehör när jag jobbade på MSB men det är aldrig fel att vädra gamla käpphästar.
MSB måste våga överge sin beröringsskräck för verkligheten och kunna ge faktiskt stöd till bland annat vården.
Hur e-hälsan systematiskt ska utvärderas och vem som ska utföra det.

16 § på vilket sätt läsa alla all en sina

Meny Patientsäkerhet

Här kommer ett litet mellanspel i min långa rant om varför informationssäkerheten inte funkar.
Istället ska jag ägna ytterligare några rader åt e-hälsa.
I slutet av september inträffade ett nytt stort it-haveri i Stockholms läns landsting (SLL) där flera sjukhus drabbades på ett sådant sätt att patientsäkerheten uppgavs .
I SLL:s digitala lösningar har större incidenter skett vid ett antal tillfällen under de senaste åren och det var bara någon månad sedan en mycket allvarlig händelse skedde i . Som samhällsmedlem och patient in spe med viss insikt om hur det ser ut på e-hälsoområdet är jag djupt oroad.
Trots att de många och allvarliga incidenterna som utgör en stor risk för patientsäkerheten och för patienternas integritet tycks insikten om de stora problemen med säkerhet inte engagera vårdens makthavare nämnvärt.
Pliktskyldigt sägs några fraser om säkerhet, sedan störtar samtalet vidare med muntra trumpetstötar om att Sverige ska bli bäst i världen på e-hälsa vilket inte förefaller innebära att vi ska bli bäst i världen på en e-hälsa.
Digitalisering beskrivs i närmast messianska former och diskussionsklimatet är av en sådan karaktär att det problematiserande som är nödvändigt för alla framgångsrika utvecklingsprojekt avvisas kategoriskt och sägs till och med vara ”förbjudet”.
Jag ser detta i sig som djupt problematiskt eftersom digitaliseringen, liksom alla andra större samhällsförändringar, innebär reella intressekonflikter som måste hanteras på ett rationellt sätt.
Detta gäller även inom informationssäkerhetsområdet specifikt där till exempel tillgänglighet och skydd mot obehörig åtkomst alltid måste balanseras mot varandra.
Historiskt har ,enligt min uppfattning, flertalet e-hälsolösningar hastats fram utan gemensam strategi i meningen långsiktig målbild och långsiktig planering där behov och beroenden är analyserade och utvärderade i en öppen diskussion.
Alltför ofta har mycket kostsamma och administrativt krävande lösningar (tänk exempelvis NPÖ) dykt upp utan att behov, säkerhet och kvalitet har klarlagts.
Efter att ett stort antal miljoner flödat in i de ofärdiga projekten har de försvunnit till en kyrkogård av misslyckade visioner.
När jag läste följande tweet kändes den därför som ett mycket tråkigt exempel på att vårdens makthavare tycks oförmögna att lära sig av tidigare misstag: Av en händelse ser jag att Daniel Forslund, liberalt landstingsråd för (L) i Stockholms läns landsting med ansvar för innovation, eHälsa, IT-utveckling och patientnära tjänster, på en PR-site för ett it-bolag gör ett intressant uttalande .
Sammanhanget för uttalandet kan i sig tyckas symptomatiskt med tanke på den ofta litet väl nära relation som funnits mellan sjukvårdspolitiker, landstingstjänstemän och it-leverantörerna men den frågan lämnar jag för tillfället.
Det som är intressant är följande avsnitt apropå de tre stora sjukvårdshuvudmännens satsning på en ny it-plattform: För den medborgare och/eller patient som inte haft insyn vare sig i den rådande ideologin inom sjukvården eller i den praktiska verkligheten måste detta uttalande vara ganska häpnadsväckande.
Är det inte en självklarhet att integritet och patientsäkerhet måste kunna upprätthållas samtidigt?
Tyvärr är svaret att under de senaste decennierna har integriteten i sjukvården steg för steg nedmonterats både som värdering och i utformningen av den informationshantering som ska stödja vårdprocesserna.
Detta är inte enbart min personliga uppfattning utan finns även som en av de slutsatser som Integritetskommittén dragit i sin kartläggning ”Hur står det till med integriteten” http://www.regeringen.se/pressmeddelanden/2016/06/kartlaggning-identifierar-allvarliga-risker-for-den-personliga-integriteten/.
Tyvärr har inte de utredningar som skett inom e-hälsoområdet heller sett detta som en prioriterad fråga.
Förhållningssättet till integritet som funnits med i digitaliseringsprocessen av vården ända sedan dess inledande faser är att det har målats upp en motsatsställning mellan patientsäkerhet och integritet.
Det har också funnits ett mycket svagt intresse hos sjukvårdshuvudmän, vårdgivare och it-leverantörer att göra den insats som krävs för att få en styrning av informationshanteringen och systemen/tjänsterna så att båda dessa värden kan uppnås samtidigt.
Min tolkning är att man istället anpassat etik och lagstiftning efter tekniska brister.
Integritetsfrågorna har också lyfts bort från de myndigheter som normalt arbetar med att reglera och tillsyna informationshanteringen i vården, t.ex.
IVO och tidigare Socialstyrelsen.
Tidigare skedde en gemensam intresseavvägning mellan patientssäkerhet och integritet inom samma myndighet som dessutom hade vården i sin helhet som uppdrag.
Nu förväntas Datainspektionen med sina begränsade resurser och mandat försöka styra hanteringen av personuppgifter i rätt riktning inom vården.
Intresseavvägningen mellan patientssäkerhet och integritet har därmed flyttats till den enskilde vårdgivaren som ska uttolka de olika myndigheternas icke samordnade reglering i en informationshantering som däremot blir alltmer gemensam.
Dessutom har tillsynen av de regler för skydd av integritet som faktiskt finns varit otillräcklig.
Det är inte enbart tekniken som varit orsak till att integritetens allt lägre prioritet.
Både organisationsförändringar och förändrade vårdformer har starkt påverkat synen på avgränsning och ansvar för informationen.
För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård.
Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades).
Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman.
Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän.
Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring.
Vid sidan om offentlighetslagstiftningen fanns patientjournallagen som gav vårdgivarna ansvar att både säkerställa patientsäkerhet och integritet.
Socialstyrelsen hade tillsyn enligt patientjournallagen även i de delar som gällde att värna patientens integritet.
Det fanns också en yrkesgrupp som var utbildad för att professionellt hantera vårdinformation – läkarsekreterarna.
Vi som under stark motvind försökt driva integritetsfrågan i sjukvården har bemötts med i princip alla de logiska fallacier som finns i den här både lärorika och underhållande uppräkningen .
Särskilt populära har i min anekdotiska erfarenhet varit: Det kanske vanligaste har ändå varit härskartekniker som tystnad och osynliggörande vilket kanske varit det tråkigaste eftersom det lett till att en mer seriös diskussion inte förts och viktiga intresseavvägningar inte gjorts.
Själv hoppas jag på en mer rationell diskussion som klarar att beakta flera intressen samtidigt.
Integritet har trots detta blivit en allt viktigare fråga i e-samhället och det är naturligtvis positivt att makthavare inom sjukvården också uppfattar det.
Det är bara att hoppas på att det finns en seriös vilja att verkligen åstadkomma detta i 3R-projektet även om det är svårt att tolka in det i det dokument som det hänvisas till http://www.sll.se/Global/Politik/Politiska-organ/Landstingsfullmaktige/2016/2016-06-14-15/forslag-41sid19.pdf.
I beslutet om upphandlingsunderlag står det: Inte så mycket om integritet alltså.
Frågan i rubriken får vara obesvarad ett tag till.

Strawman: om du är för integritet och ser att den frågan inte hanterats i digitaliseringsprojekt så är du emot digitalisering i sig och vill gå tillbaka till pappersjournaler och hur bra var det med alla som sprang i journalarkiven?
Black or white: om du är för integritet så är du emot patientsäkerhet eftersom det framställs som omöjligt att vara för både och.
Anecdotal: Eftersom det inte finns någon egentlig sammanställning och utvärdering av vilka brister i informationshanteringen som lett till vårdskador så har ofta begränsningar i informationstillgången framställts som orsaken medan det kanske snarare handlat om bristande riktighet eller spårbarhet – detta bevisat genom egna anekdotiska bevis (vilket även kan ses som false cause, det vill säga att man skapar en korrelation som inte kan underbyggas).
Bandwagon: I och med att det funnits en gemensam acceptans för bristande integritet bland sjukvårdspolitiker och andra makthavare i vården så har det varit lätt att implicit och explicit driva en linje innebärande ”att alla gör så och varför skulle vi då ha krav på oss att göra annorlunda?”.
Appeal to authority: Mycket kraftfullt har varit att framställa läkare, annan vårdpersonal och vissa starka patientföreningar som innehavare av sanningen som inte går att motsäga.
Att de representerar särintressen har inte alltid framkommit.
Begging the question: Ett vanligt exempel som jag fått höra sedan början av nittiotalet är: ”tänk när någon kommer in medvetslös på akuten och vi kan rädda hen om vi bara får tillgång till all information – hur kan du vara emot det?” I detta exempel ligger ju antal inbäddade förutsättningar som att detta är den vårdsituation som vi bör ha som mall för alla andra (vilket även är ett exempel på composition/division) och att den som förespråkat integritet därmed sagt att det aldrig finns undantag eller speciella rutiner.

säker

Meny Regioner Inläggsnavigering

MENU MENU postat av → Postad i , , , Tagged , , , , , Postat av Postad i , , , , , Tagged , , , , → Sök efter:

Satsningen på en ny plattform som nu ska göras innebär att man nu kan öka både patientsäkerheten och integritetsskyddet på ett sätt som varit svårt tidigare.
– Förut har man varit tvungen att kompromissa mellan dem.
Man har låst in data i respektive system vilket gett ett bra integritetsskydd men en sämre patientsäkerhet, men för första gången kan man nu höja nivån på båda samtidigt.
Dagens tekniska system gör det möjligt att ha gemensamma databaser och ändå sätta behörigheter på informationen.
Om du är kvinna och bryter ett ben behöver ortopeden inte ha tillgång till dina gynrapporter till exempel.
Vi kan också kravställa spårbarhet, vem som läst din information, på ett annat sätt, samtidigt som vi kan öka patientsäkerheten, säger Daniel Forslund.
Kärnsystemet ska stödja följande skapa incitament för verksamhetsutveckling, inklusive arbete med standardisering kopplat till begrepp som process, teknik, patientsäkerhet och kvalitet etablera förutsättningar för arbetet med en gemensam informationsstruktur omfattande informationsmodeller och termer/begrepp system ge invånaren en ökad tillgänglighet till och enklare kommunikation med vården Stockholms läns landsting ge invånaren möjlighet till att ta aktiv del i och ansvar för sin hälsa och sjukvård ge vårdverksamheten tillgång till en användarvänlig informationsmiljö i realtid med besluts- och processtöd ge kvalitetssäkrad information för att kunna utveckla vårdens processer och dess arbetssätt ge verktyg för forskning, utveckling och utbildning ge ett lättillgängligt verktyg för myndigheter och vårdgivare så att arbetet med kvalitets- och ledningssystem underlättas.

Efter mitt förra inlägg om e-hälsa har jag fått en del kommentarer som visar att sjukvårdens organisation och i ännu högre grad e-hälsoområdets styrning är en okänd värld för många.
Som en projektledare en gång sa till mig som en förebärare för Trump: ”Hur svårt kan det vara med sjukvård (och e-hälsa)?”.
Ganska svårt skulle jag vilja säga vilket även Trump .
Därför kommer här en inledning för att ytterligare förtydliga hur jag uppfattar organisationen idag (finns utrymme för osäkerhet i detta) samt ge ett praktiskt exempel på vad det leder till.
För att bara titta på den bristande styrningen har jag uppdaterat en gammal bild till hur jag tror det ser ut i dag (jag har inte tagit med finlir som kvalitetsregister och trygghetslarm m.m., m.m.).
Bilden är ett försök beskriva samspelet.
Som framgår är ett flertal myndigheter involverade i olika delar, det finns utförare och leverantörer.
Två saker är slående.
Den första är att det inte finns en överordnad myndighet med mandat att hålla ihop helheten och som kan vara kontaktpunkt för övriga aktörer.
Med tanke på hälso- och sjukvårdens betydelse för samhället i olika dimensioner, de mycket stora offentliga resurser som går till sjukvården och det stora antalet aktörer som deltar i det gemensamma vårdarbetet måste detta ses som ett icke-rationellt sätt att organisera det hela om man vill ha effektivitet, kvalitet och strategisk inriktning.
Det andra är SKL och sjukvårdshuvudmännens organisation som jag menar inte håller måttet för de uppgifter som man åtagit sig.
Sjukvårdshuvudmännen har en roll som offentliga organ som är reglerad i lagstiftningen.
Detsamma gäller för vårdgivare oavsett om de är privata eller offentliga.
Men i denna ordning har alltmer SKL glidit in, en intresseorganisation som inte är en myndighet, inte har en lagfäst roll och inte omfattas av offentlighetslagstiftningen.
Riksrevisionen har pekat på detta i en gällande den generella styrningen på vårdområdet.
Inom e-hälsoområdet är problemen med detta mycket tydligt.
En inte oviktig fråga i detta är att det öppenhetskrav som gäller för myndigheter som landsting, regioner och kommuner försvinner då de samarbetar i sin intresseorganisation.
Nu när aktiviteter som tidigare skedde i respektive huvudmans verksamhet flyttas in i SKL:s hägn (inklusive Inera) försvinner också insynen.
Detta kan jämföras med kommunalförbund där insynsmöjligheten fortfarande finns kvar.
Denna fråga verkar inte engagera SKL i någon högre grad, jag söker på hemsidan för att finna om man frivilligt erbjuder en likande insyn i beslutsunderlag och annat som skulle räknas som allmänna handlingar hos SKL:s medlemmar men ser inga sådana informationsinsatser.
Jag skickade även ett mail till SKL:s infoadress den 24 juli: Hej!
Jag vet att SKL inte är en myndighet och därmed inte omfattas av offentlighetslagstiftningen.
Däremot är SKL:s medlemmar det liksom medlemmarnas uppdragsgivare.
Min fråga är hur eftersträvar SKL att ändå kunna erbjuda motsvarande transparens som medlemmarna förutsätts ha?
Detta borde vara allt viktigare i och med att SKL har tagit på sig allt fler uppgifter av operativ karaktär och frågor som starkt påverkar medlemmarnas prioriteringar och finansiering.
Eller är SKL:s linje att allmänheten får tillräcklig insyn via det material som publiceras på den egna webbplatsen?
Detta mail är fortfarande obesvarat efter ett par veckor, kanske beroende på semestertider, vilket i sig är en intressant illustration av att SKL inte omfattas av kraven på myndigheter att snabbt besvara inkommande frågor.
I frågan om e-hälsa är det dock de bristande organisatoriska förutsättningarna som är mest värda att ifrågasätta.
SKL är i sig inte en organisation som är skapad för att bedriva operativ verksamhet utan för att driva förhandlingar i huvudmännens intresse mot arbetstagare och delvis även mot regeringen.
Nu har man omvandlat sig till något som varken är företag eller myndighet men har en horisontell integration där huvudmännen både är leverantörer och kunder, en typ av organisation som redan Vänerskogs jättelika konkurs 1981 visade problemen med.
Denna oreda av aktörer i en infrastruktur av mycket känslig information är detta, ja jag vågar klämma i med, katastrofalt.
Ett mycket stort antal stort antal aktörer är inne och rycker i den gemensamma informationsinfrastrukturen utan att det finns en konkret inriktning utom den som delas av regeringen och SKL.
Jag noterar att webbplatsen inte uppdaterats sedan oktober 2017 men att det kommit en som mest verkar vara ett underlag för förhandlingar samt ett antal fluffiga mål.
Det är långt till verkstaden om man säger så.
Vad leder detta till i praktiken?
Ett bra exempel är hur den ganska naturliga frågeställningen om att ge patienten tillgång till mer information om sin hälsa, behandlingar m.m har hanterats.
För att klargöra utgångsläget så har patienter haft rätt att ta del av sin journal sedan länge, se patientjournallagen (SFS 1985: 562).
En journalhandling inom enskild hälso- och sjukvård skall på begäran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller kopia, om inte annat följer av 2 kap.
8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.
E-hälsofrågan i det hela handlar mer om patienten kan del av journalen.
Personligen tycker jag att hela frågan är felformulerad – istället borde den ha varit: ”hur informerar vi patienten på bästa sätt?”.
Då hade vårdens arbetsverktyg knappast varit den bästa lösningen utan man skulle jobbat på att ge patienten information i den form och på det sätt som gör det enkelt att ta till sig.
Bortsett från detta så påbörjades under början av 2000-talet i landstingsvärlden projekt med målsättning att tillgängliggöra journalen via nätet.
Observera att detta endast handlar envägskommunikation – att patienten får möjlighet att journalen.
Trots att dessa initiativ pågick bland huvudmännen bestämde Göran Hägglund som socialminister att ett nationellt initiativ skulle inledas för att patientjournaler skulle göras tillgängliga i en tjänst där de kunde användas av tredjeparter efter patientens initiativ.
Jag ser det här som ett utslag av att både e-hälsa och e-förvaltning starkt präglades av att under åren runt decennieskiftet ses som en näringsfråga, d.v.s.
de personuppgifter som myndigheter samlar in ska ses som råvara för privata tjänsteleverantörer.
Do´nt get me started – utrymmer räcker inte till för dra upp alla negativa aspekter av detta… Låt mig istället nöja mig med att detta var en lösning med så många problem inte minst säkerhetsmässigt att den skulle ha lagt sig i byrålådan på ett mycket tidigt stadium.
Nu är det stoppat av Datainspektionen även om eHälsomyndigheten fortsätter att processa stödda av en landets mest exklusiva advokatbyråer till en kostnad på drygt 1,5 miljoner bara 2017 (jag har kollat).
För att summera: det har alltså pågått två parallella projekt utan samordning, så vitt jag kan se, för att överföra information från journal till patienter.
Man har inte i lösningarna tagit höjd för hur behovet att patienten med tillräcklig kvalitet och säkerhet ska kunna föra tillbaka uppgifter till vården – en fråga som i sig är en av grundvalarna i en utvecklad e-hälsa.
Exemplet visar mycket tydligt att det inte finns en gemensam plan, behovsanalys eller medvetenhet om att man bygger en gemensam infrastruktur.
Min erfarenhet från olika sammanhang inom området är det också ofta saknas vilja att ta vara på professionernas intresse av fungerande arbetsverktyg eller etiska krav.
Tråkigt nog tycker jag inte att arbetstagarorganisationerna varit särskilt skickliga på att samla och driva sina medlemmars olika behov, detta är dock bara mer än känslomässig upplevelse från konferensbord och från att ha tagit del av olika debattinlägg.
Trots att alla aktörer med emfas skulle säga att de starkt vurmar för patients intresse kan jag tycka att det är väl lätt att utan fog göra sig till patientens företrädare.
Framför allt är det svårt att hitta insikten i att patienter är vi alla och på samma sätt som vi har väldigt olika syn och intressen i andra frågor har vi det även som patienter.
Ett flagrant exempel på detta är de som ständigt ställer patientsäkerhet mot integritet.
Eller inte erkänner att om en välsituerad grupp använder kommersiella nätläkare för att lindra myggbett så kommer det att inkräkta på andra patienters intressen.
Även här måste finnas en mycket större helhetstanke där e-hälsan sätts i sitt rätta sammanhang.
Slutligen kan jag inte underlåta att gå in på integritetsfrågan och hur det gick när jag försökte begära ut mina personuppgifter från vården.
Även detta är en god illustration av läget.
Först till den juridiska historiken som går att scrolla förbi om man inte är intresserad men den har rätt stor betydelse för det praktiska utlämnandet av personuppgifter.
Enligt den gamla patientjournallagen hade varje vårdgivare ansvar för sin egen journal och om uppgifterna behövdes hos en annan vårdgivare måste vissa mått och steg vidtas.
En ansvarig läkare hos vårdgivare A måste göra en menprövning om det var till men eller gagn för patienten att uppgifterna lämnades ut.
Lämnades uppgifter ut skulle ett journalnotat göras om när, vad och till vem uppgifter lämnats ut och hos vårdgivare B fördes uppgifterna in som ”kopia”.
Hela förfarandet hade fördelar som att det gav mycket god spårbarhet, patienten kunde eventuellt förhindra att information lämnades vidare om man ville skydda sin integritet och det var inte hela journalen som lämnades vidare utan bara relevanta delar.
Jag vill bara påpeka dessa fördelar utan att för den delen behöva anklagas för att vara bakåtsträvare för naturligtvis är detta regler som är svåra att upprätthålla i ett digitalt flöde.
Och, ja, jag är väl medveten om att reglerna inte alltid efterlevdes.
Min poäng är att dessa säkerhetsåtgärder inte ersattes av motsvarande funktioner när patientdatalagen (PDL) infördes.
Mitt intryck efter att ha följt frågan om vårdinformation tämligen ingående sedan 1994 är att det inte ens fanns en ambition att göra det.
Denna min uppfattning stärks när jag läser förarbetena till lagstiftningen.
Jag ser patientdatalagen som ett resultat av mer än ett decenniums påverkanskampanj från olika aktörer med innebörden att säkerhet och integritet inte går att förena med digitaliseringen utan man måste välja.
Valet blev då tämligen enkelt eftersom den tekniska och organisatoriska förändringen redan genomförts.
Resultatet, förutom allt newspeak där dålig säkerhet var bra säkerhet o.s.v., var att i patientdatalagen infördes ”sammanhållen journalföring” som enligt lagens definition betyder: Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.
I och med patientdatalagen ändrades grundprincipen för hanteringen av journaluppgifter från att det tidigare defaultläget var att en vårdgivare inte kunde lämna ut uppgifter utan menprövning till nuvarande defaultläge: att information kan flöda mellan vårdgivare om inte patienten aktivt spärrar utlämnandet.
Ett villkor som satts upp för den sammanhållna journalföringen: Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att andra uppgifter än dem som anges i görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.
En sjuk patient ska alltså ta till sig information om hur informationen kommer att hanteras och dessutom ha kraft genomdriva en spärr om hen bedömer att överföringen olämplig.
Några saker bör särskilt noteras i detta redan orimliga scenario.
För det första innebär direktåtkomsten att vårdgivare 2 får tillgång till vårdinformation hos vårdgivare 1 istället för som tidigare ett journalutdrag över information som bedöms vara relevant för det aktuella sjukdomstillfället.
För det andra förutsätter det att vårdpersonalen hos vårdgivare 1 kan ge upplysningar om hur informationen kommer att hanteras i den sammanhållna journalföringen, vilka som kommer att få tillgång till den exempelvis.
Min visserligen anekdotiska men ändå uppfattning efter att ha frågat ett ganska stort antal anställda i vården finns inte en kunskap inom vården hur informationen hanteras och hur ska då personalen kunna upplysa patienten?
Detta är inte så konstigt för jag tror uppriktigt inte någon idag har kontroll över informationsflödena i vården.
För det tredje lyser ett decennium efter PDL:s ikraftträdande fortfarande möjligheten att faktiskt spärra sin journal med sin frånvaro hos ett stort antal vårdgivare.
I praktiken kan jag inte se att patienten har någon reell möjlighet att vare sig få veta hur den egna vårdinformationen hanteras eller att påverka åtkomsten till den.
Med stöd av den sammanhållna journalföringen har det vuxit fram en vårdinformationsspaghetti där det vad jag kunnat se inte finns vare sig överblick, tydlig styrning eller definierade ansvar.
Detta leder också till att när jag hos min vårdgivare frågar: ”Gör ni journalnotat om vilka samtycken till andra vårdgivare jag givit så att jag kan få en sammanställning över vilka som fått åtkomst till mina uppgifter?” får till svar ” Nej, det finns i dagsläget ingen sådan funktion i COSMIC men detta är under utveckling, det vill säga en samtyckestjänst.
Vi dokumenterar inte i x:s journal andra vårdgivares samtycken, detta är var och ens eget ansvar.
När någon inhämtar ett samtycke i COSMIC så genererar detta en logg samt en referens i journalen.”.
Det vill säga att den vårdgivare som lämnar ifrån sig informationen noterar inte detta utan patienten förväntas ansvara för spårbarheten.
Jag vände mig då till Inera som ansvarar för tjänsten Nationell Patientöversikt som är en slags växel då vårdinformation förs mellan olika vårdgivare.
På frågan om de kan redovisa vilka som eventuellt tagit del av min vårdinformation svarar de: ”Samtycke måste alltid inhämtas av den vårdgivare som ska ta del av din information i NPÖ.
Samtycket ska registreras i det lokala journalsystemet hos den aktuella vårdgivaren.
Det tekniska samtycket loggas i den nationella säkerhetstjänsten som förvaltas av Inera.
Det finns ingen dokumentation från journalinformation och inte heller någon information om varför samtycket har inhämtats.” Deras uppfattning är alltså att de endast har ”tekniska loggar” och att jag fortfarande själv måste hålla reda på mina samtycken trots digitaliseringen.
Det framgår också att de anser att de tekniska loggarna inte är att betrakta som personuppgifter.
Jag har valt att inte fördjupa mig ytterligare i detta men hoppas att andra tar upp den tråden.
Sammantaget skulle jag vilja säga att detta rimmar rätt illa med dataskyddsförordningens krav.
Min egentliga poäng med att försöka beskriva att oreda, de oklara ansvarsförhållandena och bristande överblick är att detta naturligtvis inte bara påverkar patientens möjlighet till personlig integritet.
I ännu högre grad påverkas effektivitet, patientsäkerheten och möjligheten att upprätthålla verksamheten vid större störningar.Särskilt bekymmersamt är det oklara ansvaret som även andra Vad blir då kontentan av allt detta?
Jag tror faktiskt inte huvudfrågan är huruvida sjukvården ska förstatligas utan hur den ska styras (även om jag i dagsläget har litet svårt att se exakt vilket värde den regionala politiska styrningen tillför).
Oavsett om det finns 2 eller 200 000 vårdgivare så måste det finnas en stark statlig styrning som då inte enbart omfattar den offentligt finansierade slutenvården som ett förstatligande skulle innebära.
Den nuvarande bristen på styrningen tjänar såvitt jag kan se enbart oseriösa leverantörer på och möjligen de offentliga företrädare som älskar att åka omkring på olika konferenser och framställa sig som visionära.
Situationen där myndigheter processar mot varandra vittnar väl om något om den rådande anarkin.
Om vi inte klarar av att styra digitaliseringen av vården idag så blir tanken på AI och IoT mardrömslik.
Mina förslag är därför att på äktsvenskt maner tillsätta flera rejäla utredningar men med skillnad från de tidigare inte bilägga facit från uppdragsgivaren.
Jag ser framför mig en handfull utredningar inom olika områden men som är starkt koordinerade så att resultaten går att använda.
Viktigt är att ta hänsyn till de mångskiftande intressen som hälso- och sjukvården ska tjäna, inklusive professionernas och forskningens behov på kort och lång sikt.
Inriktningen bör vara att på samma sätt som på 1940-talet bygga en långsiktigt fungerande infrastruktur i bred politisk enighet.
Några förslag (jag tar inte med komplicerade saker som prioriteringar i vården och patienters egentliga intressen): Puh!
Jag vill verkligen inte påstå att jag kommit med de definitiva sanningarna i dessa komplicerade frågor – det finns så många olika sätt att betrakta den svenska e-hälsan.
Säkert har jag missuppfattat eller vantolkat en massa saker.
Mitt enda försvar är att jag efter bästa förmåga försökt måla upp bild av e-hälsa.
Förhoppningsvis kan dessa långa inlägg stimulera andra att dela bild av samma frågor.
I maj när dataskyddsförordningen trädde i kraft inledde jag ett test: att genom att ställa frågor om hur mina personuppgifter hanterades i vården ville jag göra en temperaturmätning av den kontroll som vården generellt har över vårdinformationen.
För hälso- och sjukvård innebär (i princip) inte dataskyddsförordningen någon så stor skillnad eftersom både patientdatalagen och PuL redan gett patienten möjlighet att få tillgång till sin information och (i teorin) spärra åtkomsten till sin vårdinformation.
I verkligheten är det och har det sedan patientdatalagen varit svårt för att inte säga omöjligt att få veta hur patientuppgifter hanteras – det är i alla fall min uppfattning som jag ville pröva genom att begära upplysningar om mina egna vårduppgifter med stöd av dataskyddsförordningen.
Svaren på mina frågor var negativa (vilket jag kommer att återkomma till senare) men jag fick underlag rörande dagssituationen inom e-hälsoområdet.
Detta inlägg svävar ut in extremis och handlar om i vilket landskap som digitalisering av vårdinformationen sker.
Jag ska resonera om den bristande styrningen av e-hälsa samt pusta ut orosmoln om informationssäkerhet och det långsiktiga bevarandet av vårdinformationen.
I ett följande inlägg kommer jag att skriva mer om den bakomliggande juridiken.
Först till organisationen av den svenska sjukvården som förvånansvärt många som gör inlägg i e-hälsofrågor inte tycks bottna helt i. Tillåt mig att roa mig med en historisk utflykt.
Den svenska vården är i huvudsak offentligt finansierad via skattemedel.
Det regionala ansvarar för att erbjuda vård inom det egna upptagningsområdet enligt hälsosjukvårdslagen.
Men landstingen och regioner behöver inte själva vara utförare av all vård utan kan även vara privata.
Andelen privata vårdgivare har tillväxt mycket starkt under de senaste 20 åren men strukturen med självständiga landsting som sjukvårdshuvudmän har funnits sedan 1862 (med varierande uppdrag).
Redan här finns underlag för vanliga missuppfattningar om ansvar men också reella problem eftersom de flesta krav i föreskrifter m.m.
riktas mot vårdgivarna och inte sjukvårdshuvudmännen.
När det gäller säkerhet och integritet har dock vårdgivarna inte så stora möjligheter att påverka sin situation trots att de har ansvaret – de tvingas (formellt eller informellt) ofta av sjukvårdshuvudmän, SKL eller myndigheter att använda lösningar oavsett egna säkerhetskrav.
Landstingen är kommuner med en politisk ledning vilket gör att inriktningen för olika landsting och regioner kan variera.
För e-hälsan som av naturliga skäl blir allt mer nationell är detta en ansvarsfördelning som innebär stora problem, inte minst eftersom landstingspolitiker använt rollen för egna, i mitt tycke kortsiktiga, kampanjer.
En misstanke som gror är att e-hälsa används av politiker för att undkomma att diskutera den offentligt finansierade vårdens grundfråga: den nödvändiga prioriteringen.
Det är ett väl känt faktum att det inte finns någon bortre gräns för behovet av vård, det finns hela tiden nya sjukdomar och tillstånd som kan behandlas och definitionen av hälsa kan sättas så högt att inte minsta krämpa blir acceptabel.
Däremot är vårdens resurser begränsade – alltså måste prioriteringar ske.
Detta är den mest laddade av alla frågor för sjukvårdspolitiker eftersom prioriteringar ofelbart kommer att leda till att några patienter blir missnöjda.
Den som tillsattes i slutet av nittiotalet för att ge de lokala politikerna stöd i form av nationella prioriteringslistor släppte också snabbt den glödheta potatisen och lämnande ifrån sig litet allmänna rekommendationer om hur processen för prioriteringar skulle kunna ske .
Min teori är att politiker och högre tjänstemän i vården nu (omedvetet) använder e-hälsa som en dimridå för att undvika frågan om prioriteringar genom att hävda att e-hälsosatsningar skulle kunna leda till enorma effektivitetsvinster (som då underförstått skulle leda till att får den vård de vill ha).
I verkligheten sker en mycket negativ icke-styrd prioritering av sjukvårdsmedel genom bland annat kommersiella nätläkare där en ohelig allians mellan nätläkarnas ekonomiska intresse och människor med lättare krämpor prioriterar upp sig på bekostnad av andra med reella hälsoproblem.
En hårdvinklad beskrivning men ni förstår vad jag menar.
Detta sätter stark press på sjukvårdspolitiker som i vissa fall måste säga nej men hellre säger att e-hälsa kommer att lösa problemen.
Själv är jag positiv till de former av e-hälsa som leder till reella förbättringar men att tro att den ska kunna upphäva den omöjliga ekvationen mellan outtömliga behov och begränsade resurser är en vanföreställning som ansvarsfulla politiker borde göra upp med.
En annan viktig negativ faktor är SKL:s förändrade roll.
SKL driver sina medlemsorganisationers intressen i förhållande gentemot uppdragsgivaren staten, d.v.s.
att man vill att staten ska styra så litet som möjligt (även om det inte uttrycks preeeecis så) vilket ökar på fragmentiseringen ytterligare.
Den tidigare sammanhållande myndigheten Socialstyrelsen som var en beredande motpart för SKL blev sönderslagen för några år sedan.
Uppgifterna är nu fördelade på fyra myndigheter som tillsammans med Läkemedelsverket tycks ha ett tämligen lågintensivt samarbete.
SKL och sjukvårdshuvudmännen agerar som månghövdad maktfaktor utan eget ansvar i det tomrum som skapades när Socialstyrelsen nedmonterades.
Dessutom står e-hälsoområdet under ett starkt kommersiellt intresse, inte bara genom nätläkarna.
Den nära alliansen mellan känns inte helt betryggande för det kommande.
I den tidigare regeringen var två av hälso- och sjukvårdsministerns statssekreterare hämtade från it-leverantörer vilket Dagens samhälle skrev om förra året.
Förväntan på stora vinster inom vården och en kanske alltför nära relation är knappast positiva nyheter för patienter och skattebetalare.
Eftersom jag intresserat mig en hel del för den svenska sjukvårdens historia kan jag inte undgå att fundera över att maktbalansen mellan staten som är uppdragsgivaren och utförarna, d.v.s.
sjukvårdshuvudmännen (regioner och landsting) samt numera SKL, har förskjutits.
Att göra historiska jämförelser är alltid vanskligt men för mig går det inte att motstå frestelsen att försöka analysera varför e-hälsa och digitalisering relativt sett varit så litet framgångsrika samhällsprojekt i förhållande till de resurser som satsat.
Hade det gått att prata fram e-hälsa och digitalisering hade det svenska samhället genomgått ett Civilization-moment där den framgångsrike spelaren lyckas uppfinna elektricitet på 1100-talet.
Men tyvärr räcker det inte med miljontals power point bilder, konferensinlägg, möten, testbäddar och avgränsade dellösningar för att skapa infrastruktur.
I detta delar jag uppfattningen i om floden av åsikter.
Jag tror mig att se några orsaker till det haltande genomförandet av något som trots allt alla varit överens om ska genomföras.
Detta är en situation som i mycket liknar den som rådde från slutet av fyrtiotalet och i ett par decennier framåt då det skedde en så här i efterhand nästan ofattbar mobilisering och utbyggnad av den svenska hälso- och sjukvården.
När jag skrev en historik om den värmländska sjukvården häpnade jag över att landstinget under en tioårsperiod byggde inte mindre än fyra nya sjukhus!
Även om jag är starkt lockad ska jag inte gräva ner mig ytterligare i detta utan bara tacksamt konstatera att den samhälleliga kraftsamling är något som vi nu fortsätter att skörda frukterna av.
Hur kunde man lyckas med denna infrastrukturella revolution?
En första förutsättning var att det fanns en stark politisk enighet om att detta skulle genomföras även från de borgerliga partierna som annars kampanjade för skattesänkningar.
Men till skillnad mot e-hälsoutvecklingen (liksom digitaliseringen i övrigt) nöjde man sig inte med den politiska enigheten utan skapade även de institutionella förutsättningarna (för den som vill läsa mer om institutionella förutsättningar rekommenderar jag verkligen att läsa litet Lennart Lundqvist eller Bo Rothstein) för utbyggnad.
En viktig sådan var att skapa ett mycket genomarbetat kunskapsunderlag att ta ut riktningen ifrån.
I detta var utredningsväsendet mycket betydelsefullt, de utredningsinsatser som gjordes var av mycket hög kvalitet.
Häri ligger en väsentlig skillnad mot de utredningar och kommittéer som levererat förslag inom digitalisering och e-hälsa, jag nöjer mig med att instämma i de synpunkter som framförs i den här .
I utvecklingen fanns en mycket kraftfull och sammanhållande motor i Medicinalstyrelsen, sedermera Socialstyrelsen.
Det är idag nästan svårt att förstå hur inflytelserik myndigheten var och på vilken detaljnivå man styrde sjukvården.
Om vi bara ser till vårdbyggnader fanns det ett regelverk som ner till hur många luftkubik per vårdplats definierade hur sjukhusen skulle byggas.
Varje ritning på ny- eller ombyggnad måste skickas in för godkännande och stränga inspektörer åkte ut och kontrollerade att det som byggts höll måttet.
Landstingen var byggherrar och hade det praktiska ansvaret för byggande och vård men deras intressen samlade ingen front i Landstingsförbundet (en del av SKL:s föregångare tillsammans med Kommunförbundet) utan gick huvudsakligen via riksdagen.
Där fanns det som kallades ”landstingspartiet” eller ”landstingsbänken” där landstingsordförande som nästan undantagslöst även vara riksdagsmän kunde driva sina frågor – ofta i gott samförstånd oavsett partipolitisk tillhörighet.
Även detta var en viktig institutionell förutsättning eftersom det då fanns etablerade och lagfästa former för att lösa intressemotsättningar.
Idag är situationen radikalt annorlunda.
En viktig skillnad är förstås att det kommit in så många privata aktörer men också att när de gamla institutionerna revs ner ersattes de inte av nya som skulle varit verkningsfulla då man anammade new public management som grundfilosofi för den svenska vården.
Jag är för tillfället inne på att försöken att uppnå effektiv digitalisering och e-hälsa är bland de bästa exemplen på hur new public management på ett negativt sätt präglat svensk offentlig sektor.
Resultatet har bland annat blivit att Socialstyrelsen i accelererande takt fråntagits mandat och att sammanhållen utveckling ersatts med fragmentisering.
Intresseorganisationen SKL tycks inte heller längre gå via en beredning på myndighetsnivå utan direkt på regeringen och jag har t.o.m.
läst meningar som att ”regeringen bör SKL i uppdrag …”.
Den geografiska uppdelningen av ansvar var under perioden mindre problematisk än idag eftersom större delen av vårdens uppgifter kunde lösas inom varje landstings hank och stör.
När digitaliseringen tog fart i början av nittiotalet skapades överbryggande strukturer som exempelvis Sjunet och sedermera Carelink.
Nu finns både eHälsomyndigheten och Inera m.fl.
som utan tydlig gemensam strategi eller regelverk grejar i infrastrukturen.
Bortsett från det negativa i att sakna gemensam styrning ser jag det inte heller som problemfritt när digitalisering och e-hälsa blir frikopplade från den kärnverksamhet de ska utgöra stödfunktion för.
En annan aspekt som tycks ha glömts bort är vårdinformationens långsiktiga betydelse både för den enskilda patienten och för forskningen.
För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård.
Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades).
Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman.
Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän.
Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring.
Alla sjukvårdshuvudmän (alltså landsting/regioner) utom en om jag kommer ihåg rätt hade åtagit sig att bevara alla läkarförda journaler för all framtid.
Bakgrunden till detta var den enorma betydelse som den vårdinformation som arkiverats från sjuttonhundratalet och framåt haft för den svenska forskningen.
I PDL är kravet att en journal ska bevaras i minst tio är efter att sista anteckningen förts in i handlingen samt att journaler som allmänna handlingar ska hanteras som sådana.
Det är ungefär vad som stod i patientjournallagen också men nu är kontexten radikalt annorlunda och även innebörden av begreppen – vad är ens en ”handling” i dagens vårdinformation?
Bara den förändringen att betydligt mindre andel av vårdinformationen är allmänna handlingar och därmed kan gallras av den enskilda vårdgivaren är en stor risk.
Vissa sjukvårdshuvudmän har försökt reglera arkivfrågan i avtal med de privata vårdgivarna men detta är knappast tillräckligt.
Redan idag är det som presenteras på skärmen hos en vårdgivare en sammanställning av information ur en rad system och tjänster som kan finnas både inom och utom vårdgivarens organisation.
Detta är bara inledning av en utveckling där informationshanteringen kommer att bli organisatoriskt och tekniskt allt mer komplex.
För att bevara denna gigantiska informationsmassa för framtiden för att kunna serva patienter som envisas med att leva i bortåt ett sekel och för att kunna ge underlag för livsviktig forskning räcker det inte med att litet svävande beskriva ”e-arkiv”.
För mig är detta en mycket bekymmersam fråga och det förvånar mig att varken Riksarkivet eller de utredningar som genomförts gällande registerforskningen intresserat sig för detta.
Så här i slutet av litanian vill jag inte på något sätt hävda att vi kan använda gårdagens lösningar idag.
Däremot tror jag att det finns mycket att vinna på att ha ett historiskt perspektiv.
I detta fall vill jag lyfta fram behovet av kvalitativa kunskapsunderlag som är parlamentariskt förankrade, en långsiktig väl definierad inriktning, institutionella förutsättningar anpassade efter aktuell situation och en sammanhållande kraft med mandat att genomdriva beslutade lösningar.
Framför allt tror jag att vi måste erkänna att det finns intressemotsättningar och lyfta fram dem i ljuset för att kunna diskutera hur de ska lösas.
Ofta framhålls svårigheten med den geografiska uppdelningen, minst lika stor är den som handlar om de inte helt kompatibla intressena privata utförare och den offentliga finansieringen.
Hur dessa intressen ska balanseras mot varandra har hittills varit en icke-fråga i e-hälsosammanhang.
Det har vi inte råd att låta den fortsätta vara.
Om vi ska klara upprätthålla den väsentliga del i välfärdssamhället som den offentligt finansierade sjukvården utgör och dessutom införa dataskyddsförordning, NIS-direktiv, civil beredskap och allt annat så måste vi ändra bilden av e-hälsa.
Det handlar inte om att släppa ner litet slumpmässiga tekniska lösningar (gärna efter påtryckning av olika leverantörer) utan att se att det kräver samma mobilisering, organisation och koordinering som då sjukvården byggdes ut under efterkrigstiden.
Och glöm inte forskningen!
Det har nu gått en vecka sedan dataskyddsförordningen trädde i kraft.
Under den förlidna veckan kom även Förvaltningsrättens utslag som gav Datainspektionen rätt gällande eHälsomyndighetens tjänst .
För mig var domen mycket välkommen eftersom jag redan sedan start uppfattat Hälsa för mig som en tjänst med skakig ansvarsfördelning och bristande säkerhet trots att den är tänkt att hantera känsliga personuppgifter från hela den svenska befolkningen.
Förra veckan skulle alltså kunna ses som en bra vecka för den personliga integriteten men det återstår verkligen mycket att göra.
En separat frågeställning som behöver lyftas är vikten av att få god information om hur personuppgifter hanteras för att kunna skydda den egna integriteten.
Individens komplicerade situation blev tydlig när jag såg en del reaktioner, framför allt från tjänsteleverantörer, angående Förvaltningsrättens utslag om Hälsa för mig.
Om jag tolkar dessa reaktioner rätt så uppfattar de det som någon form av omyndigförklarande av individer att de (individerna alltså) inte själva får bedöma säkerheten och integriteten i Hälsa för mig (plus i de appar som vidareutnyttjar information) utan att klåfingriga myndigheter lägger sig i. Själv tycker jag att det är en, hm, okonventionell hållning till myndigheters och leverantörers ansvar för sina tjänster som t.o.m.
Parks & Recreation hade en bättre analys av (i säsong 7 avsnitt 5 men hela serien rekommenderas naturligtvis!).
Komplexiteten ligger i att både kunna få kunskap om hur de egna uppgifterna hanteras för att kunna välja vilka risker man vill ta som individ samtidigt som det måste ställas krav på de personuppgiftsansvariga att ha nödvändig säkerhet och dataskydd i sina lösningar.
Båda dessa aspekter förutsätter att det finns god och dokumenterad kontroll över informationsflöden och säkerhetsåtgärder som går att presentera.
Först då finns en situation där individen kan känna tillit till den personuppgiftsansvarige och välja att antingen nöja sig med det eller att fatta ett informerat val att till exempel undandra eller spärra sina uppgifter.
Samtidigt gjorde jag inspirerad av dataskyddsförordningen ett experiment att försöka få en presentation av hur mina personuppgifter hanteras i vården.
I patientdatalagen finns regler om hur utlämnande av patientuppgifter får ske till andra vårdgivare och hur individen kan förhindra att så sker.
Detta förutsätter att patienten får kännedom om hur åtkomst och potentiell åtkomst till uppgifterna om den egna vården ser ut vilket också får ses som ett grundläggande krav i dataskyddsförordningens tillämpning.
Utan att känna till hur uppgifterna hanteras kan jag inte invända mot hanteringen och eventuellt begära en spärr.
Hittills har mitt experiment att få reda på hur mina uppgifter går från vårdcentralen in i någon typ av sammanhållen journal som sedan finns tillgänglig via bland annat den nationella tjänsten NPÖ för andra vårdgivare gått sisådär vilket kommer att avrapporteras senare.
Men dessa två sammanfallande förlopp fick mig att fundera på den ständiga frågan som ställts till mig i min yrkesroll under våren angående dataskyddsförordningen: ”Vad vi göra?” – som för att hitta miniminivån.
Ett bra steg vore om myndigheter och andra i tillitsbranscher som vården istället formulerar frågan som: ”Vad vi göra för att uppnå en god integritet?”.
Omformuleringen skulle i bästa fall kunna leda till att organisationen internaliserar integritet som ett värde för den egna verksamheten istället för ett mer ögontjänande uppfyllande av externa krav.
Då skulle individens intresse av att skydda sin integritet och det av detta följande behovet av att få god information om personuppgifterna hanteras få en betydligt högre dignitet.
Mitt till leda upprepade mantra att det inte handlar om exempelvis patientsäkerhet integritet utan om patientsäkerhet integritet skulle i så fall falla ut som ett självklart mål.
Trots att jag intresserat mig för hur vårdinformation hanteras under många år har jag aldrig sett någon flödesbeskrivning som beskriver hur information, tjänster, infrastruktur och organisationer interagerar på ett mer heltäckande sätt.
Det är möjligt att det finns men inte ens i de statliga utredningar om e-hälsa m.m.
där jag funnits med i utkanten har jag sett den typen av beskrivningar.
Det samma gäller för övrigt för e-förvaltning och digitalisering.
Det är möjligt att det finns men då så i skymundan att inte ens den intresserade finner dem.
Övergripande process- och flödesbeskrivningar skulle naturligtvis inte bara var av stort värde för enskilde utan också för myndigheter och företag som administrerar olika tjänster i flödena.
Avsaknaden av gemensam kartbild kan vara en starkt bidragande orsak till den, trots idoga och stora satsningar, inte så lyckosamma digitaliseringen.
Men just nu är jag mest intresserad av den torftiga beskrivning av den i verkligheten mycket komplexa hanteringen av mina patientuppgifter som sker i lokala och nationella tjänster.
I mitt hemlandsting finns denna som visserligen är korrekt men knappast begriplig för den vanliga patienten.
I andra sammanhang betonas ofta vikten av att sätta patientens intresse i centrum och att det ska finnas en valfrihet.
Varför skulle inte samma inriktning tillämpas på integritetsfrågan?
Jag har därför några förslag som skulle kunna stärka patientens ställning.
Första förslaget: Ta fram en infograf över hur patientinformation flödar inom och mellan vårdgivare och olika leverantörer.
Med litet god vilja och innovation borde det på sikt vara möjligt att göra för den enskilde patienten men ett första steg är att visa det på en generell nivå.
Detta skulle också vara ett stort stöd i enskilda vårdgivares presentationer av hur patientens information kommer att hanteras.
Dessutom skulle mödan att beskriva den mycket intrikata informationsstruktur som byggts upp vara väl värd sett även för att få en större förståelse hos de som fortsättningsvis ska bygga vidare – kanske resulterar det t.o.m.
i en planerad utveckling.
Ett konkret förslag är att regeringen ger eHälsomyndigheten ett uppdrag att ta fram övergripande flödesbeskrivning med inriktning på personuppgifter.
Kanske bör den nya digitaliseringsmyndigheten få motsvarande uppdrag på e-förvaltningssidan.
Som den baksluga människa jag är ser jag hur starkt dessa beskrivningar skulle kunna bidra till informationssäkerheten, kontinuitets- och incidenthanteringen och till möjligheten för långsiktigt bevarande av information med autenticitet.
I flöden bör det även framgå var valmöjligheter finns för individen, d.v.s.
där man kan välja att avstå från att låta personuppgifter om en själv gå vidare.
Andra förslaget: Ett flertal av sjukvårdshuvudmännen har struntat i att efterleva PDL och inte lyckats införa möjligheten för patienten att spärra sin journal.
Kommunikationen från vårdgivarna om spärrar har också varit märklig där det ofta framstått som att man löper stora hälsomässiga risker om man vill begränsa åtkomsten till vårdinformationen.
Spärrarna är som idé en mycket klumpig form av åtkomstbegränsning som understödjer den typen av hotfulla undertexter eftersom det handlat om allt eller inget, d.v.s.
att man spärrar stora delar av vårdinformationen oavsett vilken typ av information det är.
Mitt förslag är därför att eHälsomyndigheten får i uppdrag att ta fram ett mer dynamiskt åtkomstskydd som skulle kunna leda till en större valfrihet för mig som patient.
Till exempel så skulle jag kunna få välja att endast ge tillgång till information om läkemedel och överkänslighet medan övrig information får efterfrågas vid behov.
Tredje förslaget: eftersom vården uppenbarligen inte klarar att ha en integritetsskyddande behörighetshantering (det räcker att se på de inspektioner som Datainspektionen genomför för att konstatera det) så är pseudonymisering ett alternativ för vården vilket jag skrev om redan (här vädras verkligen gamla käpphästar).
Pseudonymisering som del i ett privacy by design-arbete i vården skulle ha många fördelar för integritet och säkerhet men skulle kräva en stor sammanhållen insats och en sannolikt en förmåga till samordning som saknas idag.
Men ändå, även detta skulle kunna vara en gemensam uppgift för eHälsomyndigheten och digitaliseringsmyndigheten.
Eller kanske Vinnova skulle kunna ge stöd till några entreprenörer som vill ta fram en pseudonymiseringsapp kopplad till BankID som skulle låta oss faktiskt välja hur mycket vi vill att andra ska veta om oss?
Det finns med största säkerhet många invändningar mot mina förslag men om jag får åtminstone några att fundera över integritetsfrågor på ett mer kreativt sätt än vad som synes ske idag lovar jag att var nöjd.
Här kommer ett litet mellanspel i min långa rant om varför informationssäkerheten inte funkar.
Istället ska jag ägna ytterligare några rader åt e-hälsa.
I slutet av september inträffade ett nytt stort it-haveri i Stockholms läns landsting (SLL) där flera sjukhus drabbades på ett sådant sätt att patientsäkerheten uppgavs .
I SLL:s digitala lösningar har större incidenter skett vid ett antal tillfällen under de senaste åren och det var bara någon månad sedan en mycket allvarlig händelse skedde i . Som samhällsmedlem och patient in spe med viss insikt om hur det ser ut på e-hälsoområdet är jag djupt oroad.
Trots att de många och allvarliga incidenterna som utgör en stor risk för patientsäkerheten och för patienternas integritet tycks insikten om de stora problemen med säkerhet inte engagera vårdens makthavare nämnvärt.
Pliktskyldigt sägs några fraser om säkerhet, sedan störtar samtalet vidare med muntra trumpetstötar om att Sverige ska bli bäst i världen på e-hälsa vilket inte förefaller innebära att vi ska bli bäst i världen på en e-hälsa.
Digitalisering beskrivs i närmast messianska former och diskussionsklimatet är av en sådan karaktär att det problematiserande som är nödvändigt för alla framgångsrika utvecklingsprojekt avvisas kategoriskt och sägs till och med vara ”förbjudet”.
Jag ser detta i sig som djupt problematiskt eftersom digitaliseringen, liksom alla andra större samhällsförändringar, innebär reella intressekonflikter som måste hanteras på ett rationellt sätt.
Detta gäller även inom informationssäkerhetsområdet specifikt där till exempel tillgänglighet och skydd mot obehörig åtkomst alltid måste balanseras mot varandra.
Historiskt har ,enligt min uppfattning, flertalet e-hälsolösningar hastats fram utan gemensam strategi i meningen långsiktig målbild och långsiktig planering där behov och beroenden är analyserade och utvärderade i en öppen diskussion.
Alltför ofta har mycket kostsamma och administrativt krävande lösningar (tänk exempelvis NPÖ) dykt upp utan att behov, säkerhet och kvalitet har klarlagts.
Efter att ett stort antal miljoner flödat in i de ofärdiga projekten har de försvunnit till en kyrkogård av misslyckade visioner.
När jag läste följande tweet kändes den därför som ett mycket tråkigt exempel på att vårdens makthavare tycks oförmögna att lära sig av tidigare misstag: Av en händelse ser jag att Daniel Forslund, liberalt landstingsråd för (L) i Stockholms läns landsting med ansvar för innovation, eHälsa, IT-utveckling och patientnära tjänster, på en PR-site för ett it-bolag gör ett intressant uttalande .
Sammanhanget för uttalandet kan i sig tyckas symptomatiskt med tanke på den ofta litet väl nära relation som funnits mellan sjukvårdspolitiker, landstingstjänstemän och it-leverantörerna men den frågan lämnar jag för tillfället.
Det som är intressant är följande avsnitt apropå de tre stora sjukvårdshuvudmännens satsning på en ny it-plattform: För den medborgare och/eller patient som inte haft insyn vare sig i den rådande ideologin inom sjukvården eller i den praktiska verkligheten måste detta uttalande vara ganska häpnadsväckande.
Är det inte en självklarhet att integritet och patientsäkerhet måste kunna upprätthållas samtidigt?
Tyvärr är svaret att under de senaste decennierna har integriteten i sjukvården steg för steg nedmonterats både som värdering och i utformningen av den informationshantering som ska stödja vårdprocesserna.
Detta är inte enbart min personliga uppfattning utan finns även som en av de slutsatser som Integritetskommittén dragit i sin kartläggning ”Hur står det till med integriteten” http://www.regeringen.se/pressmeddelanden/2016/06/kartlaggning-identifierar-allvarliga-risker-for-den-personliga-integriteten/.
Tyvärr har inte de utredningar som skett inom e-hälsoområdet heller sett detta som en prioriterad fråga.
Förhållningssättet till integritet som funnits med i digitaliseringsprocessen av vården ända sedan dess inledande faser är att det har målats upp en motsatsställning mellan patientsäkerhet och integritet.
Det har också funnits ett mycket svagt intresse hos sjukvårdshuvudmän, vårdgivare och it-leverantörer att göra den insats som krävs för att få en styrning av informationshanteringen och systemen/tjänsterna så att båda dessa värden kan uppnås samtidigt.
Min tolkning är att man istället anpassat etik och lagstiftning efter tekniska brister.
Integritetsfrågorna har också lyfts bort från de myndigheter som normalt arbetar med att reglera och tillsyna informationshanteringen i vården, t.ex.
IVO och tidigare Socialstyrelsen.
Tidigare skedde en gemensam intresseavvägning mellan patientssäkerhet och integritet inom samma myndighet som dessutom hade vården i sin helhet som uppdrag.
Nu förväntas Datainspektionen med sina begränsade resurser och mandat försöka styra hanteringen av personuppgifter i rätt riktning inom vården.
Intresseavvägningen mellan patientssäkerhet och integritet har därmed flyttats till den enskilde vårdgivaren som ska uttolka de olika myndigheternas icke samordnade reglering i en informationshantering som däremot blir alltmer gemensam.
Dessutom har tillsynen av de regler för skydd av integritet som faktiskt finns varit otillräcklig.
Det är inte enbart tekniken som varit orsak till att integritetens allt lägre prioritet.
Både organisationsförändringar och förändrade vårdformer har starkt påverkat synen på avgränsning och ansvar för informationen.
För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård.
Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades).
Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman.
Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän.
Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring.
Vid sidan om offentlighetslagstiftningen fanns patientjournallagen som gav vårdgivarna ansvar att både säkerställa patientsäkerhet och integritet.
Socialstyrelsen hade tillsyn enligt patientjournallagen även i de delar som gällde att värna patientens integritet.
Det fanns också en yrkesgrupp som var utbildad för att professionellt hantera vårdinformation – läkarsekreterarna.
Vi som under stark motvind försökt driva integritetsfrågan i sjukvården har bemötts med i princip alla de logiska fallacier som finns i den här både lärorika och underhållande uppräkningen .
Särskilt populära har i min anekdotiska erfarenhet varit: Det kanske vanligaste har ändå varit härskartekniker som tystnad och osynliggörande vilket kanske varit det tråkigaste eftersom det lett till att en mer seriös diskussion inte förts och viktiga intresseavvägningar inte gjorts.
Själv hoppas jag på en mer rationell diskussion som klarar att beakta flera intressen samtidigt.
Integritet har trots detta blivit en allt viktigare fråga i e-samhället och det är naturligtvis positivt att makthavare inom sjukvården också uppfattar det.
Det är bara att hoppas på att det finns en seriös vilja att verkligen åstadkomma detta i 3R-projektet även om det är svårt att tolka in det i det dokument som det hänvisas till http://www.sll.se/Global/Politik/Politiska-organ/Landstingsfullmaktige/2016/2016-06-14-15/forslag-41sid19.pdf.
I beslutet om upphandlingsunderlag står det: Inte så mycket om integritet alltså.
Frågan i rubriken får vara obesvarad ett tag till.

Stärkt samordning av de frågor som påverkar vården i regeringskansliet och en stärkt roll för Socialstyrelsen som sammanhållande kraft i vården och beställare av it-lösningar hos e-Hälsomyndigheten, SKL m.fl.
Hur en gemensam infrastruktur ska kunna byggas upp i konkreta termer och ansvarsförhållandena för detta En ny patientdatalag som lever upp till dagens många olika behov och som inte genar när det blir svårt.
En arkivlag som kan tillgodse kravet på att bevara den gemensamma informationsinfrastruktur som uppstår inom bland annat e-hälsa.
I en ny arkivlag bör finnas utrymme för att fatta beslut om bevaranderegler även för andra än statliga myndigheter, t.ex.
ett krav på att viss vårdinformation ska bevaras för all framtid oavsett vårdgivare.
SKL:s roll med övervägande om liknande krav på öppenhet som gäller de ingående sjukvårdshuvudmännen.
Frågan bör ställas om SKL över huvud taget har de institutionella förutsättningarna att leverera gemensamma e-tjänster eller om detta istället bör ske av myndigheter Utred möjligheten att införa en lösning liknande den norska Normenden svenska vården.
Detta drev jag med klent gehör när jag jobbade på MSB men det är aldrig fel att vädra gamla käpphästar.
MSB måste våga överge sin beröringsskräck för verkligheten och kunna ge faktiskt stöd till bland annat vården.
Hur e-hälsan systematiskt ska utvärderas och vem som ska utföra det.
Strawman: om du är för integritet och ser att den frågan inte hanterats i digitaliseringsprojekt så är du emot digitalisering i sig och vill gå tillbaka till pappersjournaler och hur bra var det med alla som sprang i journalarkiven?
Black or white: om du är för integritet så är du emot patientsäkerhet eftersom det framställs som omöjligt att vara för både och.
Anecdotal: Eftersom det inte finns någon egentlig sammanställning och utvärdering av vilka brister i informationshanteringen som lett till vårdskador så har ofta begränsningar i informationstillgången framställts som orsaken medan det kanske snarare handlat om bristande riktighet eller spårbarhet – detta bevisat genom egna anekdotiska bevis (vilket även kan ses som false cause, det vill säga att man skapar en korrelation som inte kan underbyggas).
Bandwagon: I och med att det funnits en gemensam acceptans för bristande integritet bland sjukvårdspolitiker och andra makthavare i vården så har det varit lätt att implicit och explicit driva en linje innebärande ”att alla gör så och varför skulle vi då ha krav på oss att göra annorlunda?”.
Appeal to authority: Mycket kraftfullt har varit att framställa läkare, annan vårdpersonal och vissa starka patientföreningar som innehavare av sanningen som inte går att motsäga.
Att de representerar särintressen har inte alltid framkommit.
Begging the question: Ett vanligt exempel som jag fått höra sedan början av nittiotalet är: ”tänk när någon kommer in medvetslös på akuten och vi kan rädda hen om vi bara får tillgång till all information – hur kan du vara emot det?” I detta exempel ligger ju antal inbäddade förutsättningar som att detta är den vårdsituation som vi bör ha som mall för alla andra (vilket även är ett exempel på composition/division) och att den som förespråkat integritet därmed sagt att det aldrig finns undantag eller speciella rutiner.

16 § på vilket sätt läsa alla all en sina sjukvårdsvårdshuvudmännen vårdgivare alla måste bör eller och säker

Meny Sjukvård Inläggsnavigering

MENU MENU Postat av Postad i , , , , , , , , Tagged , , , , , , , , , , Postat av Postad i , , , , , , , , Tagged , , , , , , , Postat av Postad i , , , Tagged , , , postat av → Postad i , , , Tagged , , , , , Postat av Postad i , , , , , Tagged , , , , → Sök efter:

Satsningen på en ny plattform som nu ska göras innebär att man nu kan öka både patientsäkerheten och integritetsskyddet på ett sätt som varit svårt tidigare.
– Förut har man varit tvungen att kompromissa mellan dem.
Man har låst in data i respektive system vilket gett ett bra integritetsskydd men en sämre patientsäkerhet, men för första gången kan man nu höja nivån på båda samtidigt.
Dagens tekniska system gör det möjligt att ha gemensamma databaser och ändå sätta behörigheter på informationen.
Om du är kvinna och bryter ett ben behöver ortopeden inte ha tillgång till dina gynrapporter till exempel.
Vi kan också kravställa spårbarhet, vem som läst din information, på ett annat sätt, samtidigt som vi kan öka patientsäkerheten, säger Daniel Forslund.
Kärnsystemet ska stödja följande skapa incitament för verksamhetsutveckling, inklusive arbete med standardisering kopplat till begrepp som process, teknik, patientsäkerhet och kvalitet etablera förutsättningar för arbetet med en gemensam informationsstruktur omfattande informationsmodeller och termer/begrepp system ge invånaren en ökad tillgänglighet till och enklare kommunikation med vården Stockholms läns landsting ge invånaren möjlighet till att ta aktiv del i och ansvar för sin hälsa och sjukvård ge vårdverksamheten tillgång till en användarvänlig informationsmiljö i realtid med besluts- och processtöd ge kvalitetssäkrad information för att kunna utveckla vårdens processer och dess arbetssätt ge verktyg för forskning, utveckling och utbildning ge ett lättillgängligt verktyg för myndigheter och vårdgivare så att arbetet med kvalitets- och ledningssystem underlättas.

Ingen kan idag förneka vikten av att förbättra informationssäkerheten i de samhällsviktiga verksamheterna.
Ett antal utredningar har under de senaste tre åren utmynnat i olika förslag på hur detta ska ske.
Tyvärr har fokus legat allt för mycket på reaktiva åtgärder som incidentrapportering och allt för litet på det förebyggande arbetet, detta trots att det ofta påpekats att de stora säkerhetsvinsterna kan göras genom olika typer av incidenter och säkerhetsproblem motverkas innan de uppstår.
För mig framstår den i särklass viktigaste förebyggande åtgärden att tillräcklig kompetens finns för att hantera informationssäkerhetsrelaterade frågor på olika nivåer.
För att uppnå detta krävs både episteme, fronesis och techne.
Det vill säga det måste finnas en vetenskaplig grund för att de åtgärder som vidtas är effektiva i förhållande till de problem de avses att lösa, att det måste finnas en praktisk kunskap hur fungerandeska bedrivas och det måste finnas en djupare förståelse att nya situationer kan hanteras.
Jag skulle vilja hävda att detta idag i allt för hög grad saknas.
Konkret kommer ett stort antal organisationers ledningar behöver ett kompetent stöd för att styra sittså att det motsvarar de risker som verksamheten är utsatt för och för att kunna tillvarata alla nya möjligheter som den pågående digitaliseringen innebär.
Jag pratar alltså inte om it-säkerhet som är inriktad på tekniska åtgärder utan informationssäkerhet som handlar om verksamhetsstyrning och information.
Utöver befintliga krav kommer även nya från bland annat dataskyddsförordningen, NIS, civilt försvar och en ny säkerhetsskyddslag.
Det gäller c.a.
350 myndigheter, 290 kommuner, ett tjugotal landsting/regioner och ett okänt antal privata aktörer som medverkar till att upprätthålla samhällsviktiga verksamhet.
En av de vanligaste frågorna jag får när jag besöker kommuner, regioner och myndigheter är vilka utbildningsmöjligheter som finns.
Hos de som får allt tyngre ansvar för det faktiskat finns såvitt jag kan bedöma en allt större medvetenhet om kompetensbehovet.
Till viss del fanns denna insikt även i den strategi för samhällets som MSB tog fram tillsammans med andra myndigheter.
Tyvärr har inte insikten utmynnat i några konkreta satsningar för att stödja utvecklandet av professionsinriktade utbildningar.
Även om behovet av kompetens är känt anvisas få vägar för kompetensförsörjningen.
Vare sig i den nationella säkerhetsstrategin eller i digitaliseringsstrategin, båda presenterade av regeringen 2017, nämns något om kompetensförsörjning inom informationssäkerhetsområdet.
Utredningar som SOU 2015:23 , SOU 2017:36 SOU 2017:114 liksom lagrådsremissen om ny säkerhetsskyddslag är lika renons på förslag annat än de som gäller utpekade tillsynsmyndigheter.
Den nationella strategin för informations- och cyberssäkerhet (Skr.
2016/17:213) skulle kunna inge ett visst hopp eftersom den faktiskt innehåller ett avsnitt som heter Öka kunskapen och främja kompetensutvecklingen.
Hoppet om att finna ett mål att tillgodose behovet av professionell kompetens generellt avtar dock snabbt då det visar sig att det som avses är att informera organisationer om sårbarheter och behovet av säkerhetsåtgärder samt att höja den enskilda användarens kunskap.
Samtliga strategier och utredningar tycks dock förutsätta att den kompetens som behövs kommer att finnas utan vidare styrning.
Jag delar inte denna tilltro till den osynliga handen.
Istället ser jag att vi står inför ett mycket stort och komplicerat kompetensförsörjningsbehov.
Bara det ett nyrekryteringsbehov av något hundratal informationssäkerhetsspecialister årligen till kommuner och landsting/regioner som kanske har samhällets mest komplexa informationssäkerhetsbehov måste uppmärksammas.
Många av oss som idag är verksamma inom informationssäkerhetsområdet saknar formell utbildning för våra jobb eftersom utbildningar helt enkelt inte funnits i någon högre grad (jag jämställer inte olika certifieringar med högskoleutbildning även om de säkert är bra på sitt sätt).
Därav ett stort fortbildningsbehov.
De kurser på högskolenivå som erbjuds idag via en sökning på antagning.se för hösten 2018 är antingen korta kurser eller har en renodlad teknisk inriktning.
Undantagen är masterutbildningar i Örebro som har ett handfull platser samt i Luleå där ett organisatoriskt perspektiv tillförs en huvudsak it-inriktad utbildning.
Detta räcker naturligtvis inte långt.
Mitt förslag är därför att en utredning tillsätts som tillåts koncentrera sig på hur behovet av kunskap och kompetens inom informationssäkerhetsområdet ska tillgodoses under de närmaste åren.
Utgångspunkten är att staten måste ta ett betydligt större ansvar för kunskapsförsörjning på en vetenskaplig nivå och för att kunskapen omsätts till kompetenshöjande åtgärder för prioriterade målgrupper i samhället.
Målen bör vara att det gemensamma utbildningsplaner för en treårig högskoleutbildning som informationssäkerhetsspecialist med inriktning på organisation och information, att det utbildas 50 informationssäkerhetsspecialister per år samt att varje kommun har tillgång till minimum en halvtids informationssäkerhetsspecialist.
Inom detta fält kan även utbildningar av typen ”informationssäkerhetsspecialist kommunal verksamhet” och ”informationssäkerhetsspecialist hälso- och sjukvård” kunna finnas.
Även fortbildningar för redan yrkesverksamma bör ingå i ett kunskapslyft för informationssäkerhetsområdet.
Utan denna typ av insats har jag mycket svårt att se hur alla andra mål för att höja samhällets informationssäkerhet ska kunna realiseras.
Oavsett vilken roll jag haft inom informationssäkerhetsområdet, informationssäkerhetschef, konsult eller byråkrat på nationell nivå, har ett behov varit lika uppenbart: behovet av ökad samordning och styrning.
Slutsatsen att det inte är möjligt för en enskild organisation att utveckla ett helt eget koncept för informationssäkerhet behöver knappast motiveras, särskilt när utvecklingen gått mot allt mer gränslösa integrationer av informationshanteringen.
En självklar grundsten för många av oss som arbetat länge med informationssäkerhet har varit ISO 27000 och dess föregångare och det har därför varit naturligt att peka på den som en naturlig utgångspunkt i den nationella styrningen.
Däremot har jag alltid uppfattat det som en mycket stor nackdel att standarden liksom trots att syftet är så stor spridning som möjligt är omgivna av avsevärda ekonomiska hinder.
För en stor statlig myndighet kan några tusenlappar tyckas vara småpengar men för en liten kommun eller mindre företag är det summor som inte är lika enkla att motivera.
Att rekommendera organisationer att införa ledningssystem för informationssäkerhet enligt standarden har därför innehållit en inneboende svårighet som kanske ändå går att överse med.
Jag har däremot varit betydligt mer tveksam till den direkta hänvisning som funnits till standarden i MSB:s föreskrift sedan .
Här sägs att myndigheter ska följa en föreskrift som inte är fritt tillgänglig vare sig för myndigheten eller för exempelvis medborgare som vill kunna ha insyn i myndighetens arbete.
Att inte kunna sprida innehållet i en av grundförutsättningarna för myndighetens arbete försvårar naturligtvis kommunikationen.
Ytterligare ett problem är att en myndighet med föreskriftsrätt föreskriver andra myndigheter att följa regler som man själv inte har kontroll över och dessutom snabbt kan göra föreskriften obsolet när de ändras.
Tyvärr följde detta krav med när föreskriften uppdaterades i form av krav på ISO/IEC 27001:2014 och ISO/IEC 27002:2014 ska ”beaktas”.
I dagarna har jag fått tips om ett beslut i Högsta domstolen (tack Carl-Arne!)
som ger mig stöd i min .
Här skrivs explicit: En grundläggande del av legalitetsprincipen får därför anses vara att författningar ska finnas tillgängliga för var och en i läsbar form utan något krav på betalning, och att detta gäller också för en standard som det hänvisas till i en författning.
Att myndigheten kostnadsfritt kan informera om vad som står i standarden anses inte upphäva denna bedömning.
Med Högsta domstolens beslut, om det befinns tillämpligt även i detta sammanhang, finns nu en möjlighet att utveckla den nationella styrningen så att den blir mer transparent och tillgänglig för alla.
Efter att ha spekulerat om varfört inte funkar har jag nu tänkt skriva några inlägg om vad som bör göras för att det ska fungera bättre.
Detta sammanfaller med att regeringen överlämnar en skrivelse till riksdagen angående Riksrevisionens om informationssäkerheten vid nio myndigheter.
Riksrevisionen bedömer att ” Regeringen instämmer i denna bedömning, som ju knappast kan komma som någon överraskning efter Riksrevisionens tidigare rapporter m.m., men avser bland annat att .
Det känns därför ganska självklart att detta första inlägg om konstruktiva åtgärder får handla om förutsättningar för en sådan strategi.
Att ta fram en strategi är inte något särskilt rafflande grepp, 2009 togs en sådan fram liksom en efterföljande handlingsplan några år senare.
Varken i regeringens skrivelse eller i Riksrevisionens rapport görs någon egentlig analys av varför de tidigare strategiska samordningsförsöken trots avsevärda resurser och mandat misslyckats.
En grundläggande utgångspunkt för mig har varit att det inte är särskilt meningsfullt att göra mer av samma sak om man märker att något inte fungerar.
Istället är det viktigt att ta ett steg tillbaka och analysera och göra nya problemformuleringar.
Detta tror jag i hög grad gäller om man ska ta ut strategiska riktpunkter.
En ny strategi bör därför föregås av ett mer omfattande förarbete och inte bestå av inskickade, icke samordnade önskelistor från myndigheter som har ansvar för olika säkerhetsområden.
I fallet med informationssäkerhet har jag försökt påvisa den stora oklarhet som råder om vad informationssäkerhet egentligen är och hur det försvårar för den enskilda organisationen, för de yrkesutövande och för samordning på nationell nivå.
Detta blir än tydligare om man läser regeringens något desorienterade skrivelse där det är svårt att greppa vad det egentligen är som ska samordnas.
Om vi tittar på den nationella spelplanen och bortser från de oklarheter som råder om informationssäkerhet är i första hand organisatorisk eller teknisk fråga så går det att urskilja en rad olika syften som staten länkar till ”informationssäkerhet” vad det nu än är.
För att övergripande beskriva de huvudsakliga syften som sällan definieras i förhållande till varandra kan jag räkna upp: Till detta kommer exempelvis de starka kraven från bland annat dataskyddsförordningen som i praktiken innebär högre nivå på spårbarhet, riktighet och konfidentialitet.
Dessa olika syften ska utan närmare inriktning från staten tillgodoses i de enskilda organisationerna.
Jag tror att det är här vi måste stanna till och inse att det inte är informationssäkerhet som det ställs krav på i de olika sammanhangen.
En enskild organisation har i de flesta fall i normalläget inget internt behov av den informationssäkerhet som staten ställer krav på exempelvis rörande det civila försvaret i höjd beredskap.
Att införa säkerhetsskyddsåtgärder är inte heller något som befrämjar andra säkerhetskrav som kan finnas i en löpande verksamhet som exempelvis hög tillgänglighet.
Statliga certifieringskrav på tekniska komponenter i e-förvaltning är knappast heller något som gynnar regeringens inriktning på att Sverige ska bli bäst i världen på att ta till vara digitaliseringens .
Jag behöver kanske inte fortsätta med exempel för att slå in min poäng – det finns tydliga intressekonflikter mellan olika typer av informationssäkerhet som staten ställer krav på.
Det finns också aktiviteter som starkt påverkar säkerhetsarbetet där det egentligen inte finns någon intressekonflikt men som ändå inte är samordnade.
Ett påtagligt exempel är att rapporteringskravet för it-incidenter till MSB inte är samordnat med i det tunga krav på incidentrapportering som följer av dataskyddsförordningen.
Ett förarbete till en strategi måste, menar jag, måla upp hela informationssäkerhetslandskapet för att kunna ta ut riktningen framåt.
Ironin i att NISU och utredningen om ny säkerhetsskyddslag lägger fram sina resultat samtidigt som två helt parallella spår som aldrig mötts kommer att upprepas i nya former om inte den nödvändiga överblicken skapas.
Överblicken över syften, förutsättningar och aktörer ger också en grundval för den styrmodell som rimligen måste finnas med som ett strategiskt verktyg för att nå målen.
En gemensam styrmodell innebär inte att samma styrmedel används överallt.
Jag föreställer mig att regelstyrning är nödvändig ur det civila försvarets perspektiv medan incitaments- och kunskapsstyrning blir centrala för regeringens digitaliseringssatsningar.
Men eftersom det är Söpple kommun som kommer att bli utsatt för de olika styrmedlen måste de integreras i en gemensam modell som också hanterar organisatoriska och ekonomiska förutsättningar.
Förutsägbarhet gällande krav och ekonomiska förutsättningar är nödvändigt då allt större del av den tidigare offentliga utförda verksamheten ombesörjs av privata aktörer.
Även detta förhållande måste avspeglas i den strategiska inriktningen.
Jag tror att en strategi måste vila på noggranna överväganden av hur staten ska organisera sin styrning och sitt stöd.
När civilt försvar alltmer blir MSB:s huvudfråga och myndighetens uppgift är mer att jämföra med den som Överstyrelsen för civil beredskap (ÖCB) hade fram till 2002 är det sannolikt mer lämpligt att detsom bedrivs i normalläget integreras med statens digitaliseringssatsning.
Analysen av vad som kan tänkas fungera bäst måste vara förutsättningslös och inte utgå från olika organisatoriska särintressen.
För mig är det en viktig princip attt måste styras av behov, inte av utbud.
Det gäller i den enskilda organisationen, och det bör gälla även på det nationella planet.
När en strategi ska tas fram bör det därför ske tillsammans med de som äger verksamheterna vars information skyddas, inte enbart av de aktörer som levererar säkerhetslösningar.
Min förhoppning är att strategin inte stressas fram på departementet av någon ensam handläggare utan att det sker i ett brett samarbete med kommuner, landsting, företag och myndigheter samt viktiga kravställare som Datainspektionen, E-hälsomyndigheten och eSam.

Försvarsmaktens insatser Det civila säkerhetsskyddet av rikets säkerhet samt mot terrorism Det civila försvaret Samhällets krisberedskap Stöd till myndigheter, kommuner, företag m.m.
för deras egen verksamhet och i samverkan för e-förvaltning, e-hälsa m.m.

Meny MSB Inläggsnavigering

MENU MENU Postat av Postad i , , , , , , , Tagged , , , , , , , Postat av Postad i , , , Tagged , , , Postat av Postad i , , , , , , , , Tagged , , , , , → Sök efter:

Informations- och cybersäkerhet i Sverige Informationssäkerhet för samhällsviktiga och digitala tjänster, reboot – omstart för den digitala förvaltningen de granskade myndigheterna ligger på en nivå som är märkbart under vad som är tillräckligt ”.
”därför ta fram en nationell strategi för samhällets informations- och cybersäkerhet.” samma

Efter mitt förra inlägg om e-hälsa har jag fått en del kommentarer som visar att sjukvårdens organisation och i ännu högre grad e-hälsoområdets styrning är en okänd värld för många.
Som en projektledare en gång sa till mig som en förebärare för Trump: ”Hur svårt kan det vara med sjukvård (och e-hälsa)?”.
Ganska svårt skulle jag vilja säga vilket även Trump .
Därför kommer här en inledning för att ytterligare förtydliga hur jag uppfattar organisationen idag (finns utrymme för osäkerhet i detta) samt ge ett praktiskt exempel på vad det leder till.
För att bara titta på den bristande styrningen har jag uppdaterat en gammal bild till hur jag tror det ser ut i dag (jag har inte tagit med finlir som kvalitetsregister och trygghetslarm m.m., m.m.).
Bilden är ett försök beskriva samspelet.
Som framgår är ett flertal myndigheter involverade i olika delar, det finns utförare och leverantörer.
Två saker är slående.
Den första är att det inte finns en överordnad myndighet med mandat att hålla ihop helheten och som kan vara kontaktpunkt för övriga aktörer.
Med tanke på hälso- och sjukvårdens betydelse för samhället i olika dimensioner, de mycket stora offentliga resurser som går till sjukvården och det stora antalet aktörer som deltar i det gemensamma vårdarbetet måste detta ses som ett icke-rationellt sätt att organisera det hela om man vill ha effektivitet, kvalitet och strategisk inriktning.
Det andra är SKL och sjukvårdshuvudmännens organisation som jag menar inte håller måttet för de uppgifter som man åtagit sig.
Sjukvårdshuvudmännen har en roll som offentliga organ som är reglerad i lagstiftningen.
Detsamma gäller för vårdgivare oavsett om de är privata eller offentliga.
Men i denna ordning har alltmer SKL glidit in, en intresseorganisation som inte är en myndighet, inte har en lagfäst roll och inte omfattas av offentlighetslagstiftningen.
Riksrevisionen har pekat på detta i en gällande den generella styrningen på vårdområdet.
Inom e-hälsoområdet är problemen med detta mycket tydligt.
En inte oviktig fråga i detta är att det öppenhetskrav som gäller för myndigheter som landsting, regioner och kommuner försvinner då de samarbetar i sin intresseorganisation.
Nu när aktiviteter som tidigare skedde i respektive huvudmans verksamhet flyttas in i SKL:s hägn (inklusive Inera) försvinner också insynen.
Detta kan jämföras med kommunalförbund där insynsmöjligheten fortfarande finns kvar.
Denna fråga verkar inte engagera SKL i någon högre grad, jag söker på hemsidan för att finna om man frivilligt erbjuder en likande insyn i beslutsunderlag och annat som skulle räknas som allmänna handlingar hos SKL:s medlemmar men ser inga sådana informationsinsatser.
Jag skickade även ett mail till SKL:s infoadress den 24 juli: Hej!
Jag vet att SKL inte är en myndighet och därmed inte omfattas av offentlighetslagstiftningen.
Däremot är SKL:s medlemmar det liksom medlemmarnas uppdragsgivare.
Min fråga är hur eftersträvar SKL att ändå kunna erbjuda motsvarande transparens som medlemmarna förutsätts ha?
Detta borde vara allt viktigare i och med att SKL har tagit på sig allt fler uppgifter av operativ karaktär och frågor som starkt påverkar medlemmarnas prioriteringar och finansiering.
Eller är SKL:s linje att allmänheten får tillräcklig insyn via det material som publiceras på den egna webbplatsen?
Detta mail är fortfarande obesvarat efter ett par veckor, kanske beroende på semestertider, vilket i sig är en intressant illustration av att SKL inte omfattas av kraven på myndigheter att snabbt besvara inkommande frågor.
I frågan om e-hälsa är det dock de bristande organisatoriska förutsättningarna som är mest värda att ifrågasätta.
SKL är i sig inte en organisation som är skapad för att bedriva operativ verksamhet utan för att driva förhandlingar i huvudmännens intresse mot arbetstagare och delvis även mot regeringen.
Nu har man omvandlat sig till något som varken är företag eller myndighet men har en horisontell integration där huvudmännen både är leverantörer och kunder, en typ av organisation som redan Vänerskogs jättelika konkurs 1981 visade problemen med.
Denna oreda av aktörer i en infrastruktur av mycket känslig information är detta, ja jag vågar klämma i med, katastrofalt.
Ett mycket stort antal stort antal aktörer är inne och rycker i den gemensamma informationsinfrastrukturen utan att det finns en konkret inriktning utom den som delas av regeringen och SKL.
Jag noterar att webbplatsen inte uppdaterats sedan oktober 2017 men att det kommit en som mest verkar vara ett underlag för förhandlingar samt ett antal fluffiga mål.
Det är långt till verkstaden om man säger så.
Vad leder detta till i praktiken?
Ett bra exempel är hur den ganska naturliga frågeställningen om att ge patienten tillgång till mer information om sin hälsa, behandlingar m.m har hanterats.
För att klargöra utgångsläget så har patienter haft rätt att ta del av sin journal sedan länge, se patientjournallagen (SFS 1985: 562).
En journalhandling inom enskild hälso- och sjukvård skall på begäran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller kopia, om inte annat följer av 2 kap.
8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.
E-hälsofrågan i det hela handlar mer om patienten kan del av journalen.
Personligen tycker jag att hela frågan är felformulerad – istället borde den ha varit: ”hur informerar vi patienten på bästa sätt?”.
Då hade vårdens arbetsverktyg knappast varit den bästa lösningen utan man skulle jobbat på att ge patienten information i den form och på det sätt som gör det enkelt att ta till sig.
Bortsett från detta så påbörjades under början av 2000-talet i landstingsvärlden projekt med målsättning att tillgängliggöra journalen via nätet.
Observera att detta endast handlar envägskommunikation – att patienten får möjlighet att journalen.
Trots att dessa initiativ pågick bland huvudmännen bestämde Göran Hägglund som socialminister att ett nationellt initiativ skulle inledas för att patientjournaler skulle göras tillgängliga i en tjänst där de kunde användas av tredjeparter efter patientens initiativ.
Jag ser det här som ett utslag av att både e-hälsa och e-förvaltning starkt präglades av att under åren runt decennieskiftet ses som en näringsfråga, d.v.s.
de personuppgifter som myndigheter samlar in ska ses som råvara för privata tjänsteleverantörer.
Do´nt get me started – utrymmer räcker inte till för dra upp alla negativa aspekter av detta… Låt mig istället nöja mig med att detta var en lösning med så många problem inte minst säkerhetsmässigt att den skulle ha lagt sig i byrålådan på ett mycket tidigt stadium.
Nu är det stoppat av Datainspektionen även om eHälsomyndigheten fortsätter att processa stödda av en landets mest exklusiva advokatbyråer till en kostnad på drygt 1,5 miljoner bara 2017 (jag har kollat).
För att summera: det har alltså pågått två parallella projekt utan samordning, så vitt jag kan se, för att överföra information från journal till patienter.
Man har inte i lösningarna tagit höjd för hur behovet att patienten med tillräcklig kvalitet och säkerhet ska kunna föra tillbaka uppgifter till vården – en fråga som i sig är en av grundvalarna i en utvecklad e-hälsa.
Exemplet visar mycket tydligt att det inte finns en gemensam plan, behovsanalys eller medvetenhet om att man bygger en gemensam infrastruktur.
Min erfarenhet från olika sammanhang inom området är det också ofta saknas vilja att ta vara på professionernas intresse av fungerande arbetsverktyg eller etiska krav.
Tråkigt nog tycker jag inte att arbetstagarorganisationerna varit särskilt skickliga på att samla och driva sina medlemmars olika behov, detta är dock bara mer än känslomässig upplevelse från konferensbord och från att ha tagit del av olika debattinlägg.
Trots att alla aktörer med emfas skulle säga att de starkt vurmar för patients intresse kan jag tycka att det är väl lätt att utan fog göra sig till patientens företrädare.
Framför allt är det svårt att hitta insikten i att patienter är vi alla och på samma sätt som vi har väldigt olika syn och intressen i andra frågor har vi det även som patienter.
Ett flagrant exempel på detta är de som ständigt ställer patientsäkerhet mot integritet.
Eller inte erkänner att om en välsituerad grupp använder kommersiella nätläkare för att lindra myggbett så kommer det att inkräkta på andra patienters intressen.
Även här måste finnas en mycket större helhetstanke där e-hälsan sätts i sitt rätta sammanhang.
Slutligen kan jag inte underlåta att gå in på integritetsfrågan och hur det gick när jag försökte begära ut mina personuppgifter från vården.
Även detta är en god illustration av läget.
Först till den juridiska historiken som går att scrolla förbi om man inte är intresserad men den har rätt stor betydelse för det praktiska utlämnandet av personuppgifter.
Enligt den gamla patientjournallagen hade varje vårdgivare ansvar för sin egen journal och om uppgifterna behövdes hos en annan vårdgivare måste vissa mått och steg vidtas.
En ansvarig läkare hos vårdgivare A måste göra en menprövning om det var till men eller gagn för patienten att uppgifterna lämnades ut.
Lämnades uppgifter ut skulle ett journalnotat göras om när, vad och till vem uppgifter lämnats ut och hos vårdgivare B fördes uppgifterna in som ”kopia”.
Hela förfarandet hade fördelar som att det gav mycket god spårbarhet, patienten kunde eventuellt förhindra att information lämnades vidare om man ville skydda sin integritet och det var inte hela journalen som lämnades vidare utan bara relevanta delar.
Jag vill bara påpeka dessa fördelar utan att för den delen behöva anklagas för att vara bakåtsträvare för naturligtvis är detta regler som är svåra att upprätthålla i ett digitalt flöde.
Och, ja, jag är väl medveten om att reglerna inte alltid efterlevdes.
Min poäng är att dessa säkerhetsåtgärder inte ersattes av motsvarande funktioner när patientdatalagen (PDL) infördes.
Mitt intryck efter att ha följt frågan om vårdinformation tämligen ingående sedan 1994 är att det inte ens fanns en ambition att göra det.
Denna min uppfattning stärks när jag läser förarbetena till lagstiftningen.
Jag ser patientdatalagen som ett resultat av mer än ett decenniums påverkanskampanj från olika aktörer med innebörden att säkerhet och integritet inte går att förena med digitaliseringen utan man måste välja.
Valet blev då tämligen enkelt eftersom den tekniska och organisatoriska förändringen redan genomförts.
Resultatet, förutom allt newspeak där dålig säkerhet var bra säkerhet o.s.v., var att i patientdatalagen infördes ”sammanhållen journalföring” som enligt lagens definition betyder: Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.
I och med patientdatalagen ändrades grundprincipen för hanteringen av journaluppgifter från att det tidigare defaultläget var att en vårdgivare inte kunde lämna ut uppgifter utan menprövning till nuvarande defaultläge: att information kan flöda mellan vårdgivare om inte patienten aktivt spärrar utlämnandet.
Ett villkor som satts upp för den sammanhållna journalföringen: Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att andra uppgifter än dem som anges i görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.
En sjuk patient ska alltså ta till sig information om hur informationen kommer att hanteras och dessutom ha kraft genomdriva en spärr om hen bedömer att överföringen olämplig.
Några saker bör särskilt noteras i detta redan orimliga scenario.
För det första innebär direktåtkomsten att vårdgivare 2 får tillgång till vårdinformation hos vårdgivare 1 istället för som tidigare ett journalutdrag över information som bedöms vara relevant för det aktuella sjukdomstillfället.
För det andra förutsätter det att vårdpersonalen hos vårdgivare 1 kan ge upplysningar om hur informationen kommer att hanteras i den sammanhållna journalföringen, vilka som kommer att få tillgång till den exempelvis.
Min visserligen anekdotiska men ändå uppfattning efter att ha frågat ett ganska stort antal anställda i vården finns inte en kunskap inom vården hur informationen hanteras och hur ska då personalen kunna upplysa patienten?
Detta är inte så konstigt för jag tror uppriktigt inte någon idag har kontroll över informationsflödena i vården.
För det tredje lyser ett decennium efter PDL:s ikraftträdande fortfarande möjligheten att faktiskt spärra sin journal med sin frånvaro hos ett stort antal vårdgivare.
I praktiken kan jag inte se att patienten har någon reell möjlighet att vare sig få veta hur den egna vårdinformationen hanteras eller att påverka åtkomsten till den.
Med stöd av den sammanhållna journalföringen har det vuxit fram en vårdinformationsspaghetti där det vad jag kunnat se inte finns vare sig överblick, tydlig styrning eller definierade ansvar.
Detta leder också till att när jag hos min vårdgivare frågar: ”Gör ni journalnotat om vilka samtycken till andra vårdgivare jag givit så att jag kan få en sammanställning över vilka som fått åtkomst till mina uppgifter?” får till svar ” Nej, det finns i dagsläget ingen sådan funktion i COSMIC men detta är under utveckling, det vill säga en samtyckestjänst.
Vi dokumenterar inte i x:s journal andra vårdgivares samtycken, detta är var och ens eget ansvar.
När någon inhämtar ett samtycke i COSMIC så genererar detta en logg samt en referens i journalen.”.
Det vill säga att den vårdgivare som lämnar ifrån sig informationen noterar inte detta utan patienten förväntas ansvara för spårbarheten.
Jag vände mig då till Inera som ansvarar för tjänsten Nationell Patientöversikt som är en slags växel då vårdinformation förs mellan olika vårdgivare.
På frågan om de kan redovisa vilka som eventuellt tagit del av min vårdinformation svarar de: ”Samtycke måste alltid inhämtas av den vårdgivare som ska ta del av din information i NPÖ.
Samtycket ska registreras i det lokala journalsystemet hos den aktuella vårdgivaren.
Det tekniska samtycket loggas i den nationella säkerhetstjänsten som förvaltas av Inera.
Det finns ingen dokumentation från journalinformation och inte heller någon information om varför samtycket har inhämtats.” Deras uppfattning är alltså att de endast har ”tekniska loggar” och att jag fortfarande själv måste hålla reda på mina samtycken trots digitaliseringen.
Det framgår också att de anser att de tekniska loggarna inte är att betrakta som personuppgifter.
Jag har valt att inte fördjupa mig ytterligare i detta men hoppas att andra tar upp den tråden.
Sammantaget skulle jag vilja säga att detta rimmar rätt illa med dataskyddsförordningens krav.
Min egentliga poäng med att försöka beskriva att oreda, de oklara ansvarsförhållandena och bristande överblick är att detta naturligtvis inte bara påverkar patientens möjlighet till personlig integritet.
I ännu högre grad påverkas effektivitet, patientsäkerheten och möjligheten att upprätthålla verksamheten vid större störningar.Särskilt bekymmersamt är det oklara ansvaret som även andra Vad blir då kontentan av allt detta?
Jag tror faktiskt inte huvudfrågan är huruvida sjukvården ska förstatligas utan hur den ska styras (även om jag i dagsläget har litet svårt att se exakt vilket värde den regionala politiska styrningen tillför).
Oavsett om det finns 2 eller 200 000 vårdgivare så måste det finnas en stark statlig styrning som då inte enbart omfattar den offentligt finansierade slutenvården som ett förstatligande skulle innebära.
Den nuvarande bristen på styrningen tjänar såvitt jag kan se enbart oseriösa leverantörer på och möjligen de offentliga företrädare som älskar att åka omkring på olika konferenser och framställa sig som visionära.
Situationen där myndigheter processar mot varandra vittnar väl om något om den rådande anarkin.
Om vi inte klarar av att styra digitaliseringen av vården idag så blir tanken på AI och IoT mardrömslik.
Mina förslag är därför att på äktsvenskt maner tillsätta flera rejäla utredningar men med skillnad från de tidigare inte bilägga facit från uppdragsgivaren.
Jag ser framför mig en handfull utredningar inom olika områden men som är starkt koordinerade så att resultaten går att använda.
Viktigt är att ta hänsyn till de mångskiftande intressen som hälso- och sjukvården ska tjäna, inklusive professionernas och forskningens behov på kort och lång sikt.
Inriktningen bör vara att på samma sätt som på 1940-talet bygga en långsiktigt fungerande infrastruktur i bred politisk enighet.
Några förslag (jag tar inte med komplicerade saker som prioriteringar i vården och patienters egentliga intressen): Puh!
Jag vill verkligen inte påstå att jag kommit med de definitiva sanningarna i dessa komplicerade frågor – det finns så många olika sätt att betrakta den svenska e-hälsan.
Säkert har jag missuppfattat eller vantolkat en massa saker.
Mitt enda försvar är att jag efter bästa förmåga försökt måla upp bild av e-hälsa.
Förhoppningsvis kan dessa långa inlägg stimulera andra att dela bild av samma frågor.
I maj när dataskyddsförordningen trädde i kraft inledde jag ett test: att genom att ställa frågor om hur mina personuppgifter hanterades i vården ville jag göra en temperaturmätning av den kontroll som vården generellt har över vårdinformationen.
För hälso- och sjukvård innebär (i princip) inte dataskyddsförordningen någon så stor skillnad eftersom både patientdatalagen och PuL redan gett patienten möjlighet att få tillgång till sin information och (i teorin) spärra åtkomsten till sin vårdinformation.
I verkligheten är det och har det sedan patientdatalagen varit svårt för att inte säga omöjligt att få veta hur patientuppgifter hanteras – det är i alla fall min uppfattning som jag ville pröva genom att begära upplysningar om mina egna vårduppgifter med stöd av dataskyddsförordningen.
Svaren på mina frågor var negativa (vilket jag kommer att återkomma till senare) men jag fick underlag rörande dagssituationen inom e-hälsoområdet.
Detta inlägg svävar ut in extremis och handlar om i vilket landskap som digitalisering av vårdinformationen sker.
Jag ska resonera om den bristande styrningen av e-hälsa samt pusta ut orosmoln om informationssäkerhet och det långsiktiga bevarandet av vårdinformationen.
I ett följande inlägg kommer jag att skriva mer om den bakomliggande juridiken.
Först till organisationen av den svenska sjukvården som förvånansvärt många som gör inlägg i e-hälsofrågor inte tycks bottna helt i. Tillåt mig att roa mig med en historisk utflykt.
Den svenska vården är i huvudsak offentligt finansierad via skattemedel.
Det regionala ansvarar för att erbjuda vård inom det egna upptagningsområdet enligt hälsosjukvårdslagen.
Men landstingen och regioner behöver inte själva vara utförare av all vård utan kan även vara privata.
Andelen privata vårdgivare har tillväxt mycket starkt under de senaste 20 åren men strukturen med självständiga landsting som sjukvårdshuvudmän har funnits sedan 1862 (med varierande uppdrag).
Redan här finns underlag för vanliga missuppfattningar om ansvar men också reella problem eftersom de flesta krav i föreskrifter m.m.
riktas mot vårdgivarna och inte sjukvårdshuvudmännen.
När det gäller säkerhet och integritet har dock vårdgivarna inte så stora möjligheter att påverka sin situation trots att de har ansvaret – de tvingas (formellt eller informellt) ofta av sjukvårdshuvudmän, SKL eller myndigheter att använda lösningar oavsett egna säkerhetskrav.
Landstingen är kommuner med en politisk ledning vilket gör att inriktningen för olika landsting och regioner kan variera.
För e-hälsan som av naturliga skäl blir allt mer nationell är detta en ansvarsfördelning som innebär stora problem, inte minst eftersom landstingspolitiker använt rollen för egna, i mitt tycke kortsiktiga, kampanjer.
En misstanke som gror är att e-hälsa används av politiker för att undkomma att diskutera den offentligt finansierade vårdens grundfråga: den nödvändiga prioriteringen.
Det är ett väl känt faktum att det inte finns någon bortre gräns för behovet av vård, det finns hela tiden nya sjukdomar och tillstånd som kan behandlas och definitionen av hälsa kan sättas så högt att inte minsta krämpa blir acceptabel.
Däremot är vårdens resurser begränsade – alltså måste prioriteringar ske.
Detta är den mest laddade av alla frågor för sjukvårdspolitiker eftersom prioriteringar ofelbart kommer att leda till att några patienter blir missnöjda.
Den som tillsattes i slutet av nittiotalet för att ge de lokala politikerna stöd i form av nationella prioriteringslistor släppte också snabbt den glödheta potatisen och lämnande ifrån sig litet allmänna rekommendationer om hur processen för prioriteringar skulle kunna ske .
Min teori är att politiker och högre tjänstemän i vården nu (omedvetet) använder e-hälsa som en dimridå för att undvika frågan om prioriteringar genom att hävda att e-hälsosatsningar skulle kunna leda till enorma effektivitetsvinster (som då underförstått skulle leda till att får den vård de vill ha).
I verkligheten sker en mycket negativ icke-styrd prioritering av sjukvårdsmedel genom bland annat kommersiella nätläkare där en ohelig allians mellan nätläkarnas ekonomiska intresse och människor med lättare krämpor prioriterar upp sig på bekostnad av andra med reella hälsoproblem.
En hårdvinklad beskrivning men ni förstår vad jag menar.
Detta sätter stark press på sjukvårdspolitiker som i vissa fall måste säga nej men hellre säger att e-hälsa kommer att lösa problemen.
Själv är jag positiv till de former av e-hälsa som leder till reella förbättringar men att tro att den ska kunna upphäva den omöjliga ekvationen mellan outtömliga behov och begränsade resurser är en vanföreställning som ansvarsfulla politiker borde göra upp med.
En annan viktig negativ faktor är SKL:s förändrade roll.
SKL driver sina medlemsorganisationers intressen i förhållande gentemot uppdragsgivaren staten, d.v.s.
att man vill att staten ska styra så litet som möjligt (även om det inte uttrycks preeeecis så) vilket ökar på fragmentiseringen ytterligare.
Den tidigare sammanhållande myndigheten Socialstyrelsen som var en beredande motpart för SKL blev sönderslagen för några år sedan.
Uppgifterna är nu fördelade på fyra myndigheter som tillsammans med Läkemedelsverket tycks ha ett tämligen lågintensivt samarbete.
SKL och sjukvårdshuvudmännen agerar som månghövdad maktfaktor utan eget ansvar i det tomrum som skapades när Socialstyrelsen nedmonterades.
Dessutom står e-hälsoområdet under ett starkt kommersiellt intresse, inte bara genom nätläkarna.
Den nära alliansen mellan känns inte helt betryggande för det kommande.
I den tidigare regeringen var två av hälso- och sjukvårdsministerns statssekreterare hämtade från it-leverantörer vilket Dagens samhälle skrev om förra året.
Förväntan på stora vinster inom vården och en kanske alltför nära relation är knappast positiva nyheter för patienter och skattebetalare.
Eftersom jag intresserat mig en hel del för den svenska sjukvårdens historia kan jag inte undgå att fundera över att maktbalansen mellan staten som är uppdragsgivaren och utförarna, d.v.s.
sjukvårdshuvudmännen (regioner och landsting) samt numera SKL, har förskjutits.
Att göra historiska jämförelser är alltid vanskligt men för mig går det inte att motstå frestelsen att försöka analysera varför e-hälsa och digitalisering relativt sett varit så litet framgångsrika samhällsprojekt i förhållande till de resurser som satsat.
Hade det gått att prata fram e-hälsa och digitalisering hade det svenska samhället genomgått ett Civilization-moment där den framgångsrike spelaren lyckas uppfinna elektricitet på 1100-talet.
Men tyvärr räcker det inte med miljontals power point bilder, konferensinlägg, möten, testbäddar och avgränsade dellösningar för att skapa infrastruktur.
I detta delar jag uppfattningen i om floden av åsikter.
Jag tror mig att se några orsaker till det haltande genomförandet av något som trots allt alla varit överens om ska genomföras.
Detta är en situation som i mycket liknar den som rådde från slutet av fyrtiotalet och i ett par decennier framåt då det skedde en så här i efterhand nästan ofattbar mobilisering och utbyggnad av den svenska hälso- och sjukvården.
När jag skrev en historik om den värmländska sjukvården häpnade jag över att landstinget under en tioårsperiod byggde inte mindre än fyra nya sjukhus!
Även om jag är starkt lockad ska jag inte gräva ner mig ytterligare i detta utan bara tacksamt konstatera att den samhälleliga kraftsamling är något som vi nu fortsätter att skörda frukterna av.
Hur kunde man lyckas med denna infrastrukturella revolution?
En första förutsättning var att det fanns en stark politisk enighet om att detta skulle genomföras även från de borgerliga partierna som annars kampanjade för skattesänkningar.
Men till skillnad mot e-hälsoutvecklingen (liksom digitaliseringen i övrigt) nöjde man sig inte med den politiska enigheten utan skapade även de institutionella förutsättningarna (för den som vill läsa mer om institutionella förutsättningar rekommenderar jag verkligen att läsa litet Lennart Lundqvist eller Bo Rothstein) för utbyggnad.
En viktig sådan var att skapa ett mycket genomarbetat kunskapsunderlag att ta ut riktningen ifrån.
I detta var utredningsväsendet mycket betydelsefullt, de utredningsinsatser som gjordes var av mycket hög kvalitet.
Häri ligger en väsentlig skillnad mot de utredningar och kommittéer som levererat förslag inom digitalisering och e-hälsa, jag nöjer mig med att instämma i de synpunkter som framförs i den här .
I utvecklingen fanns en mycket kraftfull och sammanhållande motor i Medicinalstyrelsen, sedermera Socialstyrelsen.
Det är idag nästan svårt att förstå hur inflytelserik myndigheten var och på vilken detaljnivå man styrde sjukvården.
Om vi bara ser till vårdbyggnader fanns det ett regelverk som ner till hur många luftkubik per vårdplats definierade hur sjukhusen skulle byggas.
Varje ritning på ny- eller ombyggnad måste skickas in för godkännande och stränga inspektörer åkte ut och kontrollerade att det som byggts höll måttet.
Landstingen var byggherrar och hade det praktiska ansvaret för byggande och vård men deras intressen samlade ingen front i Landstingsförbundet (en del av SKL:s föregångare tillsammans med Kommunförbundet) utan gick huvudsakligen via riksdagen.
Där fanns det som kallades ”landstingspartiet” eller ”landstingsbänken” där landstingsordförande som nästan undantagslöst även vara riksdagsmän kunde driva sina frågor – ofta i gott samförstånd oavsett partipolitisk tillhörighet.
Även detta var en viktig institutionell förutsättning eftersom det då fanns etablerade och lagfästa former för att lösa intressemotsättningar.
Idag är situationen radikalt annorlunda.
En viktig skillnad är förstås att det kommit in så många privata aktörer men också att när de gamla institutionerna revs ner ersattes de inte av nya som skulle varit verkningsfulla då man anammade new public management som grundfilosofi för den svenska vården.
Jag är för tillfället inne på att försöken att uppnå effektiv digitalisering och e-hälsa är bland de bästa exemplen på hur new public management på ett negativt sätt präglat svensk offentlig sektor.
Resultatet har bland annat blivit att Socialstyrelsen i accelererande takt fråntagits mandat och att sammanhållen utveckling ersatts med fragmentisering.
Intresseorganisationen SKL tycks inte heller längre gå via en beredning på myndighetsnivå utan direkt på regeringen och jag har t.o.m.
läst meningar som att ”regeringen bör SKL i uppdrag …”.
Den geografiska uppdelningen av ansvar var under perioden mindre problematisk än idag eftersom större delen av vårdens uppgifter kunde lösas inom varje landstings hank och stör.
När digitaliseringen tog fart i början av nittiotalet skapades överbryggande strukturer som exempelvis Sjunet och sedermera Carelink.
Nu finns både eHälsomyndigheten och Inera m.fl.
som utan tydlig gemensam strategi eller regelverk grejar i infrastrukturen.
Bortsett från det negativa i att sakna gemensam styrning ser jag det inte heller som problemfritt när digitalisering och e-hälsa blir frikopplade från den kärnverksamhet de ska utgöra stödfunktion för.
En annan aspekt som tycks ha glömts bort är vårdinformationens långsiktiga betydelse både för den enskilda patienten och för forskningen.
För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård.
Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades).
Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman.
Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän.
Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring.
Alla sjukvårdshuvudmän (alltså landsting/regioner) utom en om jag kommer ihåg rätt hade åtagit sig att bevara alla läkarförda journaler för all framtid.
Bakgrunden till detta var den enorma betydelse som den vårdinformation som arkiverats från sjuttonhundratalet och framåt haft för den svenska forskningen.
I PDL är kravet att en journal ska bevaras i minst tio är efter att sista anteckningen förts in i handlingen samt att journaler som allmänna handlingar ska hanteras som sådana.
Det är ungefär vad som stod i patientjournallagen också men nu är kontexten radikalt annorlunda och även innebörden av begreppen – vad är ens en ”handling” i dagens vårdinformation?
Bara den förändringen att betydligt mindre andel av vårdinformationen är allmänna handlingar och därmed kan gallras av den enskilda vårdgivaren är en stor risk.
Vissa sjukvårdshuvudmän har försökt reglera arkivfrågan i avtal med de privata vårdgivarna men detta är knappast tillräckligt.
Redan idag är det som presenteras på skärmen hos en vårdgivare en sammanställning av information ur en rad system och tjänster som kan finnas både inom och utom vårdgivarens organisation.
Detta är bara inledning av en utveckling där informationshanteringen kommer att bli organisatoriskt och tekniskt allt mer komplex.
För att bevara denna gigantiska informationsmassa för framtiden för att kunna serva patienter som envisas med att leva i bortåt ett sekel och för att kunna ge underlag för livsviktig forskning räcker det inte med att litet svävande beskriva ”e-arkiv”.
För mig är detta en mycket bekymmersam fråga och det förvånar mig att varken Riksarkivet eller de utredningar som genomförts gällande registerforskningen intresserat sig för detta.
Så här i slutet av litanian vill jag inte på något sätt hävda att vi kan använda gårdagens lösningar idag.
Däremot tror jag att det finns mycket att vinna på att ha ett historiskt perspektiv.
I detta fall vill jag lyfta fram behovet av kvalitativa kunskapsunderlag som är parlamentariskt förankrade, en långsiktig väl definierad inriktning, institutionella förutsättningar anpassade efter aktuell situation och en sammanhållande kraft med mandat att genomdriva beslutade lösningar.
Framför allt tror jag att vi måste erkänna att det finns intressemotsättningar och lyfta fram dem i ljuset för att kunna diskutera hur de ska lösas.
Ofta framhålls svårigheten med den geografiska uppdelningen, minst lika stor är den som handlar om de inte helt kompatibla intressena privata utförare och den offentliga finansieringen.
Hur dessa intressen ska balanseras mot varandra har hittills varit en icke-fråga i e-hälsosammanhang.
Det har vi inte råd att låta den fortsätta vara.
Om vi ska klara upprätthålla den väsentliga del i välfärdssamhället som den offentligt finansierade sjukvården utgör och dessutom införa dataskyddsförordning, NIS-direktiv, civil beredskap och allt annat så måste vi ändra bilden av e-hälsa.
Det handlar inte om att släppa ner litet slumpmässiga tekniska lösningar (gärna efter påtryckning av olika leverantörer) utan att se att det kräver samma mobilisering, organisation och koordinering som då sjukvården byggdes ut under efterkrigstiden.
Och glöm inte forskningen!

Stärkt samordning av de frågor som påverkar vården i regeringskansliet och en stärkt roll för Socialstyrelsen som sammanhållande kraft i vården och beställare av it-lösningar hos e-Hälsomyndigheten, SKL m.fl.
Hur en gemensam infrastruktur ska kunna byggas upp i konkreta termer och ansvarsförhållandena för detta En ny patientdatalag som lever upp till dagens många olika behov och som inte genar när det blir svårt.
En arkivlag som kan tillgodse kravet på att bevara den gemensamma informationsinfrastruktur som uppstår inom bland annat e-hälsa.
I en ny arkivlag bör finnas utrymme för att fatta beslut om bevaranderegler även för andra än statliga myndigheter, t.ex.
ett krav på att viss vårdinformation ska bevaras för all framtid oavsett vårdgivare.
SKL:s roll med övervägande om liknande krav på öppenhet som gäller de ingående sjukvårdshuvudmännen.
Frågan bör ställas om SKL över huvud taget har de institutionella förutsättningarna att leverera gemensamma e-tjänster eller om detta istället bör ske av myndigheter Utred möjligheten att införa en lösning liknande den norska Normenden svenska vården.
Detta drev jag med klent gehör när jag jobbade på MSB men det är aldrig fel att vädra gamla käpphästar.
MSB måste våga överge sin beröringsskräck för verkligheten och kunna ge faktiskt stöd till bland annat vården.
Hur e-hälsan systematiskt ska utvärderas och vem som ska utföra det.

16 § på vilket sätt läsa alla all en sina sjukvårdsvårdshuvudmännen vårdgivare alla

Meny SKR Inläggsnavigering

2011 blev jag utsedd som deltagare i en referensgrupp när Socialstyrelsen skulle revidera sin föreskrift om informationshantering och journalföring inom hälso- och sjukvård SOSFS 2008:14.
Föreskriften innehöll en hel del om informationssäkerhet men vården har i ringa grad efterlevt dessa regler vilket Socialstyrelsens egna visade redan 2011 som till exempel gällande Karolinska universitetssjukhuset.
Vårdens informationssäkerhet har knappast blivit bättre sedan dess och det kan väl därför ses som positivt att Socialstyrelsen nu 2016 äntligen ha kommit i mål med den nya föreskriften.
har beteckningen HSLF-FS 2016:40 Journalföring och behandling av personuppgifter i hälso- och sjukvården.
I korthet innebär föreskriften och de allmänna råden ett tydligare krav på vårdgivare att införa ett ledningssystem för informationssäkerhet så att rätt nivå på konfidentialitet, riktighet, tillgänglighet och spårbarhet kan utvecklas och upprätthållas.
Några reflektioner kan dock göras i samband med föreskriftens ikraftträdande.
En föreskrift är en reglering på detaljerad nivå.
När det gäller vårdens informationssäkerhet och e-hälsa saknas dock en strategisk inriktning och en beskrivning av hur vårdens informationshantering på övergripande nivå ska styras så att informationssäkerheten ska förbättras.
En överenskommelse har gjorts mellan staten och Sveriges Kommuner och Landsting som kalla 2025 som en ny version av den tidigare Nationella e-hälsostrategin.
Vision är nog rätta benämningen med tanke på lösligheten i inriktningen där visserligen ”säkerhet” nämns ett antal gånger men under mycket oklara former.
Den heta frågan vem som egentligen har ansvaret för att säkerheten ska bli bättre undviks sorgfälligt.
Även på samma fluffiga sätt skrivit om att det är bra med informationssäkerhet men inte hur detta ska gå till.
Undertexten är påfallande oftaternativt integritet måste ”balanseras” mot exempelvis patientsäkerhet eller effektivitet, d.v.s.
att informationssäkerhet och skyddet av integriteten skulle hindra att patienten skulle få bra och effektiv vård.
Det enda som är tydligt är att många inflytelserika personer inom e-hälsoområdet tycks ha en dimmig uppfattning om vad informationssäkerhet är och därmed inte ser att rätt utformad informationssäkerhet leder till såväl till bättre patientsäkerhet och effektivitet som till skydd för integritet.
Den aktuella föreskriften, som kan ses som den nedersta delen i en hierarki av styrande dokument, fångar upp detta men eftersom den mer övergripande styrningen inte går i samma riktning riskerar föreskriften att liksom sin föregångare att bli utan verkan.
Socialstyrelsen har endast mandat att rikta föreskrifter till de enskilda vårdgivarna.
Föreskriften säger därmed egentligen till varje landsting eller privat vårdgivare att de ska ha ett ledningssystem för och det är naturligtvis en viktig grundprincip.
Men alltmer av vårdens informationshantering sker utanför vårdgivarens kontroll exempelvis i form av att en privat vårdgivare är tvungen att använda den upphandlande sjukvårdshuvudmannens system och rutiner.
Framför allt sker dock alltmer av hanteringen med stöd av gemensamma och nationella tjänster som vårdgivarna i praktiken är nödgade att använda för att kunna bedriva sin verksamhet och föreskriftens räckvidd innefattar exempelvis inte E-hälsomyndigheten eller Inera.
Detta blir ett olösligt dilemma för den säkerhetsmedvetna vårdgivaren.
Å ena sidan stipulerar det egna ledningssystemet att man måste formulera krav på säkerhet hos externa parter som hanterar ens information, å andra sidan har man ingen möjlighet att göra det i förhållande de stora aktörerna som hanterar alltmer av ens information.
Kvar står vårdgivaren med ansvaret gentemot patienterna och den bristande legitimiteten hos det egna ledningssystemet.
Föreskriften matchar alltså inte behovet av styrning av informationssäkerhet i den alltmer omfattande e-hälsan.
Visionen för e-hälsa 2015 sägs vara: I detta borde ingå en stor satsning på att förbättra informationssäkerheten inom vården.
Det finns dock ett ömsesidigt ointresse där e-hälsans banerförare i mycket liten omfattning ser betydelsen av informationssäkerhet samtidigt som instanserna med ansvar för informationssäkerhet inte aktivt stödjer vården.
Svaret på frågan i rubriken är nog tyvärr: nej, inte särskilt mycket.
Vad som skulle behövas vore en ordentlig utredning av vårdens behov av informationssäkerhet som skulle kunna ligga till grund för framtidens visioner.
En bredare utredning skulle också kunna lägga grunden för en bättre kommunikation mellan vårdens representanter och företrädare för informationssäkerhetsområdet.
Med en samsyn kring behov och möjligheter finns en väg framåt som skulle gagna inte bara de enskilda patienterna utan samhället i stort.

Meny Socialstyrelsen

MENU MENU Postat av Postad i , , Tagged , , , Sök efter:

sin egen verksamhet År 2025 ska Sverige vara bäst i världen på att använda digitaliseringens och ehälsans möjligheter i syfte att underlätta för människor att uppnå en god och jämlik hälsa och välfärd samt utveckla och stärka egna resurser för ökad självständighet och delaktighet i samhällslivet.

Det har nu gått en vecka sedan dataskyddsförordningen trädde i kraft.
Under den förlidna veckan kom även Förvaltningsrättens utslag som gav Datainspektionen rätt gällande eHälsomyndighetens tjänst .
För mig var domen mycket välkommen eftersom jag redan sedan start uppfattat Hälsa för mig som en tjänst med skakig ansvarsfördelning och bristande säkerhet trots att den är tänkt att hantera känsliga personuppgifter från hela den svenska befolkningen.
Förra veckan skulle alltså kunna ses som en bra vecka för den personliga integriteten men det återstår verkligen mycket att göra.
En separat frågeställning som behöver lyftas är vikten av att få god information om hur personuppgifter hanteras för att kunna skydda den egna integriteten.
Individens komplicerade situation blev tydlig när jag såg en del reaktioner, framför allt från tjänsteleverantörer, angående Förvaltningsrättens utslag om Hälsa för mig.
Om jag tolkar dessa reaktioner rätt så uppfattar de det som någon form av omyndigförklarande av individer att de (individerna alltså) inte själva får bedöma säkerheten och integriteten i Hälsa för mig (plus i de appar som vidareutnyttjar information) utan att klåfingriga myndigheter lägger sig i. Själv tycker jag att det är en, hm, okonventionell hållning till myndigheters och leverantörers ansvar för sina tjänster som t.o.m.
Parks & Recreation hade en bättre analys av (i säsong 7 avsnitt 5 men hela serien rekommenderas naturligtvis!).
Komplexiteten ligger i att både kunna få kunskap om hur de egna uppgifterna hanteras för att kunna välja vilka risker man vill ta som individ samtidigt som det måste ställas krav på de personuppgiftsansvariga att ha nödvändig säkerhet och dataskydd i sina lösningar.
Båda dessa aspekter förutsätter att det finns god och dokumenterad kontroll över informationsflöden och säkerhetsåtgärder som går att presentera.
Först då finns en situation där individen kan känna tillit till den personuppgiftsansvarige och välja att antingen nöja sig med det eller att fatta ett informerat val att till exempel undandra eller spärra sina uppgifter.
Samtidigt gjorde jag inspirerad av dataskyddsförordningen ett experiment att försöka få en presentation av hur mina personuppgifter hanteras i vården.
I patientdatalagen finns regler om hur utlämnande av patientuppgifter får ske till andra vårdgivare och hur individen kan förhindra att så sker.
Detta förutsätter att patienten får kännedom om hur åtkomst och potentiell åtkomst till uppgifterna om den egna vården ser ut vilket också får ses som ett grundläggande krav i dataskyddsförordningens tillämpning.
Utan att känna till hur uppgifterna hanteras kan jag inte invända mot hanteringen och eventuellt begära en spärr.
Hittills har mitt experiment att få reda på hur mina uppgifter går från vårdcentralen in i någon typ av sammanhållen journal som sedan finns tillgänglig via bland annat den nationella tjänsten NPÖ för andra vårdgivare gått sisådär vilket kommer att avrapporteras senare.
Men dessa två sammanfallande förlopp fick mig att fundera på den ständiga frågan som ställts till mig i min yrkesroll under våren angående dataskyddsförordningen: ”Vad vi göra?” – som för att hitta miniminivån.
Ett bra steg vore om myndigheter och andra i tillitsbranscher som vården istället formulerar frågan som: ”Vad vi göra för att uppnå en god integritet?”.
Omformuleringen skulle i bästa fall kunna leda till att organisationen internaliserar integritet som ett värde för den egna verksamheten istället för ett mer ögontjänande uppfyllande av externa krav.
Då skulle individens intresse av att skydda sin integritet och det av detta följande behovet av att få god information om personuppgifterna hanteras få en betydligt högre dignitet.
Mitt till leda upprepade mantra att det inte handlar om exempelvis patientsäkerhet integritet utan om patientsäkerhet integritet skulle i så fall falla ut som ett självklart mål.
Trots att jag intresserat mig för hur vårdinformation hanteras under många år har jag aldrig sett någon flödesbeskrivning som beskriver hur information, tjänster, infrastruktur och organisationer interagerar på ett mer heltäckande sätt.
Det är möjligt att det finns men inte ens i de statliga utredningar om e-hälsa m.m.
där jag funnits med i utkanten har jag sett den typen av beskrivningar.
Det samma gäller för övrigt för e-förvaltning och digitalisering.
Det är möjligt att det finns men då så i skymundan att inte ens den intresserade finner dem.
Övergripande process- och flödesbeskrivningar skulle naturligtvis inte bara var av stort värde för enskilde utan också för myndigheter och företag som administrerar olika tjänster i flödena.
Avsaknaden av gemensam kartbild kan vara en starkt bidragande orsak till den, trots idoga och stora satsningar, inte så lyckosamma digitaliseringen.
Men just nu är jag mest intresserad av den torftiga beskrivning av den i verkligheten mycket komplexa hanteringen av mina patientuppgifter som sker i lokala och nationella tjänster.
I mitt hemlandsting finns denna som visserligen är korrekt men knappast begriplig för den vanliga patienten.
I andra sammanhang betonas ofta vikten av att sätta patientens intresse i centrum och att det ska finnas en valfrihet.
Varför skulle inte samma inriktning tillämpas på integritetsfrågan?
Jag har därför några förslag som skulle kunna stärka patientens ställning.
Första förslaget: Ta fram en infograf över hur patientinformation flödar inom och mellan vårdgivare och olika leverantörer.
Med litet god vilja och innovation borde det på sikt vara möjligt att göra för den enskilde patienten men ett första steg är att visa det på en generell nivå.
Detta skulle också vara ett stort stöd i enskilda vårdgivares presentationer av hur patientens information kommer att hanteras.
Dessutom skulle mödan att beskriva den mycket intrikata informationsstruktur som byggts upp vara väl värd sett även för att få en större förståelse hos de som fortsättningsvis ska bygga vidare – kanske resulterar det t.o.m.
i en planerad utveckling.
Ett konkret förslag är att regeringen ger eHälsomyndigheten ett uppdrag att ta fram övergripande flödesbeskrivning med inriktning på personuppgifter.
Kanske bör den nya digitaliseringsmyndigheten få motsvarande uppdrag på e-förvaltningssidan.
Som den baksluga människa jag är ser jag hur starkt dessa beskrivningar skulle kunna bidra till informationssäkerheten, kontinuitets- och incidenthanteringen och till möjligheten för långsiktigt bevarande av information med autenticitet.
I flöden bör det även framgå var valmöjligheter finns för individen, d.v.s.
där man kan välja att avstå från att låta personuppgifter om en själv gå vidare.
Andra förslaget: Ett flertal av sjukvårdshuvudmännen har struntat i att efterleva PDL och inte lyckats införa möjligheten för patienten att spärra sin journal.
Kommunikationen från vårdgivarna om spärrar har också varit märklig där det ofta framstått som att man löper stora hälsomässiga risker om man vill begränsa åtkomsten till vårdinformationen.
Spärrarna är som idé en mycket klumpig form av åtkomstbegränsning som understödjer den typen av hotfulla undertexter eftersom det handlat om allt eller inget, d.v.s.
att man spärrar stora delar av vårdinformationen oavsett vilken typ av information det är.
Mitt förslag är därför att eHälsomyndigheten får i uppdrag att ta fram ett mer dynamiskt åtkomstskydd som skulle kunna leda till en större valfrihet för mig som patient.
Till exempel så skulle jag kunna få välja att endast ge tillgång till information om läkemedel och överkänslighet medan övrig information får efterfrågas vid behov.
Tredje förslaget: eftersom vården uppenbarligen inte klarar att ha en integritetsskyddande behörighetshantering (det räcker att se på de inspektioner som Datainspektionen genomför för att konstatera det) så är pseudonymisering ett alternativ för vården vilket jag skrev om redan (här vädras verkligen gamla käpphästar).
Pseudonymisering som del i ett privacy by design-arbete i vården skulle ha många fördelar för integritet och säkerhet men skulle kräva en stor sammanhållen insats och en sannolikt en förmåga till samordning som saknas idag.
Men ändå, även detta skulle kunna vara en gemensam uppgift för eHälsomyndigheten och digitaliseringsmyndigheten.
Eller kanske Vinnova skulle kunna ge stöd till några entreprenörer som vill ta fram en pseudonymiseringsapp kopplad till BankID som skulle låta oss faktiskt välja hur mycket vi vill att andra ska veta om oss?
Det finns med största säkerhet många invändningar mot mina förslag men om jag får åtminstone några att fundera över integritetsfrågor på ett mer kreativt sätt än vad som synes ske idag lovar jag att var nöjd.
Förhoppningsvis har det inte förbigått någon att2018 kommer att ersätta den svenska personuppgiftslagen.
Dataskyddsförordningen innebär att den enskildes rättigheter gällande skydd av personuppgifter stärks medan kraven blir strängare för myndigheter, företag och andra organisationer som hanterar personuppgifter.
Ett förbättrat integritetsskydd är verkligen välkommet med tanke på hur det ser ut på integritetsfronten idag.
Den kartläggning av som genomförts av Integritetskommittén genomfört (för transparensen skull är det väl bäst att meddela att jag suttit som expert i kommittén) visar på allvarliga brister i skyddet för den enskildes integritet i olika verksamheter.
Särskilt bekymmersam beskrivs situationen i hälso- och sjukvården vilket inte på något sätt förvånar den som har någon inblick i hur sjukvårdens informationshantering är utformad idag.
Jag kommer att återkomma till den fråga i ett senare inlägg men för den intresserade går det bra att ladda ner utredningen i sin helhet .
Ett kapitel där jag varit närmare involverad handlar om integritet och informationssäkerhet.
Dessa två storheter är nära länkade i ett antal avseenden.
Skyddet för den personliga integriteten ingår med självklarhet i aspekten ”konfidentialitet” och att skapa förutsättningar för att upprätthålla integritet är därmed ett mål fört i en organisation.
Informationssäkerhetsarbetets arsenal av åtgärder är de samma som måste användas i skyddet för integriteten.
Detta kan tyckas vara självklarheter och sammankopplingen har gjorts på det nationella planet exempelvis i den så kallade Infosäk-utredningen som lade fram sitt slutbetänkande Säker information.
I utredningen föreslogs som en av tio mål i en svensk informationssäkerhetsstrategi vara att skapa förtroende, trygghet, säkerhet, och öka integritetsskyddet.
Tråkigt nog kan detta ses som en startpunkt för en nu decennielång tradition i det nationellat (liksom i e-förvaltnings- och e-hälsosatsningar på nationella planet); att säga att integritet är ett viktigt mål men inte komma med några konkreta förslag på åtgärder för att uppnå målet.
Se även , och .
I NISU var utredarens uppdrag bland annat att: Uppdraget kan tolkas som något otydligt då ordet integritet visserligen ingår men sannolikt i samma betydelse som det engelska Detta är ett återkommande problem som , att begreppet integritet används i två helt olika betydelser inom informationssäkerhetsområdet.
Den första betydelsen är den definition av den personliga integriteten som återfinns exempelvis i personuppgiftslagen.
Den andra har sitt ursprung i EU:s definition av informationssäkerhet där användningen av begreppet är synonymt med det engelska .
Begreppet avser i detta sammanhang att en databas, ett nätverk, ett system alternativt en informationsmängd är skyddad från oavsiktlig förändring eller förlust av information.
NISU väljer att över huvud taget inte behandla den personliga integriteten: Av vilken orsak utredaren gör denna avgränsning motiveras inte närmare.
Därmed avviker NISU från det förhållningssätt som exempelvis ENISA och OECD rekommenderar.
The European Union Agency for Network and Information Security (ENISA) har uppdraget att samordna EU:s arbete med nät- och informationssäkerhet.
Integritetsfrågorna är en inte oväsentlig del av ENISA:s arbete där värnet av den personliga integriteten ses som en förutsättning för den it-utveckling som ska ge en viktig grund för den ekonomiska utveckling som eftersträvas för Europa.
Som en följd av detta har ENISA genomfört olika insatser som bland annat resulterat i ett antal publikationer som behandlar integritet från policynivå ner till teknisk tillämpning.
ENISA gjorde 2014 en ambitiös guide som beskriver hur skyddet av integritet kan utformas i praktiken i it-relaterade tjänster och system.
De har här utvidgat begreppet för konceptet till att gälla Privacy and Data Protection by Design.
I inledningen till vägledningen summeras integriteten i ett EU-perspektiv från ett överordnat värde till tekniska åtgärder som byggs in i it-lösningar: Även för OECD (Organisation for Economic Co-operation and Development)har informationssäkerhet och integritet ett nära samband vilket bland annat demonstreras av en arbetsgrupp för informationssäkerhet och integritet (Working Party on Information Security and Privacy in the Digital Economy – WPSPDE).
Från Sveriges sida har Post- och telestyrelsen (PTS) deltagit i arbetet.
2015 presenterades den senaste vägledningen i informationssäkerhetsfrågor, Digital Security Risk Management, där ett viktigt paradigmskifte genomförts då man säger att informationssäkerhet inte är en teknisk fråga utan en ekonomisk.
Informationssäkerheten ska därmed kopplas till den positiva ekonomiska utveckling som är OECD:s syfte.
OECD har lyft fram integritetsfrågorna som en viktig framgångsfaktor för den ekonomiska utvecklingen.
Skydd av personuppgifter vid dataöverföring och datalagring måste vara utformat så att det underlättar för fria dataflöden över landsgränser.
2013 kom en ny version av The OECD Privacy Framework där organisationen framhåller att man under decennier spelat en viktig roll i främjandet av integritet som ett fundamentalt värde och som ett villkor för ett fritt flöde av personuppgifter över landsgränser.
I ramverket ingår ett antal principer bland annat rörande insamling av personuppgifter, datakvalitet, syftet, användningen, säkerhet, öppenhet, individens rättigheter samt ansvar för datahanteringen.
Vad som tillkommit i revisionen 2013 är att man förordar ett riskbaserat förhållningssätt på samma sätt som i övrigtsamt krav på incidentrapportering.
Här är OECD:s linje att det bör finnas en nationell strategi för hantering av personuppgifter.
Eftersom i princip alla organisationer hanterar personuppgifter i större eller mindre omfattning så har också i princip alla organisationer legala krav på hur hanteringen ska ske.
De flesta organisationer har också behov av att kunna uppvisa en ansvarsfull hantering av personuppgifter för att kunna upprätthålla sin legitimitet och för att kunna skapa tillit hos olika omgivande aktörer.
Legitimiteten som kommer av förmågan att kunna upprätthålla den personliga integriteten har, som både ENISA och OECD understryker, en stark påverkan på ekonomisk utveckling på både samhälls- och aktörsnivå.
Kort sagt kan informationssäkerhet ha en mycket viktig funktion även för den ekonomiska utvecklingen nationellt och internationellt.
Att man i Sverige då valt en linje med svaga kopplingar mellan områdena är märkligt.
Förhoppningsvis kan svenska myndigheter samordna sig i konkreta frågor som att MSB:s obligatoriska it-incidentrapportering integreras med den rapportering av incidenter som ska utifrån kraven i dataskyddsförordningen så dubbelrapportering undviks.
Men för att stödja olika verksamheter så att de kan bedriva ettsom stödjer de allt starkare kraven på skydd av personliga integriteten kommer enligt min bedömning att kräva betydligt mer.
Detta kommer jag att återkomma till i ett senare inlägg.

måste bör eller och

MENU MENU Postat av Postad i , , , Tagged , , , Postat av Postad i , Tagged , , , , Sök efter:

Regeringens skrivelse 2009/10:124 Samhällets krisberedskap – stärkt samverkan för ökad säkerhet Strategi för samhällets informationssäkerhet 2010-2015 SOU 2015:23 Informations- och cybersäkerhet i Sverige.
Strategi och åtgärder för säker information i staten (NISU) föreslå övergripande mål för samhällets, och hur Sverige ska upprätthålla säkerhet och integritet i samhällsviktig it-infrastruktur.
integrity I de delar utredningens förslag skulle kunna påverka den enskildes personliga integritet föreslår utredningen ytterligare utredningsåtgärder för att väga in sådana aspekter.

I mitt förra inlägg hävdade jag att arbetet med informationssäkerhet alltför ofta kännetecknas av byråkratiska aktiviteter utan reell säkerhetshöjande effekt men däremot med ett anspråkstagande av verksamheters resurser på ett orimligt sätt.
Det är ju inte heller enbart kärnverksamhetens resurser som används på ett sätt som kan etiskt ifrågasättas.
Att säkerhetsarbetet bedrivs utan hänsyn till hur effektiv användningen av resurser är samtidigt som den oavlåtliga klagovisan ljuder att säkerhetsarbetet får för litet resurser, ständigt för litet resurser, är paradoxalt.
För den som arbetar med säkerhet borde det ha högsta prioritet att få fram arbetssätt som ger största möjliga utdelning av säkerhetshöjande effekter i förhållanden till insatta resurser.
Tyvärr har jag sett mycket litet av den typen av analyser och jag kan t.o.m.
tycka att säkerhetsområdet får rejält med pengar sammantaget utan det riktigt framgår vad som kommit ut av det.
Rubriken på blogginlägget är aningen ironisk eftersom det väl nu är allmänt känt att effektiviseringar sällan leder till bättre verksamhet.
Jag tycker ändå att det är klädsamt om vi som jobbar informationssäkerhet, som är en stödfunktion, håller upp spegeln och ser vad vi kan göra när kärnverksamheten i många organisationer är hårt pressad av krav på besparingar.
Att försöka göra saker bättre och mer kostnadseffektiva behöver inte heller vara till nackdel för metodutveckling, jag dristar mig att anse att det skulle vara en fördel om det fanns ROI-perspektiv på både planerade och genomförda säkerhetsåtgärder.
Jag tror det skulle vara ett stort stöd för många informationssäkerhetsansvariga som nu ibland verkar beta av ett antal aktiviteter utan att kunna bedöma vad det egentligen leder till.
Vissa aktiviteter kan vara stora och dyrbara men det handlar också om annat där kostnaden kanske inte är så stor men effekten ännu mindre.
Att genomföra generiska e-utbildningar är enligt min erfarenhet tämligen bortkastat mensom initierat dem kan bocka av en ruta.
För mig betyder detta mekaniska tillvägagångssätt, förutom pengar och medarbetares tid i sjön, att organisationen invaggas i en vilseledande och farlig falsk trygghet.
Det tämligen obefintliga effektivitetspressen inom säkerhetsområdet, som är så kännbar i andra sektorer, tycker jag mig se leda till en lättja i tanke och i handling.
Det är lätt att glömma bort men informationssäkerhet handlar i grunden om att .
Har man inte det så har man inte en fungerande informationssäkerhet.
Med detta i bakhuvudet så kan den seriösa informationssäkerhetsarbetaren inte leva efter bekvämlighetsprincipen och hela tiden göra det som känns enklast.
Att enbart identifiera information som råkar finnas i system som man redan känner till är som, för att använda en mycket uttjatad bild, att leta efter den borttappade nyckeln under gatlyktan eftersom det är enklast.
Tyvärr är det så jag uppfattar rätt mycket av de insatser som går under beteckningen ”informationsklassning” som inte leder till kontroll över den information som är viktig för verksamheten utan den som redan finns bekvämt paketerad i en behållare a.k.a ett ”system”.
Ibland när jag får ”verktyg” för informationsklassning som är obegripligt efterfrågade presenterade för mig kan jag inte låta bli att fnissa till och tänka på min bekant som var kommunal it-chef på 1990-talet.
Hen hävdade att det var en underbar tillvaro där hen sågs som en wizzard som på vilken fråga som helst (i princip) från verksamheten kunde hacka ihop ett it-verktyg för att lösa en uppgift.
”Stöd” sågs helt enkelt som synonymt med någon slags programvara.
Tyvärr tycks denna uppfattning leva kvar bland många i informationssäkerhetsbranschen trots att det ofta är de icke-digitala delarna i en aktivitet som är svåra.
I informationsklassning (se nedan) är den stora frågan exempelvis att göra rätt analyser, inte att hålla reda på genomförda klassningar.
Innehåller verktygen dessutom generiska skyddsåtgärder uppstår en annan problematik: vem tar då egentligen ansvar för att det är korrekta skyddsåtgärder i förhållande till risken?
Efter denna salva känner jag mig förpliktigad att ge exempel på alternativ.
Här kommer därför ett förslag på arbetssätt motsvarande informationssäkerhetens kinderägg.
De tre fördelarna med mitt förslag är att man faktiskt arbetar med information – inte system, att man kan bygga upp en likvärdig säkerhet i likartade verksamheter och att kostnader i form av pengar och tid radikalt skulle kunna minskas samtidigt som får ökad kvalitet/säkerhet.
Med avsikt har jag valt en mycket säkerhetskänslig funktion som även är mycket vanligt förekommande: processen för läkemedelshantering i äldreomsorgen.
För att ge en kort bakgrund så ombesörjs äldreomsorgen med de 290 kommunerna som huvudman.
Kommunerna kan bedriva omsorgen själva eller anlita underleverantörer som privata vårdföretag.
Oavsett vilket så är det kommunen som har ansvar som sjukvårdshuvudman och ska därmed säkerställa att omsorgen bedrivs på ett säkert och likvärdigt sätt oavsett utförare.
En central del i omsorgen av äldre är läkemedelshanteringen.
Äldre som inte får rätt läkemedel i rätt dos vid rätt tidpunkt löper en avsevärd hälsorisk, i värsta fall med döden som utgång.
Omsorgen sker dygnet runt av ett antal medarbetare som vid varje givet tillfälle måste ha korrekt och spårbar information tillgänglig.
Samtidigt berör uppgifterna om läkemedel omsorgstagarens hälsotillstånd vilket gör dem till känsliga personuppgifter som måste omges med ett mycket starkt skydd mot obehörig åtkomst.
Utöver detta finns en särskild risk i läkemedelshanteringen, narkotiska preparat och även andra är mycket stöldbegärliga.
Även detta stärker det utpräglade behovet av spårbarhet där varje händelse kan följas och och kopplas till person som i en lång verifikationskedja.
En generisk processbeskrivning på övergripande nivå skulle kunna se ut så här.
Inga konstigheter i det men man kan gå ett fördjupande steg till utan att beskrivningen skulle tappa särskilt mycket i allmängiltighet med däremot fånga upp vilken information som hanteras, se detta utsnitt ur processen: Processen startar med att en av regionens läkare gör en läkemedelsordination vilket dokumenteras i regionens vårdsystem samt i den nationella läkemedelslistan.
Dessa moment ligger utanför processbeskrivningen ovan som startar med att information om ordination överförs till kommunen som en pappersutskrift vilket startar processen.
Den intresserade kan notera följande: Detta är inte på något sätt unikt för den här processen utan gäller för många andra.
Slutsatsen man kan dra är att om man seriöst så räcker det sannerligen inte med att ”klassa” ett enskilt system utan måste få kontroll över hela informationshanteringen.
Inte heller att enbart titta på digital information utan det är just helheten som måste fångas för att rätt åtgärder ska kunna vidtas.
Även för dataskyddet är detta en självklarhet – man kan liksom inte bara skydda personuppgifter i digital form.
I den ovan beskrivna processen finns t.o.m.
bärare som apodos-påsar som måste omhändertas på ett korrekt sätt.
Det kan tyckas ansträngande att inte bara få ägna sig åt färdigpaketerad information prydligt avgränsad i system men här finns istället stora effektivitetsvinster att göra.
Det går att klassa informationsmängden ”ordination” och så vidare så att det går att använda som en i samtliga kommuner oavsett vilka bärare man för tillfället råkar använda.
Dagens rekommendation från myndigheter och SKR är att 290 kommuner med vissa fall flera förvaltningar som bedriver äldreomsorg ska klassa system i varje förvaltning.
Dessutom måste samma manöver upprepas av de privata vårdgivare som anlitas av kommunerna.
Enligt beräkningar fanns 2019 14900 företag som ägnade sig åt vård och omsorg.
Jag har inte riktigt tid att fördjupa mig i exakt hur många av dessa som bedriver äldreomsorg men för saken skull så utgår jag från att det åtminstone finns 500 privata äldreboenden.
Sammantaget kanske det då behöver göras 850 klassningar av olika vårdgivare.
Låt oss höfta och säga att resursåtgången per klassning är minst 100 timmar inklusive förberedelser och dokumentation (detta är extremt lågt räknat med tanke på att det ofta är ett flertal deltagare på klassningarna) för att klassa ett system som stödjer en liten del av ordinationsprocessen.
Lustigt nog kommer det också att bli samma system som klassas gång på gång med varierande resultat.
Kontentan blir alltså bristande kontroll över informationen och bristande likvärdighet mellan olika äldreomsorgsverksamheter till en sammantagen resursåtgång av 85 000 timmar.
Betänk också att detta bara är en av flera processer bara i äldreomsorgen.
Mitt förslag är att man istället slår ihop sina påsar, tar fram gemensamma normerande klassningar skyddsnivåer.
Skyddsnivåerna måste då tas fram i stor öppenhet där det redovisas hur man ser på olika risker och hur de föreslagna skyddsåtgärderna avses reducera dessa.
Koppling till krav i föreskrifter med mera bör även finnas.
Skyddsnivåerna måste även innefatta skydd av andra bärare än system och molntjänster, t.ex.
fysiskt skydd av papper.
En jätteuppgift är att hålla skyddsnivåerna uppdaterade så att de inte ger förlegade rekommendationer.
Då ska vi komma ihåg att detta ändå skulle kräva en bråkdel av de resurser som skulle gå åt om varje vårdgivare skulle genomföra alla moment själv.
Jag kan mycket väl tänka mig att man i många fall även kan ge förslag på arbetsrutiner.
Vad skull då detta kunna innebära i praktiken?
Naturligtvis skulle ansvaret för säkerheten aldrig kunna delegeras men exempelvis en vårdgivare skulle kunna gå i ett bibliotek av olika verksamhetsprocesser, välja ut den aktuella och få fram en bild av generisk process samt en normerande klassning av typen nedan (fast ifylld): Därefter jämför vårdgivaren med sin egen verksamhet hur väl det presenterade materialet stämmer överens.
Gör det det i stora drag, kanske med litet annorlunda benämningar, så skulle vårdgivaren med detta stöd kunna ta sig ner till nivå att kunna köpa rätt skåp att förvara den enskilde vårdtagarens medicin i. Att krav på digitala lösningar ingår är naturligtvis självklart.
Som en bonus kan även krav på bevarande och gallring läggas in.
Det kan kännas som en överväldigande uppgift att ta itu med men minns då att den redan är överväldigande och idag tynger kärnverksamheten på ett orimligt sätt.
Kan vi åtminstone ta fram normerande klassningar för generiska processer i samhällsviktig verksamhet skulle vi ge möjlighet att höja samhällssäkerheten högst väsentligt och dessutom kunna reducera resursåtgången.
Eftersom myndigheterna med särskilt ansvar för informationssäkerhet förefaller skeptiska till den här typen av stöd finns det utrymme för andra aktörer att träda fram.
Ett obligatoriskt men till intet förpliktigande uttryck sedan länge är ”transparens”, ibland så flitigt använt att man riskerar att glömma bort hur viktigt det faktiskt är med öppenhet.
Öppenheten är central för samhällsklimatet och delaktigheten men också för att kunna tillvarata den samlade kompetensen.
I Sverige har vi varit gynnade av den unika institution som offentlighetsprincipen utgjort sedan 1700-talet och som visserligen på många sätt hotas men som fortfarande är ett omhuldat ideal.
Att få insyn i och i förlängningen möjlighet att påverka de stora samhällsfrågorna är det stora värdet med öppenhet för de offentliga verksamheter där offentlighetsprincipen ska tillämpas.
Öppenhet är av samma skäl obekvämt för makthavare, det är liksom bekvämare om man får arbeta ostört och göra som man vill.
Misstag behöver heller inte upptäckas och att slippa stå till svars för det ena och det andra är naturligtvis behagligt.
Sjukvård rankas som den viktigaste frågan av väljarna.
I Sverige är sjukvården offentligt finansierad.
Dessa två premisser sammantaget ger att ett stort mått av öppenhet i hanteringen av sjukvårdsfrågor borde vara en självklarhet.
Tyvärr är inte så fallet när det gäller e-hälsa.
Även för en som tämligen noggrant följt utvecklingen inom området i 25 år är det mycket svårt att få en överblick ens över hur området styrs.
Då menar jag i form institutioner och presenterade inriktningar som rör sig på en konkret nivå.
Under de senaste tio åren har jag sett en rörelse där allt större inflyttande över e-hälsan flyttats över från staten och regionerna till SKL.
Jag har tidigare skrivit om Inera som ändå fattat beslut om att följa offentlighetsprincipen trots att man inte är skyldig att göra det.
Värre är det med SKL som är en arbetsgivarorganisation för regioner och kommuner.
Trots den litet udda konstruktionen att man som intresseorganisation tillskjuts mycket stora offentliga medel från staten och man styrs av folkvalda politiker så har inte kravet på öppenhet följt med.
Bristen på insyn blir mycket påtaglig när man ser på den för digitalisering som tillsattes efter valet och består av politiker från regioner och kommuner.
Det är alltså ett indirekt valt politiskt organ.
Uppdraget är stort och spännande för den som är intresserad av e-hälsa: Beredningen hanterar strategiska frågor om grundläggande gemensamma förutsätt­ning­ar för digital utveckling, exempelvis fråge­ställ­ningar kopplat till effektivisering genom digitalisering, automation och artificiell intelligens (AI), inno­vations- och förändringsledning, data som strategisk resurs, säker informations­hante­ring och nationell digital infrastruktur.
Vidare ska beredningen hantera rättsliga för­utsättningar för en digital samverkande förvaltning.
I uppdraget ingår också att följa SKL-koncernens samverkan för att gemensamt stötta med­lem­marna i deras verk­sam­hetsutveckling med stöd av digitalisering.
Inte minst blir man ju sugen på att läsa mer om hur beredningen ska hantera de rättsliga förutsättningar efter SKL kanske inte helt klargörande angående molntjänster häromveckan där man inte ens nämner eSams rättsliga uttalande där man avråder från att använda molntjänster.
Detta trots att SKL själva uppger följande i sin rapport: Undersökningen från Radar visar att cirka 50 procent av kommunerna använder Microsoft Office 365 (MS O365) och att 100 procent av de större kommunerna använder denna tjänst.
Hur som helst blev jag intresserad av att ta del av beredningen för digitalisering har för arbete på gång, vilka frågor man ventilerade och vilka insatser som planerades.
Detta visade sig vara en stängd dörr för när jag skickade dessa frågor till SKL:s presstjänst (de har ju inget diarium): Jag skulle vilja veta: – vilka handlingar som finns relaterade till Beredningen för digitalisering – vilka av dessa handlingar som jag kan få ta del av fick jag följande, kanske väntade svar: Tack för att du kontaktar oss.
SKL är en intresse- och arbetsgivarorganisation och omfattas inte av skyldigheten att lämna ut allmänna handlingar enligt offentlighetsprincipen.
Vi kan därmed inte hjälpa dig med din förfrågan.
Du kan läsa mer om SKL och vår organisation på .
Jag gjorde ett par försökt med kommuner och regioner, varav ett par med representanter i beredningen, om de fått in några handlingar men helt utan resultat.
Ofrivilligt parafraserar jag Tom Waits gamla låt i huvudet och får en öronmask: what are they building in there?
Men det är inte bara att man faktiskt inte lämnar ut handlingar som är utestängande.
När jag läser programmet till den med underrubriken En dag.
Oändliga möjligheter.
känner jag en lätt yrsel.
Där kommer de usual suspects att prata om ungefär samma saker som vanligt på de otaliga konferenser som går av stapeln (även om jag känner ett visst intresse för den handlingsplan för 2020-2022 som ska diskuteras) medan många av oss andra känner en mycket stor oro för de många alarmerande händelser som tydligt visar att kostnaderna skenar för för e-hälsan och att nya mycket allvarliga säkerhetsbrister hela tiden avslöjas.
Nu senast var det av ett nytt vårdinformationssystem där det avslöjas att det finns stora risker för både patientsäkerhet och integritet: I rapporten pekas på att rutinerna för riskanalys i arbetet med Skånes digitala vårdsystem, SDV, är för dåliga – informationsklassificeringen görs för sent och avklarade riskanalyser sammanställs inte centralt så att de kan följas upp.
Riskanalysverktyget anses dessutom vara svårt att hantera.
Organisationskulturen i sig finns också med bland de identifierade bristerna.
Det finns helt enkelt ingen kommunicerad agenda för informationssäkerhet med verktyg för att rapportera brister i arbetet med den nya vårdinformationsplattformen.
Det gör att brister riskerar att förbises och att ”medarbetare genom uppgivenhet både upplever och bidrar till en tystnadskultur”.
I sin tur leder det till att oro ventileras i korridorerna vilket leder till ytterligare risker.
Naturligtvis fick jag inte ut någon rapport från Region Skåne när jag efterfrågade den utan ett listigt svar att någon sådan rapport inte fanns diarieförd.
Min fråga: Jag undrar då om en sådan rapport inte finns utan att CS blivit vilseförda eller om den finns men man valt eller missat att diarieföra den?
besvarades med att den sannolikt var ett internt arbetsmaterial.
Det mest deprimerande i detta är att upprepningstvånget.
Trots att svenska sjukvården gång på gång råkar ut för stora säkerhetsproblem, trots ett antal liknande projekt i bland annat och med miljardinvesteringar inte fungerar på ett säkert sätt så är det som denna information inte tränger i genom väggarna på den svenska e-hälsans fort.
Att dessa fullkomligt vitala frågor inte tas upp på en konferens om framtidens e-hälsa gör att verkar som vi lever i två olika världar: verkligheten respektive e-hälsans utopia.
Detta är inte en bra grund för ett mycket komplicerat samhällsutvecklingsarbete!
Den tystnadskultur som den interna rapporten som CS tagit del av pekar på en mycket central risk, nämligen tystnadskulturen som gör det omöjligt att föra fram risker eftersom man då avfärdas som negativ.
För den som arbetar med säkerhet och vet hur betydelsefull en positiv säkerhetskultur är för ett fungerande säkerhetsarbete förstår på djupet hur destruktivt det här förhållningssättet är.
Tyvärr praktiseras samma förhållningssätt även på nationell nivå t.ex.
konferensprogram av typen Nationella e-hälsodagen och när en företrädare för SKL på en konferens säger att ”det är mycket enklare att vara emot”, underförstått att resa rationella frågor uppfattas som fientligt.
Jag kan möjligen förstå att SKL som lobbyorganisation jobbar med ensidiga marknadsföringsknep även om jag som skattebetalare inte skulle vilja se pengar som så väl behövs i vården gå till detta.
Däremot tycker jag att myndigheterna borde nyktra till och kunna föra en diskussion där även nyanser är tillåtna.
Jag tror alla kan stå ut med litet av den dåliga stämning som uppstår när folk visar sig ha olika åsikter.
För säkerheten i framtidens e-hälsa är det nödvändigt att kunna prata om risker och reducera dem innan de lett till ett nytt och ett nytt och ett nytt haveri.
Ibland behöver vi ta ett steg tillbaka och betrakta en till synes fast definierad problemformulering på litet avstånd för att se om det är ett tillräckligt bra sätt att förstå en viktig fråga eller om det kanske finns andra sätt att betrakta den.
Jag ska nu göra ett försök att vidga frågan om integritet i förhållande till vårdinformation i synnerhet men även till den information som skapas och bearbetas i offentliga verksamhet i allmänhet.
När vi pratar om den personliga integriteten idag handlar det i de flesta sammanhang om teknik som åtkomst till personuppgifter i it-system eller övervakningskameror.
Jag tror att detta är en alldeles för begränsade problemformulering när vi ser hur personuppgifter är det högoktaniga bränslet för multinationella företag som jag skrivit om .
Samma fenomen beskrivs i den mycket välförtjänt hyllade och lästa Konsulterna av Anna Gustafsson och Lisa Röstlund.
Vår nuvarande inställning bygger på att obehörig åtkomst till uppgifterna skulle skada vårt anseende, att intima uppgifter om oss själva skulle bli kända för ”fel” personer.
Det är en rättighetstradition som bygger på tanken att vi har en rätt till en privat sfär och även till att kontrollera ”bilden” av oss själva.
Det är i min mening en alldeles rimlig uppfattning att känsliga uppgifter om oss endast ska vara åtkomliga för de som verkligen behöver dem, t.ex.
för att ge oss rätt vård.
Det är också en inriktning som fungerat i den svenska vården sedan patientjournalerna övergick från att vara räkenskapsmaterial till att bli stöd för vård och behandling.
En snabb och hårdragen exposé skulle kunna se ut som följer.
I och med att den svenska vården till sin absoluta merpart varit offentligt finansierad och offentligt utförd under i princip hela 1900-talet har vårdinformationen varit allmänna handlingar som ägts av vårdgivaren och i väsentliga delar bevarats i och med att sjukvårdshuvudmännen (landsting/regioner) har åtagit sig att bevara alla läkarförda journaler för all framtid.
Förutom att detta förhållande har gynnat patienterna som kunnat få vård grundad på vederhäftig information har det gett Sverige ett unikt forskningsläge med tillgång till en hel befolknings data om hälsa och vård i ett välordnat system.
Förutom att det är lätt glömma bort att vi faktiskt haft mycket väl utvecklad hantering av patientdata i över ett sekel är det också lätt att glömma bort att detta bygger på ett samhällskontrakt som kan ses som en del i den svenska välfärdsstaten.
Ungefär: högkvalitativ vård och en avancerad forskning finansieras via skatten och dina vårduppgifter används för att ge dig själv och andra patienter bättre vård.
Förutsättningen för kontraktet var 1) att patientuppgifterna användes för etiskt prövad akademisk forskning och 2) att patientuppgifterna omgavs med sekretess och att det fanns hög grad av spårbarhet i vilka som tagit del av dem.
Jag vet att så fort man säger eller skriver att patientuppgifterna omgavs med höga krav på sekretess så kommer det alltid ett antal människor rusande och återger hårresande berättelser från gamla journalarkiv.
Min utgångspunkt är vad lagstiftning i form av bland annat patientjournallagen betonade och studier som gjorts av journalhantering under 60-80-talet samt de mycket konkreta erfarenheter jag har av praktisk journalhantering samt sekretessmedvetande från ett antal år i olika typer av vårdverksamheter.
Personligen har jag tycket att detta varit ett bra samhällskontrakt som bygger på ett stort mått av tillit och har ofta argumenterat emot dem som menat att patienten själv ska äga sin journal eftersom det, enligt mig, skulle leda till stora nackdelar både för patienten och för samhället.
Tyvärr har jag varit tvungen att börja ompröva detta efter de senaste decenniernas digitalisering inom sjukvården.
Om vi tar det aktuella exemplet Region Stockholms för hälsodata liksom NKS intention att lämna ut stora mängder patientdata via BCG till amerikanska företag måste vi kanske övergå till ett annat sätt att se på integritet.
Kanske måste vi lämna den traditionella svenska uppfattning och se på integritet som en äganderätt vilket är ett synsätt som varit etablerat i mer konservativa tanketraditioner som exempelvis Nozick med efterföljare.
Det skulle i detta alltmer kommersialiserade sammanhang där personuppgifter blivit guldet eller kunna tolkas som att din äganderätt av dig själv också innebär att du också äger den eftertraktade resursen som dina personuppgifter utgör.
Om du äger uppgifterna måste också ha rätten att avgöra hur de får användas utöver exempelvis vad vården kräver.
Detta är ett synsätt som går emot den rådande trenden inom svensk sjukvård där inte ens tycker de mycket begränsade möjligheter till samtycken ska få finnas kvar utan hanteringen av personuppgifter ska ske långt över huvudet på patienterna.
En randanmärkning är att sjukvårdspolitiker och SKL inte riktigt tycks acceptera gällande lagstiftning som den gällande spärrar, integritet eller molntjänster.
Istället för att inrätta sina verksamheter så att de följer lagstiftningen lägger man all energi på att argumentera för att lagstiftningen ska ändras.
Det känns inte som allt igenom konstruktivt förhållningssätt och min uppfattning är att detta är en delförklaring till den haltande digitaliseringen av vården.
I ovan refererade debattartikel förefaller inriktningen vara att patientuppgifterna generellt liksom i centret för hälsodata få användas för random ändamål för var går gränserna för ändamål som exempelvis life science, kvalitetsutveckling och uppföljning?
Det är aningen förbryllande att de politiker som kallar sig liberala tycks minst intresserade av liberala värderingar och individers rättigheter utan har en närmast kinesiskt touch i synen på relationen mellan individ, kapital och staten.
När jag läser om Centrum för hälsodata tänker jag också hur Region Stockholm ständigt upprepade bristande affärssinne som i utförsäljningar av allmän egendom till totala underpriser.
Nu ska man sälja hälsodata till ”självkostnadspris”.
Varför ska kommersiella företag inte betala marknadspris för den råvara som personuppgifterna utgör?
Även om det i mina ögon är en olycklig utveckling inte minst för den medicinska forskningen vill jag ändå pröva tanken på hur det skulle se ut om vi ägde vår egen patientinformation.
Det finns liksom ingen fördel för svenska patienter att lämna data till amerikanska försäkringsbolag eller som stöd till företagen i det som Zuboff kallar den multinationella övervakningskapitalismen.
Om vi ska ersätta tillitsbaserade relationer med kommersiella måste detta ske på ett sätt som inte bara gynnar den ena parten.
Vi skulle kunna laborera med möjligheten till en digital valfrihet där man som patient fick en äganderätt till sina patientuppgifter och därmed kunna bestämma över hur de får hanteras.
Exempelvis kryssa i ett formulär med alternativ som Mina patientuppgifter får användas: Till detta kan läggas verklig anonymisering som alternativ på samtliga val.
Patienten kanske ska erbjudas möjligheten att få ta ut ersättning då personuppgifterna säljs till kommersiella aktörer och då inte ”självkostnadspris” utan ett reellt pris.
Detta tror jag vore ett bra sätt att återföra makten till patienten, sätta till press på sjukvårdshuvudmännen att ta frågan på allvar och att utveckla privacy by design vilket ju är ett lagkrav för de som glömt bort det.
Ett annat resultat vore möjligen också att patientföreningar som representerar patientens olika intressen kunde bildas och utgöra ett komplement till de patientföreningar vars oberoende kan . En ny sorts patientföreningar skulle kunna bli förhandlingspartners och förhandla fram bättre priser än självkostnadspris för råvaran.
Tanken svindlar för vilka möjligheter som skulle kunna öppnas.
Resonemanget om en digital valfrihet för individen kan med fördel även tas in i diskussionerna om öppna data.
Jag är inte säker på om jag håller med mig själv men jag tror vi som verkligen är intresserad av den personliga integriteten måste börja fundera på hur vi ska kunna hitta verktygen i en ny tid.
Som en inledning på höstens äventyr tänkte jag bara göra några kompletterande anmärkningar till en debatt i Dagens samhälle.
Den inleddes med där jag ventilerade min oro efter vad som framkommit om Region Stockholms informationssäkerhet i den granskningsrapport som initierades av 1177-skandalen.
På inlägget följde två svar.
Det kom från ett par tjänstemän från SKL där man hävdade att regionerna arbetar resolut med informationssäkerhet.
I svaret är man tillämpar man ad hominem-argumentet att ett flertal gånger understryka att jag är ”konsulten”.
Det är ju förståeligt med tanke på NKS och i vilket vanrykte konsulter hamnat i efter den hanteringen men det som bekymrar mig är snarare att baktanken sannolikt är att göra mina argument ointressanta på grund av att jag inte representerar någon organisation.
Detta riktar i och för sig ljuset på ett tråkigt fenomen, att inträdesbiljetten i samtalet om samhällets gemensamma frågor förutsätter att deltagaren representerar ett särintresse.
Personligen tycker jag i stället att det demokratiska samtalet skulle tjäna på att många fler deltog, även de som inte har något annat intresse än att de är engagerade i att försöka förbättra samhället precis som när jag ställer upp som blodgivare.
Detta tillsammans med debattörernas åsikt att öppenhet om inträffade incidenter i offentlig verksamhet på något sätt skulle vara optional tycker jag också visar på det problematiska i SKL:s alltmer utvidgade roll.
Allt mer beslutsfattande och operativ verksamhet för in i en organisation där offentlighetsprincipen inte gäller och insynen, precis som debattörerna antyder, inte är en rättighet utan något som kan ges på nåder.
Att en arbetsgivarorganisation kan överta all fler uppgifter från demokratiskt valda organisationer och dessutom emellanåt kalla sig saker som ”koncernen SKL” (litet som om Almega skulle kalla sig koncernen Almega där alla tjänsteföretag skulle vara underordnade föreningen) leder till ett demokratiskt underskott som borde bekymra fler än mig.
För att inte falla i samma fälla och bara diskutera SKL:s svar utifrån vilka de är och inte utifrån deras argument ska jag här gå något djupare än jag kunde göra i mitt .
Företrädarna hävdar att regionerna arbetar resolut med informationssäkerhet men de exempel som ges på vad man gör tyder snarare på att man fortfarande är kvar i huvudsak teoretiska aktiviteter som möjligen kan få en säkerhetshöjande effekt längre fram.
Det skulle kunna tyckas vara gott nog om informationssäkerhet vore en helt ny fråga.
Det är det inte – behovet av informationssäkerhet i vården har lyfts fram som en kritisk fråga i flera decennier, det har funnits lagstiftning och föreskrifter som ställt krav på sjukvårdshuvudmän och vårdgivare ungefär lika länge.
Problemet är bara att frågan inte prioriterats och nödvändiga åtgärder inte vidtagits.
Att då litet förnärmat när vi närmar oss år 2020 hävda att man nu minsann är på gång med att ta fram mognadsmodeller och skrivit in i en egenstrategi att man anslutit sig till den nationella för informations- och cybersäkerhet känns inte, mja, som något som kommer att hindra incidenter och höja säkerhetsnivån inom den närmaste tiden.
Man säger också att SKL erbjuder sina medlemmar konkret stöd men där är problemet att det stöd som erbjuds t.ex.
i form av informationsklassningsverktyget KLASSA inte skulle ha utgjort ett stöd när det gäller upphandlingen av 1177 eftersom det är ett verktyg för att klassa system, inte informationen i processer.
SKL menar att jag bara gnäller utan konstruktiva lösningar.
Själv tycker jag att jag verkligen anstränger mig för att komma med förslag på förbättringar som att göra en gemensam analys för att kunna prioritera rätt åtgärder o.s.v.
men att vara konstruktiv innebär inte att man bortser från problemen.
Kanske har SKL fastnat i en föreställning att man ska verka som ett företag och att endast positiva marknadsbudskap ska förmedlas vilket följande ger intrycket av.
Jag tycker istället att ett rationellt hanterande av offentliga medel måste bygga på tydliga och ansvarsfulla problemformuleringar.
Sjukvården är i en ständig förändring där numera digitaliseringen spelar en avgörande roll.
Min enda önskaen tas på samma allvar som säkerheten i andra aspekter.
Ett läkemedel skulle aldrig introduceras utan noggranna tester, däremot är det fortfarande comme il faut att föra in nya digitala lösningar i skarp drift utan närmare tester.
Även Daniel Forslund (L), digitaliseringslandstingsråd i Region Stockholm och tycket att jag ensidigt fokuserat på revisionsrapporten när jag bedömde som regionens informationssäkerhet var undermålig.
Jag håller inte med.
Även om det var en kortfattad rapport pekade den på mycket basala systemfel som påverkar hela regionens säkerhetsarbete.
Men eftersom jag försöker ha någorlunda torrt på fötterna innan jag uttalar mig så har jag skrivit till regionen och bett att få ta del av regionens styrande dokument inom informationssäkerhetsområdet.
Utan att förhäva mig utan bara för att skapa kontext i frågan kan jag säga att jag genom åren som konsult och i andra roller sett ett mycket stort antal ledningssystem och också arbetat med att mäta befintlig informationssäkerhet i olika typer av organisationer.
Det är med denna bakgrund som jag bedömer att Region Stockholm saknar rimliga förutsättningar för att bedriva ett systematiskt.
Att regionen på hösten 2018 upphandlar en så känslig tjänst så sent som hösten 2018 utan att ställa relevanta säkerhetskrav är en bekräftelse på ett systemfel och inte en incident som inte kunnat undvikas.
Den som är intresserad får gärna ta del av de dokument jag fått från Region Stockholm för att göra en egen och möjligen annan bedömning.
Även för den som är relativt insatt i svensk hälso- och sjukvård och dessutom fortlöpande läst DN:s långa rapportering om alla turer i NKS:s skandalen är ”Kampen om Karolinska.
Konsulterna” av journalisterna Anna Gustafsson och Lisa Röstlund en upprörande och i vissa stycken hjärtslitande läsning.
Sammanställningen av en lång rad av medvetna beslut av den politiska majoriteten under ett antal år som lett till en alltmer katastrofal situation är skakande och i förstone närmast obegriplig.
Att denna politiska revolution av den stockholmska sjukvården kunnat genomföras trots att den kantats av ekonomiska haverier i en hittills okänd skala, personal som flyr eller är helt uppgivna samt i sin yttersta konsekvens patienter som faktiskt dör på grund av omorganisationen.
Boken ger en mycket grundlig och researchad beskrivning av förloppet, dessutom välskriven.
Jag kommer inte här att gå in på djupet i boken utan rekommenderar den som sommarläsning för alla.
Som konsult kan jag särskilt uppmuntra andra konsulter läsning och därefter visst begrundade av vilken skada man kan göra om man som konsult driver sin egen agenda i kundens organisation.
Det är inte en särskilt hårfin skillnad mellan att ha integritet och att driva sina egna intressen hos kunden.
Efter att ha arbetat i offentlig sektor är det vissa drag i historien obehagligt välbekanta som övertron på att gigantiska omorganisationer löser problem och managementkonsulter som löper amok och kör över alla som har någon slags kompetens, d.v.s.
Den tystnadskultur som drivits fram vid NKS där enbart lovprisning av den värdebaserade vården tolererats är inte heller den ett unikt fenomen utan en sjuka som enligt min uppfattning äter sig allt djupare in i den offentliga sektorn generellt.
Det till synes oreflekterade upphöjandet av nya organisationsteorier som frälsningslära är inte heller unikt för NKS med sin värdebaserade vård.
Själv har jag varit med om allt från LOTS till Lean via lärande organisation, det sistnämnda något ironiskt eftersom varken landstingspolitiker eller myndighetschefer verkar lära sig något av de misslyckade organisationsexperimenten – snabbt är man på nästa modeteori.
Själv har jag mycket liten tilltro till att omorganisationer löser större problem, och för detta finns det heller föga stöd i forskningen.
Men för den ledare som vill sätta sitt märke på kommunen, regionen eller myndigheten kan en stor omorganisation vara det som skapar synlighet och inge en känsla av handlingskraft.
Region Stockholm har dock tagit vissa fenomen till en ny nivå.
Varför den borgerliga majoriteten med m och kd i spetsen valde en ekonomisk driftform (OPS) som blivit många gånger dyrare än att bygga och drifta det nya sjukhuset i egen regi saknar fortfarande rimliga svar förutom att de drevs av en nyliberal överideologi.
För den intresserade som vill djupdyka i denna del finns SvD-journalisterna Henrik Ennart och Fredrik Mellgrens bok ”Sjukt hus: om Nya Karolinska – svindlerierna, skandalerna och sjukvårdskrisen i Stockholm”, också den mycket läsvärd.
Stockholmare kommer att dras med effekterna av denna mycket dåliga affär i decennier framåt.
Att man dessutom låtit konsulter från BCG skicka in juniora konsulter, fakturera vilt samt anställa sina gamla kollegor är även det ganska många snäpp mer än vad som brukar förekomma.
Lägg därtill alla turer där anställda på KI även driver företag tillsammans med amerikanska intressen och försöker påverka utvecklingen av den stockholmska sjukvården så det gynnar de egna företagen snarare än patienterna och vi har en soppa som inte skådats i Sverige i modern tid.
Särskilt oroande blir detta med tanke på att hälso- och sjukvård är en av de sektorer som är mest utsatta för korruption vilket det finns ett aktuellt Konflikt om .Det tål att påminnas om den gamla sanningen att Sverige löper en stor risk för korruption eftersom vår självbild är att vårt samhälle är immunt mot korruption.
För mig har det dock varit av särskilt intresse att ta några steg tillbaka och sätta den värdebaserade vården och den informationshantering som följt med den i ett större historiskt och politiskt perspektiv.
Jag pratar då inte om de ”normala” it-haveriförloppen inom den svenska sjukvården och framför allt Region Stockholm där först politiker går ut med löften om fantastiska nya som sedan .
Därefter glöm, få andra att glömma och upprepa.
Nu pratar vi om en informationshantering med risker på en hel annan nivå och inbyggda i själva styrningen av sjukvården.
Den värdebaserade vårdens ledande företrädare Michael Porter (forskare i management och strategi, inte medicin) brukar enligt författarna av sammanfatta sin teori i ekvationen .
Resultatet mäts i hög grad utifrån patientens upplevelse, inte ett faktiskt mätbart resultat vilket känns fascinerande paradoxalt eftersom modellen i övrigt bygger på att mäta, mäta och åter mäta.
Observera att jag inte på något sätt ifrågasätta patientens rätt att känna sig nöjd med och delaktighet i sin vård utan invändningen ligger i att det finns få så luriga mått som upplevd nöjdhet samt att detta är ett mått är skräddarsytt för en konkurrensstyrd kommersiell verksamhet.
Redan här kan man se hur valet av vårdmodell klickar i den ideologiska revolutionen av den stockholmska sjukvården.
Den värdebaserade vården satt i system förutsätter en gigantisk datainsamling för att verkligen kunna bedöma vilken aktör som vid varje tillfälle lyckas lösa Porters ekvation bäst.
Förutom att i sig skapar det NPM-inferno som även känns igen från den svenska skolan med överdokumentation och rapportering med efterföljande stress är detta en modell som illa överensstämmer med en offentligt finansierad vård.
Istället för att ta det ansvar som krävs för bland annat multisjuka äldre maximeras istället vinsten i modellen för de vårdgivare som avverkar enskilda vårdepisoder snabbast.
Som så ofta i den moderna vårdens historia har frälsare av Porters typ fått dominera och hävda att sjukvård kan ses på precis samma sätt som bilfabriker.
Och varje gång havererar de löpande bandsprinciperna utom i vissa specifika operationstyper eftersom människor envisas med att ha kroppar och sinnen som är så mycket mer unika och komplexa än nyproducerade bilar.
Skandalen på NKS gör dock att jag (och förhoppningsvis andra) får upp ögonen för hur det ekonomiska skede vi lever i fungerar.
Sedan åtminstone 70-talet har vi vetat att vi lever i ett informationssamhälle men vad betyder egentligen det?
Inte bara att vi får en massa nya coola prylar och kan kommunicera via the world wide ( wild) webb utan att vi faktiskt gått in i en ekonomi som har information som sin huvudsakliga råvara.
Den amerikanska professorn i social psykologi Shoshana Zuboff har i sin mycket omskriva beskrivit framväxten av hur det ekonomiska systemet byggt på information som råvara fungerar.
Ofta tolkas hennes teorier endast i förhållande till Google, Facebook och liknande plattformar som .
Att se Zuboffs bok snävt som en beskrivning av hur Google och Facebook fungerar är fel menar jag.
Bland annat den globala hälso- och sjukvårdsmarknaden fungerar idag enligt samma grundprinciper.
I fallet med NKS, BCG och den värdebaserade vården blir det uppenbart hur ekonomiska intressen utanför NKS, Region Stockholm och Sverige ser den svenska sjukvården som en naturresurs att utvinna.
Zuboff är inte ensam i sitt uppsåt att skildra den digitala ekonomins framväxt men hon gör det på ett sammanfattande och övertygande sätt (och med en titel som för tankarna till favoriten bland författare till breda historiska exposéer Hobsbawm).
Mycket grovt förenklat kan Zuboffs skildring av övervakningskapitalismens era ses som ett skede där teknisk innovation korrelerar med framför allt två huvudsakliga faktorer: att det från 70-talet växer fram en nyliberal hegemoni i västvärlden och efter 11 september 2001 ett samhällsklimat som präglas av en allt starkare befogad eller obefogad känsla av otrygghet.
Nyliberalismens huvudkonflikt kan, även detta starkt förenklat, ses som en maktkamp mellan statlig/samhällelig reglering och de fria marknadskrafterna.
Under de senare decennierna av förra århundradet och de två i vårt nuvarande har en systemförändrande avreglering skett och ersatts av metoder som compliance och standarder där marknaden påstår sig kunna reglera sig själv.
Kombinerad med den konsekventa nedmonteringen av rätten till integritet som motiverats av att kunna förhindra terrorism och andra brott har kapat både samhällets och individens förmåga att på ett effektivt sätt skydda sig, eller ens vilja skydda sig, mot att personlig information utan insyn och kontroll används som råvara.
När informationen blivit råvara förflyttas äganderätten av uppgifterna från individen till det företag som kan hävda sig ha ”förädlat” den (här finns en intressant koppling till Nozick som jag inte hinner utveckla närmare men låt mig ändå säga att jag ser Nozick som själva gudfadern till berättigandet av utvecklingen).
I denna historiska korsväg utvecklar först Google och därefter bl.a.
Facebook sina tjänster.
I lika hög grad som att erbjuda användarna möjlighet att utbyta information sinsemellan börjar företagen exponentiellt samla allt mer information om användarnas beteende.
I förstone motiveras detta med att det ska ge underlag för att ge användarna allt bättre tjänster för att sedan allt mer tydligt ge stöd för riktad marknadsföring.
Med den fullständigt enorma informationsbas av överskottsinformation som Google byggde upp kunde de göra så annonsörerna kunde få stor träffsäkerhet i sin annonsering.
Steget efter att ge sökvägar till annonsörerna var det som Zuboff menar är det verkligt revolutionerande: ett överskott av information rörande användarnas beteende som med algoritmernas hjälp går att användarnas behov: Instead, we are the objects from which raw materials are extracted and expropriated for Google’s prediction factories.
Förutsägelserna berör inte bara den enskilda användarna utan, viktigare, på gruppnivå.
Ett positivt exempel är när det genom användares sökningar på Internet går att förutse influensaepidemier.
Obehagligare när en kvinna börjar få annonser om mammakläder i sitt flöde redan innan hon själv vet att hon är gravid… Den verkliga vinsten i att inte bara veta hur folk/kunder beter sig när de får hålla på som de vill utan när tjänsteleverantörerna påverkar kunderna att agera på ett sätt som gynnar leverantören utan att ens fatta det.
Tjänste- och plattformsleverantörer har, som Zuboff visar, ända sedan början haft ett gemensamt intresse och samarbete med statliga myndigheter i USA och annorstädes vilket inte gör osynliga men obetvingliga styrningen mycket skrämmande.
Den generellt positiva syn som många säkerhetsmänniskor har till övervakning blir satt i detta sammanhang oroande naiv.
Marknadspotentialen i att ha tillgång till oceaner av information om beteenden är omätbar inte bara i första läget för det egna företaget utan framför allt som en förpackad kommoditet som kan säljas vidare.
Sätt då detta i korrelation med en bransch som omsätter mellan 10 och 20 % av BNP i västvärldens länder, är i snabb global tillväxt och dessutom samlar in och bearbetar känslig personlig information om alla invånare.
Landskapet som NKS och den värdebaserade vården sätts i kan liknas vid det El dorado som conquistadorerna drömde om, med skillnaden att Sverige verkligen finns och har kvalitetsregister och patientjournaler för hela befolkningen.
Det vill säga ett verkligt El dorado för inte bara vård- och läkemedelsföretag utan även försäkringsbranschen.
Cyberrymden är en ny jättekontinent som exploatörerna vill hålla så fri från reglering som möjligt.
De fantastiska marknadsmöjligheter som ligger i att kunna prognosticera patienter och försäkringstagarnas utveckling är oöverblickbara.
Denna sanning uttrycks explicit i ett citat av en högt uppsatt tjänsteman på Karolinska som inleder avsnittet som är mycket lämpligt benämnt ”Guldet” i DN-journalisternas bok: Det är en sak som BCG och bolagen de jobbar med främst vill åt.
Det är patientdata som är deras bitcoins.
Däri ligger den stora affären i värdebaserad vård.
Vi måste lära oss att leva med att Sverige med sin långtgående nyliberalism i kombination med de kvalitetsregister som på frivillig basis byggts upp under mycket lång tid tillsammans alla övriga patientdata kommer att ha ofattbar dragningskraft på internationella företag.
Det gäller på samma sätt för all annan information inklusive personuppgifter som sammanställs av svenska myndigheter.
Det viktiga är att detta hanteras på ett öppet sätt där inte bara företagen blir nöjda utan att även kärnverksamheten och dess avnämare som patienter och medborgare.
När man ser mekanismerna som varit i kraft vid NKS kan jag inte låta bli att undra över exempelvis satsningen på När satsningen presenterades av Göran Hägglund (numera tryggt förankrad i privata vårdföretag) framställdes som en särskild USP att app-leverantörer och andra entreprenörer skulle kunna bygga tjänster på de datamängder som insamlades.
Vad var egentligen hönan och vad var ägget i Hälsa för mig?
kan ses i full careta när det gäller även härvan på NKS och den värdebaserade vården.
Lobbyismen, parasiterandet på akademin och de vilseledande budskapen om vem som gynnades.
Utan att ta partipolitisk ställning tycks för närvarande samhällets förmåga att hantera en skandal som den vid NKS undermålig.
Inget ansvarsutkrävande av de verkligt ansvariga, d.v.s.
de politiker som fattat samtliga beslut både när det gäller byggnation, värdebaserad vård, konsultanvändande och it-system, har skett.
Fristående och seriös journalistik förefaller vara det enda sättet för att skapa den insyn och kontroll som de offentliga institutionerna inte är intresserade av att själva bygga upp vilket i sig är en dyster insikt.
I detta sammanhang är en stilla önskan att hela e-hälsoområdet kommer att locka till sig lika envetna, seriösa och välskrivande journalister som de som nu skrivit ”Konsulterna”.
Ett helt ofarligt löfte att ge är att det finns lika mycket att gräva fram om e-hälsa som om NKS!
Det är lätt att hamna i en politisk depression när man funderar över hur digitaliseringens starka krafter ska kunna tyglas för att dra åt ett håll som gynnar hela samhället och så att individen har en basal möjlighet att upprätthålla sin integritet.
Att krafterna som motverkar integritet är mycket kraftfulla är uppenbart och argumentationen från de kommersiella aktörerna mot integritet som hindrar affären dominerar även i ett stort antal myndighetsutredningar har jag länge observerat.
Den sittande majoriteten i Region Stockholm gjorde det till och med till ett vallöfte att göra stockholmarnas patientdata tillgängligt för industrin.
Trots detta drabbades jag litet av en chock när jag i slutet av ”Konsulterna” får läsa att OECD antagit värdebaserad vård som strategisk inriktning och kräver att medlemsländerna, däribland Sverige, ska dela patientdata via en jättelik gemensam databas, ”Parisdatabasen” där OECD är ägare till uppgifterna.
Detta sker i samarbete med – BCG… Databasen vars nytta bedöms oklar av Socialstyrelsen och vars syfte inte klart har definierats anses ändå oumbärlig.
Särskilt upprörande är att det inte går att avtala vem som ska få tillgång till informationen utan har beskrivits som ”OECD och framtida samarbetspartners”.
Ganska långt från dataskyddsförordningens regler är väl ett understatement.
Jag uppmanar alla intresserade att hålla ögonen på detta projekt, särskilt som det verkar som att OECD i aggressiva ordalag kräver in uppgifter trots svenska myndigheters tveksamhet.
Landsting och regioner är däremot föga förvånande positiva, en nödvändig levnadsregel är nog: lita aldrig på en region i integritetsfrågor.
Vad kan då göras?
Jag menar att vi måste kunna införa ett slags samhälleligt marshmallows-test där vi vågar utreda vår nya situation och skaffa oss nödvändiga redskap för att styra utvecklingen åt ett håll som gynnar flertalet och inte bara viljelöst följa med.
Oavsett politisk uppfattning bör vi kunna komma överens om att de intressekonflikter som finns i den digitala utvecklingen måste lyftas fram och diskuteras så att åtminstone invånare i demokratier har möjlighet att ställning till hur de vill ha framtiden.
Ett konkret förslag är att tillsätta en etisk kommitté med uppdrag att fortlöpande utvärdera och ta ställning till större initiativ inom digitaliseringsområdet.
DIGG kan vara sammankallande och sköta kansliet för kommittén men ett antal mycket fristående och erkänt motspänstiga ledamöter av typen filosofer bör ingå.
Otillräckligt men kanske ett första steg på att erkänna att varje mynt har åtminstone två sidor, så även digitaliseringen.
Slutligen måste jag understryka att jag inte ger någon av de nämnda böckerna rättvisa utan uppmanar alla att själva läsa dem och bilda sig en egen uppfattning.
Själv fick jag min nya Fitbit igår… Tillägg 2019-06-18: Ett visst hopp angående möjligheten att OECD:s planer kan ändå skönjas i och med regeringens beslut att inte delta i uppbyggnaden av .
Det har nu gått en vecka sedan dataskyddsförordningen trädde i kraft.
Under den förlidna veckan kom även Förvaltningsrättens utslag som gav Datainspektionen rätt gällande eHälsomyndighetens tjänst .
För mig var domen mycket välkommen eftersom jag redan sedan start uppfattat Hälsa för mig som en tjänst med skakig ansvarsfördelning och bristande säkerhet trots att den är tänkt att hantera känsliga personuppgifter från hela den svenska befolkningen.
Förra veckan skulle alltså kunna ses som en bra vecka för den personliga integriteten men det återstår verkligen mycket att göra.
En separat frågeställning som behöver lyftas är vikten av att få god information om hur personuppgifter hanteras för att kunna skydda den egna integriteten.
Individens komplicerade situation blev tydlig när jag såg en del reaktioner, framför allt från tjänsteleverantörer, angående Förvaltningsrättens utslag om Hälsa för mig.
Om jag tolkar dessa reaktioner rätt så uppfattar de det som någon form av omyndigförklarande av individer att de (individerna alltså) inte själva får bedöma säkerheten och integriteten i Hälsa för mig (plus i de appar som vidareutnyttjar information) utan att klåfingriga myndigheter lägger sig i. Själv tycker jag att det är en, hm, okonventionell hållning till myndigheters och leverantörers ansvar för sina tjänster som t.o.m.
Parks & Recreation hade en bättre analys av (i säsong 7 avsnitt 5 men hela serien rekommenderas naturligtvis!).
Komplexiteten ligger i att både kunna få kunskap om hur de egna uppgifterna hanteras för att kunna välja vilka risker man vill ta som individ samtidigt som det måste ställas krav på de personuppgiftsansvariga att ha nödvändig säkerhet och dataskydd i sina lösningar.
Båda dessa aspekter förutsätter att det finns god och dokumenterad kontroll över informationsflöden och säkerhetsåtgärder som går att presentera.
Först då finns en situation där individen kan känna tillit till den personuppgiftsansvarige och välja att antingen nöja sig med det eller att fatta ett informerat val att till exempel undandra eller spärra sina uppgifter.
Samtidigt gjorde jag inspirerad av dataskyddsförordningen ett experiment att försöka få en presentation av hur mina personuppgifter hanteras i vården.
I patientdatalagen finns regler om hur utlämnande av patientuppgifter får ske till andra vårdgivare och hur individen kan förhindra att så sker.
Detta förutsätter att patienten får kännedom om hur åtkomst och potentiell åtkomst till uppgifterna om den egna vården ser ut vilket också får ses som ett grundläggande krav i dataskyddsförordningens tillämpning.
Utan att känna till hur uppgifterna hanteras kan jag inte invända mot hanteringen och eventuellt begära en spärr.
Hittills har mitt experiment att få reda på hur mina uppgifter går från vårdcentralen in i någon typ av sammanhållen journal som sedan finns tillgänglig via bland annat den nationella tjänsten NPÖ för andra vårdgivare gått sisådär vilket kommer att avrapporteras senare.
Men dessa två sammanfallande förlopp fick mig att fundera på den ständiga frågan som ställts till mig i min yrkesroll under våren angående dataskyddsförordningen: ”Vad vi göra?” – som för att hitta miniminivån.
Ett bra steg vore om myndigheter och andra i tillitsbranscher som vården istället formulerar frågan som: ”Vad vi göra för att uppnå en god integritet?”.
Omformuleringen skulle i bästa fall kunna leda till att organisationen internaliserar integritet som ett värde för den egna verksamheten istället för ett mer ögontjänande uppfyllande av externa krav.
Då skulle individens intresse av att skydda sin integritet och det av detta följande behovet av att få god information om personuppgifterna hanteras få en betydligt högre dignitet.
Mitt till leda upprepade mantra att det inte handlar om exempelvis patientsäkerhet integritet utan om patientsäkerhet integritet skulle i så fall falla ut som ett självklart mål.
Trots att jag intresserat mig för hur vårdinformation hanteras under många år har jag aldrig sett någon flödesbeskrivning som beskriver hur information, tjänster, infrastruktur och organisationer interagerar på ett mer heltäckande sätt.
Det är möjligt att det finns men inte ens i de statliga utredningar om e-hälsa m.m.
där jag funnits med i utkanten har jag sett den typen av beskrivningar.
Det samma gäller för övrigt för e-förvaltning och digitalisering.
Det är möjligt att det finns men då så i skymundan att inte ens den intresserade finner dem.
Övergripande process- och flödesbeskrivningar skulle naturligtvis inte bara var av stort värde för enskilde utan också för myndigheter och företag som administrerar olika tjänster i flödena.
Avsaknaden av gemensam kartbild kan vara en starkt bidragande orsak till den, trots idoga och stora satsningar, inte så lyckosamma digitaliseringen.
Men just nu är jag mest intresserad av den torftiga beskrivning av den i verkligheten mycket komplexa hanteringen av mina patientuppgifter som sker i lokala och nationella tjänster.
I mitt hemlandsting finns denna som visserligen är korrekt men knappast begriplig för den vanliga patienten.
I andra sammanhang betonas ofta vikten av att sätta patientens intresse i centrum och att det ska finnas en valfrihet.
Varför skulle inte samma inriktning tillämpas på integritetsfrågan?
Jag har därför några förslag som skulle kunna stärka patientens ställning.
Första förslaget: Ta fram en infograf över hur patientinformation flödar inom och mellan vårdgivare och olika leverantörer.
Med litet god vilja och innovation borde det på sikt vara möjligt att göra för den enskilde patienten men ett första steg är att visa det på en generell nivå.
Detta skulle också vara ett stort stöd i enskilda vårdgivares presentationer av hur patientens information kommer att hanteras.
Dessutom skulle mödan att beskriva den mycket intrikata informationsstruktur som byggts upp vara väl värd sett även för att få en större förståelse hos de som fortsättningsvis ska bygga vidare – kanske resulterar det t.o.m.
i en planerad utveckling.
Ett konkret förslag är att regeringen ger eHälsomyndigheten ett uppdrag att ta fram övergripande flödesbeskrivning med inriktning på personuppgifter.
Kanske bör den nya digitaliseringsmyndigheten få motsvarande uppdrag på e-förvaltningssidan.
Som den baksluga människa jag är ser jag hur starkt dessa beskrivningar skulle kunna bidra till informationssäkerheten, kontinuitets- och incidenthanteringen och till möjligheten för långsiktigt bevarande av information med autenticitet.
I flöden bör det även framgå var valmöjligheter finns för individen, d.v.s.
där man kan välja att avstå från att låta personuppgifter om en själv gå vidare.
Andra förslaget: Ett flertal av sjukvårdshuvudmännen har struntat i att efterleva PDL och inte lyckats införa möjligheten för patienten att spärra sin journal.
Kommunikationen från vårdgivarna om spärrar har också varit märklig där det ofta framstått som att man löper stora hälsomässiga risker om man vill begränsa åtkomsten till vårdinformationen.
Spärrarna är som idé en mycket klumpig form av åtkomstbegränsning som understödjer den typen av hotfulla undertexter eftersom det handlat om allt eller inget, d.v.s.
att man spärrar stora delar av vårdinformationen oavsett vilken typ av information det är.
Mitt förslag är därför att eHälsomyndigheten får i uppdrag att ta fram ett mer dynamiskt åtkomstskydd som skulle kunna leda till en större valfrihet för mig som patient.
Till exempel så skulle jag kunna få välja att endast ge tillgång till information om läkemedel och överkänslighet medan övrig information får efterfrågas vid behov.
Tredje förslaget: eftersom vården uppenbarligen inte klarar att ha en integritetsskyddande behörighetshantering (det räcker att se på de inspektioner som Datainspektionen genomför för att konstatera det) så är pseudonymisering ett alternativ för vården vilket jag skrev om redan (här vädras verkligen gamla käpphästar).
Pseudonymisering som del i ett privacy by design-arbete i vården skulle ha många fördelar för integritet och säkerhet men skulle kräva en stor sammanhållen insats och en sannolikt en förmåga till samordning som saknas idag.
Men ändå, även detta skulle kunna vara en gemensam uppgift för eHälsomyndigheten och digitaliseringsmyndigheten.
Eller kanske Vinnova skulle kunna ge stöd till några entreprenörer som vill ta fram en pseudonymiseringsapp kopplad till BankID som skulle låta oss faktiskt välja hur mycket vi vill att andra ska veta om oss?
Det finns med största säkerhet många invändningar mot mina förslag men om jag får åtminstone några att fundera över integritetsfrågor på ett mer kreativt sätt än vad som synes ske idag lovar jag att var nöjd.
En mig närstående berättade att biblioteket där hen jobbar har en dystopihylla på barn- och ungdomsavdelningen.
Så populär är den dystopiska genren för barn att den kräver en egen hylla.
Jämfört med den yviga diskussionen om tysthetsnormen på bibliotek känns det här som en viktigare fråga för mig: varför har dystopin blivit ett så dominerande narrativ, så dominerande att även barn måste få en rejäl dos av dyster framtid?
Det är alltid svårt att bedöma sin nutid men detta är bara ett tecken på att vi för närvarande lever i en tid av ett ökande materiellt välstånd, längre livslängd, ett minskat terrorhot (i alla fall i Europa) och, sett i ett längre perspektiv, färre konflikter men med en känsla av att vi vandrar på avgrundens rand.
Egendomligt nog är oron i mindre grad riktad mot reella hot som klimatsituationen.
Undersökningar liknande den ger en ganska entydig bild av den bristande tilltron till framtiden bland unga.
Flera av senare tids mest populära serier som The handmaids tale (som bygger på min gamla favorit Atwoods bok) är också dystopier.
Inte bara barnen utan även vuxna antingen får sin redan dystra världsbild bekräftad eller influeras till en sådan via masskulturen.
Den dystopiska världsbilden fördystrar inte bara den enskilda människans liv utan avspeglar ett samhälle av rädda människor.
Att rädda människor är mer lättstyrda och mer beredda att underordna sig starka ledare som säger sig kunna erbjuda skydd är väl utforskat, bland annat av Zygmunt Bauman i verk som den Flytande rädslan.
Det förenande kännetecknet för dystopierna är ett auktoritärt styre vilket känns aktuellt även utanför fiktionens värld.
Kanske kan den skräck vi känner för de fiktiva tyrannierna i allt från Harry Potter till vuxenlitteratur omvandlas till en kraft för att förhindra auktoritära tendenser i verkligheten.
Efter att ha läst Timothy Snyders On tyranny, en kort bestseller med hög densitet, funderar jag över om dystopierna på ett olyckligt sätt medverkar till att vi accepterar auktoritära tendenser som oundvikliga.
De auktoritära tendensernas återkomst riskerar att urholka demokratin och på sikt leda till tyranni.
On tyranny beskriver faktorer som historiskt sett har berett vägen för tyranni och vad en ansvarsfull individ kan göra för att motverka att dessa faktorer får genomslagskraft.
Exemplen är hämtade dels från nazismens genombrott i Tyskland, dels det sovjetiska tyranniet.
On tyranny ger uppmaningar som att slå vakt om språket, om sanningen, om institutionerna, om integriteten, om yrkesetik och om att våga stå för en egen åsikt.
Börjar vi ge vika och kompromissa eller, ännu värre, agera som en del i den kraft som vill underminera demokrati, öppenhet och integritet så kan en snabb förflyttning ske till ett auktoritärt styrelseskick.
Exempel på rörelser i den riktningen finns i flera europeiska länder idag och det finns ingen anledning att tro att Sverige skulle vara immunt.
Det kan förtjäna att understrykas att förflyttningen mot auktoritära styren i dagens Europa i huvudsak varit interna angelägenheter och jag tänkte därför i detta sammanhang inte fokusera på vår stora stygga granne i öst utan på vad vi kan göra själva.
En möjlig slutsats utifrån den historiska erfarenheten är att ett samhälle som genomsyras av tillit är det som har bäst motståndskraft mot auktoritära styren.
Vi bör alltså inte hålla ögonen öppna enbart för de auktoritära tendenserna utan även för förhållanden i samhället som antingen skapar eller eroderar tillit.
Den tillitsdelegation som Ardalan Shekarabi tillsatt är sannolikt ett positivt steg i rätt riktning men otillräckligt eftersom målet för delegationens arbete är att ”styrningen av den offentliga förvaltningen i högre utsträckning ska baseras på ”.
Det handlar i huvudsak om saker som att föreslå nya styrmodeller i den offentliga förvaltningen som kan ersätta New public management-modeller som visat sig tämligen destruktiva, d.v.s.
tillit i förhållandet mellan regeringen och myndigheterna istället för detaljerade och mätbara kontrollprogram.
Mycket bra självklart men som sagt otillräckligt för att skapa tillit hos innevånarna i förhållande till staten eller samhället i ett vidare perspektiv.Ändå ska inte verkligen inte myndigheters roll som samhällsbärande institutioner underskattas.
Här finns ett samspel mellan att myndigheterna måste göra sitt yttersta för att få förtroende men också att medborgarna, media och debattörer accepterar ett ansvar för myndigheters och andra institutioners möjlighet att fungera.
En uppfordrande maning från Snyder som känns omodern i dagens skräniga politiska klimat är att vi måste försvara våra institutioner: It is the institutions that helps us to preserve decency.
Det här är naturligtvis ett något obekvämt perspektiv, vana som vi är att få gnälla på allt.
Jag är dock beredd att köpa Snyders resonemang och ska själv försöka komma bort från slentriangnällandet och bli mer konstruktiv.
Min övertygelse om att detta är viktigt stärktes då jag häromdagen läste en terrorismforskare hundvissla om att ”Sverige” accepterar att kriminella spränger polisbilar.
Med Snyders text färsk i minnet gjorde jag en ansträngning för att se något som helst positivt i att hen utnyttjar sin stora plattform för att göra den här typen av utspel som knappast har med verkligheten att göra.
Jag kan inte se någon sådan positiv effekt – bara att tilliten i samhället minskar.
Det måste dock poängteras att försvara institutioner som sådana inte innebär att de inte får kritiseras.
Tvärtom måste ett ständigt förbättringsarbete pågå men det måste ske med respekt för institutionerna som just institutioner.
Om vi kan vara överens om premissen att tillit är en motkraft mot auktoritära synsätt så vill jag nu gå ett steg längre och säga att vi som arbetar med frågor inom informationshantering, säkerhet och integritet har en möjlighet att i någon liten mån påverka en förflyttning i rätt riktning.
Det kräver dock kulturförskjutning inom kåren mot ett arbete tydligare grundat i värderingar och även en uppgörelse med den anti-intellektuella och delvis auktoritära hållning som alltför ofta präglar synsätt och arbetsformer.
Vikten av att förankra säkerhetsåtgärder i värderingar innebär en förståelse av att ”säkerhet” inte har ett existensberättigande i sig själv utan måste vara kopplat till att utveckla och skydda värden i organisationen, och på samhällsnivå; värden för samhället.
De materiella värdena är enkla att identifiera men i förhållandet till tillit så är det, som jag uppfattar det, framför allt öppenhet, korrekthet och respekt för den enskildes integritet.
Att detta inte faller sig alldeles naturligt för alla som jobbar med säkerhet förstår jag utifrån att ha blivit kallad både integritetsextremist och öppenhetsfundamentalist (med viss glimt i ögat) av kollegor.
Och att göra sig fri från det anti-intellektuella handlar väsentligen om att erkänna att informationshantering och säkerhet befinner sig i ett territorium av ständiga dilemman där förmågan till relevanta problemformuleringar är helt central för att vara en positiv kraft.
I detta ligger naturligtvis även förmågan att tänka och att kunna ta till sig ny kunskap samt att inse att det inte finns absoluta sanningar.
Även här föreställer jag mig en ganska mödosam process för att utveckla kåren mot en mer ändamålsenlig kultur.
Låt mig ta några exempel på frågor där säkerhetsarbete kan stärka eller stjälpa tilliten.
Den mest näraliggande proberstenen är dataskyddsförordningen som träder i kraft i maj och vars syfte är stärka den personliga integriteten (och den gemensamma europeiska marknaden).
Vi är väl ett antal som både arbetat med informationssäkerhet och integritetsfrågor, t.ex.
som PUO, men min personliga erfarenhet är att integritet försätter många säkerhetsmänniskor i ett ambivalent tillstånd.
Å ena sidan finns det redan idag lagstiftning som ska skydda integriteten och som förutsätter att informationssäkerheten medverkar till detta, å andra sidan är åtgärder som olika typer övervakning centrala i säkerhetsarbetet.
Integritet och övervakning går inte att förena utan en djupare analys där det måste finnas en beredskap för att den övervakning som skulle vara eftersträvansvärd ur ett rent säkerhetsperspektiv inte går att införa på grund av den inskränker den personliga integriteten.
Den lagstiftning som redan finns angående integritetsskydd efterlevs i många fall inte.
Jag tror inte heller att lagstiftning är tillräckligt utan att relationen mellan värderingar och lagstiftning är mer komplex än vad som framskymtar i dessa mycket seniora jurister .
Värdering och lagstiftning är helt enkelt inte synonymt (för att ta det mest slitna exemplet otrohet som inte är förbjudet men som det finns en stark värdering kring).
För att kunna hantera det återkommande dilemmat mellan integritet (som lagstiftningen kräver) och övervakning måste man ha stöd i värderingar, att verkligen bottna i att integritet är ett viktigt värde och själv aktivt verka för att förbättra den.
Lyckas man med det bidrar man till tilliten inte bara genom att slå vakt om integriteten utan även genom att på ett seriöst och öppet sätt visa att världen inte är svart-vitt utan kräver avvägningar och kompromisser.
Integritet har en tendens att frammana svart-vita resonemang och dessutom märkliga motsatsförhållanden som leder tanken fel.
Jag har tidigare skrivit om den falska dikotomi (ett argumentationsfel där det förutsätts att det bara finns två alternativ, men där det egentligen skulle kunna vara så att båda dessa alternativ är falska eller att dessa inte behöver utesluta varandra) som använts när det gäller integriteten i sjukvården.
Där har nu under 25 år patientsäkerhet ställts mot integritet trots att det är fullt möjligt att uppnå både och.
Denna falska motsättning har upprätthållits av sjukvårdens makthavare på olika nivåer och av programvaruleverantörer och är märkligt seglivad och reproduceras i alla sammanhang rörande digitalisering och e-hälsa, explicit och implicit.
Ett nytt exempel på detta är den rapport som Myndigheten för vård- och omsorgsanalys publicerade i . Rapportens syfte är att beskriva till vilket man haft stöd i enkätundersökning.
Trots den goda intentionen att ta reda på befolkningens inställning till tillgången till vårduppgifter menar jag att man hamnar i ett etiskt moras när man läser enkätens beskrivning av verkligheten och de frågor som respondenterna förväntas besvara.
Ett exempel på bakgrund: Sjukvårdspersonal har inte alltid tillgång till dina journaler som förts på andra vårdenheter.
Till exempel kan det vara så att läkaren på din vårdcentral inte kan se journalen från specialistläkare som du träffat på sjukhus.
Nu tas initiativ för att se till att olika vårdenheter ska kunna se varandras journaler, så att den vårdpersonal du träffar har tillgång till viktig information om dig.
Det är bara personal som deltar i vården av dig eller som på andra sätt behöver uppgifterna för sitt arbete som har rätt att läsa din journal.
Men detta kan ändå medföra en ökad risk att personal som inte har rätt till det läser dina uppgifter.
Redan beskrivningen sätts förutsättningen att patienten måste gå med på en ökad risk för obehörig åtkomst för att få den självklara nyttan av att behöriga vårdgivare ska få rätt underlag för sin behandling.
Samtidigt beskrivs den obehöriga åtkomsten som ett undantag Andra studier och källor pekar emellertid på att hanteringen av digitala hälsouppgifter inte alltid lever upp till dessa förväntningar på säker hantering.
trots att det är väl känt inte minst genom Datainspektionens försorg att personal som inte alls behöver det har tillgång till känslig information i sjukvården är regel idag, inte ett undantag.
När respondenten får frågor som om gissar jag att flertalet förutsätter att det endast är personal som aktivt deltar i respondentens vård som avses.
Den falska dikotomin finns ständigt som en bakgrund som när man i intervjuerna frammanar en situation på liv och död: Anser du att all vårdpersonal som du kommer i kontakt med bör kunna se (allt) ditt journalinnehåll?
a. Vilka uppgifter anser du bör vara synliga – om något – för vårdpersonal på till exempel akutmottagningen?
istället för att fråga om respondenten anser att alla inom en region inklusive fotvårdsterapeuter bör få se din psykjournal.
Min generella invändning mot rapporten, vid sidan om den falska dikotomin, är att den riktar hypotetiska frågor om specifika förhållanden där respondenterna med största sannolikhet har mycket litet kunskap som hur informationshanteringen sker, vårdens organisation och rådande säkerhets- och integritetsförhållanden.
En radikal tanke är att föreställa sig att enkäten utformats utifrån dagens verkliga situation med frågor som: Hur upplever du att tusentals anställda som inte alls deltar i din vård har tillgång till all vårdinformation och det heller inte finns rutiner för att i efterhand på ett rimligt effektivt sätt kontrollera eventuell felaktig åtkomst?
Detta innebär också en möjlighet att förändra information så att du riskerar allvarlig felbehandling.
Jag tror att den typen att frågor skulle ge en mer rättvisande bild av hur människor faktiskt bedömer sin önskan om integritet.
Svarsfrekvensen når inte upp till 30 procent vilket kan vara ett tecken på att många tilltänkta respondenter uppfattade sin förmåga att besvara frågorna som begränsad.
Det har inte utgjort något hinder för de slutsatser som presenteras i rapporten.
Jag kommer säkert att återkomma till den här rapporten då den trots sina brister och luddiga slutsatser med säkerhet kommer att användas i olika e-hälsosammanhang som ett stöd för lösningar med bristfälliga integritetskrav.
Ur ett tillitsperspektiv är det också negativt inte bara på det sätt som beskrivs i rapporten: Westins många studier har också påvisat ett starkt samband mellan graden av tillit till institutioner och inställningen till integritetsskydd.
utan också genom att institutionernas förmåga att värna den enskildes integritet påverkar tilliten.
Med den integritetssyn som signaleras i rapporten riskerar integriteten att påverkas i negativ riktning vilket i sin tur kan leda till en sänkt tillit.
Detta stärks ytterligare av den bild av verkligheten som ges inte rimmar med de granskningar av faktiska förhållanden som gjorts.
För mig blir detta ett dubbelfel sett med spaning på tillit: först de verkliga bristerna i sjukvården, därefter att de ignoreras.
Samma osäkerhet om vilken verklighet vi pratar om infinner sig lätt när det gäller säkerhetsåtgärder.
Ett uppenbart exempel är övervakningskameror.
Vetenskapligt finns det svaga för att övervakningskameror minskar kriminalitet utom då de placeras i parkeringshus.
Ändå lyfts övervakningskameror ständigt fram som ett sätt att visa handlingskraft, inte minst för att bekämpa brottslighet i utsatta områden.
Jag förutsätter att flertalet som argumenterar för fler kameror är väl medvetna om den bristande effektiviteten i åtgärden men av andra skäl ändå framhärdar i sin argumentation.
Som jag ser det leder ineffektiva säkerhetsåtgärder till en falsk trygghet eller till att själva säkerhetsåtgärderna ger belägg för att människor borde känna sig orolig eller till att alerta medborgare inser att de blir ”lurade” av myndigheterna.
Inget av dessa tre alternativ skapar en större tillit i samhället.
De bör dock få oss som arbetar med säkerhet att fundera över vilka direkta och indirekta konsekvenser vårt säkerhetsarbete kan få och att våga ifrågasätta den reella säkerhetshöjande effekten av olika åtgärder.
Avvägningen mellan integritet och vilket annat värde som helst behöver inte med nödvändigt leda till att vilket värde som helst är viktigare.
Den ambivalens som finns hos många säkerhetsmänniskor inför integritetsfrågorna finns i minst lika hög grad inför öppenhet.
Öppenhetens betydelse för samhällelig tillit är knappast ifrågasatt av någon och för svenska förhållanden finns det en stor mängd statsvetenskapliga studier om detta så jag finner det överflödigt att länka till någon enskild av dessa studier.
Den intresserade kan börja med Bo Rothstein och sedan gå vidare.
Sverige har ju också unika förutsättningar för att ge insyn i myndigheters verksamhet genom offentlighetsprincipen.
Även här finns dock ett glapp mellan lagstiftningen och de värderingar som myndigheter och enskilda tjänstemän har.
För att offentlighetsprincipen ska fungera i praktiken krävs en vilja att tillhandahålla information även om det kan leda till negativa konsekvenser för myndigheten.
Den kultur som finns inom säkerhetsområdet bär på ett arv där huvuduppgiften har varit att säkerställa att hemlig information inte blir tillgänglig för obehöriga.
Resultatet blir en osäkerhet som gör att sekretesstämpeln kommer fram för flitigt när det gäller säkerhetsrelaterad information.
Att möjligheten att sekretessbelägga information tillämpas i allt vidare utsträckning uppmärksammas av grävande journalister .
Öppenheten är basen för tillit men också ett viktigt verktyg för att kunna bedriva den källkritik som är nödvändig i ett klimat där falska nyheter och påverkansaktiviteter florerar.
Men även källkritik måste utgå från rimliga värderingar som ger tillit.
För mig som är danad i Lauritz Weibulls hårda källkritiska skola är det centralt att det källkritiska förhållningssättet tillämpas även på grunden för de egna utsagorna.
Om inte denna princip anses giltig uppfattar jag det som att vi tar ett steg mot den asymmetriska situation som råder under auktoritära regimer där enbart andra nationers påverkansförsök nagelfars medan utsagor som gynnar den egna ståndpunkten okritiskt anammas.
Tecken på sådana tendenser av överdrivet välvilligt mottagande har uppmärksammats av bland annat podden Mediespanarna rörande en undermålig rapport om rysk .
Problemet är att de som har det lovvärda syftet att avslöja rysk desinformation själva blir desinformatörer.
Det är dags att avrunda detta långa och pretentiösa inlägg med att komma några förhoppningar inför det nya året, förhoppningar som känns alldeles särskilt aktuella den här veckan då Folk och försvar drar i gång samtidigt som valåret inleds.
En första förhoppning är att vi alla har ett ansvar för att medverka till att skapa tillit i samhället.
Vi som arbetar med säkerhet bör låta vårt arbete styras av värderingar som skyddar öppenhet, integritet och demokrati.
Vi måste också våga ifrågasätta våra egna sanningar och tillämpa en systematisk källkritik där det också är tillåtet att ha fel.
Ta stöd i Timothy Snyders uppmaningar och se hur du kan omsätta dem i ditt arbete.
Läs och se dystopier men motverka att de förverkligas genom att vara extra vaksamma mot alla steg som går i en auktoritär riktning, som inskränker öppenhet och demokrati samt medborgarens möjlighet att hävda sina rättigheter även i förhållande till den egna statsmakten.
Undvik att gå in i starkt polariserade lägen som skapar falska dikotomier som att vi antingen är fullständigt naiva eller att ett storkrig står för dörren vilket legitimerar inskränkningar i öppenheten och andra demokratiska rättigheter.
Och var inte rädd, rädsla urholkar inte bara själen utan även samhället.
Sjukvårdsminister Gabriel Wikström har nu uttalat att uppgifter kring aborter ska hanteras som övriga patientuppgifter i vården .
Detta är intressant eftersom hans resonemang ställer ett antal principiella frågor på sin spets.
För att inte bli alltför tjatig kommer jag här att lämna den ständigt återkommande falska motsättningen mellan patientsäkerhet å ena sidan och integritet å den andra där hän även om den är högst relevant.
Insamlandet av känsliga personuppgifter i register sker för det ”greater good”, alltså inte för den enskilda patientens patientsäkerhet.
Få, särskilt i Sverige, skulle argumentera emot den medicinska registerforskningens stora betydelse både för enskilda och för samhället i stort.
Det finns en mycket lång tradition att använda medicinska och andra personuppgifter för forskningsändamål så det får sägas finnas en stor acceptans att vara leverantör till allehanda forskning.
Betydelsen av möjlighet till registerforskning har också fått en aktuell beskrivning i Bengt Westerbergs 2014 .
Förutsättningen för att upprätthålla legitimiteten i registerforskningen är att patienternas integritet i hanteringen vilket Bengt Westerberg uttryckligen hade att utreda.
Han har dock fått kritik för att inte tillräckligt att beakta den intresseavvägning som måste göras och inte heller att ta hänsyn till den kritik som Datainspektionen framfört gällande brister i säkerheten i registerhanteringen.
När Gabriel Wikström nu presenterar sitt förslag lyser hela denna diskussion med sin frånvaro.
Istället sker en märklig omformulering där integriteten i hanteringen av patientuppgifter ses som att man tabubelägger vissa åkommor.
Den ganska självklara och lagstadgade uppfattningen att känsliga uppgifter om hälsa ska hanteras så att de bara är tillgängliga för de som deltar i vården av den enskilda patienten framställs som en litet gammaldags känsla av skam.
Underförstått ska en modern och neurosfri människa glatt dela med sig av dessa uppgifter till de instanser och företag som tycker sig ha nytta av dem.
Förutom att det strider mot det etiska ställningstagande som finns hos allmänheten och i rådande lagstiftning är det också djupt störande ur andra synpunkter.
Uppgifter om sexuell hälsa inklusive abort kan utgöra en verklig risk för patienten om de kommer i orätta händer.
Risken för hedersvåld och vanlig ”hederligt svensk” kvinnomisshandel finns om uppgifter om abort kommer i orätta händer.
Tyvärr har även RFSU som annars brukar vara vaksamma för kvinnors rättigheter negligerat denna .
Ministern hävdar att det saknas anledning för oro.
Registren kommer att omges med nödvändig säkerhet och dessutom finns det inga uppgifter om incidenter i tidigare registerhantering.
Båda dessa påståenden måste som ytterst tveksamma.
Säkerheten i registerhanteringen är en förlängning av säkerheten hos de vårdgivare som lämnar uppgifter till registren.
Det räcker kanske med att ta ett enda aktuellt som visar på skakigheten i den generella informationssäkerheten i sjukvården och dessutom tillägga att det i dag inte sker någon systematisk insamling av it-incidenter i sjukvården över huvud taget.
Jag vågar, utan att darra på manschetten, att informationssäkerheten som är förutsättningen för integriteten i sjukvården är klart undermålig och att ministern därför saknar fog för sitt lugnande besked kring hanteringen.
Datainspektionens utlåtanden om själva registren indikerar även de på påtagliga brister.
Det är inte bara för forskning som sjukvårdshuvudmännen och andra vill återanvända uppgifter insamlade i samband med patientens vård.
I en något märklig förra veckan hävdar ett antal administratörer med emfas rätten till patientuppgifterna.
Självklart finns ett ekonomiskt och etiskt intresse av att säkerställa att de ersättningar som privata vårdgivare erhåller från sjukvårdshuvudmännen verkligen går till vård av patienter.
Det är dock ett logiskt felslut att med svepande formuleringar om tystnadsplikt hävda att det innebär att administratörer hos landstingen måste ha direktåtkomst till alla patienters person- och hälsouppgifter hos de privata vårdgivarna.
För att försöka förtydliga frågan.
Det finns starka och legitima skäl att använda patientuppgifter för andra ändamål än för vården av den enskilda patienten.
Det finns också laglig rätt att göra detta för sjukvårdshuvudmän och vårdgivare.
Men detta måste ske så att patientens integritet kan skyddas och det är sjukvårdshuvudmännens ansvar att skapa säkra lösningar för både uppföljning och forskning.
Detta är naturligtvis ingen omöjlighet att åstadkomma om viljan finns.
Istället för att formulera indignerade debattinlägg om hur integriteten hindrar sjukvårdshuvudmännens administration är det detta man bör koncentrera sig på.
Jag skrev själv ett i Läkartidningen 2010 om möjligheten att avidentifiera patientuppgifter för att öka säkerheten.
Jag tycker fortfarande att det är den typen av lösningar som borde analyseras närmare, särskilt nu när informationssystem inom hälso- och sjukvård i allt högre grad blivit attraktiva mål för externa parter.
Aktörer inom hälso- och sjukvårdsområdet måste också ta risken med integritetsbrott för den enskilda patienten på allvar.
Och när det gäller abortregistret och de undersystem som ska leverera information till registret så måste hanteringen utformas så att det skyddar den egentliga riskägaren, nämligen den kvinna som riskerar sitt liv och sin hälsa om informationen kan läsas av fel personer.

Merparten av informationsmängderna är även de att betrakta som tämligen generiska Merparten av informationen hanteras i pappersform, detta särskilt i kritiska aktiviteter i processen En stor del av informationen finns på flera bärare samtidigt I hela processen är spårbarheten är essentiell för patientsäkerheten endast för min vård, den uppföljning är lagstadgad och tydligt definierad administrativ hantering utöver ovanstående även akademisk forskning där resultaten kommer samhället till del utöver ovanstående även akademiskt forskning i kommersiell regi för kommersiellt bruk oavsett bransch

ha kontroll över sin information normerande klassning och förutse måste bör eller och alltid

Meny Patientuppgifter

MENU MENU Postat av Postad i , , , , Tagged , , , , , , , , , Postat av Hej!
Postad i , , , Tagged , , , , Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , , , Tagged , , , , , Postat av Postad i , , , Tagged , , , Postat av Postad i , , Tagged , , , Postat av Postad i , , , Tagged , , , Sök efter:

Tack Calle Lilius för bilderna!
Konsulterna vårdresultat/kostnad=värde The Age of Surveillance Capitalism Befolkningens inställning till nytta och risker med digitala hälsouppgifter Vad är din uppfattning om att olika vårdenheter får tillgång till varandras journaler?

1910 blev Karlstads lasarett det andra i Sverige som blev s.k.
delat lasarett (efter Falun).
Att ett lasarett blev delat betydde att det fanns både en medicinsk och en kirurgisk verksamhet.
I korthet var detta första steget på den snabba utveckling pådriven av en framgångsrik forskning där ögon, öron, ortopedi, röntgen, BB, barn, gynekologi o.s.v, o.s.v.
, blev egna specialiteter och subspecialiteter i ett allt finmaskigare nät.
Till detta kommer allmänmedicin och annan öppenvårdsverksamhet för att inte glömma psykiatrin i olika former.
Alla dessa med tiden hundratals olika kompetensområden måste organiseras i avdelningar, kliniker, mottagningar m.m.
för att få bästa möjliga vård för patienten till en för samhället rimlig kostnad.
Det räcker dock inte med att organisera vårdens olika verksamhet i förhållande till varandra utan vården måste styckevis och delt även passas in i samhällets generella styrning som i sin tur består av förvaltning respektive den politiska styrningen.
För Sveriges del har det i huvudsak inneburit inpassning i kommun, landsting/region och stat eftersom vården varit offentligt finansierad (även detta i huvudsak) sedan lång tid tillbaka.
Historiskt har vårdverksamheten i delar vandrat mellan huvudmännen.
Att allmänmedicin och psykiatri var ett statligt ansvar fram till 1960-talet och äldrevård en landstingsangelägenhet fram till ÄDEL-reformen då den överfördes till primärkommunerna är bara två exempel.
Vad jag vill säga med denna skamligt korta sammanfattning är att sjukvård är EXTREMT svårt att styra med en fullständigt oöverblickbar komplexitet i tre dimensioner: den interna styrningen av vårdarbetet och förvaltningsstyrningen samt den politiska styrningen.
Fram till 1970-talet var inriktningen för att hantera denna komplexitet bland annat att försöka skapa mer enhetliga huvudmannaskap vilket var en av orsakerna till att exempelvis allmänmedicin och psykiatri överfördes till landstingen från staten.
Denna trend avlöstes av den glada NPM-eran när styrningen av offentlig verksamhet fragmentiserades bland annat för att underlätta för privata alternativ.
Det var då äldreomsorgen och den social omsorgen fördes till den kommunala sektorn vilket bland annat har lett till bollandet av gamla multisjuka mellan två huvudmän – något vi sett de avskräckande konsekvenserna av nu efter covid-19.
Det är ett ganska väl beforskat hur organisatorisk komplexitet leder till det som slarvigt brukar kallas byråkrati men som jag hellre skulle benämna administration som inte är direkt kopplad till kärnverksamhetens uppgifter.
Ju större antal aktörer som ska förmås att röra sig i samma riktning eller åtminstone samspela, desto fler samordnade aktiviteter krävs för att hålla ihop helheten.
Det blir strategier, policies, planer, möten, kontroller och rapporteringar i olika riktningar.
Genom privatiseringen av offentlig verksamhet har dessutom ytterligare behov av upphandlingar, kravställningar, regelverk, beställningar och uppföljningar tillkommit.
Detta skapar kohorter av nya typer av administratörer, alltså inte den gamla typen som skötte budget, bokföring och löneutbetalningar.
Istället har kvalitetsutvecklare, upphandlingsspecialister, digitaliseringsstrateger, e-hälsosamordnare och (visst, jag kackar i eget bo) informationssäkerhetsansvariga tillkommit.
Och så naturligtvis kommunikatörer, kommunikatörer och åter kommunikatörer.
Utan jämförelser i övrigt kommer jag osökt att tänka på den här gamla klassiska bilden där jag föreställer mig vårdpersonalen dignar under hela lasset av administration upp till sjukvårdspolitiker och vårdbolagschefer.
Det är med detta i bakhuvudet jag läser i DN som drar en lans för förstatligande av sjukvården.
För mig framstår det som ett relevant förslag.
1962 gav de flesta landsting ut historiker över sina första hundra år.
Dessa historiker rymmer en fascinerande motsättning mellan beständighet och föränderlighet.
Landstingen hade funnits i respektingivande hundra år men vad ett landsting var och skulle syssla med hade ständigt förändrats under dessa är.
Vad detta lär oss är att hur samhällets basala funktioner ska organiseras ständigt måste omprövas för att institutionerna ska vara ändamålsenliga och anpassade till rådande behov.
Historiskt har detta skett kontinuerligt som jag snabbskissat ovan och det finns ingen anledning att tro att just den organisation av sjukvården har idag är den enda möjliga oavsett vad som händer i samhället i övrigt.
Själv hyser jag inte någon ohejdad tilltro till att ett förstatligande av sjukvården skulle lösa alla eller ens merparten av problem som vården har att leva med men i all enkelhet skulle åtminstone ett lager i pyramiden försvinna.
Förhoppningsvis skulle grundläggande mål som likvärdig vård vara enklare att uppnå.
En annan effekt är att den samordnade byråkratin internt mellan de idag 21 regioner skulle kunna plockas bort (även om den säkert delvis skulle komma tillbaka i en annan form).
Att inte bara DN utan även andra med viss energi börjar ifrågasätta regionernas roll väcker oro i regionsleden, inte minst hos särintressets främsta företrädare SKR vars ordförande Anders Knape som skrev ett kanske aningen sentimentalt på DN:s ledare.
Han, liksom regionala företrädare, lobbar ivrigt för att regionernas USP är den politiska styrningen av regionerna som hypotetiskt skulle göra sjukvården regionalt anpassad och därmed ”bättre”.
Med viss bombasm skriver Knape: den lokala och regionala nivåns omkring 40.000 förtroendevalda utifrån kunskap om invånarna lokalt och regionalt.
Deras kraft är oslagbar.
För den som något fördjupat sig i landstingens/regionernas historia väcker denna beskrivning antagligen skuggan av ett leende.
Inga sjukvårdsstrider har varit så infekterade som de enskilda landsting där sedan åtminstone 1920-talet omfattande manifestationer skett för att sjukstugor skulle placeras i ”rätt” samhälle eller rörande nedläggningar av sjukhus.
Knapes uttalande pekar snarare på en klassisk problemställning inom svensk sjukvård: den potentiella motsättningen mellan regional särart å ena sidan och likvärdighet nationellt å andra.
För mig framstår denna argumentationslinje också som alltmer paradoxal då SKR själva så intensivt försöker samla nationell styrning hos sig själva.
Som jag tidigare skrivit om har alltfler frågor börjat samordnas via SKR och därmed flyttats från den regionala nivån till en nationell.
Om SKR starkaste argument mot ett förstatligande är det demokratiska värde som finns i den regionala politiska styrningen verkar det ju vara att såga av sin egen viktigaste sittgren om makten förs från dessa demokratiska församlingar in i det mörker som föreningen SKR utgör.
Själv skulle jag alla dagar i veckan föredra en normal svensk myndighet framför SKR som nationellt samordnande.
Ibland dristar jag mig till och med till att tycka att det kanske är en demokratisk fördel om sjukvården lyfts bort från bypolitiken.
Knape har förstås en poäng när han lyfter fram mindre lyckade statliga experiment och då även inom digitaliseringsområdet.
Tyvärr måste jag dock säga att det är en boll som är svår att inte smasha tillbaka för den som strävar mot förstatligande av sjukvården.
INGEN fråga har engagerat SKR så mycket som digitalisering som lösning på all och jag misstänker att man har en gemensam morgonbön i SKR-palatset som går ungefär så här: Digitalisering, låt ditt namn bli helgat Låt ditt rike komma.
Ge oss i dag vårt dagliga bröd .
Och glöm våra misslyckade projekt, så som vi glömmer dem själva.
Och för oss inte in i verkligheten, utan fräls oss från ansvar.
Förlåt, det är semester… Min poäng är att trots den närmast religiösa inställning som SKR har till digitalisering i teorin så ser i praktiken digitaliseringen av den svenska sjukvården som ett härke trots de enorma resurser som tillförts.
Jag sitter mycket tungt på mina händer för att inte skriva något om den totala frånvaron av samordning av informationssäkerhet och det provocerande ointresset för integritetsfrågor där SKR knappast agerat som insiktsfull vägledare för sina medlemmar.
Om verkligheten ska användas som betygssättare för regionernas och SKR:s förmåga att skapa en nationellt sammanhållande och långsiktigt fungerande vård så ser det rätt illa ut för Knapes linje.
För att komma vidare vore det önskvärt med en hederlig gammaldags utredning som inte helt styrdes av särintressen inom vården.
Personligen lutar jag svagt åt att behovet av nationell samordning av sjukvården bäst hanteras genom ett förstatligande åtminstone av delar av vården.
Det kommer visserligen att skapa nya gränslinjer – hur ska exempelvis äldreomsorgen hanteras med större medicinsk kompetens – men jag tror verkligen det är dags att ompröva dagens situation.
Att lyckas med sitthandlar i hög grad om att kommunicera.
Att kommunicera handlar i sin tur i hög grad om att skapa förståelse och samsyn.
Detta är nödvändigt för att få människor och organisationer att agera.
Banala sanningar kan tyckas men tyvärr är dålig kommunikation en ständig ledsagare för de som arbetar med informationssäkerhet.
Själva begreppet informationssäkerhet saknar en tydlig och accepterad .
Detta leder till problem både för dem som anser sig arbeta med ”informationssäkerhet” och för dem som avser att anställa eller anlita vad de tror är en definierad kompetens.
Det blir inte enklare då man slänger in nya spännande beteckningar som ” ”.
Jag tror att det finns en olycklig tendens att de som arbetar med informationssäkerhet (i någon form) är mer intresserade av att bekräfta varandra i gruppen än att skapa en relation med omvärlden, d.v.s.
en relation byggd på ömsesidig förståelse.
Ta exemplet med titeln ”CISO” som fått en snabb spridning i svenska myndigheter inklusive regioner och kommuner.
Uttytt står CISO för vilket låter flott men titeln leder enligt min mening till mer oförståelse och förvirring än klarhet.
När informationssäkerhet i sig ännu inte är ett hushållsbegrepp så min fråga är varför man i Söpple kommun väljer att höja svårighetsnivån ytterligare och införa en titel som är helt ogenomtränglig för alla utanför skrået.Vad man chiefar över är även det höljt i dunkel.
Särskilt märkligt blir detta titulerande sett i ljuset av den svenska språklagen som uttryckligen skriver: Språket i domstolar, förvaltningsmyndigheter och andra organ som fullgör uppgifter i offentlig verksamhet är svenska.
I annan lag finns särskilda bestämmelser om rätt att använda nationella minoritetsspråk och annat nordiskt språk.
När det gäller skyldigheten för domstolar och förvaltningsmyndigheter att anlita tolk och att översätta handlingar finns det särskilda bestämmelser.
Språket i offentlig verksamhet ska vara vårdat, enkelt och begripligt.
Myndigheter har ett särskilt ansvar för att svensk terminologi inom deras olika fackområden finns tillgänglig, används och utvecklas.
Detta har alltså svenska myndigheter att följa vilket jag finner som ett rimligt krav.
Jag har funderat över varför så många väljer att bryta mot detta när det gäller CISO-begreppet, vad vill man uppnå på bekostnad av att varken den egna organisationen eller de invånare man är satt att tjäna begriper vad man sysslar med?
CISO är ju inte heller på något sätt en skyddad yrkestitel eller resultatet av en specifik utbildning utan kan stå för litet vad som helst.
Jag är den första att förespråka en klassisk professionalisering av vår yrkesgrupp, vilket jag skrivit om bland annat , men då är det helt andra och mer seriösa åtgärder som krävs än en flashig titel.
Vi borde vilja nå ut, inte spinna in oss i en allt tätare skråkokong.
Återigen; CISO-begreppet är bara ett exempel men jag tycker det är signifikativt för en attityd som jag menar är till nackdel både för professionen och för uppdragsgivare.
En episod som ofta återkommer i mitt minne är när en medarbetare för ett antal år sedan argumenterade för sin linje (som inte var min) med fritt citerat:” well, det är så vi i communitiet ser det.”.
Tyvärr fann jag mig inte tillräckligt snabbt för att fråga exakt vad ”communitiet” egentligen var och vilka som ingick i det men jag misstänker att det var någon slags informell och självutnämnd kommitté av människor som såg sig som ägare av informationssäkerhetsfrågan i Sverige.
Eftersom jag själv alltid skytt den här typen av gemenskaper är jag partisk.
Ändå vill jag säga jag uppfattar den här kårandan som ett problem som gestaltas bland annat genom lanserandet av CISO-titeln.
Istället för att rikta blicken på den egentliga målgruppen, det vill säga de som inte arbetar med informationssäkerhet, spelar vi för vårt eget galleri.
Den skapar också osunda lojalitetsband eftersom det saknas objektiva och accepterade krav på den som ska ses som en kompetent yrkesutövare.
Låt oss skingra dimman och inrikta oss på att nå ut till de som vi egentligen ska tjäna och skapa förutsättningarna för en seriös utveckling mot en profession.
Detta kan också en etablerad titel med ett tydligt kompetenskrav som på sikt till och med skulle kunna bli en skyddad.
Jag ska nu kort återkomma med en uppdatering gällande SKR och överföring av känslig information till denna intresseförening, för bakgrund se .
För att sammanfatta frågan så har SKR växt som en gökunge i den svenska förvaltningen och fått/tagit allt fler myndighetsliknande uppgifter trots att man, som SKR själva ivrigt hävdar, inte är en myndighet utan en arbetsgivare- och intresseförening.
Därav följer att SKR inte har det ansvar och den insyn som en myndighet och vi som medborgare egentligen saknar möjlighet att kontrollera och utkräva ansvar av föreningen.
SKR ligger helt enkelt utanför den styrning som den svenska förvaltningen bygger på och det är svårt att ens se vilken lagstiftning som är tillämplig.
Detta förhindrar den kritiska granskning som offentlighetsprincipen möjliggör för myndigheter även om SKR ibland försöker vilseleda genom att hävda att de handlingar som hanteras inom föreningen blir offentliga när de inkommer till medlemmarna.
Häromdagen fick jag detta l mig tillsänt där Marie Morell (m), ordförande för sjukvårdsdelegationen på SKR, hävdar just detta i en fråga som har en ekonomisk betydelse för enskilda: – Vi har kontaktat dem och skickat ut material till dem vid ett flertal tillfällen.
Det är viktigt att de skapar någon form av branschråd så att vi har en motpart att arbeta med.
Vi är en ideell förening och som sådan lyder vi inte under offentlighetsprincipen.
Men handlingarna blir offentliga så fort de inkommer till respektive region eller kommun, säger Marie Morell.
Det finns alltså ingen insyn i själva processen och som jag tidigare visat är det högst tveksamt vilka av SKR:s många ”interna” dokument som verkligen ses som inkomna till medlemmarna.
Att inte ens handlingar i beredande organ hos SKR blir allmänna handlingar hos de regioner/kommuner som har representanter i dessa organ är för mig tämligen hårresande och jag försöker förstå vem en sådan representant tror sig vara.
En privatperson som blivit invald i hembygdsföreningens styrelse (inget ont om hembygdsföreningar)?
Nu när offentlighetsprincipen är hotad från olika håll känns det extra angeläget att slå vakt av denna för Sverige (och Finland) unika medborgerliga rättighet.
I mitt framförde jag dock att det är likaledes viktigt att se vilka risker det innebär att kommunicera känslig information med en aktör där OSL inte kan tillämpas.
Grunden för att kunna skydda känslig information när den utbyts med utomstående parter är att reglera hur informationen får hanteras.
När det gäller utbyte mellan myndigheter finns denna reglering i huvudsak redan på plats genom lagstiftningen (även om jag tycker att det ofta finns anledning att förtydliga relationen myndigheter emellan).
Här intresserar jag mig inte för säkerhetsskyddsområdet utan framför allt den lagstiftning som gäller normala verksamhetsförhållande men där mycket starkt krav på konfidentialitet finns t.ex.
gällande samhällsviktig verksamhet.
Notera att det där även finns annan lagstiftning som är ytterst relevant som exempelvis Krisberedskapsförordningen.
Denna reglering saknas då information ska utbytas med privata aktörer som företag och, som i det aktuella fallet, föreningar.
Då måste menar jag ett avtal slutas som beskriver villkoren för att informationen ska kunna lämnas ut, åtgärder som ska vidtas och ansvarsförhållanden.
För att reducera att konfidentiell information kommer i orätta händer bör man även minimera informationen som utlämnas till det absolut nödvändiga samt ålägga motparten att säkerställa att endast de som verkligen behöver informationen kan ta del av den.
Enligt mitt resonemang är det alltså en självklarhet att myndigheter måste använda sekretessavtal eller motsvarande när de tänker utbyta information med företag och föreningar.
Därför frågade jag två myndigheter som på olika sätt har ett ansvar för samhällsviktig verksamhet om de slutit sekretessavtal med SKR.
Först gick frågan till MSB som ju har ett mycket omfattande ansvar i dessa frågor: Hej!
MSB har ett omfattande samarbete med SKR i olika frågor.
Vissa av dessa frågor kan vara av känslig karaktär som kommuner/regionens insatser i det civila försvaret, samhällsviktig verksamhet, informations- och cybersäkerhet osv.
I dessa frågor utbyts rimligen känslig information.
SKR är en intresseförening som inte omfattas av OSL på samma sätt som en kommun/region, ett kommunalförbund eller ett kommunalt bolag.
Jag är därför intresserad av att ta del av det samarbetsavtal med vidhängande sekretessregler eller motsvarande som utgör reglering av dessa frågor i relationen mellan SKR och MSB.
Efter tämligen lång tid och en påstötning fick jag följande svar: Jag måste först beklaga att du fått vänta på ett besked men på grund av olyckliga omständigheter har beskedet fördröjts.
Genom en sökning i vårt diarium har vi hittat två avtal med SKR: Du har rätt att begära ett skriftligt beslut som går att överklaga.
Skriv till .
För ögonblicket är jag inte så intresserad av det civila försvaret som ju knappt kommit igång så därför gick jag in på .
Det är upp till varje läsare att ta ställning men jag kan inte se att detta dokument på något sätt reglerar sekretessen i förhållande till SKR.
Detta kan synas extra anmärkningsvärt i dessa coronaapokalysens tidevarv när Socialstyrelsen sekretessbelägger information för media om vårdens p medan intresseföreningen SKR sitter med på MSB:s samordningskonferens i samma fråga.
Visserligen togs sannolikt inga känsliga frågor upp då SKR var med men det visar den vinglighet som finns då det gäller just SKR .
Jag ställde samma fråga till eHälsomyndigheten som tillsammans med bland annat SKR arbetar med den nya in (återkommer inom kort angående detta alster) och där man får gissa att det för en del diskussioner om kritiskt infrastruktur osv.
Från denna myndighet fick jag bara ett kort nej på frågan.
Detta är förstås bara två stickprov men ändå från myndigheter som är vana att hantera sekretess.
Det kan tyckas litet märkligt efter allt som hänt med Transportstyrelsen och andra incidenter där information överförts på oklara grunder.
Mitt intryck (bekräftat av ett antal tjänstepersoner på andra myndigheter) är att myndigheterna helt enkelt inte tänker på att SKR inte är en myndighet utan utgår från att föreningen är som vilken deltagare som helst i myndighetssamarbetena.
Inte heller kommuner och regioner verkar reflektera särskilt över detta utan överför utan förbehåll känslig information till det de i vissa fall verkar se som en ”överordnad” aktör.
Detta även då det gäller informationssäkerhet.
Nyligen skickades ett mail ut från SKR: Klassa 4.0 har varit efterfrågat länge och nu finns finansiering för ett projekt som inleds i nästa vecka.
Det blir flera förändringar i den nya versionen, bland annat förbättringar av befintlig funktionalitet, bland annat uppdateringar av kravkataloger som genererar uppgifter till handlingsplanen och en nödvändig översyn av upphandlingskraven.
Dessutom blir det en hel del ny funktionalitet, t.ex.
: – En ny modul för att mäta organisationens mognad, – Möjlighet till uppföljning och att ta ut nyckelvärden för organisationen och anpassat till målgrupp, – Möjlighet för SKR att ta ut nationell uppföljning på aggregerad nivå, – Stöd för CISO i det systematiska arbetet och – Modul för riskanalys.
Dessutom kommer SKR att förstärka sin organisation för att kunna avsätta mer resurser till förvaltning av Klassa.
Det kommer att öppnas en möjlighet för statliga myndigheter att använda Klassa.
Verktyget kommer dock fortsatt att ägas av SKR med kommuner och regioner som primär målgrupp.
Detta menar jag är ett projekt som bör utsättas för en mycket grundlig riskanalys!
Dessutom kan det verkligen ifrågasättas varför denna nationellt intressanta information ska ägas av en förening utan insyn och där det inte heller går att bedöma säkerhetsriskerna.
Det är dags för en mer omfattande diskussion om SKR:s roll.
Myndigheterna bör också ha en konsekvent linje i förhållande till ”förvaltningsskvadern” – antingen är man en myndighet med det fulla ansvar som en sådan har eller så få man återgå till att vara en arbetsgivarorganisation en arbetsgivarorganisation som i huvudsak ägnar sig åt sina medlemmars avtalsfrågor.
Sekretessavtal bör i dagsläget vara ett minimikrav för alla myndigheter, inklusive kommuner och regioner, som utbyter känslig information med SKR på samma sätt som man reglerar relationen med vilken privat aktör som helst.
Sällan har jag läst en utredning med sådant intresse som den nya arkivutredningen SOU 2019:58 ” ” och då har jag ändå läst många.Stoffet i utredningen och hur den är genomförd vore helt enkelt värt en egen utredning och inte bara ett blogginlägg men man tager vad man haver.
Det finns alltså hur mycket som helst att skriva ytterligare men som inte ryms här.
Innan jag går in på utredningens egentliga leverans vill jag jag uppmärksamma den metodik och presentation som tillämpats som känns mer som en redovisning av en fortlöpande workshop än en traditionell svensk utredning.
Genomgående refereras samtal med olika intressegrupper vars argument framförs utförligt innan utredningen lämnar sina förslag.
Det ger verkligen en fyllig bild av den stora bredd av frågeställningar och konfliktlinjer som förekommer i Arkiv-Sverige (detta märkliga land).
Detta tillsammans med beskrivningen med bakgrundshistorik av hur arkivväsendet är organiserat i Sverige ser jag som den stora behållningen av utredningen, mycket användbar exempelvis i undervisningssammanhang.
Utöver detta är mitt sammanfattande intryck att utredningen ägnat sig åt en mängd relativt sett små frågor, om än i vissa fall intressanta, men duckar för alla verkligt väsentliga frågor.
Dessutom är förslagen angående de frågor som man verkligen ägnar sig i de flesta fall ytterst konservativa, typ: ”efter noggrant övervägande har vi kommit fram till att den rådande ordningen är den bästa.”.
Sin djärvhet och kreativitet tycks utredningen ha reserverat för titeln på utredningen som synes sällsynt missvisande i förhållande till innehållet (intresset för putslustiga utredningstitlar är visserligen inte unikt för den här utredningen utan snarare legio i det svenska utredningsväsendet).
När man läser förslagen på ny arkivlag är det många ”skall” som blivit ”ska” och ”arkivvård” som som blivit ”arkivförvaltning” men i övrigt mycket litet förändrande kraft.
En mer rimlig utredningstitel hade varit ”Härifrån till hit”.
En annan mindre men tyvärr betydelsefull förskjutning som skett är betoningen av ”kulturarvet” ökat.
I dagens arkivlag står: Myndigheternas arkiv är en del av det nationella kulturarvet.
Myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser 1. rätten att ta del av allmänna handlingar, 2. behovet av information för rättskipningen och förvaltningen, och 3. forskningens behov.
I utredningens författningsförslag sker inga större skillnader i detta förutom att ”syfte” bli ”ändamål”, ändamålet får en egen paragraf och det nationella försvinner från kulturarvet.
Däremot ägnar utredningen sig nästintill enbart åt resonemang om kulturarvet och hur det ska skyddas och i princip inte alls åt de tre övriga ändamålen.
För mig självklara och angelägna frågor som exempelvis hur demokratin skulle kunna utvecklas genom bättre insyn i myndigheterna via de allmänna handlingarna, hur behovet av snabb och säker tillgång till information med hög grad av autenticitet i myndigheterna ska tillgodoses samt betydelsen av ett organisatoriskt minne behandlas inte alls.
Forskning likställs i bästa fall med historisk forskning men alltför ofta tycks det vara släktforskning som avses.
Ibland framstår forskning och kulturarv som på något sätt synonyma begrepp.
Kanske skulle utredningens experter och sekreterare kunnat ha en något annorlunda sammansättning för att andra centrala perspektiv kunnat lyftas fram.
De glasögon känsliga för kulturarv som använts präglar hur utredningen tar sig an övriga frågor.
Släktforskare i all ära men vilken möjlighet som här förlorats att redovisa hur de övriga ändamålen skulle kunna tillgodoses på ett bättre sätt!
Som ett par exempel på hur kulturarvsglasögonen påverkar utredningens resonemang skulle jag vilja lyfta fram följande.
Utredningen tar upp de olika uppfattningar som kan finnas mellan att digitalisera äldre material alternativt lägga resurser på att omhänderta det digitala material som hela tiden tillväxer.
Detta presenteras som om det vore två jämförbara alternativ vilket jag menar är en tankevurpa.
Att digitalisera redan omhändertaget material i pappersformat är framförallt en åtgärd för att förbättra tillgänglighet och service vilket i sig är behjärtansvärt.
Däremot är fönstret för att bevara den digitala information som ständigt tillväxer en engångschans – görs det inte kommer informationen helt enkelt inte att finnas kvar.
Även om jag inte sett någon forskning om detta är mitt intryck att vi redan nu har förlorat en stor del av de senaste decenniernas viktiga information eftersom det saknats verktyg för att ta hand om den.
I ett sådant läge är det knappast rätt prioritering att tillfredsställa dagens kulturarvsintressenter med bättre service eftersom det oundvikligen sker på framtidens bekostnad.
Ett annat (betydligt mindre viktigt) resursmässigt vägval som kommit i förgrunden för mig under senare år är att det borde vara fullt möjligt att minska arkivinstitutionernas lokalytorna i attraktiva lägen.
Idag finns de statliga arkiven fortfarande ofta kvar i pampiga byggnader trots den stark sinande strömmen av besökare till forskarsalarna när alltmer material finns digitalt tillgängligt.
Går det att moraliskt försvara denna resursfördelning eller börjar det bli dags att avveckla forskarsalarna, samarbeta med biblioteken om forskarservice och flytta depåer till billigare lägen?
Även här tror jag kulturarvskulturen (!)
spelar in i bedömningen eller att frågan inte ens tas upp när arkivens knala ekonomi diskuteras i utredningen.
Jag menar, det är ju inte säkert att det finns pengar att spara, men finns ju anledning att åtminstone ställa frågan.
Jag skulle också vilja hävda att det positiva som ligger i det empiriska förhållningssättet med mängder av intervjuer och kompilationer av bakgrund möjligen skett på bekostnad av en genomarbetad teoretisk utgångspunkt.
Arkivteori lyser helt med sin frånvaro, något som jag tror missgynnat utredningen i dess problemformuleringar.
Exempelvis tror jag att analyser med avstamp i en problematisering av inre och yttre proveniens i ett dagens gemensamma informationssäkerhetsarkitekturer skulle kunna ge intressanta ingångar för exempelvis ansvarsfördelning och nya tekniska lösningar.
En fåfäng önskan, jag vet det, är att utredningen skulle fördjupat sig i för- och nackdelar med den nära kopplingen mellan TF, OSL och arkivlagen.
När starka krafter strävar att allt mindre del av myndigheters information ska ses som allmänna handlingar kommer det i nuvarande legala konstruktion att påverka inte bara insynsmöjligheten utan i sin förlängning både forskning och kulturarv.
Som den arkivarie jag innerst inne är sörjer jag över att utredningen missat möjligheten att faktiskt göra något som skulle rädda den situation som jag idag skulle vilja jämställa med klimatkrisen.
Den gigantiska mängden information som ständigt skapas men som inte omhändertas eller bevaras på ett beständigt och säkert sätt och där arkivarierna står som med snöskyfflar i en global lavin.
Utredningens ytterst modesta försök att greppa denna situation kan delvis ses som ett symptom på att det saknas en gemensam metateori om samhällets informationshantering som gör att varje utredning eller annan insats blir som ett fragment utan sammanhang.
Ofta blir utredningar fångar i sitt uppdrag.
Orsakerna till detta kan vara flera.
En vanlig orsak är att uppdragsgivaren redan bestämt sig för vilket svar man vill ha från utredningen, en annan att uppdragsgivaren har så oklar bild av området att uppdraget får en så märklig inriktning att det blir svårt att genomföra.
Jag kan inte se att detta gäller arkivutredningen.
Uppdraget som utredaren fått är både helt fritt och detaljstyrt på en gång: En särskild utredare ska göra en bred översyn av arkivområdet.
Det övergripande syftet är att säkerställa samhällets tillgång till allmänna handlingar både nu och i framtiden.Utredaren ska bl.a.
•översiktligt beskriva arkivsektorn samt beskriva och analysera hur samhällsutvecklingen har påverkat och kan förväntas påverka förutsättningarna för arkivverksamheten och olika arkivinstitutioner, •se över arkivlagstiftningen och närliggande lagstiftning och vid behov lämna förslag på hur lagstiftningen kan anpassas till utvecklingen på området, •analysera Riksarkivets roll och lämna förslag på uppgifter i förhållande till andra myndigheter och arkivaktörer för att undvika över-lappning och för att upprätthålla en god och säker informations-hantering och möjliggöra en allsidig historiebeskrivning, •analysera de ekonomiska konsekvenserna för Riksarkivet och andra arkivmyndigheter på kort och lång sikt av den offentliga förvaltningens övergång till digitala processer, och •analysera om regleringen för de enskilda arkiven bör förändras för att kunna tillgodose behov inom rättsskipning, förvaltning, forskning och skydd för kulturarvet •lämna nödvändiga författningsförslag.
Smaka på det syftet.
Jag menar att utredningen haft chansen att ta ett strategiskt grepp om samhällets arkivfråga men istället fastnat i detaljerna och inte minst i de konflikter som finns inom arkivområdet.
Den allt överskuggande konflikten är den gällande Riksarkivets ställning vilket också framkommer i redovisningar som lämnas från de dialoger som utredningen fört med olika aktörer.
Konflikten har funnits under lång tid men har tack vare utredningen kommit i öppen dager på ett sunt sätt.
En resumé av konflikten är ungefär så här: Riksarkivet vill gärna centralisera och bestämma mer medan andra aktörer som kommuner och regioner tycker att Riksarkivet lämnar alldeles för dåligt stöd och borde ägna sig åt att utveckla sin styrning genom att sysselsätta sig med metodutveckling och effektiv rådgivning.
Riksarkivet vill t.ex.
kunna meddela föreskrifter för kommuner och regioner vilket inte mottas väl av de tilltänkta objekten för föreskrivandet.
Detta anspråk förefaller även mig rätt övermaga med tanke på att kommuner och regioner ligger betydligt längre fram i centrala arkivfrågor än vad staten och Riksarkivet gör.
Riksarkivet tycks gärna vilja fly ett operativt ansvar t.ex.
i fråga om e-arkiv och FGS:er men känner sig sedan förbisedda trots att det sällan finns anledning att uppsöka den som inte gör något.
Kritiken mot Riksarkivet är tämligen förödande då den beskrivs i ämbetsmannaprosa i utredningen: Det finns en uppfattning om att så länge den statliga arkivmyndigheten inte fullt ut klarar sina grundläggande uppgifter bör myndigheten inte tillföras nya.
Frågetecken sätts för om myndigheten verkligen har förmåga att i framtiden leda utvecklingen kring digital informationshantering.
Utredningen tycks ställa sig på deras sida som tycker att Riksarkivet borde luta sig mer mot att tillhandahålla nyttiga redskap än att genomdriva sin vilja på ett mer repressivt sätt: Utredningens inriktning bakom de föreslagna bestämmelserna är att samförstånd, tydliga föreskrifter och en generös rådgivning ska prioriteras framför arkivmyndigheternas tillsyn och sanktioner.
Jag delar helt den uppfattningen.
Både som verksam arkivarie och därefter har jag förundrats över hur torftigt stöd Riksarkivet tillhandahåller.
För att bara ta ett exempel i den stora högen så har myndigheten inte tagit fram någon vägledning för centrala arkivuppgiften gallring sedan 1995 och jag tror vi alla kan vara överens om att det hänt en del på 25 år.
Legitimiteten för Riksarkivet tycks låg också då myndigheten avlövats ett antal uppdrag till bland annat DIGG.
Den brist på metateori om samhällets informationshantering som jag tidigare nämnde leder även till en oförmåga att hantera myndigheters uppdrag i förhållande till varandra där nu det finns stora oklarheter om hur Riksarkivet och DIGG ska leva tillsammans.
Utredningens lösning på frågan är att Riksarkivet ska samordna metoden då de orimligt upphaussade FGS:er (ser verkligen fram emot att nyttan av dem utvärderas på ett opartiskt sätt) även då de tas fram på annat håll.
DIGG ska å sin sida föreslås fortsätta: samordna frågor om gemensamma standarder, format, specifikationer och liknande krav för den offentliga förvaltningens informationsutbyte i de fall uppgifterna inte ligger på regeringen eller en annan myndighet FGS:erna är verkligen ett tröstpris då Riksarkivet blir omkörda av DIGG i princip allt annat som gäller informationshantering.
Det är svårt att se att Riksarkivet spelar en viktig roll i samhällets digitalisering.
Istället lever myndigheten i en permanent identitetskris med ständiga omorganisationer där man förlamats av frågan hur mycket arkivverksamheten ska vara en del i den pågående informationshantering.
Det förefaller som de som deltagit i dialoger med utredningen, och då särskilt representanter från kommuner och regioner, starkt pläderat för det som kallas ”proaktivitet”.
Häri ligger av de andra stora konflikterna inom arkivområdet.
Ska arkiven helt koncentrera sig på att omhänderta avställt material eller ska man även gå in och proaktivt bearbeta organisationers informationshantering så att arkivintresset är med redan från då information skapas?
Eller ska arkivarierna t.o.m.
vara specialister på informationshantering generellt och inte bara sett i arkivperspektivet?
Medan vankelmod råder centralt där nog traditionen att kalla informationshanteringen för ”kontors-ADB” och något att frynas över går framför allt fler kommuner och regioner över mot organisatoriska lösningar man samordnar uppgifter relaterade till informationshantering som arkiv, informationsförvaltning, dataskydd och informationssäkerhet.
Man ser helt enkelt informationen som den kanske viktigaste resursen för en organisation, en resurs som måste utvecklas och förvaltas för att organisationen ska fungera på ett ändamålsenligt sätt.
Detta är en linje som jag själv drivit sedan 90-talet så det är klart jag hyllar denna utveckling.
Samtidigt går det inte att förneka att det uppstår en dissonans när Riksarkivet inte alls är i takt med denna rörelse utan snarare utgör en konserverande kraft (och då inte på ett positivt sätt).
Det gör att det saknas ett nationellt nav för teori-, metod-, och kunskapsutveckling, erfarenhetsutbyte och styrning för det som till och med saknar ett entydigt begrepp, jag menar informationsstyrning, informationshantering eller informationsförvaltning kan innebära vad som helst (ja, jag vet att det finns en standard för informationsförvaltning men det hjälper inte särskilt mycket här).
För mig framkommer här ytterligare en av de stora bristerna i utredningen, nämligen att man helt missar kopplingen till informationssäkerhet.
Ordet ”informationssäkerhet” nämns nio (9!)
gånger i hela utredningen och då bara en passant.
Inga analyser eller ens resonemang om hur informationssäkerhet och -hantering inklusive arkiv skulle kunna vara två hjul på samma vagn trots att mål, objekt och metoder verkligen behöver samordnas för att bli ett effektivt stöd för verksamheten.
Extra tråkigt är det då allt fler arkivarier sett sambandet i praktiken och skulle behöva inriktning och moraliskt stöd för att gå vidare.
Samma sak gäller dataskydd.
Men den stora frågan är trots allt att man inte orkar närma sig den stora elefanten: hur ska den alltmer gemensamma informationsarkitekturen tas med in i framtiden?
I detta sammanfaller alla de brister som jag tidigare pekat på.
Som att det saknas ett arkivteoretiskt resonemang om hur proveniensprincipen ska tillämpas när det inte längre går att urskilja tydliga arkivbildare i en gemensam informationshantering.
Som att utredningen inte förmår att föra en diskussion om information istället för det snäva begreppet ”allmänna handlingar”?
Som att man inte tar på allvar hur den verkligt bevarandevärda informationen som patientjournaler löper en överhängande risk att försvinna för att lagstiftning tillåter det och för att det saknas metodik för att hand om den.
Som att det inte finns en antydan till förslag på hur det långsiktiga bevarandet ska ske organisatoriskt eller tekniskt eller ens hur frågan ska angripas.
Som att det inte görs något begreppsmässigt klarläggande gällande ”e-arkiv” och långsiktigt digitalt bevarande.
Som att varken utredningen eller Riksarkivet kräver rimliga ekonomiska förutsättningar för att göra det som är nödvändigt, jag menar 288 miljoner under 5 år … Jag skulle kunna fortsätta med denna uppräkning ett bra tag till men skonar de eventuella läsare som orkat följa mig ända hit.
Här kommer en summering av min diskussion med SKR angående ett eventuellt tillämpande av offentlighetsprincipen även inom SKR.
Jag inledde med ett i Dagens samhälle där jag försökte resonera angående varför det vore lämpligt att SKR skulle omfattas av offentlighetsprincipen.
De 3500 tecken som står till buds för en debattartikel omöjliggör naturligtvis en rättvis behandling av de frågeställningar som skulle behövas för en så komplicerad fråga som den jag lyfte.
Ändå tyckte jag än då att det tydligt i min artikel framgick att det finns ett antal skäl till varför SKR:s ställning som ”ideell förening” borde omprövas.
En resonerande inställning där olika argument prövas är dock inget som intresserar SKR.
Istället skickades föreningens VD för att ge ett .
Kanske det ändå inte blev så dräpande som önskat eftersom en hel del läsare (t.ex.
och och ) reagerade på SKR:s icke-svar och den attityd varmed det förmedlades.
Litet orolig blir man ju med tanke på att Isling rekryterats till SKR för .” Själv tycker jag att SKR ofta verkar lida av ett attitydproblem där tjänstemännen antingen uttrycker sig med viss arrogans eller inte alls då motiverade frågor ställs.
Isling är i detta fall inget undantag och är hans förhållningssätt ett exempel på den nya inriktningen för SKR bör man kanske sätta sig och titta litet på på kartan för att ta ut en annan riktning.
I min försökte jag visa att SKR har stora möjligheter att uppnå den öppenhet som Isling menar att man vill men inte kan (enligt honom) ha.
Jag pekar på paradoxen att Inera valt att frivilligt tillämpa öppenhet men inte SKR men det vilar en kanske en ännu större paradox i att SKR ska ge för att utveckla demokratin kommuner och regioner.
Den som ska ge stöd i demokratiutvecklingen borde rimligen vinna på att vara ett föredöme.
För att förstå SKR:s ställning måste man förstå kommunernas (inklusive landstingskommuners även om de kallar sig regioner) ställning i det svenska styrelseskicket.
Även om man ofta pratar om det kommunala självstyret är alla den makt och det inflytande som kommuner har en delegation från den centrala statsmakten.
Kommuners existensberättigande ligger framför allt i att de har en territoriell förankring, d.v.s.
de har en delegation för styrning av vissa frågor inom ett avgränsat geografiskt område samt beskattningsrätt för samma område.
Kommunerna ska alltså kunna utgöra en motpol till den nationella styrningen och tillgodose lokalsamhällets interna behov utan att först behöva passera den nationella nivån (mycket förenklat uttryckt).
Även i detta perspektiv är SKR något av en paradox.
Genom sin ständiga tillväxt och överförande av allt fler kommunala frågor till en nationell nivå så blir legitimiteten hos det kommunala självstyret i samma takt naggat i kanten.
Mitt intresse i debattartikeln var dock främst inriktat på informationshanteringen där information som i kommunerna hanteras enligt TF och OSL blir utslussad till en ideell förening som inte alls har samma krav på sin hantering av samma information.
Det gäller öppenheten där t.ex.
stora framtidsfrågor som digitalisering och e-hälsa beslutas helt utan insyn och medborgardialog.
Men det gäller även skyddet för känslig information som i ursprungskommunerna styrs av OSL.
Jag tänkte på det när jag läste om SKR gjort en stor enkätundersökning om informationssäkerhet i alla kommuner och började då fundera på hur denna känsliga information hanterades inom SKR.
Har de deltagande kommunerna slutit sekretessavtal med SKR och vilken information har de fått om hur informationen hanteras?
Jag läser också om SKR:s där det inte står ett ord om statistiksekretess.
Ytterligare en fråga där sekretessen är av central betydelse är civilt försvar där ett alltmer aktivt deltagande kommer att krävas av kommunerna.
Vilken information i dessa frågor är möjlig att lämna till SKR?
Det är möjligt att dessa frågor hanteras på ett utmärkt sätt men just i och med avsaknaden av tillämplig lagstiftning föreställer jag mig att behovet av avtal blir stort och något krångligt att administrera liksom att ansvarsförhållanden ständigt måste redas ut.
Jag ser en risk för något jag skulle vilja kalla ”trust by proxy”, d.v.s.
att man förutsätter att SKR har samma styrning som de ingående medlemmarna och därmed inte vidtar de skyddsåtgärder som är nödvändiga.
Om jag låter omotiverat misstänksam ber jag om ursäkt men bakgrunden är delvis att det är mycket svårt att få uppgifter om säkerheten inom SKR.
När jag exempelvis ställde en fråga för ett tag sedan om föreningen har en säkerhetsskyddschef fick jag till svar att de behövde man inte svara på eftersom man inte är en myndighet… Sammantaget tror jag man skulle ha mycket att vinna på att vara tydligare i dessa frågor och då inte bara visavi medlemmar.
Alla dessa viktiga välfärdsfrågor som SKR i allt högre grad hanterar så att de därmed försvinner från offentligheten är inte bara viktiga i nuet utan också för framtiden.
Tanken att framtida forskning inte kommer att ha ett grundmaterial att utgår från för att kunna förstå hur vitala offentliga frågor beslutats svider verkligen.
Att SKR inte har ett krav på sig att bevara och tillhandahålla denna information är en förlust för hela samhällsutvecklingen!
Som en liten julklapp till SKR kommer jag här med ett förslag på lösning på problemet så att SKR också kan bedriva verksamheten med den öppenhet man säger sig vilja ha.
Idag är man alltså en ”ideell förening” vilket känns aningen märkligt med tanke på verksamhet och finansiering.
Det gör att det i finns mycket litet av som påverkar hur verksamheten ska bedrivas vilket i och för sig gör det fullt möjligt att tillämpa TF och OSL på samma sätt som Inera beslutat göra.
Å andra sidan finns det en i mitt tycke betydligt mer stabil lösning, nämligen att SKR omvandlas till ett kommunalförbund som det beskrivs i . På det sättet skulle man både få en verksamhet som är effektiv, har reglerade styrformer och de krav på informationshantering som finns i medlemsorganisationerna.
Det skulle bryta den nuvarande rörelsen där delaktighet och insyn försvinner när betydelsen av frågorna ökar men också ge betydligt bättre grund för samarbete mellan stat och kommuner.
I annat fall undrar jag var gränsen för SKR som ideell förening går – hur mycket kommunala uppgifter kan en förening egentligen ta över?
Mottar tacksamt motargument mot omvandlingen till kommunalförbund eftersom för mig känns den lösningen ganska praktisk men säkert har jag förbisett några för andra självklara förutsättningar som talar emot en sådan lösning.
Trots min julklapp tror jag ärligt talat att intresset för att ens överväga övergång från förening till kommunalförbund är mycket svalt inom SKR, det är sällan de som har privilegier som arbetar för att ta bort dem.
Däremot är det en idé att försöka få igång en debatt i riksdagen vilket kan vara en målsättning för 2020.
Ibland är man tvungen att återvända till gamla jaktmarker.
Där är jag nu.
Efter en sensommar och höst då jag funderat en hel över Inera och i förlängningen SKR blev frestelsen för stor och jag började plocka fram gamla luntor ur bokhyllan.
Luntor som jag framför allt samlat på mig när jag började forskarutbildningen i ekonomisk historia med ambitionen att skriva en avhandling om landstingens roll i den svenska modellen.
Sedan kom barn och livet emellan så det blev aldrig mer än en ambition.
Däremot ledde det till ett fortfarande pågående stort intresse för den regionala styrningen och sjukvård samt, som sagt, till en inte obetydlig samling litteratur i frågan.
Livet är cirkulärt och nu gläds jag över att återigen ha anledning att dyka in mina gamla böcker (verkligen gamla).
Jag läser om hur Svenska Landskommuners Förbund, Svenska Landstingsförbundet och Svenska Stadsförbundet via Landstings- respektive Kommunförbundet utvecklats till SKR.
Från att ha varit renodlade arbetsgivarorganisationer med uppgift att ge medlemmarna stöd i förhandlingarna med de anställdas organisationer har SKR nu utvecklats till en organisation med ständigt växande antal anställda och som lika kontinuerligt påtar sig nya operativa uppgifter.
Mycket stora skattemedel fördelas via SKR och en inte på alldeles anspråkslös summa (understatement) går till SKR:s egen interna organisation, se budgeten på sida 49 i denna redovisning jag fått ut från SKR.
per medborgare och år enligt SKR själva.
Slutligen leds SKR av indirekt valda politiker som även har kontroll över de bolag som ingår i SKR-sfären.
Enligt svensk lagstiftning ska offentlighetsprincipen tillämpas i alla myndigheter (inklusive kommuner och regioner) samt kommunala bolag m.m..
I OSL 2 kap står det följande: Vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter ska i tillämpliga delar gälla också handlingar hos aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande.
Sådana bolag, föreningar och stiftelser ska vid tillämpningen av denna lag jämställas med myndigheter.
Kommuner och landsting ska anses utöva ett rättsligt bestämmande inflytande om de ensamma eller tillsammans 1. äger aktier i ett aktiebolag eller andelar i en ekonomisk förening med mer än hälften av samtliga röster i bolaget eller föreningen eller på något annat sätt förfogar över så många röster i bolaget eller föreningen, 2. har rätt att utse eller avsätta mer än hälften av ledamöterna i styrelsen för ett aktiebolag, en ekonomisk förening eller en stiftelse, eller 3. utgör samtliga obegränsat ansvariga bolagsmän i ett handelsbolag.
Vid tillämpningen av andra stycket 1-3 ska inflytande som utövas av en juridisk person över vilken en kommun eller ett landsting bestämmer på det sätt som anges i de nämnda punkterna anses utövat av kommunen eller landstinget.
Första stycket gäller också för handlingar som efter medgivande av en kommun eller ett landsting för viss bestämd tid förvaras hos aktiebolag, handelsbolag, ekonomiska föreningar eller stiftelser där kommuner eller landsting tidigare har utövat ett rättsligt bestämmande inflytande.
Vad som föreskrivs om kommuner och landsting i första-tredje styckena tillämpas också på kommunalförbund.
För en ytlig betraktare förefaller SKR uppfylla alla kriterier som t.ex.
att kommuner/regioner utövar ett rättsligt bestämmande inflytande.
Ändå omfattas inte SKR av offentlighetsprincipen, ett förhållande som är allt mer förvånande ju mer man tänker på det.
Bristen på insyn i en politiskt styrd organisation med den makt SKR har är en anomali i det svenska systemet som sannolikt har sin upprinnelse i de ursprungliga förhandlingsorganisationernas uppgifter.
I arbetsgivarorganisationer med enda syfte att förhandla arbetsvillkor kan möjligen hemlighetsmakeriet accepteras – i en organisation som för kommuners och regioners talan i en mängd frågor, opinionsbildar på ett inte helt okontroversiellt sätt och dessutom leder allt fler operativa verksamheter kan det det inte.
Inte minst att det inte går att utkräva ansvar borde ses som en mycket missklädande fläck i det offentliga Sverige.
Att slutna sällskap inte är nyttiga ens för sig själva är en ganska uppenbar slutsats efter i Svenska Akademien.
Samma faror av vänskapskorruption lurar i SKR, dessutom är man utsatta för ett starkt kommersiellt tryck i exempelvis digitaliseringsfrågorna.
Vad synen att digitalisering är lösningen på i princip alla samhällsfrågor bygger på när inga seriösa siffror som underbygger detta väcker frågan vems intressen som egentligen tjänas av SKR.
Ökad öppenhet i denna och andra frågor skulle ställa krav på samma typ av underlag och ansvar som i de kommuner och regioner som skickat delegater till SKR.
Istället urlakas den demokratiska processen markant i och med överförandet av frågor till SKR.
Det finns även andra skäl att göra en reglering i OSL så att även SKR omfattas av kraven på offentlighet och sekretess.
Ett starkt sådant är att SKR allt mer fungerar som en mellanstation mellan statliga och kommunala myndigheter också kan komma att hantera känslig information som rör exempelvis informationssäkerhet.
Eftersom OSL inte gäller kan det vara svårt för myndigheterna att reglera eller överblicka hur informationen hanteras i föreningen SKR.
Samtidigt är det svårt för kommuner och regioner att ifrågasätta att lämna ut information om sina förhållanden till SKR.
Ytterligare ett skäl är kopplingen till arkivlagen som ställer krav på att allmänna handlingar ska bevaras inte bara av insynsskäl utan även för att garantera rättssäkerhet och möjlighet till forskning.
Risken för att den helt offentligt finansierade verksamheten SKR med sin allt tyngre samhällsroll inte lämnar ett bra forskningsmaterial efter sig är överhängande.
Min enkla poäng är att om SKR agerar som en myndighet ska man behandlas som en myndighet.
Det är dags för SKR att inte bara byta namn utan även vara beredda att ta ansvar i förhållande till sitt inflytande.
Hur OSL och kanske TF behöver förändras och kompletteras med en rad som inkluderar SKR i dess räckvidd bör vara en ganska enkel juridisk manöver (jag är ju inte jurist så jag kan ju unna mig att ta lätt på frågan).
Sannolikt är det en betydligt svårare politisk process att tvinga ut SKR:s makthavare ur den så behagliga hemliga stugvärmen men icke förty är detta vad demokratisk anständighet kräver.
Efter Kammarrättens utslag dröjde det bara några dagar innan jag fick ut de dokument som jag började jaga med en fråga den 6 augusti.
Samtliga tre dokument har mycket marginella maskningar vilket jag återkommer till men som läsaren själv har möjlighet att bedöma eftersom jag lägger ut dem i sin helhet.
Låt oss då se på dokumenten och då först till det mest övergripande: Riktlinje för informationssäkerhet.
Detta dokument tycks ha ganska litet att göra med den policy som beslutades i och därts övergripande syfte anges vara att främja digitalisering samtidigt som tillit till informationshanteringen upprätthålls.
De flesta skulle kanske anse att informationssäkerheten ska stödja kärnverksamhetens uppdrag, i det här fallet egentligen kundernas uppdrag, men Inera är sannolikt i detta fall ett offer för SKL:s överideologi där digitalisering är ett dominerande egenvärde.Inte ett ord om patientsäkerhet för att bara ta en sak som jag personligen anser aningen viktigare än att ”främja digitalisering”.
Den sällsynt korta policyn innehåller ingenting om ansvarsförhållanden eller vem som egentligen ska styra säkerheten, däremot är ett mål att säkerhetsarbetet ska grundas på ”gemensamma regelverk, referensarkitekturer och styrande principer”.
Gemensamma för vem och framtagna av vem kan man undra.
Policyn ska tillämpas enbart internt och det saknas relation till kunderna trots att Ineras roll som leverantör: Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering.
Den ska också tillämpas i projekt och på förvaltningsobjekt.
Policyn ger som jag ser det inte någon verksam strategisk ledning för Ineras säkerhetsarbete i rollen som tjänsteleverantör eftersom ansvar och relationer helt saknas.
Hela upplägget med denna helt urvattnade policy känns litet märkligt när Inera dessutom arbetar baklänges och lägger den som olja på vattnet på redan framtagna underliggande dokument.
Kanske har det funnits en annan policy tidigare som fadat bort utan kommentar.
Låt oss lämna policyn och istället titta på riktlinjen som av naturliga skäl saknar den kopplingar till den beslutade policyn.
En första observation som reser den alltid lika spännande frågan om kausalitet och korrelation.
Av en händelse sammanfaller att jag efterfrågade riktlinjen den 6 augusti med en massiv uppdatering som skedde den 9 augusti när en mängd basala säkerhetsaspekter fördes in i riktlinjen (se revisionshistoriken).
Detta var också första gången på tre och ett halvt år som en uppdatering skedde.
Nog om detta lustiga sammanträffande.
Inera är är ju en tjänsteleverantör av känsliga informationstjänster till vården och det som först slår mig då jag läser riktlinjen är att detta förhållande är i det närmaste osynligt i riktlinjen på samma sätt som i policyn.
Riktlinjen gör ingen distinktion mellan Ineras interna informationssäkerhet och den säkerhet som ska finnas i de tjänster som levereras.
Kundernas frånvaro i hanteringen blir närmast självlysande i definitionen av informationsägaren: För varje viktig informationsmängd ska det utses en informationsägare med uppdrag att hantera alla delar av informationssäkerheten som är relaterade till denna informationsmängd.
För de tjänster som Inera tillhandahåller är detta normalt rollen Tjänsteansvarig.
Här man alltså kortslutit systemet så kunderna är inte informationsägare och ska inte heller hantera exempelvis informationsklassning och riskanalys av den information som de faktiskt är ansvariga för.
För att göra det extrem tydligt: Inera är inte en vårdgivare utan hanterar andra vårdgivares information i ett antal gemensamma tjänster.
Vårdgivarna (offentliga och privata) är enligt lag och föreskrift ansvariga för sin information och att den hanteras på ett säkert sätt – det är bara att läsa HSLF-FS 2016:40 för att få en samlad bild av kraven.
Samtidigt skriver man t.ex.
under 15.3.1. om en informationsägare som sannolikt är kunden.
Roller och begrepp är alltså inte konsistenta.
Ytterligare ett tecken på att riktlinje inte tjänar Ineras verksamhet särskilt väl är att de ytterst knapphändiga beskrivningar av utveckling som finns i kapitlen 15.1 och 15.2.
Detta är alltså riktlinjen där ansvar, principer och arbetssätt bör framgå.
Som jag uppfattar det är Ineras huvudsakliga uppdrag att utveckla olika it-lösningar för vården vilket skulle föranleda att ett verksamhetsanpassat säkerhetsarbete skulle ha en tyngdpunkt just i utvecklings- och förvaltningsprocessen av erbjudna lösningar.
I Ineras riktlinje är det dock inte så utan det känns snarare som en ytlig genomgång av kraven i ISO 27001 med mycket små modifikationer.
Dessutom ingår den i det jag brukar tänka på som ”de öde regelverken” eftersom det inte bara kunderna som saknas utan även i hög grad andra aktörer.
Istället upprepas riktlinjen igenom ”Inera ska…” utan att närmare definiera vilken roll inom Inera som ska utföra säkerhetsarbetet.
Igenkänningsfaktorn är hög.
Jag har sett denna typ av regelverk ett otal antal gånger och ett genomgående drag är att när regelverk är så här diffusa så får de ingen eller ringa säkerhetshöjande effekt.
Har ledningen inte pekat ut ansvar (vilket man här inte har i policyn och mycket litet i riktlinjen) så finns inget maskineri som drar runt säkerhetsarbetet.
Att något i denna anonyma text skulle befinnas vara av den art att det går att sekretesslägga med hänvisning till OSL 18 kap.
8 §: Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser byggnader eller andra anläggningar, lokaler eller inventarier, tillverkning, förvaring, utlämning eller transport av pengar eller andra värdeföremål samt transport eller förvaring av vapen, ammunition, sprängämnen, klyvbart material eller radioaktiva ämnen, telekommunikation eller system för automatiserad behandling av information, behörighet att få tillgång till upptagning för automatiserad behandling eller annan handling, den civila luftfarten eller den civila sjöfarten, transporter på land av farligt gods, eller hamnskydd.
kändes märkligt.
Än mer så Ineras ursprungliga beslut att hela dokumentet skulle utgöra risk om det spreds.
På ett sätt skulle jag ironiskt kunna hålla med: kvaliteten på dokumentet indikerar en klar brist på styrning av säkerhetsarbetet vilket kan naturligtvis är en stor risk om det framkommer.
Men det som nu maskats i dokumentet är endast sex passager där man mitt i den i övrigt så generella beskrivningen av allmänna säkerhetsåtgärder tydligen placerat in var datalagring sker samt tekniska beskrivningar av bland annat segmentering.
Om dessa uppgifter är på detaljnivå har de knappast i riktlinjen att göra eftersom den då inte går att sprida i en vidare krets internt.
Även detta är att starkt skäl att se över regelverket och styrningen i stort.
Om vi sedan tittar på de två övriga dokument jag fått ta del av: så går maskningarna i dessa sammantaget att räkna på ena handens fingrar.
Förutom att även dessa i huvudsak saknar anpassning till Ineras egentliga behov av styrning och även till SKL:s flaggskepp KLASSA är det svårt att se vad som föranlett Ineras rädsla för att sprida dem.
Hela hanteringen av min begäran utlämnande av handlingar framstår som fånig och okunnig i mina ögon men har det goda med sig att det kanske hindrar andra från det överutnyttjande av 18.8 som jag tycker mig sett tecken på.
Min sammantagna bild är att Inera saknar ett sammanhängande systematisktoch att den styrning som finns inte är är inriktad på rätt målbild som till exempel att ge kunderna möjlighet att styra sin egen säkerhet eller på patientsäkerhet.
Ingenstans framgår att den informationsklassning som kunderna gör av sin information ger utslag i Ineras leverans, inte heller att Inera har ett kunderbjudande som är transparent och flexibelt.
Jag är den första att erkänna att Ineras uppdrag är mycket komplicerat men just därför skulle det kännas betydligt tryggare om det gick att urskilja ett stort engagemang för säkerhetsfrågor som skulle ge både kunder och allmänheten i stort en anledning att hysa en stor tillit till Inera.
Särskilt tänker jag på detta när nu Inera satt igång ett nytt projekt om säker digital .
Visserligen står det ”säker” i rubriken men vilket stöd har projektet i Ineras LIS för att uppnås denna säkerhet?
Finns det en risk att detta projekt hamnar i samma situation som den som kritiserades så hårt av MSB när det gäller säkerhetsaspekterna (trots att det är se att MSB bidrog på ett så särskilt strukturerat sätt)?
Hälso- och sjukvård är ju i högsta grad en samhällsviktig verksamhet som borde få MSB:s mest djuplodande intresse när en ny nationell lösning ska tas fram.
Möjligen har jag helt fel.
Kanske är säkerheten i Ineras verksamhet mycket bättre än vad de styrande dokumenten ger intryck av.
Men samtidigt är det svårt att föreställa sig edär det inte finns en tydlig dokumenterad styrning.
Självklart borde denna styrning omfatta mer än Inera – jag ska väl inte tjata om en nationell styrmodell á la Normen en gång till… Däremot vore det mycket önskvärt med en större granskning av samtliga större aktörer inom hälso- och sjukvård både för att bedöma den reella säkerheten och för att se vilka samordningsbehov som finns.
Med detta som utgångspunkt går det sedan att börja skissa på den gemensamma styrmodellen.
I väntan på detta mitt utopiska tillstånd är en rimlig inriktning att IVO koncentrerar sin tillsyn utifrån NIS-direktivet främst på dessa stora aktörer eftersom de har den största påverkan på vår gemensamma säkerhet.
Den minnesgode kommer ihåg att jag bett att få se Ineras ledningssystem för informationssäkerhet, blivit nekad och hänvisad till Kammarrätt för att framföra mina besvär över detta, förloppet finns beskrivet .
Själv måste jag medge att jag fann Ineras agerande aningen besynnerligt.
Om det nu finns styrande dokument för informationssäkerheten vid sidan om den A4 som utgör policy (vilket Inera hävdar) så förefaller det märkligt att varje ord i dessa dokument skulle utgöra en sådan betydande risk för Ineras säkerhet att de inte kan lämnas ut.
För den som jag som arbetat med utlämnande av allmänna handlingar är väl bekant med rutinen att maska dokumenten så att de delar som bedöms som sekretesskänsliga inte kan läsas – ytterst sällan är dokumenten i sin helhet känsligt.
Kanske har inte Inera upparbetat rutinen för maskning än men efter att ha läst Kammarrättens utslag så är det nog dags att komma igång med det nu.
Jag är naturligtvis nöjd med utslaget och väntar nu på mina handlingar.
Samtidigt väcker ju historien med Inera en hel del tankar.
En är att vi alla är betjänta av största möjliga öppenhet om de regler gällande säkerhet som finns olika organisationer.
Vi behöver lära av varandra och vi behöver närma oss mer av praxis både på branschnivå och i samhället i stort.
Ett överdrivet hemlighetsmakeri skapar en negativ säkerhetskultur och förhindrar processen mot en nödvändig samsyn om hur styrningen av säkerhet bör utformas.
Ineras förhållningssätt pekar också på ett annat mer praktiskt problem, nämligen vikten av att utforma sin hierarki av styrande dokument rätt.
Om man, som Inera tycks ha gjort, blandar principer,ansvarsfördelning och andra faktorer som bör kunna vara helt öppna i random organisation med detaljbeskrivningar av säkerhetslösningar, risker och sårbarheter har man ju skapat ett regelverk som knappast går att sprida ens internt och ännu mindre till externa parter som kunder.
En betydligt mer positiv erfarenhet var det att begära ut samma information hos eHälsomyndigheten där jag inte bara fick ta del av de handlingar som på ett övergripande sätt styr säkerhetsarbetet utan även en bild av de handlingar som är av mer känslig karaktär.
Tyvärr bekräftades dock min bild av bristande styrning av säkerheten inom vården då två av de stora aktörerna inom svensk e-hälsa inte har ett gemensamt regelverk.
Detta är en mycket stor fråga som måste lösas innan vi kan säga att vi är på väg mot en säker e-hälsa.
Efter diskussionerna om 1177-skandalen och andra händelser inom e-hälsoområdet har jag efterfrågat en nationell genomlysning av hur det egentligen står till med informationssäkerheten i den svenska vården.
I väntan på en större aktör som kan genomföra en omfattande analys av den i mitt tycke centrala frågan så tänkte jag börja dra några små strån till stacken och titta närmare på hur några viktiga aktörer inom e-hälsoområdet hanterar informationssäkerhetsfrågan.
Hälso- och sjukvården är också en av de utpekade branscher där aktörer åläggs att bedriva ei NIS-direktivet.
Att sanktionsavgifter kan utdömas från både dataskyddsmyndigheten och från IVO i det här fallet borde vara en starkt pådrivande faktor för att förbättra säkerheten.
En naturlig startpunkt är Inera som presenterar sig så här: Inera ägs av SKL Företag, regioner och kommuner.
Genom att erbjuda kompetens inom digitalisering stödjer Inera ägarnas verksamhetsutveckling.
Inera koordinerar och utvecklar gemensamma digitala lösningar till nytta för invånare, medarbetare och beslutsfattare.
och Inera utvecklar och förvaltar nationella tjänster inom e-hälsa och digitalisering på uppdrag av regioner och kommuner.
Ungefär 35 digitala tjänster drivs idag av Inera, bland annat 1177 Vårdguiden, Nationell patientöversikt och Journalen.
Vissa tjänster används av invånare, andra av vårdpersonal.
Arbete pågår med nuvarande tjänster och på vilket sätt de kan anpassas för kommunerna.
Inera ansvarar också för den gemensamma infrastruktur och it-arkitektur som ligger till grund för många av tjänsterna.
Därmed har Inera uppdraget från sjukvårdshuvudmännen att koordinera och utveckla gemensamma e-hälsolösningar – en supertungviktare inom e-hälsoområdet alltså.
Av detta följer att man har ett lika tungt ansvar när det gäller informationssäkerheten i de lösningar man erbjuder.
Detta faktum accentueras av att sjukvårdshuvudmän och vårdgivare i de flesta fall inte kan välja andra lösningar än de som Inera erbjuder eftersom de är nationella tjänster som det är nödvändigt att använda för att kunna bedriva vård.
Till skillnad mot om man skulle anlita kommersiell leverantör där man både kan styra med kravspecifikation och genom att byta leverantör om man inte är nöjd med säkerheten.
Dessutom ska Inera stödja digitalisering av regioners och kommuners verksamheter genom att tillhandahålla kompetens och material.
Bland annat säger man sig ta fram regelverk för informationssäkerhet, juridik och kvalitetssäkring.
Det vore konstigt om man inte skulle bli intresserad av hur Inera arbetar med informationssäkerhet då dessa olika uppdrag presenteras.
När man bedömer en organisations förutsättningar för att bedriva eär den vanliga metoden att utgå från vilka styrande dokument som tagits fram och beslutats.
Inte för att styrande dokument i sig med nödvändighet leder till bättre säkerhet men de ger ramarna för arbetet och beskriver förhoppningsvis det organisatoriska maskineri med bland annat ansvar och roller som förlängningen ska snurra igång det systematiska arbetet.
I korthet: regelverk är en nödvändig men absolut inte tillräcklig förutsättning för fungerande informationssäkerhet och det finns definitivt olika kvalitet på regelverk.
Dessutom innehåller regler på högre nivå mycket sällan någon som helst känslig information och skulle det återfinnas någon liten del som bedöms som känslig är den lätt att maskera vid ett utlämnande (tro mig – jag har begärt ut regler i stor omfattning från myndigheter, kommuner och regioner).
Innan vi går vidare ska jag för transparensens påpeka att jag för ett femtontal år sedan gjorde ett par konsultuppdrag för Ineras föregångare och jag hade även kontakt med Inera under den tid jag arbetade på MSB.
Mitt sammantagna intryck är att det varit motigt att införa ett systematisktt trots uppdraget Inera och dess föregångare haft.
Men åter till nuläget.
Med ovan beskrivna bakgrund var ett första steg för mig att be att få ta del av Ineras regelverk vilket jag gjorde den 6 augusti: Hej!
Jag skulle vilja ta del av: – Ineras interna ledningssystem för informationssäkerhet (LIS) som tillämpas i Ineras verksamhet – Aktuella regelverk och stödmaterial för informationssäkerhet som Inera tagit fram som stöd för sina kunder Jag skulle dessutom vilja veta när Inera senast genomförde en mer omfattande informationssäkerhetsrevision av den egna verksamheten.
Tack på förhand!
Jag fick snabbt ett automatsvar som kvitterade att mitt ärende tagits emot.
Sedan dröjde det och dröjde det.
Till slut kom ett svar den 22 augusti: Ni har begärt utlämnande av Ineras interna ledningssystem för informationssäkerhet (LIS), som tillämpas i Ineras verksamhet, samt vidare aktuella regelverk och stödmaterial för informationssäkerhet, som Inera tagit fram som stöd för sina kunder.
Ineras informationssäkerhetspolicy återfinns på .
Regelverk och stödmaterial inom informationssäkerhet och arkitektur, som delas med kunder, återfinns på .
Beträffande LIS gör Inera följande bedömning: Informationssäkerhet syftar till att hindra information från att läcka ut, förvanskas eller förstöras samt säkerställa att informationen finns tillgänglig för en legitim användare.
Ineras produkter och tjänster håller en sådan säkerhetsnivå att kunder kan känna förtroende för Inera som leverantör och uppnå en hög nivå av informationssäkerhet.
Inera har ett ledningssystem för informationssäkerhet, som är baserat på ISO 27001.
av regelverk som beskriver krypteringsnivåer, autentiserings-metoder, säkerhetsåtgärder i driftsmiljön m.m.
I systemet ingår vidare modeller förificering, incidenthantering, etc., liksom uppföljning i form av interna och externa revisioner samt säkerhetstester.
Sekretess gäller enligt 18 kap.
8 § 3 offentlighets- och sekretesslagen för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser telekommunikation eller system för automatiserad behandling av information.
LIS innehåller uppgifter av sådan art att ett utlämnande typiskt sett är ägnat att medföra skada för det intresse som skall skyddas genom den aktuella bestämmelsen.
Handlingarna kan därför inte lämnas ut.
Om ni inte är nöjd med sekretessbedömningen har ni rätt att begära ett formellt beslut.
Med vänlig hälsning Inera Detta var ett intressant svar av flera skäl.
För det första är den informationssäkerhetspolicy som bifogas och som också ligger ute på Ineras så sällsynt innehållslös och består enbart av det som i andra policys brukar ligga under rubriken ”mål”.
Bland annat saknas helt inriktning för ansvarsförhållanden vilket är av stor betydelse att definiera för en leverantör .
Att policyn är beslutad den 14 juni i år väcker även det en hel del tankar (mer om innehållet i de dokument jag fått ut längre ner).
Det riktigt förvånande är dock att Inera anser att övriga styrande dokument i sin helhet går att sekretesslägga och det med hänvisning till OSL trots att man inte tillhör de offentliga organisationer som faller under offentlighetslagstiftningen!
Detta sporrade min nyfikenhet och som den jobbiga människa jag är måste jag ställa ytterligare frågor med vändande post: Tack för svar!
En formfråga: har Inera fattat ett beslut att tillämpa OSL generellt för sin verksamhet?
Till svar fick jag följande: I Ineras bolagsordningen (från 2017) står följande: Allmänheten ska ha rätt att ta del av handlingar hos bolaget enligt de grunder som gäller för allmänna handlingars offentlighet i 2 kap.
tryckfrihetsförordningen och offentlighets- och sekretesslagen.
Här tätnade mystiken för mig.
2 kap TF och OSL handlar om hanteringen av allmänna handlingar.
Inera har per definition inte några allmänna handlingar och vad betyder då egentligen paragrafen i Ineras bolagsordning?
En generös tolkning är att man menar att Ineras handlingar ska hanteras som allmänna handlingar i myndigheter, regioner och landsting.
För att den handlingsoffentligheten ska fungera krävs bland annat diarieföring av handlingar där ärenden/handlingar får unika identiteter som går att söka fram och begära ut.
Om myndigheten, i det här fallet icke-myndigheten Inera, bedömer att det finns grund i OSL för sekretess för hela eller delar begärda handlingar ska ett sådant beslut lämnas skyndsamt med besvärshänvisning så begäran prövas i Kammarrätten.
Min nästa fråga blev därför: Tack!
Det innebär alltså att jag kan få ett formellt beslut med besvärshänvisning inom typ tre dagar?
Och svaret kom pronto: Ja, det stämmer.
Vill du alltså helst få ett formellt beslut?
Självklart vill jag ha ett formellt beslut men på vad?
Jag var tvungen att skriva tillbaka för klarläggande: Hej igen!
För att följa ert beslut om att efterleva OSL och TF bör jag få ta del av vilka handlingar och dess unika ID så att jag kan begära ut dem.
I policyn står inget om vilka övriga styrande dokument om ingår i ledningssystemet så därför behöver jag uppgifter om detta.
Exempel kan vara Riktlinje för åtkomst osv.
Dokumentnamnet kan inte falla under den sekretess ni hänvisar till.
Tyvärr har ni ju inget diarium på nätet så att jag själv kan söka reda på dessa uppgifter.
Jag skulle också vilja se beslut om till vilken instans ni skickar besvär i utlämnandefrågor.
När jag fått dessa uppgifter kan jag göra en formell begäran om utlämnande.
En vecka senare (30 augusti) kom svaret med en bilaga Hej Fia, Bifogad fil innehåller en beskrivning av Ineras ledningssystem och dess komponenter.
Den instans som är aktuell i besvärsfrågor är Kammarrätten.
Återkommer till innehållet i dokumentet senare men efter att ha läst beskrivningen skickade jag in följande begäran: Tack!
Jag har alltså fått en beskrivning av ert ledningssystem där ni bedömer att samtliga ingående dokument i sin helhet faller under OSL 18:8 § 3.
Förutom att jag tycker att det är tämligen unikt för Inera att se hela regelverket som fallande ur sekretess blir jag litet fundersam över vilka dokument i beskrivningen som är framtagna och beslutade.
Är beskrivningen en plan över vad som ska tas fram eller finns omnämnda dokument?
Och kommer Kammarrätten verkligen att anse att de är en instans för besvär gällande utbegäran om icke-allmänna handlingar (eftersom Inera inte är skyldiga att följa TF och OSL utan har det mer som en policyinriktning)?
Eftersom jag håller på att skriva om det just nu vill jag gärna pröva detta så jag begär ett formellt beslut angående utlämnande av följande dokument (eftersom de saknar unik identitet anger jag den beteckning som anges i beskrivningen): Jag förutsätter att ni gör en sekretessprövning som innebär att de delar av dokumenten som inte faller under reglerna för sekretess lämnas ut.
Förhoppningsvis håller ni också den praxis som gäller för skyndsam handläggning för denna typ av ärenden, d.v.s.
beslut inom tre arbetsdagar.
Idag den 3 september fick jag ett formell avslag med en besvärshänvisning där beslutet där samtliga handlingar i ledningssystemet förutom policyn i sin helhet bedöms i behov av sekretess.
Besvärshänvisningen är till Kammarrätten som kan göra en annan bedömning.
Själv är jag tveksam till om besvärshänvisningen verkligen fungerar eftersom Inera formellt inte faller under offentlighetsprincipen och de handlingar jag begärt ut därmed inte är att betrakta som allmänna vilket också fastslagits i ett liknande fall, då gällande (SKI).
Av rent intresse kommer jaag ändå att skicka in ett besvär.
Om vi ser till själva processen tycks Inera lägga betoningen på S snarare än O i OSL.
Det är tyvärr inte en ovanlig attityd bland myndigheter, det är klart att det är mycket bekvämare att arbeta bakom lyckta dörrar, men en mycket tråkig utveckling i ett samhälle där vi berömt oss för vår fina offentlighetsprincip.
Min fråga här blir hur syftet med informationsklassningen som säkerhetsåtgärd skulle kunna skadas om Inera lämnade ut beskrivningen av sin metod.
Eller hur riktlinjersin helhet skulle kunna vara känsliga.
För att undvika missförstånd: självklart finns det ingående beskrivningar av tekniska lösningar alternativt risker/sårbarheter som bör hållas skyddade för obehöriga (särskilt som Inera paradoxalt nog är frikostiga med tekniska beskrivningar .
Men styrande dokument på en högre nivå borde Inera ha all anledning att vilja sprida om man tar sitt uppdrag att ”koordinera och utveckla digitala lösningar” på allvar.
Eftersom vi vet att informationssäkerheten är så illa utvecklad inom sjukvården borde Inera föregå med gott exempel och visa upp vilken säkerhet man själv har i sin instans av 1177 till skillnad mot Medhelps hantering.
Vad skulle nyttan vara i att begränsa harmlös information om sitt säkerhetsarbete till sina ”kunder” om man hanterar personuppgifter för hela befolkningen och ett mycket stort antal aktörer är berörda av dessa regler på olika sätt?
En mer cynisk människa än jag skulle ifrågasätta att de dokument jag efterfrågar över huvudtaget finns annat än på ritbordet med tanke på att policyn antogs i mitten av juni i år och övriga dokument rimligen borde vara underdokument till den.
Jag väljer att tro att dokumenten i beskrivningen verkligen finns men det ledningssystem som framtonar liknar inget jag tidigare sett i en organisation med Ineras betydelse och ambition att följa ISO/IEC 27001/27002.
Policyn är som jag tidigare skrivit torftig och innehåller inte delar som ändå får uppfattas som praxis som exempelvis ansvar och roller, incident och kontinuitet vilket även är centrala aspekter för en tjänsteleverantör.
Dessa frågor återkommer inte heller på anvisningsnivå.
Inledningsvis sägs att: Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering.
Den ska också tillämpas i projekt och på förvaltningsobjekt.
Det är alltså en intern policy för bolaget Inera men vad säger det om informationssäkerheten i tjänsterna?
Och i relationen med kunderna?
När så basala frågor lämnas öppna är frågan vad policyn egentligen fyller för syfte.
Sammantaget är den bild jag får att detta inte ens om det blir genomfört skulle bli ett fungerande ledningssystem på det sätt som beskrivs i standarden.
Men då har jag som sagt inte sett själva dokumenten.
Kanske någon som är ”kund” i Ineras mening kan kolla på dessa dokument och återkomma med en beskrivning?
Ineras hemlighetsmakeri blir ännu mer märkligt med tanke på att ett flertal av de ägare som Inera kallar kunder villigt lämnat ut sina styrande dokument för informationssäkerhet när jag frågat.
Varför skulle större sekretess råda hos Inera?
Kanske är det ovanan att leva med en god offentlighetskultur som präglar Ineras synsätt.
På samhällsnivå är det i så fall ett stort problem om viktig information flyttas från öppna organisationer till slutna som Inera och SKL.
Jag tror att överdrivet sekretessläggande är till stor nackdel för säkerhetsarbete generellt men alldeles särskilt i sammanhang då en ett antal aktörer ska dela information, tjänster och infrastruktur.
Det måste finnas en grundlig kännedom och diskussion om gemensamma regler hos de som är aktörer i samarbetet men det måste också gå att presentera utanför den snävaste kretsen för att kunna skapa tillit.
Konsulter och leverantörer måste även de få inblick för att kunna utveckla sina tjänster så att de passar.
Detta gäller än mer om Inera ska axla rollen att stödja kommunerna i deras digitalisering.
Min förslag har sedan länge varit att ta fram gemensamma regelverk och skyddsnivåer för att skapa gemensam säkerhet och dessutom slippa de stora konverteringsproblem som uppstår då aktörer med olika regelverk ska samverka i samma infrastruktur.
Svensk digitalisering är i sig planlös men det skulle kunna gå att riva det Babels torn av språkförbistring som redan finns inom informationssäkerhetsområdet genom att skapa just gemensamma regelverk.
Jag gjorde ett försök 2014 när jag jobbade på MSB att få olika centrala aktörer att samverka men denna strategi har fallit i glömska trots ett flertal tunga undertecknare (bland annat SKL och Inera).
Idag är behovet av fungerande informationssäkerhet i vården större än någonsin finns det definitivt utrymme för Inera att kliva fram och göra mer av sitt uppdrag att ta fram regelverk för informationssäkerhet än det som nu finns presenterat på n, detta särskilt som SKL säger att man ska arbeta ”resolut” med att förbättra informationssäkerheten.
Ska man lyckas med det krävs dock öppenhet och dialog med de många aktörer som måste ingå i ett sådant förbättringsarbete.
Att hävda att sekretess råder för varje mening i styrande dokument på hög nivå är inte ett tecken på vilja till öppenhet och dialog.
Den svenska förvaltningen bygger sedan gammalt på ett väloljat utredningsmaskineri som jag är djupt positiv till men som jag känner en stigande oro för.
Med min bakgrund inom historieområdet har jag kunnat följa uppgången av synsättet att offentliga beslut ska vila på rationell grund och att denna grund bäst skapas genom genomlysande utredningar genomförda av högt kvalificerade företrädare för akademi och förvaltning.
Hur hånade utredningarna än varit i debatten som politiska undermanövrar så har de möjliggjort insyn och ett demokratiskt samtal om de viktiga vägvalen i samhället.
Utan att gripas av allt för djup förvaltningsnostalgi försöker jag läsa och värdera de utredningar som kommer i för mig relevanta områden.
Värderingen underlättas eller påverkas i alla fall av att jag själv varit expert eller på annat sätt deltagit i ett antal utredningar, bland annat som ”spökskrivare” av text som sedan hamnat i den slutgiltiga utredningen.
Min slutsats av dessa erfarenheter är att de utredningar som genomförs ofta lider av brister både i utredningsarbetet, i mottagandet hos remissinstanser och i genomförandet.
I denna korta text kommer jag med nödvändighet att bli orimligt svepande och kategorisk men har ändå gjort bedömningen att det finns ett intresse i att lyfta fram vissa systemfel som jag tyckt mig se genom åren.
De som har andra erfarenheter och uppfattningar uppmanar jag med emfas att delge dessa – utredningsväsendet förtjänar verkligen att diskuteras, förtjänar i positiv bemärkelse eftersom det är en så bärande institution i den svenska demokratin.
Det finns ju även olika typer av utredningar men här tänker jag främst på de utredningar som tillkommer genom att regeringen tillkallar en kommitté eller en särskild utredare för att skaffa underlag för ett politiskt ställningstagande.
Kommitténs uppgift är att ta fram fakta, göra analyser av dessa fakta och därefter presentera förslag på åtgärder.
När uppdraget är slutfört avrapporteras resultatet oftast i form av ett betänkande, en SOU (Statens offentliga utredningar).
En utredning av denna typ bör på ett rättvisande sätt inte bara beskriva förslagen utan även alternativen till dessa förslag samt vilka positiva och negativa konsekvenser som förslagen förväntas få.
Efter att betänkandet är presenterat sker remissomgången där olika parter kan redovisa sina synpunkter och argumentera för eller emot betänkandet.
Många utredningar stannar här, d.v.s.
hamnar i en djup malpåse och blir bortglömda medan några lyckligt utvalda går vidare i beslutsprocessen.
Syftet med processen är det bästa, att få rationell grund för besluten i ett öppet förfarande och dessutom en god möjlighet att revidera hur förslagen genomförts, men det är just detta gör en dyster när processen inte hanteras på ett tillräckligt bra sätt.
Förutom det generella gnället är en återkommande kritik att utredningarnas uppdrag ofta är att bekräfta en redan befintlig politisk inriktning snarare än att på ett öppet sätt undersöka en frågeställning.
Annorlunda formulerat; redan problemformuleringen snöper utredningens möjlighet att nå fram till de objektivt sett mest relevanta förslagen.
Naturligtvis kan inte utredningarna jämställas med akademiska undersökningar, de sker på ett politiskt uppdrag, men med tanke på att de ofta fortskrider under flera år kan en snäv och tidsbunden partipolitisk utgångspunkt snabbt göra hela utredningen daterad och oanvändbar.
Denna typ av kortsiktig problemformulering leder i sin tur till två andra fatala systemfel.
För det första gör det att utredningar tenderar att bli alltför operativa, det vill säga svara på en nästintill dagsaktuell fråga vilket i sin tur leder till att utredningarna blir som stuprör utan gemensam överbyggnad.
Då hjälper inte det mycket tröttande tricket att låta utredningen till tre fjärdedelar bestå av kompilat från tidigare utredningar.
Om inte redovisningen av redan gjorda utredningar åtföljs av en analys av hur de påverkar den aktuella utredningen undanröjer det inte på något sätt stuprörstänkandet.
För det andra leder det ofta till en ytlighet i begrepp och förutsättningar.
Som ett exempel på detta kan vi ta ”digitalisering” en företeelse som utretts på längden och tvären men där själva fenomenet och dess förutsättningar mycket sällan analyserats.
Istället ses digitalisering som en fastställd entitet som bara kan utvecklas i en given riktning och med i princip goda konsekvenser.
Denna egendomligt deterministiska syn på teknik och samhälle anammas även när Riksrevisionen granskar .
Då granskas inte huruvida regeringens målbild att Sverige ska vara bäst i världen på digitalisering, vilket skulle vara mycket rimligt att ifrågasätta i förhållande till samhällsnyttan, utan enbart hur långt myndigheter och regering tagit sig i den riktningen.
Om vi därefter tittar litet på utredarna och deras medhjälpare finns den vanlige utredaren som får stöd av experter av olika slag men också kommittéer.
I det första fallet kan jag se två påtagliga sårbarheter.
Den ena är utredaren själv som allt oftare tycks vara en jurist vilket skulle kunna tyckas rimligt med tanke på att utredningen förhoppningsvis ska leda fram till lagförslag men det kan också ses som ett exempel på den tilltagande juridifieringen efter Sveriges EU-inträde.
Det är inte säkert att alla problem gynnas av att främst formuleras i juridiska termer utan att det ibland vore bättre med en utredningsprocess som inleds av de som är ämneskunniga för att först därefter bearbetas som en juridisk frågeställning.
Sedan är det experterna där det ofta synes vara en hårfin skillnad mellan expert och särintresse.
Det gäller de tjänstemän som ska bevaka den egna myndighetens intresse men jag måste medge att jag grubblat över det rimliga i att tillsätta en representant för den största leverantören som expert i en utredning om .
Säkert mycket kunnig men kanske då lämpligare att skapa en fokusgrupp för olika leverantörer för att undvika frågan om jäv?
Lika ofta är dock avsaknaden av nödvändiga perspektiv i expertgruppen slående.
Om vi till exempel tar NISU (SOU 2015:23) och utredningen om nu säkerhetsskyddslag (SOU 2015:25) samt dess efterföljare med kompletteringar (SOU 2018:82) så har dessa tre utredningar gemensamt att de helt saknar representation från kommuner och regioner.
Detta trots att utredningarna måste utgå från att deras förslag till stor del ska omsättas just av kommuner och regioner.
Bristen påpekades från några remissinstanser men jag tror att risken är stor att man även fortsättningsvis kommer att se utredningar med ett i huvudsak inifrån och ut-perspektiv.
Att särintressena får så stort utrymme har nackdelen att det också skapas stuprörsformation utredningarna.
finns ett antal förslag som uppenbart skrivits fram av de olika myndigheter som är närmast berörda.
Tyvärr är inte förslagen integrerade sinsemellan, beroendeförhållande mellan förslagen är inte beskrivna, inte heller finns en prioritering gjord.
Den här typen av hopplockade åtgärder måste vara mycket svåra att använda som beslutsunderlag utan vidare bearbetning.
De utredningar som bedrivs som kommittéer (exempelvis E-delegationen och Digitaliseringskommissionen) löper å andra sidan risken att utvecklas till egna särintressen och bli mer som en form av myndigheter utan ansvar.
Själv läser jag alltid utredningarnas konsekvensbeskrivningar med största intresse eftersom det är där som man enligt min mening bäst kan bedöma utredningens kvalitet.
Om utredaren verkligen försökt, utan hänsyn till sina egna darlings, beskriva även de negativa konsekvenser som kan uppstå om utredningens förslag förverkligas är det en bra utredning där beslutsfattarna får stöd att fatta rätt beslut.
Då ges även en möjlighet att i tid börja arbeta med att reducera eventuella risker och negativa konsekvenser.
Tyvärr blir jag sällan glad när jag läser konsekvensbeskrivningar eftersom de ofta förefaller verklighetsfrämmande och främst bestående av glädjekalkyler som för att visa det geniala i utredningens förslag.
Avsaknaden av relation med de som har kännedom om verkligheten är sannolikt den bakomliggande orsaken till de sangviniska konsekvensanalyser som avslutar utredarens möda.
Jag har nu under ett par år funderat över hur säkerhetsskyddslagens utredare kunde komma fram till denna sammanfattning av konsekvenserna av sitt förslag: Bedömning: Förslagen medför inte annat än marginella kostnadsökningar för vissa myndigheter som får delvis utökade upp-gifter enligt våra förslag.
Dessa kostnadsökningar bedöms kunna hanteras inom nuvarande budgetramar.
Förslagen bedöms inte medföra några kostnadsökningar för företag utom i de fall dessa på eget initiativ och för egen nytta begär s.k.
säkerhetsintyg för leverantör, då kostnader kan upp-komma för vissa säkerhetsskyddsåtgärder.
Förslagen kan medföra att något fler personer säkerhetsprövas.
Få torde idag hålla med om den bedömningen vilket bland annat framgår av remissvaren på den kompletterande utredningen då det börjat gå upp för allt fler vad den nya lagen faktiskt kommer att innebära.
Vad som förbryllar mig är att alla de ökade kostnader och andra negativa konsekvenser som idag är uppenbara för de flesta inta kan ha varit särskilt svårt att förutse.
Detta är inte unikt för just den här utredningen utan är, menar jag, mer att se som ett systemfel där utredare systematiskt tonar ner de negativa konsekvenserna.
Möjligen beror detta på att de är rädda för att deras förslag ska ses som ”dåliga” eftersom det innebär vissa negativa effekter men det är ju en attityd som knappast gagnar utredarens uppdragsgivare.
En sista svag punkt i utredningsmaskineriet är att remissinstanserna ägnar ett så till synes svagt intresse för att läsa hela utredningen.
Istället kommenterar man möjligen de delar som berör den egna verksamheten.
Jag har förståelse för att många myndigheter och andra blir överösta med remisser och har svårt få tiden att räcka till för att ge kvalitativa svar på alla.
Samtidigt så är remissvaren inte bara ett sätt att värja den egna verksamheten från dumma förslag.
Det är också en möjlighet att bidra med juridiska och andra bedömningar för att förbättra helheten.
Nu ska jag göra ett djärvt grepp och citera Sun Tzu (tror jag) direkt ur mina djupaste hjärnvindlingar utan att kolla upp det.
Han sa ungefär så här: om jag får tio dagar på mig att fälla skogens största träd ägnar jag åtta dagar åt att slipa min yxa.
Ni får nu möjligheten att komma med en massa bra rättelser men vad jag vill säga är att detta skulle kunna vara ett citat som både uppdragsgivare och utredare skulle kunna tatuera in som gadd.
De stora utmaningar vi står inför inom digitalisering, informationshantering, arkiv och säkerhet förtjänar de bästa utredningar som tar minst åtta dagar av de tio.
Jag måste genast rätta mig själv innan någon annan hinner göra det!
En mig närstående har grävt fram att det nog inte var Sun Tzu och inte ens Lincoln som myntat men det blir en snygg tatuering om det är kinesiska tecken…

Det är närmast en tradition att arkivutredningar inte kommer fram till något särskilt.
Att även är som en kompass utan visare ska kanske därför inte dömas för hårt.
Istället får vi tacka för det redovisande innehållet och söka de nödvändiga lösningarna på organisation och vision för hur det långsiktiga bevarandet av information ska ske på annat håll.
Själv pläderar jag återigen för framtagandet av en arkivstrategi där både vägval görs om vad som ska ses som ingående i arkivområdet och alla de spretiga som frågor som ändå kommer att återstå knyts ihop i en rörelse framåt.
Framför allt borde INGEN kunna blunda för att det ännu inte finns någon plan för hur all den information som skapas idag ska bevaras med kvalitet, säkerhet och autenticitet för framtiden.
Detta gör att övriga arkivfrågor i min värld framstår som petitesser.

Överenskommelse om kommunernas krisberedskap (dnr MSB 2018-09779) Överenskommelse om kommunernas arbete med civilt försvar (dnr MSB 2018-05681) Bilaga 1 omfattas av försvarssekretess (15 kap.
2 § offentlighets- och sekretesslagen (2009:400) och lämnas inte ut.
Riktlinje informationssäkerhet Anvisning för informationsklassicering Anvisning för informations- och it-säkerhet för medarbetare

Folkviljan utövas genom inom En av nätläkarna tycker att det verkar ha varit en bristfällig konsekvensanalys inför beslutet och att det är märkligt att SKL:s handlingar inte omfattas av offentlighetsprincipen.

Meny Demokratiaspekter Inläggsnavigering

Språkanvändningen i offentlig verksamhet

MENU MENU Postat av Postad i , , , , , Tagged , , , , , , Postat av chief information security officer Postad i , , Tagged , , , , Postat av Postad i , , , , Tagged , , , , , , , Postat av Postad i , , Tagged , , , , Postat av Postad i , , , Tagged , , , Postat av Postad i , , , , Tagged , , , Postat av Postad i , , , , , , Tagged , , , , , Postat av Postad i , , , , , Tagged , , , , , Postat av Postad i , , , , , Tagged , , , , , Postat av Postad i , , Tagged , , ← Sök efter:

Det övergripande syftet är att säkerställa samhällets tillgång till allmänna handlingar både nu och i framtiden.
Härifrån till evigheten

Att lyckas med sitthandlar i hög grad om att kommunicera.
Att kommunicera handlar i sin tur i hög grad om att skapa förståelse och samsyn.
Detta är nödvändigt för att få människor och organisationer att agera.
Banala sanningar kan tyckas men tyvärr är dålig kommunikation en ständig ledsagare för de som arbetar med informationssäkerhet.
Själva begreppet informationssäkerhet saknar en tydlig och accepterad .
Detta leder till problem både för dem som anser sig arbeta med ”informationssäkerhet” och för dem som avser att anställa eller anlita vad de tror är en definierad kompetens.
Det blir inte enklare då man slänger in nya spännande beteckningar som ” ”.
Jag tror att det finns en olycklig tendens att de som arbetar med informationssäkerhet (i någon form) är mer intresserade av att bekräfta varandra i gruppen än att skapa en relation med omvärlden, d.v.s.
en relation byggd på ömsesidig förståelse.
Ta exemplet med titeln ”CISO” som fått en snabb spridning i svenska myndigheter inklusive regioner och kommuner.
Uttytt står CISO för vilket låter flott men titeln leder enligt min mening till mer oförståelse och förvirring än klarhet.
När informationssäkerhet i sig ännu inte är ett hushållsbegrepp så min fråga är varför man i Söpple kommun väljer att höja svårighetsnivån ytterligare och införa en titel som är helt ogenomtränglig för alla utanför skrået.Vad man chiefar över är även det höljt i dunkel.
Särskilt märkligt blir detta titulerande sett i ljuset av den svenska språklagen som uttryckligen skriver: Språket i domstolar, förvaltningsmyndigheter och andra organ som fullgör uppgifter i offentlig verksamhet är svenska.
I annan lag finns särskilda bestämmelser om rätt att använda nationella minoritetsspråk och annat nordiskt språk.
När det gäller skyldigheten för domstolar och förvaltningsmyndigheter att anlita tolk och att översätta handlingar finns det särskilda bestämmelser.
Språket i offentlig verksamhet ska vara vårdat, enkelt och begripligt.
Myndigheter har ett särskilt ansvar för att svensk terminologi inom deras olika fackområden finns tillgänglig, används och utvecklas.
Detta har alltså svenska myndigheter att följa vilket jag finner som ett rimligt krav.
Jag har funderat över varför så många väljer att bryta mot detta när det gäller CISO-begreppet, vad vill man uppnå på bekostnad av att varken den egna organisationen eller de invånare man är satt att tjäna begriper vad man sysslar med?
CISO är ju inte heller på något sätt en skyddad yrkestitel eller resultatet av en specifik utbildning utan kan stå för litet vad som helst.
Jag är den första att förespråka en klassisk professionalisering av vår yrkesgrupp, vilket jag skrivit om bland annat , men då är det helt andra och mer seriösa åtgärder som krävs än en flashig titel.
Vi borde vilja nå ut, inte spinna in oss i en allt tätare skråkokong.
Återigen; CISO-begreppet är bara ett exempel men jag tycker det är signifikativt för en attityd som jag menar är till nackdel både för professionen och för uppdragsgivare.
En episod som ofta återkommer i mitt minne är när en medarbetare för ett antal år sedan argumenterade för sin linje (som inte var min) med fritt citerat:” well, det är så vi i communitiet ser det.”.
Tyvärr fann jag mig inte tillräckligt snabbt för att fråga exakt vad ”communitiet” egentligen var och vilka som ingick i det men jag misstänker att det var någon slags informell och självutnämnd kommitté av människor som såg sig som ägare av informationssäkerhetsfrågan i Sverige.
Eftersom jag själv alltid skytt den här typen av gemenskaper är jag partisk.
Ändå vill jag säga jag uppfattar den här kårandan som ett problem som gestaltas bland annat genom lanserandet av CISO-titeln.
Istället för att rikta blicken på den egentliga målgruppen, det vill säga de som inte arbetar med informationssäkerhet, spelar vi för vårt eget galleri.
Den skapar också osunda lojalitetsband eftersom det saknas objektiva och accepterade krav på den som ska ses som en kompetent yrkesutövare.
Låt oss skingra dimman och inrikta oss på att nå ut till de som vi egentligen ska tjäna och skapa förutsättningarna för en seriös utveckling mot en profession.
Detta kan också en etablerad titel med ett tydligt kompetenskrav som på sikt till och med skulle kunna bli en skyddad.

Meny Säkerhetsstyrning

Språkanvändningen i offentlig verksamhet

MENU MENU Postat av chief information security officer Postad i , , Tagged , , , , Sök efter:

Av en händelse ser jag att Daniel Forslund, liberalt landstingsråd för (L) i Stockholms läns landsting med ansvar för innovation, eHälsa, IT-utveckling och patientnära tjänster, på en PR-site för ett it-bolag gör ett intressant uttalande .
Sammanhanget för uttalandet kan i sig tyckas symptomatiskt med tanke på den ofta litet väl nära relation som funnits mellan sjukvårdspolitiker, landstingstjänstemän och it-leverantörerna men den frågan lämnar jag för tillfället.
Det som är intressant är följande avsnitt apropå de tre stora sjukvårdshuvudmännens satsning på en ny it-plattform: För den medborgare och/eller patient som inte haft insyn vare sig i den rådande ideologin inom sjukvården eller i den praktiska verkligheten måste detta uttalande vara ganska häpnadsväckande.
Är det inte en självklarhet att integritet och patientsäkerhet måste kunna upprätthållas samtidigt?
Tyvärr är svaret att under de senaste decennierna har integriteten i sjukvården steg för steg nedmonterats både som värdering och i utformningen av den informationshantering som ska stödja vårdprocesserna.
Detta är inte enbart min personliga uppfattning utan finns även som en av de slutsatser som Integritetskommittén dragit i sin kartläggning ”Hur står det till med integriteten” http://www.regeringen.se/pressmeddelanden/2016/06/kartlaggning-identifierar-allvarliga-risker-for-den-personliga-integriteten/.
Tyvärr har inte de utredningar som skett inom e-hälsoområdet heller sett detta som en prioriterad fråga.
Förhållningssättet till integritet som funnits med i digitaliseringsprocessen av vården ända sedan dess inledande faser är att det har målats upp en motsatsställning mellan patientsäkerhet och integritet.
Det har också funnits ett mycket svagt intresse hos sjukvårdshuvudmän, vårdgivare och it-leverantörer att göra den insats som krävs för att få en styrning av informationshanteringen och systemen/tjänsterna så att båda dessa värden kan uppnås samtidigt.
Min tolkning är att man istället anpassat etik och lagstiftning efter tekniska brister.
Integritetsfrågorna har också lyfts bort från de myndigheter som normalt arbetar med att reglera och tillsyna informationshanteringen i vården, t.ex.
IVO och tidigare Socialstyrelsen.
Tidigare skedde en gemensam intresseavvägning mellan patientssäkerhet och integritet inom samma myndighet som dessutom hade vården i sin helhet som uppdrag.
Nu förväntas Datainspektionen med sina begränsade resurser och mandat försöka styra hanteringen av personuppgifter i rätt riktning inom vården.
Intresseavvägningen mellan patientssäkerhet och integritet har därmed flyttats till den enskilde vårdgivaren som ska uttolka de olika myndigheternas icke samordnade reglering i en informationshantering som däremot blir alltmer gemensam.
Dessutom har tillsynen av de regler för skydd av integritet som faktiskt finns varit otillräcklig.
Det är inte enbart tekniken som varit orsak till att integritetens allt lägre prioritet.
Både organisationsförändringar och förändrade vårdformer har starkt påverkat synen på avgränsning och ansvar för informationen.
För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård.
Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades).
Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman.
Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän.
Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring.
Vid sidan om offentlighetslagstiftningen fanns patientjournallagen som gav vårdgivarna ansvar att både säkerställa patientsäkerhet och integritet.
Socialstyrelsen hade tillsyn enligt patientjournallagen även i de delar som gällde att värna patientens integritet.
Det fanns också en yrkesgrupp som var utbildad för att professionellt hantera vårdinformation – läkarsekreterarna.
Vi som under stark motvind försökt driva integritetsfrågan i sjukvården har bemötts med i princip alla de logiska fallacier som finns i den här både lärorika och underhållande uppräkningen .
Särskilt populära har i min anekdotiska erfarenhet varit: Det kanske vanligaste har ändå varit härskartekniker som tystnad och osynliggörande vilket kanske varit det tråkigaste eftersom det lett till att en mer seriös diskussion inte förts och viktiga intresseavvägningar inte gjorts.
Själv hoppas jag på en mer rationell diskussion som klarar att beakta flera intressen samtidigt.
Integritet har trots detta blivit en allt viktigare fråga i e-samhället och det är naturligtvis positivt att makthavare inom sjukvården också uppfattar det.
Det är bara att hoppas på att det finns en seriös vilja att verkligen åstadkomma detta i 3R-projektet även om det är svårt att tolka in det i det dokument som det hänvisas till http://www.sll.se/Global/Politik/Politiska-organ/Landstingsfullmaktige/2016/2016-06-14-15/forslag-41sid19.pdf.
I beslutet om upphandlingsunderlag står det: Inte så mycket om integritet alltså.
Frågan i rubriken får vara obesvarad ett tag till.
Förhoppningsvis har det inte förbigått någon att2018 kommer att ersätta den svenska personuppgiftslagen.
Dataskyddsförordningen innebär att den enskildes rättigheter gällande skydd av personuppgifter stärks medan kraven blir strängare för myndigheter, företag och andra organisationer som hanterar personuppgifter.
Ett förbättrat integritetsskydd är verkligen välkommet med tanke på hur det ser ut på integritetsfronten idag.
Den kartläggning av som genomförts av Integritetskommittén genomfört (för transparensen skull är det väl bäst att meddela att jag suttit som expert i kommittén) visar på allvarliga brister i skyddet för den enskildes integritet i olika verksamheter.
Särskilt bekymmersam beskrivs situationen i hälso- och sjukvården vilket inte på något sätt förvånar den som har någon inblick i hur sjukvårdens informationshantering är utformad idag.
Jag kommer att återkomma till den fråga i ett senare inlägg men för den intresserade går det bra att ladda ner utredningen i sin helhet .
Ett kapitel där jag varit närmare involverad handlar om integritet och informationssäkerhet.
Dessa två storheter är nära länkade i ett antal avseenden.
Skyddet för den personliga integriteten ingår med självklarhet i aspekten ”konfidentialitet” och att skapa förutsättningar för att upprätthålla integritet är därmed ett mål fört i en organisation.
Informationssäkerhetsarbetets arsenal av åtgärder är de samma som måste användas i skyddet för integriteten.
Detta kan tyckas vara självklarheter och sammankopplingen har gjorts på det nationella planet exempelvis i den så kallade Infosäk-utredningen som lade fram sitt slutbetänkande Säker information.
I utredningen föreslogs som en av tio mål i en svensk informationssäkerhetsstrategi vara att skapa förtroende, trygghet, säkerhet, och öka integritetsskyddet.
Tråkigt nog kan detta ses som en startpunkt för en nu decennielång tradition i det nationellat (liksom i e-förvaltnings- och e-hälsosatsningar på nationella planet); att säga att integritet är ett viktigt mål men inte komma med några konkreta förslag på åtgärder för att uppnå målet.
Se även , och .
I NISU var utredarens uppdrag bland annat att: Uppdraget kan tolkas som något otydligt då ordet integritet visserligen ingår men sannolikt i samma betydelse som det engelska Detta är ett återkommande problem som , att begreppet integritet används i två helt olika betydelser inom informationssäkerhetsområdet.
Den första betydelsen är den definition av den personliga integriteten som återfinns exempelvis i personuppgiftslagen.
Den andra har sitt ursprung i EU:s definition av informationssäkerhet där användningen av begreppet är synonymt med det engelska .
Begreppet avser i detta sammanhang att en databas, ett nätverk, ett system alternativt en informationsmängd är skyddad från oavsiktlig förändring eller förlust av information.
NISU väljer att över huvud taget inte behandla den personliga integriteten: Av vilken orsak utredaren gör denna avgränsning motiveras inte närmare.
Därmed avviker NISU från det förhållningssätt som exempelvis ENISA och OECD rekommenderar.
The European Union Agency for Network and Information Security (ENISA) har uppdraget att samordna EU:s arbete med nät- och informationssäkerhet.
Integritetsfrågorna är en inte oväsentlig del av ENISA:s arbete där värnet av den personliga integriteten ses som en förutsättning för den it-utveckling som ska ge en viktig grund för den ekonomiska utveckling som eftersträvas för Europa.
Som en följd av detta har ENISA genomfört olika insatser som bland annat resulterat i ett antal publikationer som behandlar integritet från policynivå ner till teknisk tillämpning.
ENISA gjorde 2014 en ambitiös guide som beskriver hur skyddet av integritet kan utformas i praktiken i it-relaterade tjänster och system.
De har här utvidgat begreppet för konceptet till att gälla Privacy and Data Protection by Design.
I inledningen till vägledningen summeras integriteten i ett EU-perspektiv från ett överordnat värde till tekniska åtgärder som byggs in i it-lösningar: Även för OECD (Organisation for Economic Co-operation and Development)har informationssäkerhet och integritet ett nära samband vilket bland annat demonstreras av en arbetsgrupp för informationssäkerhet och integritet (Working Party on Information Security and Privacy in the Digital Economy – WPSPDE).
Från Sveriges sida har Post- och telestyrelsen (PTS) deltagit i arbetet.
2015 presenterades den senaste vägledningen i informationssäkerhetsfrågor, Digital Security Risk Management, där ett viktigt paradigmskifte genomförts då man säger att informationssäkerhet inte är en teknisk fråga utan en ekonomisk.
Informationssäkerheten ska därmed kopplas till den positiva ekonomiska utveckling som är OECD:s syfte.
OECD har lyft fram integritetsfrågorna som en viktig framgångsfaktor för den ekonomiska utvecklingen.
Skydd av personuppgifter vid dataöverföring och datalagring måste vara utformat så att det underlättar för fria dataflöden över landsgränser.
2013 kom en ny version av The OECD Privacy Framework där organisationen framhåller att man under decennier spelat en viktig roll i främjandet av integritet som ett fundamentalt värde och som ett villkor för ett fritt flöde av personuppgifter över landsgränser.
I ramverket ingår ett antal principer bland annat rörande insamling av personuppgifter, datakvalitet, syftet, användningen, säkerhet, öppenhet, individens rättigheter samt ansvar för datahanteringen.
Vad som tillkommit i revisionen 2013 är att man förordar ett riskbaserat förhållningssätt på samma sätt som i övrigtsamt krav på incidentrapportering.
Här är OECD:s linje att det bör finnas en nationell strategi för hantering av personuppgifter.
Eftersom i princip alla organisationer hanterar personuppgifter i större eller mindre omfattning så har också i princip alla organisationer legala krav på hur hanteringen ska ske.
De flesta organisationer har också behov av att kunna uppvisa en ansvarsfull hantering av personuppgifter för att kunna upprätthålla sin legitimitet och för att kunna skapa tillit hos olika omgivande aktörer.
Legitimiteten som kommer av förmågan att kunna upprätthålla den personliga integriteten har, som både ENISA och OECD understryker, en stark påverkan på ekonomisk utveckling på både samhälls- och aktörsnivå.
Kort sagt kan informationssäkerhet ha en mycket viktig funktion även för den ekonomiska utvecklingen nationellt och internationellt.
Att man i Sverige då valt en linje med svaga kopplingar mellan områdena är märkligt.
Förhoppningsvis kan svenska myndigheter samordna sig i konkreta frågor som att MSB:s obligatoriska it-incidentrapportering integreras med den rapportering av incidenter som ska utifrån kraven i dataskyddsförordningen så dubbelrapportering undviks.
Men för att stödja olika verksamheter så att de kan bedriva ettsom stödjer de allt starkare kraven på skydd av personliga integriteten kommer enligt min bedömning att kräva betydligt mer.
Detta kommer jag att återkomma till i ett senare inlägg.

Strawman: om du är för integritet och ser att den frågan inte hanterats i digitaliseringsprojekt så är du emot digitalisering i sig och vill gå tillbaka till pappersjournaler och hur bra var det med alla som sprang i journalarkiven?
Black or white: om du är för integritet så är du emot patientsäkerhet eftersom det framställs som omöjligt att vara för både och.
Anecdotal: Eftersom det inte finns någon egentlig sammanställning och utvärdering av vilka brister i informationshanteringen som lett till vårdskador så har ofta begränsningar i informationstillgången framställts som orsaken medan det kanske snarare handlat om bristande riktighet eller spårbarhet – detta bevisat genom egna anekdotiska bevis (vilket även kan ses som false cause, det vill säga att man skapar en korrelation som inte kan underbyggas).
Bandwagon: I och med att det funnits en gemensam acceptans för bristande integritet bland sjukvårdspolitiker och andra makthavare i vården så har det varit lätt att implicit och explicit driva en linje innebärande ”att alla gör så och varför skulle vi då ha krav på oss att göra annorlunda?”.
Appeal to authority: Mycket kraftfullt har varit att framställa läkare, annan vårdpersonal och vissa starka patientföreningar som innehavare av sanningen som inte går att motsäga.
Att de representerar särintressen har inte alltid framkommit.
Begging the question: Ett vanligt exempel som jag fått höra sedan början av nittiotalet är: ”tänk när någon kommer in medvetslös på akuten och vi kan rädda hen om vi bara får tillgång till all information – hur kan du vara emot det?” I detta exempel ligger ju antal inbäddade förutsättningar som att detta är den vårdsituation som vi bör ha som mall för alla andra (vilket även är ett exempel på composition/division) och att den som förespråkat integritet därmed sagt att det aldrig finns undantag eller speciella rutiner.

Meny integritet Inläggsnavigering

MENU MENU Postat av Postad i , , , , , Tagged , , , , Postat av Postad i , Tagged , , , , → Sök efter:

Satsningen på en ny plattform som nu ska göras innebär att man nu kan öka både patientsäkerheten och integritetsskyddet på ett sätt som varit svårt tidigare.
– Förut har man varit tvungen att kompromissa mellan dem.
Man har låst in data i respektive system vilket gett ett bra integritetsskydd men en sämre patientsäkerhet, men för första gången kan man nu höja nivån på båda samtidigt.
Dagens tekniska system gör det möjligt att ha gemensamma databaser och ändå sätta behörigheter på informationen.
Om du är kvinna och bryter ett ben behöver ortopeden inte ha tillgång till dina gynrapporter till exempel.
Vi kan också kravställa spårbarhet, vem som läst din information, på ett annat sätt, samtidigt som vi kan öka patientsäkerheten, säger Daniel Forslund.
Kärnsystemet ska stödja följande skapa incitament för verksamhetsutveckling, inklusive arbete med standardisering kopplat till begrepp som process, teknik, patientsäkerhet och kvalitet etablera förutsättningar för arbetet med en gemensam informationsstruktur omfattande informationsmodeller och termer/begrepp system ge invånaren en ökad tillgänglighet till och enklare kommunikation med vården Stockholms läns landsting ge invånaren möjlighet till att ta aktiv del i och ansvar för sin hälsa och sjukvård ge vårdverksamheten tillgång till en användarvänlig informationsmiljö i realtid med besluts- och processtöd ge kvalitetssäkrad information för att kunna utveckla vårdens processer och dess arbetssätt ge verktyg för forskning, utveckling och utbildning ge ett lättillgängligt verktyg för myndigheter och vårdgivare så att arbetet med kvalitets- och ledningssystem underlättas.
Regeringens skrivelse 2009/10:124 Samhällets krisberedskap – stärkt samverkan för ökad säkerhet Strategi för samhällets informationssäkerhet 2010-2015 SOU 2015:23 Informations- och cybersäkerhet i Sverige.
Strategi och åtgärder för säker information i staten (NISU) föreslå övergripande mål för samhällets, och hur Sverige ska upprätthålla säkerhet och integritet i samhällsviktig it-infrastruktur.
integrity I de delar utredningens förslag skulle kunna påverka den enskildes personliga integritet föreslår utredningen ytterligare utredningsåtgärder för att väga in sådana aspekter.

Jag har alltid haft svårt för den oreflekterade gruppkänslan, när tillhörigheten till en grupp blir så viktig för ens (yrkes)identitet att det skuggar tankens klarhet.
Tyvärr tycker jag att säkerhetsbranschen ofta drabbas en överdriven gruppkänsla som leder till ett grupptänk och inte minst av en oförståelse för hur det ser ut i ”verkligheten”.
Att predika för kören, d.v.s.
för andra säkerhetsmänniskor, är enklare än att öppet diskutera säkerhetsfrågor med människor som har andra och kanske viktigare prioriteringar än säkerhet.
Själv måste jag erkänna att jag grips av en skamkänsla över att erbjuda lösningar som tar så mycket tid från kärnverksamheten, dessutom med oklart resultat.
Trots att säkerhetsbranschen av tradition är högerlutande, vilket i normala fall skulle leda till ett ifrågasättande av byråkrati, krångel, förmynderi och slöseri med skattemedel, så godtas orimligt insatskrävande säkerhetsåtgärder i just skattefinansierade verksamheter.
Ganska hemmablint kan man tycka.
Låt mig bara ta några exempel.
I Sverige finns runt grundskolor.
Såsom praxis och stöd är utformade ska då informationsklassning genomföras om inte i samtliga grundskolor så åtminstone per förvaltning eller grundskoleområde, gärna med stöd av SKR:s KLASSA.
Många kommuner väljer dessutom att ta in konsulter för att genomföra klassningarna med KLASSA för dyra pengar och utan att den så viktiga dialogen uppstår mellan verksamhet och informationssäkerhetsansvarig.
Åtgärderna som levereras ur KLASSA är inte i de flesta fall konkreta utan snarare på en nivå som kräver en egen utredning för framtagning av åtgärder hos kommunen som använder verktyget.
För mig känns det som en mycket dyrbar metod som ger ett resultat som i bästa fall är tveksamt.
Som jag tidigare betraktar jag inte det som ett sätt att effektivisera säkerhetsarbetet och föreslår andra möjligheter.
Några andra som inte är så ängsliga för att ta säkerhetsresurser i anspråk är MSB.
Myndigheten har nu tagit fram en egen som såvitt jag kan se inte har något vetenskapligt stöd (däremot en närmast rörande metodbeskrivning med formel och allt).
Det framgår inte heller varför man inte tydligare anslutit till ISO 27004 som visserligen nämns men lämnar få spår i utformningen.
MSB har gått så långt att man skrivit in ISO 27001/27002 i sin föreskrift för statliga myndigheter så det skulle känts rätt logiskt att man då gått all in i standardfamiljen även då det gäller uppföljning.
Rapporten är ett svar på ett regeringsuppdrag: Detta skulle kunna tolkas som något som liknar frivillig tillsyn eller revision men istället har MSB knåpat ihop något som enligt min bedömning (jag har ändå rätt många år i mätbranschen) kommer att ta avsevärd tid att hantera för de organisationer som väljer att delta utan egentlig nytta.
Ja, visst får ledningen en överblick men även den som är mest besatt av mantrat ”ledningens genomgång” måste någon gång landa i att det är praktiska åtgärder som måste vidtas för att förbättra säkerheten – det räcker inte att rapportera aldrig så mycket.
Jag vet hur betvingande det är med spindeldiagram, jag har stått inför otaliga ledningsgrupper och showat med gott resultat, men det som gav verklig nytta var något annat.
Det var de insatser vi lade ner på att skriva detaljerade rekommendationer noggrant anpassade efter den specifika organisationens förutsättningar och risker.
Efter att ha läst MSB:s rapport kan jag inte förstå hur denna typ av frågeställningar öht ska kunna besvaras och vad eventuella svar skulle kunna ha för kvalitet: Hur räknar man ens procent på åtgärder?
Är åtgärden att sätt lås på ett dokumentskåp lika mycket värd som att ändra backup-rutiner liksom?
Måste åtgärderna att ha varit fullständigt genomförda för att räknas eller räcker det att de är påbörjade?
Om det endast fullständigt genomförda åtgärder som ingår kommer då organisationen att prioritera kortsiktiga åtgärder och välja bort de som tar lång tid men som kanske har större betydelse för säkerheten?
Att med så många grundläggande osäkerhet försöka tillämpa en formel som denna ger mig ett intryck av ett helt verklighetsfrämmande projekt.
Ett tredje ack så resurskrävande villospår är de externa revisioner som många organisationer väljer att göra.
Det är ett enkelt men kostsamt beslut att ta för ledningen.
Och när man ser på leveranserna från inte minst större välrenommerade företag blir man ofta beklämd.
Rapporterna, som inte sällan kommer i power point-format, är så uppenbart standardrekommendationer som av juniora konsulter klippts samman till något som inte är anpassat till kundens verksamhet och i vissa fall inte ens till svensk kontext.
Hur svårtolkade (en eufemism) rapporterna kan vara tyder den absurda upplevelse som jag stött på när ett revisionsbolag anlitas för att uttolka ett annat revisionsbolags rapport och försöka göra om den till något som liknar förslag på begripliga åtgärder.
Och nej, det blev inte så mycket begripligare i nästa led.
Trots den bristande kvaliteten i många revisionsrapporter får de orimligt stor betydelse i många organisationer.
Ledningar tar dem på stort allvar och tycker sig ha fått ett underlag både för den så omtalade ”benchmarketingen” och för att att kunna vidta rätt säkerhetsåtgärder.
Det är inte så konstigt; ledningen tycker sig ha betalat dyrt för att få en professionell genomgång av ett område som man själv i de flesta fall är dåligt insatt i. Att ställa kritiska frågor är inte aktuellt, särskilt om det skulle kunna avslöja ens egen bristande kunskap.
Vid ett inte oväsentligt antal tillfällen har jag tyckt när jag läst rapporterna att de varit mer eller mindre vilseledande när det gäller vilka åtgärder som rekommenderas.
Eftersom de som utfört revisionen på ett industriellt sätt inte haft möjlighet att sätta sig in i kundens förutsättningar kan fokuseringen på de prefabricerade åtgärderna leda till både dubbelarbete när vissa element faktiskt redan finns på plats men under annan benämning än revisionsbolagets och till att väsentliga risker missas.
Dessutom är hänsyn sällan tagen till beroendeförhållandet mellan olika åtgärder, något som kan göra att kundens åtgärdsarbete blir alldeles i onödan ineffektivt.
Ibland betonar revisorerna väldigt specifika åtgärder som den som arbetar med säkerhet i organisationen vet att man redan klarat av på annat sätt eller att avsaknaden av åtgärden innebär en mycket liten risk.
Detta går dock inte fram till ledningen som sätter en större tillit till den ytliga granskningen än till den egna personalens bedömningar – onödig kraft läggs då på att checka av åtgärdsförslagen istället för på att reducera verkliga risker.
Säkerhetsarbetet kan därmed snedvridas på avgörande sätt för lång tid fram över.
Detta är bara tre exempel, det finns många fler metoder och krav som kan ses som på det hela taget tämligen improduktiva.
Det är naturligtvis inte en slump att compliance och rapportering är så populärt.
Det är betydligt lättare att ”granska” än att skapa fungerande säkerhetsåtgärder – tro mig, jag har varit på båda sidorna.
Ibland skulle jag vilja gå så långt som att det borde vara förbjudet föreslå metoder och åtgärder för den som inte själv stått i det praktiska slitet att försöka förbättra säkerheten i en faktiskt existerande organisation.
Det är först då en djupare förståelse för hur komplicerat det är att förbättra den verkliga säkerheten, inte bara den som finns i kolumner och poängsättning.
Säkerhetsbranschen har anammat synsätten som leder till största nackdelen med NPM med oklara rambeskrivningar, mätningar och rapporteringar en masse.
Trots att aktörerna i branschen som sagt ofta i andra sammanhang klagar på administration tycks man blind för den negativa byråkrati man själv skapar och som äter upp resurserna som skulle gjort så mycket större nytta i kärnverksamheten.
Informationssäkerhetskraven såsom de ser ut idag trängs med likartade strukturer för hållbarhet, miljö, jämställdhet, ekonomi m.m.
som alla är viktiga men samtidigt tar kraft från det egentliga uppdraget.
Det är tyvärr inte så stor risk att vi råkar ut för något ansvarsutkrävande men vi borde verkligen se oss i spegeln och ställa frågan om vi är närande eller tärande.
Sannolikt mest det senare vilket borde sporra oss till att tänka på att varje timme vi tvingar alternativt uppmuntrar andra till att lägga på att svara på frågor och rapportera tas från en sjuksköterska eller lärare eller någon som producerar något vettigt.
Tre rapporter rörande obligatorisk incidentrapportering har kommit sedan årsskiftet: två från MSB och en från IMY (Integritetsskyddsmyndigheten).
Spännande läsning men säger rapporterna något väsentligt som jag kan dra nytta av i mitt säkerhetsarbete?
Under senare år har det nationella och även europeiska säkerhetsarbetet präglats av en klockarkärlek till obligatorisk inrapportering av incidenter.
Själv känner jag mig mer ambivalent.
Å ena sidan kan det tyckas som en självklarhet att det ska finnas en nationell lägesbild över vad som händer både för det akuta läget men även för att dra nytta av erfarenheterna som det brukar heta.
Å andra sidan är incidentrapportering en aktivitet som rusar i komplexitet när man bara börjar skrapa på ytan, det räcker att försöka rigga en fungerande process i den egna organisationen för att inse det.
Se bara den enkla processbeskrivning jag tagit fram som stöd för den enskilda organsiationer: Tyvärr måste jag medge att jag inte är alldeles övertygad om att kvantitativa insamlingar av något så komplext som incidenter är det bästa sättet att bringa klarhet i vilka verksamhetsstörningar och andra typer av realiserade hot som kan kopplas till it-incidenter (vilket är det som MSB och NIS-direktivet fokuserar på).
Förutom att det tynger de inrapporterande verksamheterna i kritiska faser undrar jag generellt om kvaliteten på rapporteringen och vilken säkerhetshöjande effekt den har.
Generellt är det ett problem att det saknas systematik i det nationella säkerhetsarbetet.
I myndigheter, kommuner, regioner och företag försöker vi få till en PDCA-snurra med ett tydligt C men i de nationella satsningarna för att stödja säkerhetsarbetet tycks inte utvärdering ses som ett nödvändigt steg.
För att ta ett par exempel så har jag frågat MSB om vilken utvärdering som skett av det s.k.
Metodstödet som ligger ute Informationssäkerhet.se och vilken säkerhetshöjande effekt det haft samt ställt samma typ av fråga till SKR angående KLASSA.
I båda fallen var svaret att man inte genomfört någon utvärdering och några planer i den riktningen nämndes inte heller.
Det finns en risk att mycket blir vad jag brukar kalla ”religiös säkerhet”, d.v.s.
åtgärder som vidtas i god tro men där det krävs just tro istället för evidens för att se resultaten.
Ofta handlar det om det som jag redan skrivit om som Graeberskt: när arbetet stannar vid dokument som skrivs, mallar som fylls i, enkäter som besvaras och engångsutbildningar som inte leder till någon djupare kunskap.
När en kommun glatt skriver om att deras styrande dokument blivit ”godkända” av tillsynsmyndigheten men att man inte tittat på hur det faktiskt ser ut i verkligheten tycker jag mig leva i Graebers värld av BS jobs.
Det finns en risk att nationell incidentrapportering blivit så populär just för att den kan röra sig i denna värld.
Vad kommer man då fram till i rapporterna?
För att få litet grepp om frågan har jag gjort en sammanställning av 2020 års inrapporterade incidenter: I mitt förra inlägg hävdade jag att arbetet med informationssäkerhet alltför ofta kännetecknas av byråkratiska aktiviteter utan reell säkerhetshöjande effekt men däremot med ett anspråkstagande av verksamheters resurser på ett orimligt sätt.
Det är ju inte heller enbart kärnverksamhetens resurser som används på ett sätt som kan etiskt ifrågasättas.
Att säkerhetsarbetet bedrivs utan hänsyn till hur effektiv användningen av resurser är samtidigt som den oavlåtliga klagovisan ljuder att säkerhetsarbetet får för litet resurser, ständigt för litet resurser, är paradoxalt.
För den som arbetar med säkerhet borde det ha högsta prioritet att få fram arbetssätt som ger största möjliga utdelning av säkerhetshöjande effekter i förhållanden till insatta resurser.
Tyvärr har jag sett mycket litet av den typen av analyser och jag kan t.o.m.
tycka att säkerhetsområdet får rejält med pengar sammantaget utan det riktigt framgår vad som kommit ut av det.
Rubriken på blogginlägget är aningen ironisk eftersom det väl nu är allmänt känt att effektiviseringar sällan leder till bättre verksamhet.
Jag tycker ändå att det är klädsamt om vi som jobbar informationssäkerhet, som är en stödfunktion, håller upp spegeln och ser vad vi kan göra när kärnverksamheten i många organisationer är hårt pressad av krav på besparingar.
Att försöka göra saker bättre och mer kostnadseffektiva behöver inte heller vara till nackdel för metodutveckling, jag dristar mig att anse att det skulle vara en fördel om det fanns ROI-perspektiv på både planerade och genomförda säkerhetsåtgärder.
Jag tror det skulle vara ett stort stöd för många informationssäkerhetsansvariga som nu ibland verkar beta av ett antal aktiviteter utan att kunna bedöma vad det egentligen leder till.
Vissa aktiviteter kan vara stora och dyrbara men det handlar också om annat där kostnaden kanske inte är så stor men effekten ännu mindre.
Att genomföra generiska e-utbildningar är enligt min erfarenhet tämligen bortkastat mensom initierat dem kan bocka av en ruta.
För mig betyder detta mekaniska tillvägagångssätt, förutom pengar och medarbetares tid i sjön, att organisationen invaggas i en vilseledande och farlig falsk trygghet.
Det tämligen obefintliga effektivitetspressen inom säkerhetsområdet, som är så kännbar i andra sektorer, tycker jag mig se leda till en lättja i tanke och i handling.
Det är lätt att glömma bort men informationssäkerhet handlar i grunden om att .
Har man inte det så har man inte en fungerande informationssäkerhet.
Med detta i bakhuvudet så kan den seriösa informationssäkerhetsarbetaren inte leva efter bekvämlighetsprincipen och hela tiden göra det som känns enklast.
Att enbart identifiera information som råkar finnas i system som man redan känner till är som, för att använda en mycket uttjatad bild, att leta efter den borttappade nyckeln under gatlyktan eftersom det är enklast.
Tyvärr är det så jag uppfattar rätt mycket av de insatser som går under beteckningen ”informationsklassning” som inte leder till kontroll över den information som är viktig för verksamheten utan den som redan finns bekvämt paketerad i en behållare a.k.a ett ”system”.
Ibland när jag får ”verktyg” för informationsklassning som är obegripligt efterfrågade presenterade för mig kan jag inte låta bli att fnissa till och tänka på min bekant som var kommunal it-chef på 1990-talet.
Hen hävdade att det var en underbar tillvaro där hen sågs som en wizzard som på vilken fråga som helst (i princip) från verksamheten kunde hacka ihop ett it-verktyg för att lösa en uppgift.
”Stöd” sågs helt enkelt som synonymt med någon slags programvara.
Tyvärr tycks denna uppfattning leva kvar bland många i informationssäkerhetsbranschen trots att det ofta är de icke-digitala delarna i en aktivitet som är svåra.
I informationsklassning (se nedan) är den stora frågan exempelvis att göra rätt analyser, inte att hålla reda på genomförda klassningar.
Innehåller verktygen dessutom generiska skyddsåtgärder uppstår en annan problematik: vem tar då egentligen ansvar för att det är korrekta skyddsåtgärder i förhållande till risken?
Efter denna salva känner jag mig förpliktigad att ge exempel på alternativ.
Här kommer därför ett förslag på arbetssätt motsvarande informationssäkerhetens kinderägg.
De tre fördelarna med mitt förslag är att man faktiskt arbetar med information – inte system, att man kan bygga upp en likvärdig säkerhet i likartade verksamheter och att kostnader i form av pengar och tid radikalt skulle kunna minskas samtidigt som får ökad kvalitet/säkerhet.
Med avsikt har jag valt en mycket säkerhetskänslig funktion som även är mycket vanligt förekommande: processen för läkemedelshantering i äldreomsorgen.
För att ge en kort bakgrund så ombesörjs äldreomsorgen med de 290 kommunerna som huvudman.
Kommunerna kan bedriva omsorgen själva eller anlita underleverantörer som privata vårdföretag.
Oavsett vilket så är det kommunen som har ansvar som sjukvårdshuvudman och ska därmed säkerställa att omsorgen bedrivs på ett säkert och likvärdigt sätt oavsett utförare.
En central del i omsorgen av äldre är läkemedelshanteringen.
Äldre som inte får rätt läkemedel i rätt dos vid rätt tidpunkt löper en avsevärd hälsorisk, i värsta fall med döden som utgång.
Omsorgen sker dygnet runt av ett antal medarbetare som vid varje givet tillfälle måste ha korrekt och spårbar information tillgänglig.
Samtidigt berör uppgifterna om läkemedel omsorgstagarens hälsotillstånd vilket gör dem till känsliga personuppgifter som måste omges med ett mycket starkt skydd mot obehörig åtkomst.
Utöver detta finns en särskild risk i läkemedelshanteringen, narkotiska preparat och även andra är mycket stöldbegärliga.
Även detta stärker det utpräglade behovet av spårbarhet där varje händelse kan följas och och kopplas till person som i en lång verifikationskedja.
En generisk processbeskrivning på övergripande nivå skulle kunna se ut så här.
Inga konstigheter i det men man kan gå ett fördjupande steg till utan att beskrivningen skulle tappa särskilt mycket i allmängiltighet med däremot fånga upp vilken information som hanteras, se detta utsnitt ur processen: Processen startar med att en av regionens läkare gör en läkemedelsordination vilket dokumenteras i regionens vårdsystem samt i den nationella läkemedelslistan.
Dessa moment ligger utanför processbeskrivningen ovan som startar med att information om ordination överförs till kommunen som en pappersutskrift vilket startar processen.
Den intresserade kan notera följande: Detta är inte på något sätt unikt för den här processen utan gäller för många andra.
Slutsatsen man kan dra är att om man seriöst så räcker det sannerligen inte med att ”klassa” ett enskilt system utan måste få kontroll över hela informationshanteringen.
Inte heller att enbart titta på digital information utan det är just helheten som måste fångas för att rätt åtgärder ska kunna vidtas.
Även för dataskyddet är detta en självklarhet – man kan liksom inte bara skydda personuppgifter i digital form.
I den ovan beskrivna processen finns t.o.m.
bärare som apodos-påsar som måste omhändertas på ett korrekt sätt.
Det kan tyckas ansträngande att inte bara få ägna sig åt färdigpaketerad information prydligt avgränsad i system men här finns istället stora effektivitetsvinster att göra.
Det går att klassa informationsmängden ”ordination” och så vidare så att det går att använda som en i samtliga kommuner oavsett vilka bärare man för tillfället råkar använda.
Dagens rekommendation från myndigheter och SKR är att 290 kommuner med vissa fall flera förvaltningar som bedriver äldreomsorg ska klassa system i varje förvaltning.
Dessutom måste samma manöver upprepas av de privata vårdgivare som anlitas av kommunerna.
Enligt beräkningar fanns 2019 14900 företag som ägnade sig åt vård och omsorg.
Jag har inte riktigt tid att fördjupa mig i exakt hur många av dessa som bedriver äldreomsorg men för saken skull så utgår jag från att det åtminstone finns 500 privata äldreboenden.
Sammantaget kanske det då behöver göras 850 klassningar av olika vårdgivare.
Låt oss höfta och säga att resursåtgången per klassning är minst 100 timmar inklusive förberedelser och dokumentation (detta är extremt lågt räknat med tanke på att det ofta är ett flertal deltagare på klassningarna) för att klassa ett system som stödjer en liten del av ordinationsprocessen.
Lustigt nog kommer det också att bli samma system som klassas gång på gång med varierande resultat.
Kontentan blir alltså bristande kontroll över informationen och bristande likvärdighet mellan olika äldreomsorgsverksamheter till en sammantagen resursåtgång av 85 000 timmar.
Betänk också att detta bara är en av flera processer bara i äldreomsorgen.
Mitt förslag är att man istället slår ihop sina påsar, tar fram gemensamma normerande klassningar skyddsnivåer.
Skyddsnivåerna måste då tas fram i stor öppenhet där det redovisas hur man ser på olika risker och hur de föreslagna skyddsåtgärderna avses reducera dessa.
Koppling till krav i föreskrifter med mera bör även finnas.
Skyddsnivåerna måste även innefatta skydd av andra bärare än system och molntjänster, t.ex.
fysiskt skydd av papper.
En jätteuppgift är att hålla skyddsnivåerna uppdaterade så att de inte ger förlegade rekommendationer.
Då ska vi komma ihåg att detta ändå skulle kräva en bråkdel av de resurser som skulle gå åt om varje vårdgivare skulle genomföra alla moment själv.
Jag kan mycket väl tänka mig att man i många fall även kan ge förslag på arbetsrutiner.
Vad skull då detta kunna innebära i praktiken?
Naturligtvis skulle ansvaret för säkerheten aldrig kunna delegeras men exempelvis en vårdgivare skulle kunna gå i ett bibliotek av olika verksamhetsprocesser, välja ut den aktuella och få fram en bild av generisk process samt en normerande klassning av typen nedan (fast ifylld): Därefter jämför vårdgivaren med sin egen verksamhet hur väl det presenterade materialet stämmer överens.
Gör det det i stora drag, kanske med litet annorlunda benämningar, så skulle vårdgivaren med detta stöd kunna ta sig ner till nivå att kunna köpa rätt skåp att förvara den enskilde vårdtagarens medicin i. Att krav på digitala lösningar ingår är naturligtvis självklart.
Som en bonus kan även krav på bevarande och gallring läggas in.
Det kan kännas som en överväldigande uppgift att ta itu med men minns då att den redan är överväldigande och idag tynger kärnverksamheten på ett orimligt sätt.
Kan vi åtminstone ta fram normerande klassningar för generiska processer i samhällsviktig verksamhet skulle vi ge möjlighet att höja samhällssäkerheten högst väsentligt och dessutom kunna reducera resursåtgången.
Eftersom myndigheterna med särskilt ansvar för informationssäkerhet förefaller skeptiska till den här typen av stöd finns det utrymme för andra aktörer att träda fram.
Statskontorets publikationer är en underskattad men ständig källa om inte till glädje så till mycket nyttig kunskap.
Under sommaren har jag en forskningsantologi kallad .
Min bedömning är att denna antologi är ett måste för den som arbetar med informationshantering eller informationssäkerhet i offentlig sektor.
Här får man så mycket sammanhang och tankar att man går ur boken som en tjänsteperson eller konsult stärkt och betydligt bättre rustad att hantera sitt uppdrag.
Ur en informationssäkerhetskonsults vinkel är det framför allt avsnitten om hur förpappring, managementbyråkrati, användning av standarder och konsulter riskerar leda inte bara till onödig administration utan också till bristande styrförmåga.
Tyvärr är det mycket som känns obehagligt välbekant.
Det är dystert att blir varse om hur det område man själv jobbar inom liksom man själv kanske är en förgiftad gåva till uppdragsgivaren, att det kostar mer än det smakar.
Vi kanske ödmjukt borde inseltför ofta ger upphov till mer byråkrati än nytta, till mer krångel än säkerhet.
En ständigt närvarande fråga borde vara hur kan vi skapa bättre säkerhet utan att tynga våra uppdragsgivare och utan att ta kraft från organisationernas verkliga uppgifter.
Hur mycket har alla de icke-fungerande ledningssystem inte kostat i pengar, incidenter och en falsk trygghet som hindrat att man vidtagit reella säkerhetsåtgärder.
Slutligen är det för mig oetiskt att ta mer resurser från kärnverksamheten till säkerhet om det inte går att påvisa att det är nödvändigt.
Givna frågor borde vara: Varför fungerar då så mycket avt så dåligt trots de avsevärda resurser som läggs på det från olika håll?
Efter att ha begrundat Statskontorets antologi vill jag på prov lansera hypotesen att många av informationssäkerhetens tillkortakommande beror på att arbetet bedrivits som en del i den new public management-trend som varit rådande i svensk förvaltning de senaste decennierna.
NPM diskuteras frekvent i antologin och många av dessa resonemang kan med lätthet översättas till informationssäkerhetsområdet.
Kännetecknande för NPM är bland annat en strävan att styrformerna i offentlig förvaltning ska likna de i privata företag.
Konsekvenserna blir i korthet decentralisering, ram/mål-styrning, standarder och en massa mätande.
Det som regleras är som ska göras men inte Ansvaret för hur åtgärder ska genomföras trycks ner i den decentraliserade strukturen.
Någon som kommer att tänka på den så omtalade ansvarsprincipen kanske?
NPM kan låta lockande men jag skulle säga att informationssäkerheten nationellt och i de enskilda organisationerna lidit stor skada av att det inte funnits en inriktning att ge tydliga direktiv om olika säkerhetsåtgärder ska utföras.
Det är en närmast kuslig suboptimering att varje organisation ska räkna ut allt själva.
Kravet på kortsiktig leverans och mätbarhet gör att det strategiska arbetet försummas.
Dessutom leder till en bristande samordning i en alltmer integrerad informationsinfrastruktur där en parts investering i säkerhet görs helt urarva genom att andra aktörer har gjort andra bedömningar och därmed inte infört samma skydd.
Fokus ligger också på dokument, standarder och rapportering, allt i enlighet med NPM:s styrfilosofi.
Jag tror inte att motståndet mot att få en konkretare styrning i säkerhetsfrågor ligger hos enskilda myndigheter, kommuner eller regioner, tvärtom är en vanlig utgångspunkt i diskussioner att man vill ha tydlighet och stöd i att veta vilka säkerhetsåtgärder som är adekvata och uppdaterade.
Snarare uppfattar jag att myndigheterna med föreskriftsrätt duckar och inte vill ta det ansvar som det innebär att peka med hela handen.
Det är liksom lättare att klaga på den bristande säkerheten i förvaltningen än att ge ett ändamålsenligt stöd.
Jag vill lansera ett förslag som jag haft sedan jag jobbade på MSB som exempel på hur vi skulle kunna bryta med ovanstående ineffektiva styrning och få en bättre och billigare säkerhet.
Mitt förslag är och har varit att erbjuda stöd i form av standardiserade skyddsnivåer och det jag kallar normerande klassningar.
Skyddsnivåer har jag skrivit om tidigare så därför koncentrerar jag mig på de normerande klassningarna.
Det mest uppenbara exemplet på hur det skulle kunna fungera gäller kommunal verksamhet.
Tänk er att det finns 290 kommuner med samma tio obligatoriska uppgifter.
Det leder till att man har i grunden har mycket likartade processer även om man ofta har egna beteckningar på förvaltningar, processer och informationsmängder.
I större kommuner kan det vara så att flera organisatoriska enheter ägnar sig åt samma slags verksamhet, exempelvis förskola eller äldreomsorg.
Man kan också anlita utomstående leverantörer för att driva verksamhet som till exempel ett äldreboende.
En viktig grundprincip för kommunal verksamhet är likvärdighet, dvs.
att invånare har rätt att förvänta sig samma kommunala service oavsett var man bor eller vem som är utförare.
I det här sammanhanget bör det tolkas som att invånare har rätt till samma säkerhet och integritet.
Detta uppnås dock knappast om informationsklassningar genomförs på tusentals olika sätt med helt olika resultat (jag kommer inte att ta upp SKR:s KLASSA här eftersom jag gjort det på annat ställe och kommit fram till att det inte är ett verktyg för informationsklassning utan möjligen för att ställa baskrav på enskilda system och som dessutom ger precis samma risk för olikartade bedömningar som om man inte använde verktyget).
Vad som skulle leda till både ensartade bedömningar och dramatiskt minskad resursåtgång är att göra normerande klassningar på prioriterade processer i kommunal verksamhet.
Man skulle då gå igenom en generisk process, exempelvis utbetalning av försörjningsstöd, se vilka informationsmängder som stödjer och skapas i de olika aktiviteterna i processen.
Därefter kan informationsmängderna klassas och den normerande klassningen användas av samtliga som utbetalar försörjningsstöd.
I och med att aktiviteter och informationsmängder är förvånansvärt konstanta över tid i många processer (tro mig, jag har gått igenom ett stort antal processer även i ett ”historiskt” perspektiv) så skulle denna grund kunna användas under lång tid.
Uppdateringar måste göras då exempelvis lagstiftning eller andra nya förutsättningar leder till att en förändrad bedömning blir nödvändig.
Även denna förvaltningsinsats har allt att vinna på att genomföras kollektivt och inte av varje informationsägare.
Och, observera, den normerande klassningen är bara ett stöd.
Det står varje informationsägare fritt att välja en annan nivå eftersom ansvaret för säkerheten kvarstår hos hen.
Ytterligare en poäng är att det här finns mycket stora samordningsvinster att göra även med dataskydd och arkiv.
Jamen systemen och it-tjänsterna säger ni uppbragt – varför finns inte de med i konceptet???
Det gör de faktiskt eftersom it-säkerheten hanteras i de standardiserade skyddsnivåerna och gör man sin processorienterade informationskartläggning rätt så identifierar man inte bara de digitala lösningar som används som bärare utan även de andra medier som faktiskt används.
Dessutom förekommer idag information i många fall i flera versioner på olika bärare så därför kan man inte gå nerifrån och upp.
Slutligen är bärarna inte alls lika konstanta som aktiviteter och informationsmängder så att ha dem som utgångspunkt för strategiskt styrning skulle vara göra sig själv en stor otjänst.
En passant kan sägas att samma synsätt sannolikt skulle kunna användas av SÄPO till allas nytta.
Att göra generiska säkerhetsskyddsanalyser för exempelvis kommuner och regioner skulle avlasta dessa aktörer och ge ett mer likvärdigt skydd.
(Jag flyr nu eftersom jag vet att detta är en helig ko som absolut inte får besudlas….).
Min förutsägelse är att det inte finns något ljus som automatiskt kommer att slås på i denna mörka byråkratiska tunnel utan det är vi själva genom att tänka fritt och nytt som måste skapa det.
Det är inte i mängden dokument säkerheten sitter.
Kriser har den fördelen att de oftast tar slut.
Att framgångsrikt hantera kriser bygger därför på att man inte bara hanterar nuet utan även framtiden.
Folkhälsomyndigheten har varit beundransvärda i att de lyckats hålla blicken uppe och fått allt fler att förstå att bekämpningen av coronaviruset inte bara handlar om drastiska åtgärder här och nu utan att vi både måste tänka på nästa virusvåg som kanske kommer redan i höst.
Ett annat budskap är att vad som ska värnas är folkhälsa där virusbekämpningen inte får överskuggande sekundäreffekter som i skapar större ohälsa och död än själva viruset.
Däremot når nu MSB:s insatser en sådan nivå att de t.o.m.
får vara med i satirinslaget i P1, en ynnest som är få myndigheter förunnad.
Inslaget handlar förstås om den famösa enkätappen som jag omnämnde i mitt förra och som nu även tagits upp i MSB har hintat om lanseringen av appen med en näraliggande men okänd startpunkt.
Tyvärr har myndigheten inte någon kommunikationslinje i frågan, vid konkreta frågor som i Eko-inslaget kommer endast undflyende svar.
Jag kan förstå det.
Det är svårt att sälja in en lagring av personuppgifter på befolkningsnivå i en amerikansk molntjänst.
Eftersom jag själv varit engagerad i svagheterna i projektet Hälsa för mig så har jag svårt att känna stark tilltro till att det snabbt går att vispa ihop en dylik tjänst med tillräcklig säkerhet och med tillräcklig respekt för dataskyddsförordningen.
Det är ju liksom ingen slump att eSam gjort ett om det olämpliga i att använda molntjänster när personuppgifter eller annan känslig information förekommer.
Vid sidan om själva enkätappen är MSB:s kommunikation den lika märklig.
Grunden för fungerande kriskommunikation är att inte skapa mer oro än nödvändigt utan delge de fakta som finns och som är relevanta i den aktuella situationen.
MSB har nu haft några olyckliga veckor trots att de ska vara samhällets experter på kriskommunikation.
Kanske tröttnade man att vara transportsträckan i dagliga presskonferensen på Folkhälsomyndigheten och att det var orsaken till att man helt plötsligt spicade upp sin monotona redogörelse om samordningsmöten med länsstyrelserna med att föranstalta en möjlig vattenbrist.
En signal som ledde till att redan hårt tyngda kommuner fick svara på helt irrelevanta frågor om icke-existerande vattenbrister från oroliga medborgare och medier.
Sedan detta smyglanserande av enkätappen som skapar frågor som inte besvaras utan skjuts till en obestämd framtid.
Detta leder inte till en större tillit i krisen.
Någon skulle kunna invända att nu när vi står inför en så stor kris som denna blir frågor som säkerhet och integritet underordnade.
Jag håller inte med om detta utan som jag skrev i mitt tidigare inlägg så är det när vi är som mest pressade som vi måste försöka tänka klart och följa de rutiner vi satt i normalläget, t.ex.
gällande riskbedömningar.
Vi ser nu hur det runt om i världen sker överträdelser mot grundläggande rättigheter och att auktoritära medel som inkräktar på individens sfär alltför villigt vidtas.
I Sverige har vi en lång stabil tradition av tillit och respekt men det finns ingen garanti att vi klarar att bevara detta.
Att myndigheterna sköter sig, inte genar eller agerar impulsivt är också grunden för den tillit som krävs för krisbekämpningen – inklusive att genomföra smittspårning m.m.
Efterklokt skulle man möjligen kunna kritisera myndigheterna för att de inte tagit fram ett smittspårningsverktyg i mellantiden sedan svininfluensan för ett decennium sedan utan börja ad hoca nu för då skulle säkerhetsfrågorna sannolikt kunnat hanteras på ett systematiskt sätt men det båtar föga.
Naturligtvis skulle man kunna säga att det är dumt att spekulera när så litet är känt och allt det jag skriver nu står på en mycket vacklande grund.
Ändå är detta en så viktig fråga att det är svårt att låta bli och spekulationernas kvalitet blir även den ett resultat av MSB:s kommunikationsplan.
För mig är det svårt att förstå hur en kombination av inloggning med BankID, amerikansk molntjänst och och känsliga personuppgifter inte skulle leda till mycket stora risker och att dataskyddsförordningen inte kan efterlevas.
MSB:s gedigna juridiska kompetens har möjligen gjort en annan bedömning men det är just den man skulle vilja ta del av, särskilt som den rimligen redan är färdigställd om breddlanseringen ska ske i dagarna.
Med den som underlag skulle kriskommunikationen kunna ske utan att orimliga spekulationer och onödig oro uppstår.
Mitt förslag är att, särskilt efter medieuppmärksamheten, MSB omedelbart presenterar den som är av stort intresse särskilt för oss som följt diskussionerna efter eSams uttalande.
Har MSB lyckats knäcka den nöten så är det stora nyheter för både Eller så har jag och en hel del andra missuppfattat upplägget (inte alls otroligt) och då vore det ju bra om MSB gick ut och beskrev hur det egentligen ser ut.
Är det så att MSB inte har ett vattentätt underlag så kommer man att underminera det mycket mödosamma arbete som bedrivs i många, om inte de flesta, organisationer, idag för att nå fram till ett ansvarsfull sätt att hantera molntjänster.
Detta menar jag vore förödande för MSB som den myndighet som ska samordna samhälletsslarvar med säkerheten.
Det skulle leda till att det svenska samhället skulle få ännu svårare att bemästra de mycket utmanande uppgifter vi redan står inför.
MSB:s egen verksamhet är ett show room för hur det är tänkt att andra myndigheter ska agera och förutom legitimitet finns det också mycket reell säkerhet att förlora om inte MSB klarar sin roll att leda genom sitt exempel.
MSB:s skrift Om krisen eller kriget kommer har en aningen märklig titel som om det finns ett krisfritt alternativ.
Jag tror både myndigheten och vi andra skulle tjäna på att ”när” snarare än om, i alla fall när det gäller kriser.
När krisen verkligen kommer skapas ett skilje där organisationer och individer ofrivilligt visar sitt virke, om man klarar att fungera rationellt även under press.
Planering för vad som ska göras när allt står på ända är ett bra sätt att stärka sitt virke.
Så än mer att kunna upprätthålla sina principer och sin planering när krisen väl inträffar.
Länge fanns en syn att säkerhet var ett hinder för en fungerande verksamhet.
Långsamt har vi tagit oss till en situation där allt fler ser att säkerhet inte är hinder för verksamheten utan en förutsättning, och då alldeles särskilt i svåra situationer.
Vi kan inte gå tillbaka till ett antingen det ena eller det andra, vi måste fortsätta kämpa för både effektivitet och säkerhet.
Det är bra om MSB befinner sig på rätt sida i det arbetet så att inte nya stora problem har skapats som ger utslag när krisen väl är över.
Jag läste en så fantastisk metafor i Jennifer Clements roman Gun love.
Romanen handlar Pearl och hennes mamma Margot som bor i baksätet i en bil.
Miljön är den där sortens misär som bara finns i USA med hemlösa människor som helt saknar riktning i sitt liv.
Redan tidigt i boken finns följande passus: Mamma och jag flyttade in i Mercuryn när hon var sjutton och jag var nyfödd.
Så den bilen, som stod i utkanten av en trailerpark mitt i Florida, var det enda hem jag kände till.
Livet var en prick-till-prick-teckning och vi bekymrade oss inte stort om framtiden.
Bilden av prick-till-prick-teckningen hakade fast i mig och jag fick en stark känsla av hur de här romanfigurerna levde sitt liv.
Så är det ju ofta med god litteratur, den lever vidare inom en.
Men hjärnan är en märklig sak och vips började jag associera metaforen med hur jag uppfattar digitalisering och informationssäkerhet på samhällsnivå, som prickar till synes utan samband.
Finns det en dold teckning under prickarna så kan i alla fall inte jag se den.
Att jag började tänka på det berodde på den nya rapport som regeringens uppdrag tagits fram av sju myndigheter om säkert och effektivt informationsutbyte i offentlig .
Lustigt nog var varken MSB eller någon annan myndighet med säkerhetsprofil bland de sju myndigheterna trots att uppdraget rörde just säkert informationsutbyte.
Detta var säkert en bakgrund till de slängar som slungades från MSB på sociala medier men efter en genomläsning av rapporten får det sägas att de avsnitt som skrivits om säkerhet knappast skrivits av någon med erfarenhet från detta område.
Att Försäkringskassan är en av de myndigheter som ingått i arbetet med att ta fram rapporten känns aningen illavarslande när man läser budgetproppen där det står om Försäkringskassans allt större roll som intern it-leverantör i staten: Förhoppningsvis är det andra som ska stå för den leveransen än de som skrivit om säkerhet i rapporten.
Ändå är rapporten positiv i andra avseende, främst genom att man pratar om en gemensam digital infrastruktur.
Detta är något jag försökt driva i olika sammanhang utan påtaglig effekt.
Jag vill självklart inte framhäva min egen roll utan bara säga att detta är en inriktning som tidigare saknats på ett mer uttalat sätt och som jag tror i sig har en tydligt säkerhetshöjande effekt.
Att notera detta positiva anslag känns viktigt även om den stora bilden av infrastrukturen inte kan anas och på sin höjd tre prickar sammanfogats.
Problemet är inte endast att det tycks sakna en ritning för utveckling av digitaliseringen utan även för samhällets informationssäkerhet.
MSB:s handläggare (ja, jag vet att hen liksom många andra tjänstemän friskriver sig på sociala medier genom att hävda att de ”twittrar som privatperson” – ett oskick jag beskrivit ) ansåg att rapporten var ett ”hafsverk” och att rapportförfattarna inte tagit till sig MSB:s synpunkter.
Nyfiken som jag efterfrågade jag då de diarieföra synpunkter som det hänvisades till och fick ut detta mail: Det avslöjar inte mycket av ett eventuellt infrastrukturellt synsätt.
Informationssäkerhetsområdet tycks alltså ha sin egen mycket ofullständiga prick-till-prick-teckning.
Liksom arkivväsendet som även det har en stor betydelse för den offentliga informationshanteringen.
Sammantaget så är planeringen av vår gemensamma informationshanteringsinfrastruktur uppenbart fragmentiserad och där olika myndigheter ritar sina prickar oberoende av varandra trots att de åtminstone borde vara i samma teckning.
I detta dystra scenario är det inspirerande att snegla österut.
I Finland har nämligen antagits en ny lag med om informationshantering inom den offentliga förvaltning.
I som låg till grund för lagen ges inriktningen: Det är fråga om en allmän lag som ska reglera informationshanteringen inom den offentliga sektorn.
Lagen avses gälla all informationshantering som sker inom myndigheternas verksamhet.
Genom lagen säkerställs en enhetlig förvaltning och en informationssäker behandling av myndigheternas informationsmaterial i syfte att genomföra offentlighetsprincipen.
Dessutom har lagen bestämmelser om elektronisk överföring av information mellan olika myndigheters informationssystem.
Genom regleringen effektiveras myndigheternas informationshantering så att myndigheterna kan tillhandahålla förvaltningskunderna sina tjänster på ett kvalitativt sätt som är förenligt med god förvaltning och kan sköta sina uppgifter på ett resultatgivande sätt.
Syftet med lagen är att främja också interoperabiliteten mellan informationssystemen och informationslagren.
träder i kraft vid årsskiftet och innebär också att en informationshanteringsnämnd ska säkerställa samordningen mellan informationshantering (inklusive arkiv), digitalisering och informationssäkerhet.
I dagarna har även en ny cyberstrategi antagits.
För mig förefaller denna ordning mycket ändamålsenlig särskilt om det även blir ett gemensamt myndighetsansvar.
I Sverige skulle det kunna kopieras så att DIGG får skärpa till sig och samtidigt överta ansvaret för samhällets informationssäkerhet och se till att det blir integrerat i hela digitaliseringensprocessen.
De myndigheter som redan idag framför allt är intresserade av internationella antagonistiska hot och cyberkrig kan fortsätta med detta med gott samvete.
På detta sätt skulle prickarna åtminstone fyllas i på samma teckning.
Jag vet att detta är en överdriven förenkling och att det inte går att dra snörräta linjer mellan olika säkerhetsområden men jag tror vi måste komma tillbaka till en situation där normallägets funktionalitet respekteras och där bygget av en gemensam infrastruktur kan ske med god säkerhet.
Vår ambivalens inför molntjänster är stor.
Å ena sidan har vi risken att personuppgifter och annan känslig information kommer i orätta händer, å andra all den funktionalitet som vi så gärna vill ha.
Dessutom måste det vägas in att molntjänster erbjuder många säkerhetsfördelar, inte minst för mindre organisationer.
menar att vi står i ett vägskäl.
Själv ser jag att många redan har gjort sitt val och tyckt att nyttan med molntjänster överstiger risken.
Att många kommuner har gjort så är ingen hemlighet men jag blir ganska häpen när jag efter ett tips kollade upp , en rekryteringstjänst för Försvarsmakten.
Tipset var att denna tjänst ligger i Office 365, en molntjänst som driftas av Microsoft på Irland.
För att få korrekt information skrev jag och frågade Försvarsmakten litet om detta.
Jag har tre frågor om Mitt försvarsmakten: Slutligen skulle jag vilja ut en lista över vilka personuppgifter som hanteras i Mitt försvarsmakten.
Tack för svar!
och fick då följande svar som jag publicerar in extenso: Hej!
Se svar nedan på dina frågeställningar.
Mitt Försvarsmakten är byggt inom extern molntjänst (Microsoft Office 365).
Försvarsmakten har ställt krav på informations- och IT-säkerhet och granskat den färdiga lösningen utifrån kraven med godkänt resultat.
Inom ramen för utvecklingsarbetet har den militära underrättelse- och säkerhetstjänsten, MUST, löpande deltagit i granskningar av lösningen och har även godkänt lösningen inför driftsättningen.
Försvarsmakten arbetar kontinuerligt med kontroll och förbättringar av informations- och IT-säkerheten i alla IT-tjänster inklusive denna.
Försvarsmakten kommenterar inte i detalj hur säkerhetskraven är implementerade.
Personuppgifterna i Mitt Försvarsmakten behandlas med stöd av samtycke från den enskilde.
Av samtycket framgår även att Microsoft behandlar personuppgifterna.
Försvarsmakten använder Google Analytics från Google som analysverktyg.
Google Analytics använder cookies.
Informationen som genereras av dessa (inklusive IP-adresser) kommer att vidarebefordras till och lagras av Google.
Denna information används i syfte att utvärdera besöksstatistik.
Google kan också överföra denna information till tredje parter om det krävs enligt lag eller i de fall en tredje part behandlar informationen för Googles räkning.
Google kommer inte att koppla samman IP-adresser med annan data som Google innehar.
Google Analytics anonymiserar den information som skickas till Google.
För personer utan registrerad användarprofil i Mitt Försvarsmakten som har registrerat sig för ett specifikt event behandlas endast uppgift om namn och e-postadress.
För personer med registrerad användarprofil i Mitt Försvarsmakten behandlas uppgifter om Namn Personnummer Kontaktuppgifter (adress, telefonnummer och e-postadress) Uppgift om kön Uppgift om svenskt medborgarskap Uppgift om nuvarande sysselsättning Uppgift om nuvarande arbetsgivare Uppgift om godkända betyg MA / SV / EN från gymnasiet Uppgift om kondition och muskelstyrka Intresse för Försvarsmakten Medarbetarstatus, tidigare anställning inom FM Har ansökt om Veterankort eller har Veterankort Har sökt tjänst Har sökt GMU Har gjort rekryttest Startat GMU/GU-F/GSU/Kombattantutbildning Slutfört GMU/delkurs/GU-F Tagit anställning inom FM Avtal tecknat Avtal tecknat den Samtycker till lagring och bearbetning av information Kandidaten vill avregistrera sig Mvh Försvarsmakten Det ska medges att jag ibland varit aningen tveksam till att det ofta framställs som att Försvarsmakten är säkerhetsexperterna även då det gäller det civila samhällets säkerhet.
Men om vi acceptera premissen att Försvarsmakten är någon form av riktkarl för samhällets säkerhet blir detta svar intressant.
Frågorna jag ställer mig är: Observera att jag inte har svaret på dessa frågor – jag bara funderar.
Den minnesgode kommer ihåg att jag tyckte det saknades några frågor vid den öppna utfrågningen i riksdagens försvarsutskott om cybersäkerhet för ett par veckor sedan.
För att inte bara planlöst gnälla ska jag formulera några av de frågor jag själv skulle ställt i rollen som en hyfsat insatt folkvald ledamot i försvarsutskottet.
Rollen kräver ju en något mer nobel approach än den som småaktig bloggare.
Jag kommer därför naturligtvis inte att ställa tråkiga frågor som vad cybersäkerhet betyder eller vad det är för värden på axlarna på MSB:s bild över utvecklingen av digitalisering respektive cybersäkerhet även om jag grubblat över detta sedan jag såg den.
Jag ska heller inte göra banala zingers av typen ”här ser vi hur man försöker lösa morgondagens frågor med gårdagens lösningar.”.
Istället kommer jag att försöka ställa fem övergripande frågor som jag menar är av betydelse för samhället och inte bara för samhällets säkerhet.
– Herr ordförande, vi har nu fått en genomgång av ett statsråd och fyra myndighetsföreträdare.
Tyvärr kan inte genomgången ha lett till en bra helhetsbild av frågan.
Varje myndighetsrepresentant har presenterat sin myndighets perspektiv på ett sätt som får åhöraren att känna sig som på toppen av ett utsiktstorn där det bara är möjligt att beskåda utsikten genom fyra fastlåsta och begränsade kikare.
Själva vyn är osynlig genom dessa tunnlade perspektiv.
När vi som folkvalda får en presentation där cyberförsvar, säkerhetsskydd, samhällsviktig verksamhet, och den vardagliga informationssäkerheten presenterade som helt separerade spår är det lätt att förstå den vanmakt som många aktörer som förväntas göra något i praktiken känner.
I NISU-utredningen 2015 var det första åtgärdsförslaget för att förbättra informationssäkerheten att utveckla en nationell styrmodell för informationssäkerhet: En nationell styrmodell för informationssäkerhet består av ett antal komponenter som måste utvecklas och förvaltas över tid.
En del är ett sammanhållande regelverk som innehåller olika nivåer av reglering under föreskriftsnivån, det vill säga en regelhierarki som motsvarar ett ledningssystem inom en organisation.
Förutom de resurser som krävs för att utveckla och förvalta styrmodellen krävs en lösning för anslutning och efterlevnadskontroll som löpande samordnas med andra intressenter.
I detta ligger också omfattande utbildningsinsatser.
I styrmodellen är informationsklassning den mest omfattande aktiviteten som går från processorienterad informationskartläggning via själva klassningsmomentet till utvecklade gemensamma skyddsnivåer.
För att skyddsnivåerna ska kunna fylla sin funktion krävs omfattande insatser av både egen och extern kompetens inom områdena administrativ, fysisk och it-inriktad säkerhet.
Slutligen förutsätter en nationell styrmodell en väl utvecklad kunskapsstyrning.
Kunskap kan i detta sammanhang röra sig om kunskap om metoder men i ännu högre grad om att kunna ge ett vederhäftigt underlag för en styrning utifrån risk.
Det innebär att kunna förmedla en uppdaterad riskbild och att samtidigt kunna förmedla stöd för riskreducerande åtgärder.
Behovet av en nationell styrmodell förefaller större än någonsin, inte minst sett i perspektivet av att försöka samordna digitalisering och säkerhet.
Min fråga till statsrådet är därför var detta förslag hamnat.
En följdfråga till myndighetsföreträdarna är om det är omöjligt att utan ett formellt uppdrag från regeringen börja samarbeta på ett sätt som leder till konkreta samordnade stöd för – Herr ordförande, två konkreta frågor angående molntjänster.
I efterdyningarna av skandalen vid Transportstyrelsen har molntjänster blivit en huvudfråga för regeringen när det gäller säkerhet.
Samtidigt vet vi att molntjänster redan används i stor omfattning av svenska myndigheter, kommuner och regioner/landsting, att de ger effektiva lösningar och i många fall bättre säkerhet än om verksamheterna själva skulle drifta och förvalta i egen miljö.
Många av de tjänster som idag finns även som applikationer för egen förvaltning kommer snart enbart att finnas som molntjänster.
Samtidigt är det svårt för Söpple kommun att ställa krav på Microsoft och Google angående säkerhet och integritetsskydd.
En lösning som skulle kunna ge både bättre säkerhet och nödvändig effektivitet var om svenska staten på samma sätt som den tyska sluter ett gemensamt avtal med några av de stora jättarna.
Jag förstår problematiken när det gäller konkurrensfrågor m.m.
men vill ändå ställa frågan om detta är något regeringen överväger eller om varje kommun och myndighet även fortsättningsvis ska försöka lista ut om det är juridiskt korrekt att använda Office 365 samt ta fram sina egna avtal.
Jag skulle också vilja fråga om den ändring som redan skett, nämligen att SÄPO och Försvarsmakten tilldelats en vetorätt när det gäller utkontraktering av information från säkerhetskänslig verksamhet.
Detta ställer ju ansvarsprincipen på ända och jag funderar i detta sammanhang om regeringen ser framför sig även andra förändringar i denna grundpelare i svensk förvaltning.
Vem tar ansvar för verksamheten i det här fallet – SÄPO eller verksamhetsledningen?
-Herr ordförande, under dagens presentationer är det lätt att få föreställningen att säkerhet är ett enkelt och entydigt begrepp samt att säkerhetsåtgärder alltid är obestridligt ”goda”.
Den som ägnat minsta tanke åt detta och kanske dessutom kanske ändå studerat lite samhällsvetenskap, historia eller filosofi vet naturligtvis att så inte är fallet.
Säkerhet existerat alltid i en relation till andra värden.
En supersäker lösning som skulle förhindra alla brott vore att låsa in alla medborgare och slänga bort nyckeln för att dra frågan över det löjligas gräns.
Samtidigt måste jag som folkvald naturligtvis beakta de olika intressen som finns i samhället och som delvis står i konflikt med ”säkerhet”.
För mig framstår det som det finns tre värden som ständigt kommer i konflikt med den renodlade säkerheten; effektivitet, demokrati och individens integritet.
I digitaliseringssträvandena ligger önskan om effektivitet.
Demokrati i den form vi känner den är ett centralt element insyn och delaktighet.
Övervakning är per se en inskränkning i integritet.
Jag hörde ingen av talarna ta upp dessa konflikter och ställer därför frågan om myndighetsföreträdarna ser det som liggande utanför sitt uppdrag att även ta hänsyn till denna typ av aspekter.
Det är i så fall viktigt att veta eftersom utgångspunkten då måste vara att myndigheterna agerar som ”säkerhetsnördar” och de övriga perspektiven måste tillföras från annat håll innan beslut tas i viktiga frågor.
– Herr ordförande, jag tror vi alla är överens om att det finns ett stort behov av att utveckla informationssäkerheten i Sverige.
En absolut vital förutsättning för att kunna göra det är att det finns tillgänglig kunskap och kompetens på olika nivåer.
Min bedömning är att detta behov är skriande idag alltifrån den vetenskapliga nivån till att det saknas tusentals informationssäkerhetsansvariga företag, kommuner, landsting och myndigheter.
Detta leder till att vi inte vet vad vi ska göra för att faktiskt vara effektiva och att det saknas operativ förmåga att bedriva det säkerhetsarbete som åläggs olika aktörer.
Situationen kommer knappast att förbättras av sig själv eftersom det idag endast finns en handfull utbildningsplatser per år för att utbilda kompetenta informationssäkerhetsansvariga.
Många av de som idag är informationssäkerhetsansvariga (eller kallar sig certifierade och informationssäkerhetsexperter) saknar helt utbildning inom området.
Fortbildningsbehovet är därför oerhört stort.
Ytterligare en aspekt är att kunskapsuppbyggnad bygger på ett kritiskt tänkande och en öppen dialog.
Ett intryck från säkerhetsområdet är att det ofta präglas av en tystnadskultur och en anti-intellektualism.
Detta bygger, tror jag, på tradition, på att det saknas arenor för ett intellektuellt utbyte i säkerhetsfrågor och på att en osäker profession sluter sig inom sig själv i kotterier.
För att komma vidare och hitta den goda säkerhetskulturen som skapar kunskap och insikt även på den nationella nivån krävs insatser även från myndigheterna.
Min fråga är hur det stora kunskaps- och kompetensbehovet ska tillgodoses och hur myndigheterna kan verka för en god säkerhetskultur med kritiskt tänkande även i de nationella sammanhangen.
– Herr ordförande, en sista fråga.
I de presentationer vi tagit del av lyfts diverse försumligheter och bristande medvetande hos samhällets aktörer fram.
Däremot sägs mycket litet om och i så fall hur myndigheterna med särskilt ansvar för säkerhet bedriver en systematisk utvärdering av sina egna insatser.
Utvärdering är ju en grundläggande aktivitet i ett systematiskt arbetssätt och det finns därför anledning att anta att denna kvalitetshöjande mekanism måste vara inbyggd i myndigheternas verksamhet.
Detta framgår dock inte i de årsredovisningar jag tagit del av och inte heller i dagens presentationer.
Därför skulle jag vilja ställa frågan om den bristande säkerheten alltid är någon annans fel eller om det är möjligt att myndigheterna sett anledning att även förbättra sina egna insatser?
Det är klart man bänkar sig framför tv:n (i ärlighetens namn bakom en datorskärm) när riksdagen har en öppen utfrågning om cybersäkerhet vilket skedde förra Sändningen börjar med en lång och mycket grynig mingelupptagning när alla deltagare och åhörare ska leta upp sina platser.
Trots mitt seriösa intresse för frågan uppstår nästan omedelbart samma problem som under de senaste veckornas rapportering från Svenska akademien; gränsen mellan fiktivt och faktiskt berättande glider ihop.
Jag och mitt sällskap följer de stela tjänstemannakramarna, den tidigare statliga chefen som nu blivit lobbyist som ivrigt söker sällskapet hos sina tidigare kollegor, den aningen nervöse talskrivaren som flackar med blicken och hoppas på att chefen ska hålla sig till manus och inte sväva ut i egna funderingar, den tidigare myndighetschefen som överraskande dyker upp.
Soundtracket till House of cards tonar upp i medvetandet och det är med stigande intresse man följer scenen.
Enda missen sett ur ett underhållningsperspektiv är den tekniska kvaliteten och att personaget inte introduceras.
Den nerv som fanns i minglet dör tråkigt nog ut i samma ögonblick som redovisningarna av vad som sker på cybersäkerhetsområdet börjar.
Först ministern, sedan myndighetscheferna i tur och ordning.
Det mest förvånande är att absolut inget förvånande sägs.
Det är exakt samma saker som sägs som har upprepats i 15-20 år.
Inga nya lösningar, inga nya självinsikter och inga reflektioner av vad som skulle kunna ändras hos myndigheterna själva.
Naturligtvis förekommer ordet ”cyber” mer ymnigt än någonsin och aktuella catch phrases som ”det förändrade omvärldsläget”.
Nya aningen dunkla fenomen som ”civila cyberförsvaret” förs in utan att det klargörs vad exakt detta skulle vara.
Axiom som att brister upptäcks när incidenter rapporteras ventileras.
Det mest genomgående temat är att de utfrågade myndigheterna säger sig behöva ännu mer resurser.
Alltså i sak intet nytt.
Däremot saknar i alla fall jag ett analytiskt förhållningssätt där man faktiskt kommer in på frågan hur intresseavvägningen mellan den effektivitet som digitaliseringen står för och en bättre säkerhet ska göras på samhällsnivå.
Eller hur det demokratiska samhället ska leva ihop med den ständigt ökade övervakningen från både företag och staten.
Sammantaget blir utfrågningen en god illustration över varför nuläget är som det är: säkerhetslägret och digitaliseringslägret är som två cykloper som möts och aldrig skapas ett stereoseende.
Inte heller då riksdagsledamöterna släpps in för att ställa frågor efter statsrådets och myndighetschefernas redovisningar tillkommer något nytt perspektiv.
De folkvalda håller sig hovsamt inom den uppdragna ramen och ställer välvilliga frågor som möts av föga förvånande svar.
Enda gången där det hettar till är när det bekymmersamma läget i kommunerna återkommande lyfts fram och en representant från SKL i lätt agiterad ton hävdar att tillståndet minsann är bättre än så eftersom så många kommuner börjat använda KLASSA (!).
För att övertyga den som inte tror mig har jag sammanställt ett litet quiz där den som vill får gissa om citaten kommer från den öppna utfrågningen förra veckan eller från För att göra det litet svårare har jag bytt ut ”informationssäkerhet” i texten från 2005 mot ”cybersäkerhet”.
Innebörden i begreppsanvändningen är mycket likartad i detta sammanhang och samtliga talare förra veckan.
Den som först sänder in ett rätt svar bjuder jag på lunch eller ett glas efter jobbet.
Skicka in en tipsrad med A för SOU 2005:42, B för citat från utfrågningen.
En rimlig ståndpunkt är att tydliga begrepp i de flesta fall är en förutsättning för en fungerande kommunikation.
Personligen ser jag kommunikation som det viktigaste redskapet för att få till en fungerande informationssäkerhet både i den egna organisationen och nationellt.
Därför är begrepp inom informationssäkerhet en avgörande faktor för att lyckas.
Ett begrepp som gjort en raketkarriär är cyber.
Det är inte bara en allmän känsla utan stöds också av en sökning i Retriever, se graf: I många sammanhang, även från regeringen, lyfts betydelsen av s.k.
cybersäkerhet fram som en central fråga för det svenska samhället.
Jag uppfattar försvarsminister Peter Hultqvist som en informell rekordhållare då han lyckades säga ”cyber” inte mindre än 36 gånger i ett men då krävdes det också stycken som det här för att lyckas: Cyberdomänen, eller cyberrymden, vad vi än väljer att kalla den, har kommit att bli en ytterligare arena för militär och annan verksamhet.
Den trenden har varit tydlig under en tid.
Tidigare rapporter från Försvarsberedningen har lyft fram de problem och risker som präglar cyberdomänen.
Den tilltagande antagonistiska dimensionen i cyberrymden gör det nödvändigt att utveckla och stärka cyberförsvarsresurser.
Vi kan se att ett flertal länder i världen har gjort just det.
Det försvarspolitiska inriktningsbeslutet från 2015 innehöll ett tydligt och nytt steg i arbetet med svenskt cyberförsvar.
Här förekommer även sammansättningar som cyberdomänen respektive cyberrymden som antingen är samma sak eller möjligen inte eftersom begreppen används varannan gång t.o.m.
Detta är kanske bara ett uttryck för språkglädje där man vill variera uttrycken.
Hur som helst har begreppet ”cyber” här någon slags rumslig dimension.
I den nationella strategi för samhällets informations- och cybersäkerhet som regeringen presenterade 2017 och som statsrådet hänvisar till i sitt anförande saknas dock denna rumsliga dimension då begreppen som utgör strategins ämne definieras: Med informations- och cybersäkerhet avses i denna skrivelse en uppsättning säkerhetsåtgärder för bevarande av konfidentialitet, riktighet och tillgänglighet hos information.
Med konfidentialitet avses att obehöriga inte ska kunna ta del av informationen.
Med riktighet menas att informationen inte förändras, manipuleras eller förstörs på ett obehörigt sätt.
Med tillgänglighet menas att behöriga ska kunna ha tillgång till informationen på det sätt och vid den tidpunkt som tjänsterna erbjuder.
För informationssäkerhet som avser digital information används i denna skrivelse även begreppet cybersäkerhet.
I denna skrivelse används begreppen beroende av sitt sammanhang, där exempelvis cybersäkerhetsbegreppet är vanligt förekommande i en internationell .
Det är litet svårt att se skillnaden mellan informations- respektive cybersäkerhet men jag tolkar det som att man ser cybersäkerhet som en delmängd av informationssäkerhet där cybersäkerhet bara handlar om ”digital information”.
Cybersäkerhet anses också mer ”internationellt”.
För mig är blir det aningen besynnerligt att tala om digital information eftersom det blir en mix av information och bärare– när man exempelvis klassar information är det ju inte mediet som klassas utan informationsinnehållet.
För att få bättre bild av hur begreppet används av de myndigheter som har särskilda ansvar inom området och därmed ofta kommunicerar med begreppet i fokus skrev jag en enkel fråga till tre av dessa myndigheter; Försvarsmakten, SÄPO och MSB.
Begreppet ”cyber” används flitigt för tillfället.
Jag skulle behöva ha x:s definition av begreppet eftersom det används på olika sätt i olika sammanhang.
Samma dag fick jag svar från Försvarsmakten med en hel ordlista ( ) med sammansättningar med ”cyber”, däribland cybersäkerhet: Cybersäkerhet är den samling av säkerhetsåtgärder, riskhanteringsmetoder och tekniker som kan användas i syfte att bevara konfidentialitet, riktighet, spårbarhet och tillgänglighet i cyberrymden.
En stor eloge till FM för denna goda service!
Definitionen pekar mindre på styrning på organisatorisk men desto mer på konkreta säkerhetsåtgärder, alltså ganska långt från ledningssystem.
Åtgärderna ska vidtas i cyberrymden (med synonymer som cyberspace, cybermiljön, cyberarenan, cyberdomänen) som enligt begreppslistan är: Cyberrymden är den del av informationsmiljön som består av de sammanlänkade och av varandra beroende it-infrastrukturer, som möjliggör kommunikation, med tillhörande data och information.
Den inkluderar internet, intranät, telekommunikationssystem, it-system samt inbyggda processorer och styrenheter.
Jag uppfattar det som cyberrymden är den gemensamma tekniska infrastrukturen men inte informationen i sig.
Från SÄPO kom efter en knapp vecka det något förvånande svaret: Hej, Säkerhetspolisen har ingen egen definition av begreppet cyber.
Det är inte ett begrepp som används primärt i vår verksamhet.
Förvånande eftersom ”cyber” förekommer flitigt på SÄPO:s webbplats, i olika rapporter och utåtriktad verksamhet som och för att bara ta ett par exempel.
Slutligen då MSB där svaret satt hårdare inne och inte kom förrän efter en dryg månad: Hej!
Ordet ”cyber ”kan inte anses stå för sig själv, utan används av MSB i sammansättning med andra ord, främst ”cybersäkerhet”.
Beroende på sammanhanget använder MSB ordet ”cybersäkerhet” med något olika betydelse: MSB har under flera år engagerat sig i terminologifrågor och stöttar bl.a.
SIS i arbetet med terminologi på informations- och cybersäkerhetsområdet.
MSB planerar inte att ta fram en egen definition av begreppet cyber, eller cybersäkerhet.
De definitioner/beskrivningar som myndigheten behöver kunna använda är, enligt ovan, bl.a.
från regeringens strategier, standardiseringsorgan (ex SIS), FN, EU samt Nato.
Cyber/cybersäkerhet förekommer i dag i förslag till reglering från EU (den s.k.
cybersäkerhetsakten, COM(2017) 477 final).
Myndigheten har därmed tre olika definitioner för olika sammanhang och har dessutom gjort en egen utveckling av den definition som fanns med i 2017 år nationella strategi.
Detta blir aningen motsägelsefullt när man samtidigt säger sig använda befintliga definitioner/beskrivningar och inte utveckla egna.
Formuleringen om SIS undviker elegant att MSB faktiskt inte använder den definition av cybersäkerhet (”cyber” i sig själv ingår inte) som finns terminologin SIS-TR 50:2015 (tyvärr är jag inte länka till terminologin eftersom den inte är fritt tillgänglig): bevarande av konfidentialitet, riktighet och tillgänglighet hos information i cyberrymden Cyberrymden;telerymden har i sin tur definitionen: abstrakt rymd som utgörs av digital kommunikation mellan datornätverk och där all digital information befinner sig Med den förtydligande kommentaren: Cyberrymden innefattar all kommunikation via internet samt telekommunikation.
En cyberrymd möjliggörs av den hårdvara och de system som ingår i en infrastruktur.
Jag är inte alldeles säker på att jag förstår vad detta exakt betyder.
Terminologin verkar dock ha den implicita uppfattningen att ”cyber” har med internationella konflikter och antagonism att göra vilket markeras redan i det inledande stycket till kapitlet om Samhällets informations- och cybersäkerhet: Varje dag utsätts svenska myndigheter och företag för cyberattacker.
Detta har bidragit till att bl.a.
frågor om cybersäkerhet och cyberresiliens har blivit mer aktuella inom olika branscher.
Sverige, liksom många andra europeiska länder, har på senare år börjat uppmärksamma risken för cyberattacker som en global och militär hotbild.
Det är därför viktigt att introducera cybersäkerhet inom olika branscher för att öka förståelsen och kompetensen för hur man kan skydda information från dessa hot.
Cybersäkerheten har medfört nya termer, men eftersom området fortfarande är nytt kan dessa termer komma att ändras och det kommer att krävas fortsatt terminologiutredning inom detta område.
Det verkar inte råda någon konsensus om skillnaden mellan informations- och cybersäkerhet, utan de två termerna används ibland omväxlande.
Ibland används termen informationssäkerhet när inriktningen ligger på informationen och termen cybersäkerhet när det handlar om den digitala domänen; ibland ses cybersäkerhet som informationssäkerhet på en global nivå .
Samtliga sammansatta ord med förleden cyber som presenteras i terminologin är företeelser som skulle kunna ingå i en krigföring eller terrorism på hög nivå (cyberattack, cyberavskräckande, cyberförsvar, cyberkrigföring, cyberoperation osv.).
I en lustig cirkelrörelse hänvisar man i en fotnot till SOU 2015:23 (NISU) och den begreppsdiskussion som förs där på sidan 40: En grundläggande definitionsfråga för hela den svenska informationssäkerhetsnomenklaturen handlar just om innebörden av det svenska begreppet ”informationssäkerhet”.
På engelska är detta begrepp uppdelat i två betydelser dels ”Information Security” som utgår från ett tekniskt perspektiv och återspeglas i ISO 27001-standarden, dels i ”Information Assurance” som utgår från ett nationellt säkerhetsperspektiv och där även organisation och policy ingår.
I tidigare utredningsarbeten gjordes försök att särskilja det senare begreppet från det förra genom att introducera termen ”informationssäkring”, vilket också infördes i SIS-nomenklatur.
Begreppet – liksom den förenklade varianten ”övergripande informationssäkerhet” – vann aldrig någon uppslutning i det offentliga Sverige då det ansågs för komplicerat att beskriva.
Följden har dock blivit olyckliga sammanblandningar i begreppens innebörd – inte minst i internationella sammanhang.
Cybersäkerhetsbegreppet är mer strategiskt och fokuserar mer på nationella och internationella nätverk.
Därmed har cybersäkerhet en större internationell räckvidd med t.ex.
folkrättsliga frågeställningar och normer på cyberområdet än det mer tekniska informationssäkerhetsbegreppet.
Det senare har en större tyngdpunkt mot hård- och mjukvara samt standardisering.
Motivet för fokus mot cybersäkerhet är att det är på detta område som statsmaktsperspektivet behöver utvecklas då frågeställningarna ligger ovanför myndigheternas ansvarsområden, samt att avdömningar mellan olika sektorsstrategier kan behöva göras inom ramen för ett svenskt koherent nationellt förhållningssätt gentemot EU och andra internationella .
Detta är ju ett märkligt stycke där den uttalat organisatoriskt inriktade ISO 27001 framställs som fokuserade på tekniska åtgärder (!).
Cybersäkerhet sägs vara mer ”strategiskt” och verkande på nationell nivå.
Till att detta kommer alla företag som använder ”cyber” i olika konstellationer för sin produkter och tjänster som knappast är på nationell nivå.
Sammantaget är användningen av begreppet ”cyber” högst inkonsistent och rör sig i en skala från å ena sidan normal it-säkerhet med vissa tillägg av informationssäkerhet till en del av det nationella försvaret.
Vissa gemensamma drag tycks finnas som att det gäller digital infrastruktur i någon bemärkelse samt den renodlade inriktningen mot antagonistiska hot.
I övrigt är det ganska fritt valt vilken betydelse man vill ge ordet.
Är denna otydlighet då egentligen ett problem?
Det kanske behövs ett sådant här amorft begrepp som beskriver en amorf verklighet och inte enbart för sexa till vilken konferensrubrik eller vilket tjänsteutbud i it-sektorn som helst?
Kanske inte men jag måste ändå resa invändningen att om att vårt, enligt många, största hot förtjänar en något mer entydig beskrivning.
Att måla upp ett förödande hot mot nationen och mot enskilda men göra det i så oklara termer är inte bra för samhällsklimatet i en demokrati (vilket jag skrivit om tidigare).
Inte heller är det en fördel för kunder att erbjuda tjänster där det inte närmare går att avgöra vad tjänsten egentligen består i. Jag tycker därför att det är en rimlig önskan att åtminstone centrala myndigheter sätter sig ner för att begreppsmodellera vad ”cyber” är och vilken relation cybersäkerhet har till informationssäkerhet.
Betänk språklagens krav på myndigheterna: Språket i offentlig verksamhet ska vara vårdat, enkelt och begripligt.

Merparten av informationsmängderna är även de att betrakta som tämligen generiska Merparten av informationen hanteras i pappersform, detta särskilt i kritiska aktiviteter i processen En stor del av informationen finns på flera bärare samtidigt I hela processen är spårbarheten är essentiell för patientsäkerheten Har den här åtgärden en säkerhetshöjande effekt som står i paritet med den kostnad och krångel som den orsakar verksamheten?
Är den här åtgärden verkligen avpassad till och tar hänsyn till verksamhetens egentliga behov av säkerhet?
Indirekt: vet jag som vill lansera den tillräckligt mycket om verksamhetens behov för att kunna avgöra det?
Kommer den här åtgärden verkligen att fungera i praktiken eller är den en ren pappersprodukt?
Och kommer den även att fungera över tid, t.ex.
när konsulten lämnat skeppet?
Finns det verkligen inte ett effektivare sätt att reducera risken till en acceptabel nivå?
Om jag förstår det rätt ligger den här rekryteringssiten som en molntjänst där informationen ligger på Irland?
Använder siten Google Analytics?
Har det gjorts en riskanalys/informationsklassning innan man valde det här sättet att hantera informationen?
Har Försvarsmakten gjort rätt riskbedömning när det valt den här lösningen eller har de liksom många andra fallit för frestelsen och sett all fördelar finns med molntjänsterna och låtit detta få överhanden?
Om riskbedömningen är rimlig att hantera personuppgifter och andra uppgifter om exempelvis placeringar som annars uppfattas känsliga, dessutom i en omfattning som svindlar, i en molntjänst i det här sammanhanget – varför skulle det inte vara det i andra sammanhang som exempelvis i kommunal verksamhet?
Alla våra moderna samhällsbärande system bärs upp av den nya informationsteknologin.
Det går inte att organisera fram cybersäkerhet utan det krävs resursförstärkningar.
Enligt x mening är det av strategisk betydelse att kunna säkerställa kompetensförsörjningen inom informationssäkerhetsområdet.
X konstaterar också att staten behöver egen och unik kompetens.
Staten har också det yttersta ansvaret för den nationella säkerheten, vilket ställer särskilda krav.
Staten förfogar över en rad administrativa, ekonomiska och informativa styrmedel.
I praktiken är dessa relativt svagt utvecklade på informationssäkerhetsområdet.
Vår sårbarhet ökar och vi har stora brister trots att stora åtgärder vidtagits.
Såsom beskrivet i skrivelsen Nationell strategi för samhällets informations- och cybersäkerhet (Skr.
2016/17:213, Justitiedepartementet) där definitionen är ”informationssäkerhet som avser digital information”.
För att inte riskera en snäv tolkning som att det enbart omfattar it- och nätverkssäkerhet anser MSB att cybersäkerhet i detta sammanhang avser säkerhetsåtgärder på samhällelig strategisk nivå, främst reglerande och samordnade åtgärder, som behövs så att samhällets aktörer kan bedrivapå organisatorisk nivå, främst för information som hanteras digitalt.
Såsom beskrivet i Sveriges inlaga till FN:s generalförsamling att cybersäkerhet tydligare beskriver de skyddsåtgärder som innefattar konfidentialitet, tillgänglighet och riktighet för att inte blandas samman med den betydelse av informationssäkerhet som används av vissa länder eller organisationer som en del av en doktrin där synen att informationsinnehållet som sådant är ett hot.
I de fall MSB har samverkan med andra organisationer (såsom EU, NATO och FN) kan viss annan betydelse av cybersäkerhet förekomma, utefter de samverkande organisationernas definition av begreppet.

ha kontroll över sin information normerande klassning och vad hur.
hur om

Meny Cybersäkerhet Inläggsnavigering

MENU MENU Postat av MSB fick den 19 september 2019 i uppdrag av regeringen att ta fram en struktur för uppföljning av det systematiskat i den offentliga förvaltningen.
Uppföljningsstrukturen ska syfta till att aktörer i offentlig förvaltning regelbundet ska erbjud as att medverka i uppföljningen och få återkoppling som omfattar en bedömning om vilken nivå derasbefinner sig på samt förslag på åtgärder som bör vidtas för att uppnå en högre nivå påt.
Uppföljnings strukturen ska även syfta till att MSB regelbundet ger regeringen en samlad bedömning om nivån på det systematiskat i den offentliga förvaltningen.
Postad i , , , , Tagged , , , , Postat av → Postad i , , , , , , , Tagged , , , , , , , Postat av Postad i , , , , Tagged , , , , , , , , , Postat av Postad i , , , Tagged , , , , , , , Postat av Postad i , , , , , Tagged , , , Postat av Säker och samordnad it-drift Försäkringskassan har påbörjat anslutning av sex myndigheter inom regeringsuppdraget att er- bjuda samordnad och säker statlig it-drift (Fi2017/03257/DF).
Intresset är stort och flera statliga myndigheter har inlett dialog med Försäkringskassan med avsikt att ansluta sin it- drift.
Postad i , , , , , Tagged , , Postat av Postad i , , , Tagged , , , , Postat av Postad i , , , , , Tagged , , , , , , Postat av Postad i , , , Tagged , , , , , postat av Postad i , , Tagged , , , , , ← Sök efter:

Tack Calle Lilius för bilderna!
Statlig förvaltningspolitik för 2020-talet SOU 2005:42 Säker information.
Förslag till informationssäkerhetspolitik.
Begrepp med definitioner för cyber

Det är lätt att bli tidsblind men jag tror att vi även efterhand kommer att uppfatta våren 2020 som den värsta krisperioden i Sverige sedan andra världskriget.
Skadad av historiska studier är jag väl medveten om hur svårt det är att bedöma nutiden medan den pågår men har ändå blivit fascinerad av hur den nationella beredskapen fungerar när det som alla pratar om men ingen sett inträffar.
Det vill säga den stora samhällskrisen.
En termometer på hur väl det svenska krissystemet mår är den centrala myndigheten för dessa frågor Myndigheten för samhällsskydd och beredskap, MSB.
Jag hade egentligen, efter att ha studerat ett ganska stort antal allmänna handlingar, tänkt skriva om hur myndigheten hanterat det beryktade enkätverktyget.
Det är i sig en intressant historia som i delar redan skildrats av flera medier, kanske mest heltäckande av Arbetaren bland annat .
När man läser handlingarna är det så många överraskande steg allt sedan regeringen den 19 mars ger MSB ett uppdrag (Ju2020/01165/SSK) : Regeringen uppdrar åt Myndigheten för samhällsskydd och beredskap (MSB) att säkerställa att myndigheternas information med anledning av utbrottet av det nya coronaviruset är samordnad och tydlig samt att det finns effektiva kanaler för att föra ut informationen.
I uppdraget ingår att skyndsamt utarbeta ett nationellt informationsmaterial som på ett effektivt sätt ska kommuniceras till så många som möjligt.
MSB får 75 miljoner (!)
för att genomföra uppdraget under 2020, ett uppdrag som till synes inte på något sätt innehåller smittspårning eller insamlande av uppgifter.
Kanske är det de 75 miljonerna som snedvrider uppdraget från början, kanske lockar de 75 miljonerna till sig aktörer som ger myndigheten tips om vad de skulle kunna hitta på för att sätta sprätt på pengarna.
I vilket fall så är det inte MSB:s professionella kommunikatörer som får lead i detta jättelika kommunikationsuppdrag utan Avdelningen för cybersäkerhet och säkra kommunikationer.
Det formella beslutet på denna interna delning kommer den 26 mars, dagen efter att MSB bjudit in Folkhälsomyndigheten till ett möte där den förra myndigheten erbjuder den senare ett digitalt verktyg, allt enligt minnesanteckning från mötet: Kort möte med GD Folkhälsomyndigheten (FHM) sen em 25/3.
MSB tar upp initiativ kring digitalt verktyg för digital självskattning.
GD FHM positiv, betonar att ett sådant här verktyg inte ska driva fysisk testning i fel riktning.
Viktigt att anpassa svar på självskattning så respondenten inte förväntar sig att bara för att man gör digitalt test så får man fysiskt test.
Vad som händer under veckan där MSB:s samordningsuppdrag för myndigheters kommunikation angående corona övergår till att handla om ett digitalt verktyg för självskattning av smitta är för mig okänt men det är uppenbart att det är MSB som vill ha verktyget.
Litet småaktigt vill jag poängtera det eftersom jag själv blivit åthutad på sociala medier av en i utvecklingsarbetet involverad konsult när jag hävdade att det var så det låg till.
Några dagar efter åthutningen gick MSB officiellt ut och sa att det var på deras initiativ som verktyget .
Note to self som konsult: undvik att agera som dina kunders talesperson om du inte formellt blivit ombedd.
Enligt den juridiska utredning som MSB låter en extern byrå genomföra framgår det att det inte ingår i MSB:s uppdrag att bedriva smittspårning.
Därför måste man ha med sig expertmyndigheten FHM för att kunna genomföra projektet med digital självskattning.
Redan här går det se de problem som snart kommer att göra att projektet blir en återvändsgränd.
Rollen som samordnande myndighet kräver respekt för olika aktörers uppdrag och mandat och detta särskilt i trängda lägen, inte att man försöker ta över andra myndigheters uppgifter.
Sedan följer en närmast smärtsam historia fram till slutlig nedläggning via ett antal anhalter där det blir allt tydligare att ingen utom MSB (och leverantör samt konsulter) är intresserade av verktyget.
Kontentan blir x antal miljoner i sjön (konsultkostnaderna är inte medräknade i de 6,4 miljoner som MSB ska betala till leverantören), en granskning av Konkurrensverket och ett rejält tapp i anseende när MSB som bäst skulle behöva det.
Sannolikt har MSB tappat i förmåga att genomföra det egentliga uppdraget från regeringen: att samordna myndigheters information angående corona vilket knappast kan glädja uppdragsgivaren.
Det går att föreställa sig mindre trivsamma samtal på regeringskansliet.
Som en slutkommentar till Arbetaren säger MSB:s pressekreterare: Vi tar hellre kritik för att vi skyndar på att ta fram en lösning som på något sätt kan vara till hjälp när människor dör, än att få kritik för att vi sitter på händerna och inte gör något.
Vi ansåg att vi var, och är, i ett läge där det var viktigt att agera när det handlar om människoliv.
MSB reagerar alltså exakt på det sätt som jag skrivit om i ett tidigare , att göra NÅGOT känns alltid bättre även om detta något är inte leder framåt eller förbättrar situationen.
I krissituation är det viktiga tillit och att alla vet vem som ska göra vad.
I bakhuvudet gnager en liten olustig känsla av att myndigheten kan ha reagerat på yttre påverkan vilket lett fram till haveriet.
Det är lätt att glömma bort att de vanligaste påverkanskampanjerna är de ekonomiska.
Det skulle vara lätt att göra sig lustig över denna tragikomiska historia.
Det är inte min intention.
Istället får den mig, liksom många andra i dessa dagar, att reflektera över den svenska beredskapen och myndigheters förmåga.
Framförallt funderar jag på hur MSB (och andra myndigheter) förefaller så synnerligen oförberedda på en pandemi att man är tvungen att kasta sig in i så äventyrliga och ofruktbara aktiviteter som webenkäten.
Pandemi är verkligen inte en svart svan i ett riskperspektiv utan snarare vad Michele Wucker kallar en ”grå noshörning”: A “gray rhino” is a highly probable, high impact yet neglected threat: kin to both the elephant in the room and the improbable and unforeseeable black swan.
Pandemier har redan inträffat och har varit på MSB:s short list över samhällsrisker ända sedan myndigheten startade.
Ändå tycks inte nödvändiga förberedelser för samordning i en pandemisituation ha gjorts.
Detta ska inte MSB lastas för utan snarare de regeringar som styrt under perioden.
Kanske måste djurmetaforerna gå vidare till svarta strutsar (ja, jag vet att det inte är så i verkligheten att strutsar gräver ner huvudet vid annalkande fara men det är en bra metafor).
Nu pratas det i alla politiska läger om vikten av att förbättra den civila beredskapen och kanske till och med snegla tillbaka till beredskapens guldålder i Sverige: .
Problemet med detta är att det innebär att ett antal av dagens heliga kor måste slaktas om det ska fungera.
Det är inte bara mycket stora ekonomiska resurser som behövs.
Vi har under närmare 40 år demonterat den starka staten som är en förutsättning för en sammanhållen nationell beredskap och istället privatiserat och fragmentiserat ansvaret utan tanke på hur alla skärvor ska kunna skapa en helhet då det behövs.
Typexemplet på detta är ansvarsprincipen som inte är inskriven i någon lag men som har haft en förödande inverkan på den gemensamma styrningen av krisberedskapen.
Fragmentiseringen har inte kompenserats med en stark myndighet som nationellt nav.
MSB:s roll är istället att försöka samordna utan sammanhållen nationell planering och i stort utan mandat att faktiskt styra samhällsviktiga aktörer.
Fallet med webenkäten får tolkas som ett utslag av MSB:s omöjliga roll och borde vara ett exempel av många som bör leda till att ansvarsprincipen omprövas och att en verklig krisberedskapsmyndighet med fullt mandat skapas.
Jag kommer nu att ikläda mig rollen av glädjedödare i dessa ändå så svåra tider – jag ber om ursäkt för det.
Under de senaste veckorna i coronans tid så blommar olika personligheter och mänskliga beteenden för att hantera kriser ut.
I denna vilda blandning av känslor och rationalitet är det inte lätt att urskilja vad som är vad.
Jag tänker nu oftare än vanligt på hur viktigt individens men också organisationens sätt att agera varit i de mer kritiska situationer jag varit inblandad i och vem jag skulle vilja ha vid min sida i en verkligt akut situation.
Att inte låta känslorna styra i en krissituation kan nog alla hålla med om i teorin.
Vi vet att stress försämrar vår tankeförmåga och att det därför i krissituationer är lätt att tillgripa helt fel lösningar eller missa uppenbara svagheter i handlingsalternativen.
Likaså är historien rik på exempel där boten varit värre än soten, d.v.s.
att de åtgärder man vidtagit för att hantera ett akut problem på kort eller lång sikt lett till värre konsekvenser än det ursprungliga problemet kunnat orsaka.
En illustration på detta är agapaddan som trettiotalet importerades till Australien från Hawaii som ett slags biologiskt bekämpningsmedel av en skalbagge som hotade sockerbetsodlingar.
Nu finns det över 100 miljoner av den giftiga paddan som hotar djur- och växtlivet på hela kontinenten.
Detta försvåras av att de sekundära problemen kanske uppstår inom ett helt annat område än där den ursprungliga krisen rör sig.
De som arbetar med krishanteringen kan därmed inte överblicka de möjliga sekundära konsekvenserna eftersom man kanske inte ens har rätt kompetens för att upptäcka dem.
Jag ska inte här gå in på det utslitna filosofiska järnvägsproblemet där olika liv ställs mot varandra utan nöjer mig med att säga att ALLA mår bra av att läsa filosofi och dessutom tänka några extra varv.
När vi blir utsatta för en pressande situation får många individer och organisationer ett starkt behov av att agera.
Att agera är ångestdämpande i sig för det ger känslan av att påverka hotet oavsett effekten av åtgärderna.
Just här menar jag att det just nu finns ett riskabel situation när både individer och myndigheter i positiv anda försöker bekämpa coronan eftersom man i vissa fall tycks släppa sitt ordinarie säkerhetstänkande (vilket väl i ärlighetens namn inte är på toppnivå ens i normalläget).
Samma sak med integritet och skyddet av personuppgifter.
De nya och provisoriska arbetssätten leder till nya risker som måste fångas upp och reduceras.
Anekdoter om hur man helt plötsligt fått oväntat besök i sitt Teams- eller Zoom-möte florerar utan att det observeras som ett säkerhetsproblem.
Okritiska reportage om hur kreativa elever fått skolor att börja använda (!)
i skolans uppgifter.
Entreprenörer som flashar om att de håller på att utveckla appar för smittspårning.
Säkerhet och integritet nämns ytterst sällan och då bara i formuleringar som ”liv går före allt” vilket implicit tycks betyda ”vi struntar i informationssäkerhet och integritet”.
Extra betänksam blir jag av att många tycks inspirerade av Kinas övervakningsmetoder och i denna uppskruvade anda inte tycks se vad de kostar.
När det i fredags kom ett kort meddelande på Ekot att MSB håller på att ta fram någon form av app för smittspårning åt FHM men inte vill kommentera hur den ska utformas undrar jag hur genomtänkt den lösningen egentligen är (särskilt ironiskt med tanke på att MSB varit en bastion spårbarhet som säkerhetsdimension).
Eller är detta myndigheter som drabbats av ett akut behov av att se verksamma ut och därför är beredda att hoppa över säkerhetsskacklarna?
Det är svårt att se hur en sådan lösning skulle kunna tas fram med tillräcklig legal och säkerhetsmässig analys på så kort tid.
När jag pratar om vikten av säkerhet avser jag inte enbart konfidentialitet.
Om man ska skapa olika rapporteringstjänster måste även behovet av riktighet, spårbarhet och tillgänglighet bedömas – annars riskerar man faktiskt att få lösningar där boten är värre än soten.
En lösning för akut rapportering som bygger på sms (förekommer faktiskt) leder till falsk trygghet och att nödvändiga åtgärder kanske inte sätts in för att ta ett enkelt exempel.
Det är just i krissituationer som det systematiskat prövas.
Det är nu som informationsklassningar och riskanalyser har som störst betydelse för att medvetna risker ska kunna tas av den som är riskägare.
Jag vill inte att all kreativitet och god vilja ska kväsas men vi måste arbeta på ett sätt som inte leder till större skador på sikt.
Även om det är kontraintuitivt så måste medvetna bedömningar göras av risker och lagstiftning respekteras.
Appar som används för rapportering av symptom för diagnos är exempelvis medicinsk-teknisk utrustning och måste uppfylla kraven på sådan.
Vi kan inte ge oss hän åt våra känslor utan måste låta systematiken ge oss tillgång till rationaliteten.
Extra illa om en myndighet som MSB signalerar att säkerhet skulle vara av underordnad betydelse i krislägen.
Det är nu vi som mest behöver vårt förnuft och då är det inte alltid bäst att göra ”något” utan vi måste göra så rätt som möjligt.
Jag blev ombedd att vara med som expert i en rörande den nu så aktuella frågan distansarbete.
Det blir ju litet fragmentariskt när man svarar på inkomna frågor så jag tänkte ta tillfället i akt och sammanställa några rekommendationer rörande distansarbete.
Den organisation som tagit fram (samt övat) en fungerande och dessutom tagit fram regler för distansarbete i normalläget har naturligtvis ett stort försprång nu.
För de som inte fokuserat på detta är det en längre väg att gå men då gäller det att man är på rätt väg innan man börjar gå.
Utgångspunkten för nedanstående rekommendationer är att det är verksamhetens processer som ska upprätthållas.
För processerna är informationen en central resurs.
Informationen och organisation i centrum alltså medan it-säkerheten blir den följd av de krav som verksamheten ställer.
Jag tar inte upp ergonomi eller vikten av gemensamma kaffestunder.
Målbilden är att kunna arbeta lika säkert på distans som på den ordinarie arbetsplatsen.
Ingen kan idag förneka vikten av att förbättra informationssäkerheten i de samhällsviktiga verksamheterna.
Ett antal utredningar har under de senaste tre åren utmynnat i olika förslag på hur detta ska ske.
Tyvärr har fokus legat allt för mycket på reaktiva åtgärder som incidentrapportering och allt för litet på det förebyggande arbetet, detta trots att det ofta påpekats att de stora säkerhetsvinsterna kan göras genom olika typer av incidenter och säkerhetsproblem motverkas innan de uppstår.
För mig framstår den i särklass viktigaste förebyggande åtgärden att tillräcklig kompetens finns för att hantera informationssäkerhetsrelaterade frågor på olika nivåer.
För att uppnå detta krävs både episteme, fronesis och techne.
Det vill säga det måste finnas en vetenskaplig grund för att de åtgärder som vidtas är effektiva i förhållande till de problem de avses att lösa, att det måste finnas en praktisk kunskap hur fungerandeska bedrivas och det måste finnas en djupare förståelse att nya situationer kan hanteras.
Jag skulle vilja hävda att detta idag i allt för hög grad saknas.
Konkret kommer ett stort antal organisationers ledningar behöver ett kompetent stöd för att styra sittså att det motsvarar de risker som verksamheten är utsatt för och för att kunna tillvarata alla nya möjligheter som den pågående digitaliseringen innebär.
Jag pratar alltså inte om it-säkerhet som är inriktad på tekniska åtgärder utan informationssäkerhet som handlar om verksamhetsstyrning och information.
Utöver befintliga krav kommer även nya från bland annat dataskyddsförordningen, NIS, civilt försvar och en ny säkerhetsskyddslag.
Det gäller c.a.
350 myndigheter, 290 kommuner, ett tjugotal landsting/regioner och ett okänt antal privata aktörer som medverkar till att upprätthålla samhällsviktiga verksamhet.
En av de vanligaste frågorna jag får när jag besöker kommuner, regioner och myndigheter är vilka utbildningsmöjligheter som finns.
Hos de som får allt tyngre ansvar för det faktiskat finns såvitt jag kan bedöma en allt större medvetenhet om kompetensbehovet.
Till viss del fanns denna insikt även i den strategi för samhällets som MSB tog fram tillsammans med andra myndigheter.
Tyvärr har inte insikten utmynnat i några konkreta satsningar för att stödja utvecklandet av professionsinriktade utbildningar.
Även om behovet av kompetens är känt anvisas få vägar för kompetensförsörjningen.
Vare sig i den nationella säkerhetsstrategin eller i digitaliseringsstrategin, båda presenterade av regeringen 2017, nämns något om kompetensförsörjning inom informationssäkerhetsområdet.
Utredningar som SOU 2015:23 , SOU 2017:36 SOU 2017:114 liksom lagrådsremissen om ny säkerhetsskyddslag är lika renons på förslag annat än de som gäller utpekade tillsynsmyndigheter.
Den nationella strategin för informations- och cyberssäkerhet (Skr.
2016/17:213) skulle kunna inge ett visst hopp eftersom den faktiskt innehåller ett avsnitt som heter Öka kunskapen och främja kompetensutvecklingen.
Hoppet om att finna ett mål att tillgodose behovet av professionell kompetens generellt avtar dock snabbt då det visar sig att det som avses är att informera organisationer om sårbarheter och behovet av säkerhetsåtgärder samt att höja den enskilda användarens kunskap.
Samtliga strategier och utredningar tycks dock förutsätta att den kompetens som behövs kommer att finnas utan vidare styrning.
Jag delar inte denna tilltro till den osynliga handen.
Istället ser jag att vi står inför ett mycket stort och komplicerat kompetensförsörjningsbehov.
Bara det ett nyrekryteringsbehov av något hundratal informationssäkerhetsspecialister årligen till kommuner och landsting/regioner som kanske har samhällets mest komplexa informationssäkerhetsbehov måste uppmärksammas.
Många av oss som idag är verksamma inom informationssäkerhetsområdet saknar formell utbildning för våra jobb eftersom utbildningar helt enkelt inte funnits i någon högre grad (jag jämställer inte olika certifieringar med högskoleutbildning även om de säkert är bra på sitt sätt).
Därav ett stort fortbildningsbehov.
De kurser på högskolenivå som erbjuds idag via en sökning på antagning.se för hösten 2018 är antingen korta kurser eller har en renodlad teknisk inriktning.
Undantagen är masterutbildningar i Örebro som har ett handfull platser samt i Luleå där ett organisatoriskt perspektiv tillförs en huvudsak it-inriktad utbildning.
Detta räcker naturligtvis inte långt.
Mitt förslag är därför att en utredning tillsätts som tillåts koncentrera sig på hur behovet av kunskap och kompetens inom informationssäkerhetsområdet ska tillgodoses under de närmaste åren.
Utgångspunkten är att staten måste ta ett betydligt större ansvar för kunskapsförsörjning på en vetenskaplig nivå och för att kunskapen omsätts till kompetenshöjande åtgärder för prioriterade målgrupper i samhället.
Målen bör vara att det gemensamma utbildningsplaner för en treårig högskoleutbildning som informationssäkerhetsspecialist med inriktning på organisation och information, att det utbildas 50 informationssäkerhetsspecialister per år samt att varje kommun har tillgång till minimum en halvtids informationssäkerhetsspecialist.
Inom detta fält kan även utbildningar av typen ”informationssäkerhetsspecialist kommunal verksamhet” och ”informationssäkerhetsspecialist hälso- och sjukvård” kunna finnas.
Även fortbildningar för redan yrkesverksamma bör ingå i ett kunskapslyft för informationssäkerhetsområdet.
Utan denna typ av insats har jag mycket svårt att se hur alla andra mål för att höja samhällets informationssäkerhet ska kunna realiseras.
Föga originellt anser jag att grundprincipen förär att det ska vara riskbaserat.
Skälen till detta är många.
Det starkaste är att det inte går att vidta rätt säkerhetsåtgärder om man inte vet vilka risker de avser att reducera.
Utan kopplingen till risk blir säkerhetsarbetet ett självändamål vilket jag bedömer som en av de största riskerna (!)
för ett effektivt säkerhetsarbete.
Konsekvensen, vilket jag alltför ofta sett i praktiken, är att en organisation visserligen kan investera stora resurser i säkerhetsåtgärder men att investeringen inte alls ger en säkerhetshöjande effekt som motsvarar investeringen.
I ledningens styrning av informationssäkerheten i den egna organisationen måste riskägaren, d.v.s.
ledningen, också ha den faktiska möjligheten bedöma vilka risker som är acceptabla respektive oacceptabla sett i relation till verksamhetsnyttan.
Detta är grunden för ett fungerande ledningssystem.
Det finns också starka skäl till att styrningen av informationssäkerheten bör förflyttas så att tyngdpunkten ligger mer på risk än compliance.
Compliance är per definition bakåtblickande – vi kan i huvudsak reglera det vi känner till – vilket inte är det mest ändamålsenliga i en starkt föränderlig situation (jag ska inte här gå in på att risk kan byggas in som ett element i en reglering utan förenklar starkt).
Organisationens övergripande riskanalys har också ett starkt samband med kontinuitets- och incidenthantering.
Kontinuitetshantering innebär en prioritering av resurser, för att göra den prioriteringen måste det vara klart vilka konsekvenser som kan uppstå i verksamheten om olika delar av informationshanteringen inte fungerar.
För att bedöma kunna bedöma olika incidenters grad av allvarlighet gäller samma sak, att en riskanalys är gjord som underlag för ledningens prioriteringar.
Inträffade incidenter är också ett viktigt inflöde för riskhanteringen.
Vid sidan om de stora organisationsövergripande riskanalyserna består det dagliga arbetet för en informationssäkerhetsansvarig i inte oväsentlig omfattning att vara metodstöd för riskanalyser.
Riskanalyser vid utveckling, upphandling, organisationsförändringar och ett antal andra tillfällen.
Informationsklassning bör ses som en form av riskanalys och båda momenten kan med fördel göras samtidigt med samma normskala.
Trots riskhanteringens centrala betydelse finns det ett antal svårigheter när man vill leva som man lär och ha ett riskbaserat.
Tyvärr är min erfarenhet att stödet från ISO 27005 inte ger den praktiskt arbetande särskilt mycket.
Istället måste man hantera de organisatoriska förutsättningarna i den egna verksamheten, enkelt sagt men inte utan problem i praktiken.
För att illustrera detta ska jag ta upp ett par exempel på förutsättningar för riskhanteringen ur informationssäkerhetssynpunkt som är svåra att hitta ett entydigt förhållningssätt till.
En första förutsättningsrisker bara är en typ av risker som organisationer måste hantera.
De flesta organisationer är idag skyldiga att på ett systematiskt sätt analysera och hantera vissa typer av risker.
I en myndighet där jag försökte få en överblick slutade jag när jag hittat nio formella krav på riskanalyser, allt från MSB:s krav på risk- och sårbarhetsanalyser till riskanalyser ur försäkringssynpunkt.
Därtill kommer inte sällan kravet på att göra en säkerhetsanalys.
Detta är inte unikt för myndighetsvärlden, många privata verksamheter är underställda formella krav men har också anslutit sig till branschregelverk där riskanalyser ingår.
Riskanalyserna kan vara på organisationsövergripande nivå eller på delar av organisationen, gemensamt är dock att de saknar en gemensam metod för att genomföra analysen.
Det kan vara komplexa kontrollsystem som COSO eller enklare metoder som ligger som grund för de analyser som ska göras.
Den informationssäkerhetsansvariga har då alternativen att antingen försöka integrera bedömningen av risker relaterade till informationssäkerhet i befintliga analyser eller lägga ytterligare en analys till de övriga.
En annan aspekt är att ett fungerande säkerhetsarbete kräver riskanalyser på ett antal nivåer.
Den mest begränsade riskanalys jag gjort var på en kartotekslåda med patientuppgifter för tjugo år sedan, den mest omfattande har rört nationella förhållande.
I en organisation bör det finnas ett flöde så att risker på lägre nivåer aggregeras och tillsammans ger underlag för den övergripande riskbilden.
De organisationer som lever efter ISO 27000 har sannolikt även beslutat att ledningen regelbundet ska få en rapportering av riskläget.
Det finns även en nedåtrörelse där ledningens riskvärdering ska distribueras i organisationen och influera bedömningarna av risker på lägre nivå.
För att det ska fungera på ett smidigt sätt är en gemensam metod en klar fördel.
Vi står alltså inför valet av horisontell eller vertikal integration; ska det finnas en gemensam metod för alla typer av riskhantering i organisationen?
Eller är det enklare att försöka få till en fungerande metod för riskhantering ur informationssäkerhetssynpunkt som tillämpas på alla nivåer i organisationen?
Svaret är inte givet utan måste bedömas efter noggrann analys i varje organisation.
När jag skrivit detta har jag bara skrapat tunt, tunt på ytan av allt det som finns att diskutera om riskhantering.
Den som har metoder, erfarenheter eller synpunkter på ämnet får gärna höra av sig så sammanställer jag och förmedlar det här på bloggen.
Inkommer ingenting finns det stor risk att jag återkommer och fortsätter att skriva om mina egna erfarenheter i frågan.

Skapa en insikt om att i nuvarande läge kommer inte all verksamhet att kunna upprätthållas utan en måste ske.
Har man kontinuitetsplanerat kan man använda den prioritering av processer som redan gjorts (även om det kan behövas en liten analys för att se om tidigare prioritering fortfarande är relevant.
Om kontinuitetshanteringen inte finns på plats måste ledningen göra en prioriteringen av vilka processer/funktioner som måste fungera.
När prioriteringen bör en snabb göras för att identifiera vilken information som stödjer processen samt hur informationen hanteras, d.v.s.
vilka system, tjänster eller andra bärare som telefoni och papper som används.
Därefter görs en för att fastställa säkerhetskrav.
Även detta bör ske enligt prioriteringen så att de mest tidskritiska processerna/funktionerna tas först.
It får i uppgift att gå igenom hur befintliga lösningar kan användas för distansarbete utifrån klassningen/riskanalyserna och kontrollera i dessa lösningar.
I detta ligger även att bedöma om åtkomst och kommunikation vid distansarbete kan ske på ett tillräckligt säkert sätt.
Om it-säkerheten bedöms som för låg i befintliga lösningar föreslås alternativa lösningar där så behövs.
Om det finns en stor kvarstående risk måste ledningen få möjlighet att acceptera risken alternativt säga att den är oacceptabel vilket kan leda till att nya lösningar arbetas fram eller så bedömningen att distansarbete är olämpligt för den aktuella aktiviteten.
Börja planera och bemanna en som är avpassas till hur många som förväntas distansarbeta och se till att supporten finns när medarbetaren behöver hjälp.
Att inte få support i en ny arbetssituation leder ofelbart till att många kommer att göra fel, gena, hoppa över säkerhetsåtgärder.
Bristande support är därför ett garanterat säkerhetsproblem.
redan från början och slarva inte med sådana frågor som att det är ledningen som tar ansvar för helheten och de åtgärder som ska vidtas.
I kommunikationen bör även ingå signaler som kan leda till en positiv som att det är viktigt att medarbetare är observanta på att det kan uppstå nya risker och att det finns en tydlig punkt att rapportera detta till.
Det vill säga visa respekt för medarbetarna och se dem som en resurs i säkerhetsarbetet!
Ta fram über-tydliga till medarbetarna där det bland annat framgår: – att samma säkerhetsregler ska användas hemma som jobbet, exempelvis att alltid låsa datorn när den är obevakad – hur pappersdokument ska hanteras – vilken typ av information som kan ses som extra känslig, exempelvis känsliga personuppgifter och känslig företagsinformation – att arbetsgivarens utrustning bara får användas för arbetsändamål – att privat utrustning inte får användas för att hantera arbetsgivarens information – att telefonsamtal bör ske på ett skyddat sätt – vilka verktyg som ska användas – hur de ska användas – att verktyg som inte godkänts av arbetsgivaren inte får användas (dubbel negation, jag vet) – vem som ska kontaktas för support – vem som ska kontaktas för säkerhetsrelaterade frågor – hur incidenter ska rapporteras När man kan räkna med att distansarbetet blir långvarigt bör även den gås igenom.
Det kan handla om att skaffa skåp med tillräcklig säkerhetsnivå för vissa medarbetare eller att se över det yttre skalskyddet i vissa bostäder där känslig information ska hanteras.
Skapa rutiner för där ni minst en gång i veckan går igenom hur säkerheten vid distansarbetet fungerar, om vidtagna åtgärder fallit ut som ni hoppats eller om det finns anledning att förbättra skyddsåtgärder, om ni upplever att medarbetare fått tillräckligt bra information och om det inträffat incidenter.
Uppföljningen bör rapporteras till ledningen.
Planera för .
De säkerhetsåtgärder som vidtas i samband med distansarbete måste planeras för längre tid och det kan vara bättre att ha en mer långsam uppbyggnad för att få en långsiktigt väl fungerande lösning än att göra quick fixes som snabbt måste ersättas till allmän irritation och med medföljande säkerhetsrisker.
En fråga som tål att ställas är om verksamheten verkligen är så tidskritisk som man tror särskilt i rådande läge då ingenting riktigt fungerar som vanligt.
Att slippa stressa fram lösningar leder alltid till bättre kvalitet och oftast bättre ekonomi.
Försök att använda det påtvingade säkerhetsarbetet som måste göras till följd av pandemin som en .
Skapa säkerhetslösningar och en säkerhetskultur som förbättrar säkerheten även i det normalläge som vi förhoppningsvis snart ska återgå till.

mot prioritering processkartläggning informationsklassning/riskanalys it-säkerheten supportfunktion Kommunicera säkerhetskultur instruktioner fysiska säkerheten uppföljning uthållighet resurs för framtiden

MENU MENU Postat av Postad i , , , Tagged , , Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , Tagged , Postat av Postad i , , , , , , , Tagged , , , , , , , Postat av Postad i , Sök efter:

Informations- och cybersäkerhet i Sverige Informationssäkerhet för samhällsviktiga och digitala tjänster, reboot – omstart för den digitala förvaltningen

Jag har alltid haft svårt för den oreflekterade gruppkänslan, när tillhörigheten till en grupp blir så viktig för ens (yrkes)identitet att det skuggar tankens klarhet.
Tyvärr tycker jag att säkerhetsbranschen ofta drabbas en överdriven gruppkänsla som leder till ett grupptänk och inte minst av en oförståelse för hur det ser ut i ”verkligheten”.
Att predika för kören, d.v.s.
för andra säkerhetsmänniskor, är enklare än att öppet diskutera säkerhetsfrågor med människor som har andra och kanske viktigare prioriteringar än säkerhet.
Själv måste jag erkänna att jag grips av en skamkänsla över att erbjuda lösningar som tar så mycket tid från kärnverksamheten, dessutom med oklart resultat.
Trots att säkerhetsbranschen av tradition är högerlutande, vilket i normala fall skulle leda till ett ifrågasättande av byråkrati, krångel, förmynderi och slöseri med skattemedel, så godtas orimligt insatskrävande säkerhetsåtgärder i just skattefinansierade verksamheter.
Ganska hemmablint kan man tycka.
Låt mig bara ta några exempel.
I Sverige finns runt grundskolor.
Såsom praxis och stöd är utformade ska då informationsklassning genomföras om inte i samtliga grundskolor så åtminstone per förvaltning eller grundskoleområde, gärna med stöd av SKR:s KLASSA.
Många kommuner väljer dessutom att ta in konsulter för att genomföra klassningarna med KLASSA för dyra pengar och utan att den så viktiga dialogen uppstår mellan verksamhet och informationssäkerhetsansvarig.
Åtgärderna som levereras ur KLASSA är inte i de flesta fall konkreta utan snarare på en nivå som kräver en egen utredning för framtagning av åtgärder hos kommunen som använder verktyget.
För mig känns det som en mycket dyrbar metod som ger ett resultat som i bästa fall är tveksamt.
Som jag tidigare betraktar jag inte det som ett sätt att effektivisera säkerhetsarbetet och föreslår andra möjligheter.
Några andra som inte är så ängsliga för att ta säkerhetsresurser i anspråk är MSB.
Myndigheten har nu tagit fram en egen som såvitt jag kan se inte har något vetenskapligt stöd (däremot en närmast rörande metodbeskrivning med formel och allt).
Det framgår inte heller varför man inte tydligare anslutit till ISO 27004 som visserligen nämns men lämnar få spår i utformningen.
MSB har gått så långt att man skrivit in ISO 27001/27002 i sin föreskrift för statliga myndigheter så det skulle känts rätt logiskt att man då gått all in i standardfamiljen även då det gäller uppföljning.
Rapporten är ett svar på ett regeringsuppdrag: Detta skulle kunna tolkas som något som liknar frivillig tillsyn eller revision men istället har MSB knåpat ihop något som enligt min bedömning (jag har ändå rätt många år i mätbranschen) kommer att ta avsevärd tid att hantera för de organisationer som väljer att delta utan egentlig nytta.
Ja, visst får ledningen en överblick men även den som är mest besatt av mantrat ”ledningens genomgång” måste någon gång landa i att det är praktiska åtgärder som måste vidtas för att förbättra säkerheten – det räcker inte att rapportera aldrig så mycket.
Jag vet hur betvingande det är med spindeldiagram, jag har stått inför otaliga ledningsgrupper och showat med gott resultat, men det som gav verklig nytta var något annat.
Det var de insatser vi lade ner på att skriva detaljerade rekommendationer noggrant anpassade efter den specifika organisationens förutsättningar och risker.
Efter att ha läst MSB:s rapport kan jag inte förstå hur denna typ av frågeställningar öht ska kunna besvaras och vad eventuella svar skulle kunna ha för kvalitet: Hur räknar man ens procent på åtgärder?
Är åtgärden att sätt lås på ett dokumentskåp lika mycket värd som att ändra backup-rutiner liksom?
Måste åtgärderna att ha varit fullständigt genomförda för att räknas eller räcker det att de är påbörjade?
Om det endast fullständigt genomförda åtgärder som ingår kommer då organisationen att prioritera kortsiktiga åtgärder och välja bort de som tar lång tid men som kanske har större betydelse för säkerheten?
Att med så många grundläggande osäkerhet försöka tillämpa en formel som denna ger mig ett intryck av ett helt verklighetsfrämmande projekt.
Ett tredje ack så resurskrävande villospår är de externa revisioner som många organisationer väljer att göra.
Det är ett enkelt men kostsamt beslut att ta för ledningen.
Och när man ser på leveranserna från inte minst större välrenommerade företag blir man ofta beklämd.
Rapporterna, som inte sällan kommer i power point-format, är så uppenbart standardrekommendationer som av juniora konsulter klippts samman till något som inte är anpassat till kundens verksamhet och i vissa fall inte ens till svensk kontext.
Hur svårtolkade (en eufemism) rapporterna kan vara tyder den absurda upplevelse som jag stött på när ett revisionsbolag anlitas för att uttolka ett annat revisionsbolags rapport och försöka göra om den till något som liknar förslag på begripliga åtgärder.
Och nej, det blev inte så mycket begripligare i nästa led.
Trots den bristande kvaliteten i många revisionsrapporter får de orimligt stor betydelse i många organisationer.
Ledningar tar dem på stort allvar och tycker sig ha fått ett underlag både för den så omtalade ”benchmarketingen” och för att att kunna vidta rätt säkerhetsåtgärder.
Det är inte så konstigt; ledningen tycker sig ha betalat dyrt för att få en professionell genomgång av ett område som man själv i de flesta fall är dåligt insatt i. Att ställa kritiska frågor är inte aktuellt, särskilt om det skulle kunna avslöja ens egen bristande kunskap.
Vid ett inte oväsentligt antal tillfällen har jag tyckt när jag läst rapporterna att de varit mer eller mindre vilseledande när det gäller vilka åtgärder som rekommenderas.
Eftersom de som utfört revisionen på ett industriellt sätt inte haft möjlighet att sätta sig in i kundens förutsättningar kan fokuseringen på de prefabricerade åtgärderna leda till både dubbelarbete när vissa element faktiskt redan finns på plats men under annan benämning än revisionsbolagets och till att väsentliga risker missas.
Dessutom är hänsyn sällan tagen till beroendeförhållandet mellan olika åtgärder, något som kan göra att kundens åtgärdsarbete blir alldeles i onödan ineffektivt.
Ibland betonar revisorerna väldigt specifika åtgärder som den som arbetar med säkerhet i organisationen vet att man redan klarat av på annat sätt eller att avsaknaden av åtgärden innebär en mycket liten risk.
Detta går dock inte fram till ledningen som sätter en större tillit till den ytliga granskningen än till den egna personalens bedömningar – onödig kraft läggs då på att checka av åtgärdsförslagen istället för på att reducera verkliga risker.
Säkerhetsarbetet kan därmed snedvridas på avgörande sätt för lång tid fram över.
Detta är bara tre exempel, det finns många fler metoder och krav som kan ses som på det hela taget tämligen improduktiva.
Det är naturligtvis inte en slump att compliance och rapportering är så populärt.
Det är betydligt lättare att ”granska” än att skapa fungerande säkerhetsåtgärder – tro mig, jag har varit på båda sidorna.
Ibland skulle jag vilja gå så långt som att det borde vara förbjudet föreslå metoder och åtgärder för den som inte själv stått i det praktiska slitet att försöka förbättra säkerheten i en faktiskt existerande organisation.
Det är först då en djupare förståelse för hur komplicerat det är att förbättra den verkliga säkerheten, inte bara den som finns i kolumner och poängsättning.
Säkerhetsbranschen har anammat synsätten som leder till största nackdelen med NPM med oklara rambeskrivningar, mätningar och rapporteringar en masse.
Trots att aktörerna i branschen som sagt ofta i andra sammanhang klagar på administration tycks man blind för den negativa byråkrati man själv skapar och som äter upp resurserna som skulle gjort så mycket större nytta i kärnverksamheten.
Informationssäkerhetskraven såsom de ser ut idag trängs med likartade strukturer för hållbarhet, miljö, jämställdhet, ekonomi m.m.
som alla är viktiga men samtidigt tar kraft från det egentliga uppdraget.
Det är tyvärr inte så stor risk att vi råkar ut för något ansvarsutkrävande men vi borde verkligen se oss i spegeln och ställa frågan om vi är närande eller tärande.
Sannolikt mest det senare vilket borde sporra oss till att tänka på att varje timme vi tvingar alternativt uppmuntrar andra till att lägga på att svara på frågor och rapportera tas från en sjuksköterska eller lärare eller någon som producerar något vettigt.
Tre rapporter rörande obligatorisk incidentrapportering har kommit sedan årsskiftet: två från MSB och en från IMY (Integritetsskyddsmyndigheten).
Spännande läsning men säger rapporterna något väsentligt som jag kan dra nytta av i mitt säkerhetsarbete?
Under senare år har det nationella och även europeiska säkerhetsarbetet präglats av en klockarkärlek till obligatorisk inrapportering av incidenter.
Själv känner jag mig mer ambivalent.
Å ena sidan kan det tyckas som en självklarhet att det ska finnas en nationell lägesbild över vad som händer både för det akuta läget men även för att dra nytta av erfarenheterna som det brukar heta.
Å andra sidan är incidentrapportering en aktivitet som rusar i komplexitet när man bara börjar skrapa på ytan, det räcker att försöka rigga en fungerande process i den egna organisationen för att inse det.
Se bara den enkla processbeskrivning jag tagit fram som stöd för den enskilda organsiationer: Tyvärr måste jag medge att jag inte är alldeles övertygad om att kvantitativa insamlingar av något så komplext som incidenter är det bästa sättet att bringa klarhet i vilka verksamhetsstörningar och andra typer av realiserade hot som kan kopplas till it-incidenter (vilket är det som MSB och NIS-direktivet fokuserar på).
Förutom att det tynger de inrapporterande verksamheterna i kritiska faser undrar jag generellt om kvaliteten på rapporteringen och vilken säkerhetshöjande effekt den har.
Generellt är det ett problem att det saknas systematik i det nationella säkerhetsarbetet.
I myndigheter, kommuner, regioner och företag försöker vi få till en PDCA-snurra med ett tydligt C men i de nationella satsningarna för att stödja säkerhetsarbetet tycks inte utvärdering ses som ett nödvändigt steg.
För att ta ett par exempel så har jag frågat MSB om vilken utvärdering som skett av det s.k.
Metodstödet som ligger ute Informationssäkerhet.se och vilken säkerhetshöjande effekt det haft samt ställt samma typ av fråga till SKR angående KLASSA.
I båda fallen var svaret att man inte genomfört någon utvärdering och några planer i den riktningen nämndes inte heller.
Det finns en risk att mycket blir vad jag brukar kalla ”religiös säkerhet”, d.v.s.
åtgärder som vidtas i god tro men där det krävs just tro istället för evidens för att se resultaten.
Ofta handlar det om det som jag redan skrivit om som Graeberskt: när arbetet stannar vid dokument som skrivs, mallar som fylls i, enkäter som besvaras och engångsutbildningar som inte leder till någon djupare kunskap.
När en kommun glatt skriver om att deras styrande dokument blivit ”godkända” av tillsynsmyndigheten men att man inte tittat på hur det faktiskt ser ut i verkligheten tycker jag mig leva i Graebers värld av BS jobs.
Det finns en risk att nationell incidentrapportering blivit så populär just för att den kan röra sig i denna värld.
Vad kommer man då fram till i rapporterna?
För att få litet grepp om frågan har jag gjort en sammanställning av 2020 års inrapporterade incidenter: Efter långt om länge släppte nu äntligen Datainspektionen (snart Integritetsskyddsmyndigheten) sina av åtta vårdgivare.
Även om jag var väl förberedd på innehållet så är det en chockerande dyster läsning när den fulla konsekvensen av vad jag redan visste blev förtydligad på detta sätt.
Låt mig först understryka att det Datainspektionen ställer krav på inte är några nya krav för vården utan de har funnits sedan länge bland annat i Socialstyrelsens och i PuL.
De brister som framkommer i granskningar har inte heller de nyhetens behag utan är de samma som i de granskningar av vården som Socialstyrelsen respektive Datainspektionen gjorde typ 2012.
Det är alltså inte så att vårdgivarna är tagna på sängen med helt ny rafflande krav utan det är väl kända försummelser som regioner och vårdgivare medvetet underlåtit att rätta till.
Egentligen räcker det att läsa följande stycke i granskningen gällande Capio S:t Görans Sjukhus AB för att se vidden av hur undermålig säkerheten och skyddet för integriteten är: Ytterligare försvårande omständigheter är att behandlingen av uppgifter om patienter i huvudjournalsystemet hör till kärnan i en vårdgivares verksamhet, att behandlingen omfattar många patienter och möjligheten till åtkomst avser en stor andel av de anställda.
Inom ramen för den inre sekretessen har mer än 2700 medarbetare åtkomst till uppgifter som rör närmare 490 000 patienter.
Utöver det har mer än 600 medarbetare, inom ramen för den sammanhållna journalföringen, åtkomstmöjligheten till uppgifter rörande cirka 3 patienter i TakeCare.
För att strö ytterligare salt i såret kan man läsa om Aleris sjukvård AB: Aleris har ett dokument som benämns ”Behovs-och riskanalys-TakeCare”.
Dokumentet har sett ut som det gör idag sedan den 28 maj 2012 då Take Care infördes och gäller både för den inre sekretessen och inom ramen för den sammanhållna journalföringen.
Av dokumentet framgår de olika profilerna, så kallade behörighetsgrupper.
Dokumentet visar bland annat läsrättigheterna samt skrivrättigheterna för respektive behörighetsgrupp.
Alla profiler förutom tekniker har tilldelats läsbehörighet till uppgifterna i TakeCare.
Då ska noteras att man hade 796 350 unika patienter i maj 2019 och 1058 aktiva användarkonton av vilket det absoluta flertalet alltså har läsrättigheter till samtliga patienter oavsett om de har en vårdrelation eller inte.
Att Aleris slänger fram en oförändrad riskanalys från 2012 säger nog det mesta om nivån på säkerhetsarbetet liksom när Capio hävdar att de visst har en behov- och riskanalys men att den av okänd anledning är borttappad.
Capio St Göran fick 30 miljoner i sanktionsavgift och Aleris Sjukvårds AB 15 miljoner (plus ytterligare 12 miljoner från sitt andra bolag Aleris Närsjukvård AB) men de är långt ifrån unika.
Bristerna hos övriga granskade vårdgivare (granskningen av Kry ännu ej beslutad) bekräftar det vi redan vet bland annat från tidigare granskningar.
Säkerheten i den svenska sjukvården är helt undermålig och det gäller inte bara vad gäller integritetsrelaterade frågor som de Datainspektionen granskat utan generellt.
Jag har begärt en större del av underlagen från Datainspektionens granskningar och ska fördjupa mig ytterligare i dem.
I detta blogginlägg ska jag ta upp några fenomen som aktualiseras i de granskningsfynd som presenteras i de offentliggjorda rapporterna.
Utgångspunkten är att den usla säkerhet som indikeras genom granskningarna är en följdriktig konsekvens av ett konsekvent förhållningssätt till integritet och säkerhet i vården från olika aktörer.
För att förstå hur samtliga granskade vårdgivare (Kry inte inräknade än så länge) så flagrant bryter mot lagstiftningen måsta man känna till att lagtrots när det gäller integritet och säkerhet i digitala lösningar är normen i den svenska vården – inte undantaget.
Att endast medarbetare med vårdrelation eller något annat mycket tydligt definierat skäl ska ha åtkomst till patientuppgifter är ett krav som har kommit med dataskyddsförordningen utan har funnits i princip sedan journalerna övergick från att vara räkenskapsmaterial till att vara vårddokumentation.
Vi rör oss alltså någonstans i början av förra seklet (hur gärna skulle jag inte vilja gå in på detaljerna i denna historia men inser att alla kan inte vara totala journalnördar – skulle någon vilja veta mer så får ni skicka ett mail).
På den tiden pappersjournalerna gällde fanns de inlåsta i journalarkiv med strikta regler för vem som fick ta del av dem.
Det kan sägas att ha rått en minimalistisk åtkomstprincip innan begreppet var uppfunnet.
Återkommande klagomål fanns på att det var för många som ändå kunde slinka in och läsa det de inte fick men möjligheten får ändå säga vara mikroskopisk jämfört med det som skildras i de aktuella granskningsrapporterna.
När de tidiga journalsystemen introducerades på slutet av 1980-talet hade de inte funktionalitet för en effektiv behörighetsstyrning på individ- och rollnivå vilket var ett första steg på färden mot dagens situation.
Istället för att tvinga leverantörerna tillbaka till ritbordet för att konstruera system som följde lagstiftningen började man (med ”man” avses i det följande den grupp av leverantörer, it-chefer, byråkrater, politiker och andra makthavare inom vården som ansvarat för digitaliseringen) tänja på normerna och hävda att det gick lika bra att styra med logguppföljning som med behörigheter.
Istället för att organisatoriskt och tekniskt begränsa åtkomsten hävdade man att logguppföljning var en jämförbar säkerhetsåtgärd (!).
Denna för svensk sjukvård unika bedömning var ett fatalt vägval ligger bakom en stor del av de säkerhetsproblem som finns i vården idag.
De negativa konsekvenserna begränsas inte enbart till att det på dryga tjugo år utvecklats de organisatoriska och tekniska lösningar som är nödvändiga för följa lagen och ha ens ett basalt skydd för patientuppgifterna.
Det har även lett till att man för att motivera det stora felsteget gjort dygd av nödvändigheten genom att hävda att ALLA inom sjukvården behöver tillgång till ALLA patientuppgifter hela tiden – allt annat vore en risk för patientsäkerheten.
I målande ordalag beskrevs hur nödvändig patientinformation inte skulle finnas tillgänglig för vårdpersonalen vid behandlingar olika slag vilket skrämde upp en hel del läkare och sköterskor som därmed köpte den konstruerade motsättningen mellan patientsäkerhet och integritet.
Det ledde till en ond spiral där krav på korrekt behörighetshanteringen inte ens ställts vid upphandlingar och stora utvecklingsprojekt trots att lagstiftningen är tydlig på denna punkt vilket i sin tur knappast motiverat leverantörer av vårdinformationssystem att utveckla sådan funktionalitet.
Det är därför en särskild glädje att Datainspektionen i granskningen av Capio S:t Göran slår fast att loggning kan ersätta att begränsa åtkomst via behörighetshantering: Capio S:t Görans anger att de använder systematisk logguppföljning för att reducera risken för att medarbetare otillbörligen tar del av patientuppgifter.
Datainspektionen konstaterar att patientdatalagen inte lämnar något utrymme förvårdgivare att kompensera frånvaron av behovs-och riskanalys, eller en allt för bred tilldelning av behörighet tillåtkomst, med en omfattande logguppföljning.
Inte heller fiktiva åtkomsthinder som ”journalfilter” eller ”aktiva val” godkänns av Datainspektionen som tillräckligt för att begränsa åtkomsten vilket kan vara en bra tumregel att ha med sig in framtida projekt.
Det känns också bra att Datainspektionen drar undan mattan för det i digitala sammanhanget urgamla svepskälet för att ha lagstridig hantering av personuppgifter, nämligen att hävda att man har en akutverksamhet.
Ytterligare en konsekvens är att den lättsinniga hållningen till lagstiftning sedan dess blivit en tradition inom vård-it.
Ett aktuellt exempel är när Region Skåne först beslutat att medvetet gå emot bättre vetande och upphandla en som går emot dataskyddslagstiftningen och sedan i sista minuten sig.
Hur mycket denna utsvävning kostat i pengar och förlorad tid är oklart.
Argumentationsfelen för att använda exempelvis molntjänster är desamma som medvetet praktiserats under par decennier i vården: ”ja men det blir ju bättre än det vi har” och så bygger man fast sig i bristfällig lösning som det tar åratal att ta sig ur istället för att ställa rätt säkerhetskrav från början och se till att de levereras.
Själv kan jag inte räkna alla gånger som jag, när jag påpekat brister i tänkta lösningar, fått kommentarer som ”ja men det är ju bättre än det som finns idag”, d.v.s.
att legitimera kända risker i nya lösningar med den falska jämförelsen med dagsläget.
Detta är ytterligare en väsentlig bakgrund till dagens situation och som bygger på samma knäppa riskhantering som är den andra återkommande bristen i Datainspektionens aktuella granskningar, nämligen risk- och sårbarhetsanalyser där vårdgivarna återkommande endast analyserar och inte risker.
För en sansad människa framstår det kanske som obegripligt varför man över huvud taget bryr sig om att göra riskanalyser om man inte är intresserad av att identifiera och reducera risker.
Jag ser det mer som en del i den svenska digitaliseringskulturen där det inte får finnas problem utan vi ständigt är glittrande glada.
Och har vi inte identifierat några risker så behöver vi ju inte några säkerhetsåtgärder och då är ”utmaningen” (inte problemet) obefintlig.
Tydliga ansvarsförhållanden är grunden för all fungerande säkerhet.
Saknas denna förutsättningen kommer säkerheten oundvikligen att bli lidande och det går inte heller att genomföra ett ansvarsutkrävande.
I den trassliga spaghettistruktur som är svensk vård-it blir detta synligt även i Datainspektionens granskningar.
En konstruktion som skulle behöva synas beskrivs i rapporten om Aleris Sjukvård AB: Federation Samverkan TakeCare (FSTC) är beställare av journalsystemet Take Care och Compu Group Medical (CGM) är leverantör av journalsystemet och ansvarar för de funktioner som systemet har för att styra behörigheter.
Alla funktioner i journalsystemet är skapade av CGM, men det är Aleris som väljer vilka funktioner som en viss personalkategori ska ha tillgång till bland de funktioner som finns inlagda.
Aleris har inga tekniska möjligheter att göra ändringar i Take Care eftersom Aleris inte har någon rådighet över journalsystemet.
Aleris är endast användare av systemet.
Aleris har inte kunnat ställa några krav på CGM vid upphandlingen av journalsystemet.
Bolaget har till exempel påpekat att det funnits problem med journalsystemet bestående i, så vitt avser behörighetstilldelningen, att systemet inte kan separera läs-och utskriftbehörigheter för en läsfunktion.
CGM har inte varit intresserade av att ändra detta trots synpunkter från Aleris.
Det är FSTC som kan beställa ändringar av funktionerna och det är sedan upp till CGM om de vill utföra ändringarna eller inte.
Aleris har en representant i FSTC som kan framföra Aleris önskemål.
Aleris har dock inte fått något gehör för bolagets synpunkter.
Här förefaller det alltså omöjligt för vårdgivaren som även är personuppgiftsansvarig att genomdriva sina säkerhetskrav eftersom en organisation utan formellt ansvar förhindrar det.
Om vi nu hypotetiskt litar blint på att Aleris verkligen ställt rätt säkerhetskrav är det alltså FSTC som drivs av Region Stockholm som inte bara förorsakat kränkningar av ett mycket stort antal patienters integritet utan också ”användarna” Aleris sanktionsavgifter.
Det borde finnas ett intresse åtminstone från ”användarna” att reda ut ansvarsförhållandena och skapa garantier för att man kan få påverkansmöjlighet på de gemensamma it-systemen så at de följer lagstiftningen även om regionen inte prioriterar den frågan.
Trots att det i övrigt finns en mycket god säkerhetskultur i vården har man alltså inte lyckats inympa informationssäkerhet i den.
Det huvudsakliga ansvaret för detta ligger naturligtvis hos regionerna som sjukvårdshuvudmän tillsammans med SKR som sedan mitten av 90-talet utlovat gemensamma regler för informationssäkerhet men hittills inte lyckats uppvisa något som ens liknar det.
Är det någonstans där Datainspektionen bör göra nästa granskning så är det hos SKR:s it-bolag Inera.
Detta är särskilt angeläget eftersom lösningar som NPÖ som tillhandahålls av Inera saknar adekvat behörighetshantering (se ovan) som inte bara drabbar den enskilde vårdgivare utan samtliga vårdgivare som använder.
En annan aktör som väcker viss tveksamhet är IVO vars granskningar hittills inte alls verkar ha genomförts på samma grundliga nivå som Datainspektionen.
Några granskade verksamheter hänvisar till granskningar som IVO gjort och som på något sätt skulle gett klartecken för den säkerhetsnivå som de nu ligger på.
Förhoppningsvis kan tillsynsansvaret i och med NIS-direktivet leda till att IVO utvecklar sina granskningsmetoder.
Jag tror att det är centralt att myndigheterna samverkar här och ser informationssäkerheten i ett helhetsperspektiv och förstår att det är en sammanhängande säkerhetsarkitektur där brister i ett hänseende skapar risker på flera olika sätt.
Det skulle även vara en fördel att ha gemensamma granskningsmetoder och kanske t.o.m.
genomföra granskningar tillsammans.
Många tillsynsmyndigheter kan lära sig mycket genom att studera med vilken noggrannhet och stringens Datainspektionens granskningar genomförts.
I rättvisans namn ska sägas att vården inte fått särskilt mycket hjälp från myndighetshåll att utveckla sin säkerhet.
Jag har tidigare om att MSB:s knytning till ISO 27000 och det metodstöd som utvecklats i denna anda knappast är till hjälp för vårdens infrastruktur och jag kan inte heller se andra satsningar som tagits fram för att stödja denna i sanning samhällsviktiga verksamhet.
Datainspektionens granskningar som endast rör ett par aspekter av säkerheten borde ge upphov till ett större samordnande projekt lett av myndigheter för att långsiktigt höja vården säkerhet eftersom detta är en fråga som regionerna med all önskvärd tydlighet visat att de inte klarar av.
En helt nödvändig insats är att tvinga regioners och SKR:s makthavare att erkänna att det finns ett mycket stort säkerhetsunderskott i vården och istället för att stoppa huvudet i ta sitt ansvar och börja bygga för framtiden.
Under de (alltför) många år jag arbetat med informationssäkerhet har ingen företeelse varit mer omhuldad än de standarder som använts som stöd i arbetet.
När jag började var det BS 77 99 och nu har vi en hel 27000-familj.
Även om jag under alla år har haft en god hjälp av standarderna har jag aldrig riktigt kunna gripas av samma entusiasm som de många, inklusive utgivare av myndigheters föreskrifter, som sett standarderna som ett magiskt spö som det i princip räcker att hänvisa till så försvinner säkerhetsproblemen.
Jag har redan skrivit ett antal inlägg, bl a och berör den ganska problematiska övertro som finns i Sverige till standardens kraft att skapa bättre informationssäkerhet.
Med tiden har jag kommit att fråga mig om sättet att se på framför allt ISO 27000 kanske snarare stjälpt än hjälptt.
En rejäl tankeställare fick jag när jag hade uppdraget att försöka få in säkerhetsperspektivet i en utredning om e-hälsa.
Få saker har jag misslyckats så kapitalt med och en av orsakerna, förutom mina egna brister, var att både utredaren och utredningens sekretariat så fort frågan kom upp smashade bort den som en irriterande fluga med: vi gör en hänvisning till att standarder ska användas.
Eftersom jag inte förstår en vink när jag får den eller snarare bryr mig om den så fortsatte jag och försökte även få ett förtydligande vilka standarder som skulle användas och hur.
Som ni säkert förstår fick jag aldrig några svar på mina frågor utan det ansågs helt tillfyllest att säkerhetsproblem skulle hanteras via ”standarder”.
Självklart förstår jag lockelsen i att det skulle kunna fungera så.
Problemet är att det inte gör det.
Om man tittar bakåt så var standarder i industrisamhällets begynnelse en typ av nationella och internationella överenskommelser om framför allt utformningen av tekniska produkter och mått.
En av mina favoriter är standarden för avstånd mellan hålen för .
Det är ju ett sant kaos som väntar om hålslagen utformas hur som helst och ingen vet vilka pärmar som kan användas för vilka papper.
Men vad händer egentligen när man flyttar över standardiseringsidéen från vidden för järnvägsspår till hur organisationer ska styra olika verksamhetsområden?
När standarder som framtagits utan kontroll från lagstiftare och den egna förvaltningen ska leva sida vid sida med den ordinarie styrningen?
I en mycket intressant från Örebros universitet har författarna (Andersson, Karlsson och Hedström) genom diskursanalys försökt förstå hur framtagandet av standarder i 27000-serien egentligen går till.
Som en bakgrund gör de en åtskillnad mellan s.k.
de facto-standarder som ta fram av ett företag eller flera företag tillsammans som har ett konkret behov av standardisering.
Den andra typen av standarder benämns de jure-standarder som kan utvecklas av olika lagstiftande organ alternativt myndigheter eller av oberoende standardorganisationer som ISO.
27000-serien är alltså en de jure-standard men ligger utanför det lagstiftande området.
Artikeln lyfter också fram att denna typ av standarder strävar efter att skapa en konsensus av vad som bland experter inom området anses vara ”best practice” vilket även framgår tydligt i arbetet med informationssäkerhetsstandarden: De jure standards play a central role in information security, and organizations are increasingly required to demonstrate compliance with them ( ; ).
Det kan alltså ifrågasättas vad standardens ställningstagande egentligen bygger, om dess anspråk på att vila på ”best practice” uppfylls.
Eftersom den inte bygger på evidens skulle dess USP bestå just i en erfarenhetsbaserad kunskap.
Om inte denna grund finns påverkas naturligtvis standardens legitimitet.
Senare i artikeln framgår på ett litet roande och samtidigt avslöjande sätt hur ytterst få som deltar i standardarbetet även om man tågat omkring på standardiseringsmötena som en fåmansprocession under beteckningen ”Sweden”.
Artikelförfattarna gör en maktanalys av själva arbetet med framtagandet av standarder men jag tycker att en vidare maktanalys av hur en mycket liten krets knutna till standardarbetet har haft ett helt dominerande inflytande över svensk förvaltnings arbete med informationssäkerhet.
Resultatet har blivit en hegemonisk doktrin om att ISO 27000 är den enda framkomliga vägen att arbeta med informationssäkerhet i svensk förvaltning trots att denna doktrin vare sig bygger på evidens eller ”best practice”.
Så här 11 år efter att ISO 27000 pekades ut som vägledande för svenska myndigheters arbete med informationssäkerhet i MSB:s föreskrift MSBFS 2009:10 (ytterligare markerat i de följande föreskrifterna fram till den nu gällande MSBFS 2020:6) så tycker jag inte det är uppenbart att det var ett helt lyckat vägval.
Detta bygger jag på attt knappast kan ses som särdeles framgångsrikt mätt med tillgängliga måttstockar, d.v.s.
de granskningar som gjorts både generellt och de som gjorts med inriktning på samhällsviktiga sektorer som exempelvis sjukvård.
Låt oss komma ihåg att detta inte är den enda möjliga vägen att välja.
I Finland antogs i år en av informationshanteringsnämnden under finansministeriet som explicit undviker att hänvisa till någon standard: referensramar och ger inga anvisningar om tekniska lösningar, som kan förändras till och med snabbt.
Utifrån en riskbedömning som görs från fall till fall ska varje myndighet välja tillräckligt säkra tekniska lösningar som är lämpliga i den aktuella situationen.
Jag kommer ihåg att ansvariga för Normen i Norge förde samma resonemang i sina reglervården, man ville inte referera till någon särskild standard.
Uppfattningen var att det var möjligt att plocka ut det man ville ha ur standarder utan att behöva ansluta sig till en helhet som inte kunde kontrolleras av norsk sjukvård.
När standarder lämnar tekniska specifikationer och övergår till organisatorisk styrning uppstår paradoxala effekter.
Jag tänker nu på att ISO 27000 innehåller mycket allmänna krav, att det ska finnas informationsklassning men inte hur den ska utföras eller vilken normskala som ska tillämpas.
Varje organisation ska själv ta fram sitt eget komplexa ledningssystem med de komponenter som anvisas i standarden men utformningen och tillämpningen kommer att se väldigt olika ut, det tror jag varje erfaren konsult kan intyga.
Istället för centrala regler som specificerar olika lösningar får vi alltså en mängd olika regelverk som ska användas i samma infrastruktur.
Standarden leder alltså sannolikt till mindre standardisering på grund av sin inriktning på enskilda organisationer istället för på helhet.
Bräckligheten i kunskapsunderlaget och det fragmentiserade resultatet är två orsaker att ompröva ISO 27000 ställning i den offentliga verksamhetensi Sverige.
Vi behöver inte kasta ut barnet med badvattnet men vi måste våga ifrågasätta doktrinen även om de som har byggt upp en stark ställning med hjälp av standarden riskerar att ta illa upp.
Informationssäkerhet är en för viktig fråga för att vi ska ha råd med heliga principer som inte tål att diskuteras.
Häromveckan kom en OECD-rapport där det framkom att Sverige enligt de måttstockar som användes inte var så bra på digitalisering.
Rapporten väckte förvåning och upprördhet i vissa kretsar.
Jag kan på sätt och vis förstå att det kan upplevas som en kalldusch med tanke på hur mycket offentlig ”digitalisering” haussas och sponsras.
Samtidigt får jag litet drygt medge att jag inte är såååå häpen.
Den svenska digitaliseringen har under decennier fört en haltande tillvaro trots att den ständigt varit omgiven av jublande kaskader av pepp.
Under dessa år har olika mystiska nationella organisationer skapats, marknadsförts och sedan dött utan att lämna några imponerande spår efter sig.
Ur minnet kan jag rada upp följande: Utöver detta har diverse ännu mer kortlivade initiativ tagits av regeringar i form av råd och kanske den mest luftiga av alla: en nationell CIO, en funktion som lyckligtvis evaporerade efter mindre än ett år.
Av allt detta finns idag bara DIGG kvar – en myndighet med oklart ansvar och mandat.
Efter att ha rört mig i både närmare centrum och och för det mesta i periferin av dessa cirklar så finns det vissa genomgående drag som jag tycker mig kunnat notera.
Bara uppräkningen av alla flyktiga organisationer som haft en förväntan på sig att samordna den svenska digitaliseringen visar på det kanske främsta problemet: bristen på kontinuitet.
Det har aldrig funnits en långsiktig plan med prioriteringar för hur den offentliga digitaliseringen ska rullas ut.
Bristen på strategisk inriktning skulle i sig kunna vara en strategi, att den svenska staten gjort en välavvägd bedömning att en organisk framväxt utan styrning av digitala lösningar på sikt skulle gynna samhället bäst.
Om detta har varit planen har den dock hållits väl dold.
Verkligheten tyder på, i alla fall för mig, att planering och tydlig inriktning hade varit mycket önskvärt för att skapa en fungerande digital infrastruktur.
Kanske var vi närmare en möjlighet att skapa en infrastruktur på slutet av 90-talet än idag.
Då fanns en medvetenhet om att Sverige hade unika möjligheter bland annat genom denna snabba spridningen av hemdatorer som skett då anställda fick möjlighet att med förmånliga villkor skaffa sig en egen dator via arbetsgivaren.
Då diskuterades hur en statlig e-legitimation skulle kunna införas som en central infrastrukturkomponent.
Själv tyckte jag att det var en rimlig förlängning av ett statlig åtagande: folkbokföring, personnummer och sedan e-legitimation skulle fullfölja en lång linje i svensk förvaltningshistoria som skulle kunna vara byggstenen för många andra lösningar.
Men sedan hände ingenting, varje år sas det att i september – då kommer den att komma!
Vet ej varför just september var en så bra månad för att lansera e-leg men i min något osäkra minnesbild var det så.
En myndighet (E-nämnden) bildades 2003 för att leva i två somrar med uppdrag att stödja utvecklingen av ett säkert effektivt elektroniskt informationsutbyte mellan myndigheter och mellan myndigheter och enskilda genom att beslut om vilka standarder för informationsutbyte myndigheter under regeringen skulle använda sig av.
Detta inkluderade även e-legfrågan.
Men som sagt någon statlig e-legitimation blev det inte då vilket jag är ganska övertygad berodde på ideologiska skäl.
Politiker av olika schatteringar gick all in för nyliberalism och ville hellre att ”marknaden” skulle hantera e-legitimationerna vilket säkert påverkade införande och fördröjde en säker infrastruktur-utveckling.
Att jag tagit upp denna gamla historia är mest för att peka på ett annat återkommande tema i den svenska digitaliseringen, nämligen att det saknats öppna och tydliga diskussioner om hur staten och marknaden ska samverka på bästa sätt för gynna samhället.
Istället har framtagandet av digitala lösningar skett i en ideologisk blindhet som lett mycket stora kostnader (tänk bara Hälsa för mig) utan att det lett till de resultat som eftersträvats.
Och vad är det då för resultat som eftersträvas?
Man skulle tycka att med den stora förväntan på digitalisering och AI som lösningen på alla problem liksom de miljarder som pytsats in att även utan plan så skulle det vara nödvändigt att ha någon slags tydliga mål som går att följa upp.
Så är dock inte fallet om man inte räknar det outsägligt fåniga målet att ”Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter” som tydligt.
Istället vimlar det av fluffiga utsägelser som digitaliseringen ska rädda allt från äldreomsorgen till exportindustrin och självklart skolan.
Exakt hur det här ska gå till beskrivs vad jag kan se varken av , eller digitaliseringsevangelisterna trots att man skrivit vad man kallar mål och strategier.
Det förväntas bara ske.
Det ligger något av en paradox i att digitaliseringslösningar idag så ofta används för att mäta som en del i det rådande NPM-paradigmet när det samtidigt sker så litet av formell utvärdering av vad digitaliseringen faktiskt leder till.
Om man går in de traditionella utvärderarna av ”vad f-n får vi för pengarna?” som Riksrevisionen, Statskontoret och, när det gäller e-hälsa, Myndigheten för vårdanalys finns påfallande få granskningar och rapporter skrivna just om digitalisering.
Riksrevisionen publicerade 2016 en som knappast är en av dem som länder revisionen till heder med tanken på kvaliteteten som kontrollerar om myndigheter digitaliserat tillräckligt mycket – inte vad digitaliseringen lett till.
Detta är i sig en generell tendens, att se digitaliseringen i sig som något ”gott” samtidigt som man i nästa andetag säger att digitaliseringen inte är självändamål.
Men vad kan vara mer självändamål än att ha som mål att ”Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter”?
Däremot kom 2019 en om digitalisering och nyföretagande som faktiskt sätter nyföretagandet i centrum – inte digitaliseringen.
Utöver detta finns det inte mycket att hämta om digitalisering hos Riksrevisionen om man är intresserad av resultatet av statens insatser på området.
Statskontoret har skrivit myndighetsanalyser av bl.a.
E-delegationen, Digisam och Digitaliseringsrådet (spoiler alert: de har inte lyckats så bra) men egentligen inget vad jag kan se om digitaliseringen i sig.
Riksrevisionens och Statskontorets uppdrag kan möjligen göra dem något begränsade i sina granskningar men att Myndigheten för vårdanalys inte haft detta som ett starkt granskningsområde förvånar mig starkt.
Med tanke på hur e-hälsa, välfärdsteknologi, AI och digitalisering lyfts fram som vårdens frälsare borde utfallet av detta vara mycket angeläget att kontinuerligt följa.
Som det nu är hittar jag egentligen bara en som handlar om cancervården specifik.
Ett om äldreomsorgens digitalisering ska slutlevereras 2023 och inriktningen ”Myndigheten ska bedöma hur digitaliseringen av äldreomsorgen bidrar till verksamhetsutveckling, med särskilt fokus på kostnadseffektivitet.” – alltså hur ska digitaliseringen ”effektivisera” äldreomsorgens.
Sammanfattande kan jag förstå om det är svårt att göra granskningar med så fluffiga mål för vad är det egentligen som ska följas upp?
Min egen anekdotiska upplevelse är att den svenska digitaliseringen lider svårt av ett marshmallowssyndrom.
Ni vet det där gamla experimentet om uppskjuten tillfredställelse som sedan har ifrågasatts men som jag ändå använder här som bild.
På Stanford university erbjöds fyraåring att marshmallows med förutsättningen att om de kunde motstå att genast sluka den godbit de fick och kunde vänta några minuter kunde de istället få två.
Tanken var att de som kunde planera och motstå frestelsen blev framgångsrika längre fram i livet.
Den svenska digitaliseringen tyckte jag ofta har liknat barnen som inte kunde låta bli att genast tillfredsställa sitt sötsug.
De politiker, tjänstemän och företag som drivit på digitaliseringen har dock styrts av starkare tobak än marshmallows men kontentan blir att det idag saknas en plan.
Det tycks som man ofta gör saker för att man inte för att man analyserat och kommit fram till att det är rätt steg i en bestämd riktning.
Detta leder också till den intressanta frågan vems intressen tjänar den nuvarande digitaliseringen.
Som redan nämnts är äldreomsorgen ett frestande område att digitalisera, mindre så digitaliseringsbyråkraternas egna jobb.
Jag ska inte ge mig in på David Graebers tankar om Bullshit jobs (läs gärna själva!)
men tanken på de undersköterskor som flänger omkring som torra skinn i äldreomsorgen är de som ska effektiviseras och inte de som har bullshit jobs är djupt störande.
Jag tänker också på vad en äldre människa tjänar på att inte få en människa som kommer och hjälper till med matning utan en robot.
Detta borde vi prata mycket mer om.
För att ingen ska missförstå ovanstående: jag vet och uppskattar den ständigt puttrande digitaliseringen men skulle uppskatta en plan.
I mitt förra inlägg hävdade jag att arbetet med informationssäkerhet alltför ofta kännetecknas av byråkratiska aktiviteter utan reell säkerhetshöjande effekt men däremot med ett anspråkstagande av verksamheters resurser på ett orimligt sätt.
Det är ju inte heller enbart kärnverksamhetens resurser som används på ett sätt som kan etiskt ifrågasättas.
Att säkerhetsarbetet bedrivs utan hänsyn till hur effektiv användningen av resurser är samtidigt som den oavlåtliga klagovisan ljuder att säkerhetsarbetet får för litet resurser, ständigt för litet resurser, är paradoxalt.
För den som arbetar med säkerhet borde det ha högsta prioritet att få fram arbetssätt som ger största möjliga utdelning av säkerhetshöjande effekter i förhållanden till insatta resurser.
Tyvärr har jag sett mycket litet av den typen av analyser och jag kan t.o.m.
tycka att säkerhetsområdet får rejält med pengar sammantaget utan det riktigt framgår vad som kommit ut av det.
Rubriken på blogginlägget är aningen ironisk eftersom det väl nu är allmänt känt att effektiviseringar sällan leder till bättre verksamhet.
Jag tycker ändå att det är klädsamt om vi som jobbar informationssäkerhet, som är en stödfunktion, håller upp spegeln och ser vad vi kan göra när kärnverksamheten i många organisationer är hårt pressad av krav på besparingar.
Att försöka göra saker bättre och mer kostnadseffektiva behöver inte heller vara till nackdel för metodutveckling, jag dristar mig att anse att det skulle vara en fördel om det fanns ROI-perspektiv på både planerade och genomförda säkerhetsåtgärder.
Jag tror det skulle vara ett stort stöd för många informationssäkerhetsansvariga som nu ibland verkar beta av ett antal aktiviteter utan att kunna bedöma vad det egentligen leder till.
Vissa aktiviteter kan vara stora och dyrbara men det handlar också om annat där kostnaden kanske inte är så stor men effekten ännu mindre.
Att genomföra generiska e-utbildningar är enligt min erfarenhet tämligen bortkastat mensom initierat dem kan bocka av en ruta.
För mig betyder detta mekaniska tillvägagångssätt, förutom pengar och medarbetares tid i sjön, att organisationen invaggas i en vilseledande och farlig falsk trygghet.
Det tämligen obefintliga effektivitetspressen inom säkerhetsområdet, som är så kännbar i andra sektorer, tycker jag mig se leda till en lättja i tanke och i handling.
Det är lätt att glömma bort men informationssäkerhet handlar i grunden om att .
Har man inte det så har man inte en fungerande informationssäkerhet.
Med detta i bakhuvudet så kan den seriösa informationssäkerhetsarbetaren inte leva efter bekvämlighetsprincipen och hela tiden göra det som känns enklast.
Att enbart identifiera information som råkar finnas i system som man redan känner till är som, för att använda en mycket uttjatad bild, att leta efter den borttappade nyckeln under gatlyktan eftersom det är enklast.
Tyvärr är det så jag uppfattar rätt mycket av de insatser som går under beteckningen ”informationsklassning” som inte leder till kontroll över den information som är viktig för verksamheten utan den som redan finns bekvämt paketerad i en behållare a.k.a ett ”system”.
Ibland när jag får ”verktyg” för informationsklassning som är obegripligt efterfrågade presenterade för mig kan jag inte låta bli att fnissa till och tänka på min bekant som var kommunal it-chef på 1990-talet.
Hen hävdade att det var en underbar tillvaro där hen sågs som en wizzard som på vilken fråga som helst (i princip) från verksamheten kunde hacka ihop ett it-verktyg för att lösa en uppgift.
”Stöd” sågs helt enkelt som synonymt med någon slags programvara.
Tyvärr tycks denna uppfattning leva kvar bland många i informationssäkerhetsbranschen trots att det ofta är de icke-digitala delarna i en aktivitet som är svåra.
I informationsklassning (se nedan) är den stora frågan exempelvis att göra rätt analyser, inte att hålla reda på genomförda klassningar.
Innehåller verktygen dessutom generiska skyddsåtgärder uppstår en annan problematik: vem tar då egentligen ansvar för att det är korrekta skyddsåtgärder i förhållande till risken?
Efter denna salva känner jag mig förpliktigad att ge exempel på alternativ.
Här kommer därför ett förslag på arbetssätt motsvarande informationssäkerhetens kinderägg.
De tre fördelarna med mitt förslag är att man faktiskt arbetar med information – inte system, att man kan bygga upp en likvärdig säkerhet i likartade verksamheter och att kostnader i form av pengar och tid radikalt skulle kunna minskas samtidigt som får ökad kvalitet/säkerhet.
Med avsikt har jag valt en mycket säkerhetskänslig funktion som även är mycket vanligt förekommande: processen för läkemedelshantering i äldreomsorgen.
För att ge en kort bakgrund så ombesörjs äldreomsorgen med de 290 kommunerna som huvudman.
Kommunerna kan bedriva omsorgen själva eller anlita underleverantörer som privata vårdföretag.
Oavsett vilket så är det kommunen som har ansvar som sjukvårdshuvudman och ska därmed säkerställa att omsorgen bedrivs på ett säkert och likvärdigt sätt oavsett utförare.
En central del i omsorgen av äldre är läkemedelshanteringen.
Äldre som inte får rätt läkemedel i rätt dos vid rätt tidpunkt löper en avsevärd hälsorisk, i värsta fall med döden som utgång.
Omsorgen sker dygnet runt av ett antal medarbetare som vid varje givet tillfälle måste ha korrekt och spårbar information tillgänglig.
Samtidigt berör uppgifterna om läkemedel omsorgstagarens hälsotillstånd vilket gör dem till känsliga personuppgifter som måste omges med ett mycket starkt skydd mot obehörig åtkomst.
Utöver detta finns en särskild risk i läkemedelshanteringen, narkotiska preparat och även andra är mycket stöldbegärliga.
Även detta stärker det utpräglade behovet av spårbarhet där varje händelse kan följas och och kopplas till person som i en lång verifikationskedja.
En generisk processbeskrivning på övergripande nivå skulle kunna se ut så här.
Inga konstigheter i det men man kan gå ett fördjupande steg till utan att beskrivningen skulle tappa särskilt mycket i allmängiltighet med däremot fånga upp vilken information som hanteras, se detta utsnitt ur processen: Processen startar med att en av regionens läkare gör en läkemedelsordination vilket dokumenteras i regionens vårdsystem samt i den nationella läkemedelslistan.
Dessa moment ligger utanför processbeskrivningen ovan som startar med att information om ordination överförs till kommunen som en pappersutskrift vilket startar processen.
Den intresserade kan notera följande: Detta är inte på något sätt unikt för den här processen utan gäller för många andra.
Slutsatsen man kan dra är att om man seriöst så räcker det sannerligen inte med att ”klassa” ett enskilt system utan måste få kontroll över hela informationshanteringen.
Inte heller att enbart titta på digital information utan det är just helheten som måste fångas för att rätt åtgärder ska kunna vidtas.
Även för dataskyddet är detta en självklarhet – man kan liksom inte bara skydda personuppgifter i digital form.
I den ovan beskrivna processen finns t.o.m.
bärare som apodos-påsar som måste omhändertas på ett korrekt sätt.
Det kan tyckas ansträngande att inte bara få ägna sig åt färdigpaketerad information prydligt avgränsad i system men här finns istället stora effektivitetsvinster att göra.
Det går att klassa informationsmängden ”ordination” och så vidare så att det går att använda som en i samtliga kommuner oavsett vilka bärare man för tillfället råkar använda.
Dagens rekommendation från myndigheter och SKR är att 290 kommuner med vissa fall flera förvaltningar som bedriver äldreomsorg ska klassa system i varje förvaltning.
Dessutom måste samma manöver upprepas av de privata vårdgivare som anlitas av kommunerna.
Enligt beräkningar fanns 2019 14900 företag som ägnade sig åt vård och omsorg.
Jag har inte riktigt tid att fördjupa mig i exakt hur många av dessa som bedriver äldreomsorg men för saken skull så utgår jag från att det åtminstone finns 500 privata äldreboenden.
Sammantaget kanske det då behöver göras 850 klassningar av olika vårdgivare.
Låt oss höfta och säga att resursåtgången per klassning är minst 100 timmar inklusive förberedelser och dokumentation (detta är extremt lågt räknat med tanke på att det ofta är ett flertal deltagare på klassningarna) för att klassa ett system som stödjer en liten del av ordinationsprocessen.
Lustigt nog kommer det också att bli samma system som klassas gång på gång med varierande resultat.
Kontentan blir alltså bristande kontroll över informationen och bristande likvärdighet mellan olika äldreomsorgsverksamheter till en sammantagen resursåtgång av 85 000 timmar.
Betänk också att detta bara är en av flera processer bara i äldreomsorgen.
Mitt förslag är att man istället slår ihop sina påsar, tar fram gemensamma normerande klassningar skyddsnivåer.
Skyddsnivåerna måste då tas fram i stor öppenhet där det redovisas hur man ser på olika risker och hur de föreslagna skyddsåtgärderna avses reducera dessa.
Koppling till krav i föreskrifter med mera bör även finnas.
Skyddsnivåerna måste även innefatta skydd av andra bärare än system och molntjänster, t.ex.
fysiskt skydd av papper.
En jätteuppgift är att hålla skyddsnivåerna uppdaterade så att de inte ger förlegade rekommendationer.
Då ska vi komma ihåg att detta ändå skulle kräva en bråkdel av de resurser som skulle gå åt om varje vårdgivare skulle genomföra alla moment själv.
Jag kan mycket väl tänka mig att man i många fall även kan ge förslag på arbetsrutiner.
Vad skull då detta kunna innebära i praktiken?
Naturligtvis skulle ansvaret för säkerheten aldrig kunna delegeras men exempelvis en vårdgivare skulle kunna gå i ett bibliotek av olika verksamhetsprocesser, välja ut den aktuella och få fram en bild av generisk process samt en normerande klassning av typen nedan (fast ifylld): Därefter jämför vårdgivaren med sin egen verksamhet hur väl det presenterade materialet stämmer överens.
Gör det det i stora drag, kanske med litet annorlunda benämningar, så skulle vårdgivaren med detta stöd kunna ta sig ner till nivå att kunna köpa rätt skåp att förvara den enskilde vårdtagarens medicin i. Att krav på digitala lösningar ingår är naturligtvis självklart.
Som en bonus kan även krav på bevarande och gallring läggas in.
Det kan kännas som en överväldigande uppgift att ta itu med men minns då att den redan är överväldigande och idag tynger kärnverksamheten på ett orimligt sätt.
Kan vi åtminstone ta fram normerande klassningar för generiska processer i samhällsviktig verksamhet skulle vi ge möjlighet att höja samhällssäkerheten högst väsentligt och dessutom kunna reducera resursåtgången.
Eftersom myndigheterna med särskilt ansvar för informationssäkerhet förefaller skeptiska till den här typen av stöd finns det utrymme för andra aktörer att träda fram.
Statskontorets publikationer är en underskattad men ständig källa om inte till glädje så till mycket nyttig kunskap.
Under sommaren har jag en forskningsantologi kallad .
Min bedömning är att denna antologi är ett måste för den som arbetar med informationshantering eller informationssäkerhet i offentlig sektor.
Här får man så mycket sammanhang och tankar att man går ur boken som en tjänsteperson eller konsult stärkt och betydligt bättre rustad att hantera sitt uppdrag.
Ur en informationssäkerhetskonsults vinkel är det framför allt avsnitten om hur förpappring, managementbyråkrati, användning av standarder och konsulter riskerar leda inte bara till onödig administration utan också till bristande styrförmåga.
Tyvärr är det mycket som känns obehagligt välbekant.
Det är dystert att blir varse om hur det område man själv jobbar inom liksom man själv kanske är en förgiftad gåva till uppdragsgivaren, att det kostar mer än det smakar.
Vi kanske ödmjukt borde inseltför ofta ger upphov till mer byråkrati än nytta, till mer krångel än säkerhet.
En ständigt närvarande fråga borde vara hur kan vi skapa bättre säkerhet utan att tynga våra uppdragsgivare och utan att ta kraft från organisationernas verkliga uppgifter.
Hur mycket har alla de icke-fungerande ledningssystem inte kostat i pengar, incidenter och en falsk trygghet som hindrat att man vidtagit reella säkerhetsåtgärder.
Slutligen är det för mig oetiskt att ta mer resurser från kärnverksamheten till säkerhet om det inte går att påvisa att det är nödvändigt.
Givna frågor borde vara: Varför fungerar då så mycket avt så dåligt trots de avsevärda resurser som läggs på det från olika håll?
Efter att ha begrundat Statskontorets antologi vill jag på prov lansera hypotesen att många av informationssäkerhetens tillkortakommande beror på att arbetet bedrivits som en del i den new public management-trend som varit rådande i svensk förvaltning de senaste decennierna.
NPM diskuteras frekvent i antologin och många av dessa resonemang kan med lätthet översättas till informationssäkerhetsområdet.
Kännetecknande för NPM är bland annat en strävan att styrformerna i offentlig förvaltning ska likna de i privata företag.
Konsekvenserna blir i korthet decentralisering, ram/mål-styrning, standarder och en massa mätande.
Det som regleras är som ska göras men inte Ansvaret för hur åtgärder ska genomföras trycks ner i den decentraliserade strukturen.
Någon som kommer att tänka på den så omtalade ansvarsprincipen kanske?
NPM kan låta lockande men jag skulle säga att informationssäkerheten nationellt och i de enskilda organisationerna lidit stor skada av att det inte funnits en inriktning att ge tydliga direktiv om olika säkerhetsåtgärder ska utföras.
Det är en närmast kuslig suboptimering att varje organisation ska räkna ut allt själva.
Kravet på kortsiktig leverans och mätbarhet gör att det strategiska arbetet försummas.
Dessutom leder till en bristande samordning i en alltmer integrerad informationsinfrastruktur där en parts investering i säkerhet görs helt urarva genom att andra aktörer har gjort andra bedömningar och därmed inte infört samma skydd.
Fokus ligger också på dokument, standarder och rapportering, allt i enlighet med NPM:s styrfilosofi.
Jag tror inte att motståndet mot att få en konkretare styrning i säkerhetsfrågor ligger hos enskilda myndigheter, kommuner eller regioner, tvärtom är en vanlig utgångspunkt i diskussioner att man vill ha tydlighet och stöd i att veta vilka säkerhetsåtgärder som är adekvata och uppdaterade.
Snarare uppfattar jag att myndigheterna med föreskriftsrätt duckar och inte vill ta det ansvar som det innebär att peka med hela handen.
Det är liksom lättare att klaga på den bristande säkerheten i förvaltningen än att ge ett ändamålsenligt stöd.
Jag vill lansera ett förslag som jag haft sedan jag jobbade på MSB som exempel på hur vi skulle kunna bryta med ovanstående ineffektiva styrning och få en bättre och billigare säkerhet.
Mitt förslag är och har varit att erbjuda stöd i form av standardiserade skyddsnivåer och det jag kallar normerande klassningar.
Skyddsnivåer har jag skrivit om tidigare så därför koncentrerar jag mig på de normerande klassningarna.
Det mest uppenbara exemplet på hur det skulle kunna fungera gäller kommunal verksamhet.
Tänk er att det finns 290 kommuner med samma tio obligatoriska uppgifter.
Det leder till att man har i grunden har mycket likartade processer även om man ofta har egna beteckningar på förvaltningar, processer och informationsmängder.
I större kommuner kan det vara så att flera organisatoriska enheter ägnar sig åt samma slags verksamhet, exempelvis förskola eller äldreomsorg.
Man kan också anlita utomstående leverantörer för att driva verksamhet som till exempel ett äldreboende.
En viktig grundprincip för kommunal verksamhet är likvärdighet, dvs.
att invånare har rätt att förvänta sig samma kommunala service oavsett var man bor eller vem som är utförare.
I det här sammanhanget bör det tolkas som att invånare har rätt till samma säkerhet och integritet.
Detta uppnås dock knappast om informationsklassningar genomförs på tusentals olika sätt med helt olika resultat (jag kommer inte att ta upp SKR:s KLASSA här eftersom jag gjort det på annat ställe och kommit fram till att det inte är ett verktyg för informationsklassning utan möjligen för att ställa baskrav på enskilda system och som dessutom ger precis samma risk för olikartade bedömningar som om man inte använde verktyget).
Vad som skulle leda till både ensartade bedömningar och dramatiskt minskad resursåtgång är att göra normerande klassningar på prioriterade processer i kommunal verksamhet.
Man skulle då gå igenom en generisk process, exempelvis utbetalning av försörjningsstöd, se vilka informationsmängder som stödjer och skapas i de olika aktiviteterna i processen.
Därefter kan informationsmängderna klassas och den normerande klassningen användas av samtliga som utbetalar försörjningsstöd.
I och med att aktiviteter och informationsmängder är förvånansvärt konstanta över tid i många processer (tro mig, jag har gått igenom ett stort antal processer även i ett ”historiskt” perspektiv) så skulle denna grund kunna användas under lång tid.
Uppdateringar måste göras då exempelvis lagstiftning eller andra nya förutsättningar leder till att en förändrad bedömning blir nödvändig.
Även denna förvaltningsinsats har allt att vinna på att genomföras kollektivt och inte av varje informationsägare.
Och, observera, den normerande klassningen är bara ett stöd.
Det står varje informationsägare fritt att välja en annan nivå eftersom ansvaret för säkerheten kvarstår hos hen.
Ytterligare en poäng är att det här finns mycket stora samordningsvinster att göra även med dataskydd och arkiv.
Jamen systemen och it-tjänsterna säger ni uppbragt – varför finns inte de med i konceptet???
Det gör de faktiskt eftersom it-säkerheten hanteras i de standardiserade skyddsnivåerna och gör man sin processorienterade informationskartläggning rätt så identifierar man inte bara de digitala lösningar som används som bärare utan även de andra medier som faktiskt används.
Dessutom förekommer idag information i många fall i flera versioner på olika bärare så därför kan man inte gå nerifrån och upp.
Slutligen är bärarna inte alls lika konstanta som aktiviteter och informationsmängder så att ha dem som utgångspunkt för strategiskt styrning skulle vara göra sig själv en stor otjänst.
En passant kan sägas att samma synsätt sannolikt skulle kunna användas av SÄPO till allas nytta.
Att göra generiska säkerhetsskyddsanalyser för exempelvis kommuner och regioner skulle avlasta dessa aktörer och ge ett mer likvärdigt skydd.
(Jag flyr nu eftersom jag vet att detta är en helig ko som absolut inte får besudlas….).
Min förutsägelse är att det inte finns något ljus som automatiskt kommer att slås på i denna mörka byråkratiska tunnel utan det är vi själva genom att tänka fritt och nytt som måste skapa det.
Det är inte i mängden dokument säkerheten sitter.
Antalet konsulter har tillväxt kanske inte explosionsartat men massivt under de senaste decennierna.
Det skulle föra för långt att ta upp alla bakomliggande orsaker till detta i ett kort blogginlägg.
Jag tänkte istället ägna mig åt litet självspäkning så här i slutet av sommaren och resonera litet om informationssäkerhetskonsulter och vilken eventuellt nytta eller skada vi kan bidra till.
För dessa resonemang har jag inte något specifikt stöd gällande konsulter inom informationssäkerhetsområdet men utgår från forskning angående managementkonsulteri generellt.
Tankarna som presenteras nedan bygger dock främst på mina egna erfarenheter från båda sidor upphandlingsbordet samt av de studier av de palimpsestlika konsultinsatser som man alltför ofta stöter på som konsult.
Det vill säga de ofta flerfaldiga lager av tidigare uppdrag som inte lett till något varaktigt säkerhetsarbete men som lever kvar som bortglömda power points, ibland regelverk som är copy paste ur standarden och som resignation i organisationen: ”vi har ju redan försökt och det gick inte”.
Marknaden för informationssäkerhetskonsulter har som sagt växt.
Många organisationer, både privata och offentliga, ser behov externa specialister för att förbättra sin säkerhet.
Men flera faktorer försvårar redan i upphandlingsskedet.
En sådan faktor är att det är marknad där ”varan” saknar en tydlig definition för vad ska egentligen en sådan konsult ha för bakgrund och kompetens?
När det inte ens finns en tydlig överenskommelse om vad informationssäkerhet ÄR och än mindre krav på enhetliga utbildningar med fastställt innehåll så är förvirring en självklar konsekvens.
Vanligaste förvirringen är sammanblandningen av informations- respektive it-säkerhet där både leverantör och kund ofta har inriktning på teknisk säkerhet snarare än den organisatoriska säkerhet som är grunden för informationssäkerheten.
Leverantör och kund kan med denna bakgrund ha helt olika uppfattningar om vad som ska levereras.
Genomgående har leverantörer ett kunskapsövertag – det är ju de som förväntas sitta på expertisen.
Om kunden inte har gjort ett ordentligt förarbete med analys av vilken typ specialiststöd man egentligen behöver kan leverantören på olika sätt styra vad som faktiskt kommer att levereras.
Detta moment 22, att man har alltid för litet intern kompetens för att kunna beskriva vad som behövs innan man har upphandlat kompetens, gäller inte bara för enskilda organisationer.
Under åren har jag sett ett rätt stort antal gemensamma ramavtal som haft samma brist.
Upphandlingen tycks formad av önskan att hitta en informationssäkerhetens Mary Poppins som bara glider in och fixar till saker utan att besvära organisationen.
Resultatet blir bland annat att rena teknikföretag kan kapa åt sig uppdrag där organisatorisk kompetens är helt nödvändig.
När ingen annan kan beskriva vad en ”informationssäkerhetsspecialist” är och vad som krävs för att arbeta som en sådan är det naturligtvis ett omöjligt krav att ställa att just den upphandlande organisationen ska göra det.
I ett antal upphandlingar och även anställningsförfarande har varit med om att några yrkesgrupper anser sig kompetenta även om de aldrig arbetat med informationssäkerhet, läs militärer och poliser.
Tidigare har jag skrivit om att informationssäkerhet fortfarande i hög grad är en erfarenhetsbaserad kunskap där juniora utövare lär sig av seniora dito.
Men hur ska krav på denna typ av erfarenhet ställas i en upphandling och hur mycket enklare vore det inte med någon typ av examen kompletterad med praktik under x antal år?
Under senare år har det dykt upp krav på att konsulter ska vara certifierade.
Detta menar jag är ett attraktivt villospår.
De certifieringar som ofta refereras till lider dels av att vara utformade främst för amerikanska förhållande, dels ha teknisk inriktning.
Det är inte till mycket hjälp när man ska få till en organisatorisk styrning i en svensk kommun eller myndighet.Själv skulle jag alltid ge företräde till en konsult med akademisk examen i samhällsvetenskapliga ämnen framför någon med aldrig så många certifieringar men utan examen.
Ett trick som ibland har använts när upphandlingarna inte varit tillräckligt tydliga i kraven är att leverantören erbjuder en senior konsult men det sedan i praktiken blir juniora konsulter som får genomföra uppdraget.
Till viss del kan sådana ageranden uppmuntras genom upphandlingens konstruktion och hur man hanterar dilemmat att å ena sidan försöka uppnå en trygg leverans av konsultkraft från leverantören, å andra sidan få tillgång till verkligt kvalificerade konsulter.
Om betoningen läggs på att leverantörens förmåga att leverera kvantitet finns det en risk att konsulter ses som utbytbara.
En annan nackdel är att mindre leverantörer utesluts från möjligheten att lämna anbud.
Med risk att trampa folk på tårna är min erfarenhet att många av de mest kvalificerade konsulterna inom informationssäkerhetsområdet väljer att starta eget eller att arbeta i mindre bolag så att satsa på kvantitet i upphandlingen kan leda till att man kanske missar kvalitet.
Sedan är den upphandlingstekniska utformningen som ska formulera vad kunden prioriterar.
Ska man göra en bred utannonsering eller räcker det med att vända sig till några få leverantörer?
Är det priset, kvaliteten eller tiden som är viktigast?
För offentliga organisationer finns också omfattande regelverk som LOU att följa när det gäller den här typen av frågor.
Ett mer grundläggande problem är hur man egentligen ska prissätta konsulttjänster.
Fortfarande är den vanliga linjen att man använder timpris vilket är förståeligt men ofta vilseledande.
För en duktig konsult kan naturligtvis leverera mycket mer kvalitet på kortare tid än en mer orutinerad.
Ur kundens synvinkel får man alltså mer kvalitet till lägre pris om man väljer en dyrare konsult (under förutsättning att den dyrare konsulten verkligen är bättre).
Det rimliga vore att sätta priset utifrån nyttan som levereras till kunden oavsett hur lång tid det tar att utföra uppdraget.
Nu är det ofta så att upphandlingar görs av ett visst antal timmar vilket om det kombineras med alltför stor betoning av timpriset leder till att kunden får en sämre konsult till ett högre sammanlagt pris.
Jag menar också att det fordras en ansenlig mängd icke-fakturerbar tid för att utveckla sin kompetens och hålla sig uppdaterad vilket påverkar det som blir timpris ut.
För en medveten kund bör detta vara en aspekt värd att noggrant analysera innan upphandlingsunderlag skickas ut.
Kunder väljer ofta att upphandla x antal timmar eller ett fastprisuppdrag för att få kontroll och inte en löpande räkning utan slut.
Själv brukar jag istället föreslå att kunden köper en timbank med fritt avrop.
Då ligger makten hos kunden som inte behöver avropa fler timmar än man faktiskt använder och dessutom, om man inte trivs med konsulten, kan kunden på ett smidigt sätt avsluta relationen.
Eftersom det ofta är svårt att avgöra hur omfattande uppdraget blir innan man börjar med en mer konkret planering så ger detta kunden en flexibilitet som på ett avgörande sätt kan minska kostnaderna för uppdraget.
Jag tycker också det är rimligt att leverantören tar risken i affären eftersom man har kunskapsövertaget och möjligheten att påverka uppdragets utförande.
Det handlar ju också om att ställa krav som går att utvärdera på ett bra sätt vilket ju är något enklare för tekniska prylar än då man ska köpa mänsklig kompetens.
Kompetensen är som sagt svår att beskriva vilket leder till att den är även är svår att kontrollera.
Med beaktande att kunden ofta inte har möjlighet att göra en riktigt rättvis bedömning så tycker jag ändå att det finns vissa krav som kan leda till en bättre uppfattning om vad leverantörens erbjudande innebär.
Exempelvis skulle jag numera som kund ställa krav på exakt vilka konsulter som är aktuella i anbudet samt efterfråga skriftprov och andra underlag som just dessa konsulter skrivit.
Vid referenstagning skulle jag försöka tala med andra än den eller de som konsulten arbetar närmast hos en tidigare uppdragsgivare eftersom jag upplever att det är rätt vanligt att det finns en aningen symbiotisk relation mellan exempelvis informationssäkerhetsansvarig hos kunden och konsulten.
Kunden bör också få möjlighet att träffa den tilltänkta konsulten för att skaffa sig en bättre bild av personen och det intryck den ger.
Särskilt vikt bör i samtalet läggas vid vilken faktiskt erfarenhet av och förståelse för kundens verksamhet som konsulten har.
Utan denna förförståelse kommer kunden att få betala för leverantörens kompetenshöjning då konsulten måste sätta sig in i förutsättningarna för kundens organisation.
Men inte ens dessa varianter på krav garanterar på något sätt att man hittar ”rätt” konsult.
Inte bara kunden behöver göra analyser av chansen/risken för att uppdraget avlöper framgångsrikt.
Även leverantören har all anledning att försöka klargöra hur redo kundens organisation är för genomförandet av det aktuella uppdraget.
Inte så sällan tackar jag nej till uppdrag.
Det kan handla om att kunden har satt en alldeles för snäv tidsram för att de organisatoriska åtgärderna ska hinna tas fram, processas, beslutas och genomföras eller att jag inte uppfattar att ledningen verkligen är beredd på vad som kommer att vara nödvändiga förutsättningar.
Om ett avtal sluts uppstår omedelbart ett antal nya frågeställningar.
En del av dem uppkommer genom att leverantören och kunden inte har riktigt samma intressen.
Många leverantörer är starkt inriktade på att genomföra uppdrag på sitt sätt, inte minst därför att det lönar sig bättre att ”ta från hyllan” än att utveckla saker tillsammans med kunden (såvida man inte har uppdrag på löpande räkning).
Att vara alltför lyhörd och explorativ kan äventyra vinsten i ett fastprisuppdrag med definierad leverans men även uppdrag med begränsat antal timmar.
Juniora konsulter är också av naturliga skäl rädda att släppa sargen och överge mallar som tagits fram av arbetsgivaren.
För en konsult är det också en svår balansgång mellan att göra för mycket alternativt för litet.
Det är ofta svårt frestande att ta över alltmer avt, alldeles särskilt om förväntan finns på att man ska vara Mary Poppinslikt allfixande.
Det är praktiskt för konsulten eftersom man då kan genomföra arbetet på sitt sätt vilket gör att man har kontroll och det på ett sätt går snabbare.
För kunden kan det dock bli en nackdel om konsulten blir alltför dominerande eftersom man då riskerar få en leverans som inte är avpassad för verksamheten och att behovet av att bygga upp egen kompetens försummas.
Om detta finns mycket mer att skriva men eftersom det är sommar och sol får det vänta till ett senare tillfälle.
Jag tror att vi måste bli mycket mer öppna om att det är svårt både att vara kund och att vara leverantör när det kommer till att upphandla konsulttjänster.
En förbättrad dialog i de enskilda uppdragen där konsulten är följsam och öppen inför hur kunden uppfattar leveransen höjer kvaliteten inte bara i uppdraget utan kan bidra till en långsiktig utveckling av branschen.
Ja, det verkar självklart men vid ett stort antal tillfällen har jag träffat på kunder som varit missnöjda med tidigare konsult men inte tyckt sig kunna nå fram utan istället valt att så snabbt som möjligt avsluta uppdraget.
Vi måste också ha diskussioner generellt om hur man får till en bra upphandling där kund och leverantör har samförstånd om vad och hur uppdraget ska levereras och med vilken kompetens.
Kanske kan informella men allmänt accepterade paketeringar av olika typer uppdrag tas fram.
Detta försvåras dock av att det inte finns någon sammanhållande branschorganisation.
En flink människa skulle ju också kunna ta fram en ratingsida där olika konsultinsatser betygssätt ungefär som ett restaurangbesök – det vore nog smärtsamt men nyttigt för många av oss.
1910 blev Karlstads lasarett det andra i Sverige som blev s.k.
delat lasarett (efter Falun).
Att ett lasarett blev delat betydde att det fanns både en medicinsk och en kirurgisk verksamhet.
I korthet var detta första steget på den snabba utveckling pådriven av en framgångsrik forskning där ögon, öron, ortopedi, röntgen, BB, barn, gynekologi o.s.v, o.s.v.
, blev egna specialiteter och subspecialiteter i ett allt finmaskigare nät.
Till detta kommer allmänmedicin och annan öppenvårdsverksamhet för att inte glömma psykiatrin i olika former.
Alla dessa med tiden hundratals olika kompetensområden måste organiseras i avdelningar, kliniker, mottagningar m.m.
för att få bästa möjliga vård för patienten till en för samhället rimlig kostnad.
Det räcker dock inte med att organisera vårdens olika verksamhet i förhållande till varandra utan vården måste styckevis och delt även passas in i samhällets generella styrning som i sin tur består av förvaltning respektive den politiska styrningen.
För Sveriges del har det i huvudsak inneburit inpassning i kommun, landsting/region och stat eftersom vården varit offentligt finansierad (även detta i huvudsak) sedan lång tid tillbaka.
Historiskt har vårdverksamheten i delar vandrat mellan huvudmännen.
Att allmänmedicin och psykiatri var ett statligt ansvar fram till 1960-talet och äldrevård en landstingsangelägenhet fram till ÄDEL-reformen då den överfördes till primärkommunerna är bara två exempel.
Vad jag vill säga med denna skamligt korta sammanfattning är att sjukvård är EXTREMT svårt att styra med en fullständigt oöverblickbar komplexitet i tre dimensioner: den interna styrningen av vårdarbetet och förvaltningsstyrningen samt den politiska styrningen.
Fram till 1970-talet var inriktningen för att hantera denna komplexitet bland annat att försöka skapa mer enhetliga huvudmannaskap vilket var en av orsakerna till att exempelvis allmänmedicin och psykiatri överfördes till landstingen från staten.
Denna trend avlöstes av den glada NPM-eran när styrningen av offentlig verksamhet fragmentiserades bland annat för att underlätta för privata alternativ.
Det var då äldreomsorgen och den social omsorgen fördes till den kommunala sektorn vilket bland annat har lett till bollandet av gamla multisjuka mellan två huvudmän – något vi sett de avskräckande konsekvenserna av nu efter covid-19.
Det är ett ganska väl beforskat hur organisatorisk komplexitet leder till det som slarvigt brukar kallas byråkrati men som jag hellre skulle benämna administration som inte är direkt kopplad till kärnverksamhetens uppgifter.
Ju större antal aktörer som ska förmås att röra sig i samma riktning eller åtminstone samspela, desto fler samordnade aktiviteter krävs för att hålla ihop helheten.
Det blir strategier, policies, planer, möten, kontroller och rapporteringar i olika riktningar.
Genom privatiseringen av offentlig verksamhet har dessutom ytterligare behov av upphandlingar, kravställningar, regelverk, beställningar och uppföljningar tillkommit.
Detta skapar kohorter av nya typer av administratörer, alltså inte den gamla typen som skötte budget, bokföring och löneutbetalningar.
Istället har kvalitetsutvecklare, upphandlingsspecialister, digitaliseringsstrateger, e-hälsosamordnare och (visst, jag kackar i eget bo) informationssäkerhetsansvariga tillkommit.
Och så naturligtvis kommunikatörer, kommunikatörer och åter kommunikatörer.
Utan jämförelser i övrigt kommer jag osökt att tänka på den här gamla klassiska bilden där jag föreställer mig vårdpersonalen dignar under hela lasset av administration upp till sjukvårdspolitiker och vårdbolagschefer.
Det är med detta i bakhuvudet jag läser i DN som drar en lans för förstatligande av sjukvården.
För mig framstår det som ett relevant förslag.
1962 gav de flesta landsting ut historiker över sina första hundra år.
Dessa historiker rymmer en fascinerande motsättning mellan beständighet och föränderlighet.
Landstingen hade funnits i respektingivande hundra år men vad ett landsting var och skulle syssla med hade ständigt förändrats under dessa är.
Vad detta lär oss är att hur samhällets basala funktioner ska organiseras ständigt måste omprövas för att institutionerna ska vara ändamålsenliga och anpassade till rådande behov.
Historiskt har detta skett kontinuerligt som jag snabbskissat ovan och det finns ingen anledning att tro att just den organisation av sjukvården har idag är den enda möjliga oavsett vad som händer i samhället i övrigt.
Själv hyser jag inte någon ohejdad tilltro till att ett förstatligande av sjukvården skulle lösa alla eller ens merparten av problem som vården har att leva med men i all enkelhet skulle åtminstone ett lager i pyramiden försvinna.
Förhoppningsvis skulle grundläggande mål som likvärdig vård vara enklare att uppnå.
En annan effekt är att den samordnade byråkratin internt mellan de idag 21 regioner skulle kunna plockas bort (även om den säkert delvis skulle komma tillbaka i en annan form).
Att inte bara DN utan även andra med viss energi börjar ifrågasätta regionernas roll väcker oro i regionsleden, inte minst hos särintressets främsta företrädare SKR vars ordförande Anders Knape som skrev ett kanske aningen sentimentalt på DN:s ledare.
Han, liksom regionala företrädare, lobbar ivrigt för att regionernas USP är den politiska styrningen av regionerna som hypotetiskt skulle göra sjukvården regionalt anpassad och därmed ”bättre”.
Med viss bombasm skriver Knape: den lokala och regionala nivåns omkring 40.000 förtroendevalda utifrån kunskap om invånarna lokalt och regionalt.
Deras kraft är oslagbar.
För den som något fördjupat sig i landstingens/regionernas historia väcker denna beskrivning antagligen skuggan av ett leende.
Inga sjukvårdsstrider har varit så infekterade som de enskilda landsting där sedan åtminstone 1920-talet omfattande manifestationer skett för att sjukstugor skulle placeras i ”rätt” samhälle eller rörande nedläggningar av sjukhus.
Knapes uttalande pekar snarare på en klassisk problemställning inom svensk sjukvård: den potentiella motsättningen mellan regional särart å ena sidan och likvärdighet nationellt å andra.
För mig framstår denna argumentationslinje också som alltmer paradoxal då SKR själva så intensivt försöker samla nationell styrning hos sig själva.
Som jag tidigare skrivit om har alltfler frågor börjat samordnas via SKR och därmed flyttats från den regionala nivån till en nationell.
Om SKR starkaste argument mot ett förstatligande är det demokratiska värde som finns i den regionala politiska styrningen verkar det ju vara att såga av sin egen viktigaste sittgren om makten förs från dessa demokratiska församlingar in i det mörker som föreningen SKR utgör.
Själv skulle jag alla dagar i veckan föredra en normal svensk myndighet framför SKR som nationellt samordnande.
Ibland dristar jag mig till och med till att tycka att det kanske är en demokratisk fördel om sjukvården lyfts bort från bypolitiken.
Knape har förstås en poäng när han lyfter fram mindre lyckade statliga experiment och då även inom digitaliseringsområdet.
Tyvärr måste jag dock säga att det är en boll som är svår att inte smasha tillbaka för den som strävar mot förstatligande av sjukvården.
INGEN fråga har engagerat SKR så mycket som digitalisering som lösning på all och jag misstänker att man har en gemensam morgonbön i SKR-palatset som går ungefär så här: Digitalisering, låt ditt namn bli helgat Låt ditt rike komma.
Ge oss i dag vårt dagliga bröd .
Och glöm våra misslyckade projekt, så som vi glömmer dem själva.
Och för oss inte in i verkligheten, utan fräls oss från ansvar.
Förlåt, det är semester… Min poäng är att trots den närmast religiösa inställning som SKR har till digitalisering i teorin så ser i praktiken digitaliseringen av den svenska sjukvården som ett härke trots de enorma resurser som tillförts.
Jag sitter mycket tungt på mina händer för att inte skriva något om den totala frånvaron av samordning av informationssäkerhet och det provocerande ointresset för integritetsfrågor där SKR knappast agerat som insiktsfull vägledare för sina medlemmar.
Om verkligheten ska användas som betygssättare för regionernas och SKR:s förmåga att skapa en nationellt sammanhållande och långsiktigt fungerande vård så ser det rätt illa ut för Knapes linje.
För att komma vidare vore det önskvärt med en hederlig gammaldags utredning som inte helt styrdes av särintressen inom vården.
Personligen lutar jag svagt åt att behovet av nationell samordning av sjukvården bäst hanteras genom ett förstatligande åtminstone av delar av vården.
Det kommer visserligen att skapa nya gränslinjer – hur ska exempelvis äldreomsorgen hanteras med större medicinsk kompetens – men jag tror verkligen det är dags att ompröva dagens situation.
Lämnade idag följande remissvar angående arkivutredningen.
Arkivutredningen fick i uppdrag att göra en bred översyn av arkivområdet i Sverige.
Jag menar att utredningen inte lyckats formulera de strategiska frågor som är av verklig betydelse för att arkivväsendet ska kunna uppfylla sin viktiga samhällsfunktion, än mindre kommit med lösningar på dessa frågor.
Istället har man fastnat i detaljer och frågor av mindre betydelse.
Genomgående har det som kan sammanfattas som ”kulturarvsperspektivet” få styra utredningens inriktning och prioriteringar.
Det gör att de mycket komplexa frågor som samhällets informationshantering brottas med i huvudsak lämnas utan behandling.
Några av de frågor som jag menar är av essentiella för att information av vikt ska kunna säkras för framtiden och som utredningen utelämnar i sin rapport är följande.
Det finns i idag ingen plan för hur all den information som skapas idag ska bevaras med kvalitet, säkerhet och autenticitet för framtiden.
Detta är kärnan i all arkivverksamhet.
När vi nu har en exponentiell tillväxt av information saknas organisatoriska, metodmässiga och tekniska lösningar för det långsiktiga bevarandet.
Likaså saknas aktuell vägledning för hur gallring ska kunna genomföras i de enorma informationsmängder som skapas.
De senast tillkomna generella vägledningar rörande gallring togs fram av Riksarkivet under senare hälften av 1990-talet, d.v.s.
för snart ett kvarts sekel sedan.
Istället för varaktiga lösningar har spridda experiment med så kallade e-arkiv skett i olika regi som exempelvis Statens servicecenters upprepade misslyckande med en e-arkivtjänst.
Dessa lösningar är dock bara mellanarkiv – hur det slutgiltiga omhändertagandet av den digitala informationen är fortfarande höljt i dunkel.
Denna fråga borde ha varit centrum i utredning som har till uppdrag att göra en översyn av arkivverksamheten.
Ända fram till 1990-talet föreföll det fortfarande relevant att utgå från att varje myndighet kan ha i uppdrag att kontrollera den information man själv upprättar samt den information som inkommer till myndigheten.
Detta är idag ett betraktelsesätt som ligger långt ifrån den verklighet som snarare består av en snabbt sammanväxande nationell (och delvis internationell) informationsinfrastruktur.
Offentliga och privata aktörer ingår i processer information utbyts, förädlas, aggregeras och ackumuleras i snabb takt.
Svåra frågor som hur information ska kunna reproduceras från olika källor på ett säkert sätt över tid berörs inte av utredningen.
Inte heller hur ansvarsfördelningen i denna gemensamma infrastruktur ska fördelas röner intresse hos utredningen.
Vad som ska utgöra allmänna handlingar i den enskilda myndighetens arkiv liksom vem som ska ses som arkivbildare i denna helhet finns det idag inga officiella verktyg för att avgöra.
Även detta hade varit en central fråga att peka på för utredningen.
Arkivlagen gör en sammankoppling mellan allmänna handlingar och arkiv: Tyvärr gör denna sammankoppling att då en allt mindre andel av en myndighets handlingar ses som allmänna handlingar, vilket är negativt i sig, kommer även andelen information som ska bedömas ur arkivperspektivet att minska.
Vad denna utveckling innebär för framtidens möjlighet för bland annat forskning tas inte upp utredningen.
Ej heller hur detta påverkar den svenska demokratin där en mer extensiv tillämpning av vad som ska utgöra allmänna handlingar skulle kunna förbättra insyn och delaktighet.
Av särskilt intresse är de verksamheter som tidigare varit offentliga men som privatiserats och där det inte längre finns allmänna handlingar som ger insyn eller möjlighet till forskning.
Här finns privata företag men även intresseorganisationer som SKR som med offentliga medel skapar information med stor betydelse för samhället men som samhället saknar kontroll över.
I informationssamhället är av naturliga skäl information den viktigaste resursen.
Den information som skapas av myndigheter inklusive kommuner och regioner är därför begärlig inte bara inom myndighetssfären och inte bara för forskning utan även för nationella och internationella företag.
Detta har uppmärksammats vad gäller personuppgifter och alldeles särskilt för personuppgifter inom hälso- och sjukvård som är det nya guldet för många multinationella företag.
Hur svenska myndigheter ska förhålla sig till detta utan att t.ex.
äventyra personlig integritet eller riskera att snedvrida verksamheten för att producera information kommenteras inte av utredningen.
Lika litet berörs hur arkivväsendet ska förhålla sig till långsiktigt enormt värdefulla vårdsystemen och hur de ska bevaras för framtiden.
Riksarkivet har uttryckt att de anser att myndigheten ska får peka ut ”samhällsviktig” information oavsett arkivbildare.
Jag menar att det snarare behövs en analys av informationens betydelse som samhällsresurs för att först därefter kan bli möjlighet att besluta om hur prioritering och omhändertagande ska ske.
Utredningen uppmärksammar inte den nära relation arkivområdet har till områden som informationssäkerhet och dataskydd samt generell informationshantering.
Möjligen har det dominerande kulturarvsperspektivet gjort utredningen blind för de aktuella utmaningar som kräver samverkan mellan dessa områden.
Ett förslag är att snarast ta fram en strategi för svensk arkivverksamhet som behandlar ovanstående frågor.
Strategin bör bygga på en utredning som förutsättningslöst går igenom: möjligheter för att långsiktigt kunna bevara och tillhandahålla för samhället relevant information i autentisk form.
I detta ligger även att analysera intressenter och på vilket sätt de ska få tillgång till information alternativt påverka vilken information som ska tas fram/bevaras.
Utan närmare analys går att säga att hela andra resurser än nuvarande kommer att behövas för att ta hand om informationen.
Hur en hållbar finansiering på tillräcklig nivå ska ske är även det en fråga som bör utredas innan en strategi tas fram.
Fia Ewald En gång arkivarie, alltid arkivarie

Toppledarforum E-nämnden (Nämnden för elektronisk förvaltning) 24-timmarsmyndigheten Verva E-delegationen E-legitimationsnämnden Digitaliseringskommissionen Digitaliseringsrådet DIGG Merparten av informationsmängderna är även de att betrakta som tämligen generiska Merparten av informationen hanteras i pappersform, detta särskilt i kritiska aktiviteter i processen En stor del av informationen finns på flera bärare samtidigt I hela processen är spårbarheten är essentiell för patientsäkerheten Har den här åtgärden en säkerhetshöjande effekt som står i paritet med den kostnad och krångel som den orsakar verksamheten?
Är den här åtgärden verkligen avpassad till och tar hänsyn till verksamhetens egentliga behov av säkerhet?
Indirekt: vet jag som vill lansera den tillräckligt mycket om verksamhetens behov för att kunna avgöra det?
Kommer den här åtgärden verkligen att fungera i praktiken eller är den en ren pappersprodukt?
Och kommer den även att fungera över tid, t.ex.
när konsulten lämnat skeppet?
Finns det verkligen inte ett effektivare sätt att reducera risken till en acceptabel nivå?
juridiska, organisatoriska arkivteoretiska, tekniska

inte inte behov bred kan, ha kontroll över sin information normerande klassning och vad hur.
hur Folkviljan utövas genom inom

Meny Nationell styrning Inläggsnavigering

Den långsiktiga hanteringen av information Den nya informationsinfrastrukturen Den krympande andelen allmänna handlingar Information som samhällsresurs Bristande relation till näraliggande områden En strategi för den svenska arkivverksamheten

MENU MENU Postat av MSB fick den 19 september 2019 i uppdrag av regeringen att ta fram en struktur för uppföljning av det systematiskat i den offentliga förvaltningen.
Uppföljningsstrukturen ska syfta till att aktörer i offentlig förvaltning regelbundet ska erbjud as att medverka i uppföljningen och få återkoppling som omfattar en bedömning om vilken nivå derasbefinner sig på samt förslag på åtgärder som bör vidtas för att uppnå en högre nivå påt.
Uppföljnings strukturen ska även syfta till att MSB regelbundet ger regeringen en samlad bedömning om nivån på det systematiskat i den offentliga förvaltningen.
Postad i , , , , Tagged , , , , Postat av → Postad i , , , , , , , Tagged , , , , , , , Postat av miljoner Postad i , , , , Tagged , , , , Postat av Rekommendationerna hänvisar inte till några allmänna standard er eller Postad i , , , Tagged , , , , , , , Postat av Postad i , Tagged , , , , Postat av Postad i , , , , Tagged , , , , , , , , , Postat av Postad i , , , Tagged , , , , , , , Postat av Postad i , , Tagged , , , Postat av Postad i , , , , , Tagged , , , , , , Postat av Postad i , , Tagged , , , ← Sök efter:

Tack Calle Lilius för bilderna!
Statlig förvaltningspolitik för 2020-talet En myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap.
12 § tryckfrihetsförordningen och som myndigheten beslutar ska tas om hand för arkivering.

Att viktiga samhällsfrågor alltmer tenderar att diskuteras utifrån andra premisser än fakta och kunskap är djupt oroande.
Jag ger därför Fia Ewald Consultings julgåva till två aktörer som verkligen bidrar till att ge oss faktabaserade underlag: Tankesmedjan Balans och Wikipedia får 10 000 kronor vardera.
Hoppas att detta inspirerar andra att ge stöd till dessa förkämpar för förbättrad kunskap!
2018 har varit ett bra år för mig personligen men knappast för världen i stort.
Jag kommer därför inte att ge några julgåvor, inte skicka några godiskorgar eller julkort utan istället investera litet pengar som ett mycket anspråkslöst sätt att påverka vår gemensamma framtid i rätt riktning.
Om andra får inspiration att göra detsamma – desto bättre!
Jag donerar därför 10 000 kronor till Civil Rig som arbetar för att försvara människors medborgerliga och politiska rättigheter och stärker människorättsförsvarare som är utsatta för risker.
Idag när grundläggande demokratiska värden ifrågasätts av allt fler känns detta som en organisation med större relevans än någonsin.
Det går att swisha valfri summa till 900 12 98 men man kan också bli månadsgivare.
Flera alternativ finns Det är lätt att glömma bort allt gott arbete som sker lokalt och som gör vårt samhälle bättre.
När man som jag lever ett kringflackande liv är det svårt att bidra till detta arbete i det dagliga men då kan man ändå stödja de fantastiska människor som varje dag gör livet litet bättre för människor.
Jag har därför valt att även ge 10 000 kronor till Världen i Värmland som är ett nätverk som arbetar för att förbättra situationen för unga människor som kommit som flyktingar till Värmland.
Nätverket samarbetar med flera av kyrkorna i länet, Röda Korset m.fl.
För den som också vill bidra till detta finns swish 123 262 5648 och bg 510-3338.
På facebook-gruppen med samma namn finns information om de många aktiviteter och insatser som görs.
(Jag kommer även att ge en summa till Djurskyddet som tar hand om katter i nöd men det säger jag inte för att undvika att framstå som en crazy cat lady…).
Annars önskar jag alla en god jul och ett gott nytt 2019 där allt blir litet, litet bättre!
Och att alla tar det litet lugnt och läser en god bok.

MENU MENU Postat av Postad i Postat av Postad i Sök efter:

Kriser har den fördelen att de oftast tar slut.
Att framgångsrikt hantera kriser bygger därför på att man inte bara hanterar nuet utan även framtiden.
Folkhälsomyndigheten har varit beundransvärda i att de lyckats hålla blicken uppe och fått allt fler att förstå att bekämpningen av coronaviruset inte bara handlar om drastiska åtgärder här och nu utan att vi både måste tänka på nästa virusvåg som kanske kommer redan i höst.
Ett annat budskap är att vad som ska värnas är folkhälsa där virusbekämpningen inte får överskuggande sekundäreffekter som i skapar större ohälsa och död än själva viruset.
Däremot når nu MSB:s insatser en sådan nivå att de t.o.m.
får vara med i satirinslaget i P1, en ynnest som är få myndigheter förunnad.
Inslaget handlar förstås om den famösa enkätappen som jag omnämnde i mitt förra och som nu även tagits upp i MSB har hintat om lanseringen av appen med en näraliggande men okänd startpunkt.
Tyvärr har myndigheten inte någon kommunikationslinje i frågan, vid konkreta frågor som i Eko-inslaget kommer endast undflyende svar.
Jag kan förstå det.
Det är svårt att sälja in en lagring av personuppgifter på befolkningsnivå i en amerikansk molntjänst.
Eftersom jag själv varit engagerad i svagheterna i projektet Hälsa för mig så har jag svårt att känna stark tilltro till att det snabbt går att vispa ihop en dylik tjänst med tillräcklig säkerhet och med tillräcklig respekt för dataskyddsförordningen.
Det är ju liksom ingen slump att eSam gjort ett om det olämpliga i att använda molntjänster när personuppgifter eller annan känslig information förekommer.
Vid sidan om själva enkätappen är MSB:s kommunikation den lika märklig.
Grunden för fungerande kriskommunikation är att inte skapa mer oro än nödvändigt utan delge de fakta som finns och som är relevanta i den aktuella situationen.
MSB har nu haft några olyckliga veckor trots att de ska vara samhällets experter på kriskommunikation.
Kanske tröttnade man att vara transportsträckan i dagliga presskonferensen på Folkhälsomyndigheten och att det var orsaken till att man helt plötsligt spicade upp sin monotona redogörelse om samordningsmöten med länsstyrelserna med att föranstalta en möjlig vattenbrist.
En signal som ledde till att redan hårt tyngda kommuner fick svara på helt irrelevanta frågor om icke-existerande vattenbrister från oroliga medborgare och medier.
Sedan detta smyglanserande av enkätappen som skapar frågor som inte besvaras utan skjuts till en obestämd framtid.
Detta leder inte till en större tillit i krisen.
Någon skulle kunna invända att nu när vi står inför en så stor kris som denna blir frågor som säkerhet och integritet underordnade.
Jag håller inte med om detta utan som jag skrev i mitt tidigare inlägg så är det när vi är som mest pressade som vi måste försöka tänka klart och följa de rutiner vi satt i normalläget, t.ex.
gällande riskbedömningar.
Vi ser nu hur det runt om i världen sker överträdelser mot grundläggande rättigheter och att auktoritära medel som inkräktar på individens sfär alltför villigt vidtas.
I Sverige har vi en lång stabil tradition av tillit och respekt men det finns ingen garanti att vi klarar att bevara detta.
Att myndigheterna sköter sig, inte genar eller agerar impulsivt är också grunden för den tillit som krävs för krisbekämpningen – inklusive att genomföra smittspårning m.m.
Efterklokt skulle man möjligen kunna kritisera myndigheterna för att de inte tagit fram ett smittspårningsverktyg i mellantiden sedan svininfluensan för ett decennium sedan utan börja ad hoca nu för då skulle säkerhetsfrågorna sannolikt kunnat hanteras på ett systematiskt sätt men det båtar föga.
Naturligtvis skulle man kunna säga att det är dumt att spekulera när så litet är känt och allt det jag skriver nu står på en mycket vacklande grund.
Ändå är detta en så viktig fråga att det är svårt att låta bli och spekulationernas kvalitet blir även den ett resultat av MSB:s kommunikationsplan.
För mig är det svårt att förstå hur en kombination av inloggning med BankID, amerikansk molntjänst och och känsliga personuppgifter inte skulle leda till mycket stora risker och att dataskyddsförordningen inte kan efterlevas.
MSB:s gedigna juridiska kompetens har möjligen gjort en annan bedömning men det är just den man skulle vilja ta del av, särskilt som den rimligen redan är färdigställd om breddlanseringen ska ske i dagarna.
Med den som underlag skulle kriskommunikationen kunna ske utan att orimliga spekulationer och onödig oro uppstår.
Mitt förslag är att, särskilt efter medieuppmärksamheten, MSB omedelbart presenterar den som är av stort intresse särskilt för oss som följt diskussionerna efter eSams uttalande.
Har MSB lyckats knäcka den nöten så är det stora nyheter för både Eller så har jag och en hel del andra missuppfattat upplägget (inte alls otroligt) och då vore det ju bra om MSB gick ut och beskrev hur det egentligen ser ut.
Är det så att MSB inte har ett vattentätt underlag så kommer man att underminera det mycket mödosamma arbete som bedrivs i många, om inte de flesta, organisationer, idag för att nå fram till ett ansvarsfull sätt att hantera molntjänster.
Detta menar jag vore förödande för MSB som den myndighet som ska samordna samhälletsslarvar med säkerheten.
Det skulle leda till att det svenska samhället skulle få ännu svårare att bemästra de mycket utmanande uppgifter vi redan står inför.
MSB:s egen verksamhet är ett show room för hur det är tänkt att andra myndigheter ska agera och förutom legitimitet finns det också mycket reell säkerhet att förlora om inte MSB klarar sin roll att leda genom sitt exempel.
MSB:s skrift Om krisen eller kriget kommer har en aningen märklig titel som om det finns ett krisfritt alternativ.
Jag tror både myndigheten och vi andra skulle tjäna på att ”när” snarare än om, i alla fall när det gäller kriser.
När krisen verkligen kommer skapas ett skilje där organisationer och individer ofrivilligt visar sitt virke, om man klarar att fungera rationellt även under press.
Planering för vad som ska göras när allt står på ända är ett bra sätt att stärka sitt virke.
Så än mer att kunna upprätthålla sina principer och sin planering när krisen väl inträffar.
Länge fanns en syn att säkerhet var ett hinder för en fungerande verksamhet.
Långsamt har vi tagit oss till en situation där allt fler ser att säkerhet inte är hinder för verksamheten utan en förutsättning, och då alldeles särskilt i svåra situationer.
Vi kan inte gå tillbaka till ett antingen det ena eller det andra, vi måste fortsätta kämpa för både effektivitet och säkerhet.
Det är bra om MSB befinner sig på rätt sida i det arbetet så att inte nya stora problem har skapats som ger utslag när krisen väl är över.
Jag har tidigare skrivit om att jag ser kommunikation som det centrala verktyget it och kanske det tydligast inte funkar.
Det här inlägger kommer att ytligt behandla om några aspekter av det vittomfattande ämnet, nämligen förutsättningar och förförståelse, innehåll och form.
Att kommunikationen inom informationssäkerhetsområdet har jag redan försökt beskriva i ett tidigare inlägg.
Det saknas arenor och samtalsformer för att utveckla kunskap och samsyn.
Det språkbruk och de metaforer som uppstår i denna dysfunktionella kultur gör även att vår kommunikation inte fungerar i samspelet med de vi vill engagera.
Ofta framstår både vi själva och det vi säger uppfattas som ovidkommande, auktoritärt, svårbegripligt och alarmistiskt (källa: de många verksamhetsföreträdare jag samverkat med under ett par decennier).
Själv uppfattar jag kommunikationen i informationssäkerhetsfrågor ibland som direkt vilseledande för civila organisationer.
Ett exempel är den nednötta metaforen om att skydda sina guldägg.
Den underförstådda tanken är att alla organisationer har avgränsade informationsmängder eller hård/mjukvara som ska skyddas mot främst obehörig åtkomst (?)
framför alla andra.
Detta menar jag är en feltolkning av hur dagens informations- och it-infrastrukturer fungerar där det snarare handlar om komplexa samband där olika men i många fall lika viktiga krav ställs på olika delar för att helheten ska fungera.
För att ta ett exempel från verkligheten så är det i en kommunal verksamhet meningslöst att försöka peka ut vad som skulle vara ”guldägg”.
I den kommunala äldreomsorgen bör det ställas mycket höga krav på tillgänglighet i trygghetslarmen, lika höga krav på riktighet och spårbarhet i journaldokumentationen och mycket höga krav på konfidentialitet i alla delar.
För den ekonomiska redovisningen kommer peakar i tillgänglighetskraven vid vissa perioder under bokföringsåret.
Jag kan fortsätta uppräkningen med att peka på PuL, algoritmer, webbplatser m.m., m.m.
men det enda jag vill komma fram till är att jakten på ”guldägg” leder tanken och därmed kommunikationen helt fel.
Andra vanliga påståenden på konferenser och i marknadsföring är att medarbetarna skulle vara det största problemet.
Detta påstående saknar belägg och den organisation som skulle se medarbetarna som den största risken tror jag får anledning att snabbt göra en förnyad riskanalys.
Den som tycker att ovanstående kan ses som bagateller behöver sannolikt mer övergripande argumentation om den problematiska kommunikationen.
Låt oss se ett grundscenario som både gäller i den enskilda organisationen och på ett nationellt plan.
Å ena sidan finns informationssäkerhetsexperterna som ser generella risker och som har organisatoriska och tekniska metoder för att reducera dessa risker (i alla fall hypotetiskt).
Å andra sidan finns det organisationer för vilka informationen är en resurs för verksamhetens olika processer.
Det är de senare som har den faktiska möjligheten och resurserna att genomföra informationssäkerhetsåtgärder.
För att uppnå fungerande informationssäkerhet krävs insatser från båda parter.
Enda sättet att skapa en sådan gynnsam situation är god kommunikation, den goda kommunikation som jag menar ofta saknas.
Resultatet blir alltför ofta att verksamhet och informationssäkerhet samexisterar som olja och vatten.
Trots att det är verksamheten som har behov av informationssäkerhet för att kunna leverera talar informationssäkerhetsspecialisten för döva öron.
Ett aktuellt exempel på hur det kan gå är när eHälsomyndigheten, som objektivt sett är en av de svenska organisationer som har mest behov av god informationssäkerhet, levererar två om framtiden och överhuvudtaget inte analyserar behovet av just informationssäkerhet .
Jag kommer återkomma till detta i ett senare inlägg.
Sammantaget är min erfarenhet som statlig tjänsteman som försökt förbättra informationssäkerheten inom e-förvaltning och e-hälsa att försöket mötts med en ganska avsevärd brist på förståelse från båda lägren.
De som arbetar med informationssäkerhet nationellt har haft begränsat intresse av och insikt om behovet av informationssäkerhet i verksamheter som är utpräglat civila.
De som arbetar med digitalisering i förvaltning och sjukvård har med två undantag sagt typ: ”jaja, det är säkert viktigt med säkerhet men det tar vi sedan när vi realiserat våra lösningar – säkerhet innebär ju bara en massa krångel som kan leda till att vi inte kan genomföra det vi vill.” Förutsättningen för kommunikationen är alltså en ömsesidig misstro som måste överbryggas.
Behovet av informationssäkerhet finns främst hos organisationerna själva även om det på aggregerad nivå naturligtvis i hög grad är ett samhällsintresse.
Ansvaret för kommunikationen ligger dock på informationssäkerhetsspecialisterna eftersom organisationerna inte är medvetna om sitt behov.
Här uppstår dock ett avgörande problem eftersom kommunikationen om informationssäkerheten som skapas i denna situation i de flesta fall är istället för .
Det är informationssäkerhetsspecialisterna som försöker sälja in sitt utbud av standardiserade synsätt och metoder till en verksamhet som har ett behov, ett behov som tyvärr formuleras på verksamhetens egna premisser.
Detta gäller även det nationella planet där det är myndigheterna med ett utbud som fått styra strategier och handlingsplaner, inte de civila verksamheterna med behov.
Och som alltid vid utbudsstyrning är det svårt att sätta nivån och inriktningen eftersom behovet inte är definierat – utmärkt situation för ett kommersiellt företag men knappast då man försöker styra med begränsade resurser.
Kommunikationen är en produkt av områdets kultur.
Den blir därför alltför ofta inriktad på envägskommunikation, förutsätter att de man riktar sig till är okunniga (”hur ska vi få dem att förstå”) samt på lösningar som är helt omöjliga i praktiken (som att använda signalskyddslösningar i sjukvården).
Den känslomässiga argumentationen kring attacker och antagonistiska hot lämnar mottagaren i ett rationellt limbo, kvar blir rädda människor underkastade olika auktoriteter.
Den auktoritära kommunikationsformen är naturligtvis också ett resultat av vår bristande kunskap inom informationssäkerhetsområdet (se tidigare inlägg), om man är osäker ger man sig ogärna in i dialog och diskussion.
Inte så få av de ”kommunikationsplaner” jag sett har enbart innehållit aktiviteter där avsändaren förmedlat budskap men inga aktiviteter av inlyssnande.
Hur ska vi då förbättra vår kommunikation så att organisationerna drivs av en inre motivation och på så sätt får ett ständigt förbättrat?
Jag tror det viktigaste förhållningssättet är att bestämma sig för en rollfördelning där informationssäkerhetsspecialisten (både i en enskild organisation och i form av myndigheter på nationell nivå) är en stödfunktion.
Informationssäkerheten tjänar istället syftet att organisationen ska kunna upprätthålla sitt uppdrag och sin leverans med tillräcklig kvalitet och utan störningar (i detta ligger naturligtvis även att kunna uppfylla externa krav).
För att kunna ge stöd måste informationssäkerhetsspecialisten förstå verksamheten, den unika informationshanteringen och de unika behoven.
Helt enkelt förstå att en pågående dialog, ett ömsesidigt utbyte är nödvändigt i lika hög grad för den som ska stödja som den blir stödd.
Under senare år har frågan om säkerhetskultur blivit alltmer aktuell.
Att få medarbetare i en organisation att vara medvetna och motiverade i säkerhetsfrågor ses av allt fler som något som inte bara är ett komplement till den traditionella regelstyrningen.
Tidigare har jag skrivit om betydelsen av en profession inom informationssäkerhetsområdet.
Även för en profession är det centralt att ha någon form av kultur som både skapar gemenskap inom gruppen men också bär upp de handlingar, synsätt och värderingar som gruppen förmedlar till utomstående.
Kort sagt kan ett kollektivs kultur ge gruppen en enighet om mål och medel som inte bara beskrivs i standarder, strategier och andra dokument utan som ett socialt kitt och ett ethos.
Kultur handlar i första rummet inte om beteenden utan om det som ligger bakom beteenden, som innebörder, förståelser, idéer, värden, trosföreställningar, prioriteringar och förgivettaganden.
Kulturens betydelse finns belagd i en ganska ymnig forskning inom olika fält som jag inte här kommer att gå närmare in på utan bara som icke-expert nicka och säga: ja, detta verkar relevant även för oss som arbetar med informationssäkerhet.
Det kan verka flummigt men jag tror detta är en mer central fråga än vad det först kan tyckas eftersom den kulturella grunden kan peka ut vägen för gruppen långsiktigt.
De kulturella värderingarna ger också underlaget för prioriteringar i det vardagliga arbetet.
Sist men inte minst är en grupps kultur kärnan i den kommunikation som sker med de utanför för gruppen, de kulturella budskapen som gruppen förmedlar överröstar i princip alltid själv sakinnehållet i kommunikationen.
Eftersom jag ser kommunikation som det viktigaste verktyget i arbetet med informationssäkerhet blir därför kulturfrågan central.
Vad är då våra gemensamma värderingar och vad leder de till för beteenden?
Ingen har, såvitt jag vet, gjort en kulturanalys av aktiva inom säkerhetsområdet utan jag ska försöka uttolka de gemensamma tendenser jag tyckt mig se genom åren.
Redan nu ber jag om ursäkt för de kategoriska och säkert missvisande beskrivningar som följer men jag har för närvarande enbart tillgång till mina egna erfarenheter (vilket i sig är en del av kulturen eftersom denna typ av diskussion aldrig förs).
En första reflektion är att den militär-polisiära bakgrunden fortfarande vilar tung över oss.
Det tar sig många uttryck som i den metaforvärld som används där ”attacker”, ”hot” och ”antagonism” bara är några exempel.
Detta skapar naturligtvis en speciell atmosfär men eftersom det inte bara är så att tankar som styr ord utan i lika hög grad det omvända: att våra metaforer styr våra tankar kommer detta att påverka vårt agerande.
Jag dristar mig till att säga att traditionella informationssäkerhetsmänniskor finner det betydligt enklare att fokusera på ”attacker” än att inrikta sig på de störningar i informationshanteringen som uppstår av andra orsaker som uppdateringsfel, buggar, bristande rutiner, ineffektivitet som gör att medarbetarna är mer eller mindre tvungna att bryta mot reglerna m.m.
Vårt mindset är helt enkelt mer inriktat på attacker och det är också det vi kommunicerar exempelvis med ledningarna i de organisationer där vi verkar.
Men denna kulturella värdering kan leda oss fel även i praktisk handling för om ENISA har rätt i sin så är det inte antagonistiska hot som skapar flertalet störningar: Även om alla säkert kan vara överens om att incidentrapportering är problematiskt som underlag för att bedöma vad som egentligen händer och i ännu högre grad om vilka hot som finns är ENISA:s redovisning intressant, särskilt som det väl för Sveriges del inte finns någon som är mer relevant.
Om vi nu antar att ENISA:s uppgifter stämmer så är det stora problemet störningar i kommunikationen som leder till störningar i system.
Malicious actions är däremot en mycket liten kategori.
Flera rimliga frågor inställer sig som vad som orsakat störningarna i kommunikationen.
En annan vanlig kommentar när den här typen av siffror redovisas är att det finns ett stort mörkertal när det gäller attacker m.m.
Där är jag helt beredd att hålla med, vi ju är långt ifrån att ha en heltäckande redovisning av inträffade incidenter, rimligen är mörkertalet lika stort eller större när det gäller icke-antagonistiska incidenter.
Min poäng är i all enkelhet att den kulturella styrningen mot antagonistiska hot kan leda till felprioriteringar it.
Att vara inriktad på antagonistiska hot är också belönande i så måtto att det enklare att få uppmärksamhet både från ledningar och media om man pratar om spännande hotbilder med antagonister än om frågeställningarna tangerar den vardagliga verksamhetsutvecklingen.
I den nu rådande kulturen finns en påtaglig fara för att informationssäkerhetschefen medverkar till att ledningen beslutar om säkerhetsåtgärder som inte motsvarar den faktiska riskbilden.
Och här gömmer sig kanske också ett kulturellt problem eftersom det finns två mål för säkerhetsarbetet; att avvärja hot respektive att stödja att informationshanteringen uppfyller verksamhetens krav på konfidentialitet, riktighet, spårbarhet och tillgänglighet.
Det förstnämnda liknar mer än militär uppgift medan det andra är mer att jämföra med ett kvalitetsarbete och inbegriper en nära dialog med verksamheten.
Om vi ska arbeta mer aktivt med kulturfrågan måste vi förtydliga vilken som är vår gemensamma målbild och också vår roll.
För att skissa vidare på den kultur jag uppfattar finns i vårt sammanhang så ser jag också ett auktoritärt drag.
Detta drag har förmodligen samma militär-polisiära bakgrund som det tidigare men kanske det svaga kunskapsunderlag vi ofta har för det vi föreslår också spelar in.
Exempel på vad jag menar med det auktoritära draget är att jag tycker att det finns en övertro på regler och compliance jämfört med andra typer av styrning som mer bygger på diskussion och tvåvägskommunikation.
Jag uppfattar också att kultur och former för diskussioner som alltför litet öppna och ”akademiska”, kanske för att det inte forum som inbjuder till det.
De forum som finns är i de flesta fall konferenser där ”heliga” sanningar presenteras utan återkoppling.
Denna attityd förstärks genom att informationssäkerhetsspecialistens legitimitet oftare hämtas i externa krav som lagstiftning eller standarden än verksamhetens egna behov.
Det finns också dragning mot hemlighetsfullhet.
Detta kan härledas till när säkerhetsarbetet i första hand var inriktat på att skydda rikets säkerhet men kanske också till att vi har svårt att rationellt argumentera för olika åtgärder.
Det kan då vara enklare att antyda att det finns hot som tyvärr inte kan yppas än att tydligt redogöra för olika risker och låta ledningen eller verksamheten avgöra vad som är nödvändiga åtgärder.
Detta är en bräcklig position som jag också tror skapar osäkerhet hos många i branschen.
Jag uppfattar inställningen som felriktad därför att betoningen på det hemliga, förutom att göra de flesta samtal till återvändsgränder, också gör att andra lika viktiga frågor kommer helt i bakgrunden.
I myndigheter finns till exempel kravet på öppenhet i offentlighetsprincipen som ställer stora krav på riktighet och spårbarhet i de offentliga informationsflödena.
Informationssäkerhetsspecialisten har, i min mening, ett lika tungt uppdrag i att medverka till detta som att skydda mot obehörig åtkomst.
Detta är ett exempel på statusbalansen i kulturen, sekretess har högre status än öppenhet, men det finns även andra statusförhållanden som kan diskuteras.
Ett sådant är förhållandet mellan teknik och organisation som ofta omnämns som ”hårda” respektive ”mjuka” frågor.
Man behöver inte ha läst genusvetenskap för att tolka att den egentliga innebörden är att de hårda, manliga frågorna är aningen viktigare än de mjuka, kvinnliga.
Så är det i det övriga samhället och det finns inga skäl att tro att det set annorlunda ut inom informationssäkerhetsområdet.
I praktiken leder denna inställning ofta till en överbetoning av tekniska lösningar framför organisatoriska och också till ett ofta väl teknokratiskt förhållningssätt även i organisatoriska åtgärderna.
Det blir litet märkligt i kombination med standardens tydliga organisatoriska inriktning men det är en dissonans som har accepterats.
Slutligen är en annan viktig aspekt av kulturen den tydliga mansdominansen.
Jag ser det som ett svaghetstecken för en yrkeskår när det måste skapas särskilda forum för kvinnor vilket nu skett på flera håll.
Kanske känns det nödvändigt för att kunna leva vidare i den auktoritära och teknokratiska kultur som jag frammanat ovan.
Jag skulle dock hellre se att vi gick vidare och försökte utveckla en mer ändamålsenlig kultur för de uppgifter vi har att lösa och där alla kan delta i ett gemensamt samtal på lika villkor.

om internt utbudsstyrd behovsstyrd men

MENU MENU Postat av Postad i , , , , , Tagged , , , Postat av Postad i , , Tagged , , , Postat av Postad i , , Tagged , , Sök efter:

Jag kommer nu att ikläda mig rollen av glädjedödare i dessa ändå så svåra tider – jag ber om ursäkt för det.
Under de senaste veckorna i coronans tid så blommar olika personligheter och mänskliga beteenden för att hantera kriser ut.
I denna vilda blandning av känslor och rationalitet är det inte lätt att urskilja vad som är vad.
Jag tänker nu oftare än vanligt på hur viktigt individens men också organisationens sätt att agera varit i de mer kritiska situationer jag varit inblandad i och vem jag skulle vilja ha vid min sida i en verkligt akut situation.
Att inte låta känslorna styra i en krissituation kan nog alla hålla med om i teorin.
Vi vet att stress försämrar vår tankeförmåga och att det därför i krissituationer är lätt att tillgripa helt fel lösningar eller missa uppenbara svagheter i handlingsalternativen.
Likaså är historien rik på exempel där boten varit värre än soten, d.v.s.
att de åtgärder man vidtagit för att hantera ett akut problem på kort eller lång sikt lett till värre konsekvenser än det ursprungliga problemet kunnat orsaka.
En illustration på detta är agapaddan som trettiotalet importerades till Australien från Hawaii som ett slags biologiskt bekämpningsmedel av en skalbagge som hotade sockerbetsodlingar.
Nu finns det över 100 miljoner av den giftiga paddan som hotar djur- och växtlivet på hela kontinenten.
Detta försvåras av att de sekundära problemen kanske uppstår inom ett helt annat område än där den ursprungliga krisen rör sig.
De som arbetar med krishanteringen kan därmed inte överblicka de möjliga sekundära konsekvenserna eftersom man kanske inte ens har rätt kompetens för att upptäcka dem.
Jag ska inte här gå in på det utslitna filosofiska järnvägsproblemet där olika liv ställs mot varandra utan nöjer mig med att säga att ALLA mår bra av att läsa filosofi och dessutom tänka några extra varv.
När vi blir utsatta för en pressande situation får många individer och organisationer ett starkt behov av att agera.
Att agera är ångestdämpande i sig för det ger känslan av att påverka hotet oavsett effekten av åtgärderna.
Just här menar jag att det just nu finns ett riskabel situation när både individer och myndigheter i positiv anda försöker bekämpa coronan eftersom man i vissa fall tycks släppa sitt ordinarie säkerhetstänkande (vilket väl i ärlighetens namn inte är på toppnivå ens i normalläget).
Samma sak med integritet och skyddet av personuppgifter.
De nya och provisoriska arbetssätten leder till nya risker som måste fångas upp och reduceras.
Anekdoter om hur man helt plötsligt fått oväntat besök i sitt Teams- eller Zoom-möte florerar utan att det observeras som ett säkerhetsproblem.
Okritiska reportage om hur kreativa elever fått skolor att börja använda (!)
i skolans uppgifter.
Entreprenörer som flashar om att de håller på att utveckla appar för smittspårning.
Säkerhet och integritet nämns ytterst sällan och då bara i formuleringar som ”liv går före allt” vilket implicit tycks betyda ”vi struntar i informationssäkerhet och integritet”.
Extra betänksam blir jag av att många tycks inspirerade av Kinas övervakningsmetoder och i denna uppskruvade anda inte tycks se vad de kostar.
När det i fredags kom ett kort meddelande på Ekot att MSB håller på att ta fram någon form av app för smittspårning åt FHM men inte vill kommentera hur den ska utformas undrar jag hur genomtänkt den lösningen egentligen är (särskilt ironiskt med tanke på att MSB varit en bastion spårbarhet som säkerhetsdimension).
Eller är detta myndigheter som drabbats av ett akut behov av att se verksamma ut och därför är beredda att hoppa över säkerhetsskacklarna?
Det är svårt att se hur en sådan lösning skulle kunna tas fram med tillräcklig legal och säkerhetsmässig analys på så kort tid.
När jag pratar om vikten av säkerhet avser jag inte enbart konfidentialitet.
Om man ska skapa olika rapporteringstjänster måste även behovet av riktighet, spårbarhet och tillgänglighet bedömas – annars riskerar man faktiskt att få lösningar där boten är värre än soten.
En lösning för akut rapportering som bygger på sms (förekommer faktiskt) leder till falsk trygghet och att nödvändiga åtgärder kanske inte sätts in för att ta ett enkelt exempel.
Det är just i krissituationer som det systematiskat prövas.
Det är nu som informationsklassningar och riskanalyser har som störst betydelse för att medvetna risker ska kunna tas av den som är riskägare.
Jag vill inte att all kreativitet och god vilja ska kväsas men vi måste arbeta på ett sätt som inte leder till större skador på sikt.
Även om det är kontraintuitivt så måste medvetna bedömningar göras av risker och lagstiftning respekteras.
Appar som används för rapportering av symptom för diagnos är exempelvis medicinsk-teknisk utrustning och måste uppfylla kraven på sådan.
Vi kan inte ge oss hän åt våra känslor utan måste låta systematiken ge oss tillgång till rationaliteten.
Extra illa om en myndighet som MSB signalerar att säkerhet skulle vara av underordnad betydelse i krislägen.
Det är nu vi som mest behöver vårt förnuft och då är det inte alltid bäst att göra ”något” utan vi måste göra så rätt som möjligt.
Jag blev ombedd att vara med som expert i en rörande den nu så aktuella frågan distansarbete.
Det blir ju litet fragmentariskt när man svarar på inkomna frågor så jag tänkte ta tillfället i akt och sammanställa några rekommendationer rörande distansarbete.
Den organisation som tagit fram (samt övat) en fungerande och dessutom tagit fram regler för distansarbete i normalläget har naturligtvis ett stort försprång nu.
För de som inte fokuserat på detta är det en längre väg att gå men då gäller det att man är på rätt väg innan man börjar gå.
Utgångspunkten för nedanstående rekommendationer är att det är verksamhetens processer som ska upprätthållas.
För processerna är informationen en central resurs.
Informationen och organisation i centrum alltså medan it-säkerheten blir den följd av de krav som verksamheten ställer.
Jag tar inte upp ergonomi eller vikten av gemensamma kaffestunder.
Målbilden är att kunna arbeta lika säkert på distans som på den ordinarie arbetsplatsen.

Skapa en insikt om att i nuvarande läge kommer inte all verksamhet att kunna upprätthållas utan en måste ske.
Har man kontinuitetsplanerat kan man använda den prioritering av processer som redan gjorts (även om det kan behövas en liten analys för att se om tidigare prioritering fortfarande är relevant.
Om kontinuitetshanteringen inte finns på plats måste ledningen göra en prioriteringen av vilka processer/funktioner som måste fungera.
När prioriteringen bör en snabb göras för att identifiera vilken information som stödjer processen samt hur informationen hanteras, d.v.s.
vilka system, tjänster eller andra bärare som telefoni och papper som används.
Därefter görs en för att fastställa säkerhetskrav.
Även detta bör ske enligt prioriteringen så att de mest tidskritiska processerna/funktionerna tas först.
It får i uppgift att gå igenom hur befintliga lösningar kan användas för distansarbete utifrån klassningen/riskanalyserna och kontrollera i dessa lösningar.
I detta ligger även att bedöma om åtkomst och kommunikation vid distansarbete kan ske på ett tillräckligt säkert sätt.
Om it-säkerheten bedöms som för låg i befintliga lösningar föreslås alternativa lösningar där så behövs.
Om det finns en stor kvarstående risk måste ledningen få möjlighet att acceptera risken alternativt säga att den är oacceptabel vilket kan leda till att nya lösningar arbetas fram eller så bedömningen att distansarbete är olämpligt för den aktuella aktiviteten.
Börja planera och bemanna en som är avpassas till hur många som förväntas distansarbeta och se till att supporten finns när medarbetaren behöver hjälp.
Att inte få support i en ny arbetssituation leder ofelbart till att många kommer att göra fel, gena, hoppa över säkerhetsåtgärder.
Bristande support är därför ett garanterat säkerhetsproblem.
redan från början och slarva inte med sådana frågor som att det är ledningen som tar ansvar för helheten och de åtgärder som ska vidtas.
I kommunikationen bör även ingå signaler som kan leda till en positiv som att det är viktigt att medarbetare är observanta på att det kan uppstå nya risker och att det finns en tydlig punkt att rapportera detta till.
Det vill säga visa respekt för medarbetarna och se dem som en resurs i säkerhetsarbetet!
Ta fram über-tydliga till medarbetarna där det bland annat framgår: – att samma säkerhetsregler ska användas hemma som jobbet, exempelvis att alltid låsa datorn när den är obevakad – hur pappersdokument ska hanteras – vilken typ av information som kan ses som extra känslig, exempelvis känsliga personuppgifter och känslig företagsinformation – att arbetsgivarens utrustning bara får användas för arbetsändamål – att privat utrustning inte får användas för att hantera arbetsgivarens information – att telefonsamtal bör ske på ett skyddat sätt – vilka verktyg som ska användas – hur de ska användas – att verktyg som inte godkänts av arbetsgivaren inte får användas (dubbel negation, jag vet) – vem som ska kontaktas för support – vem som ska kontaktas för säkerhetsrelaterade frågor – hur incidenter ska rapporteras När man kan räkna med att distansarbetet blir långvarigt bör även den gås igenom.
Det kan handla om att skaffa skåp med tillräcklig säkerhetsnivå för vissa medarbetare eller att se över det yttre skalskyddet i vissa bostäder där känslig information ska hanteras.
Skapa rutiner för där ni minst en gång i veckan går igenom hur säkerheten vid distansarbetet fungerar, om vidtagna åtgärder fallit ut som ni hoppats eller om det finns anledning att förbättra skyddsåtgärder, om ni upplever att medarbetare fått tillräckligt bra information och om det inträffat incidenter.
Uppföljningen bör rapporteras till ledningen.
Planera för .
De säkerhetsåtgärder som vidtas i samband med distansarbete måste planeras för längre tid och det kan vara bättre att ha en mer långsam uppbyggnad för att få en långsiktigt väl fungerande lösning än att göra quick fixes som snabbt måste ersättas till allmän irritation och med medföljande säkerhetsrisker.
En fråga som tål att ställas är om verksamheten verkligen är så tidskritisk som man tror särskilt i rådande läge då ingenting riktigt fungerar som vanligt.
Att slippa stressa fram lösningar leder alltid till bättre kvalitet och oftast bättre ekonomi.
Försök att använda det påtvingade säkerhetsarbetet som måste göras till följd av pandemin som en .
Skapa säkerhetslösningar och en säkerhetskultur som förbättrar säkerheten även i det normalläge som vi förhoppningsvis snart ska återgå till.

mot prioritering processkartläggning informationsklassning/riskanalys it-säkerheten supportfunktion Kommunicera säkerhetskultur instruktioner fysiska säkerheten uppföljning uthållighet resurs för framtiden

MENU MENU Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , Tagged , Sök efter:

De senaste månaderna har det knappt gått en dag utan att informations- och it-säkerhet utgör en del av medias huvudnyheter.
Det känns litet ovant att helt plötsligt arbeta med ett hett ämne men mediabevakningen ger också en insikt om hur området ser ut utifrån.
En inte helt uppbygglig syn: det finns stora problem som varit kända sedan länge och som det satsas omfattande resurser på för att lösa men där det råder förvirring i hur de aktörer som arbetar med frågan ska koordinera sig.
Vanligt förekommande reportage är en myndighetsrepresentant som presenterar hotbilder med tillägget att den egna myndigheten har förslag på lösningar som går att fixa bara man får mer pengar.
En trött metafor är klassfotboll där alla sjuåringar springer på bollen samtidigt, i mitt huvud har istället titeln på en pjäs av Pirandello dykt upp: Sex roller söker en författare.
Det behövs helt uppenbart ett gemensamt manus för samhällets aktörer.
Efter några inlägg av ständigt gnäll är det dags att skriva litet mer om vad som kan göras.
Då menar jag inte för den enskilda organisationen utan litet mer pretentiöst på den nationella nivån.
I några inlägg ska jag resonera om den nationella styrmodell för informationssäkerhet som den enhet jag ledde på MSB började arbeta med, ett arbete som dess värre aldrig hann fullföljas.
Inläggen kommer att i huvudsak utgå från offentlig sektors behov men eftersom det finns ett stort antal privata aktörer som deltar i leveransen av det gemensamma åtagandet är det inte ett helt konsekvent perspektiv.
Utgångspunkten är att trots avsevärda insatser tycks inte informationssäkerheten förbättras nämnvärt i förhållandet till den digitala utvecklingen.
Gapet mellan den verkliga säkerhetsnivån och den önskvärda ständiga ökas istället för att slutas.
Eftersom bilden är genomgående och den samma oavsett om det är myndigheter, landsting eller kommuner vi pratar om får det ses som ett strukturproblem som sannolikt inte går att avhjälpa i den enskilda organisationen utan kräver en gemensam styrning.
Och även om det förekommit mycket fnysande kommentarer efter både skandalen vid Transportstyrelsen och nu senast om polis-debaclet av typen ”hur svårt kan det vara?” så är nog min uppfattning att det inte så himla enkelt att göra rätt som vissa vill hävda.
Orsaken är både bristen på samordning och en attityd hos de myndigheter som ska ge stöd som inte skulle ge full poäng i en kundnöjdhetsundersökning.
En annan premiss inte är fråga.
Även om vi bortser från det semantiska kaos som rått i den senaste tidens mediabevakning där begreppen informations-, it- och cybersäkerhet flugit som konfetti i luften återstår ett behov av att se olika dimensioner.
En grundläggande skillnad ligger i å ena sidan verksamhetens eget behov och å andra sidan statens krav på verksamheten.
Statens krav är sig mångtydiga från att skydda rikets säkerhet till att se till samhällets funktionalitet vilket inte är riktigt samma sak och dessutom tillkommer all upptänklig lagstiftning som innebär implicita krav på säkerhet.
Informationssäkerhet kan rimligen ses som en metodlåda som kan och ska användas i olika syften som är delvis motstridiga.
För att ta ett aktuellt exempel fick i dagarna FRA och MUST förstärkning med närmare en halv miljard för att åtgärder inom informations- och .
I kommentarer framgår det att avsikten är att utöka övervakningen med bland annat ytterligare sensorsystem.
Samtidigt ställer dataskyddsförordningen krav på stärkt personlig integritet vilket föranleder ett antal informationssäkerhetsåtgärder.
Att säga att ökad trafikövervakning inte direkt gynnar den personliga integriteten är väl inte att ta till överord.
Och så har vi NIS-direktivet som ska införas och som inte heller har mycket att komma med i det hänseendet mer än detta: Paragrafen genomför artikel 14.1–2 i NIS-direktivet.
Valet av säkerhetsåtgärder enligt 11 och 12 §§ ska grunda sig på en riskanalys.
Analysen ska kunna användas som beslutsstöd för leverantörens prioriteringar och avvägningar mellan olika typer av säkerhetsåtgärder i förhållande till tjänstens funktionalitet, finansiella och administrativa konsekvenser samt skyddet för den personliga .
Medan OECD tycker det är integritetsfrågorna är livsviktiga för den digitala ekonomin och att integritet och informationssäkerhet tillsammans måste tjäna som en plattform för diverse positiva utvecklingsfaktorer.
The OECD focuses on the development of better policies to ensure that security and privacy foster economic and social prosperity in an open and interconnected digital Informationssäkerhet är alltså en für från totalförsvaret till den enskildes säkerhet vid e-handel.
Många organisationer får därför hantera en mycket komplex kravbild på informationssäkerhet som idag inte är samordnad.
En styrmodell för informationssäkerhet skulle fylla en väsentlig funktion genom att integrera mångfalden av delvis motstridiga krav till en helhet.
Om detta inte sker på nationell nivå tvingas varje enskild organisation försöka lösa samma frågor med varierande resultat.
Förutom ett gigantiskt resursslöseri leder det också till försämrad förmåga att samverka i den gemensamma informationshantering som idag redan är uppbyggd samt till kvalitetsproblem.
Som så ofta vill jag här peka på kommunernas prekära situation när de med små organisationer ändå förväntas klara detta.
Utanför själva styrmodellen ligger en avgörande förutsättning: den offentliga sektorns användning av olika typer av it-resurser.
Informationssäkerheten måste vara utformad så den svarar på de behov som användningen av it skapar.
De säkerhetsåtgärder som behövs är av helt olika typ beroende på om den strategiska inriktningen är att man ska fortsätta på den väg mot ”cloud first” som tidigare beslutats eller om det ska ske en återgång mot mer drift och förvaltning i egen regi.
Detta påverka även faktorer som långsiktiga behov av investeringar i teknik och kompetensförsörjning.
Men inte bara de explicita målen för it-politiken spelar roll.
Att it-politik idag fortfarande, liksom under Alliansens regeringstid, ligger kvar som en näringspolitisk fråga ger en väsentlig förklaring till avsaknaden av tydlig inriktning för offentlig sektors digitalisering.
Detta är inte bara ett signalvärde utan gör att digitaliseringen ligger utanför den övriga förvaltningspolitiken.
Mycket påtagligt präglar det den lätt förvirrade strategin för Ryggmärgsreflexen för många i säkerhetsbranschen när man talar om styrning är ”reglering”, ett kvardröjande arv från den militär-polisiära bakgrunden.
Jag tror dock att det finns stora fördelar i att försöka se på styrningen av informationssäkerhet som på styrningen av övriga områden inom staten och den offentliga sektorn.
Att begrunda hur den svenska förvaltningsstyrningen generellt är tänkt att fungera är ett fruktbart spår där lärdomar kan dras till exempel från ESV:s breda uppdrag.
Personligen menar jag att den inom informationssäkerhetsområdet kanske mest underutnyttjade men samtidigt mest effektiva styrformen är kunskapsstyrning.
Styrningen kan inte heller ske enbart från de myndigheter ”med särskilda uppgifter inom området informationssäkerhet”.
En stor del av kraven på informationssäkerhetsåtgärder genereras från annat håll och då inte enbart från dataskyddsförordningen utan en mängd lagar, avtal och överenskommelser.
Min tolkning är att den förändrade kravbilden också kommer att förskjuta styrningen mot mer proaktivitet än den i huvudsak reaktiva inriktning som hittills varit rådande där insatser som tillsyn och incidentrapportering varit prioriterade.
Som den löshäst jag numera är, utan de förpliktigande hämskor som tyvärr vidlåder den statlige tjänstepersonen idag, tänkte jag unna mig att fritt spekulera i några inlägg om förutsättningarna för en nationell styrmodell och hur den skulle kunna se ut.
Inledningsvis ska jag uppmärksamma olika aktörer inom informationssäkerhetsområdet, vad de erbjuder idag samt (något förmätet) försöka bedöma en eventuell utvecklingspotential.
Obligatoriska fält är märkta

Meny En nationell styrmodell del 1 Inläggsnavigering

Lämna ett svar

MENU MENU Postat av Postad i , , , , ← → Din e-postadress kommer inte publiceras.

På trettiotalet presenterade Erwin Schrödinger ett tankeexperiment som illustrerar en tänkt paradox där väldigt små fysikaliska partiklar kan befinna sig i ett så kallat överlagrat tillstånd.
Konsekvensen av paradoxen är att en katt i ett slutet rum tillsammans med en instabil atomkärna skulle kunna uppfattas som samtidigt död och levande.
Jag tänker inte fördjupa mig ytterligare i kvantfysiken.
Ur mitt perspektiv, som är att kontroll över informationen är centralpunkten både för informationssäkerhet och informationsförvaltning inklusive arkiv, finns det allt fler tillfällen då det är rimligt att använda tankeexperimentet som metafor och prata om Schrödingers information.
Det är innebär information som både finns och inte finns på samma gång, något som är negativt för den som vill ha kontroll över sin information.
Låt mig ta några exempel.
Det första exemplet är kanske det mest uppenbara och gäller formatet.
Trots att jag är mycket pro-digitalisering så får ändå pappret och dess föregångare pergament m.m.
sägas ha den stora fördelen att informationen som haft papper som bärare har varit möjlig att ta del av över seklerna.
I och med att bärarna blivit digitala sluts cirkeln på sätt och vis då information precis som i gamla glömda teckenformer blir omöjlig att ta del av även om den faktiskt finns.
Jag tänker då på den information som finns lagrat på medier och i format som inte längre går att läsa.
Diskar som står och dammar, format som ligger som bilagor till mail, gamla applikationer som inte migrerats med till nutiden– oräkneliga exempel kan göras.
Trots att de inte kan läsas ligger de kvar för ingen riktigt förmår att ta ställning och hålla i yxan.
Oförmågan att ta tag i yxan och faktiskt gallra är mitt andra exempel.
Gallring har kallats arkivariens svåraste uppgift men jag ska inte här gå in på den i och för sig mycket väsentliga frågan om vad som ska gallras utan själva gallringsrutinen.
Förutsättningen i myndigheter är att allmänna handlingar (vilket generellt är merparten av den information som myndigheten hanterar) ska bevaras.
Undantaget är när ett gallringsbeslut fattats som kan göras av ett antal skäl vilket beskrivs i en av Riksarkivets få vägledande skrifter: Vanligen syftar gallring till att myndighetens arkiv inte skall tyngas av allmänna handlingar som saknar påtagligt informationsvärde, allmänna handlingar som motsvaras av annan dokumentation i det egna arkivet eller andras arkiv, eller allmänna handlingar som har ett informationsvärde som är starkt begränsat i tiden.
I fråga om personuppgifter kan gallring ibland syfta till att skydda enskildas personliga integritet.
Rent ekonomiska bedömningar kan också ges mycket stor vikt, t ex när man har serier med få intressanta uppgifter i relation till .
Det som är själva poängen med gallringsbeslutet är att handlingarna sedan verkligen också förstörs.
Ett gallringsbeslut är inte ett förslag utan handlingarna ska faktiskt som Riksarkivet skriver ske utan dröjsmål när gallringsfristen har löpt ut eller gallringstidpunkten har uppnåtts.
Detta efterlevs inte alltid.
Ibland kan gallringsbeslut vara formulerade som att handlingar ”får” gallras vid en viss tidpunkt vilket kan ge intryck av att alternativet att handlingarna bevaras också finns.
Inte sällan har jag i kommuner, landstings och myndigheters bestånd påträffat information som borde varit gallrad och därmed, sett till de fattade besluten, inte finns.
Detta skapar naturligtvis en stor potentiell brist på rättssäkerhet för den enskilde där myndighetsbeslut säger att exempelvis en information rörande den enskilde inte finns men det sedan visar sig att den ändå gör det.
Det rimmar också mycket illa med dataskyddsförordningen och ger dessutom ett intryck av att kommunen/myndigheten har en dålig ordning där man inte efterlever fattade beslut.
Och hur skyddas en information som både finns och inte finns?
Ytterligare ett exempel som jag stött på är hanteringen av loggar.
Loggar bör av integritetsskäl i de flesta fall gallras efter kort tid, default 3 månader om inte något annat framkommit vid informationsklassning, och då verkligen tas bort.
I många verksamheter separeras dock inte loggarna från verksamhetsinformationen utan följer med i den allmänna back upen vilket gör att de ligger kvar år efter år.
Integritetskänslig information från tjänster och passersystem som följer den anställdes alla aktiviteter på jobbet kan finnas kvar trots att många arbetsgivare har loggpolicys som säger något helt annat.
Och för en myndighet blir det naturligtvis prekärt om loggarna begärs ut som allmän handling och man då måste ta ställning till om de finns eller inte finns trots att de rent faktiskt finns.
Det mest övergripande exemplet som jag redan tidigare varit inne på i en är all den information som finns i en myndighet och som bedömts inte vara allmänna handlingar.
Denna andel av den totala informationshanteringen ser jag som i stark tillväxt på gemensamma file servers, i olika egeninitierade molntjänst typ Dropbox och alla möjliga andra former.
Informationen fångas inte upp i dokumenthanteringsplaner eller andra verktyg men finns likaväl.
Jag har inga patentlösningar på hur de här olika situationerna ska hanteras.
Min spaning är helt enkelt bara att det är viktigt att vi inte har information som liknar katten i Schrödingers tankeexperiment.

Meny Arkivfrågor Inläggsnavigering

MENU MENU Postat av Postad i , , Tagged , , , → Sök efter:

1910 blev Karlstads lasarett det andra i Sverige som blev s.k.
delat lasarett (efter Falun).
Att ett lasarett blev delat betydde att det fanns både en medicinsk och en kirurgisk verksamhet.
I korthet var detta första steget på den snabba utveckling pådriven av en framgångsrik forskning där ögon, öron, ortopedi, röntgen, BB, barn, gynekologi o.s.v, o.s.v.
, blev egna specialiteter och subspecialiteter i ett allt finmaskigare nät.
Till detta kommer allmänmedicin och annan öppenvårdsverksamhet för att inte glömma psykiatrin i olika former.
Alla dessa med tiden hundratals olika kompetensområden måste organiseras i avdelningar, kliniker, mottagningar m.m.
för att få bästa möjliga vård för patienten till en för samhället rimlig kostnad.
Det räcker dock inte med att organisera vårdens olika verksamhet i förhållande till varandra utan vården måste styckevis och delt även passas in i samhällets generella styrning som i sin tur består av förvaltning respektive den politiska styrningen.
För Sveriges del har det i huvudsak inneburit inpassning i kommun, landsting/region och stat eftersom vården varit offentligt finansierad (även detta i huvudsak) sedan lång tid tillbaka.
Historiskt har vårdverksamheten i delar vandrat mellan huvudmännen.
Att allmänmedicin och psykiatri var ett statligt ansvar fram till 1960-talet och äldrevård en landstingsangelägenhet fram till ÄDEL-reformen då den överfördes till primärkommunerna är bara två exempel.
Vad jag vill säga med denna skamligt korta sammanfattning är att sjukvård är EXTREMT svårt att styra med en fullständigt oöverblickbar komplexitet i tre dimensioner: den interna styrningen av vårdarbetet och förvaltningsstyrningen samt den politiska styrningen.
Fram till 1970-talet var inriktningen för att hantera denna komplexitet bland annat att försöka skapa mer enhetliga huvudmannaskap vilket var en av orsakerna till att exempelvis allmänmedicin och psykiatri överfördes till landstingen från staten.
Denna trend avlöstes av den glada NPM-eran när styrningen av offentlig verksamhet fragmentiserades bland annat för att underlätta för privata alternativ.
Det var då äldreomsorgen och den social omsorgen fördes till den kommunala sektorn vilket bland annat har lett till bollandet av gamla multisjuka mellan två huvudmän – något vi sett de avskräckande konsekvenserna av nu efter covid-19.
Det är ett ganska väl beforskat hur organisatorisk komplexitet leder till det som slarvigt brukar kallas byråkrati men som jag hellre skulle benämna administration som inte är direkt kopplad till kärnverksamhetens uppgifter.
Ju större antal aktörer som ska förmås att röra sig i samma riktning eller åtminstone samspela, desto fler samordnade aktiviteter krävs för att hålla ihop helheten.
Det blir strategier, policies, planer, möten, kontroller och rapporteringar i olika riktningar.
Genom privatiseringen av offentlig verksamhet har dessutom ytterligare behov av upphandlingar, kravställningar, regelverk, beställningar och uppföljningar tillkommit.
Detta skapar kohorter av nya typer av administratörer, alltså inte den gamla typen som skötte budget, bokföring och löneutbetalningar.
Istället har kvalitetsutvecklare, upphandlingsspecialister, digitaliseringsstrateger, e-hälsosamordnare och (visst, jag kackar i eget bo) informationssäkerhetsansvariga tillkommit.
Och så naturligtvis kommunikatörer, kommunikatörer och åter kommunikatörer.
Utan jämförelser i övrigt kommer jag osökt att tänka på den här gamla klassiska bilden där jag föreställer mig vårdpersonalen dignar under hela lasset av administration upp till sjukvårdspolitiker och vårdbolagschefer.
Det är med detta i bakhuvudet jag läser i DN som drar en lans för förstatligande av sjukvården.
För mig framstår det som ett relevant förslag.
1962 gav de flesta landsting ut historiker över sina första hundra år.
Dessa historiker rymmer en fascinerande motsättning mellan beständighet och föränderlighet.
Landstingen hade funnits i respektingivande hundra år men vad ett landsting var och skulle syssla med hade ständigt förändrats under dessa är.
Vad detta lär oss är att hur samhällets basala funktioner ska organiseras ständigt måste omprövas för att institutionerna ska vara ändamålsenliga och anpassade till rådande behov.
Historiskt har detta skett kontinuerligt som jag snabbskissat ovan och det finns ingen anledning att tro att just den organisation av sjukvården har idag är den enda möjliga oavsett vad som händer i samhället i övrigt.
Själv hyser jag inte någon ohejdad tilltro till att ett förstatligande av sjukvården skulle lösa alla eller ens merparten av problem som vården har att leva med men i all enkelhet skulle åtminstone ett lager i pyramiden försvinna.
Förhoppningsvis skulle grundläggande mål som likvärdig vård vara enklare att uppnå.
En annan effekt är att den samordnade byråkratin internt mellan de idag 21 regioner skulle kunna plockas bort (även om den säkert delvis skulle komma tillbaka i en annan form).
Att inte bara DN utan även andra med viss energi börjar ifrågasätta regionernas roll väcker oro i regionsleden, inte minst hos särintressets främsta företrädare SKR vars ordförande Anders Knape som skrev ett kanske aningen sentimentalt på DN:s ledare.
Han, liksom regionala företrädare, lobbar ivrigt för att regionernas USP är den politiska styrningen av regionerna som hypotetiskt skulle göra sjukvården regionalt anpassad och därmed ”bättre”.
Med viss bombasm skriver Knape: den lokala och regionala nivåns omkring 40.000 förtroendevalda utifrån kunskap om invånarna lokalt och regionalt.
Deras kraft är oslagbar.
För den som något fördjupat sig i landstingens/regionernas historia väcker denna beskrivning antagligen skuggan av ett leende.
Inga sjukvårdsstrider har varit så infekterade som de enskilda landsting där sedan åtminstone 1920-talet omfattande manifestationer skett för att sjukstugor skulle placeras i ”rätt” samhälle eller rörande nedläggningar av sjukhus.
Knapes uttalande pekar snarare på en klassisk problemställning inom svensk sjukvård: den potentiella motsättningen mellan regional särart å ena sidan och likvärdighet nationellt å andra.
För mig framstår denna argumentationslinje också som alltmer paradoxal då SKR själva så intensivt försöker samla nationell styrning hos sig själva.
Som jag tidigare skrivit om har alltfler frågor börjat samordnas via SKR och därmed flyttats från den regionala nivån till en nationell.
Om SKR starkaste argument mot ett förstatligande är det demokratiska värde som finns i den regionala politiska styrningen verkar det ju vara att såga av sin egen viktigaste sittgren om makten förs från dessa demokratiska församlingar in i det mörker som föreningen SKR utgör.
Själv skulle jag alla dagar i veckan föredra en normal svensk myndighet framför SKR som nationellt samordnande.
Ibland dristar jag mig till och med till att tycka att det kanske är en demokratisk fördel om sjukvården lyfts bort från bypolitiken.
Knape har förstås en poäng när han lyfter fram mindre lyckade statliga experiment och då även inom digitaliseringsområdet.
Tyvärr måste jag dock säga att det är en boll som är svår att inte smasha tillbaka för den som strävar mot förstatligande av sjukvården.
INGEN fråga har engagerat SKR så mycket som digitalisering som lösning på all och jag misstänker att man har en gemensam morgonbön i SKR-palatset som går ungefär så här: Digitalisering, låt ditt namn bli helgat Låt ditt rike komma.
Ge oss i dag vårt dagliga bröd .
Och glöm våra misslyckade projekt, så som vi glömmer dem själva.
Och för oss inte in i verkligheten, utan fräls oss från ansvar.
Förlåt, det är semester… Min poäng är att trots den närmast religiösa inställning som SKR har till digitalisering i teorin så ser i praktiken digitaliseringen av den svenska sjukvården som ett härke trots de enorma resurser som tillförts.
Jag sitter mycket tungt på mina händer för att inte skriva något om den totala frånvaron av samordning av informationssäkerhet och det provocerande ointresset för integritetsfrågor där SKR knappast agerat som insiktsfull vägledare för sina medlemmar.
Om verkligheten ska användas som betygssättare för regionernas och SKR:s förmåga att skapa en nationellt sammanhållande och långsiktigt fungerande vård så ser det rätt illa ut för Knapes linje.
För att komma vidare vore det önskvärt med en hederlig gammaldags utredning som inte helt styrdes av särintressen inom vården.
Personligen lutar jag svagt åt att behovet av nationell samordning av sjukvården bäst hanteras genom ett förstatligande åtminstone av delar av vården.
Det kommer visserligen att skapa nya gränslinjer – hur ska exempelvis äldreomsorgen hanteras med större medicinsk kompetens – men jag tror verkligen det är dags att ompröva dagens situation.
Att lyckas med sitthandlar i hög grad om att kommunicera.
Att kommunicera handlar i sin tur i hög grad om att skapa förståelse och samsyn.
Detta är nödvändigt för att få människor och organisationer att agera.
Banala sanningar kan tyckas men tyvärr är dålig kommunikation en ständig ledsagare för de som arbetar med informationssäkerhet.
Själva begreppet informationssäkerhet saknar en tydlig och accepterad .
Detta leder till problem både för dem som anser sig arbeta med ”informationssäkerhet” och för dem som avser att anställa eller anlita vad de tror är en definierad kompetens.
Det blir inte enklare då man slänger in nya spännande beteckningar som ” ”.
Jag tror att det finns en olycklig tendens att de som arbetar med informationssäkerhet (i någon form) är mer intresserade av att bekräfta varandra i gruppen än att skapa en relation med omvärlden, d.v.s.
en relation byggd på ömsesidig förståelse.
Ta exemplet med titeln ”CISO” som fått en snabb spridning i svenska myndigheter inklusive regioner och kommuner.
Uttytt står CISO för vilket låter flott men titeln leder enligt min mening till mer oförståelse och förvirring än klarhet.
När informationssäkerhet i sig ännu inte är ett hushållsbegrepp så min fråga är varför man i Söpple kommun väljer att höja svårighetsnivån ytterligare och införa en titel som är helt ogenomtränglig för alla utanför skrået.Vad man chiefar över är även det höljt i dunkel.
Särskilt märkligt blir detta titulerande sett i ljuset av den svenska språklagen som uttryckligen skriver: Språket i domstolar, förvaltningsmyndigheter och andra organ som fullgör uppgifter i offentlig verksamhet är svenska.
I annan lag finns särskilda bestämmelser om rätt att använda nationella minoritetsspråk och annat nordiskt språk.
När det gäller skyldigheten för domstolar och förvaltningsmyndigheter att anlita tolk och att översätta handlingar finns det särskilda bestämmelser.
Språket i offentlig verksamhet ska vara vårdat, enkelt och begripligt.
Myndigheter har ett särskilt ansvar för att svensk terminologi inom deras olika fackområden finns tillgänglig, används och utvecklas.
Detta har alltså svenska myndigheter att följa vilket jag finner som ett rimligt krav.
Jag har funderat över varför så många väljer att bryta mot detta när det gäller CISO-begreppet, vad vill man uppnå på bekostnad av att varken den egna organisationen eller de invånare man är satt att tjäna begriper vad man sysslar med?
CISO är ju inte heller på något sätt en skyddad yrkestitel eller resultatet av en specifik utbildning utan kan stå för litet vad som helst.
Jag är den första att förespråka en klassisk professionalisering av vår yrkesgrupp, vilket jag skrivit om bland annat , men då är det helt andra och mer seriösa åtgärder som krävs än en flashig titel.
Vi borde vilja nå ut, inte spinna in oss i en allt tätare skråkokong.
Återigen; CISO-begreppet är bara ett exempel men jag tycker det är signifikativt för en attityd som jag menar är till nackdel både för professionen och för uppdragsgivare.
En episod som ofta återkommer i mitt minne är när en medarbetare för ett antal år sedan argumenterade för sin linje (som inte var min) med fritt citerat:” well, det är så vi i communitiet ser det.”.
Tyvärr fann jag mig inte tillräckligt snabbt för att fråga exakt vad ”communitiet” egentligen var och vilka som ingick i det men jag misstänker att det var någon slags informell och självutnämnd kommitté av människor som såg sig som ägare av informationssäkerhetsfrågan i Sverige.
Eftersom jag själv alltid skytt den här typen av gemenskaper är jag partisk.
Ändå vill jag säga jag uppfattar den här kårandan som ett problem som gestaltas bland annat genom lanserandet av CISO-titeln.
Istället för att rikta blicken på den egentliga målgruppen, det vill säga de som inte arbetar med informationssäkerhet, spelar vi för vårt eget galleri.
Den skapar också osunda lojalitetsband eftersom det saknas objektiva och accepterade krav på den som ska ses som en kompetent yrkesutövare.
Låt oss skingra dimman och inrikta oss på att nå ut till de som vi egentligen ska tjäna och skapa förutsättningarna för en seriös utveckling mot en profession.
Detta kan också en etablerad titel med ett tydligt kompetenskrav som på sikt till och med skulle kunna bli en skyddad.
Det är lätt att bli tidsblind men jag tror att vi även efterhand kommer att uppfatta våren 2020 som den värsta krisperioden i Sverige sedan andra världskriget.
Skadad av historiska studier är jag väl medveten om hur svårt det är att bedöma nutiden medan den pågår men har ändå blivit fascinerad av hur den nationella beredskapen fungerar när det som alla pratar om men ingen sett inträffar.
Det vill säga den stora samhällskrisen.
En termometer på hur väl det svenska krissystemet mår är den centrala myndigheten för dessa frågor Myndigheten för samhällsskydd och beredskap, MSB.
Jag hade egentligen, efter att ha studerat ett ganska stort antal allmänna handlingar, tänkt skriva om hur myndigheten hanterat det beryktade enkätverktyget.
Det är i sig en intressant historia som i delar redan skildrats av flera medier, kanske mest heltäckande av Arbetaren bland annat .
När man läser handlingarna är det så många överraskande steg allt sedan regeringen den 19 mars ger MSB ett uppdrag (Ju2020/01165/SSK) : Regeringen uppdrar åt Myndigheten för samhällsskydd och beredskap (MSB) att säkerställa att myndigheternas information med anledning av utbrottet av det nya coronaviruset är samordnad och tydlig samt att det finns effektiva kanaler för att föra ut informationen.
I uppdraget ingår att skyndsamt utarbeta ett nationellt informationsmaterial som på ett effektivt sätt ska kommuniceras till så många som möjligt.
MSB får 75 miljoner (!)
för att genomföra uppdraget under 2020, ett uppdrag som till synes inte på något sätt innehåller smittspårning eller insamlande av uppgifter.
Kanske är det de 75 miljonerna som snedvrider uppdraget från början, kanske lockar de 75 miljonerna till sig aktörer som ger myndigheten tips om vad de skulle kunna hitta på för att sätta sprätt på pengarna.
I vilket fall så är det inte MSB:s professionella kommunikatörer som får lead i detta jättelika kommunikationsuppdrag utan Avdelningen för cybersäkerhet och säkra kommunikationer.
Det formella beslutet på denna interna delning kommer den 26 mars, dagen efter att MSB bjudit in Folkhälsomyndigheten till ett möte där den förra myndigheten erbjuder den senare ett digitalt verktyg, allt enligt minnesanteckning från mötet: Kort möte med GD Folkhälsomyndigheten (FHM) sen em 25/3.
MSB tar upp initiativ kring digitalt verktyg för digital självskattning.
GD FHM positiv, betonar att ett sådant här verktyg inte ska driva fysisk testning i fel riktning.
Viktigt att anpassa svar på självskattning så respondenten inte förväntar sig att bara för att man gör digitalt test så får man fysiskt test.
Vad som händer under veckan där MSB:s samordningsuppdrag för myndigheters kommunikation angående corona övergår till att handla om ett digitalt verktyg för självskattning av smitta är för mig okänt men det är uppenbart att det är MSB som vill ha verktyget.
Litet småaktigt vill jag poängtera det eftersom jag själv blivit åthutad på sociala medier av en i utvecklingsarbetet involverad konsult när jag hävdade att det var så det låg till.
Några dagar efter åthutningen gick MSB officiellt ut och sa att det var på deras initiativ som verktyget .
Note to self som konsult: undvik att agera som dina kunders talesperson om du inte formellt blivit ombedd.
Enligt den juridiska utredning som MSB låter en extern byrå genomföra framgår det att det inte ingår i MSB:s uppdrag att bedriva smittspårning.
Därför måste man ha med sig expertmyndigheten FHM för att kunna genomföra projektet med digital självskattning.
Redan här går det se de problem som snart kommer att göra att projektet blir en återvändsgränd.
Rollen som samordnande myndighet kräver respekt för olika aktörers uppdrag och mandat och detta särskilt i trängda lägen, inte att man försöker ta över andra myndigheters uppgifter.
Sedan följer en närmast smärtsam historia fram till slutlig nedläggning via ett antal anhalter där det blir allt tydligare att ingen utom MSB (och leverantör samt konsulter) är intresserade av verktyget.
Kontentan blir x antal miljoner i sjön (konsultkostnaderna är inte medräknade i de 6,4 miljoner som MSB ska betala till leverantören), en granskning av Konkurrensverket och ett rejält tapp i anseende när MSB som bäst skulle behöva det.
Sannolikt har MSB tappat i förmåga att genomföra det egentliga uppdraget från regeringen: att samordna myndigheters information angående corona vilket knappast kan glädja uppdragsgivaren.
Det går att föreställa sig mindre trivsamma samtal på regeringskansliet.
Som en slutkommentar till Arbetaren säger MSB:s pressekreterare: Vi tar hellre kritik för att vi skyndar på att ta fram en lösning som på något sätt kan vara till hjälp när människor dör, än att få kritik för att vi sitter på händerna och inte gör något.
Vi ansåg att vi var, och är, i ett läge där det var viktigt att agera när det handlar om människoliv.
MSB reagerar alltså exakt på det sätt som jag skrivit om i ett tidigare , att göra NÅGOT känns alltid bättre även om detta något är inte leder framåt eller förbättrar situationen.
I krissituation är det viktiga tillit och att alla vet vem som ska göra vad.
I bakhuvudet gnager en liten olustig känsla av att myndigheten kan ha reagerat på yttre påverkan vilket lett fram till haveriet.
Det är lätt att glömma bort att de vanligaste påverkanskampanjerna är de ekonomiska.
Det skulle vara lätt att göra sig lustig över denna tragikomiska historia.
Det är inte min intention.
Istället får den mig, liksom många andra i dessa dagar, att reflektera över den svenska beredskapen och myndigheters förmåga.
Framförallt funderar jag på hur MSB (och andra myndigheter) förefaller så synnerligen oförberedda på en pandemi att man är tvungen att kasta sig in i så äventyrliga och ofruktbara aktiviteter som webenkäten.
Pandemi är verkligen inte en svart svan i ett riskperspektiv utan snarare vad Michele Wucker kallar en ”grå noshörning”: A “gray rhino” is a highly probable, high impact yet neglected threat: kin to both the elephant in the room and the improbable and unforeseeable black swan.
Pandemier har redan inträffat och har varit på MSB:s short list över samhällsrisker ända sedan myndigheten startade.
Ändå tycks inte nödvändiga förberedelser för samordning i en pandemisituation ha gjorts.
Detta ska inte MSB lastas för utan snarare de regeringar som styrt under perioden.
Kanske måste djurmetaforerna gå vidare till svarta strutsar (ja, jag vet att det inte är så i verkligheten att strutsar gräver ner huvudet vid annalkande fara men det är en bra metafor).
Nu pratas det i alla politiska läger om vikten av att förbättra den civila beredskapen och kanske till och med snegla tillbaka till beredskapens guldålder i Sverige: .
Problemet med detta är att det innebär att ett antal av dagens heliga kor måste slaktas om det ska fungera.
Det är inte bara mycket stora ekonomiska resurser som behövs.
Vi har under närmare 40 år demonterat den starka staten som är en förutsättning för en sammanhållen nationell beredskap och istället privatiserat och fragmentiserat ansvaret utan tanke på hur alla skärvor ska kunna skapa en helhet då det behövs.
Typexemplet på detta är ansvarsprincipen som inte är inskriven i någon lag men som har haft en förödande inverkan på den gemensamma styrningen av krisberedskapen.
Fragmentiseringen har inte kompenserats med en stark myndighet som nationellt nav.
MSB:s roll är istället att försöka samordna utan sammanhållen nationell planering och i stort utan mandat att faktiskt styra samhällsviktiga aktörer.
Fallet med webenkäten får tolkas som ett utslag av MSB:s omöjliga roll och borde vara ett exempel av många som bör leda till att ansvarsprincipen omprövas och att en verklig krisberedskapsmyndighet med fullt mandat skapas.
Lämnade idag följande remissvar angående arkivutredningen.
Arkivutredningen fick i uppdrag att göra en bred översyn av arkivområdet i Sverige.
Jag menar att utredningen inte lyckats formulera de strategiska frågor som är av verklig betydelse för att arkivväsendet ska kunna uppfylla sin viktiga samhällsfunktion, än mindre kommit med lösningar på dessa frågor.
Istället har man fastnat i detaljer och frågor av mindre betydelse.
Genomgående har det som kan sammanfattas som ”kulturarvsperspektivet” få styra utredningens inriktning och prioriteringar.
Det gör att de mycket komplexa frågor som samhällets informationshantering brottas med i huvudsak lämnas utan behandling.
Några av de frågor som jag menar är av essentiella för att information av vikt ska kunna säkras för framtiden och som utredningen utelämnar i sin rapport är följande.
Det finns i idag ingen plan för hur all den information som skapas idag ska bevaras med kvalitet, säkerhet och autenticitet för framtiden.
Detta är kärnan i all arkivverksamhet.
När vi nu har en exponentiell tillväxt av information saknas organisatoriska, metodmässiga och tekniska lösningar för det långsiktiga bevarandet.
Likaså saknas aktuell vägledning för hur gallring ska kunna genomföras i de enorma informationsmängder som skapas.
De senast tillkomna generella vägledningar rörande gallring togs fram av Riksarkivet under senare hälften av 1990-talet, d.v.s.
för snart ett kvarts sekel sedan.
Istället för varaktiga lösningar har spridda experiment med så kallade e-arkiv skett i olika regi som exempelvis Statens servicecenters upprepade misslyckande med en e-arkivtjänst.
Dessa lösningar är dock bara mellanarkiv – hur det slutgiltiga omhändertagandet av den digitala informationen är fortfarande höljt i dunkel.
Denna fråga borde ha varit centrum i utredning som har till uppdrag att göra en översyn av arkivverksamheten.
Ända fram till 1990-talet föreföll det fortfarande relevant att utgå från att varje myndighet kan ha i uppdrag att kontrollera den information man själv upprättar samt den information som inkommer till myndigheten.
Detta är idag ett betraktelsesätt som ligger långt ifrån den verklighet som snarare består av en snabbt sammanväxande nationell (och delvis internationell) informationsinfrastruktur.
Offentliga och privata aktörer ingår i processer information utbyts, förädlas, aggregeras och ackumuleras i snabb takt.
Svåra frågor som hur information ska kunna reproduceras från olika källor på ett säkert sätt över tid berörs inte av utredningen.
Inte heller hur ansvarsfördelningen i denna gemensamma infrastruktur ska fördelas röner intresse hos utredningen.
Vad som ska utgöra allmänna handlingar i den enskilda myndighetens arkiv liksom vem som ska ses som arkivbildare i denna helhet finns det idag inga officiella verktyg för att avgöra.
Även detta hade varit en central fråga att peka på för utredningen.
Arkivlagen gör en sammankoppling mellan allmänna handlingar och arkiv: Tyvärr gör denna sammankoppling att då en allt mindre andel av en myndighets handlingar ses som allmänna handlingar, vilket är negativt i sig, kommer även andelen information som ska bedömas ur arkivperspektivet att minska.
Vad denna utveckling innebär för framtidens möjlighet för bland annat forskning tas inte upp utredningen.
Ej heller hur detta påverkar den svenska demokratin där en mer extensiv tillämpning av vad som ska utgöra allmänna handlingar skulle kunna förbättra insyn och delaktighet.
Av särskilt intresse är de verksamheter som tidigare varit offentliga men som privatiserats och där det inte längre finns allmänna handlingar som ger insyn eller möjlighet till forskning.
Här finns privata företag men även intresseorganisationer som SKR som med offentliga medel skapar information med stor betydelse för samhället men som samhället saknar kontroll över.
I informationssamhället är av naturliga skäl information den viktigaste resursen.
Den information som skapas av myndigheter inklusive kommuner och regioner är därför begärlig inte bara inom myndighetssfären och inte bara för forskning utan även för nationella och internationella företag.
Detta har uppmärksammats vad gäller personuppgifter och alldeles särskilt för personuppgifter inom hälso- och sjukvård som är det nya guldet för många multinationella företag.
Hur svenska myndigheter ska förhålla sig till detta utan att t.ex.
äventyra personlig integritet eller riskera att snedvrida verksamheten för att producera information kommenteras inte av utredningen.
Lika litet berörs hur arkivväsendet ska förhålla sig till långsiktigt enormt värdefulla vårdsystemen och hur de ska bevaras för framtiden.
Riksarkivet har uttryckt att de anser att myndigheten ska får peka ut ”samhällsviktig” information oavsett arkivbildare.
Jag menar att det snarare behövs en analys av informationens betydelse som samhällsresurs för att först därefter kan bli möjlighet att besluta om hur prioritering och omhändertagande ska ske.
Utredningen uppmärksammar inte den nära relation arkivområdet har till områden som informationssäkerhet och dataskydd samt generell informationshantering.
Möjligen har det dominerande kulturarvsperspektivet gjort utredningen blind för de aktuella utmaningar som kräver samverkan mellan dessa områden.
Ett förslag är att snarast ta fram en strategi för svensk arkivverksamhet som behandlar ovanstående frågor.
Strategin bör bygga på en utredning som förutsättningslöst går igenom: möjligheter för att långsiktigt kunna bevara och tillhandahålla för samhället relevant information i autentisk form.
I detta ligger även att analysera intressenter och på vilket sätt de ska få tillgång till information alternativt påverka vilken information som ska tas fram/bevaras.
Utan närmare analys går att säga att hela andra resurser än nuvarande kommer att behövas för att ta hand om informationen.
Hur en hållbar finansiering på tillräcklig nivå ska ske är även det en fråga som bör utredas innan en strategi tas fram.
Fia Ewald En gång arkivarie, alltid arkivarie Kriser har den fördelen att de oftast tar slut.
Att framgångsrikt hantera kriser bygger därför på att man inte bara hanterar nuet utan även framtiden.
Folkhälsomyndigheten har varit beundransvärda i att de lyckats hålla blicken uppe och fått allt fler att förstå att bekämpningen av coronaviruset inte bara handlar om drastiska åtgärder här och nu utan att vi både måste tänka på nästa virusvåg som kanske kommer redan i höst.
Ett annat budskap är att vad som ska värnas är folkhälsa där virusbekämpningen inte får överskuggande sekundäreffekter som i skapar större ohälsa och död än själva viruset.
Däremot når nu MSB:s insatser en sådan nivå att de t.o.m.
får vara med i satirinslaget i P1, en ynnest som är få myndigheter förunnad.
Inslaget handlar förstås om den famösa enkätappen som jag omnämnde i mitt förra och som nu även tagits upp i MSB har hintat om lanseringen av appen med en näraliggande men okänd startpunkt.
Tyvärr har myndigheten inte någon kommunikationslinje i frågan, vid konkreta frågor som i Eko-inslaget kommer endast undflyende svar.
Jag kan förstå det.
Det är svårt att sälja in en lagring av personuppgifter på befolkningsnivå i en amerikansk molntjänst.
Eftersom jag själv varit engagerad i svagheterna i projektet Hälsa för mig så har jag svårt att känna stark tilltro till att det snabbt går att vispa ihop en dylik tjänst med tillräcklig säkerhet och med tillräcklig respekt för dataskyddsförordningen.
Det är ju liksom ingen slump att eSam gjort ett om det olämpliga i att använda molntjänster när personuppgifter eller annan känslig information förekommer.
Vid sidan om själva enkätappen är MSB:s kommunikation den lika märklig.
Grunden för fungerande kriskommunikation är att inte skapa mer oro än nödvändigt utan delge de fakta som finns och som är relevanta i den aktuella situationen.
MSB har nu haft några olyckliga veckor trots att de ska vara samhällets experter på kriskommunikation.
Kanske tröttnade man att vara transportsträckan i dagliga presskonferensen på Folkhälsomyndigheten och att det var orsaken till att man helt plötsligt spicade upp sin monotona redogörelse om samordningsmöten med länsstyrelserna med att föranstalta en möjlig vattenbrist.
En signal som ledde till att redan hårt tyngda kommuner fick svara på helt irrelevanta frågor om icke-existerande vattenbrister från oroliga medborgare och medier.
Sedan detta smyglanserande av enkätappen som skapar frågor som inte besvaras utan skjuts till en obestämd framtid.
Detta leder inte till en större tillit i krisen.
Någon skulle kunna invända att nu när vi står inför en så stor kris som denna blir frågor som säkerhet och integritet underordnade.
Jag håller inte med om detta utan som jag skrev i mitt tidigare inlägg så är det när vi är som mest pressade som vi måste försöka tänka klart och följa de rutiner vi satt i normalläget, t.ex.
gällande riskbedömningar.
Vi ser nu hur det runt om i världen sker överträdelser mot grundläggande rättigheter och att auktoritära medel som inkräktar på individens sfär alltför villigt vidtas.
I Sverige har vi en lång stabil tradition av tillit och respekt men det finns ingen garanti att vi klarar att bevara detta.
Att myndigheterna sköter sig, inte genar eller agerar impulsivt är också grunden för den tillit som krävs för krisbekämpningen – inklusive att genomföra smittspårning m.m.
Efterklokt skulle man möjligen kunna kritisera myndigheterna för att de inte tagit fram ett smittspårningsverktyg i mellantiden sedan svininfluensan för ett decennium sedan utan börja ad hoca nu för då skulle säkerhetsfrågorna sannolikt kunnat hanteras på ett systematiskt sätt men det båtar föga.
Naturligtvis skulle man kunna säga att det är dumt att spekulera när så litet är känt och allt det jag skriver nu står på en mycket vacklande grund.
Ändå är detta en så viktig fråga att det är svårt att låta bli och spekulationernas kvalitet blir även den ett resultat av MSB:s kommunikationsplan.
För mig är det svårt att förstå hur en kombination av inloggning med BankID, amerikansk molntjänst och och känsliga personuppgifter inte skulle leda till mycket stora risker och att dataskyddsförordningen inte kan efterlevas.
MSB:s gedigna juridiska kompetens har möjligen gjort en annan bedömning men det är just den man skulle vilja ta del av, särskilt som den rimligen redan är färdigställd om breddlanseringen ska ske i dagarna.
Med den som underlag skulle kriskommunikationen kunna ske utan att orimliga spekulationer och onödig oro uppstår.
Mitt förslag är att, särskilt efter medieuppmärksamheten, MSB omedelbart presenterar den som är av stort intresse särskilt för oss som följt diskussionerna efter eSams uttalande.
Har MSB lyckats knäcka den nöten så är det stora nyheter för både Eller så har jag och en hel del andra missuppfattat upplägget (inte alls otroligt) och då vore det ju bra om MSB gick ut och beskrev hur det egentligen ser ut.
Är det så att MSB inte har ett vattentätt underlag så kommer man att underminera det mycket mödosamma arbete som bedrivs i många, om inte de flesta, organisationer, idag för att nå fram till ett ansvarsfull sätt att hantera molntjänster.
Detta menar jag vore förödande för MSB som den myndighet som ska samordna samhälletsslarvar med säkerheten.
Det skulle leda till att det svenska samhället skulle få ännu svårare att bemästra de mycket utmanande uppgifter vi redan står inför.
MSB:s egen verksamhet är ett show room för hur det är tänkt att andra myndigheter ska agera och förutom legitimitet finns det också mycket reell säkerhet att förlora om inte MSB klarar sin roll att leda genom sitt exempel.
MSB:s skrift Om krisen eller kriget kommer har en aningen märklig titel som om det finns ett krisfritt alternativ.
Jag tror både myndigheten och vi andra skulle tjäna på att ”när” snarare än om, i alla fall när det gäller kriser.
När krisen verkligen kommer skapas ett skilje där organisationer och individer ofrivilligt visar sitt virke, om man klarar att fungera rationellt även under press.
Planering för vad som ska göras när allt står på ända är ett bra sätt att stärka sitt virke.
Så än mer att kunna upprätthålla sina principer och sin planering när krisen väl inträffar.
Länge fanns en syn att säkerhet var ett hinder för en fungerande verksamhet.
Långsamt har vi tagit oss till en situation där allt fler ser att säkerhet inte är hinder för verksamheten utan en förutsättning, och då alldeles särskilt i svåra situationer.
Vi kan inte gå tillbaka till ett antingen det ena eller det andra, vi måste fortsätta kämpa för både effektivitet och säkerhet.
Det är bra om MSB befinner sig på rätt sida i det arbetet så att inte nya stora problem har skapats som ger utslag när krisen väl är över.
Jag kommer nu att ikläda mig rollen av glädjedödare i dessa ändå så svåra tider – jag ber om ursäkt för det.
Under de senaste veckorna i coronans tid så blommar olika personligheter och mänskliga beteenden för att hantera kriser ut.
I denna vilda blandning av känslor och rationalitet är det inte lätt att urskilja vad som är vad.
Jag tänker nu oftare än vanligt på hur viktigt individens men också organisationens sätt att agera varit i de mer kritiska situationer jag varit inblandad i och vem jag skulle vilja ha vid min sida i en verkligt akut situation.
Att inte låta känslorna styra i en krissituation kan nog alla hålla med om i teorin.
Vi vet att stress försämrar vår tankeförmåga och att det därför i krissituationer är lätt att tillgripa helt fel lösningar eller missa uppenbara svagheter i handlingsalternativen.
Likaså är historien rik på exempel där boten varit värre än soten, d.v.s.
att de åtgärder man vidtagit för att hantera ett akut problem på kort eller lång sikt lett till värre konsekvenser än det ursprungliga problemet kunnat orsaka.
En illustration på detta är agapaddan som trettiotalet importerades till Australien från Hawaii som ett slags biologiskt bekämpningsmedel av en skalbagge som hotade sockerbetsodlingar.
Nu finns det över 100 miljoner av den giftiga paddan som hotar djur- och växtlivet på hela kontinenten.
Detta försvåras av att de sekundära problemen kanske uppstår inom ett helt annat område än där den ursprungliga krisen rör sig.
De som arbetar med krishanteringen kan därmed inte överblicka de möjliga sekundära konsekvenserna eftersom man kanske inte ens har rätt kompetens för att upptäcka dem.
Jag ska inte här gå in på det utslitna filosofiska järnvägsproblemet där olika liv ställs mot varandra utan nöjer mig med att säga att ALLA mår bra av att läsa filosofi och dessutom tänka några extra varv.
När vi blir utsatta för en pressande situation får många individer och organisationer ett starkt behov av att agera.
Att agera är ångestdämpande i sig för det ger känslan av att påverka hotet oavsett effekten av åtgärderna.
Just här menar jag att det just nu finns ett riskabel situation när både individer och myndigheter i positiv anda försöker bekämpa coronan eftersom man i vissa fall tycks släppa sitt ordinarie säkerhetstänkande (vilket väl i ärlighetens namn inte är på toppnivå ens i normalläget).
Samma sak med integritet och skyddet av personuppgifter.
De nya och provisoriska arbetssätten leder till nya risker som måste fångas upp och reduceras.
Anekdoter om hur man helt plötsligt fått oväntat besök i sitt Teams- eller Zoom-möte florerar utan att det observeras som ett säkerhetsproblem.
Okritiska reportage om hur kreativa elever fått skolor att börja använda (!)
i skolans uppgifter.
Entreprenörer som flashar om att de håller på att utveckla appar för smittspårning.
Säkerhet och integritet nämns ytterst sällan och då bara i formuleringar som ”liv går före allt” vilket implicit tycks betyda ”vi struntar i informationssäkerhet och integritet”.
Extra betänksam blir jag av att många tycks inspirerade av Kinas övervakningsmetoder och i denna uppskruvade anda inte tycks se vad de kostar.
När det i fredags kom ett kort meddelande på Ekot att MSB håller på att ta fram någon form av app för smittspårning åt FHM men inte vill kommentera hur den ska utformas undrar jag hur genomtänkt den lösningen egentligen är (särskilt ironiskt med tanke på att MSB varit en bastion spårbarhet som säkerhetsdimension).
Eller är detta myndigheter som drabbats av ett akut behov av att se verksamma ut och därför är beredda att hoppa över säkerhetsskacklarna?
Det är svårt att se hur en sådan lösning skulle kunna tas fram med tillräcklig legal och säkerhetsmässig analys på så kort tid.
När jag pratar om vikten av säkerhet avser jag inte enbart konfidentialitet.
Om man ska skapa olika rapporteringstjänster måste även behovet av riktighet, spårbarhet och tillgänglighet bedömas – annars riskerar man faktiskt att få lösningar där boten är värre än soten.
En lösning för akut rapportering som bygger på sms (förekommer faktiskt) leder till falsk trygghet och att nödvändiga åtgärder kanske inte sätts in för att ta ett enkelt exempel.
Det är just i krissituationer som det systematiskat prövas.
Det är nu som informationsklassningar och riskanalyser har som störst betydelse för att medvetna risker ska kunna tas av den som är riskägare.
Jag vill inte att all kreativitet och god vilja ska kväsas men vi måste arbeta på ett sätt som inte leder till större skador på sikt.
Även om det är kontraintuitivt så måste medvetna bedömningar göras av risker och lagstiftning respekteras.
Appar som används för rapportering av symptom för diagnos är exempelvis medicinsk-teknisk utrustning och måste uppfylla kraven på sådan.
Vi kan inte ge oss hän åt våra känslor utan måste låta systematiken ge oss tillgång till rationaliteten.
Extra illa om en myndighet som MSB signalerar att säkerhet skulle vara av underordnad betydelse i krislägen.
Det är nu vi som mest behöver vårt förnuft och då är det inte alltid bäst att göra ”något” utan vi måste göra så rätt som möjligt.
Jag blev ombedd att vara med som expert i en rörande den nu så aktuella frågan distansarbete.
Det blir ju litet fragmentariskt när man svarar på inkomna frågor så jag tänkte ta tillfället i akt och sammanställa några rekommendationer rörande distansarbete.
Den organisation som tagit fram (samt övat) en fungerande och dessutom tagit fram regler för distansarbete i normalläget har naturligtvis ett stort försprång nu.
För de som inte fokuserat på detta är det en längre väg att gå men då gäller det att man är på rätt väg innan man börjar gå.
Utgångspunkten för nedanstående rekommendationer är att det är verksamhetens processer som ska upprätthållas.
För processerna är informationen en central resurs.
Informationen och organisation i centrum alltså medan it-säkerheten blir den följd av de krav som verksamheten ställer.
Jag tar inte upp ergonomi eller vikten av gemensamma kaffestunder.
Målbilden är att kunna arbeta lika säkert på distans som på den ordinarie arbetsplatsen.
Jag ska nu framföra den något inopportuna åsikten att det dokumenteras för litet i organisationerna.
Inopportun eftersom vi fortfarande lever i en tid med oändlig övertro på fragmentiserade mätvärden, checklistor, matriser och inkodande, väl skildrat .
Huvudsak blir bisak och frågan är allt oftare för vems skull allt detta registrerande sker, kanske inte för patienten eller eleven utan för att försörja något multinationellt företags omätliga begär efter data?
Det är inte denna typ av dokumentation jag skriver om här utan snarare när matriser ersätter resonemang och utvecklade bedömningar.
För att ta informationssäkerhetsområdet som ett exempel ser jag som regel snarare än undantag informationsklassningar och riskanalyser vars värde kan ifrågasättas, särskilt i det längre perspektivet.
Det som återstår efter timmar av nedlagd arbetstid och noggrann analys är alltför ofta en matris eller ett excel-ark utan förklaringar.
Deltagare eller roller som ingått framgår inte och inte heller hur resultatet ska hanteras.
Men mest saknas på vilka grunder bedömningen gjorts.
Att arbeta på det här sättet är som att skriva i vatten.
Skrivandet, när det sker på ett beständigt sätt, är i sig ett stöd för tanken.
Medan man skriver formulerar man sina tankar, utvecklar och förtydligar, hittar svagheter, gör synteser och lägger grunden för kommunikation.
Man skapar förutsättningar för en diskussion som vaskar fram de bästa praktiska lösningarna.
Både informationsklassningar och riskanalyser ska naturligtvis ske återkommande.
En väl dokumenterad tidigare klassning eller riskanalys är ovärderligt stöd då proceduren ska upprepas.
Istället för att börja från noll kan man gå igenom vilka faktorer som kvarstår eller ändrats, om man fått fördjupad kunskap som påverkar bedömningarna, om åtgärder vidtagits som påverkar risken eller om lagstiftning tillkommit för att ta några exempel.
Utan bra dokumentation kommer inte ens de som deltagit i den förra övningen hur diskussionen gick, än mindre de som kommer till.
Att det organisatoriska minnet skapar effektivitet är en sak.
Ytterligare en är att dokumentationens syfte inte enbart är att kommunicera utan det är också ett sätt att aggregera kunskap inte bara i enstaka situationer utan genom att skapa ett större kunskapsunderlag som kan återanvändas i nya situationer.
Detta bör även ses som en del i organisationens generella riskarbete.
Det skrivna ordet är vår kapsel för kunskap vilket även går att översätta till mänsklighetens utveckling.
Låt mig ta ett sista argument för bättre dokumentation och organisatoriskt minne, nämligen att det är verktyg för att skapa ett sammanhang för de som arbetar i organisationen.
En fullödig dokumentation lägger fram de rationella skälen till gjorda bedömningar och motiverar i förlängningen säkerhetsåtgärder.
Detta leder till en positiv säkerhetskultur kan växa fram där det är naturligt att samtala om säkerhet och där det är tillåtet att ifrågasätta säkerhetsbedömningar.
Den som arbetar med säkerhet behöver inte känna sig pressad och defensiv när någon frågar varför ett visst tillvägagångssätt ska tillämpas eftersom det finns mer än siffra att bygga sin motiverande argumentation på.
KASAM, känslan av sammanhang, var ett begrepp som myntades av sociologen Se alltså detta inlägg som en plädering för att skriva bättre och läsa mer.
Den som känner sig osäker i sitt skrivande måste få öva, öva, öva och att skriva bra bör uppvärderas och ses som en omistlig kompetens för den som arbetar meska nu kort återkomma med en uppdatering gällande SKR och överföring av känslig information till denna intresseförening, för bakgrund se .
För att sammanfatta frågan så har SKR växt som en gökunge i den svenska förvaltningen och fått/tagit allt fler myndighetsliknande uppgifter trots att man, som SKR själva ivrigt hävdar, inte är en myndighet utan en arbetsgivare- och intresseförening.
Därav följer att SKR inte har det ansvar och den insyn som en myndighet och vi som medborgare egentligen saknar möjlighet att kontrollera och utkräva ansvar av föreningen.
SKR ligger helt enkelt utanför den styrning som den svenska förvaltningen bygger på och det är svårt att ens se vilken lagstiftning som är tillämplig.
Detta förhindrar den kritiska granskning som offentlighetsprincipen möjliggör för myndigheter även om SKR ibland försöker vilseleda genom att hävda att de handlingar som hanteras inom föreningen blir offentliga när de inkommer till medlemmarna.
Häromdagen fick jag detta l mig tillsänt där Marie Morell (m), ordförande för sjukvårdsdelegationen på SKR, hävdar just detta i en fråga som har en ekonomisk betydelse för enskilda: – Vi har kontaktat dem och skickat ut material till dem vid ett flertal tillfällen.
Det är viktigt att de skapar någon form av branschråd så att vi har en motpart att arbeta med.
Vi är en ideell förening och som sådan lyder vi inte under offentlighetsprincipen.
Men handlingarna blir offentliga så fort de inkommer till respektive region eller kommun, säger Marie Morell.
Det finns alltså ingen insyn i själva processen och som jag tidigare visat är det högst tveksamt vilka av SKR:s många ”interna” dokument som verkligen ses som inkomna till medlemmarna.
Att inte ens handlingar i beredande organ hos SKR blir allmänna handlingar hos de regioner/kommuner som har representanter i dessa organ är för mig tämligen hårresande och jag försöker förstå vem en sådan representant tror sig vara.
En privatperson som blivit invald i hembygdsföreningens styrelse (inget ont om hembygdsföreningar)?
Nu när offentlighetsprincipen är hotad från olika håll känns det extra angeläget att slå vakt av denna för Sverige (och Finland) unika medborgerliga rättighet.
I mitt framförde jag dock att det är likaledes viktigt att se vilka risker det innebär att kommunicera känslig information med en aktör där OSL inte kan tillämpas.
Grunden för att kunna skydda känslig information när den utbyts med utomstående parter är att reglera hur informationen får hanteras.
När det gäller utbyte mellan myndigheter finns denna reglering i huvudsak redan på plats genom lagstiftningen (även om jag tycker att det ofta finns anledning att förtydliga relationen myndigheter emellan).
Här intresserar jag mig inte för säkerhetsskyddsområdet utan framför allt den lagstiftning som gäller normala verksamhetsförhållande men där mycket starkt krav på konfidentialitet finns t.ex.
gällande samhällsviktig verksamhet.
Notera att det där även finns annan lagstiftning som är ytterst relevant som exempelvis Krisberedskapsförordningen.
Denna reglering saknas då information ska utbytas med privata aktörer som företag och, som i det aktuella fallet, föreningar.
Då måste menar jag ett avtal slutas som beskriver villkoren för att informationen ska kunna lämnas ut, åtgärder som ska vidtas och ansvarsförhållanden.
För att reducera att konfidentiell information kommer i orätta händer bör man även minimera informationen som utlämnas till det absolut nödvändiga samt ålägga motparten att säkerställa att endast de som verkligen behöver informationen kan ta del av den.
Enligt mitt resonemang är det alltså en självklarhet att myndigheter måste använda sekretessavtal eller motsvarande när de tänker utbyta information med företag och föreningar.
Därför frågade jag två myndigheter som på olika sätt har ett ansvar för samhällsviktig verksamhet om de slutit sekretessavtal med SKR.
Först gick frågan till MSB som ju har ett mycket omfattande ansvar i dessa frågor: Hej!
MSB har ett omfattande samarbete med SKR i olika frågor.
Vissa av dessa frågor kan vara av känslig karaktär som kommuner/regionens insatser i det civila försvaret, samhällsviktig verksamhet, informations- och cybersäkerhet osv.
I dessa frågor utbyts rimligen känslig information.
SKR är en intresseförening som inte omfattas av OSL på samma sätt som en kommun/region, ett kommunalförbund eller ett kommunalt bolag.
Jag är därför intresserad av att ta del av det samarbetsavtal med vidhängande sekretessregler eller motsvarande som utgör reglering av dessa frågor i relationen mellan SKR och MSB.
Efter tämligen lång tid och en påstötning fick jag följande svar: Jag måste först beklaga att du fått vänta på ett besked men på grund av olyckliga omständigheter har beskedet fördröjts.
Genom en sökning i vårt diarium har vi hittat två avtal med SKR: Du har rätt att begära ett skriftligt beslut som går att överklaga.
Skriv till .
För ögonblicket är jag inte så intresserad av det civila försvaret som ju knappt kommit igång så därför gick jag in på .
Det är upp till varje läsare att ta ställning men jag kan inte se att detta dokument på något sätt reglerar sekretessen i förhållande till SKR.
Detta kan synas extra anmärkningsvärt i dessa coronaapokalysens tidevarv när Socialstyrelsen sekretessbelägger information för media om vårdens p medan intresseföreningen SKR sitter med på MSB:s samordningskonferens i samma fråga.
Visserligen togs sannolikt inga känsliga frågor upp då SKR var med men det visar den vinglighet som finns då det gäller just SKR .
Jag ställde samma fråga till eHälsomyndigheten som tillsammans med bland annat SKR arbetar med den nya in (återkommer inom kort angående detta alster) och där man får gissa att det för en del diskussioner om kritiskt infrastruktur osv.
Från denna myndighet fick jag bara ett kort nej på frågan.
Detta är förstås bara två stickprov men ändå från myndigheter som är vana att hantera sekretess.
Det kan tyckas litet märkligt efter allt som hänt med Transportstyrelsen och andra incidenter där information överförts på oklara grunder.
Mitt intryck (bekräftat av ett antal tjänstepersoner på andra myndigheter) är att myndigheterna helt enkelt inte tänker på att SKR inte är en myndighet utan utgår från att föreningen är som vilken deltagare som helst i myndighetssamarbetena.
Inte heller kommuner och regioner verkar reflektera särskilt över detta utan överför utan förbehåll känslig information till det de i vissa fall verkar se som en ”överordnad” aktör.
Detta även då det gäller informationssäkerhet.
Nyligen skickades ett mail ut från SKR: Klassa 4.0 har varit efterfrågat länge och nu finns finansiering för ett projekt som inleds i nästa vecka.
Det blir flera förändringar i den nya versionen, bland annat förbättringar av befintlig funktionalitet, bland annat uppdateringar av kravkataloger som genererar uppgifter till handlingsplanen och en nödvändig översyn av upphandlingskraven.
Dessutom blir det en hel del ny funktionalitet, t.ex.
: – En ny modul för att mäta organisationens mognad, – Möjlighet till uppföljning och att ta ut nyckelvärden för organisationen och anpassat till målgrupp, – Möjlighet för SKR att ta ut nationell uppföljning på aggregerad nivå, – Stöd för CISO i det systematiska arbetet och – Modul för riskanalys.
Dessutom kommer SKR att förstärka sin organisation för att kunna avsätta mer resurser till förvaltning av Klassa.
Det kommer att öppnas en möjlighet för statliga myndigheter att använda Klassa.
Verktyget kommer dock fortsatt att ägas av SKR med kommuner och regioner som primär målgrupp.
Detta menar jag är ett projekt som bör utsättas för en mycket grundlig riskanalys!
Dessutom kan det verkligen ifrågasättas varför denna nationellt intressanta information ska ägas av en förening utan insyn och där det inte heller går att bedöma säkerhetsriskerna.
Det är dags för en mer omfattande diskussion om SKR:s roll.
Myndigheterna bör också ha en konsekvent linje i förhållande till ”förvaltningsskvadern” – antingen är man en myndighet med det fulla ansvar som en sådan har eller så få man återgå till att vara en arbetsgivarorganisation en arbetsgivarorganisation som i huvudsak ägnar sig åt sina medlemmars avtalsfrågor.
Sekretessavtal bör i dagsläget vara ett minimikrav för alla myndigheter, inklusive kommuner och regioner, som utbyter känslig information med SKR på samma sätt som man reglerar relationen med vilken privat aktör som helst.
Efter att till största delen fåfängligt tröskat runt om SKL/SKR:s (hädanefter benämner jag organisationen SKR trots att den hetat SKL) hittar jag plötsligt en från Riksrevisionen som tar upp EXAKT samma saker som jag skrivit om!
Hur har jag kunnat missa det – det var ju inte längre än sedan 2017 den skrevs?
Jag rekommenderar alla intresserade av offentlig styrning att läsa rapporten eftersom här summeras en rad väsentliga frågor.
Rapporten handlar framför allt om hälso- och sjukvård men kan även läsas som en mer generell beskrivning av hur SKR fungerar.
Som jag i tidigare inlägg försökt återge har styrningen inom den offentligt finansierade sjukvården helt förskjutits i och med att Socialstyrelsen slagits i bitar.
Den svenska förvaltningen bygger på att det finns beredande myndigheter som fungerar som ett mellanled mellan olika intressenter och regeringen.
I detta fall har denna mekanism upphört att verka och SKR har istället kunnat förhandla direkt med regeringen och i vissa fall t.o.m.
haft en dubbelroll där man kunnat ge sig själv uppdrag.
I huvudsak har det handlat om att förmedla statsbidrag som (rapportens beteckning) vilket paradoxalt gett SKR en roll de facto överordnad sina medlemmar.
Just detta har ibland framskymtat i samtal med representanter för vården, att gäller att hålla sig väl med SKR eftersom det i annat fall kan påverka den ekonomiska fördelningen.
Sant eller inte, denna roll har inte enbart varit till godo för SKR, särskilt som det inte är små summor man har fått både för att fördela till sjukvårdshuvudmännen och till sin egen organisation.
SKR:s mycket stärkta roll har flera orsaker men en viktig sådan är just de otraditionella styrmedel som regeringen under ett drygt decennium (över-?)
använt särskilt i vården där regeringen velat höja ambitionsnivån men varit delvis förhindrad att styra genom det kommunala självstyret.
Lösningen har varit olika typer av riktade bidrag och överenskommelser som SKR fått i uppdrag att förmedla: Överenskommelserna har inte ingåtts med enskilda landsting utan med SKL för samtliga landsting.
Det har praktiska orsaker.
Det var enligt dåvarande socialministern helt enkelt enklare att teckna överenskommelser med SKL än med 21 — Inom ramen för utvecklingsarbetet framkom också en del kritiska synpunkter från enskilda tjänstemän när det gäller SKL:s roll i överenskommelserna.
Ett exempel är att några tjänstemän ställde sig frågande till SKL:s kapacitet att hantera långsiktighet och mer förvaltande uppgifter i samband med överenskommelserna.
Flera pekade på att SKL i sin roll har att hantera konflikten i att vara en del i en statlig satsning och samtidigt värna medlemmarnas intressen.
Några enskilda tjänstemän tyckte att överenskommelser kan ses som ett slags symptom på att myndigheterna inte fungerar bra; att regeringen i brist på välfungerande myndigheter väljer att vända sig till SKL.
Detta har skapat det SKR som vi känner idag: Regeringen har använt sig av otraditionell styrning som i stor utsträckning involverat SKL, vilket gjort SKL till en central aktör i styrningen.
Riksrevisionens bedömning är att detta skett utan att regeringen aktivt tagit ställning till vilken roll SKL ska ha i styrningen av vården.
Att SKL fått stort inflytande kan snarare ses som ett resultat av att regeringen allt oftare valt att ingå överenskommelser som vid varje enskilt tillfälle gett SKL lite mer att säga till om.
Att SKL påverkar villkoren för kommuner och landsting är naturligt.
(min kursivering) Givet de begränsningar som finns för regeringen att direkt styra vården är det begripligt att regeringen valt att använda sig av SKL.
Mycket talar för att regeringen helt enkelt ansåg att det inte var möjligt att få samma effekt med hjälp av de statliga myndigheterna på vårdområdet.
I praktiken har det emellertid inneburit att regeringen har gett SKL en myndighetsliknande roll.
Riksrevisionen kan konstatera att det saknas normativa principer för när, och i så fall hur, regeringen kan använda icke-offentliga aktörer för att genomföra sin politik.
Det finns fördelar men också nackdelar med att använda SKL i styrningen av vården.
SKL har naturligt närmare till landstingens verksamhet och kan därmed fungera som en viktig länk mellan staten och landstingen.
Det har också framkommit att det ur regeringens perspektiv kan upplevas som en snabb och flexibel väg för att nå ut till vårdens huvudmän.
(min kursivering) Riksrevisionen noterar även att SKR fått uppdrag gällande kunskapsstyrning vilket bland annat handlar om att ta fram kunskapsunderlag på ungefär samma sätt som Socialstyrelsen: I och med att regeringen har involverat SKL i styrningen av vården har det uppstått något som kan liknas vid en konkurrenssituation mellan den centrala förvaltningsmyndigheten och huvudmännens medlemsorganisation.
Båda organisationerna arbetar med kunskapsstöd till kommuner och landsting.
Vidare arbetar både SKL och Socialstyrelsen med att ta fram kunskap om hur vården fungerar.
Socialstyrelsen arbetar alltid på uppdrag av regeringen, och SKL på uppdrag av medlemmarna.
Inom ramen för överenskommelserna agerar SKL även som genomförare av regeringens politik.
Det är svårt att dra gränsen för vad som är SKL:s respektive Socialstyrelsens roll eftersom uppgifterna överlappar varandra.
Vidare har det framkommit i våra intervjuer, även med SKL, att det är vanligt att SKL uppfattas som en myndighet.
Ett sådant kunskapsunderlag som tas upp är väntetidsdatabasen som infördes i samband med vårdgarantin: Som en följd av vårdgarantin infördes en skyldighet för landstingen att lämna uppgifter om väntetider till en nationell databas.
Regeringen har i författningar reglerat att landstingen ska lämna uppgifterna ”till den nationella väntetidsdatabas som förs av Sveriges kommuner och landsting”.
Databasen förvaltas av SKL men har finansierats av staten.
Detta udda arrangemang lyfts fram av Riksrevisionen eftersom de bara kunnat hitta ett annat liknande fall: Att databasen hanteras av en intresseorganisation är en ovanlig lösning.
Riksrevisionen har endast funnit ett delvis liknande exempel inom svensk förvaltning: ett jaktregister som tidigare fördes av Svenska Jägarförbundet, och som nu hanteras av Naturvårdsverket.
I fallet med väntetidsdatabasen tillkommer även komplikationen att staten är beställare av vård av SKR:s medlemmar – att då leverantörernas intresseorganisation kontrollerar möjligheten för beställaren att bedöma i vilken grad ”beställningen” uppförts.
(min kursivering) Att regeringen inte tagit ställning i ägarskapsfrågan innebär i praktiken att det som tagits fram på SKL stannar på SKL.
Det är Riksrevisionens uppfattning att regeringen behöver utvärdera samarbetet med SKL för att på ett principiellt plan ta ställning till formerna för samverkan.
Regeringen har en ambition att minska detaljstyrningen på vårdområdet, men utvecklingen går långsamt.
Regeringen har uttryckt att antalet överenskommelser ska minska.
Trots detta har antalet överenskommelser på vårdområdet inte förändrats, och den ordning som har uppstått där SKL har en mycket central roll i regeringens styrning av vården tycks vara svår för regeringen att ta sig ur.
Om det nära samarbetet med SKL, i form av t.ex.
överenskommelser, ska fortsätta behöver regeringen säkra tillgången till det som tas fram med statliga medel.
Det kan t.ex.
handla om att reglera insyn och förvaltning under och efter en satsning. . (min kursivering) Den omfattande styrningen genom SKL har också lett till att rollfördelningen mellan SKL och Socialstyrelsen uppfattas som otydlig.
(min kursivering) SKR har alltså suttit på dubbla stolar: dels företrätt sina medlemmars intresse, dels agerat som statens förlängda arm och att det dessutom är svårt att avgöra på vems initiativ olika aktiviteter genomförs: Det har framkommit i flera intervjuer att SKL har stor initiativmakt när det gäller statens styrning av vården.
Enligt såväl Socialstyrelsens före detta som den nuvarande generaldirektören har regeringen ett nära samarbete med SKL: ”Regeringen beslutar, men [SKL] har stor möjlighet att föreslå.
Detta bidrar också till finansiering från staten i många fall.” I intervjuer med både SKL och dåvarande socialministern har det framkommit att överenskommelser ibland uppstått på initiativ från SKL och ibland från regeringen.
SKL är involverade både i att generera ämnen för överenskommelser och innehåll, t.ex.
Men SKR har inte bara fått maktmedlet att fördela avsevärda resurser, man har även fått pengar från staten direkt till den egna organisationen.
Totalt för perioden 2009−2016 har staten utbetalt 1 078 miljoner kronor till SKL centralt för hälso- och sjukvård.
finansierat utvecklingsarbete, nationell samordning och uppföljning av landstingens arbete.131 SKL har därmed kunnat bygga upp betydande kompetens och förvaltning med hjälp av de statliga medlen.
Enligt Socialdepartementet kan SKL:s arbete konkret handla om it-stöd, metod- och implementeringsstöd, kommunikationsinsatser, resurser för samordning centralt, regionalt och lokalt etc.
Eftersom Riksrevisionen påpekar att det varit svårt att få en samlad bild av hur staten finansierar SKR:s interna verksamhet har jag inte ens gjort något försök att se vad som hänt efter 2016 men en rimlig gissning är väl att kostnaderna för staten inte på något remarkabelt sätt minskat.
Utöver detta tillkommer de medel som medlemsorganisationerna tillför.
Sammantaget kan det tyckas som SKR lever ganska gott vilket väl faktumet att man har anställda och ett kontor i Bryssel i sin kansliorganisation.
Litet spydigt så skulle man kunna tycka att SKR skulle använda sin universalmedicin ”effektivisering genom digitalisering” på sin egen organisation – kanske skulle en AI-lösning kunna framställa peppiga digitaliseringskampanjer utan mänsklig handpåläggning?
Riksrevisionen jämför i sin rapport de statliga anslagen gällande vårdområdet (för SKR tillkommer ju även andra statliga medel eftersom man inte enbart hanterar vård) och det visar ganska tydligt att SKR får ett rejält tillskott även jämfört med myndigheterna.
Relationen mellan framförallt Socialstyrelsen och SKR är komplicerad på flera sätt: I samtliga intervjuer med chefer och medarbetare på Socialstyrelsen har det framkommit att man betraktar SKL som en stark aktör.
I flera intervjuer har chefer och utredare på Socialstyrelsen beskrivit att de upplever att myndigheten urholkats eller ”hamnat i bakvattnet” i jämförelse med SKL.
Företrädare för SKL har i våra intervjuer varit noga med att betona att deras roll är att ta till vara medlemmarnas intressen och att SKL inte kan bestämma över landstingen.
Samtidigt har chefer på SKL gett uttryck för att organisationen kan och bör vara något mer än en intresseorganisation: ”Utan att vara en formell myndighet kan vi i vissa stycken ha en funktion som stödjer och utvecklar t.ex.
kunskapsstyrning genom vårt arbete.”När det gäller statens roll har företrädare för SKL uttryckt en uppfattning om att staten inte ska vara inne i det verksamhetsnära och att statens uppgift är att göra det som ”ingen annan kan”.
En sammanfattande bedömning från Riksrevisionen är: Riksrevisionens bedömning är att regeringen har låtit samarbetet med SKL − och därmed SKL:s inflytande över styrningen av vården – växa i alltför stor omfattning.
Riksrevisionen noterar att medlen till SKL ökar.
Enligt Riksrevisionens mening vore det rimligt att riksdagen informerades om omfattningen och utvecklingen av medlen till SKL.
Anledningen är att de medel som tilldelats SKL centralt är i nivå med förvaltningsanslagen på vårdområdet som riksdagen beslutar om samtidigt som SKL är en intresseorganisation.
Det är Riksrevisionens uppfattning att regeringen behöver utvärdera samarbetet med SKL för att på ett principiellt plan ta ställning till formerna för samverkan.
Detta var skrivet 2017 och tyvärr har regeringen hittills inte, vad jag kan se, följt Riksrevisionen när man säger att regeringen behöver bland annat utvärdera samarbetet med SKR och reglera insyn, förvaltning och ägande när SKR används.
Det otydliga samarbetet mellan staten och SKR är inte isolerat till vårdområdet.
De negativa konsekvenserna av att använda en intresseorganisation för myndighetsuppdrag gäller inte heller bara bortfall av offentlighetsprincipen, bristande möjlighet till ansvarsutkrävande, snurrig styrning och oklar uppföljning av hur ekonomiska medel fördelas och används.
Många andra myndigheter samarbetar med SKR och jag har blivit nyfiken på hur man reglerar säkerheten i informationsutbytet eftersom t.ex.
inte OSL gäller för en intresseförening.
I min värld borde det slutas samma typ av avtal med en förening som med ett kommersiellt bolag innan känslig information kan utbytas.
Även mellan myndigheter kan överenskommelser behövas slutas men den stora skillnaden är att alla myndigheter måste följa sekretessreglerna i OSL även om inte avtal sluts.
Av ren bekvämlighet valde jag MSB, en myndighet som jag ju vet hanterar känslig information, och skickade för drygt två veckor sedan en fråga: Hej!
MSB har ett omfattande samarbete med SKR i olika frågor.
Vissa av dessa frågor kan vara av känslig karaktär som kommuner/regionens insatser i det civila försvaret, samhällsviktig verksamhet, informations- och cybersäkerhet osv.
I dessa frågor utbyts rimligen känslig information.
SKR är en intresseförening som inte omfattas av OSL på samma sätt som en kommun/region, ett kommunalförbund eller ett kommunalt bolag.
Jag är därför intresserad av att ta del av det samarbetsavtal med vidhängande sekretessregler eller motsvarande som utgör reglering av dessa frågor i relationen mellan SKR och MSB.
Hittills har jag trots en vänlig påminnelse inte fått något svar.
Personligen tycker jag inte denna märkliga hybridform av offentlig aktör som växt fram hör hemma i svensk förvaltning där offentlig verksamhet och offentliga medel flyttas över till en oreglerad och ogenomtränglig sfär.
Jag har svårt att tro att SKR självmant kommer att vilja lämna denna softa tillvaro som skapats.
Det är därför hög tid att regeringen följer Riksrevisionens råd och utvärderar sitt samröre med SKR.
För den som vill läsa regeringens något svala reaktion på Riksrevisionens granskningsrapport finns en länk

juridiska, organisatoriska arkivteoretiska, tekniska Skapa en insikt om att i nuvarande läge kommer inte all verksamhet att kunna upprätthållas utan en måste ske.
Har man kontinuitetsplanerat kan man använda den prioritering av processer som redan gjorts (även om det kan behövas en liten analys för att se om tidigare prioritering fortfarande är relevant.
Om kontinuitetshanteringen inte finns på plats måste ledningen göra en prioriteringen av vilka processer/funktioner som måste fungera.
När prioriteringen bör en snabb göras för att identifiera vilken information som stödjer processen samt hur informationen hanteras, d.v.s.
vilka system, tjänster eller andra bärare som telefoni och papper som används.
Därefter görs en för att fastställa säkerhetskrav.
Även detta bör ske enligt prioriteringen så att de mest tidskritiska processerna/funktionerna tas först.
It får i uppgift att gå igenom hur befintliga lösningar kan användas för distansarbete utifrån klassningen/riskanalyserna och kontrollera i dessa lösningar.
I detta ligger även att bedöma om åtkomst och kommunikation vid distansarbete kan ske på ett tillräckligt säkert sätt.
Om it-säkerheten bedöms som för låg i befintliga lösningar föreslås alternativa lösningar där så behövs.
Om det finns en stor kvarstående risk måste ledningen få möjlighet att acceptera risken alternativt säga att den är oacceptabel vilket kan leda till att nya lösningar arbetas fram eller så bedömningen att distansarbete är olämpligt för den aktuella aktiviteten.
Börja planera och bemanna en som är avpassas till hur många som förväntas distansarbeta och se till att supporten finns när medarbetaren behöver hjälp.
Att inte få support i en ny arbetssituation leder ofelbart till att många kommer att göra fel, gena, hoppa över säkerhetsåtgärder.
Bristande support är därför ett garanterat säkerhetsproblem.
redan från början och slarva inte med sådana frågor som att det är ledningen som tar ansvar för helheten och de åtgärder som ska vidtas.
I kommunikationen bör även ingå signaler som kan leda till en positiv som att det är viktigt att medarbetare är observanta på att det kan uppstå nya risker och att det finns en tydlig punkt att rapportera detta till.
Det vill säga visa respekt för medarbetarna och se dem som en resurs i säkerhetsarbetet!
Ta fram über-tydliga till medarbetarna där det bland annat framgår: – att samma säkerhetsregler ska användas hemma som jobbet, exempelvis att alltid låsa datorn när den är obevakad – hur pappersdokument ska hanteras – vilken typ av information som kan ses som extra känslig, exempelvis känsliga personuppgifter och känslig företagsinformation – att arbetsgivarens utrustning bara får användas för arbetsändamål – att privat utrustning inte får användas för att hantera arbetsgivarens information – att telefonsamtal bör ske på ett skyddat sätt – vilka verktyg som ska användas – hur de ska användas – att verktyg som inte godkänts av arbetsgivaren inte får användas (dubbel negation, jag vet) – vem som ska kontaktas för support – vem som ska kontaktas för säkerhetsrelaterade frågor – hur incidenter ska rapporteras När man kan räkna med att distansarbetet blir långvarigt bör även den gås igenom.
Det kan handla om att skaffa skåp med tillräcklig säkerhetsnivå för vissa medarbetare eller att se över det yttre skalskyddet i vissa bostäder där känslig information ska hanteras.
Skapa rutiner för där ni minst en gång i veckan går igenom hur säkerheten vid distansarbetet fungerar, om vidtagna åtgärder fallit ut som ni hoppats eller om det finns anledning att förbättra skyddsåtgärder, om ni upplever att medarbetare fått tillräckligt bra information och om det inträffat incidenter.
Uppföljningen bör rapporteras till ledningen.
Planera för .
De säkerhetsåtgärder som vidtas i samband med distansarbete måste planeras för längre tid och det kan vara bättre att ha en mer långsam uppbyggnad för att få en långsiktigt väl fungerande lösning än att göra quick fixes som snabbt måste ersättas till allmän irritation och med medföljande säkerhetsrisker.
En fråga som tål att ställas är om verksamheten verkligen är så tidskritisk som man tror särskilt i rådande läge då ingenting riktigt fungerar som vanligt.
Att slippa stressa fram lösningar leder alltid till bättre kvalitet och oftast bättre ekonomi.
Försök att använda det påtvingade säkerhetsarbetet som måste göras till följd av pandemin som en .
Skapa säkerhetslösningar och en säkerhetskultur som förbättrar säkerheten även i det normalläge som vi förhoppningsvis snart ska återgå till.
Överenskommelse om kommunernas krisberedskap (dnr MSB 2018-09779) Överenskommelse om kommunernas arbete med civilt försvar (dnr MSB 2018-05681) Bilaga 1 omfattas av försvarssekretess (15 kap.
2 § offentlighets- och sekretesslagen (2009:400) och lämnas inte ut.

Folkviljan utövas genom inom om mot prioritering processkartläggning informationsklassning/riskanalys it-säkerheten supportfunktion Kommunicera säkerhetskultur instruktioner fysiska säkerheten uppföljning uthållighet resurs för framtiden En av nätläkarna tycker att det verkar ha varit en bristfällig konsekvensanalys inför beslutet och att det är märkligt att SKL:s handlingar inte omfattas av offentlighetsprincipen.

Meny Författare: Inläggsnavigering

Den långsiktiga hanteringen av information Den nya informationsinfrastrukturen Den krympande andelen allmänna handlingar Information som samhällsresurs Bristande relation till näraliggande områden En strategi för den svenska arkivverksamheten

Språkanvändningen i offentlig verksamhet

MENU MENU Fia Ewald Postat av Postad i , , , , , Tagged , , , , , , Postat av chief information security officer Postad i , , Tagged , , , , Postat av Postad i , , , Tagged , , Postat av Postad i , , Tagged , , , Postat av Postad i , , , , , Tagged , , , Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , Tagged , Postat av Aaron Antonovsky på 1960-talet och innebär i korthet att om omvärlden ter sig begriplig, hanterbar och meningsfull så har du lättare att hantera svåra situationer.
Jag menar att det organisatoriska minnet är en betydelsefull del i om vi upplever kasam eller inte på vår arbetsplats.
Bättre rutiner för att ta fram och återanvända meningsfull dokumentation ökar vår förmåga att känna delaktighet och motverkar stress.
Detta är inte på något sätt oväsentligt i dessa dagar då allt fler mår dåligt på jobbet.
Postad i , , Tagged , , , Postat av Postad i , , , , Tagged , , , , , , , Postat av Postad i , , Tagged , , , ← → Sök efter:

En myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap.
12 § tryckfrihetsförordningen och som myndigheten beslutar ska tas om hand för arkivering.
ett otraditionellt styrmedel I Riksrevisionens granskningar har det dock framkommit att SKL kommit att få ett stort inflytande även över den statliga styrningen av vården .
Det är Riksrevisionens bedömning att regeringen inte i tillräcklig utsträckning har tagit hänsyn till konsekvenserna av att använda en intresseorganisation som en del av förvaltningen Eftersom SKL inte är en myndighet lyder organisationen inte under förvaltningslagen eller regeringsformen.
Möjligheterna till ansvarsutkrävande är inte heller samma som om SKL hade varit en myndighet.
SKL företräder offentliga organ, men är i sig själv inte ett sådant.
Därmed kan varken regeringen, andra myndigheter eller medborgarna ställa samma krav på objektivitet och trans-parens på SKL som på Socialstyrelsen.
SKL är en organisation som ska bevaka sina medlemmars intressen och det är därför naturligt för SKL att slå vakt om det kommunala självstyret.
Det gör att man inte kan förvänta sig samma objektivitet från SKL som från en statlig myndighet.
SKL kan dessutom ha ett intresse av att hålla nere kostnader för sina medlemmar .
regeringens utredning Jaktens villkor konstaterades att förvaltningsuppgifter på jaktens och viltvårdens område som innebär myndighetsutövning inte annat än i undantagsfall borde fullgöras av intresseorganisationer.
Såväl in-formations-, rättssäkerhets-, som konkurrenssynpunkter talade för att en myndighet skulle ta över ansvaret för registret Det är Riksrevisionens bedömning att det i praktiken är oklart vem som egentligen äger den kunskap och de databaser som tas fram inom ramen för överenskommelserna.
Regeringen har därmed inte säkrat tillgången till den kompetens som byggts upp med statliga medel.
Riksrevisionen kan konstatera att det inte finns någon diskussion inom Socialdepartementet om att överföra databaser från SKL till Socialstyrelsen .
Riksrevisionens bedömning är att regeringen har låtit samarbetet med SKL − och därmed SKL:s inflytande över styrningen av vården – växa i alltför stor omfattning.
Granskningen visar att de medel som tilldelas SKL utan krav på att fördelas vidare till landstingen beloppsmässigt kan jämföras med förvaltningsanslagen till de större vårdmyndigheterna.
Departementet har inte heller haft en samlad bild av hur de medel som har gått till SKL centralt har utvecklats över tid Riksrevisionen noterar att medlen till SKL ökar.
Riksdagen har inte informerats om omfattningen och utvecklingen av dessa medel.
Enligt Riksrevisionens mening vore det rimligt att riksdagen informerades om medlen till SKL.
Anledningen är att de medel som tilldelats SKL centralt är i nivå med förvaltningsanslagen på vårdområdet som riksdagen beslutar om, samtidigt som SKL är en intresseorganisation .
Varken företrädare för Socialdepartementet, SKL eller Socialstyrelsen kan beskriva vilken typ av uppgifter regeringen ger till respektive aktör.
Riksrevisionen bedömer att en förklaring till detta är att det inte har funnits någon sådan logik i styrningen .
Tillägg 2020-02-20:

Jag har grubblat en hel del över den falske officeren som i hägn av den svenska försvarsmakten lyckades ta sig ända in i . Som en bakgrund kan sägas att jag aldrig arbetat inom Försvarsmakten men varit i nära kontakt med representanter för myndigheten i olika sammanhang, inte minst då jag arbetade på MSB.
Dessutom gav utbildningen till signalskyddschef som jag genomgick för många år sedan en inblick i Försvarsmaktens syn på säkerhet.
Tillåt mig att framföra några obekväma iakttagelser som helt baserar sig på uppgifter i media.
Min egen upplevelse har varit att representanter från Försvarsmakten har självbilden att säkerheten i denna verksamhet är mycket bättre både vad gäller omfattning och kvalitet än den som den civila världen lyckas leverera.
Denna bild förefaller som så självklar att den aldrig ens diskuteras och påverkar även verksamheter utanför Försvarsmakten.
Det går ofta så långt att man vill exportera de säkerhetslösningar som tillämpas inom försvaret till andra delar av samhället.
Själv har jag ofta reflekterat över huruvida Försvarsmaktens (och säkerhetsskyddets) lösningar verkligen är ”bättre” än civila respektive kommersiella dito samt om de över huvud taget är möjliga att implementera i en mindre styrd miljö än Försvarsmaktens.
Skillnaderna mellan mål, organisation, kultur och teknik är så i grunden olika varandra att jag betvivlar att en rak export från Försvarsmakten är vare sig möjlig eller önskvärd.
Tvivlet har förstärkts av den attityd som kan finnas hos de som kommer från det gröna hållet, en viss överlägsenhet och ovilja att ta till sig att andra mål och medel är centrala i det civila livet.
Vid ett antal anställningsprocesser har jag också varit med om att militärer ansett sig lämpade som informationssäkerhetsspecialister i det civila trots att de saknat erfarenhet både från den rekryterande verksamhetens bransch och av informationssäkerheten.
Att ha jobbat i Försvarsmakten har varit en tillräcklig merit för dessa sökande.
Eftersom min grundprincip för säkerhetsarbete är att säkerheten måste anpassas till de unika förutsättningar som råder i varje organisation har denna inställning förefallit missriktad för den som vill förbättra säkerheten.
Det behöver kanske inte tilläggas att representanter för den hållningen inte skapar förutsättningar för en givande diskussion med respekt från båda håll.
Vart vill jag då komma med dessa anekdotiska grundade beskyllningar sammanförda med skandalincidenten den falska officeren?
En del är min egen förundran över att en verksamhet med ovanstående rykte och självbild som ”säkerhetsexperter” hamnat i en säkerhetsskandal som enligt min mening faktiskt slår den i Transportstyrelsen.
Här har man gett en uppenbart opålitlig person fått en säkerhetsklassad tjänst på Must, fått samordna signalskyddstjänsten och haft tillgång till !
Därefter har utlandstjänster med mera följt, också dessa tjänster med reella möjligheter att åstadkomma stor skada.
Slutligen blev han även en av Kustbevakningens kontaktpersoner för den ryska säkerhetstjänsten .
Sammantaget en karriär med potentiell tillgång till mycket känslig information under ett par decennier.
Lustigt nog förekommer samma kommentarer från Försvarsmakten och Must som från Transportstyrelsen där man vill reducera allvaret i händelsen genom att hävda att inget tyder på att någon skada är skedd.
Dessutom sägs att rutinerna för säkerhetskontroller skärpts de senaste tio åren.
Båda dessa defensiva kommentarer är problematiska menar jag.
Det förefaller svårt att på någon månad grundligt reda ut eventuella skadeverkningar av ett bedrägeri som vad jag förstår av media pågått i ett par decennier och dessutom i mycket känslig verksamhet.
Sakförhållanden borde föranleda en mycket större utredning med tanke på hur länge han varit där och hur kort tid som Försvarsmakten känt till förhållandena.
För mig som okunnig utomstående borde bara vetskapen om de insiderjobb Wennerström och Bergling genomförde framkalla frossa och en oerhörd iver att verkligen ta reda på vad som hänt.
Kanske sker också detta i det tysta men den till synes obekymrade hållningen i media inger inte förtroende.
Argumentet att säkerhetskontrollerna blivit så mycket bättre på senare år motsägs av att bedragaren under just de senaste åren manövrerat sig mellan olika känsliga positioner ända fram till Nato.
Det tyder inte på att noggranna kontroller gjorts.
Att verifiera de uppgifter en sökande lämnar vid ansökningsförfarandet uppfattar jag ändå som en slags basnivå.
I min okunnighet förfaller det som en relativt enkel uppgift när det gäller officerstjänster.
Den aktuella bedragaren hade ljugit om akademiska studier vilket är en sak.
En annan att han uppgivit att han genomfört officersutbildning vilket är en lögn som är mycket svårare att förstå att han lyckades slå i sina arbetsgivare.
När ett företag eller myndigheter ska anställa finns det ofta bokstavligen hundratals möjliga studiemeriter med utländska universitet inräknade.
Försvarsmakten har däremot en potentiell totalkoll på inflödet till officerstjänster, de kontrollerar ju den enda möjliga meriten.
Det finns mig veterligen inga alternativa eller privata officersutbildningar.
Att då någon ändå slipper igenom är högst förvånande.
När falska läkare avslöjas går det snabbt att kontrollera mot Socialstyrelsens förteckning över vilka som är legitimerade.
Då finns det ändå c.a.
jämfört med c.a.
vilket borde vara litet enklare att hålla reda på.
På sociala medier har jag fått upplysningen av mer insatta i branschen att det här sannolikt är ett fall av vad som kallas ”bäste bror”.
Jag tolkar det som en kåranda där man av rädsla att uppfattas som ifrågasättande av en officerskollegas kompetens eller heder underlåter att genomföra de rutinkontroller som beslutats.
Kanske känns det pinsamt att fråga någon som man borde känna utan och innan vad de egentligen har för formella meriter.
I en så liten yrkesgrupp som 9000 officerare kan naturligtvis en sådan tendens förstärkas.
Det känns inte som detta är förklaringen till varför Försvarsmakten inte reagerade när det fick uppgifterna från Kustbevakningen om de fynd myndigheten gjort angående ”officerens” meriter.
Det är bara obegripligt för en utomstående att den informationen inte ledde till omedelbara åtgärder.
Faktiskt känns det som det hela kunna fortgå än om inte Dagens Nyheter uppmärksammat det hela och ställt de frågor som fortfarande i stort är .
Vad kan vi lära av detta när det gäller säkerhet i allmänhet, förutom att pressen gör ett viktigt renhållningsarbete när myndigheterna själva inte klarar av det?
Min första tanke är hur svårt det är att få till en fungerande säkerhet.
Även om säkerhetsarbete alltför ofta framställs som enkelt att genomföra bara man följer de rätta ”mallarna” känner jag och troligen många andra som arbetat i praktiken en stor ödmjukhet inför uppgiften.
Det är så mycket som inte står i manualerna, det är så många procedurer som ska fungera, det är så många människor som ska tänka, känna och göra rätt.
Och det räcker inte att det fungerar en gång, det ska fungera åt efter år.
I det aktuella fallet är det ju de i allmänhet så hånade ”medarbetarna” som slarvat utan de som gjort säkerhetskontrollerna (eller borde ha gjort) måste ju vara människor med utpekat säkerhetsansvar.
Även detta kan jag på någon nivå förstå, att det känns fånigt och pinsamt att be någon man kanske jobbat ihop med länge presentera formella meriter och sedan dessutom kontrollera dessa merithandlingar som är utfärdade av i princip den egna arbetsgivaren.
En hel del säkerhetsarbete är ”going through the motions”, att man utan större engagemang utför repetitiva kontroller och hur frestande är det då inte att gena litet grann.
Den uthållighet som krävs här underskattas ofta.
Det är (relativt) lätt att besluta som säkerhetsregler men det blir en stor säkerhetsrisk om de regler som beslutats av olika anledningar inte tillämpas.
Orsakerna till att reglerna inte efterlevs är många, vi behöver inte gå in på dem alla, här vill jag bara peka på den situation som kan uppstå när alla låtsas som att reglerna fungerar fast alla egentligen vet att det fuskas.
En sådan säkerhetsmässig potemkinkuliss är en större risk anser jag än en beslutad lägre säkerhetsnivå som faktiskt fungerar.
Nu menar jag inte att det i det aktuella fallet fanns ett alternativ utan detta är mer en reflektion efter de senaste årens säkerhetshausse där många organisationer har beslut och styrande dokument som anvisar säkerhetsåtgärder som det i realiteten finns ambition att införa.
Kort sagt: verklig säkerhet trumfar fantasier!
För mig som arbetar med säkerhet är det en viktig uppgift att i dialog med ledningen för den aktuella organisationen bedöma vilken säkerhet som går att införa och vilka risker som olika alternativ innebär.
Det sämsta alternativet är när ledningen har uppfattningen att allt är hunky dory och att organisationen har en väl fungerande säkerhet medan verkligheten är en helt annan.
En sådan ledning kan ha mycket svårt att hantera situationer där stora brister uppdagas eftersom det strider helt mot deras verklighetsuppfattning.
Hypotetiskt skulle man kunna tänka sig hur svårt det var för Försvarsmaktens ledning att ta in att man huserat en bedragare i det allra känsligaste i ett par decennium utan att detta upptäckts.
Lika hypotetiskt kan man då förstå att detta kan leda till beslutsångest och oförmåga att agera trots att korten ligger på borden, som när Försvarsmakten fick information av Kustbevakningen och inte tycktes kunna hantera den.
Jag tror helt enkelt att det är farligt att vara alltför övertygad om att man per definition är bra på säkerhet.
Att vara bra på säkerhet är att ständigt ompröva och vara medveten om alla brister som hela tiden finns oavsett vilka insatser som görs.
Ytterligare en tankeställare ligger i att skandalen inte skulle ha upptäckts om inte DN lagt ner omfattande insatser på att gräva och gräva.
Att seriösa media är en förutsättning för icke-korrupta myndigheter är en slutsats man kan dra, en annan att det saknas interna funktioner som säkerställer compliance på ett effektivt sätt.
Det är inte så att jag vill måla f-n på väggen men jag tror att rätt många nu grubblar hur många andra som kunnat slinka in i systemet om kontrollerna är så obefintliga.
Nu har vi ett exempel på hur illa det kan gå.
Det bästa vi kan göra med det exemplet att återkommande hålla upp det framför oss och ställa frågan: kan det hända även här?
Och sedan försöka svara ärligt på det.
Tillägg 2020-02-05: Nu visar det sig att anställda själva kunnat lägga in sin meriter hos Försvarsmakten utan att kontroll skett hos .
Ganska häpnadsväckande.
Sällan har jag läst en utredning med sådant intresse som den nya arkivutredningen SOU 2019:58 ” ” och då har jag ändå läst många.Stoffet i utredningen och hur den är genomförd vore helt enkelt värt en egen utredning och inte bara ett blogginlägg men man tager vad man haver.
Det finns alltså hur mycket som helst att skriva ytterligare men som inte ryms här.
Innan jag går in på utredningens egentliga leverans vill jag jag uppmärksamma den metodik och presentation som tillämpats som känns mer som en redovisning av en fortlöpande workshop än en traditionell svensk utredning.
Genomgående refereras samtal med olika intressegrupper vars argument framförs utförligt innan utredningen lämnar sina förslag.
Det ger verkligen en fyllig bild av den stora bredd av frågeställningar och konfliktlinjer som förekommer i Arkiv-Sverige (detta märkliga land).
Detta tillsammans med beskrivningen med bakgrundshistorik av hur arkivväsendet är organiserat i Sverige ser jag som den stora behållningen av utredningen, mycket användbar exempelvis i undervisningssammanhang.
Utöver detta är mitt sammanfattande intryck att utredningen ägnat sig åt en mängd relativt sett små frågor, om än i vissa fall intressanta, men duckar för alla verkligt väsentliga frågor.
Dessutom är förslagen angående de frågor som man verkligen ägnar sig i de flesta fall ytterst konservativa, typ: ”efter noggrant övervägande har vi kommit fram till att den rådande ordningen är den bästa.”.
Sin djärvhet och kreativitet tycks utredningen ha reserverat för titeln på utredningen som synes sällsynt missvisande i förhållande till innehållet (intresset för putslustiga utredningstitlar är visserligen inte unikt för den här utredningen utan snarare legio i det svenska utredningsväsendet).
När man läser förslagen på ny arkivlag är det många ”skall” som blivit ”ska” och ”arkivvård” som som blivit ”arkivförvaltning” men i övrigt mycket litet förändrande kraft.
En mer rimlig utredningstitel hade varit ”Härifrån till hit”.
En annan mindre men tyvärr betydelsefull förskjutning som skett är betoningen av ”kulturarvet” ökat.
I dagens arkivlag står: Myndigheternas arkiv är en del av det nationella kulturarvet.
Myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser 1. rätten att ta del av allmänna handlingar, 2. behovet av information för rättskipningen och förvaltningen, och 3. forskningens behov.
I utredningens författningsförslag sker inga större skillnader i detta förutom att ”syfte” bli ”ändamål”, ändamålet får en egen paragraf och det nationella försvinner från kulturarvet.
Däremot ägnar utredningen sig nästintill enbart åt resonemang om kulturarvet och hur det ska skyddas och i princip inte alls åt de tre övriga ändamålen.
För mig självklara och angelägna frågor som exempelvis hur demokratin skulle kunna utvecklas genom bättre insyn i myndigheterna via de allmänna handlingarna, hur behovet av snabb och säker tillgång till information med hög grad av autenticitet i myndigheterna ska tillgodoses samt betydelsen av ett organisatoriskt minne behandlas inte alls.
Forskning likställs i bästa fall med historisk forskning men alltför ofta tycks det vara släktforskning som avses.
Ibland framstår forskning och kulturarv som på något sätt synonyma begrepp.
Kanske skulle utredningens experter och sekreterare kunnat ha en något annorlunda sammansättning för att andra centrala perspektiv kunnat lyftas fram.
De glasögon känsliga för kulturarv som använts präglar hur utredningen tar sig an övriga frågor.
Släktforskare i all ära men vilken möjlighet som här förlorats att redovisa hur de övriga ändamålen skulle kunna tillgodoses på ett bättre sätt!
Som ett par exempel på hur kulturarvsglasögonen påverkar utredningens resonemang skulle jag vilja lyfta fram följande.
Utredningen tar upp de olika uppfattningar som kan finnas mellan att digitalisera äldre material alternativt lägga resurser på att omhänderta det digitala material som hela tiden tillväxer.
Detta presenteras som om det vore två jämförbara alternativ vilket jag menar är en tankevurpa.
Att digitalisera redan omhändertaget material i pappersformat är framförallt en åtgärd för att förbättra tillgänglighet och service vilket i sig är behjärtansvärt.
Däremot är fönstret för att bevara den digitala information som ständigt tillväxer en engångschans – görs det inte kommer informationen helt enkelt inte att finnas kvar.
Även om jag inte sett någon forskning om detta är mitt intryck att vi redan nu har förlorat en stor del av de senaste decenniernas viktiga information eftersom det saknats verktyg för att ta hand om den.
I ett sådant läge är det knappast rätt prioritering att tillfredsställa dagens kulturarvsintressenter med bättre service eftersom det oundvikligen sker på framtidens bekostnad.
Ett annat (betydligt mindre viktigt) resursmässigt vägval som kommit i förgrunden för mig under senare år är att det borde vara fullt möjligt att minska arkivinstitutionernas lokalytorna i attraktiva lägen.
Idag finns de statliga arkiven fortfarande ofta kvar i pampiga byggnader trots den stark sinande strömmen av besökare till forskarsalarna när alltmer material finns digitalt tillgängligt.
Går det att moraliskt försvara denna resursfördelning eller börjar det bli dags att avveckla forskarsalarna, samarbeta med biblioteken om forskarservice och flytta depåer till billigare lägen?
Även här tror jag kulturarvskulturen (!)
spelar in i bedömningen eller att frågan inte ens tas upp när arkivens knala ekonomi diskuteras i utredningen.
Jag menar, det är ju inte säkert att det finns pengar att spara, men finns ju anledning att åtminstone ställa frågan.
Jag skulle också vilja hävda att det positiva som ligger i det empiriska förhållningssättet med mängder av intervjuer och kompilationer av bakgrund möjligen skett på bekostnad av en genomarbetad teoretisk utgångspunkt.
Arkivteori lyser helt med sin frånvaro, något som jag tror missgynnat utredningen i dess problemformuleringar.
Exempelvis tror jag att analyser med avstamp i en problematisering av inre och yttre proveniens i ett dagens gemensamma informationssäkerhetsarkitekturer skulle kunna ge intressanta ingångar för exempelvis ansvarsfördelning och nya tekniska lösningar.
En fåfäng önskan, jag vet det, är att utredningen skulle fördjupat sig i för- och nackdelar med den nära kopplingen mellan TF, OSL och arkivlagen.
När starka krafter strävar att allt mindre del av myndigheters information ska ses som allmänna handlingar kommer det i nuvarande legala konstruktion att påverka inte bara insynsmöjligheten utan i sin förlängning både forskning och kulturarv.
Som den arkivarie jag innerst inne är sörjer jag över att utredningen missat möjligheten att faktiskt göra något som skulle rädda den situation som jag idag skulle vilja jämställa med klimatkrisen.
Den gigantiska mängden information som ständigt skapas men som inte omhändertas eller bevaras på ett beständigt och säkert sätt och där arkivarierna står som med snöskyfflar i en global lavin.
Utredningens ytterst modesta försök att greppa denna situation kan delvis ses som ett symptom på att det saknas en gemensam metateori om samhällets informationshantering som gör att varje utredning eller annan insats blir som ett fragment utan sammanhang.
Ofta blir utredningar fångar i sitt uppdrag.
Orsakerna till detta kan vara flera.
En vanlig orsak är att uppdragsgivaren redan bestämt sig för vilket svar man vill ha från utredningen, en annan att uppdragsgivaren har så oklar bild av området att uppdraget får en så märklig inriktning att det blir svårt att genomföra.
Jag kan inte se att detta gäller arkivutredningen.
Uppdraget som utredaren fått är både helt fritt och detaljstyrt på en gång: En särskild utredare ska göra en bred översyn av arkivområdet.
Det övergripande syftet är att säkerställa samhällets tillgång till allmänna handlingar både nu och i framtiden.Utredaren ska bl.a.
•översiktligt beskriva arkivsektorn samt beskriva och analysera hur samhällsutvecklingen har påverkat och kan förväntas påverka förutsättningarna för arkivverksamheten och olika arkivinstitutioner, •se över arkivlagstiftningen och närliggande lagstiftning och vid behov lämna förslag på hur lagstiftningen kan anpassas till utvecklingen på området, •analysera Riksarkivets roll och lämna förslag på uppgifter i förhållande till andra myndigheter och arkivaktörer för att undvika över-lappning och för att upprätthålla en god och säker informations-hantering och möjliggöra en allsidig historiebeskrivning, •analysera de ekonomiska konsekvenserna för Riksarkivet och andra arkivmyndigheter på kort och lång sikt av den offentliga förvaltningens övergång till digitala processer, och •analysera om regleringen för de enskilda arkiven bör förändras för att kunna tillgodose behov inom rättsskipning, förvaltning, forskning och skydd för kulturarvet •lämna nödvändiga författningsförslag.
Smaka på det syftet.
Jag menar att utredningen haft chansen att ta ett strategiskt grepp om samhällets arkivfråga men istället fastnat i detaljerna och inte minst i de konflikter som finns inom arkivområdet.
Den allt överskuggande konflikten är den gällande Riksarkivets ställning vilket också framkommer i redovisningar som lämnas från de dialoger som utredningen fört med olika aktörer.
Konflikten har funnits under lång tid men har tack vare utredningen kommit i öppen dager på ett sunt sätt.
En resumé av konflikten är ungefär så här: Riksarkivet vill gärna centralisera och bestämma mer medan andra aktörer som kommuner och regioner tycker att Riksarkivet lämnar alldeles för dåligt stöd och borde ägna sig åt att utveckla sin styrning genom att sysselsätta sig med metodutveckling och effektiv rådgivning.
Riksarkivet vill t.ex.
kunna meddela föreskrifter för kommuner och regioner vilket inte mottas väl av de tilltänkta objekten för föreskrivandet.
Detta anspråk förefaller även mig rätt övermaga med tanke på att kommuner och regioner ligger betydligt längre fram i centrala arkivfrågor än vad staten och Riksarkivet gör.
Riksarkivet tycks gärna vilja fly ett operativt ansvar t.ex.
i fråga om e-arkiv och FGS:er men känner sig sedan förbisedda trots att det sällan finns anledning att uppsöka den som inte gör något.
Kritiken mot Riksarkivet är tämligen förödande då den beskrivs i ämbetsmannaprosa i utredningen: Det finns en uppfattning om att så länge den statliga arkivmyndigheten inte fullt ut klarar sina grundläggande uppgifter bör myndigheten inte tillföras nya.
Frågetecken sätts för om myndigheten verkligen har förmåga att i framtiden leda utvecklingen kring digital informationshantering.
Utredningen tycks ställa sig på deras sida som tycker att Riksarkivet borde luta sig mer mot att tillhandahålla nyttiga redskap än att genomdriva sin vilja på ett mer repressivt sätt: Utredningens inriktning bakom de föreslagna bestämmelserna är att samförstånd, tydliga föreskrifter och en generös rådgivning ska prioriteras framför arkivmyndigheternas tillsyn och sanktioner.
Jag delar helt den uppfattningen.
Både som verksam arkivarie och därefter har jag förundrats över hur torftigt stöd Riksarkivet tillhandahåller.
För att bara ta ett exempel i den stora högen så har myndigheten inte tagit fram någon vägledning för centrala arkivuppgiften gallring sedan 1995 och jag tror vi alla kan vara överens om att det hänt en del på 25 år.
Legitimiteten för Riksarkivet tycks låg också då myndigheten avlövats ett antal uppdrag till bland annat DIGG.
Den brist på metateori om samhällets informationshantering som jag tidigare nämnde leder även till en oförmåga att hantera myndigheters uppdrag i förhållande till varandra där nu det finns stora oklarheter om hur Riksarkivet och DIGG ska leva tillsammans.
Utredningens lösning på frågan är att Riksarkivet ska samordna metoden då de orimligt upphaussade FGS:er (ser verkligen fram emot att nyttan av dem utvärderas på ett opartiskt sätt) även då de tas fram på annat håll.
DIGG ska å sin sida föreslås fortsätta: samordna frågor om gemensamma standarder, format, specifikationer och liknande krav för den offentliga förvaltningens informationsutbyte i de fall uppgifterna inte ligger på regeringen eller en annan myndighet FGS:erna är verkligen ett tröstpris då Riksarkivet blir omkörda av DIGG i princip allt annat som gäller informationshantering.
Det är svårt att se att Riksarkivet spelar en viktig roll i samhällets digitalisering.
Istället lever myndigheten i en permanent identitetskris med ständiga omorganisationer där man förlamats av frågan hur mycket arkivverksamheten ska vara en del i den pågående informationshantering.
Det förefaller som de som deltagit i dialoger med utredningen, och då särskilt representanter från kommuner och regioner, starkt pläderat för det som kallas ”proaktivitet”.
Häri ligger av de andra stora konflikterna inom arkivområdet.
Ska arkiven helt koncentrera sig på att omhänderta avställt material eller ska man även gå in och proaktivt bearbeta organisationers informationshantering så att arkivintresset är med redan från då information skapas?
Eller ska arkivarierna t.o.m.
vara specialister på informationshantering generellt och inte bara sett i arkivperspektivet?
Medan vankelmod råder centralt där nog traditionen att kalla informationshanteringen för ”kontors-ADB” och något att frynas över går framför allt fler kommuner och regioner över mot organisatoriska lösningar man samordnar uppgifter relaterade till informationshantering som arkiv, informationsförvaltning, dataskydd och informationssäkerhet.
Man ser helt enkelt informationen som den kanske viktigaste resursen för en organisation, en resurs som måste utvecklas och förvaltas för att organisationen ska fungera på ett ändamålsenligt sätt.
Detta är en linje som jag själv drivit sedan 90-talet så det är klart jag hyllar denna utveckling.
Samtidigt går det inte att förneka att det uppstår en dissonans när Riksarkivet inte alls är i takt med denna rörelse utan snarare utgör en konserverande kraft (och då inte på ett positivt sätt).
Det gör att det saknas ett nationellt nav för teori-, metod-, och kunskapsutveckling, erfarenhetsutbyte och styrning för det som till och med saknar ett entydigt begrepp, jag menar informationsstyrning, informationshantering eller informationsförvaltning kan innebära vad som helst (ja, jag vet att det finns en standard för informationsförvaltning men det hjälper inte särskilt mycket här).
För mig framkommer här ytterligare en av de stora bristerna i utredningen, nämligen att man helt missar kopplingen till informationssäkerhet.
Ordet ”informationssäkerhet” nämns nio (9!)
gånger i hela utredningen och då bara en passant.
Inga analyser eller ens resonemang om hur informationssäkerhet och -hantering inklusive arkiv skulle kunna vara två hjul på samma vagn trots att mål, objekt och metoder verkligen behöver samordnas för att bli ett effektivt stöd för verksamheten.
Extra tråkigt är det då allt fler arkivarier sett sambandet i praktiken och skulle behöva inriktning och moraliskt stöd för att gå vidare.
Samma sak gäller dataskydd.
Men den stora frågan är trots allt att man inte orkar närma sig den stora elefanten: hur ska den alltmer gemensamma informationsarkitekturen tas med in i framtiden?
I detta sammanfaller alla de brister som jag tidigare pekat på.
Som att det saknas ett arkivteoretiskt resonemang om hur proveniensprincipen ska tillämpas när det inte längre går att urskilja tydliga arkivbildare i en gemensam informationshantering.
Som att utredningen inte förmår att föra en diskussion om information istället för det snäva begreppet ”allmänna handlingar”?
Som att man inte tar på allvar hur den verkligt bevarandevärda informationen som patientjournaler löper en överhängande risk att försvinna för att lagstiftning tillåter det och för att det saknas metodik för att hand om den.
Som att det inte finns en antydan till förslag på hur det långsiktiga bevarandet ska ske organisatoriskt eller tekniskt eller ens hur frågan ska angripas.
Som att det inte görs något begreppsmässigt klarläggande gällande ”e-arkiv” och långsiktigt digitalt bevarande.
Som att varken utredningen eller Riksarkivet kräver rimliga ekonomiska förutsättningar för att göra det som är nödvändigt, jag menar 288 miljoner under 5 år … Jag skulle kunna fortsätta med denna uppräkning ett bra tag till men skonar de eventuella läsare som orkat följa mig ända hit.
Det har varit ett bra år för mig på många sätt.
Företaget går bra och därför har jag donerat pengar till 15 av UNHCR:s samt 15 000 kronor till .
Jag har även lyckats hålla min miljöpolicy och inte genomfört några tjänsteresor med flyg i år heller.
Här kommer ytterligare ett försök att förbättra samhället en aning – en ny utlottning av böcker.
Denna gång deltar den som gillar min på Facebook i utlottningen av 3 ex av Shoshana Zuboffs helt epokgörande bok om övervakningskapitalismen.
Skicka ett direktmeddelande före den 10 januari om att du vill vara med i utlottning – det tolkar jag som att du gått med på min hantering av dina personuppgifter.
Hoppas ingen misstycker till att jag skickar ett ex utom tävlan till Daniel Forslund, den kanske mest centrala makthavaren då det gäller utlämnandet av patientuppgifter till aktörer utanför sjukvården.
Kanske har han missat perspektivet ”övervakningskapitalism” trots att ordet övervakningsekonomi finns med i 2019 års – detta vill jag naturligtvis gärna bidra till att avhjälpa!
Här kommer en summering av min diskussion med SKR angående ett eventuellt tillämpande av offentlighetsprincipen även inom SKR.
Jag inledde med ett i Dagens samhälle där jag försökte resonera angående varför det vore lämpligt att SKR skulle omfattas av offentlighetsprincipen.
De 3500 tecken som står till buds för en debattartikel omöjliggör naturligtvis en rättvis behandling av de frågeställningar som skulle behövas för en så komplicerad fråga som den jag lyfte.
Ändå tyckte jag än då att det tydligt i min artikel framgick att det finns ett antal skäl till varför SKR:s ställning som ”ideell förening” borde omprövas.
En resonerande inställning där olika argument prövas är dock inget som intresserar SKR.
Istället skickades föreningens VD för att ge ett .
Kanske det ändå inte blev så dräpande som önskat eftersom en hel del läsare (t.ex.
och och ) reagerade på SKR:s icke-svar och den attityd varmed det förmedlades.
Litet orolig blir man ju med tanke på att Isling rekryterats till SKR för .” Själv tycker jag att SKR ofta verkar lida av ett attitydproblem där tjänstemännen antingen uttrycker sig med viss arrogans eller inte alls då motiverade frågor ställs.
Isling är i detta fall inget undantag och är hans förhållningssätt ett exempel på den nya inriktningen för SKR bör man kanske sätta sig och titta litet på på kartan för att ta ut en annan riktning.
I min försökte jag visa att SKR har stora möjligheter att uppnå den öppenhet som Isling menar att man vill men inte kan (enligt honom) ha.
Jag pekar på paradoxen att Inera valt att frivilligt tillämpa öppenhet men inte SKR men det vilar en kanske en ännu större paradox i att SKR ska ge för att utveckla demokratin kommuner och regioner.
Den som ska ge stöd i demokratiutvecklingen borde rimligen vinna på att vara ett föredöme.
För att förstå SKR:s ställning måste man förstå kommunernas (inklusive landstingskommuners även om de kallar sig regioner) ställning i det svenska styrelseskicket.
Även om man ofta pratar om det kommunala självstyret är alla den makt och det inflytande som kommuner har en delegation från den centrala statsmakten.
Kommuners existensberättigande ligger framför allt i att de har en territoriell förankring, d.v.s.
de har en delegation för styrning av vissa frågor inom ett avgränsat geografiskt område samt beskattningsrätt för samma område.
Kommunerna ska alltså kunna utgöra en motpol till den nationella styrningen och tillgodose lokalsamhällets interna behov utan att först behöva passera den nationella nivån (mycket förenklat uttryckt).
Även i detta perspektiv är SKR något av en paradox.
Genom sin ständiga tillväxt och överförande av allt fler kommunala frågor till en nationell nivå så blir legitimiteten hos det kommunala självstyret i samma takt naggat i kanten.
Mitt intresse i debattartikeln var dock främst inriktat på informationshanteringen där information som i kommunerna hanteras enligt TF och OSL blir utslussad till en ideell förening som inte alls har samma krav på sin hantering av samma information.
Det gäller öppenheten där t.ex.
stora framtidsfrågor som digitalisering och e-hälsa beslutas helt utan insyn och medborgardialog.
Men det gäller även skyddet för känslig information som i ursprungskommunerna styrs av OSL.
Jag tänkte på det när jag läste om SKR gjort en stor enkätundersökning om informationssäkerhet i alla kommuner och började då fundera på hur denna känsliga information hanterades inom SKR.
Har de deltagande kommunerna slutit sekretessavtal med SKR och vilken information har de fått om hur informationen hanteras?
Jag läser också om SKR:s där det inte står ett ord om statistiksekretess.
Ytterligare en fråga där sekretessen är av central betydelse är civilt försvar där ett alltmer aktivt deltagande kommer att krävas av kommunerna.
Vilken information i dessa frågor är möjlig att lämna till SKR?
Det är möjligt att dessa frågor hanteras på ett utmärkt sätt men just i och med avsaknaden av tillämplig lagstiftning föreställer jag mig att behovet av avtal blir stort och något krångligt att administrera liksom att ansvarsförhållanden ständigt måste redas ut.
Jag ser en risk för något jag skulle vilja kalla ”trust by proxy”, d.v.s.
att man förutsätter att SKR har samma styrning som de ingående medlemmarna och därmed inte vidtar de skyddsåtgärder som är nödvändiga.
Om jag låter omotiverat misstänksam ber jag om ursäkt men bakgrunden är delvis att det är mycket svårt att få uppgifter om säkerheten inom SKR.
När jag exempelvis ställde en fråga för ett tag sedan om föreningen har en säkerhetsskyddschef fick jag till svar att de behövde man inte svara på eftersom man inte är en myndighet… Sammantaget tror jag man skulle ha mycket att vinna på att vara tydligare i dessa frågor och då inte bara visavi medlemmar.
Alla dessa viktiga välfärdsfrågor som SKR i allt högre grad hanterar så att de därmed försvinner från offentligheten är inte bara viktiga i nuet utan också för framtiden.
Tanken att framtida forskning inte kommer att ha ett grundmaterial att utgår från för att kunna förstå hur vitala offentliga frågor beslutats svider verkligen.
Att SKR inte har ett krav på sig att bevara och tillhandahålla denna information är en förlust för hela samhällsutvecklingen!
Som en liten julklapp till SKR kommer jag här med ett förslag på lösning på problemet så att SKR också kan bedriva verksamheten med den öppenhet man säger sig vilja ha.
Idag är man alltså en ”ideell förening” vilket känns aningen märkligt med tanke på verksamhet och finansiering.
Det gör att det i finns mycket litet av som påverkar hur verksamheten ska bedrivas vilket i och för sig gör det fullt möjligt att tillämpa TF och OSL på samma sätt som Inera beslutat göra.
Å andra sidan finns det en i mitt tycke betydligt mer stabil lösning, nämligen att SKR omvandlas till ett kommunalförbund som det beskrivs i . På det sättet skulle man både få en verksamhet som är effektiv, har reglerade styrformer och de krav på informationshantering som finns i medlemsorganisationerna.
Det skulle bryta den nuvarande rörelsen där delaktighet och insyn försvinner när betydelsen av frågorna ökar men också ge betydligt bättre grund för samarbete mellan stat och kommuner.
I annat fall undrar jag var gränsen för SKR som ideell förening går – hur mycket kommunala uppgifter kan en förening egentligen ta över?
Mottar tacksamt motargument mot omvandlingen till kommunalförbund eftersom för mig känns den lösningen ganska praktisk men säkert har jag förbisett några för andra självklara förutsättningar som talar emot en sådan lösning.
Trots min julklapp tror jag ärligt talat att intresset för att ens överväga övergång från förening till kommunalförbund är mycket svalt inom SKR, det är sällan de som har privilegier som arbetar för att ta bort dem.
Däremot är det en idé att försöka få igång en debatt i riksdagen vilket kan vara en målsättning för 2020.
Ibland är man tvungen att återvända till gamla jaktmarker.
Där är jag nu.
Efter en sensommar och höst då jag funderat en hel över Inera och i förlängningen SKR blev frestelsen för stor och jag började plocka fram gamla luntor ur bokhyllan.
Luntor som jag framför allt samlat på mig när jag började forskarutbildningen i ekonomisk historia med ambitionen att skriva en avhandling om landstingens roll i den svenska modellen.
Sedan kom barn och livet emellan så det blev aldrig mer än en ambition.
Däremot ledde det till ett fortfarande pågående stort intresse för den regionala styrningen och sjukvård samt, som sagt, till en inte obetydlig samling litteratur i frågan.
Livet är cirkulärt och nu gläds jag över att återigen ha anledning att dyka in mina gamla böcker (verkligen gamla).
Jag läser om hur Svenska Landskommuners Förbund, Svenska Landstingsförbundet och Svenska Stadsförbundet via Landstings- respektive Kommunförbundet utvecklats till SKR.
Från att ha varit renodlade arbetsgivarorganisationer med uppgift att ge medlemmarna stöd i förhandlingarna med de anställdas organisationer har SKR nu utvecklats till en organisation med ständigt växande antal anställda och som lika kontinuerligt påtar sig nya operativa uppgifter.
Mycket stora skattemedel fördelas via SKR och en inte på alldeles anspråkslös summa (understatement) går till SKR:s egen interna organisation, se budgeten på sida 49 i denna redovisning jag fått ut från SKR.
per medborgare och år enligt SKR själva.
Slutligen leds SKR av indirekt valda politiker som även har kontroll över de bolag som ingår i SKR-sfären.
Enligt svensk lagstiftning ska offentlighetsprincipen tillämpas i alla myndigheter (inklusive kommuner och regioner) samt kommunala bolag m.m..
I OSL 2 kap står det följande: Vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter ska i tillämpliga delar gälla också handlingar hos aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande.
Sådana bolag, föreningar och stiftelser ska vid tillämpningen av denna lag jämställas med myndigheter.
Kommuner och landsting ska anses utöva ett rättsligt bestämmande inflytande om de ensamma eller tillsammans 1. äger aktier i ett aktiebolag eller andelar i en ekonomisk förening med mer än hälften av samtliga röster i bolaget eller föreningen eller på något annat sätt förfogar över så många röster i bolaget eller föreningen, 2. har rätt att utse eller avsätta mer än hälften av ledamöterna i styrelsen för ett aktiebolag, en ekonomisk förening eller en stiftelse, eller 3. utgör samtliga obegränsat ansvariga bolagsmän i ett handelsbolag.
Vid tillämpningen av andra stycket 1-3 ska inflytande som utövas av en juridisk person över vilken en kommun eller ett landsting bestämmer på det sätt som anges i de nämnda punkterna anses utövat av kommunen eller landstinget.
Första stycket gäller också för handlingar som efter medgivande av en kommun eller ett landsting för viss bestämd tid förvaras hos aktiebolag, handelsbolag, ekonomiska föreningar eller stiftelser där kommuner eller landsting tidigare har utövat ett rättsligt bestämmande inflytande.
Vad som föreskrivs om kommuner och landsting i första-tredje styckena tillämpas också på kommunalförbund.
För en ytlig betraktare förefaller SKR uppfylla alla kriterier som t.ex.
att kommuner/regioner utövar ett rättsligt bestämmande inflytande.
Ändå omfattas inte SKR av offentlighetsprincipen, ett förhållande som är allt mer förvånande ju mer man tänker på det.
Bristen på insyn i en politiskt styrd organisation med den makt SKR har är en anomali i det svenska systemet som sannolikt har sin upprinnelse i de ursprungliga förhandlingsorganisationernas uppgifter.
I arbetsgivarorganisationer med enda syfte att förhandla arbetsvillkor kan möjligen hemlighetsmakeriet accepteras – i en organisation som för kommuners och regioners talan i en mängd frågor, opinionsbildar på ett inte helt okontroversiellt sätt och dessutom leder allt fler operativa verksamheter kan det det inte.
Inte minst att det inte går att utkräva ansvar borde ses som en mycket missklädande fläck i det offentliga Sverige.
Att slutna sällskap inte är nyttiga ens för sig själva är en ganska uppenbar slutsats efter i Svenska Akademien.
Samma faror av vänskapskorruption lurar i SKR, dessutom är man utsatta för ett starkt kommersiellt tryck i exempelvis digitaliseringsfrågorna.
Vad synen att digitalisering är lösningen på i princip alla samhällsfrågor bygger på när inga seriösa siffror som underbygger detta väcker frågan vems intressen som egentligen tjänas av SKR.
Ökad öppenhet i denna och andra frågor skulle ställa krav på samma typ av underlag och ansvar som i de kommuner och regioner som skickat delegater till SKR.
Istället urlakas den demokratiska processen markant i och med överförandet av frågor till SKR.
Det finns även andra skäl att göra en reglering i OSL så att även SKR omfattas av kraven på offentlighet och sekretess.
Ett starkt sådant är att SKR allt mer fungerar som en mellanstation mellan statliga och kommunala myndigheter också kan komma att hantera känslig information som rör exempelvis informationssäkerhet.
Eftersom OSL inte gäller kan det vara svårt för myndigheterna att reglera eller överblicka hur informationen hanteras i föreningen SKR.
Samtidigt är det svårt för kommuner och regioner att ifrågasätta att lämna ut information om sina förhållanden till SKR.
Ytterligare ett skäl är kopplingen till arkivlagen som ställer krav på att allmänna handlingar ska bevaras inte bara av insynsskäl utan även för att garantera rättssäkerhet och möjlighet till forskning.
Risken för att den helt offentligt finansierade verksamheten SKR med sin allt tyngre samhällsroll inte lämnar ett bra forskningsmaterial efter sig är överhängande.
Min enkla poäng är att om SKR agerar som en myndighet ska man behandlas som en myndighet.
Det är dags för SKR att inte bara byta namn utan även vara beredda att ta ansvar i förhållande till sitt inflytande.
Hur OSL och kanske TF behöver förändras och kompletteras med en rad som inkluderar SKR i dess räckvidd bör vara en ganska enkel juridisk manöver (jag är ju inte jurist så jag kan ju unna mig att ta lätt på frågan).
Sannolikt är det en betydligt svårare politisk process att tvinga ut SKR:s makthavare ur den så behagliga hemliga stugvärmen men icke förty är detta vad demokratisk anständighet kräver.
Ett obligatoriskt men till intet förpliktigande uttryck sedan länge är ”transparens”, ibland så flitigt använt att man riskerar att glömma bort hur viktigt det faktiskt är med öppenhet.
Öppenheten är central för samhällsklimatet och delaktigheten men också för att kunna tillvarata den samlade kompetensen.
I Sverige har vi varit gynnade av den unika institution som offentlighetsprincipen utgjort sedan 1700-talet och som visserligen på många sätt hotas men som fortfarande är ett omhuldat ideal.
Att få insyn i och i förlängningen möjlighet att påverka de stora samhällsfrågorna är det stora värdet med öppenhet för de offentliga verksamheter där offentlighetsprincipen ska tillämpas.
Öppenhet är av samma skäl obekvämt för makthavare, det är liksom bekvämare om man får arbeta ostört och göra som man vill.
Misstag behöver heller inte upptäckas och att slippa stå till svars för det ena och det andra är naturligtvis behagligt.
Sjukvård rankas som den viktigaste frågan av väljarna.
I Sverige är sjukvården offentligt finansierad.
Dessa två premisser sammantaget ger att ett stort mått av öppenhet i hanteringen av sjukvårdsfrågor borde vara en självklarhet.
Tyvärr är inte så fallet när det gäller e-hälsa.
Även för en som tämligen noggrant följt utvecklingen inom området i 25 år är det mycket svårt att få en överblick ens över hur området styrs.
Då menar jag i form institutioner och presenterade inriktningar som rör sig på en konkret nivå.
Under de senaste tio åren har jag sett en rörelse där allt större inflyttande över e-hälsan flyttats över från staten och regionerna till SKL.
Jag har tidigare skrivit om Inera som ändå fattat beslut om att följa offentlighetsprincipen trots att man inte är skyldig att göra det.
Värre är det med SKL som är en arbetsgivarorganisation för regioner och kommuner.
Trots den litet udda konstruktionen att man som intresseorganisation tillskjuts mycket stora offentliga medel från staten och man styrs av folkvalda politiker så har inte kravet på öppenhet följt med.
Bristen på insyn blir mycket påtaglig när man ser på den för digitalisering som tillsattes efter valet och består av politiker från regioner och kommuner.
Det är alltså ett indirekt valt politiskt organ.
Uppdraget är stort och spännande för den som är intresserad av e-hälsa: Beredningen hanterar strategiska frågor om grundläggande gemensamma förutsätt­ning­ar för digital utveckling, exempelvis fråge­ställ­ningar kopplat till effektivisering genom digitalisering, automation och artificiell intelligens (AI), inno­vations- och förändringsledning, data som strategisk resurs, säker informations­hante­ring och nationell digital infrastruktur.
Vidare ska beredningen hantera rättsliga för­utsättningar för en digital samverkande förvaltning.
I uppdraget ingår också att följa SKL-koncernens samverkan för att gemensamt stötta med­lem­marna i deras verk­sam­hetsutveckling med stöd av digitalisering.
Inte minst blir man ju sugen på att läsa mer om hur beredningen ska hantera de rättsliga förutsättningar efter SKL kanske inte helt klargörande angående molntjänster häromveckan där man inte ens nämner eSams rättsliga uttalande där man avråder från att använda molntjänster.
Detta trots att SKL själva uppger följande i sin rapport: Undersökningen från Radar visar att cirka 50 procent av kommunerna använder Microsoft Office 365 (MS O365) och att 100 procent av de större kommunerna använder denna tjänst.
Hur som helst blev jag intresserad av att ta del av beredningen för digitalisering har för arbete på gång, vilka frågor man ventilerade och vilka insatser som planerades.
Detta visade sig vara en stängd dörr för när jag skickade dessa frågor till SKL:s presstjänst (de har ju inget diarium): Jag skulle vilja veta: – vilka handlingar som finns relaterade till Beredningen för digitalisering – vilka av dessa handlingar som jag kan få ta del av fick jag följande, kanske väntade svar: Tack för att du kontaktar oss.
SKL är en intresse- och arbetsgivarorganisation och omfattas inte av skyldigheten att lämna ut allmänna handlingar enligt offentlighetsprincipen.
Vi kan därmed inte hjälpa dig med din förfrågan.
Du kan läsa mer om SKL och vår organisation på .
Jag gjorde ett par försökt med kommuner och regioner, varav ett par med representanter i beredningen, om de fått in några handlingar men helt utan resultat.
Ofrivilligt parafraserar jag Tom Waits gamla låt i huvudet och får en öronmask: what are they building in there?
Men det är inte bara att man faktiskt inte lämnar ut handlingar som är utestängande.
När jag läser programmet till den med underrubriken En dag.
Oändliga möjligheter.
känner jag en lätt yrsel.
Där kommer de usual suspects att prata om ungefär samma saker som vanligt på de otaliga konferenser som går av stapeln (även om jag känner ett visst intresse för den handlingsplan för 2020-2022 som ska diskuteras) medan många av oss andra känner en mycket stor oro för de många alarmerande händelser som tydligt visar att kostnaderna skenar för för e-hälsan och att nya mycket allvarliga säkerhetsbrister hela tiden avslöjas.
Nu senast var det av ett nytt vårdinformationssystem där det avslöjas att det finns stora risker för både patientsäkerhet och integritet: I rapporten pekas på att rutinerna för riskanalys i arbetet med Skånes digitala vårdsystem, SDV, är för dåliga – informationsklassificeringen görs för sent och avklarade riskanalyser sammanställs inte centralt så att de kan följas upp.
Riskanalysverktyget anses dessutom vara svårt att hantera.
Organisationskulturen i sig finns också med bland de identifierade bristerna.
Det finns helt enkelt ingen kommunicerad agenda för informationssäkerhet med verktyg för att rapportera brister i arbetet med den nya vårdinformationsplattformen.
Det gör att brister riskerar att förbises och att ”medarbetare genom uppgivenhet både upplever och bidrar till en tystnadskultur”.
I sin tur leder det till att oro ventileras i korridorerna vilket leder till ytterligare risker.
Naturligtvis fick jag inte ut någon rapport från Region Skåne när jag efterfrågade den utan ett listigt svar att någon sådan rapport inte fanns diarieförd.
Min fråga: Jag undrar då om en sådan rapport inte finns utan att CS blivit vilseförda eller om den finns men man valt eller missat att diarieföra den?
besvarades med att den sannolikt var ett internt arbetsmaterial.
Det mest deprimerande i detta är att upprepningstvånget.
Trots att svenska sjukvården gång på gång råkar ut för stora säkerhetsproblem, trots ett antal liknande projekt i bland annat och med miljardinvesteringar inte fungerar på ett säkert sätt så är det som denna information inte tränger i genom väggarna på den svenska e-hälsans fort.
Att dessa fullkomligt vitala frågor inte tas upp på en konferens om framtidens e-hälsa gör att verkar som vi lever i två olika världar: verkligheten respektive e-hälsans utopia.
Detta är inte en bra grund för ett mycket komplicerat samhällsutvecklingsarbete!
Den tystnadskultur som den interna rapporten som CS tagit del av pekar på en mycket central risk, nämligen tystnadskulturen som gör det omöjligt att föra fram risker eftersom man då avfärdas som negativ.
För den som arbetar med säkerhet och vet hur betydelsefull en positiv säkerhetskultur är för ett fungerande säkerhetsarbete förstår på djupet hur destruktivt det här förhållningssättet är.
Tyvärr praktiseras samma förhållningssätt även på nationell nivå t.ex.
konferensprogram av typen Nationella e-hälsodagen och när en företrädare för SKL på en konferens säger att ”det är mycket enklare att vara emot”, underförstått att resa rationella frågor uppfattas som fientligt.
Jag kan möjligen förstå att SKL som lobbyorganisation jobbar med ensidiga marknadsföringsknep även om jag som skattebetalare inte skulle vilja se pengar som så väl behövs i vården gå till detta.
Däremot tycker jag att myndigheterna borde nyktra till och kunna föra en diskussion där även nyanser är tillåtna.
Jag tror alla kan stå ut med litet av den dåliga stämning som uppstår när folk visar sig ha olika åsikter.
För säkerheten i framtidens e-hälsa är det nödvändigt att kunna prata om risker och reducera dem innan de lett till ett nytt och ett nytt och ett nytt haveri.
Efter Kammarrättens utslag dröjde det bara några dagar innan jag fick ut de dokument som jag började jaga med en fråga den 6 augusti.
Samtliga tre dokument har mycket marginella maskningar vilket jag återkommer till men som läsaren själv har möjlighet att bedöma eftersom jag lägger ut dem i sin helhet.
Låt oss då se på dokumenten och då först till det mest övergripande: Riktlinje för informationssäkerhet.
Detta dokument tycks ha ganska litet att göra med den policy som beslutades i och därts övergripande syfte anges vara att främja digitalisering samtidigt som tillit till informationshanteringen upprätthålls.
De flesta skulle kanske anse att informationssäkerheten ska stödja kärnverksamhetens uppdrag, i det här fallet egentligen kundernas uppdrag, men Inera är sannolikt i detta fall ett offer för SKL:s överideologi där digitalisering är ett dominerande egenvärde.Inte ett ord om patientsäkerhet för att bara ta en sak som jag personligen anser aningen viktigare än att ”främja digitalisering”.
Den sällsynt korta policyn innehåller ingenting om ansvarsförhållanden eller vem som egentligen ska styra säkerheten, däremot är ett mål att säkerhetsarbetet ska grundas på ”gemensamma regelverk, referensarkitekturer och styrande principer”.
Gemensamma för vem och framtagna av vem kan man undra.
Policyn ska tillämpas enbart internt och det saknas relation till kunderna trots att Ineras roll som leverantör: Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering.
Den ska också tillämpas i projekt och på förvaltningsobjekt.
Policyn ger som jag ser det inte någon verksam strategisk ledning för Ineras säkerhetsarbete i rollen som tjänsteleverantör eftersom ansvar och relationer helt saknas.
Hela upplägget med denna helt urvattnade policy känns litet märkligt när Inera dessutom arbetar baklänges och lägger den som olja på vattnet på redan framtagna underliggande dokument.
Kanske har det funnits en annan policy tidigare som fadat bort utan kommentar.
Låt oss lämna policyn och istället titta på riktlinjen som av naturliga skäl saknar den kopplingar till den beslutade policyn.
En första observation som reser den alltid lika spännande frågan om kausalitet och korrelation.
Av en händelse sammanfaller att jag efterfrågade riktlinjen den 6 augusti med en massiv uppdatering som skedde den 9 augusti när en mängd basala säkerhetsaspekter fördes in i riktlinjen (se revisionshistoriken).
Detta var också första gången på tre och ett halvt år som en uppdatering skedde.
Nog om detta lustiga sammanträffande.
Inera är är ju en tjänsteleverantör av känsliga informationstjänster till vården och det som först slår mig då jag läser riktlinjen är att detta förhållande är i det närmaste osynligt i riktlinjen på samma sätt som i policyn.
Riktlinjen gör ingen distinktion mellan Ineras interna informationssäkerhet och den säkerhet som ska finnas i de tjänster som levereras.
Kundernas frånvaro i hanteringen blir närmast självlysande i definitionen av informationsägaren: För varje viktig informationsmängd ska det utses en informationsägare med uppdrag att hantera alla delar av informationssäkerheten som är relaterade till denna informationsmängd.
För de tjänster som Inera tillhandahåller är detta normalt rollen Tjänsteansvarig.
Här man alltså kortslutit systemet så kunderna är inte informationsägare och ska inte heller hantera exempelvis informationsklassning och riskanalys av den information som de faktiskt är ansvariga för.
För att göra det extrem tydligt: Inera är inte en vårdgivare utan hanterar andra vårdgivares information i ett antal gemensamma tjänster.
Vårdgivarna (offentliga och privata) är enligt lag och föreskrift ansvariga för sin information och att den hanteras på ett säkert sätt – det är bara att läsa HSLF-FS 2016:40 för att få en samlad bild av kraven.
Samtidigt skriver man t.ex.
under 15.3.1. om en informationsägare som sannolikt är kunden.
Roller och begrepp är alltså inte konsistenta.
Ytterligare ett tecken på att riktlinje inte tjänar Ineras verksamhet särskilt väl är att de ytterst knapphändiga beskrivningar av utveckling som finns i kapitlen 15.1 och 15.2.
Detta är alltså riktlinjen där ansvar, principer och arbetssätt bör framgå.
Som jag uppfattar det är Ineras huvudsakliga uppdrag att utveckla olika it-lösningar för vården vilket skulle föranleda att ett verksamhetsanpassat säkerhetsarbete skulle ha en tyngdpunkt just i utvecklings- och förvaltningsprocessen av erbjudna lösningar.
I Ineras riktlinje är det dock inte så utan det känns snarare som en ytlig genomgång av kraven i ISO 27001 med mycket små modifikationer.
Dessutom ingår den i det jag brukar tänka på som ”de öde regelverken” eftersom det inte bara kunderna som saknas utan även i hög grad andra aktörer.
Istället upprepas riktlinjen igenom ”Inera ska…” utan att närmare definiera vilken roll inom Inera som ska utföra säkerhetsarbetet.
Igenkänningsfaktorn är hög.
Jag har sett denna typ av regelverk ett otal antal gånger och ett genomgående drag är att när regelverk är så här diffusa så får de ingen eller ringa säkerhetshöjande effekt.
Har ledningen inte pekat ut ansvar (vilket man här inte har i policyn och mycket litet i riktlinjen) så finns inget maskineri som drar runt säkerhetsarbetet.
Att något i denna anonyma text skulle befinnas vara av den art att det går att sekretesslägga med hänvisning till OSL 18 kap.
8 §: Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser byggnader eller andra anläggningar, lokaler eller inventarier, tillverkning, förvaring, utlämning eller transport av pengar eller andra värdeföremål samt transport eller förvaring av vapen, ammunition, sprängämnen, klyvbart material eller radioaktiva ämnen, telekommunikation eller system för automatiserad behandling av information, behörighet att få tillgång till upptagning för automatiserad behandling eller annan handling, den civila luftfarten eller den civila sjöfarten, transporter på land av farligt gods, eller hamnskydd.
kändes märkligt.
Än mer så Ineras ursprungliga beslut att hela dokumentet skulle utgöra risk om det spreds.
På ett sätt skulle jag ironiskt kunna hålla med: kvaliteten på dokumentet indikerar en klar brist på styrning av säkerhetsarbetet vilket kan naturligtvis är en stor risk om det framkommer.
Men det som nu maskats i dokumentet är endast sex passager där man mitt i den i övrigt så generella beskrivningen av allmänna säkerhetsåtgärder tydligen placerat in var datalagring sker samt tekniska beskrivningar av bland annat segmentering.
Om dessa uppgifter är på detaljnivå har de knappast i riktlinjen att göra eftersom den då inte går att sprida i en vidare krets internt.
Även detta är att starkt skäl att se över regelverket och styrningen i stort.
Om vi sedan tittar på de två övriga dokument jag fått ta del av: så går maskningarna i dessa sammantaget att räkna på ena handens fingrar.
Förutom att även dessa i huvudsak saknar anpassning till Ineras egentliga behov av styrning och även till SKL:s flaggskepp KLASSA är det svårt att se vad som föranlett Ineras rädsla för att sprida dem.
Hela hanteringen av min begäran utlämnande av handlingar framstår som fånig och okunnig i mina ögon men har det goda med sig att det kanske hindrar andra från det överutnyttjande av 18.8 som jag tycker mig sett tecken på.
Min sammantagna bild är att Inera saknar ett sammanhängande systematisktoch att den styrning som finns inte är är inriktad på rätt målbild som till exempel att ge kunderna möjlighet att styra sin egen säkerhet eller på patientsäkerhet.
Ingenstans framgår att den informationsklassning som kunderna gör av sin information ger utslag i Ineras leverans, inte heller att Inera har ett kunderbjudande som är transparent och flexibelt.
Jag är den första att erkänna att Ineras uppdrag är mycket komplicerat men just därför skulle det kännas betydligt tryggare om det gick att urskilja ett stort engagemang för säkerhetsfrågor som skulle ge både kunder och allmänheten i stort en anledning att hysa en stor tillit till Inera.
Särskilt tänker jag på detta när nu Inera satt igång ett nytt projekt om säker digital .
Visserligen står det ”säker” i rubriken men vilket stöd har projektet i Ineras LIS för att uppnås denna säkerhet?
Finns det en risk att detta projekt hamnar i samma situation som den som kritiserades så hårt av MSB när det gäller säkerhetsaspekterna (trots att det är se att MSB bidrog på ett så särskilt strukturerat sätt)?
Hälso- och sjukvård är ju i högsta grad en samhällsviktig verksamhet som borde få MSB:s mest djuplodande intresse när en ny nationell lösning ska tas fram.
Möjligen har jag helt fel.
Kanske är säkerheten i Ineras verksamhet mycket bättre än vad de styrande dokumenten ger intryck av.
Men samtidigt är det svårt att föreställa sig edär det inte finns en tydlig dokumenterad styrning.
Självklart borde denna styrning omfatta mer än Inera – jag ska väl inte tjata om en nationell styrmodell á la Normen en gång till… Däremot vore det mycket önskvärt med en större granskning av samtliga större aktörer inom hälso- och sjukvård både för att bedöma den reella säkerheten och för att se vilka samordningsbehov som finns.
Med detta som utgångspunkt går det sedan att börja skissa på den gemensamma styrmodellen.
I väntan på detta mitt utopiska tillstånd är en rimlig inriktning att IVO koncentrerar sin tillsyn utifrån NIS-direktivet främst på dessa stora aktörer eftersom de har den största påverkan på vår gemensamma säkerhet.
Den minnesgode kommer ihåg att jag bett att få se Ineras ledningssystem för informationssäkerhet, blivit nekad och hänvisad till Kammarrätt för att framföra mina besvär över detta, förloppet finns beskrivet .
Själv måste jag medge att jag fann Ineras agerande aningen besynnerligt.
Om det nu finns styrande dokument för informationssäkerheten vid sidan om den A4 som utgör policy (vilket Inera hävdar) så förefaller det märkligt att varje ord i dessa dokument skulle utgöra en sådan betydande risk för Ineras säkerhet att de inte kan lämnas ut.
För den som jag som arbetat med utlämnande av allmänna handlingar är väl bekant med rutinen att maska dokumenten så att de delar som bedöms som sekretesskänsliga inte kan läsas – ytterst sällan är dokumenten i sin helhet känsligt.
Kanske har inte Inera upparbetat rutinen för maskning än men efter att ha läst Kammarrättens utslag så är det nog dags att komma igång med det nu.
Jag är naturligtvis nöjd med utslaget och väntar nu på mina handlingar.
Samtidigt väcker ju historien med Inera en hel del tankar.
En är att vi alla är betjänta av största möjliga öppenhet om de regler gällande säkerhet som finns olika organisationer.
Vi behöver lära av varandra och vi behöver närma oss mer av praxis både på branschnivå och i samhället i stort.
Ett överdrivet hemlighetsmakeri skapar en negativ säkerhetskultur och förhindrar processen mot en nödvändig samsyn om hur styrningen av säkerhet bör utformas.
Ineras förhållningssätt pekar också på ett annat mer praktiskt problem, nämligen vikten av att utforma sin hierarki av styrande dokument rätt.
Om man, som Inera tycks ha gjort, blandar principer,ansvarsfördelning och andra faktorer som bör kunna vara helt öppna i random organisation med detaljbeskrivningar av säkerhetslösningar, risker och sårbarheter har man ju skapat ett regelverk som knappast går att sprida ens internt och ännu mindre till externa parter som kunder.
En betydligt mer positiv erfarenhet var det att begära ut samma information hos eHälsomyndigheten där jag inte bara fick ta del av de handlingar som på ett övergripande sätt styr säkerhetsarbetet utan även en bild av de handlingar som är av mer känslig karaktär.
Tyvärr bekräftades dock min bild av bristande styrning av säkerheten inom vården då två av de stora aktörerna inom svensk e-hälsa inte har ett gemensamt regelverk.
Detta är en mycket stor fråga som måste lösas innan vi kan säga att vi är på väg mot en säker e-hälsa.
Jag läste en så fantastisk metafor i Jennifer Clements roman Gun love.
Romanen handlar Pearl och hennes mamma Margot som bor i baksätet i en bil.
Miljön är den där sortens misär som bara finns i USA med hemlösa människor som helt saknar riktning i sitt liv.
Redan tidigt i boken finns följande passus: Mamma och jag flyttade in i Mercuryn när hon var sjutton och jag var nyfödd.
Så den bilen, som stod i utkanten av en trailerpark mitt i Florida, var det enda hem jag kände till.
Livet var en prick-till-prick-teckning och vi bekymrade oss inte stort om framtiden.
Bilden av prick-till-prick-teckningen hakade fast i mig och jag fick en stark känsla av hur de här romanfigurerna levde sitt liv.
Så är det ju ofta med god litteratur, den lever vidare inom en.
Men hjärnan är en märklig sak och vips började jag associera metaforen med hur jag uppfattar digitalisering och informationssäkerhet på samhällsnivå, som prickar till synes utan samband.
Finns det en dold teckning under prickarna så kan i alla fall inte jag se den.
Att jag började tänka på det berodde på den nya rapport som regeringens uppdrag tagits fram av sju myndigheter om säkert och effektivt informationsutbyte i offentlig .
Lustigt nog var varken MSB eller någon annan myndighet med säkerhetsprofil bland de sju myndigheterna trots att uppdraget rörde just säkert informationsutbyte.
Detta var säkert en bakgrund till de slängar som slungades från MSB på sociala medier men efter en genomläsning av rapporten får det sägas att de avsnitt som skrivits om säkerhet knappast skrivits av någon med erfarenhet från detta område.
Att Försäkringskassan är en av de myndigheter som ingått i arbetet med att ta fram rapporten känns aningen illavarslande när man läser budgetproppen där det står om Försäkringskassans allt större roll som intern it-leverantör i staten: Förhoppningsvis är det andra som ska stå för den leveransen än de som skrivit om säkerhet i rapporten.
Ändå är rapporten positiv i andra avseende, främst genom att man pratar om en gemensam digital infrastruktur.
Detta är något jag försökt driva i olika sammanhang utan påtaglig effekt.
Jag vill självklart inte framhäva min egen roll utan bara säga att detta är en inriktning som tidigare saknats på ett mer uttalat sätt och som jag tror i sig har en tydligt säkerhetshöjande effekt.
Att notera detta positiva anslag känns viktigt även om den stora bilden av infrastrukturen inte kan anas och på sin höjd tre prickar sammanfogats.
Problemet är inte endast att det tycks sakna en ritning för utveckling av digitaliseringen utan även för samhällets informationssäkerhet.
MSB:s handläggare (ja, jag vet att hen liksom många andra tjänstemän friskriver sig på sociala medier genom att hävda att de ”twittrar som privatperson” – ett oskick jag beskrivit ) ansåg att rapporten var ett ”hafsverk” och att rapportförfattarna inte tagit till sig MSB:s synpunkter.
Nyfiken som jag efterfrågade jag då de diarieföra synpunkter som det hänvisades till och fick ut detta mail: Det avslöjar inte mycket av ett eventuellt infrastrukturellt synsätt.
Informationssäkerhetsområdet tycks alltså ha sin egen mycket ofullständiga prick-till-prick-teckning.
Liksom arkivväsendet som även det har en stor betydelse för den offentliga informationshanteringen.
Sammantaget så är planeringen av vår gemensamma informationshanteringsinfrastruktur uppenbart fragmentiserad och där olika myndigheter ritar sina prickar oberoende av varandra trots att de åtminstone borde vara i samma teckning.
I detta dystra scenario är det inspirerande att snegla österut.
I Finland har nämligen antagits en ny lag med om informationshantering inom den offentliga förvaltning.
I som låg till grund för lagen ges inriktningen: Det är fråga om en allmän lag som ska reglera informationshanteringen inom den offentliga sektorn.
Lagen avses gälla all informationshantering som sker inom myndigheternas verksamhet.
Genom lagen säkerställs en enhetlig förvaltning och en informationssäker behandling av myndigheternas informationsmaterial i syfte att genomföra offentlighetsprincipen.
Dessutom har lagen bestämmelser om elektronisk överföring av information mellan olika myndigheters informationssystem.
Genom regleringen effektiveras myndigheternas informationshantering så att myndigheterna kan tillhandahålla förvaltningskunderna sina tjänster på ett kvalitativt sätt som är förenligt med god förvaltning och kan sköta sina uppgifter på ett resultatgivande sätt.
Syftet med lagen är att främja också interoperabiliteten mellan informationssystemen och informationslagren.
träder i kraft vid årsskiftet och innebär också att en informationshanteringsnämnd ska säkerställa samordningen mellan informationshantering (inklusive arkiv), digitalisering och informationssäkerhet.
I dagarna har även en ny cyberstrategi antagits.
För mig förefaller denna ordning mycket ändamålsenlig särskilt om det även blir ett gemensamt myndighetsansvar.
I Sverige skulle det kunna kopieras så att DIGG får skärpa till sig och samtidigt överta ansvaret för samhällets informationssäkerhet och se till att det blir integrerat i hela digitaliseringensprocessen.
De myndigheter som redan idag framför allt är intresserade av internationella antagonistiska hot och cyberkrig kan fortsätta med detta med gott samvete.
På detta sätt skulle prickarna åtminstone fyllas i på samma teckning.
Jag vet att detta är en överdriven förenkling och att det inte går att dra snörräta linjer mellan olika säkerhetsområden men jag tror vi måste komma tillbaka till en situation där normallägets funktionalitet respekteras och där bygget av en gemensam infrastruktur kan ske med god säkerhet.
Ibland behöver vi ta ett steg tillbaka och betrakta en till synes fast definierad problemformulering på litet avstånd för att se om det är ett tillräckligt bra sätt att förstå en viktig fråga eller om det kanske finns andra sätt att betrakta den.
Jag ska nu göra ett försök att vidga frågan om integritet i förhållande till vårdinformation i synnerhet men även till den information som skapas och bearbetas i offentliga verksamhet i allmänhet.
När vi pratar om den personliga integriteten idag handlar det i de flesta sammanhang om teknik som åtkomst till personuppgifter i it-system eller övervakningskameror.
Jag tror att detta är en alldeles för begränsade problemformulering när vi ser hur personuppgifter är det högoktaniga bränslet för multinationella företag som jag skrivit om .
Samma fenomen beskrivs i den mycket välförtjänt hyllade och lästa Konsulterna av Anna Gustafsson och Lisa Röstlund.
Vår nuvarande inställning bygger på att obehörig åtkomst till uppgifterna skulle skada vårt anseende, att intima uppgifter om oss själva skulle bli kända för ”fel” personer.
Det är en rättighetstradition som bygger på tanken att vi har en rätt till en privat sfär och även till att kontrollera ”bilden” av oss själva.
Det är i min mening en alldeles rimlig uppfattning att känsliga uppgifter om oss endast ska vara åtkomliga för de som verkligen behöver dem, t.ex.
för att ge oss rätt vård.
Det är också en inriktning som fungerat i den svenska vården sedan patientjournalerna övergick från att vara räkenskapsmaterial till att bli stöd för vård och behandling.
En snabb och hårdragen exposé skulle kunna se ut som följer.
I och med att den svenska vården till sin absoluta merpart varit offentligt finansierad och offentligt utförd under i princip hela 1900-talet har vårdinformationen varit allmänna handlingar som ägts av vårdgivaren och i väsentliga delar bevarats i och med att sjukvårdshuvudmännen (landsting/regioner) har åtagit sig att bevara alla läkarförda journaler för all framtid.
Förutom att detta förhållande har gynnat patienterna som kunnat få vård grundad på vederhäftig information har det gett Sverige ett unikt forskningsläge med tillgång till en hel befolknings data om hälsa och vård i ett välordnat system.
Förutom att det är lätt glömma bort att vi faktiskt haft mycket väl utvecklad hantering av patientdata i över ett sekel är det också lätt att glömma bort att detta bygger på ett samhällskontrakt som kan ses som en del i den svenska välfärdsstaten.
Ungefär: högkvalitativ vård och en avancerad forskning finansieras via skatten och dina vårduppgifter används för att ge dig själv och andra patienter bättre vård.
Förutsättningen för kontraktet var 1) att patientuppgifterna användes för etiskt prövad akademisk forskning och 2) att patientuppgifterna omgavs med sekretess och att det fanns hög grad av spårbarhet i vilka som tagit del av dem.
Jag vet att så fort man säger eller skriver att patientuppgifterna omgavs med höga krav på sekretess så kommer det alltid ett antal människor rusande och återger hårresande berättelser från gamla journalarkiv.
Min utgångspunkt är vad lagstiftning i form av bland annat patientjournallagen betonade och studier som gjorts av journalhantering under 60-80-talet samt de mycket konkreta erfarenheter jag har av praktisk journalhantering samt sekretessmedvetande från ett antal år i olika typer av vårdverksamheter.
Personligen har jag tycket att detta varit ett bra samhällskontrakt som bygger på ett stort mått av tillit och har ofta argumenterat emot dem som menat att patienten själv ska äga sin journal eftersom det, enligt mig, skulle leda till stora nackdelar både för patienten och för samhället.
Tyvärr har jag varit tvungen att börja ompröva detta efter de senaste decenniernas digitalisering inom sjukvården.
Om vi tar det aktuella exemplet Region Stockholms för hälsodata liksom NKS intention att lämna ut stora mängder patientdata via BCG till amerikanska företag måste vi kanske övergå till ett annat sätt att se på integritet.
Kanske måste vi lämna den traditionella svenska uppfattning och se på integritet som en äganderätt vilket är ett synsätt som varit etablerat i mer konservativa tanketraditioner som exempelvis Nozick med efterföljare.
Det skulle i detta alltmer kommersialiserade sammanhang där personuppgifter blivit guldet eller kunna tolkas som att din äganderätt av dig själv också innebär att du också äger den eftertraktade resursen som dina personuppgifter utgör.
Om du äger uppgifterna måste också ha rätten att avgöra hur de får användas utöver exempelvis vad vården kräver.
Detta är ett synsätt som går emot den rådande trenden inom svensk sjukvård där inte ens tycker de mycket begränsade möjligheter till samtycken ska få finnas kvar utan hanteringen av personuppgifter ska ske långt över huvudet på patienterna.
En randanmärkning är att sjukvårdspolitiker och SKL inte riktigt tycks acceptera gällande lagstiftning som den gällande spärrar, integritet eller molntjänster.
Istället för att inrätta sina verksamheter så att de följer lagstiftningen lägger man all energi på att argumentera för att lagstiftningen ska ändras.
Det känns inte som allt igenom konstruktivt förhållningssätt och min uppfattning är att detta är en delförklaring till den haltande digitaliseringen av vården.
I ovan refererade debattartikel förefaller inriktningen vara att patientuppgifterna generellt liksom i centret för hälsodata få användas för random ändamål för var går gränserna för ändamål som exempelvis life science, kvalitetsutveckling och uppföljning?
Det är aningen förbryllande att de politiker som kallar sig liberala tycks minst intresserade av liberala värderingar och individers rättigheter utan har en närmast kinesiskt touch i synen på relationen mellan individ, kapital och staten.
När jag läser om Centrum för hälsodata tänker jag också hur Region Stockholm ständigt upprepade bristande affärssinne som i utförsäljningar av allmän egendom till totala underpriser.
Nu ska man sälja hälsodata till ”självkostnadspris”.
Varför ska kommersiella företag inte betala marknadspris för den råvara som personuppgifterna utgör?
Även om det i mina ögon är en olycklig utveckling inte minst för den medicinska forskningen vill jag ändå pröva tanken på hur det skulle se ut om vi ägde vår egen patientinformation.
Det finns liksom ingen fördel för svenska patienter att lämna data till amerikanska försäkringsbolag eller som stöd till företagen i det som Zuboff kallar den multinationella övervakningskapitalismen.
Om vi ska ersätta tillitsbaserade relationer med kommersiella måste detta ske på ett sätt som inte bara gynnar den ena parten.
Vi skulle kunna laborera med möjligheten till en digital valfrihet där man som patient fick en äganderätt till sina patientuppgifter och därmed kunna bestämma över hur de får hanteras.
Exempelvis kryssa i ett formulär med alternativ som Mina patientuppgifter får användas: Till detta kan läggas verklig anonymisering som alternativ på samtliga val.
Patienten kanske ska erbjudas möjligheten att få ta ut ersättning då personuppgifterna säljs till kommersiella aktörer och då inte ”självkostnadspris” utan ett reellt pris.
Detta tror jag vore ett bra sätt att återföra makten till patienten, sätta till press på sjukvårdshuvudmännen att ta frågan på allvar och att utveckla privacy by design vilket ju är ett lagkrav för de som glömt bort det.
Ett annat resultat vore möjligen också att patientföreningar som representerar patientens olika intressen kunde bildas och utgöra ett komplement till de patientföreningar vars oberoende kan . En ny sorts patientföreningar skulle kunna bli förhandlingspartners och förhandla fram bättre priser än självkostnadspris för råvaran.
Tanken svindlar för vilka möjligheter som skulle kunna öppnas.
Resonemanget om en digital valfrihet för individen kan med fördel även tas in i diskussionerna om öppna data.
Jag är inte säker på om jag håller med mig själv men jag tror vi som verkligen är intresserad av den personliga integriteten måste börja fundera på hur vi ska kunna hitta verktygen i en ny tid.

Det är närmast en tradition att arkivutredningar inte kommer fram till något särskilt.
Att även är som en kompass utan visare ska kanske därför inte dömas för hårt.
Istället får vi tacka för det redovisande innehållet och söka de nödvändiga lösningarna på organisation och vision för hur det långsiktiga bevarandet av information ska ske på annat håll.
Själv pläderar jag återigen för framtagandet av en arkivstrategi där både vägval görs om vad som ska ses som ingående i arkivområdet och alla de spretiga som frågor som ändå kommer att återstå knyts ihop i en rörelse framåt.
Framför allt borde INGEN kunna blunda för att det ännu inte finns någon plan för hur all den information som skapas idag ska bevaras med kvalitet, säkerhet och autenticitet för framtiden.
Detta gör att övriga arkivfrågor i min värld framstår som petitesser.

endast för min vård, den uppföljning är lagstadgad och tydligt definierad administrativ hantering utöver ovanstående även akademisk forskning där resultaten kommer samhället till del utöver ovanstående även akademiskt forskning i kommersiell regi för kommersiellt bruk oavsett bransch

Meny Författare: Inläggsnavigering

MENU MENU Fia Ewald Postat av Postad i , , Tagged , Postat av Postad i , , Tagged , , , , Postat av Postad i Postat av Postad i , , , Tagged , , , Postat av Postad i , , , , Tagged , , , Postat av Hej!
Postad i , , , Tagged , , , , Postat av Postad i , , , , , , Tagged , , , , , Postat av Postad i , , , , , Tagged , , , , , Postat av Säker och samordnad it-drift Försäkringskassan har påbörjat anslutning av sex myndigheter inom regeringsuppdraget att er- bjuda samordnad och säker statlig it-drift (Fi2017/03257/DF).
Intresset är stort och flera statliga myndigheter har inlett dialog med Försäkringskassan med avsikt att ansluta sin it- drift.
Postad i , , , , , Tagged , , Postat av Postad i , , , , Tagged , , , , ← → Sök efter:

Det övergripande syftet är att säkerställa samhällets tillgång till allmänna handlingar både nu och i framtiden.
Härifrån till evigheten

Efter diskussionerna om 1177-skandalen och andra händelser inom e-hälsoområdet har jag efterfrågat en nationell genomlysning av hur det egentligen står till med informationssäkerheten i den svenska vården.
I väntan på en större aktör som kan genomföra en omfattande analys av den i mitt tycke centrala frågan så tänkte jag börja dra några små strån till stacken och titta närmare på hur några viktiga aktörer inom e-hälsoområdet hanterar informationssäkerhetsfrågan.
Hälso- och sjukvården är också en av de utpekade branscher där aktörer åläggs att bedriva ei NIS-direktivet.
Att sanktionsavgifter kan utdömas från både dataskyddsmyndigheten och från IVO i det här fallet borde vara en starkt pådrivande faktor för att förbättra säkerheten.
En naturlig startpunkt är Inera som presenterar sig så här: Inera ägs av SKL Företag, regioner och kommuner.
Genom att erbjuda kompetens inom digitalisering stödjer Inera ägarnas verksamhetsutveckling.
Inera koordinerar och utvecklar gemensamma digitala lösningar till nytta för invånare, medarbetare och beslutsfattare.
och Inera utvecklar och förvaltar nationella tjänster inom e-hälsa och digitalisering på uppdrag av regioner och kommuner.
Ungefär 35 digitala tjänster drivs idag av Inera, bland annat 1177 Vårdguiden, Nationell patientöversikt och Journalen.
Vissa tjänster används av invånare, andra av vårdpersonal.
Arbete pågår med nuvarande tjänster och på vilket sätt de kan anpassas för kommunerna.
Inera ansvarar också för den gemensamma infrastruktur och it-arkitektur som ligger till grund för många av tjänsterna.
Därmed har Inera uppdraget från sjukvårdshuvudmännen att koordinera och utveckla gemensamma e-hälsolösningar – en supertungviktare inom e-hälsoområdet alltså.
Av detta följer att man har ett lika tungt ansvar när det gäller informationssäkerheten i de lösningar man erbjuder.
Detta faktum accentueras av att sjukvårdshuvudmän och vårdgivare i de flesta fall inte kan välja andra lösningar än de som Inera erbjuder eftersom de är nationella tjänster som det är nödvändigt att använda för att kunna bedriva vård.
Till skillnad mot om man skulle anlita kommersiell leverantör där man både kan styra med kravspecifikation och genom att byta leverantör om man inte är nöjd med säkerheten.
Dessutom ska Inera stödja digitalisering av regioners och kommuners verksamheter genom att tillhandahålla kompetens och material.
Bland annat säger man sig ta fram regelverk för informationssäkerhet, juridik och kvalitetssäkring.
Det vore konstigt om man inte skulle bli intresserad av hur Inera arbetar med informationssäkerhet då dessa olika uppdrag presenteras.
När man bedömer en organisations förutsättningar för att bedriva eär den vanliga metoden att utgå från vilka styrande dokument som tagits fram och beslutats.
Inte för att styrande dokument i sig med nödvändighet leder till bättre säkerhet men de ger ramarna för arbetet och beskriver förhoppningsvis det organisatoriska maskineri med bland annat ansvar och roller som förlängningen ska snurra igång det systematiska arbetet.
I korthet: regelverk är en nödvändig men absolut inte tillräcklig förutsättning för fungerande informationssäkerhet och det finns definitivt olika kvalitet på regelverk.
Dessutom innehåller regler på högre nivå mycket sällan någon som helst känslig information och skulle det återfinnas någon liten del som bedöms som känslig är den lätt att maskera vid ett utlämnande (tro mig – jag har begärt ut regler i stor omfattning från myndigheter, kommuner och regioner).
Innan vi går vidare ska jag för transparensens påpeka att jag för ett femtontal år sedan gjorde ett par konsultuppdrag för Ineras föregångare och jag hade även kontakt med Inera under den tid jag arbetade på MSB.
Mitt sammantagna intryck är att det varit motigt att införa ett systematisktt trots uppdraget Inera och dess föregångare haft.
Men åter till nuläget.
Med ovan beskrivna bakgrund var ett första steg för mig att be att få ta del av Ineras regelverk vilket jag gjorde den 6 augusti: Hej!
Jag skulle vilja ta del av: – Ineras interna ledningssystem för informationssäkerhet (LIS) som tillämpas i Ineras verksamhet – Aktuella regelverk och stödmaterial för informationssäkerhet som Inera tagit fram som stöd för sina kunder Jag skulle dessutom vilja veta när Inera senast genomförde en mer omfattande informationssäkerhetsrevision av den egna verksamheten.
Tack på förhand!
Jag fick snabbt ett automatsvar som kvitterade att mitt ärende tagits emot.
Sedan dröjde det och dröjde det.
Till slut kom ett svar den 22 augusti: Ni har begärt utlämnande av Ineras interna ledningssystem för informationssäkerhet (LIS), som tillämpas i Ineras verksamhet, samt vidare aktuella regelverk och stödmaterial för informationssäkerhet, som Inera tagit fram som stöd för sina kunder.
Ineras informationssäkerhetspolicy återfinns på .
Regelverk och stödmaterial inom informationssäkerhet och arkitektur, som delas med kunder, återfinns på .
Beträffande LIS gör Inera följande bedömning: Informationssäkerhet syftar till att hindra information från att läcka ut, förvanskas eller förstöras samt säkerställa att informationen finns tillgänglig för en legitim användare.
Ineras produkter och tjänster håller en sådan säkerhetsnivå att kunder kan känna förtroende för Inera som leverantör och uppnå en hög nivå av informationssäkerhet.
Inera har ett ledningssystem för informationssäkerhet, som är baserat på ISO 27001.
av regelverk som beskriver krypteringsnivåer, autentiserings-metoder, säkerhetsåtgärder i driftsmiljön m.m.
I systemet ingår vidare modeller förificering, incidenthantering, etc., liksom uppföljning i form av interna och externa revisioner samt säkerhetstester.
Sekretess gäller enligt 18 kap.
8 § 3 offentlighets- och sekretesslagen för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser telekommunikation eller system för automatiserad behandling av information.
LIS innehåller uppgifter av sådan art att ett utlämnande typiskt sett är ägnat att medföra skada för det intresse som skall skyddas genom den aktuella bestämmelsen.
Handlingarna kan därför inte lämnas ut.
Om ni inte är nöjd med sekretessbedömningen har ni rätt att begära ett formellt beslut.
Med vänlig hälsning Inera Detta var ett intressant svar av flera skäl.
För det första är den informationssäkerhetspolicy som bifogas och som också ligger ute på Ineras så sällsynt innehållslös och består enbart av det som i andra policys brukar ligga under rubriken ”mål”.
Bland annat saknas helt inriktning för ansvarsförhållanden vilket är av stor betydelse att definiera för en leverantör .
Att policyn är beslutad den 14 juni i år väcker även det en hel del tankar (mer om innehållet i de dokument jag fått ut längre ner).
Det riktigt förvånande är dock att Inera anser att övriga styrande dokument i sin helhet går att sekretesslägga och det med hänvisning till OSL trots att man inte tillhör de offentliga organisationer som faller under offentlighetslagstiftningen!
Detta sporrade min nyfikenhet och som den jobbiga människa jag är måste jag ställa ytterligare frågor med vändande post: Tack för svar!
En formfråga: har Inera fattat ett beslut att tillämpa OSL generellt för sin verksamhet?
Till svar fick jag följande: I Ineras bolagsordningen (från 2017) står följande: Allmänheten ska ha rätt att ta del av handlingar hos bolaget enligt de grunder som gäller för allmänna handlingars offentlighet i 2 kap.
tryckfrihetsförordningen och offentlighets- och sekretesslagen.
Här tätnade mystiken för mig.
2 kap TF och OSL handlar om hanteringen av allmänna handlingar.
Inera har per definition inte några allmänna handlingar och vad betyder då egentligen paragrafen i Ineras bolagsordning?
En generös tolkning är att man menar att Ineras handlingar ska hanteras som allmänna handlingar i myndigheter, regioner och landsting.
För att den handlingsoffentligheten ska fungera krävs bland annat diarieföring av handlingar där ärenden/handlingar får unika identiteter som går att söka fram och begära ut.
Om myndigheten, i det här fallet icke-myndigheten Inera, bedömer att det finns grund i OSL för sekretess för hela eller delar begärda handlingar ska ett sådant beslut lämnas skyndsamt med besvärshänvisning så begäran prövas i Kammarrätten.
Min nästa fråga blev därför: Tack!
Det innebär alltså att jag kan få ett formellt beslut med besvärshänvisning inom typ tre dagar?
Och svaret kom pronto: Ja, det stämmer.
Vill du alltså helst få ett formellt beslut?
Självklart vill jag ha ett formellt beslut men på vad?
Jag var tvungen att skriva tillbaka för klarläggande: Hej igen!
För att följa ert beslut om att efterleva OSL och TF bör jag få ta del av vilka handlingar och dess unika ID så att jag kan begära ut dem.
I policyn står inget om vilka övriga styrande dokument om ingår i ledningssystemet så därför behöver jag uppgifter om detta.
Exempel kan vara Riktlinje för åtkomst osv.
Dokumentnamnet kan inte falla under den sekretess ni hänvisar till.
Tyvärr har ni ju inget diarium på nätet så att jag själv kan söka reda på dessa uppgifter.
Jag skulle också vilja se beslut om till vilken instans ni skickar besvär i utlämnandefrågor.
När jag fått dessa uppgifter kan jag göra en formell begäran om utlämnande.
En vecka senare (30 augusti) kom svaret med en bilaga Hej Fia, Bifogad fil innehåller en beskrivning av Ineras ledningssystem och dess komponenter.
Den instans som är aktuell i besvärsfrågor är Kammarrätten.
Återkommer till innehållet i dokumentet senare men efter att ha läst beskrivningen skickade jag in följande begäran: Tack!
Jag har alltså fått en beskrivning av ert ledningssystem där ni bedömer att samtliga ingående dokument i sin helhet faller under OSL 18:8 § 3.
Förutom att jag tycker att det är tämligen unikt för Inera att se hela regelverket som fallande ur sekretess blir jag litet fundersam över vilka dokument i beskrivningen som är framtagna och beslutade.
Är beskrivningen en plan över vad som ska tas fram eller finns omnämnda dokument?
Och kommer Kammarrätten verkligen att anse att de är en instans för besvär gällande utbegäran om icke-allmänna handlingar (eftersom Inera inte är skyldiga att följa TF och OSL utan har det mer som en policyinriktning)?
Eftersom jag håller på att skriva om det just nu vill jag gärna pröva detta så jag begär ett formellt beslut angående utlämnande av följande dokument (eftersom de saknar unik identitet anger jag den beteckning som anges i beskrivningen): Jag förutsätter att ni gör en sekretessprövning som innebär att de delar av dokumenten som inte faller under reglerna för sekretess lämnas ut.
Förhoppningsvis håller ni också den praxis som gäller för skyndsam handläggning för denna typ av ärenden, d.v.s.
beslut inom tre arbetsdagar.
Idag den 3 september fick jag ett formell avslag med en besvärshänvisning där beslutet där samtliga handlingar i ledningssystemet förutom policyn i sin helhet bedöms i behov av sekretess.
Besvärshänvisningen är till Kammarrätten som kan göra en annan bedömning.
Själv är jag tveksam till om besvärshänvisningen verkligen fungerar eftersom Inera formellt inte faller under offentlighetsprincipen och de handlingar jag begärt ut därmed inte är att betrakta som allmänna vilket också fastslagits i ett liknande fall, då gällande (SKI).
Av rent intresse kommer jaag ändå att skicka in ett besvär.
Om vi ser till själva processen tycks Inera lägga betoningen på S snarare än O i OSL.
Det är tyvärr inte en ovanlig attityd bland myndigheter, det är klart att det är mycket bekvämare att arbeta bakom lyckta dörrar, men en mycket tråkig utveckling i ett samhälle där vi berömt oss för vår fina offentlighetsprincip.
Min fråga här blir hur syftet med informationsklassningen som säkerhetsåtgärd skulle kunna skadas om Inera lämnade ut beskrivningen av sin metod.
Eller hur riktlinjersin helhet skulle kunna vara känsliga.
För att undvika missförstånd: självklart finns det ingående beskrivningar av tekniska lösningar alternativt risker/sårbarheter som bör hållas skyddade för obehöriga (särskilt som Inera paradoxalt nog är frikostiga med tekniska beskrivningar .
Men styrande dokument på en högre nivå borde Inera ha all anledning att vilja sprida om man tar sitt uppdrag att ”koordinera och utveckla digitala lösningar” på allvar.
Eftersom vi vet att informationssäkerheten är så illa utvecklad inom sjukvården borde Inera föregå med gott exempel och visa upp vilken säkerhet man själv har i sin instans av 1177 till skillnad mot Medhelps hantering.
Vad skulle nyttan vara i att begränsa harmlös information om sitt säkerhetsarbete till sina ”kunder” om man hanterar personuppgifter för hela befolkningen och ett mycket stort antal aktörer är berörda av dessa regler på olika sätt?
En mer cynisk människa än jag skulle ifrågasätta att de dokument jag efterfrågar över huvudtaget finns annat än på ritbordet med tanke på att policyn antogs i mitten av juni i år och övriga dokument rimligen borde vara underdokument till den.
Jag väljer att tro att dokumenten i beskrivningen verkligen finns men det ledningssystem som framtonar liknar inget jag tidigare sett i en organisation med Ineras betydelse och ambition att följa ISO/IEC 27001/27002.
Policyn är som jag tidigare skrivit torftig och innehåller inte delar som ändå får uppfattas som praxis som exempelvis ansvar och roller, incident och kontinuitet vilket även är centrala aspekter för en tjänsteleverantör.
Dessa frågor återkommer inte heller på anvisningsnivå.
Inledningsvis sägs att: Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering.
Den ska också tillämpas i projekt och på förvaltningsobjekt.
Det är alltså en intern policy för bolaget Inera men vad säger det om informationssäkerheten i tjänsterna?
Och i relationen med kunderna?
När så basala frågor lämnas öppna är frågan vad policyn egentligen fyller för syfte.
Sammantaget är den bild jag får att detta inte ens om det blir genomfört skulle bli ett fungerande ledningssystem på det sätt som beskrivs i standarden.
Men då har jag som sagt inte sett själva dokumenten.
Kanske någon som är ”kund” i Ineras mening kan kolla på dessa dokument och återkomma med en beskrivning?
Ineras hemlighetsmakeri blir ännu mer märkligt med tanke på att ett flertal av de ägare som Inera kallar kunder villigt lämnat ut sina styrande dokument för informationssäkerhet när jag frågat.
Varför skulle större sekretess råda hos Inera?
Kanske är det ovanan att leva med en god offentlighetskultur som präglar Ineras synsätt.
På samhällsnivå är det i så fall ett stort problem om viktig information flyttas från öppna organisationer till slutna som Inera och SKL.
Jag tror att överdrivet sekretessläggande är till stor nackdel för säkerhetsarbete generellt men alldeles särskilt i sammanhang då en ett antal aktörer ska dela information, tjänster och infrastruktur.
Det måste finnas en grundlig kännedom och diskussion om gemensamma regler hos de som är aktörer i samarbetet men det måste också gå att presentera utanför den snävaste kretsen för att kunna skapa tillit.
Konsulter och leverantörer måste även de få inblick för att kunna utveckla sina tjänster så att de passar.
Detta gäller än mer om Inera ska axla rollen att stödja kommunerna i deras digitalisering.
Min förslag har sedan länge varit att ta fram gemensamma regelverk och skyddsnivåer för att skapa gemensam säkerhet och dessutom slippa de stora konverteringsproblem som uppstår då aktörer med olika regelverk ska samverka i samma infrastruktur.
Svensk digitalisering är i sig planlös men det skulle kunna gå att riva det Babels torn av språkförbistring som redan finns inom informationssäkerhetsområdet genom att skapa just gemensamma regelverk.
Jag gjorde ett försök 2014 när jag jobbade på MSB att få olika centrala aktörer att samverka men denna strategi har fallit i glömska trots ett flertal tunga undertecknare (bland annat SKL och Inera).
Idag är behovet av fungerande informationssäkerhet i vården större än någonsin finns det definitivt utrymme för Inera att kliva fram och göra mer av sitt uppdrag att ta fram regelverk för informationssäkerhet än det som nu finns presenterat på n, detta särskilt som SKL säger att man ska arbeta ”resolut” med att förbättra informationssäkerheten.
Ska man lyckas med det krävs dock öppenhet och dialog med de många aktörer som måste ingå i ett sådant förbättringsarbete.
Att hävda att sekretess råder för varje mening i styrande dokument på hög nivå är inte ett tecken på vilja till öppenhet och dialog.
Som en inledning på höstens äventyr tänkte jag bara göra några kompletterande anmärkningar till en debatt i Dagens samhälle.
Den inleddes med där jag ventilerade min oro efter vad som framkommit om Region Stockholms informationssäkerhet i den granskningsrapport som initierades av 1177-skandalen.
På inlägget följde två svar.
Det kom från ett par tjänstemän från SKL där man hävdade att regionerna arbetar resolut med informationssäkerhet.
I svaret är man tillämpar man ad hominem-argumentet att ett flertal gånger understryka att jag är ”konsulten”.
Det är ju förståeligt med tanke på NKS och i vilket vanrykte konsulter hamnat i efter den hanteringen men det som bekymrar mig är snarare att baktanken sannolikt är att göra mina argument ointressanta på grund av att jag inte representerar någon organisation.
Detta riktar i och för sig ljuset på ett tråkigt fenomen, att inträdesbiljetten i samtalet om samhällets gemensamma frågor förutsätter att deltagaren representerar ett särintresse.
Personligen tycker jag i stället att det demokratiska samtalet skulle tjäna på att många fler deltog, även de som inte har något annat intresse än att de är engagerade i att försöka förbättra samhället precis som när jag ställer upp som blodgivare.
Detta tillsammans med debattörernas åsikt att öppenhet om inträffade incidenter i offentlig verksamhet på något sätt skulle vara optional tycker jag också visar på det problematiska i SKL:s alltmer utvidgade roll.
Allt mer beslutsfattande och operativ verksamhet för in i en organisation där offentlighetsprincipen inte gäller och insynen, precis som debattörerna antyder, inte är en rättighet utan något som kan ges på nåder.
Att en arbetsgivarorganisation kan överta all fler uppgifter från demokratiskt valda organisationer och dessutom emellanåt kalla sig saker som ”koncernen SKL” (litet som om Almega skulle kalla sig koncernen Almega där alla tjänsteföretag skulle vara underordnade föreningen) leder till ett demokratiskt underskott som borde bekymra fler än mig.
För att inte falla i samma fälla och bara diskutera SKL:s svar utifrån vilka de är och inte utifrån deras argument ska jag här gå något djupare än jag kunde göra i mitt .
Företrädarna hävdar att regionerna arbetar resolut med informationssäkerhet men de exempel som ges på vad man gör tyder snarare på att man fortfarande är kvar i huvudsak teoretiska aktiviteter som möjligen kan få en säkerhetshöjande effekt längre fram.
Det skulle kunna tyckas vara gott nog om informationssäkerhet vore en helt ny fråga.
Det är det inte – behovet av informationssäkerhet i vården har lyfts fram som en kritisk fråga i flera decennier, det har funnits lagstiftning och föreskrifter som ställt krav på sjukvårdshuvudmän och vårdgivare ungefär lika länge.
Problemet är bara att frågan inte prioriterats och nödvändiga åtgärder inte vidtagits.
Att då litet förnärmat när vi närmar oss år 2020 hävda att man nu minsann är på gång med att ta fram mognadsmodeller och skrivit in i en egenstrategi att man anslutit sig till den nationella för informations- och cybersäkerhet känns inte, mja, som något som kommer att hindra incidenter och höja säkerhetsnivån inom den närmaste tiden.
Man säger också att SKL erbjuder sina medlemmar konkret stöd men där är problemet att det stöd som erbjuds t.ex.
i form av informationsklassningsverktyget KLASSA inte skulle ha utgjort ett stöd när det gäller upphandlingen av 1177 eftersom det är ett verktyg för att klassa system, inte informationen i processer.
SKL menar att jag bara gnäller utan konstruktiva lösningar.
Själv tycker jag att jag verkligen anstränger mig för att komma med förslag på förbättringar som att göra en gemensam analys för att kunna prioritera rätt åtgärder o.s.v.
men att vara konstruktiv innebär inte att man bortser från problemen.
Kanske har SKL fastnat i en föreställning att man ska verka som ett företag och att endast positiva marknadsbudskap ska förmedlas vilket följande ger intrycket av.
Jag tycker istället att ett rationellt hanterande av offentliga medel måste bygga på tydliga och ansvarsfulla problemformuleringar.
Sjukvården är i en ständig förändring där numera digitaliseringen spelar en avgörande roll.
Min enda önskaen tas på samma allvar som säkerheten i andra aspekter.
Ett läkemedel skulle aldrig introduceras utan noggranna tester, däremot är det fortfarande comme il faut att föra in nya digitala lösningar i skarp drift utan närmare tester.
Även Daniel Forslund (L), digitaliseringslandstingsråd i Region Stockholm och tycket att jag ensidigt fokuserat på revisionsrapporten när jag bedömde som regionens informationssäkerhet var undermålig.
Jag håller inte med.
Även om det var en kortfattad rapport pekade den på mycket basala systemfel som påverkar hela regionens säkerhetsarbete.
Men eftersom jag försöker ha någorlunda torrt på fötterna innan jag uttalar mig så har jag skrivit till regionen och bett att få ta del av regionens styrande dokument inom informationssäkerhetsområdet.
Utan att förhäva mig utan bara för att skapa kontext i frågan kan jag säga att jag genom åren som konsult och i andra roller sett ett mycket stort antal ledningssystem och också arbetat med att mäta befintlig informationssäkerhet i olika typer av organisationer.
Det är med denna bakgrund som jag bedömer att Region Stockholm saknar rimliga förutsättningar för att bedriva ett systematiskt.
Att regionen på hösten 2018 upphandlar en så känslig tjänst så sent som hösten 2018 utan att ställa relevanta säkerhetskrav är en bekräftelse på ett systemfel och inte en incident som inte kunnat undvikas.
Den som är intresserad får gärna ta del av de dokument jag fått från Region Stockholm för att göra en egen och möjligen annan bedömning.
Jag har tagit del av den granskningsrapport som KPMG genomfört på uppdrag av Region Stockholm efter 1177-skandalen och som av en händelse (?)
publicerades dagen för midsommarafton.
Rapportens omfång motsvarar på intet sätt skandalens omfång utan är ett luftigt dokument på 14 sidor inklusive bilagor.
Att rapporten är tunn räknat i sidor behöver naturligtvis inte påverka skärpan i analysen men som rätt luttrad granskare av informationssäkerhet känns de 14 sidorna som rätt kraftigt i obalans med uppdragets genomförande och omfattning: Granskningen har omfattat en kombination av IT-revision, inhämtning av information från tillgänglig dokumentation av karaktären styr- och stöddokument, uppföljningsrapporter samt intervjuer med nyckelpersoner.
Granskningen har utgått från vedertagna granskningsmetoder inom området informationssäkerhet, vilket omfattat såväl Vårdgivaren och dennes underleverantörer som Region Stockholm genom HSF.
En lista över de personer som intervjuats återfinns i bilaga 2.
Granskningen har genomförts under maj-juni 2019.
Vidare är rapportens utformning i avvikelseformat där endast väsentliga iakttagelser har lyfts fram med förslag på förbättringsåtgärder, inklusive eventuella behov att förtydliga avtal, uppföljningsrutiner och processer för att minimera att motsvarande inträffar igen.
Att på så få sidor beskriva Region Stockholms, Medhelps och ett antal underleverantörers styrning av sin informationssäkerhet, vad som gått fel och vad som bör göras för att undvika att systemfel som det inträffade upprepas känns inte riktigt seriöst.
Den sammanfattande bedömningen är dock på allvar oroande: Vår övergripande bedömning är att HSF bör se över kravställningen på informationssäkerheten i samband med upphandlingar samt att uppföljningsprocessen behöver struktureras och formaliseras för icke funktionella krav, däribland informationssäkerhet.
I allt väsentligt behöver kravställningen preciseras för att säkerställa att leverantörerna är införstådda i HSF:s förväntningar, men även för att öka den interna förståelsen för hur kraven ska följas upp.
Att avtalskraven beträffande informationssäkerhet är allmänt hållna, samtidigt som standarden inom området inte är fullt integrerad i HSF:s verksamhet, innebär i praktiken att Vårdgivarens hantering av informationssäkerhet endast har följts upp i begränsad omfattning.
Vad gäller Vårdgivaren kan vi konstatera att det inte finns något dokumenterat ledningssystem för informationssäkerhet samt att det förekommit brister i rutinen för utvärdering och uppföljning av underleverantörer till vårdtjänsten.
Vi noterar dock att Vårdgivaren, sedan incidenten, arbetar med en åtgärdsplan för att förbättra informationssäkerheten, rutiner beträffande kontroll av leverantörer samt planerar för en certifiering inom ISO 27001.
Vi noterar att de akuta bristerna hänförliga till incidenten har hanterats, bland annat genom den skyndsamma nedstängningen av den felkonfigurerade servern, uppsägningen av avtalet med underleverantören som givit upphov till incidenten samt inhämtandet av all patientinformation till Vårdgivarens egen tekniska lösning.
Vi har dock identifierat ett antal framåtblickande förbättringsområden som rör HSF:s övergripande arbetssätt beträffande informationssäkerhet, fördelningen av roller och ansvar samt metoden för hantering och uppföljning av leverantörer.
Vidare har vi även identifierat åtgärder hänförliga till Vårdgivarens arbete med informationssäkerhet och den planerade ISO-certifieringen samt sättet till vilket Vårdgivaren arbetar med att vidareförmedla HSF:s avtalskrav beträffande informationssäkerhet.
HSF är alltså Hälso- och sjukvårdsförvaltningen i Region Stockholm och vårdgivaren Medhelp.
Att Region Stockholm inte lyckas formulera tydliga säkerhetskrav i upphandlingar i en så central tjänst som 1177 är i sig skandalöst.
Att sedan Medhelp som vårdgivare helt saknar ledningssystem för informationssäkerhet och att Region Stockholm inte ens ställt krav på en så grundläggande nivå är information som bekräftar min bild att den svenska sjukvården fortfarande ignorerar behovet av informationssäkerhet.
1177-skandalen var trots allt bara sten som vändes, om än stor.
Det som verkligen oroar är de brister i Region Stockholm säkerhetsarbete som avslöjas indirekt i rapporten.
Dessa brister gör det mycket sannolikt att 1177 bara är en del i större systemfel där patienters hälsa och integritet är i en ständig riskzon om rapportens uppgifter stämmer.
Ta till exempel följande iakttagelse från granskarna: HSF saknar ett fullständigt ledningssystem för informationssäkerhet (LIS).
Enligt den regionsövergripande informationssäkerhetspolicyn ska varje nämnd införa ett lokalt ledningssystem för informationssäkerhet.
I förekommande fall har HSF tagit fram lokala styrande dokument för informationssäkerhet, men dessa återspeglar i allt väsentligt de styrdokument som finns på regional nivå.
Graden av verksamhetsanpassning är relativt låg och förvaltningen har inte tagit fram några instruktioner eller utvecklat processer för hanteringen av informationssäkerhet.
Vi noterar att instruktioner håller på att arbetas fram, men dessa berör hanteringen av portabel IT-utrustning och syftar således inte till att tydliggöra riktlinjerna för hur förvaltningen.
Region Stockholm har alltså inte tagit fram säkerhetsregler för avpassade för sjukvården utan i huvudsak nöjt sig med de generella för regionen (trots att det funnits en föreskrift att så ska göras sedan 2008 SOSFS 2008:14) och att man inte heller är på väg att göra det för mer än för bärbar utrustning.
Jag tror redan den som rent tillfälligt jobbat med informationssäkerhet i vården förstår hur mycket arbete och eftertanke som krävs för att anpassa generella regler så att de fungerar i vården, t.ex.
bara att ge en uttolkning av ansvasförhållandena för informationshanteringen är en mycket komplex fråga.
Situationen i Region Stockholm gäller även hos Medhelp som inte heller har förmåga att ställa relevanta krav på sina underleverantörer: Processer och rutiner ska finnas för att säkerställa uppfyllandet av Socialstyrelsens krav på informationssäkerhet.
Vårdgivaren har inget dokumenterat LIS och det är vår bedömning att vissa processer saknas för att kunna försäkra att kraven uppfylls.
Vi noterar exempelvis att Vårdgivaren, i enlighet med vedertagna standarder och god praxis, inte har ställt ändamålsenliga krav på samt följt upp leverantörers hantering av informationssäkerhet.
Vidare anger Socialstyrelsen att vårdgivare ska ha en informationssäkerhetspolicy som anger mål och inriktning på verksamhetens arbete med informationssäkerhet.
Vi har identifierat att Vårdgivaren har antagit en informationssäkerhetspolicy i maj 2019.
Vi noterar i sammanhanget att Vårdgivaren planerar för en certifiering inom ISO 27001 till kvartal 2, 2020 samt har ett ledningssystem för GDPR.
Den här råttan-på-repet situationen illustrerar väl varför startpunkten för att förbättra säkerheten i vården på måste ligga på sjukvårdshuvudmännen eftersom det är huvudmännen som utformar förutsättningarna för de övriga aktörerna.
Tyvärr har ju lagstiftning och föreskrifter i huvudsak varit inriktade på vårdgivarna vilka i praktiken numera har svårt att ens den egna informationssäkerheten eftersom informationen hanteras i gemensamma lösningar.
Det är därför extra nedslående när sjukvårdshuvudmännen väljer att inte driva frågan ens i den egna verksamheten och inte heller att respektera de föreskrifter som finns.
Framför allt är det en fråga där det inte skulle behövas en föreskrift för att få de styrande i Sveriges största sjukvårdshuvudman att inse behovet av att styra informationshanteringen så att patienterna kan lita på att få god och säker vård.
I den kommentar som regionens ansvariga för vård upprepar man att man ska införa emen fokuserar i åtgärderna huvudsakligen på underleverantörerna.
Men att styra underleverantörerna utan ett eget fungerande regelverk är ett moment 22 som även granskarna noterar: HSF ställer inte tillräckligt tydliga krav på sina privata vårdgivare vad gäller deras informationssäkerhet.
Kravställningen på informationssäkerhet sker genom tillämpningen av en standardbilaga, vilken anger att leverantörer/vårdgivare ska följa regionövergripande styrande dokument för informationssäkerhet.
Vi noterar att de styrande dokumenten, i sin tur, anger att informationssäkerheten hos de som arbetar på uppdrag av Region Stockholm ska regleras genom avtal.
Vår bedömning är att dessa hänvisningar kan ge upphov till skiljande uppfattningar gällande kravbilden på informationssäkerheten.
Med hänsyn till att Socialstyrelsen anger som krav att vissa kontrollmål ska uppfyllas beträffande informationssäkerheten, företrädesvis med stöd av ett LIS enligt standarder i ISO 27000-serien, är det även vår bedömning att HSF:s tillkommande avtalskrav endast ger en begränsad effekt vad gäller att tydliggöra förväntningarna på de privata vårdgivarna.
Jag ska inte tjata mer om hur uppseendeväckande det är att Region Stockholm trots föreskrifter, alla incidenter och trots alla granskningar genom åren ändå inte prioriterar att införa ens ett regelverk för vården att utgå ifrån.
Det gör att man vare sig kan ha ett internt systematiskteller ställa relevanta krav på underleverantörer, det senare framgår på ett nästan tragikomiskt sätt i relationen med Medhelp.
Informationssäkerheten i vården är ingen ny fråga utan har varit uppmärksammad sedan åtminstone första hälften av nittiotalet.
Den stora frågan är Region Stockholm (och övriga sjukvårdshuvudmän) år efter år undviker att komma till rätta med bristerna.
Varför tycker man att det är rimligt att utsätta verksamheten och patienterna för de stora risker som den bristande säkerheten leder till samtidigt som man är beredd att investera ofattbara resurser i experiment som NKS?
Och nej, det går inte att säga att 1177 var ett undantag från en i övrigt fungerande situation.
KPMG:s rapport är den senaste i en rad av rapporter som visar att den bristande säkerheten är ett systemfel som genomsyrar hela den svenska vården – har man inte styrning av informationssäkerheten så finns den inte mer än fläckvis och utan möjlighet att reducera riskerna.
En relaterad fråga är om NIS-direktivet kommer att ha någon positiv inverkan över huvud taget eller om även denna styrning mot ekommer att ignoreras.
Om läsaren tycker att jag ger en alltför mörk bild av Region Stockholms informationssäkerhet rekommenderar jag att ni läser KPMG:s knapphändiga rapport som ändå ger en antydan om regionens förmåga rörande informationssäkerhet.
Tillägg 2019-06-24: Lägger ut rapporten som pdf här: Även för den som är relativt insatt i svensk hälso- och sjukvård och dessutom fortlöpande läst DN:s långa rapportering om alla turer i NKS:s skandalen är ”Kampen om Karolinska.
Konsulterna” av journalisterna Anna Gustafsson och Lisa Röstlund en upprörande och i vissa stycken hjärtslitande läsning.
Sammanställningen av en lång rad av medvetna beslut av den politiska majoriteten under ett antal år som lett till en alltmer katastrofal situation är skakande och i förstone närmast obegriplig.
Att denna politiska revolution av den stockholmska sjukvården kunnat genomföras trots att den kantats av ekonomiska haverier i en hittills okänd skala, personal som flyr eller är helt uppgivna samt i sin yttersta konsekvens patienter som faktiskt dör på grund av omorganisationen.
Boken ger en mycket grundlig och researchad beskrivning av förloppet, dessutom välskriven.
Jag kommer inte här att gå in på djupet i boken utan rekommenderar den som sommarläsning för alla.
Som konsult kan jag särskilt uppmuntra andra konsulter läsning och därefter visst begrundade av vilken skada man kan göra om man som konsult driver sin egen agenda i kundens organisation.
Det är inte en särskilt hårfin skillnad mellan att ha integritet och att driva sina egna intressen hos kunden.
Efter att ha arbetat i offentlig sektor är det vissa drag i historien obehagligt välbekanta som övertron på att gigantiska omorganisationer löser problem och managementkonsulter som löper amok och kör över alla som har någon slags kompetens, d.v.s.
Den tystnadskultur som drivits fram vid NKS där enbart lovprisning av den värdebaserade vården tolererats är inte heller den ett unikt fenomen utan en sjuka som enligt min uppfattning äter sig allt djupare in i den offentliga sektorn generellt.
Det till synes oreflekterade upphöjandet av nya organisationsteorier som frälsningslära är inte heller unikt för NKS med sin värdebaserade vård.
Själv har jag varit med om allt från LOTS till Lean via lärande organisation, det sistnämnda något ironiskt eftersom varken landstingspolitiker eller myndighetschefer verkar lära sig något av de misslyckade organisationsexperimenten – snabbt är man på nästa modeteori.
Själv har jag mycket liten tilltro till att omorganisationer löser större problem, och för detta finns det heller föga stöd i forskningen.
Men för den ledare som vill sätta sitt märke på kommunen, regionen eller myndigheten kan en stor omorganisation vara det som skapar synlighet och inge en känsla av handlingskraft.
Region Stockholm har dock tagit vissa fenomen till en ny nivå.
Varför den borgerliga majoriteten med m och kd i spetsen valde en ekonomisk driftform (OPS) som blivit många gånger dyrare än att bygga och drifta det nya sjukhuset i egen regi saknar fortfarande rimliga svar förutom att de drevs av en nyliberal överideologi.
För den intresserade som vill djupdyka i denna del finns SvD-journalisterna Henrik Ennart och Fredrik Mellgrens bok ”Sjukt hus: om Nya Karolinska – svindlerierna, skandalerna och sjukvårdskrisen i Stockholm”, också den mycket läsvärd.
Stockholmare kommer att dras med effekterna av denna mycket dåliga affär i decennier framåt.
Att man dessutom låtit konsulter från BCG skicka in juniora konsulter, fakturera vilt samt anställa sina gamla kollegor är även det ganska många snäpp mer än vad som brukar förekomma.
Lägg därtill alla turer där anställda på KI även driver företag tillsammans med amerikanska intressen och försöker påverka utvecklingen av den stockholmska sjukvården så det gynnar de egna företagen snarare än patienterna och vi har en soppa som inte skådats i Sverige i modern tid.
Särskilt oroande blir detta med tanke på att hälso- och sjukvård är en av de sektorer som är mest utsatta för korruption vilket det finns ett aktuellt Konflikt om .Det tål att påminnas om den gamla sanningen att Sverige löper en stor risk för korruption eftersom vår självbild är att vårt samhälle är immunt mot korruption.
För mig har det dock varit av särskilt intresse att ta några steg tillbaka och sätta den värdebaserade vården och den informationshantering som följt med den i ett större historiskt och politiskt perspektiv.
Jag pratar då inte om de ”normala” it-haveriförloppen inom den svenska sjukvården och framför allt Region Stockholm där först politiker går ut med löften om fantastiska nya som sedan .
Därefter glöm, få andra att glömma och upprepa.
Nu pratar vi om en informationshantering med risker på en hel annan nivå och inbyggda i själva styrningen av sjukvården.
Den värdebaserade vårdens ledande företrädare Michael Porter (forskare i management och strategi, inte medicin) brukar enligt författarna av sammanfatta sin teori i ekvationen .
Resultatet mäts i hög grad utifrån patientens upplevelse, inte ett faktiskt mätbart resultat vilket känns fascinerande paradoxalt eftersom modellen i övrigt bygger på att mäta, mäta och åter mäta.
Observera att jag inte på något sätt ifrågasätta patientens rätt att känna sig nöjd med och delaktighet i sin vård utan invändningen ligger i att det finns få så luriga mått som upplevd nöjdhet samt att detta är ett mått är skräddarsytt för en konkurrensstyrd kommersiell verksamhet.
Redan här kan man se hur valet av vårdmodell klickar i den ideologiska revolutionen av den stockholmska sjukvården.
Den värdebaserade vården satt i system förutsätter en gigantisk datainsamling för att verkligen kunna bedöma vilken aktör som vid varje tillfälle lyckas lösa Porters ekvation bäst.
Förutom att i sig skapar det NPM-inferno som även känns igen från den svenska skolan med överdokumentation och rapportering med efterföljande stress är detta en modell som illa överensstämmer med en offentligt finansierad vård.
Istället för att ta det ansvar som krävs för bland annat multisjuka äldre maximeras istället vinsten i modellen för de vårdgivare som avverkar enskilda vårdepisoder snabbast.
Som så ofta i den moderna vårdens historia har frälsare av Porters typ fått dominera och hävda att sjukvård kan ses på precis samma sätt som bilfabriker.
Och varje gång havererar de löpande bandsprinciperna utom i vissa specifika operationstyper eftersom människor envisas med att ha kroppar och sinnen som är så mycket mer unika och komplexa än nyproducerade bilar.
Skandalen på NKS gör dock att jag (och förhoppningsvis andra) får upp ögonen för hur det ekonomiska skede vi lever i fungerar.
Sedan åtminstone 70-talet har vi vetat att vi lever i ett informationssamhälle men vad betyder egentligen det?
Inte bara att vi får en massa nya coola prylar och kan kommunicera via the world wide ( wild) webb utan att vi faktiskt gått in i en ekonomi som har information som sin huvudsakliga råvara.
Den amerikanska professorn i social psykologi Shoshana Zuboff har i sin mycket omskriva beskrivit framväxten av hur det ekonomiska systemet byggt på information som råvara fungerar.
Ofta tolkas hennes teorier endast i förhållande till Google, Facebook och liknande plattformar som .
Att se Zuboffs bok snävt som en beskrivning av hur Google och Facebook fungerar är fel menar jag.
Bland annat den globala hälso- och sjukvårdsmarknaden fungerar idag enligt samma grundprinciper.
I fallet med NKS, BCG och den värdebaserade vården blir det uppenbart hur ekonomiska intressen utanför NKS, Region Stockholm och Sverige ser den svenska sjukvården som en naturresurs att utvinna.
Zuboff är inte ensam i sitt uppsåt att skildra den digitala ekonomins framväxt men hon gör det på ett sammanfattande och övertygande sätt (och med en titel som för tankarna till favoriten bland författare till breda historiska exposéer Hobsbawm).
Mycket grovt förenklat kan Zuboffs skildring av övervakningskapitalismens era ses som ett skede där teknisk innovation korrelerar med framför allt två huvudsakliga faktorer: att det från 70-talet växer fram en nyliberal hegemoni i västvärlden och efter 11 september 2001 ett samhällsklimat som präglas av en allt starkare befogad eller obefogad känsla av otrygghet.
Nyliberalismens huvudkonflikt kan, även detta starkt förenklat, ses som en maktkamp mellan statlig/samhällelig reglering och de fria marknadskrafterna.
Under de senare decennierna av förra århundradet och de två i vårt nuvarande har en systemförändrande avreglering skett och ersatts av metoder som compliance och standarder där marknaden påstår sig kunna reglera sig själv.
Kombinerad med den konsekventa nedmonteringen av rätten till integritet som motiverats av att kunna förhindra terrorism och andra brott har kapat både samhällets och individens förmåga att på ett effektivt sätt skydda sig, eller ens vilja skydda sig, mot att personlig information utan insyn och kontroll används som råvara.
När informationen blivit råvara förflyttas äganderätten av uppgifterna från individen till det företag som kan hävda sig ha ”förädlat” den (här finns en intressant koppling till Nozick som jag inte hinner utveckla närmare men låt mig ändå säga att jag ser Nozick som själva gudfadern till berättigandet av utvecklingen).
I denna historiska korsväg utvecklar först Google och därefter bl.a.
Facebook sina tjänster.
I lika hög grad som att erbjuda användarna möjlighet att utbyta information sinsemellan börjar företagen exponentiellt samla allt mer information om användarnas beteende.
I förstone motiveras detta med att det ska ge underlag för att ge användarna allt bättre tjänster för att sedan allt mer tydligt ge stöd för riktad marknadsföring.
Med den fullständigt enorma informationsbas av överskottsinformation som Google byggde upp kunde de göra så annonsörerna kunde få stor träffsäkerhet i sin annonsering.
Steget efter att ge sökvägar till annonsörerna var det som Zuboff menar är det verkligt revolutionerande: ett överskott av information rörande användarnas beteende som med algoritmernas hjälp går att användarnas behov: Instead, we are the objects from which raw materials are extracted and expropriated for Google’s prediction factories.
Förutsägelserna berör inte bara den enskilda användarna utan, viktigare, på gruppnivå.
Ett positivt exempel är när det genom användares sökningar på Internet går att förutse influensaepidemier.
Obehagligare när en kvinna börjar få annonser om mammakläder i sitt flöde redan innan hon själv vet att hon är gravid… Den verkliga vinsten i att inte bara veta hur folk/kunder beter sig när de får hålla på som de vill utan när tjänsteleverantörerna påverkar kunderna att agera på ett sätt som gynnar leverantören utan att ens fatta det.
Tjänste- och plattformsleverantörer har, som Zuboff visar, ända sedan början haft ett gemensamt intresse och samarbete med statliga myndigheter i USA och annorstädes vilket inte gör osynliga men obetvingliga styrningen mycket skrämmande.
Den generellt positiva syn som många säkerhetsmänniskor har till övervakning blir satt i detta sammanhang oroande naiv.
Marknadspotentialen i att ha tillgång till oceaner av information om beteenden är omätbar inte bara i första läget för det egna företaget utan framför allt som en förpackad kommoditet som kan säljas vidare.
Sätt då detta i korrelation med en bransch som omsätter mellan 10 och 20 % av BNP i västvärldens länder, är i snabb global tillväxt och dessutom samlar in och bearbetar känslig personlig information om alla invånare.
Landskapet som NKS och den värdebaserade vården sätts i kan liknas vid det El dorado som conquistadorerna drömde om, med skillnaden att Sverige verkligen finns och har kvalitetsregister och patientjournaler för hela befolkningen.
Det vill säga ett verkligt El dorado för inte bara vård- och läkemedelsföretag utan även försäkringsbranschen.
Cyberrymden är en ny jättekontinent som exploatörerna vill hålla så fri från reglering som möjligt.
De fantastiska marknadsmöjligheter som ligger i att kunna prognosticera patienter och försäkringstagarnas utveckling är oöverblickbara.
Denna sanning uttrycks explicit i ett citat av en högt uppsatt tjänsteman på Karolinska som inleder avsnittet som är mycket lämpligt benämnt ”Guldet” i DN-journalisternas bok: Det är en sak som BCG och bolagen de jobbar med främst vill åt.
Det är patientdata som är deras bitcoins.
Däri ligger den stora affären i värdebaserad vård.
Vi måste lära oss att leva med att Sverige med sin långtgående nyliberalism i kombination med de kvalitetsregister som på frivillig basis byggts upp under mycket lång tid tillsammans alla övriga patientdata kommer att ha ofattbar dragningskraft på internationella företag.
Det gäller på samma sätt för all annan information inklusive personuppgifter som sammanställs av svenska myndigheter.
Det viktiga är att detta hanteras på ett öppet sätt där inte bara företagen blir nöjda utan att även kärnverksamheten och dess avnämare som patienter och medborgare.
När man ser mekanismerna som varit i kraft vid NKS kan jag inte låta bli att undra över exempelvis satsningen på När satsningen presenterades av Göran Hägglund (numera tryggt förankrad i privata vårdföretag) framställdes som en särskild USP att app-leverantörer och andra entreprenörer skulle kunna bygga tjänster på de datamängder som insamlades.
Vad var egentligen hönan och vad var ägget i Hälsa för mig?
kan ses i full careta när det gäller även härvan på NKS och den värdebaserade vården.
Lobbyismen, parasiterandet på akademin och de vilseledande budskapen om vem som gynnades.
Utan att ta partipolitisk ställning tycks för närvarande samhällets förmåga att hantera en skandal som den vid NKS undermålig.
Inget ansvarsutkrävande av de verkligt ansvariga, d.v.s.
de politiker som fattat samtliga beslut både när det gäller byggnation, värdebaserad vård, konsultanvändande och it-system, har skett.
Fristående och seriös journalistik förefaller vara det enda sättet för att skapa den insyn och kontroll som de offentliga institutionerna inte är intresserade av att själva bygga upp vilket i sig är en dyster insikt.
I detta sammanhang är en stilla önskan att hela e-hälsoområdet kommer att locka till sig lika envetna, seriösa och välskrivande journalister som de som nu skrivit ”Konsulterna”.
Ett helt ofarligt löfte att ge är att det finns lika mycket att gräva fram om e-hälsa som om NKS!
Det är lätt att hamna i en politisk depression när man funderar över hur digitaliseringens starka krafter ska kunna tyglas för att dra åt ett håll som gynnar hela samhället och så att individen har en basal möjlighet att upprätthålla sin integritet.
Att krafterna som motverkar integritet är mycket kraftfulla är uppenbart och argumentationen från de kommersiella aktörerna mot integritet som hindrar affären dominerar även i ett stort antal myndighetsutredningar har jag länge observerat.
Den sittande majoriteten i Region Stockholm gjorde det till och med till ett vallöfte att göra stockholmarnas patientdata tillgängligt för industrin.
Trots detta drabbades jag litet av en chock när jag i slutet av ”Konsulterna” får läsa att OECD antagit värdebaserad vård som strategisk inriktning och kräver att medlemsländerna, däribland Sverige, ska dela patientdata via en jättelik gemensam databas, ”Parisdatabasen” där OECD är ägare till uppgifterna.
Detta sker i samarbete med – BCG… Databasen vars nytta bedöms oklar av Socialstyrelsen och vars syfte inte klart har definierats anses ändå oumbärlig.
Särskilt upprörande är att det inte går att avtala vem som ska få tillgång till informationen utan har beskrivits som ”OECD och framtida samarbetspartners”.
Ganska långt från dataskyddsförordningens regler är väl ett understatement.
Jag uppmanar alla intresserade att hålla ögonen på detta projekt, särskilt som det verkar som att OECD i aggressiva ordalag kräver in uppgifter trots svenska myndigheters tveksamhet.
Landsting och regioner är däremot föga förvånande positiva, en nödvändig levnadsregel är nog: lita aldrig på en region i integritetsfrågor.
Vad kan då göras?
Jag menar att vi måste kunna införa ett slags samhälleligt marshmallows-test där vi vågar utreda vår nya situation och skaffa oss nödvändiga redskap för att styra utvecklingen åt ett håll som gynnar flertalet och inte bara viljelöst följa med.
Oavsett politisk uppfattning bör vi kunna komma överens om att de intressekonflikter som finns i den digitala utvecklingen måste lyftas fram och diskuteras så att åtminstone invånare i demokratier har möjlighet att ställning till hur de vill ha framtiden.
Ett konkret förslag är att tillsätta en etisk kommitté med uppdrag att fortlöpande utvärdera och ta ställning till större initiativ inom digitaliseringsområdet.
DIGG kan vara sammankallande och sköta kansliet för kommittén men ett antal mycket fristående och erkänt motspänstiga ledamöter av typen filosofer bör ingå.
Otillräckligt men kanske ett första steg på att erkänna att varje mynt har åtminstone två sidor, så även digitaliseringen.
Slutligen måste jag understryka att jag inte ger någon av de nämnda böckerna rättvisa utan uppmanar alla att själva läsa dem och bilda sig en egen uppfattning.
Själv fick jag min nya Fitbit igår… Tillägg 2019-06-18: Ett visst hopp angående möjligheten att OECD:s planer kan ändå skönjas i och med regeringens beslut att inte delta i uppbyggnaden av .
Jag fortsätter succékonceptet att blogga om obskyra ämnen med en mycket begränsad grupp av intresserade.
Förra gången utredningsväsendet, nu behovet av autenticitet.
Upprinnelsen till detta inlägg är att jag fick uppdraget att prata om äkthet på en konferens och då började fundera mer intensivt på frågan – tack för det FALK!
Detta blogginlägg ska ses som en bråkdel av vad jag anser behöver belysas gällande autenticitet.
Utgångspunkten var att både ur ett arkiv- och ett informationssäkerhetsperspektiv finns ett grundläggande intresse av att kunna skapa och upprätthålla autenticitet på olika nivå i informationshanteringen.
Att notera är att autenticitet vid sidan om skydd mot obehörig åtkomst också är det historiskt sett mest konsistenta intresset både för arkivverksamhet och för informationssäkerhetsområdet.
Dessutom är vissa tekniska åtgärder för att på olika sätt skapa autenticitet så grundläggande att vi inte ens reflekterar över dem, från underskrift på pappersdokument till olika digitala autentiseringslösningar.
Detta till trots är autenticitet som begrepp och tillämpning påfallande sällan diskuterat.
Slagningar i Libris och Diva antyder att när autenticitet explicit diskuteras gäller det i allra flesta fall kulturminnesvård, konst eller möjligen kvalitet.
Inte ens som autenticitetens betydelse i relation till juridiskt bevisvärde har skapat några större textmängder vilket påpekas i en av de få avhandlingar från senare år som har detta tema ( av Jonas Ekfeldt).
De många utredningar som genomförts rörande digitalisering har inte fördjupat sig autenticiteten utan den nämns endast flyktigt som i SOU 2018:25 där ordet autenticitet finns med två (!)
gånger på 562 sidor.
Visserligen diskuteras signaturer i ett avsnitt men som jag ser det är det enbart en delmängd av frågan och här presenterad helt utan större kontext.
Det enda glädjeämnet är en tio år gammal text av , numera landsarkivarie i Härnösand.
Ett första steg för många för att förstå begreppet autenticitet är att gå till de standarder som ofta tillmäts kvaliteten att kunna ge definitioner.
Jag har här valt två centrala standarder för området som även fått förleden SS för att ange att de ska ses som svenska standarder.
Den första är SS-ISO 15489_1 2016 som är en standard för hantering av verksamhetsinformation till vilken allt oftare arkivarier hänvisar.
Ur ett arkivperspektiv är möjligheten att bedöma graden av autenticitet en nödvändig förutsättning för i princip alla moment i hanteringen och det är därför av intresse att se vilket stöd standarden ger för att närma sig frågan.
Trots att den alltså är en svensk standard finns den ännu inte, såvitt jag kan se, översatt till svenska.
Inga förändringar har dock gjorts från en tidigare version av standarden som hade följande svenska definition: Att handlingen visar att den är vad den utger sig för att vara, Att den är skapad eller skickad av personen som uppgett sig för att ha skapat eller skickat in handlingen Att handlingen blivit skapad eller inskickad i den angivna tiden Även bortsett från den förvirrande användningen av begreppet ”handling” som skapar så mycket språkförbistring när arkivarier ska kommunicera den övriga mänskligheten (det är liksom både bärare och informationsinnehåll på en gång) så är denna definition fertil grogrund för ett antal frågor.
Som det första cirkelargumentet att handlingen (som bärare gissar jag) i sig demonstrerar något som ger autenticitet.
Som att den tycks se autenticitet som ett binärt begrepp; antingen är handlingen autentisk eller inte.
Som att autenticitet på något vagt sätt har med post att göra.
Som att autenticitet är knuten till en enskild person.
Om vi istället går över till informationssäkerheten och ser vad den svenska terminologin som SIS gav ut 2015 säger blir frågorna inte färre.
Där uppges följande: äkthet avseende uppgivna uppgifter; särskilt rörande påstådd identitet och meddelandens ursprung och innehåll Den tekniska process vari äktheten, autenticiteten bekräftas kallas autentisering.
Denna kontroll kan avse entiteter såsom användare, processer, systemkomponenter och informationsobjekt Pluspoäng för att man nämner ordet ”äkthet” och att autentisering kan gälla olika typer av komponenter.
I övrigt är det rätt svårt att förstå vad som egentligen kännetecknar autenticitet.
Vad som mest intresserar mig är dock att autenticitet valts bort som en central dimension av informationssäkerheten i ISO 27000:s tolkning.
Istället har riktighet upphöjts till en av de tre särskilda omnämnda värdena och då med denna betydelse (fortfarande enligt terminologin): skydd mot oönskad förändring Definitionen ser till skyddet medan egenskapen ”riktighet” får förstås implicit som typ oförändrad information.
Jag har svårt att förstå denna prioritering mellan begreppen.
Hur man kommit fram till den är som eljest i standardsammanhang dolt, de diskussioner, överväganden och möjligen utredningar som lett fram till olika ställningstaganden finns inte presenterade någonstans.
Bristen på den transparens och strävan efter delaktighet som finns inom exempelvis akademin saknas då standarder etablerar sina sanningar.
Riktighet kan i bästa fall ses som en delmängd av det större begreppet autenticitet.
Därför bör autenticitet eftersträvas som ett huvudmål snarare än riktighet, en uppfattning som skulle varit rimlig redan innan det digitala samhälle vi nu har fötts.
När information hela tiden skapas, transformeras och kommuniceras med oändliga möjligheter att avsiktligt eller oavsiktligt göra den missvisande vad det gäller upphov, kvalitet och intention borde autenticiteten vara en naturlig fokalpunkt för informationssäkerhet, digitalisering och arkiv.
För att inte tala om AI och deep fake.
Informationssäkerhet och valet av riktighet framför autenticitet – varför blev det så?
Bortsett från min generella hypotes om den anti-intellektuella hållning som präglar området är en spekulation att riktighet valts p.g.a.
många i branschen rekryterats från it-hållet och därför känner sig bekväma med ett databassynsätt, d.v.s.
att information i ett system ska skyddas mot förändring.
Eftersom denna snäva beskrivning av risker är otillräcklig sett till verkliga organisationers behov har man därför behövt gå in och trixa med begreppet spårbarhet för att få någon slags relevant beskrivning.
Därav det neurotiska förhållandet till spårbarhet, ett begrepp som är så tabuiserad att det inte ens går att diskutera för de rättroende.
Synd tycker jag vilket jag skrivit om Mitt förslag för att få en mer täckande beskrivning av förhållanden som behöver beskrivas är att använda konfidentialitet, autenticitet, spårbarhet och tillgänglighet.
Riktighet kan då placeras in under paraplyet autenticitet som en nödvändig men inte på långt tillräcklig aspekt att bedöma.
Dock räcker inte de definitioner som de två standarderna ger för att fylla det behov av att beskriva informationens äkthet som vi har i digitaliserad värld.
Hur ser då detta behov ut?
Kärnan i frågan är att kunna säkerställa en informationsmängds kvalitet i form av ”äkthet”.
För att ytterligare ringa in vad som åsyftas så består autenticiteten inte bara av att informationen är oförändrad (det som åsyftas med riktighet) utan även att den är vilket också kan formuleras att den har ett .
Som ett enkelt exempel: för att ett avtal ska kunna ha ett bevisvärde räcker det egentligen inte med en signatur även om det accepterats under lång tid.
Vad som krävs är att det går att härleda vem det är som undertecknat men framför allt om denna någon hade mandat att underteckna avtalet o.s.v.
Det är inte heller så att en tavla signerad med namnet Picasso övertygar alla som en äkta dyrgrip.
Den kanske bästa och enklaste illustrationen av bevisvärdets betydelse för autenticiteten finns att hämta i utvecklingen av sedlarnas historia som betalningsmedel.
De första sedlarna var egentligen kvitton på insatta medel hos en bank.
Kvittot kunde sedan användas för att på ett smidigt sätt kunna sköta betalningar utan att behöva släpa omkring högar av metaller.
För att denna effektivisering av ekonomin skulle kunna vara möjlig krävdes institutionella förutsättningar för att den enskilda sedeln skulle accepteras som autentisk och inte som vilken papperslapp som helst.
Det räcker inte med att siffrorna på sedeln är ”riktiga” utan den måste också omges andra skyddsåtgärder för att kunna accepteras som äkta.
Jag laborerar med tanken att se autenticitet som en inversion av källkritikens principer.
Det betyder att autenticitet inte är binärt utan en glidande skala av möjlighet att bedöma äktheten, beroenden, tendens, tidsförhållanden, närhet till händelsen o.s.v.
De tekniska lösningarna kan sägas ”låsa” den organisatoriska kontext som omgett informationen i olika skeden och därmed ge ett bevisvärde.
I ett långsiktigt måste de organisatoriska förhållandena som skapar autenticitet kunna återskapas på ett säkert sätt även om tekniska lösningar förändras och information migreras (kedja som ej bryts).
Inom arkivområdet används begreppet proveniens för att beskriva förhållandet mellan information, organisation och i förlängningen äkthet.
Frågan om autenticitet är principiellt densamma i digitala som i analoga informationsmängder.
Komplexiteten har dock växt explosionsartat från det kinderägg-tillstånd där information, bärare och autenticitetsskapande faktor var oupplösligt sammanfogade som i ett undertecknat pappersavtal.
Genom digitaliseringen lever dessa tre komponenter sina egna liv där samma informationsmängd kan finnas på ett otal antal bärare och med olika nivå av autenticitet.
Direkt rafflande blir det med funktioner som ”Dela dokument” i Office 365 där mottagaren får ett dokument som inte behöver vara detsamma eller ens finnas kvar när mottagaren tar fram det en andra gång i sin e-post.
Att skapa autenticitet momentant skulle i sig vara en rejäl utmaning men för att strö ytterligare salt i såren så är kravet på autenticitet utan slut eftersom trots det information over flow vi lever i så måste ansenliga mängder av den information som skapas bevaras under lång tid eller för evigt.
Kraven på att kunna arkivera information på ett säkert sätt är självklart inte mindre nu än tidigare.
Det betyder att tilltron till informationens autenticitet inte bara ska kunna upprätthållas i ett år utan i 100 eller 1000 år för många informationsmängder.
Tänk patientjournaler, tänk urkunder i statsförvaltningen, tänk instruktioner för hanteringen av utbränt kärnbränsle, tänk mätvärden av klimatet….
Att med detta perspektiv se det mycket begränsade resonemangen om exempelvis, e-leg, e-signaturer och e-arkiv känns frustrerande.
I en tid då vi pratar så mycket om fake news och risken för negativ informationspåverkan borde verktygen för att skapa och upprätthålla autenticitet slipas.
Det finns redan viss teori om proveniens och processuella värden som skapar autenticitet inom arkivdisciplinen liksom en rad techne-åtgärder inom informationssäkerhetsområdet för autentisering och validering t.ex.
Dessa kunskapsområden borde dock tillåtas expandera och dessutom befrukta varandra för att vi ska komma närmare strategier för att skapa den autenticitet som krävs på både kort och lång sikt.
Det som hindrar detta tror jag är den korta händelsehorisont som gör att vi plumsar in i jättelika digitaliseringsprojekt utan att se längre fram än möjligen införandeprojektets avslut.
Bristande strategisk inriktning, kunskapsutveckling och samarbete mellan ansvariga myndigheter är en annan.
Group think inom informationssäkerhets- respektive arkivarieskrået som skapar en oförmåga att famna de stora frågorna en tredje där standardarbetet förefaller ha fungerat som en starkt konserverande faktor framför allt för informationssäkerheten.
Sist men inte minst styrningen av digitaliseringen i hög grad överlåtits till leverantörer av tekniska lösningar samt management.
För att komma vidare bör vi alltså försöka undanröja ovanstående hinder för att kunna skapa en mer funktionell plattform för att skapa den nödvändiga autenticiteten.
När tanken låser sig kan ett trick vara att tänka på att information är dagens hårdvaluta och jämföra med hur sedlar och andra metoder för penningtransaktioner hanteras.
Den svenska förvaltningen bygger sedan gammalt på ett väloljat utredningsmaskineri som jag är djupt positiv till men som jag känner en stigande oro för.
Med min bakgrund inom historieområdet har jag kunnat följa uppgången av synsättet att offentliga beslut ska vila på rationell grund och att denna grund bäst skapas genom genomlysande utredningar genomförda av högt kvalificerade företrädare för akademi och förvaltning.
Hur hånade utredningarna än varit i debatten som politiska undermanövrar så har de möjliggjort insyn och ett demokratiskt samtal om de viktiga vägvalen i samhället.
Utan att gripas av allt för djup förvaltningsnostalgi försöker jag läsa och värdera de utredningar som kommer i för mig relevanta områden.
Värderingen underlättas eller påverkas i alla fall av att jag själv varit expert eller på annat sätt deltagit i ett antal utredningar, bland annat som ”spökskrivare” av text som sedan hamnat i den slutgiltiga utredningen.
Min slutsats av dessa erfarenheter är att de utredningar som genomförs ofta lider av brister både i utredningsarbetet, i mottagandet hos remissinstanser och i genomförandet.
I denna korta text kommer jag med nödvändighet att bli orimligt svepande och kategorisk men har ändå gjort bedömningen att det finns ett intresse i att lyfta fram vissa systemfel som jag tyckt mig se genom åren.
De som har andra erfarenheter och uppfattningar uppmanar jag med emfas att delge dessa – utredningsväsendet förtjänar verkligen att diskuteras, förtjänar i positiv bemärkelse eftersom det är en så bärande institution i den svenska demokratin.
Det finns ju även olika typer av utredningar men här tänker jag främst på de utredningar som tillkommer genom att regeringen tillkallar en kommitté eller en särskild utredare för att skaffa underlag för ett politiskt ställningstagande.
Kommitténs uppgift är att ta fram fakta, göra analyser av dessa fakta och därefter presentera förslag på åtgärder.
När uppdraget är slutfört avrapporteras resultatet oftast i form av ett betänkande, en SOU (Statens offentliga utredningar).
En utredning av denna typ bör på ett rättvisande sätt inte bara beskriva förslagen utan även alternativen till dessa förslag samt vilka positiva och negativa konsekvenser som förslagen förväntas få.
Efter att betänkandet är presenterat sker remissomgången där olika parter kan redovisa sina synpunkter och argumentera för eller emot betänkandet.
Många utredningar stannar här, d.v.s.
hamnar i en djup malpåse och blir bortglömda medan några lyckligt utvalda går vidare i beslutsprocessen.
Syftet med processen är det bästa, att få rationell grund för besluten i ett öppet förfarande och dessutom en god möjlighet att revidera hur förslagen genomförts, men det är just detta gör en dyster när processen inte hanteras på ett tillräckligt bra sätt.
Förutom det generella gnället är en återkommande kritik att utredningarnas uppdrag ofta är att bekräfta en redan befintlig politisk inriktning snarare än att på ett öppet sätt undersöka en frågeställning.
Annorlunda formulerat; redan problemformuleringen snöper utredningens möjlighet att nå fram till de objektivt sett mest relevanta förslagen.
Naturligtvis kan inte utredningarna jämställas med akademiska undersökningar, de sker på ett politiskt uppdrag, men med tanke på att de ofta fortskrider under flera år kan en snäv och tidsbunden partipolitisk utgångspunkt snabbt göra hela utredningen daterad och oanvändbar.
Denna typ av kortsiktig problemformulering leder i sin tur till två andra fatala systemfel.
För det första gör det att utredningar tenderar att bli alltför operativa, det vill säga svara på en nästintill dagsaktuell fråga vilket i sin tur leder till att utredningarna blir som stuprör utan gemensam överbyggnad.
Då hjälper inte det mycket tröttande tricket att låta utredningen till tre fjärdedelar bestå av kompilat från tidigare utredningar.
Om inte redovisningen av redan gjorda utredningar åtföljs av en analys av hur de påverkar den aktuella utredningen undanröjer det inte på något sätt stuprörstänkandet.
För det andra leder det ofta till en ytlighet i begrepp och förutsättningar.
Som ett exempel på detta kan vi ta ”digitalisering” en företeelse som utretts på längden och tvären men där själva fenomenet och dess förutsättningar mycket sällan analyserats.
Istället ses digitalisering som en fastställd entitet som bara kan utvecklas i en given riktning och med i princip goda konsekvenser.
Denna egendomligt deterministiska syn på teknik och samhälle anammas även när Riksrevisionen granskar .
Då granskas inte huruvida regeringens målbild att Sverige ska vara bäst i världen på digitalisering, vilket skulle vara mycket rimligt att ifrågasätta i förhållande till samhällsnyttan, utan enbart hur långt myndigheter och regering tagit sig i den riktningen.
Om vi därefter tittar litet på utredarna och deras medhjälpare finns den vanlige utredaren som får stöd av experter av olika slag men också kommittéer.
I det första fallet kan jag se två påtagliga sårbarheter.
Den ena är utredaren själv som allt oftare tycks vara en jurist vilket skulle kunna tyckas rimligt med tanke på att utredningen förhoppningsvis ska leda fram till lagförslag men det kan också ses som ett exempel på den tilltagande juridifieringen efter Sveriges EU-inträde.
Det är inte säkert att alla problem gynnas av att främst formuleras i juridiska termer utan att det ibland vore bättre med en utredningsprocess som inleds av de som är ämneskunniga för att först därefter bearbetas som en juridisk frågeställning.
Sedan är det experterna där det ofta synes vara en hårfin skillnad mellan expert och särintresse.
Det gäller de tjänstemän som ska bevaka den egna myndighetens intresse men jag måste medge att jag grubblat över det rimliga i att tillsätta en representant för den största leverantören som expert i en utredning om .
Säkert mycket kunnig men kanske då lämpligare att skapa en fokusgrupp för olika leverantörer för att undvika frågan om jäv?
Lika ofta är dock avsaknaden av nödvändiga perspektiv i expertgruppen slående.
Om vi till exempel tar NISU (SOU 2015:23) och utredningen om nu säkerhetsskyddslag (SOU 2015:25) samt dess efterföljare med kompletteringar (SOU 2018:82) så har dessa tre utredningar gemensamt att de helt saknar representation från kommuner och regioner.
Detta trots att utredningarna måste utgå från att deras förslag till stor del ska omsättas just av kommuner och regioner.
Bristen påpekades från några remissinstanser men jag tror att risken är stor att man även fortsättningsvis kommer att se utredningar med ett i huvudsak inifrån och ut-perspektiv.
Att särintressena får så stort utrymme har nackdelen att det också skapas stuprörsformation utredningarna.
finns ett antal förslag som uppenbart skrivits fram av de olika myndigheter som är närmast berörda.
Tyvärr är inte förslagen integrerade sinsemellan, beroendeförhållande mellan förslagen är inte beskrivna, inte heller finns en prioritering gjord.
Den här typen av hopplockade åtgärder måste vara mycket svåra att använda som beslutsunderlag utan vidare bearbetning.
De utredningar som bedrivs som kommittéer (exempelvis E-delegationen och Digitaliseringskommissionen) löper å andra sidan risken att utvecklas till egna särintressen och bli mer som en form av myndigheter utan ansvar.
Själv läser jag alltid utredningarnas konsekvensbeskrivningar med största intresse eftersom det är där som man enligt min mening bäst kan bedöma utredningens kvalitet.
Om utredaren verkligen försökt, utan hänsyn till sina egna darlings, beskriva även de negativa konsekvenser som kan uppstå om utredningens förslag förverkligas är det en bra utredning där beslutsfattarna får stöd att fatta rätt beslut.
Då ges även en möjlighet att i tid börja arbeta med att reducera eventuella risker och negativa konsekvenser.
Tyvärr blir jag sällan glad när jag läser konsekvensbeskrivningar eftersom de ofta förefaller verklighetsfrämmande och främst bestående av glädjekalkyler som för att visa det geniala i utredningens förslag.
Avsaknaden av relation med de som har kännedom om verkligheten är sannolikt den bakomliggande orsaken till de sangviniska konsekvensanalyser som avslutar utredarens möda.
Jag har nu under ett par år funderat över hur säkerhetsskyddslagens utredare kunde komma fram till denna sammanfattning av konsekvenserna av sitt förslag: Bedömning: Förslagen medför inte annat än marginella kostnadsökningar för vissa myndigheter som får delvis utökade upp-gifter enligt våra förslag.
Dessa kostnadsökningar bedöms kunna hanteras inom nuvarande budgetramar.
Förslagen bedöms inte medföra några kostnadsökningar för företag utom i de fall dessa på eget initiativ och för egen nytta begär s.k.
säkerhetsintyg för leverantör, då kostnader kan upp-komma för vissa säkerhetsskyddsåtgärder.
Förslagen kan medföra att något fler personer säkerhetsprövas.
Få torde idag hålla med om den bedömningen vilket bland annat framgår av remissvaren på den kompletterande utredningen då det börjat gå upp för allt fler vad den nya lagen faktiskt kommer att innebära.
Vad som förbryllar mig är att alla de ökade kostnader och andra negativa konsekvenser som idag är uppenbara för de flesta inta kan ha varit särskilt svårt att förutse.
Detta är inte unikt för just den här utredningen utan är, menar jag, mer att se som ett systemfel där utredare systematiskt tonar ner de negativa konsekvenserna.
Möjligen beror detta på att de är rädda för att deras förslag ska ses som ”dåliga” eftersom det innebär vissa negativa effekter men det är ju en attityd som knappast gagnar utredarens uppdragsgivare.
En sista svag punkt i utredningsmaskineriet är att remissinstanserna ägnar ett så till synes svagt intresse för att läsa hela utredningen.
Istället kommenterar man möjligen de delar som berör den egna verksamheten.
Jag har förståelse för att många myndigheter och andra blir överösta med remisser och har svårt få tiden att räcka till för att ge kvalitativa svar på alla.
Samtidigt så är remissvaren inte bara ett sätt att värja den egna verksamheten från dumma förslag.
Det är också en möjlighet att bidra med juridiska och andra bedömningar för att förbättra helheten.
Nu ska jag göra ett djärvt grepp och citera Sun Tzu (tror jag) direkt ur mina djupaste hjärnvindlingar utan att kolla upp det.
Han sa ungefär så här: om jag får tio dagar på mig att fälla skogens största träd ägnar jag åtta dagar åt att slipa min yxa.
Ni får nu möjligheten att komma med en massa bra rättelser men vad jag vill säga är att detta skulle kunna vara ett citat som både uppdragsgivare och utredare skulle kunna tatuera in som gadd.
De stora utmaningar vi står inför inom digitalisering, informationshantering, arkiv och säkerhet förtjänar de bästa utredningar som tar minst åtta dagar av de tio.
Jag måste genast rätta mig själv innan någon annan hinner göra det!
En mig närstående har grävt fram att det nog inte var Sun Tzu och inte ens Lincoln som myntat men det blir en snygg tatuering om det är kinesiska tecken… Teknikhistoria är ett fascinerande ämne som jag ägnat mycket intresse genom åren och då alldeles särskilt samspelet mellan teknik, samhällsutveckling och ekonomi.
Frågor som varför vissa tekniska uppfinningar blir innovationer medan andra inte gör det och de institutionella förutsättningar som gör att teknik leder till positiv samhällsutveckling är ganska grundligt beforskade.
En underbar populärvetenskaplig bok på detta tema är Wolfgang Schivelbuschs som jag rekommenderar alla som vill skapa sig en hälsosam distans till det utmattande nuet.
Det är med denna bakgrund som den svenska förvaltningens digitalisering ständigt förvånar mig eftersom dess genomförande tycks strida mot det som framkommit som framgångsfaktorer för införande av ny teknik.
Istället för att bygga gemensam infrastruktur och institutionella förutsättningar har svenska myndigheter och regioner/landsting ägnat sin energi åt någon slags känslomässig påverkan.
Vad är då budskapet i denna känslomässiga kommunikation?
Så här ser de mest förekommande implicita och explicita budskap ut.
Det övergripande budskapet att det finns ett stort antal ludditer som är passionerat motverkar digitalisering och som måste övertygas om att digitalisering är BRA.
Efter noggrant begrundande kan jag inte erinra mig en enda person som varit emot digitalisering, däremot många som varit emot dålig digitalisering.
Det hindrar inte att det förekommer en ständig underström av halmdockor (läs mer om det klassiska fula argumentationsfelet ) när digitalisering diskuteras.
Dessa figurer som med lock och pock måste forceras att överge papper och penna är del i en ganska bra härskarteknik eftersom den som låtsas som att dessa finns då själv framstår som en ljusbringare som står för det ”moderna”.
Och det är något som i svenska sammanhang vördas så är det det moderna, så har det varit sedan 1800-talet, oavsett vad moderniteten stått för.
Det uppenbart ologiska i att hävda att populasen är teknikfientliga bakåtsträvare på jobbet eller när de ska använda offentliga e-tjänster när de samtidigt på sin fritid har olika kommersiella e-tjänster som sina närmaste livskamrater tycks inte störa.
Nästa centrala budskap är att digitalisering per definition är bra vilket leder till den underförstådda tesen att digitalisering är bra.
Som följd av detta görs ingen skillnad mellan bra och dålig digitalisering trots att alla känner till minst fem misslyckade digitaliseringsprojekt i sin närhet.
Att det inte får finnas dåliga digitaliseringsprojekt till en dubbelriktad kultur av icke-existerande uppföljning och erfarenhetsåtervinning; eftersom det inte görs någon uppföljning kan dålig digitalisering inte påvisas.
Jag tittar in på webbplatserna för två centrala aktörer för den offentliga sektorns digitalisering, eSam och SKL, för att se hur man hanterar utvärderingsfrågan.
eSam har gett ut ett antal vägledningar och metodbeskrivningar för digital samverkan (a.k.a.
ta fram digitala lösningar) i alla möjliga skärningar men vad jag kan se har inte uppföljning och utvärdering förlänats något eget metodstöd.
I den 84-sidiga för behovsdriven utveckling finns visserligen dessa rader med: Efter varje införande bör det genomföras en utvärdering för att ta vara på erfarenheter om vad som gick bra respektive mindre bra i behovsinsamling, planering, metodval, samarbete samt hur resultaten mottogs.
Infriade tjänsten de förhoppningar verksamheten och målgruppen tänkt sig?
men i ett systematiskt arbete förväntar man sig ett något större intresse för frågan.
SKL, som får ses som ett epicentrum för den vingliga offentliga digitaliseringen, förvånar mig positivt genom att erbjuda verktyg för uppföljning exempelvis och så kallade LIKA-värderingar som den för socialtjänst.
Tyvärr visar sig dessa undersökningar vara mognadsundersökningar av i vilken omfattning man lyckats digitalisera, d.v.s.
det handlar inte om att utvärdera hur väl digitaliseringen fungerar.
Ointresset för utvärdering är paradoxalt sett i ljuset av att digilisatörerna gärna vill tala om digitalt ledarskap och vikten av styrning samt nyttorealisering (nej, det är ingen idé ni går till den vägledningen för nyttorealisering för den innehåller inget substantiellt om uppföljning).
För att kunna leda, styra och nyttorealisera i verklig bemärkelse måste man arbeta systematiskt med att utvärdera gjorda satsningar ur ett antal aspekter som ekonomi och effektivitet.
Förhållningssättet att arbeta utan systematik är menar jag en av de mest grundläggande orsakerna till att det offentliga Sveriges digitalisering inte alls når den nivå som skulle kunna förväntas med tanke på de investeringar som gjorts.
Att den svenska digitaliseringen kraftigt underpresterar är ett faktum som det nu tycks råda konsensus om även från internationella bedömare som OECD.
Orsakerna till detta borde vara synnerligen intressanta att identifiera och då inte bara genom att komma dragande med gamla kära bortförklaringar som att juridiken inte är anpassad till digitaliseringen.
Kraften i det argumentet är ju inte heller så övertygande då till exempelvis sjukvårdshuvudmän och vårdgivare högaktningsfullt struntar i viss lagstiftning som man finner obekväm.
Det går inte att argumentera för digitalisering med rationella argument, tråkiga och genomarbetade analyser eller krassa ekonomiska beräkningar.
Istället sker kommunikationen med ett överflöd av uttalande av den här typen: Eftersom dessa uttalande inte går att vare sig be- eller vederlägga befinner vi oss i en situation där ledande aktörer inom digitaliseringsetablissemanget ständigt vädjar till våra känslor istället för att föra en dialog grundad i sakfrågor.
Här uppstår tror jag den olyckliga pepp-cirkelargumentationen där utomstående inte kan delta eftersom ramen för deltagandet är satt; bara de som accepterar pepp-läget kan ingå, de som efterfrågar rationalitet, siffror och nytta uppfattas som fientligt inställda och görs mer eller mindre förfinat till icke-deltagare och i värsta fall till halmdockan ”motståndare till digitalisering”.
Att det finns ett digitaliseringsetablissemang (precis som det finns ett informationssäkerhetsetablissemang) som har mycket att försvara blir ganska uppenbart vid minsta lilla glutt in på LinkedIn.
Det vore kul att se ett sociogram över det ganska begränsade antal människor som genom åren konfererat med varandra, gett varandra komplimanger, titlar, priser och positioner.
Man har skapar myndigheter, kommittéer, kommissioner och råd för att underlätta digitaliseringen, oundgängliga roller som regeringens CDO och kommunala digitaliseringsstrateger och peppat varandra på karnevaler och festivaler (det sista var kanske en liten överdrift…).
Digitaliseringen har beskrivits som det största tekniksprånget i historien (jag skulle nog snarare hävda ångmaskinen eller elektriciteten) och som lösningen på flertalet svåra samhällsproblem.
Den arma fackutbildade personalen i välfärdssektorn har fått finna sig att bli mästrade av allehanda ”evangelister” utan definierad kompetens givits utrymme att predika.
Helt olika räknesätt har tillämpats i de kommunala ekonomierna där lärplattformar för bortåt en halv miljard kunnat prioriteras samtidigt med kraftiga nedskärningar på personalen.
Under senare tid har jag alltmer kommit att grubbla över hur den privata sektorn kunnat genomföra sin digitalisering utan detta etablissemang och överbyggnad.
Jag tror att det är dags för ett paradigmskifte inom den offentliga digitaliseringen i Sverige.
Det är inte fel på förutsättningar, ekonomi eller teknik i första hand utan på den metafysik som omger digitaliseringssträvandena, alltså de föreställningar som finns om digitaliseringen och det sammanhang som de digitala lösningarna ska fungera i. Som samhällsmedborgare skulle jag önska att digitaliseringsetablissemanget tar ett steg tillbaka och med viss självkritik granskar sina argument för att kunna börja tillämpa mer kvalitativ och effektiva arbetssätt.
Det vill säga mindre marknadsföring och mera hantverk, mindre känslor och mera strukturellt tänkande, färre halmdockor och fler verkliga läkare och lärare, färre evangelister och flera ingenjörer i vid bemärkelse, mindre digitala lösningar i sig och mer intresse för de resultat som digitaliseringen ger.
Framför allt önskar jag viljan och förmågan till ett normalt kritiskt förhållningssätt till digitalisering.
Ett stöd för denna typ av reflektioner kan vara följande över vanliga villfarelser.
Särskilt rekommenderar jag närstudier av följande bias: sunk cost fallacy, dunning kruger effect, back fire effect, self serving bias och group think.
Vår ambivalens inför molntjänster är stor.
Å ena sidan har vi risken att personuppgifter och annan känslig information kommer i orätta händer, å andra all den funktionalitet som vi så gärna vill ha.
Dessutom måste det vägas in att molntjänster erbjuder många säkerhetsfördelar, inte minst för mindre organisationer.
menar att vi står i ett vägskäl.
Själv ser jag att många redan har gjort sitt val och tyckt att nyttan med molntjänster överstiger risken.
Att många kommuner har gjort så är ingen hemlighet men jag blir ganska häpen när jag efter ett tips kollade upp , en rekryteringstjänst för Försvarsmakten.
Tipset var att denna tjänst ligger i Office 365, en molntjänst som driftas av Microsoft på Irland.
För att få korrekt information skrev jag och frågade Försvarsmakten litet om detta.
Jag har tre frågor om Mitt försvarsmakten: Slutligen skulle jag vilja ut en lista över vilka personuppgifter som hanteras i Mitt försvarsmakten.
Tack för svar!
och fick då följande svar som jag publicerar in extenso: Hej!
Se svar nedan på dina frågeställningar.
Mitt Försvarsmakten är byggt inom extern molntjänst (Microsoft Office 365).
Försvarsmakten har ställt krav på informations- och IT-säkerhet och granskat den färdiga lösningen utifrån kraven med godkänt resultat.
Inom ramen för utvecklingsarbetet har den militära underrättelse- och säkerhetstjänsten, MUST, löpande deltagit i granskningar av lösningen och har även godkänt lösningen inför driftsättningen.
Försvarsmakten arbetar kontinuerligt med kontroll och förbättringar av informations- och IT-säkerheten i alla IT-tjänster inklusive denna.
Försvarsmakten kommenterar inte i detalj hur säkerhetskraven är implementerade.
Personuppgifterna i Mitt Försvarsmakten behandlas med stöd av samtycke från den enskilde.
Av samtycket framgår även att Microsoft behandlar personuppgifterna.
Försvarsmakten använder Google Analytics från Google som analysverktyg.
Google Analytics använder cookies.
Informationen som genereras av dessa (inklusive IP-adresser) kommer att vidarebefordras till och lagras av Google.
Denna information används i syfte att utvärdera besöksstatistik.
Google kan också överföra denna information till tredje parter om det krävs enligt lag eller i de fall en tredje part behandlar informationen för Googles räkning.
Google kommer inte att koppla samman IP-adresser med annan data som Google innehar.
Google Analytics anonymiserar den information som skickas till Google.
För personer utan registrerad användarprofil i Mitt Försvarsmakten som har registrerat sig för ett specifikt event behandlas endast uppgift om namn och e-postadress.
För personer med registrerad användarprofil i Mitt Försvarsmakten behandlas uppgifter om Namn Personnummer Kontaktuppgifter (adress, telefonnummer och e-postadress) Uppgift om kön Uppgift om svenskt medborgarskap Uppgift om nuvarande sysselsättning Uppgift om nuvarande arbetsgivare Uppgift om godkända betyg MA / SV / EN från gymnasiet Uppgift om kondition och muskelstyrka Intresse för Försvarsmakten Medarbetarstatus, tidigare anställning inom FM Har ansökt om Veterankort eller har Veterankort Har sökt tjänst Har sökt GMU Har gjort rekryttest Startat GMU/GU-F/GSU/Kombattantutbildning Slutfört GMU/delkurs/GU-F Tagit anställning inom FM Avtal tecknat Avtal tecknat den Samtycker till lagring och bearbetning av information Kandidaten vill avregistrera sig Mvh Försvarsmakten Det ska medges att jag ibland varit aningen tveksam till att det ofta framställs som att Försvarsmakten är säkerhetsexperterna även då det gäller det civila samhällets säkerhet.
Men om vi acceptera premissen att Försvarsmakten är någon form av riktkarl för samhällets säkerhet blir detta svar intressant.
Frågorna jag ställer mig är: Observera att jag inte har svaret på dessa frågor – jag bara funderar.
Först en disclaimer.
Denna text är skriven med ett visst undertryckt ursinne.
Under 7-8 år under mina vittflygande studier jobbade jag samtidigt på ett boende för psykiskt funktionsnedsatta barm och ungdomar.
Den erfarenheten gör att jag framförallt tänker på de patienter och anhöriga som drabbats av 1177-skandalen men också på den vårdpersonal som till skillnad från digitaliseringsbyråkrater, ”visionärer” och ”evangelister” möter patienter.
De ska nu leva i oro över hur deras arbetsgivare hanterar den information som de i förtroende tar emot och där samtal från hjälpsökande patienter studsar vidare för hantering i Thailand.
Jag jobbade också i ett landsting under 90-talet då politiker, it-leverantörer och byråkrater gick in i en lustiger dans om digitalisering som var mycket lösligt kopplad till verksamhetsbehov.
Att försöka skjuta in frågor om informationssäkerhet eller kvalitet i informationshanteringen stämplades som närmast illojalt eller i bästa fall som tugg som man måste genomlida innan man gick vidare precis som förut.
Filifjonkan på bilden har inte bara med ångestridna patienter att göra utan också känslan av den annalkande katastrofen som hon symboliserar.
Det finns inget som är så lätt som att förutspå framtiden i efterhand.
Många är nu chockade och totalt överraskade över vad som framkommit om 1177 och dess underleverantörer.
Att försöka påpeka vikten av god informationssäkerhet vid digitaliseringen har som sagt varit ett arbete i stark motvind för att inte säga full stormstyrka i 25 år.
Ofta har den berättigade oron för den alltmer bristande säkerheten inom vård-it utmålats som ett Filifjonka-aktigt beteende och att varningarna för riskerna skulle ha lika litet med vår verklighet att göra som Filifjonkans permanenta ängslighet i Mumindalens idyll.
När det nu exempelvis framkommer att Region Värmland har anlitat en underleverantör för att hantera den extremt känsliga informationen i telefonrådgivning endast med dessa säkerhetskrav: Leverantören ska skydda sin information mot otillbörlig åtkomst och förstörelse i enlighet med gällande lagar, förordningar och föreskrifter.
Hur skyddet genomförs ska dokumenteras.
Leverantören ska på begäran kunna uppvisa denna dokumentation för landstinget.
Leverantören ska följa landstingets vid var tid gällande riktlinjer för informationssäkerhet.
ger det en indikation om hur relevant oron faktiskt var/är.
Observera att inga ytterligare krav ställts till exempel i form av en säkerhetsbilaga som förtydligar vad det är man vill ha, inte ens ett personuppgiftsbiträdesavtal i någondera riktningen finns.
Otroligt nog verkar hela den massiva hypen kring dataskyddsförordningen gått regionen förbi.
Med tanke på att hela härvan ännu inte är utredd ska jag, för att undvika förhastade slutsatser, inte kommentera alla juridiska och tekniska detaljer.
Enkla lösningar är det redan alltför många som kommer med.
Inte heller finner jag det meningsfullt att ägna mer tid åt den lyteskomik som svaren från de olika leden i leverans av telefontjänsten i 1177 gett utrymme för.
Istället ska jag försöka ringa något av det systemfel som ligger som grund för den uppkomna situationen.
Grundproblemet ligger i att vård-it i Sverige under trettio år har fått växa fram inte som en sammanhängande infrastruktur utan som en brädhög där olika aktörer kunnat lägga på sin egen bräda utan att behöva ta hänsyn till någon gemensam plan.
Detta skapar naturligtvis en låg grad av funktionalitet trots de enorma resurser som lagts på digitaliseringen men dessutom har det också skapar de oöverblickbara säkerhetsrisker som 1177-skandalen är ett av de mest flagranta exemplen på.
Den främsta säkerhetsrisken är att det i många fall är omöjligt att klarlägga ansvaret för säkerheten vilket med all önskvärd tydlighet framgår i fallet med 1177.
Intuitivt skulle nog de flesta säga att det största ansvaret ligger hos sjukvårdshuvudmännen, det vill säga främst regionerna/landstingen som i den svenska förvaltningsmodellen delegerats ansvaret för och där ansvaret definieras i hälso- och sjukvårdslagen: Med huvudman avses i denna lag det landsting eller den kommun som enligt lagen ansvarar för att erbjuda hälso- och sjukvård.
Inom en huvudmans geografiska område kan en eller flera vårdgivare bedriva verksamhet.
När det gällde hanteringen av information inklusive säkerhet var detta ansvar inte särskilt besvärligt att definiera på den tiden då landstingen också utförde den absoluta merparten av vården.
Då var journalerna allmänna handlingar som tillhörde landstinget och det också ställdes tydliga krav på hanteringen (ja, jag vet att det inte alltid funkade jättebra i verkligheten men jag rör mig nu på systemnivå).
I och med kommunalisering (ÄDEL) och privatiseringsvågen blev ansvaret otydligare.
Som en andra skänkel i saxen som klippte av tydligheten i ansvarsfördelningen fungerade rörelsen mot alltfler samarbeten mellan landsting som exempelvis Sjunet och de nationella tjänsterna.
Det är här jag menar att juridiken inte hängt med, inte genom att ställa krav på integritet i det nya landskapet.
Det juridiska ansvaret läggs nämligen främst på vårdgivaren: Med vårdgivare avses i denna lag statlig myndighet, landsting, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet.
Vårdgivaren kan vara vilken aktör som helst som bedriver någon form av vård, till exempel Medhelp.
Denne har också ansvaret för informationssäkerheten vilket mycket specifikt beskrivs i Socialstyrelsens föreskrift med regler för vårdens Problemet är bara att den mest säkerhetsmedvetne vårdgivaren ändå inte kan hålla sig för sig själv utan måste fungera i brädhögen av oklara ansvar eftersom man till exempel med nödvändighet måste använda bland annat nationella tjänster.
I och med detta faller alla de många goda råd som även säkerhetsexperter av olika dignitet framfört de senaste dagarna om att det bara är att ha tydliga upphandlingsrutiner, följa upp krav o.s.v.
Inte ens dataskyddet faller ut som man skulle kunna tro när man läser i avtalet mellan Region Stockholm och Medhelp och ser att regionen är personuppgiftsbiträde åt Medhelp och inte tvärtom….
Det som måste understrykas är att den digitala världen inte bygger på bilaterala relationer utan på multilaterala och att vi saknar verktyg att hantera den nya situationen.
Även trogna gamla kämpar som tillsynsvapnet riskerar att bli tandlöst eftersom tillsynen gäller enskilda organisationer.
Att skapa ansvarsförhållanden och möjlighet till ansvarsutkrävande avpassade för multilaterala infrastrukturer bedömer jag som den mest fundamentala säkerhetsåtgärden för vård-it.
Detta är inte något som en enskild vårdgivare kan ta ansvar för utan måste byggas upp på nationell nivå.
Tyvärr har denna grundläggande förutsättning totalt negligerats i de utredningar om e-hälsa som genomfört under senare år.
Mer om de moderna strukturerna finns att läsa i den nyligen utkomna antologin .
Ansvaret är alltså idag osynkroniserat med den nationella informationsinfrastrukturen och även med den tekniska infrastrukturen.
Ändå tror jag det är viktigt med ett ansvarsutkrävande.
Tyvärr kommer nog inte Region Stockholms innovationsregionråd ta sitt ansvar och avgå, inte heller hans motsvarigheter i Region Värmland och Sörmland.
SKL:s programansvarige för e-hälsa kommer att på motsvarande sätt skjuta ansvaret ifrån sig och Inera har snabbt varit ute och sagt att de går skuldfria ur denna förödande situation.
Tyvärr, inte för att vi behöver ett melodramatiskt utspel som när Toyota-chefen gråtande bad om ursäkt för sina fel eller syndabockar, men för att ge en reboot för vård-it.
Om ett antal digitaliseringspotentater inom vården åtminstone hade omdömet att säga: ”jag har villigt tagit emot all cred för att framstå som nyskapande och innovativ, nu tar jag lika villigt mitt ansvar när det visar sig att vi kört totalt fel inom e-hälsoområdet.”.
Detta vore en mycket viktig signal att vi nu inte ska fortsätta som förut utan gå in i en ny tid.
Det jag skriver ovan kan nog de flesta hålla med om på någon nivå men varför ser det då ut som det gör?
Jag skulle vilja hävda att det inte enbart beror på inkompetens utan i lika hög grad på attityd, möjligen arrogans.
Detta är en något nedslående tanke för sannolikheten för att kunna omvandla inkompetens till kompetens är större en att rå på decennier av negativ säkerhetskultur.
Jag förstår att det är mycket behagligare att ständigt mana framåt och inte hänga upp sig på problem och hinder.
I 1177-skandalen är patientens integritet som allvarligt skadats vilket är ett värde som talföra debattörer inom digitaliseringen och e-hälsa till och med i många sammanhang förnekat.
Den bristande samordningen kan också ses som ett resultat av SKL:s framgångsrika arbete som lobbyorganisation.
SKL är en intresseorganisation för regioner och kommuner som arbetsgivare och har med stor frenesi hävdat det kommunala självstyret inom hälso- och sjukvård.
Varje försök till styrning från staten nagelfars och min bedömning är att staten efter nedmonteringen av Socialstyrelsen inte ens har möjlighet till en effektiv myndighetsstyrning vilket lämnat fältet ännu mer fritt för SKL.
Ur ett samhällsperspektiv har det även lett till en starkt minskad insyn eftersom SKL, trots att man är helt finansierad av offentliga medel, inte lyder under offentlighetsprincipen.
Vad som pågår inom SKL och vilken agenda som drivs är därför svårgenomträngligt.
Under den tid jag jobbade på MSB och, bland annat inspirerad av den norska lösningen Normen, försökte få till en styrning bättre avpassad till de multilaterala relationerna fick jag ofta känna av SKL:s maktanspråk.
Ärligt talat så var intresset inte särskilt stort ens i min egen myndighet och inte heller i de andra myndigheter som hade uppdrag i någon form som påverkade säkerhetsaspekterna i vården.
Men var det ett svalt umgänge i myndighetssfären så var SKL:s engagemang i frågan på nollpunkten.
Mitt käcka erbjudande om att MSB skulle kunna samordna och tillföra väsentliga resurser och kompetens för att göra den så skakiga informationssäkerheten i vården bättre möttes mycket kallsinnigt.
Budskapet var att detta var en uppgift som regionerna kunde klara själva (med SKL:s hjälp) och att myndigheter inte hade i territoriet att göra.
Själv kände jag mig som en ovälkommen budbärare från de många medlemsorganisationer som satt med sin usla säkerhetssituation utan reell möjlighet att göra något åt den.
Med ett avancerat tjat lyckades det till slut att få SKL att skriva under den gemensamma strategi som jag tagit fram som underlag och som nu litet patetiskt ligger kvar på MSB .
Någon gemensam styrning á la Normen är lika fjärran som då strategin skrevs.
SKL har alltså haft alla möjligheter att själva ta fram de stöd som så väl skulle behövas i deras medlemsorganisationer.
Så har inte skett förutom det tveksamma verktyget för informationsklassning som jag skrivit om Något gemensamt regelverk för att hantera den multilaterala ansvarssituationen inom vården kan jag fortfarande inte hitta på SKL: s webbsida.
Intressant nog har ju inte SKL något formellt ansvar för informationssäkerheten i vården eftersom man är en intresseorganisation och kommer säkerligen inte att påta sig något sådant nu heller.
När nu nästa trend är AI i vården blir man inte direkt lugnare, särskilt inte när SKL:s programansvarige för e-hälsa ifrågasätter lagstiftningen snarare än ansvarskänslan hos införarna som .
I mina dystrare stunder tror jag vi nått vår kollektiva inkompetensnivå där vi ska skapat ett it-monster som ingen längre kan styra.
Vi har en situation med i princip outtömliga tekniska möjligheter promotas av aggressiva leverantörer.
Tekniken möter en omogen organisationsstruktur där verklig styrning ersatts av fritt spelrum för särintressen.
Till detta kommer den bristande självinsikten om att det är så här det ser ut och den negativa säkerhetskulturen inom vården.
Och slutligen juridik och företrädare för informationssäkerhet som fortsätter att leverera lösningar gjorda för enstaka organisationer eller möjligen bilaterala relationer vilken inte är till någon större hjälp i den dagens multilaterala arkitekturer.
Självklart kan vi inte ge upp utan istället ställa oss frågan hur vi kan genomföra de absolut nödvändiga förändringar som skulle göra vård-it till en seriös verksamhet.
Här vill jag anslå en ny ton för att markera att detta är mycket komplexa frågor som vi idag i huvudsak saknar svar på.
Det är inte enkla förbättringar av upphandlingsrutiner som kan leda framåt utan förändringar av en helt annan dimension som är nödvändiga.
Det är inte beställningar mellan kund och leverantör som är det verkliga problemet utan beställningen från regeringen till sjukvårdshuvudmännen som inte fungerar där sjukvårdshuvudmännen som leverantörer inte klarar av att skapa en säker vård-it.
Mina förslag, som jag inte när något större hopp om att de kommer att anammas, är att likna vid ett undantagstillstånd.
Det kan tyckas dramatiskt men allvaret i situationen kräver extraordinära åtgärder .
Parallellt med åtgärderna bör även en attitydförskjutning initieras där vi slutar se digitalisering som ett självändamål utan blir förmögna att ta in olika perspektiv som till exempel säkerhet.
Utgångspunkten bör också att det är en nationell struktur som ska byggas och förvaltas där de gamla organisationsgränserna inte längre får sätta käppar i hjulet.
Här kan man ana att en del integritetsnihilister vädrar morgonluft men bedra er inte; målet är att stärka integriteten, inte nedmontera den ytterligare!
Det är högintressanta tider då vissa frågor ställs på sin spets.
I min begränsade värld är en av dessa frågor det så kallade e-arkivet, denna företeelse så omgiven av förväntningar och föreställningar.
Under den senaste tiden har två stora händelser timat inom området: Statens servicecenter misslyckades med sin upphandling av e-arkiv och SKL Kommentus Inköpscentral (fortsättningsvis kallad SKI) lyckades med sin.
Det kan tyckas vara två mycket likartade händelser men ju mer man gräver så framstår skillnader allt tydligare.
Jag är ju en enkel konsult vars främsta uppgift är att försörja mig men eftersom jag misstänker att ingen annan bättre lämpad funktion tänker göra någon analys av varför det gick som det gick fattar jag ändå pennan/tangentbordet.
En brasklapp är naturligtvis att jag inte har den tid och de resurser som krävs för att göra en fullständig analys utan att jag enbart kommer att ta upp vissa aspekter som särskilt intresserar mig och då främst säkerhetskraven.
I ingetdera fallet kommer jag att kommentera de konsulttjänster som ingår i upphandlingarna utan endast upphandlingen av själva tjänsten eller applikationen.
För att förstå dessa upphandlingar behöver några basala förutsättningar slås fast.
Något som är självklart för den med litet insikt i arkivfrågor är att lagring av digital information inte täcker begreppet e-arkiv.
Här finns dock inte utrymme att gå igenom alla intrikata aspekter men låt mig poängtera vissa grundläggande frågor: Ovanstående punkter sammantaget med att Riksarkivet, för att uttrycka det milt, inte är direkt sugna på att ta emot digital arkivinformation och det inte heller finns en övergripande strategi för den långsiktiga nationella arkivverksamheten försätter myndigheterna i en svår situation.
Man har helt enkelt en exponentiellt växande digital informationsmängd att långsiktigt ta hand om utan det finns tydliga lösningar för hur det ska ske.
Förutom myndigheters, kommuner och regioners vånda så är vi nog en hel del som känner en stor oro på samhällsnivå för de stora informationsförluster vi riskerar att göra.
En informationsförlust som inte bara är ett stort hot mot dagens och framtida forskning utan också för vårt gemensamma minne.
Det finns naturligtvis enstaka ljus i mörkret som Sydarkivera som förtjänar att lyftas fram men som helhet ser det tämligen mörkt ut.
Det är alltså i denna kontext som de två upphandlingarna ska sättas in och som kanske kan ge en förklaring till varför de utfallit som de gjort.
Inledningsvis kan slås fast att de två upphandlingsprojekten knappast kan ha haft mycket samröre.
Olikheten i synsätt och begrepp är iögonfallande trots att det i båda fallen handlar om offentlig sektor och delvis överlappande verksamheter.
En sak är dock den samma för båda upphandlingarna: det handlar inte om att upphandla en lösning för det långsiktiga arkivbehovet.
I stället uppfattar jag det mer som att göra en quick fix i väntan på något mer bestående.
Det är alltså möjligen lösningar för mellanarkiv vi pratar om där information av olika karaktär (allmänna handlingar och annat) lagras under en i arkivperspektivet begränsad tid för att därefter gallras, rensas eller föras över till en slutförvaring.
Såvitt jag kan se handlar också lösningar om överföring från system till system eller från system till tjänst, ingen inriktning mot ett mer infrastrukturellt tänkande finns med.
Jag är inte förvånad över detta men vill ändå betona detta.
Trots likheten i behov har SSC och SKI hamnat i två helt olika upphandlingar.
SSC har sedan 2014 bedrivit sitt upphandlingsprojekt där också ett antal statliga myndigheter deltagit och varit utsedda som ”pilotmyndigheter” (bakgrunden finns ).
Utifrån regeringsuppdraget lämnades en första delrapport 2015 med ett förord signerat både av SSC:s GD och riksarkivarien.
Jag vill inte undanhålla läsaren sammanfattningen i rapporten som var följande (felstavning inkluderad): Det finns goda förutsättningar för att skapa en förvaltningsgemensam tjänst för e-arkiv.
· Det blir en minskad investeringskostnad och en besparing för staten som helhet.
· Bara genom att etablera ett gemensamt e-arkiv istället för sju separata för pilotmyndigheterna, sparar staten flera tiotals miljoner kronor.
· Det finns etablerade arbetsätt för e-arkivering · Marknaden är mogen och det finns system och leverantörer.
· Sju pilotmyndigheter har skrivit på en avsiktsförklaring om att ansluta sig till tjänsten.
Förutsättningar för fortsatt arbete: · Regeringen behöver undanröja de juridiska hindren genom en förordningsändring.
· Statens servicecenter (SSC) och Riksarkivet förordar att projektet går vidare till krav- och upphandlingsfas, under förutsättning att regeringen bidrar med tillräcklig finansiering.
Även den som är luttrad från digitaliseringsprojektens närmast obligatoriska glädjekalkyler kanske ändå hoppar till litet vid sådana diffusa fördelar som att staten ska ”spara flera tiotals miljoner kronor”.
Konstateranden som att det finns en mogen marknad för e-arkiv och dessutom etablerade arbetssätt för e-arkivering känns idag 2019 som önsketänkanden och var det ännu mer 2015.
Det var utgångspunkterna för projektet som visserligen har haft riksarkivarien som styrgruppens ordförande och en stilig projektdokumentation men som ändå slutade i att upphandlingen av en nationell molntjänst avbröts strax före jul 2018.
Vad SSC under fyra år försökt upphandla är alltså en molntjänst för ett stort antal myndigheters e-arkiv (om man ser till de tillväxtstaplar som presenterats i projektet): Den ”tjänst” som Statens servicecenter efterfrågar i denna upphandling är således att betrakta som en sammanhållen leverans och ska inte förväxlas med begreppet ”Software as a service” (SaaS).
Skillnaden är att den grundläggande arkivmjukvaran upphandlas i form av en programvarulicens medan de övriga delarna i leveransen upphandlas som en tjänst på månadsbasis.
Istället för en normal upphandling av molntjänsten valde SSC att göra en så kallad konkurrenspräglad dialog.
Statens servicecenter har valt konkurrenspräglad dialog som upphandlingsförfarande då det inte är möjligt att utforma samtliga krav på tjänsten i förväg.
Med tanke på komplexiteten i uppdraget och de rättsliga förutsättningarna krävs dialog med erfarna leverantörer för att slutgiltigt utforma kraven.
Detta är enligt mig en mycket svår upphandlingsform inte minst när det gäller applikationer och molntjänster.
För att kunna styra en sådan upphandling krävs en mycket fast hand från kunden för att inte hamna på olika typer av grynnor och skär.
När då kunden redan inledningsvis skriver att man inte kunnat utforma kraven på tjänsten känns den fasta handen rätt avlägsen.
Som säkerhetsintresserad börjar man skruva på sig; att upphandla en nationell molntjänst med en glidande kravspec känns…obehagligt.
Låt oss då se på säkerhetsinriktningen i SSC:s konkurrenspräglade dialog.
För det följande är det viktigt att ha i åtanke att syftet med processen att nå fram till leverantör av en molntjänst, d.v.s.
en tjänst där stora mängder offentlig ackumuleras.
Kravet på tjänsten har varit att den ska kunna hantera den information som kundmyndigheterna väljer att stoppa in, även sekretessreglerad information.
Däremot inte hemliga handlingar: den förvaltningsgemensamma tjänsten för e-arkiv ska inte dimensioneras för hantering och lagring av hemliga uppgifter och handlingar.
Hemliga uppgifter och handlingar ska därför fortsatt, och av kundmyndigheterna själva, förvaras på annat sätt e-arkivet som sådant bör betraktas som säkerhetskänslig verksamhet – av betydelse för rikets säkerhet.
Detta bland annat mot bakgrund av de stora informationsmängder, från många myndigheter, som ansamlas i lösningen och de konsekvenser som till exempel ett bortfall av tjänsten skulle kunna medföra för berörda verksamheter – och för samhället Redan här väcks många frågor.
Om man ser det potentiella e-arkivet som en säkerhetskänslig verksamhet enbart p.g.a av att det ansamlas stora informationsmängder varför då utan närmare argumentation välja en lösning som leder just till detta?
Följden av beslutet har blivit att man valt att göra en upphandling med krav på säkerhetsskyddsavtal på nivå 1, alltså den högsta nivån.
Detta ställer stora krav på leverantören som att införa en säkerhetsskyddsorganisation, att välja vissa specifika säkerhetslösningar och att införa utvidgade säkerhetskontroller av anställda.
Förutom att säkerhetsskyddsåtgärderna av naturliga skäl kan minska effektiviteten i lösningen innebär ökade kostnader och därmed ökat utpris för kunden.
Det innebär minskad integritet för anställda och i många fall även fördyrande krav i kundens egen verksamhet.
I detta fall ställer jag mig också tveksam till på vilket sätt e-arkivet om det inte upprätthåller tillgängligheten skulle utgöra ett hot mot Sveriges säkerhet liksom att antagonistiska hot skulle vara den primära risken (jag går inte djupare på den nya lagens syn på riktighet och tillgänglighet eftersom den är i bästa fall oklar).
Om detta synsätt sprids, d.v.s.
att det visserligen inte är säkerhetskänslig information som kommer att hanteras i lösningen men vi kommer ändå att använda SUA, så kommer i princip varenda molntjänst som används i offentliga uppdrag av privata och offentliga aktörer att falla under säkerhetsskyddslagen.
Om säkerhetsskyddslagens syfte är att skydda ”det mest skyddsvärda” så kan vi inte låta det gå inflation i tillämpningen så att den blir det nya normala.
Jag vill bara framföra ett milt: sansa er och försök tänk på konsekvenserna av detta (även om utredningen som ny säkerhetsskyddslag hade en ytterst sangvinisk konsekvensanalys, återkommer till det i ett senare inlägg).
Det kanske mest häpnadsväckande är att informationsklassning och skyddsnivåer inte nämns vare sig i inbjudan eller bilagan.
Utan kommentar förutsätts alla myndigheter ha samma behov av säkerhet och kravs ställs inte på leverantören att kunna leverera tjänsten på olika fastställda skyddsnivåer.
Min fundering blir då vem som blir riskägare i det här konceptet om kundmyndigheten inte kan påverka tjänsten.
Detta känns igen från SSC:s övriga tjänster vilket jag ser som ett grundproblem med hela konstruktionen.
Förutom detta ställde SSC även krav på certifiering mot ISO 27001 eller motsvarande icke-certifierat ledningssystem, SOA samt beskrivning av säkerhetskontroller.
Detta är ett krav som måste finnas med men som i praktiken, enligt min erfarenhet, inte utgör en garant för ett väl fungerande säkerhetsarbete.
Hunnen så här långt i genomgången av upphandlingen pockar två frågor på.
För det första har SSC begränsat antalet möjliga leverantörer mycket starkt.
Fyra års utredande borde ha gett en marknadsanalys som påvisat att det finns mycket få svenska leverantörer som kan eller vill leverera på dessa villkor.
Historien visar ju också att endast en leverantör återstod när upphandlingen avslutades.
Den andra frågan är varför denna upphandlingen sker över huvud taget.
Ett alternativ hade varit att gå ut i en vanlig ramavtalsupphandling där Riksarkivet kunnat bistå med expertkunskap på samma sätt som de nu gjort i SSC:s upphandling.
Vad exakt tillför SSC som inte myndigheterna skulle kunna få i en direktrelation med leverantörerna?
Eftersom man då skulle kunna få fler leverantörer skulle förhoppningsvis den koncentration som påkallat säkerhetsskydd kunnat undvikas (ja, här ligger en mycket, mycket större fråga om den totala mängden tjänster hos leverantörerna och ramavtalens oligopolskapande kraft men jag hinner inte ta den nu).
Till detta kommer en bilaga med ganska ordinära säkerhetskrav.
Några reflektioner kan dock göras.
Påfallande många av kraven är inexakta av typen att leverantören ska beskriva vilken säkerhetsfunktionalitet finns.
En förvånansvärt stor andel av det som kan kallas säkerhetskrav ägnas åt fysisk säkerhet.
Och som sagt: nivåer saknas.
Sammantaget skulle det skapa stora svårigheter för kundmyndigheten att bedöma vilken den faktiska säkerheten i leveransen blir.
Om man summerar SSC:s kravbild inklusive orimliga krav som att leverantören ska ha erfarenhet av att tillämpa Riksarkivets FGS i praktiska lösningar vilket i princip är en omöjlighet eftersom det knappt finns några FGS:er så undrar jag om SSC verkligen velat ha en leverantör.
I förtroende har leverantörer förmedlat att har saknats dialog trots den upphandlingsform som valt och som bygger på just dialog.
Trots att endast en leverantör återstått under det sista året har upphandlingen rullat på och därefter avslutats bland annat med motiveringen att det var för få leverantörer.
I upphandlingsunderlaget återkommer följande formulering: Under avtalstiden kan uppdraget komma att begränsas eller på annat sätt förändras med anledning av författningsändringar eller förändrade uppdrag för Statens servicecenter.
Bland annat kan det bli aktuellt för statliga myndigheter att ansluta till en så kallad statlig molntjänst.
Med tanke på att företrädare för SSC ofta vädrat en önskan om att få uppdraget att ta över statlig it-drift och skapa en statlig molntjänst så kan inte tanken att angelägenheten att få affären i hamn kanske inte var helt odelad helt viftas bort.
SKI:s upphandling är en förnyad sådan så man får anses ha mera erfarenhet på området än SSC.
Av teoretiska och praktiska orsaker är jag tilltalad av SKI:s inriktning att använda definitionen ”funktion för e-arkivering” även om det finns aningen av ironi i motstridigheten när funktionen beskrivs som I definitionen av funktionen för e-arkivering beskrivs e-arkiv i termer av vad e-arkivet ska klara av, vilka behov som ska tillgodoses, snarare än vilka funktioner som ska finnas.
Detta är en betydligt mer öppen upphandling i meningen att det finns möjlighet för kunderna att använda avtalet både för att kunna köpa en molntjänst och för att köpa en applikation för egen drift.
I alla fall hypotetiskt minskar det risken för den koncentration som föranledde kravet på SUA för SSC.
SKI har alltså valt att inte göra en SUA, helt korrekt enligt mig.
Det ger också kunden möjlighet att lägga till egna säkerhetsåtgärder i en applikationsdrift och anpassa applikationsdriften till egna skyddsnivåer.
Att flera leverantörer finns på ramavtalet minskar inte bara koncentrationen av information utan gör också lättare att välja en leverantör som motsvarar den egna kravbilden utöver det som står i ramavtalet.
Jag tror (med betoning på tror) att ramavtal är en bättre lösning även ur säkerhetssynpunkt om det är oklart vad en mellanliggande myndighet ska tillföra eftersom kunden då har möjlighet att ha direktkontakt med leverantören.
Applikationsdrift i all ära men för mindre verksamheter kan molntjänster innebära en mycket bättre säkerhet än vad man kan skapa själv (har redan skrivit om detta ett antal gånger så jag vevar inte argumentationen ytterligare en gång).
Inte heller i SKI:s upphandling finns skyddsnivåer definierade även om informationsklassning nämns som en del i de konsulttjänster som kan avropas.
Krav på certifiering ställs inte och säkerhetskraven är inte frilagda på samma sätt som i SSC:s upphandling.
Likaså är många kraven av samma något diffusa karaktär som i SSC:s upphandling.
Det är därför svårt att på rimlig tid skapa en bild av hur den tänkta säkerhetsarkitekturen ser ut.
Jag tror dock att det varit enklare att hitta fram till ett samförstånd i denna upphandlingstyp än i den konkurrenspräglade dialogen som SSC valde som upphandlingsform.
Ett problem med båda upphandlingarna är att det är svårt att se vilka riskbedömningar som gjorts och det är även svårt att se något systematiskt arbete som föranlett de säkerhetskrav som faktiskt ställts.
Jag uppfattar det inte som att säkerhet varit en väl analyserad fråga i upphandlingarna även om SSC drämde i med storsläggan säkerhetsskydd.
Generellt skulle jag vilja hävda att kunden som använder SKI:s ramavtal har större möjlighet att påverka säkerheten i sin informationshantering än den tänkta kunden hos SSC.
Hur stora koncentrationer av information ska hanteras är en fråga på nationell nivå där jag inte tror att säkerhetsskydd är lösningen.
I båda fallen har (eller skulle ha haft) kunden ett drygt arbete att analysera sitt säkerhetsbehov innan en tjänst kan tas i drift.
En from förhoppning är fortfarande att ta fram gemensamma skyddsnivåer till gagn både för kunder och leverantörer.
Ytterligare en önskan skulle vara att tydligare utgå från de tilltänkta kundernas situation och möta dem där de är.
Om ett nationellt ”e-arkiv” ska byggas upp bör behov och lösningar analyseras mycket mer noggrant.
Det handlar om både organisation, tjänster och infrastruktur.
De utredande ansatser som gjort av SSC övertygar mig inte om att denna myndighet är rätt instans för detta uppdrag.
Under en övergångsperiod menar jag att den realistiska lösningen är att upphandla tjänster.
En observation som kan göras är att den organisation som har till uppgift att göra upphandlingar är den som lyckas.
En lärdom av detta kan vara att uppmärksamma hur komplicerad själva upphandlingsprocessen är och att den bäst sköts av en organisation med expertkompetens.
Att ha icke-koordinerade lösningar mellan stat och kommun/region är olyckligt.
Eftersom informationen flödar mellan arkivbildare bör det konceptuellt vara samma typ av lösningar.
Här finns även möjlighet att ge stöd för de privata utförarna av offentliga uppgifter – ett område som nu tycks bortglömt.
Slutligen vill jag, som så ofta, understryka betydelsen av att Riksarkivet tar ett betydligt större ansvar för e-arkivfrågan.
Det gäller både operativt i rena kravställningar men också strategiskt.
Redan nu görs enorma informationsförluster vilket borde sporra Riksarkivet till att göra det till sin huvudfråga.
Föreställningen om att e-arkiv handlar om att överföra information från ett system till ett annat måste överges och de stora informationsarkitekturerna prioriteras.
För att lyckas med krävs mycket stora insatser.
Två viktiga steg menar jag är att befria SSC från uppdrag inom e-arkivområdet och att inse att det som nu kallas e-arkiv egentligen är ett informationshanteringssystem som inte löser den långsiktiga arkivfrågan.
Därefter bör ett nytt uppdrag skapas.
Grunden för ett sådant uppdrag bör vara att staten nu (och sannolikt inte under överskådlig tid)inte har förutsättning att utveckla informationshanteringslösningar i den omfattningen själv.
Att omforma eller kopiera SKI:s ramavtal så att även statliga myndigheter kan använda det är ett sätt att skapa förutsättningar för en mogen marknad där leverantörer kan se en långsiktighet som gör att de vågar investera i utveckling.
Tillägg 2019-02-10: Uppmärksamma läsare har hört av sig och sagt Kammarkollegiets ramavtal innebär en möjlighet för alla aktörer inom offentliga sektor att upphandla e-arkivlösningar för installation i den egna miljön.
Definitionen av e-arkiv är på samma sätt som övriga sparsmakad och på samma gång förbryllande, arkivarie som jag är har jag svårt att uppfatta skillnaden mellan arkivering och långtidsarkivering: Anbudsgivare ska erbjuda minst en programvara för e-arkiv för installation i kunds it-miljö.
Med e-arkiv menas en programvara för arkivering och långtidsarkivering av handlingar för installation i kunds it-miljö Naturligtvis borde jag nämnt avtalets existens.
Jag har dock redan i ett tidigare inlägg beskrivit hur jag försökt få svar på vilken säkerhet dessa leverantörer kan erbjuda utan att lyckas (ingen svarade).
Dessutom går ramavtalet såvitt jag kan se ut den sista november i år.
Att avtalstiden snart går ut ökar möjligheterna för att ta ett större grepp om frågan.

Riktlinje informationssäkerhet Anvisning för informationsklassicering Anvisning för informations- och it-säkerhet för medarbetare Sverige måste förstå att digitalisering inte är en lyxprodukt utan en kärnverksamhet.
En strategisk fråga blir att lyfta fram de förändringsagenter som finns ute i verksamheterna och helt enkelt vända på bevisbördan.
Det ska inte längre vara så att det är den som vill förändra som måste förklara sig utan snarare den som vill bevara det gamla.
Hur många av er upplever att juridiken stimulerar och möjliggör digitaliseringsresan inom hälso- och sjukvården?
Digitalisering skapar mervärde Man behöver förändra helheten – inte bara småändra i marginalen.
Då är risken att man lägger all kraft på en enskild lösning och inte på att förändra det som verkligen ger effekt Möt innevånaren/patienten tidigt genom digitala arbetsmetoder Om jag förstår det rätt ligger den här rekryteringssiten som en molntjänst där informationen ligger på Irland?
Använder siten Google Analytics?
Har det gjorts en riskanalys/informationsklassning innan man valde det här sättet att hantera informationen?
Har Försvarsmakten gjort rätt riskbedömning när det valt den här lösningen eller har de liksom många andra fallit för frestelsen och sett all fördelar finns med molntjänsterna och låtit detta få överhanden?
Om riskbedömningen är rimlig att hantera personuppgifter och andra uppgifter om exempelvis placeringar som annars uppfattas känsliga, dessutom i en omfattning som svindlar, i en molntjänst i det här sammanhanget – varför skulle det inte vara det i andra sammanhang som exempelvis i kommunal verksamhet?
Inför ett moratorium inom vård-it och inför inte några nya lösningar som inte är absolut nödvändiga.
Gör en heltäckande genomgång av säkerhetsbristerna inom den svenska vård-it.
Stärk Socialstyrelsens roll i förhållande till sjukvårdshuvudmän vårdgivare när det gäller vårdens informationshantering.
Detta bör även gälla myndigheter som främst ska leverera e-tjänster som E-hälsomyndigheten.
Utred hur ansvarsförhållandena för informationshanteringen i vården ser ut och hur de borde se ut.
En central fråga är det reella ansvarsutkrävandet.
Säkerställ att även det långsiktiga behovet av vårdinformationen beaktas, både den enskilda patientens behov och samhällets behov av informationen för forskningsändamål.
Ta fram en strategi och en arkitektur för den nationella nivån som inte bara är fluff.
Ta fram en gemensam styrmodellvården och låt den förvaltas av myndigheter – inte av intresseorganisationer eller utförare i första hand.
Skapa ett ackrediteringssystem för anslutning till den nationella arkitekturen.
Skapa verktyg för systematisk uppföljning av informationssäkerheten inom vård-it och lita inte på att tillsyn av enskilda organisationer skapar säkerhet.
Utveckla utbildningar för de somen i vården.
Utveckla ett forskningsprogram för informationssäkerhetsstyrning i miljöer med multilaterala ansvarsförhållanden.
Om vi särskiljer lagring och arkiv innebär arkiv den slutliga förvaringen av information som ska bevaras i hundra-, ja tusentals år.
Att införa e-arkiv är alltså inte något som kan vidtas med en händelsehorisont på tio år.
I den svenska myndighetsvärlden råder en viss begreppsanarki där ”arkiv” kan betyda olika saker som en lokal, en institution och en myndighets bestånd av allmänna handlingar vilket jag skrivit om bland annat En myndighet (inklusive kommuner och regioner) skapar och tar emot stora mängder information av vilka en del utgör allmänna handlingar som enligt huvudregeln ska bevaras för framtiden såvida inte ett formellt gallringsbeslut upprättas som sätter en gallringsfrist.
Gallring kan alltså ske efter olika lång tid vilket gör att viss information ska sparas för all framtid medan annan kan gallras efter viss tid.
För pappersbunden information har man därför ofta skapat för att avställa inaktuell information i väntan på långtidsbevarande respektive gallring.
Det är arkivmyndigheten som i huvudsak ska fatta gallringsbeslut.
Här finns dock en mycket stor skillnad mellan statliga myndigheter och kommuner/regioner.
För statliga myndigheter är Riksarkivet arkivmyndigheter medan i kommuner och regioner är deras egna styrelser som utgör arkivmyndigheter En arkivmyndighet har inte bara uppgiften att fatta gallringsbeslut utan även ansvaret för bland annat arkivvård och tillsyn.
I det nu aktuella sammanhanget är det en central förutsättning att när en arkivmyndighet tar hand om ett arkiv så är det också arkivmyndigheten som ”äger” arkivet.
Arkivmyndigheten ansvarar för utlämnande av allmänna handlingar och den ursprungliga arkivbildaren (d.v.s.
myndigheten som lämnat in) kan inte hålla på att rumstera om i informationen.
Trots att arkivredovisningen ska vara processorienterad och att vi idag har stora sammanhängande informationsinfrastrukturer med ett otal antal bärare är e-arkivfrågan fortfarande inriktad på att överföra informationsmängder från enskilda system för arkivering.
I den enkät jag gjorde 2018 bland myndigheter, kommuner och regioner var ett starkt intryck att e-arkivfrågan inte i någon högre grad kopplats samman med informationssäkerhet.
Få att de tillfrågade hade gjort informationsklassningar och riskanalyser, ännu färre kunde redovisa säkerhetskrav att ställa på e-arkiv.

OFFENTLIGHET en varför förutse autenticitet riktighet giltig bevisvärde inom all mellanarkiv en

Meny Författare: Inläggsnavigering

Bakgrund Vad skulle då upphandlas?
SKI Slutsatser

MENU MENU Fia Ewald Postat av Postad i , , , , , Tagged , , , , , Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , , Tagged , , , , , , Postat av Postad i , , , , , Tagged , , , , , Postat av Postad i , , , Tagged , , , Postat av Postad i , , Tagged , , Postat av Postad i , , , , , Tagged , , , , Postat av Postad i , , , Tagged , , , , Postat av Postad i , , , , , Tagged , , , , , , Postat av Postad i , , , Tagged , , , , , , ← → Sök efter:

Konsulterna vårdresultat/kostnad=värde The Age of Surveillance Capitalism Om informationstekniskt bevis Juridik som stöd för förvaltningens digitalisering authenticity integrity Järnvägsresandets historia

Redan när jag under 1990-talet arbetade med informationshantering och informationssäkerhet i ett landsting (jag på den gamla goda tiden när det fortfarande hette landsting och inte regioner) blev den sköra balansen mellan landstingets eget ansvar och det nationella intresset tydlig för mig.
Det är inget okänt eller nytt problem som nördar med överdrivet förvaltningshistoriskt intresse (d.v.s.
De nya medicinska behandlingar liksom nya politiska vindar drev dock tillsammans med digitaliseringen fram en historiskt ny situation där de tidigare så inbillat självrådiga landstingen pressades åt två motsatta håll.
Å ena sidan blev det enskilda landstingets sjukvårdsverksamhet alltmer integrerad i ett nationellt landskap som bland annat bestod i att specialiserad vård koncentrerades till ”vårdhubbar” och en gemensam struktur i nivåer.
Å andra sidan en ökad fragmentisering med fler aktörer som kommuner, privata vårdleverantörer och fler tillsynsmyndigheter.
I detta skede skulle de institutionella förutsättningarna förändrats så att en stark styrning möjliggjorts.
Istället gjorde införandet av new public management att bristen på samordning nationellt trycktes ner till disparata krav för det enskilda landstinget att försöka pussla ihop.
Jag kommer fortfarande ihåg den lätta panik jag kände när jag ringde till Socialstyrelsen i en fråga rörande journalhantering.
Den hjälpsamma tjänstemannen meddelade att hen bara kunde ge stöd angående patientssäkerhetsaspekten i hanteringen av patientinformation.
För att få råd avseende integritetsaspekter i samma hantering var jag tvungen att vända mig till Datainspektionen, och nej, de två myndigheterna hade tyvärr inte tagit fram några gemensamma vägledningar.
Systemfelet att man inte på nationell nivå integrerar frågeställningar som delvis är i konflikt i det praktiska utförandet utan skjuter över det till de utförande organisationerna att lösa individuellt är verkligen inte unikt för vården.
På område efter område kan samma mönster urskiljas.
Jag har redan mer än en gång för mycket beskrivit den (icke-)existerande samordnade styrningen av säkerhet och digitalisering.
Jag har på senare tid börjat fundera alltmer på den heliga ansvarsprincipen som infördes på 1980-talet och då ersatte en centraliserad styrning av bland annat krisberedskap.
I och med detta försvann visserligen detaljkraven på enskilda verksamheter men också inbillar jag mig möjligheten att kunna mobilisera samhällsfunktioner med nödvändig överblick över helheten.
(Eftersom jag blivit alltmer nyfiken på tankarna bakom krisberedskap har jag börjat läsa litet, för andra med samma dragning kan en bra ingång vara den här ).
Kanske är det överblicken och systemtänkandet jag saknade mest när jag började arbeta på en samordnande myndighet.
Det var med en känsla av desillusion som jag tyckte mig se konkurrens och revirpink snarare än samarbetsanda hos de myndigheter som skulle samverka.
Min upplevelse var också att det fanns ett klimat där det var mycket svårt att ta varandras perspektiv och ännu mindre perspektivet hos dem som konkret skulle genomföra flertalet säkerhetsåtgärder, d.v.s.
de vanliga organisationerna.
Särskilt dystert kändes detta med tanke på hur väl övriga samhällsaktörer behövde en samordnad inriktning och gemensam säkerhetsarkitektur (inte bara teknisk) – något som faktiskt inte det enskilda landstinget eller kommunen kan åstadkomma.
För att inte drabbas av något ont öga vill jag återigen understryka att detta är min egen subjektiva upplevelse som säkert påverkades av mina högt ställda förväntningar.
De i det svenska statsskicket så självständiga myndigheterna föreföll också tämligen befriade från stark styrning från regeringskansliet.
Snarare tycktes en omvänd ordning råda där expertmyndigheterna hade starkt inflytande över de inte alltför seniora tjänstemännen på RK och därmed i vissa delar tycktes formulera sina egna uppdrag.
Hunnen så långt i mina reminiscenser dök tanken på Freja och hennes vagn dragen av katter upp.
Alla med minsta kännedom om katter kan föreställa sig vilket sjå Freja hade om hon skulle få vagnen att rulla framåt, en katt som lägger sig och vägrar röra sig, två som går åt två helt olika håll och till det massa stirrande och fräsande.
Men för att tänja på metaforen med Frejas vagn borde det vara en huvudfråga att vagnen med digitalisering, säkerhet och integritet rullar framåt.
Då måste dragarna röra sig i samma riktning och helst vara lämpliga för ändamålet.
Att samordning inte är svårt bara när det gäller de stora frågorna utan även i de mer konkreta metodfrågorna demonstreras i den frustrerande verklighet som de många som ska förverkliga intentionerna lever i. Efter att ha misslyckats med att få både intern och extern acceptans för en vägledning för informationsklassning började jag tänka om.
Informationsklassning är en metod som jag själv praktiserat i ett par decennier med en tydlig förutsättning: den måste leda fram till konkreta och säkerhetshöjande åtgärder.
Genom åren har jag sett många varianter av förslag på informationsklassning men mycket få som faktiskt tillämpats i praktiken.
Det har till och med förekommit på konferenser och seminarier att metoder presenterats som framgångsrika trots att de aldrig använts i någon organisation!
Informationsklassning i all ära men en stor del av säkerhetskraven är så generiska att det inte finns någon anledning att gå omvägen via klassningar.
Ta exempelvis det mycket aktuella exemplet med ”molntjänster” med vilket för närvarande avses Office 365 och liknande helt omfattande lösningar där i princip all administrativ information utom HR och ekonomi kan hamna.
Såvitt jag kan bedöma är det inte meningsfullt att genomföra enskilda informationsklassningar per verksamhet och inte heller per organisation (mer om det .)
När nu säkerhetsskyddslagstiftningen inför ytterligare klassningar (vilket jag skrivit om bland annat och ) blir uppgiften ännu mer omöjlig att genomföra.
Min slutsats är därför att informationsklassning faktiskt inte går att använda på det sätt som jag själv gjort i någon större skala utan att vi måste tänka om.
Jag tror dessutom att det vore en samhällelig suboptimering av rang att göra som eSam och andra myndigheter föreslår: att varje organisation själv ska göra egna informationsklassningar och riskbedömningar.
För mig vore det enda rimliga att de myndigheter som har formellt ansvar och de organisationer (som eSam) som tycker sig ha anledning att göra generella statements också bidrar till att lösa frågan och inte bara delar ut Svarte pettrar.
När jag slutade på MSB (där jag då var chef för enheten för systematiskt) för tre år sedan låg enhetens fokus på tre strategiska projekt: Såvitt jag vet hamnade projekten i malpåse men jag skulle vilja förklara den bakgrund till projekten som jag bedömer som varande fortfarande relevant.
En del var en ökande medvetenhet om hur NPM-tänkandet präglat även informationssäkerhetsområdet bland annat i form av en extrem decentralisering och fokus på mätning snarare än att skapa en sammanhållen och kostnadseffektiv arkitektur av säkerhetsåtgärder.
Exempel på detta är att den stora övertron till att ISO-standarden ska lösa problemen trots att den uttryckligen är inriktad på enskilda organisationers säkerhet och därmed har en stor potential för att ge olika svar i olika organisationer.
Ett annat är det lika överdrivna intresset för att samla in incidentrapporter utan att sedan riktigt veta vad man ska göra med dem.
Istället menar jag (fortfarande) en stark central styrning måste till och att tanken på standarderna som universallösningen måste överges.
Enkelt uttryckt måste vi förflytta oss från metoder som är skapade för att skapa resultat till styrning som ger ett enhetligt resultat i den gemensamma infrastrukturen.
Att skapa större enhetlighet inte bara vad gäller metod utan i faktiska säkerhetsåtgärder bör i sig vara ett mål.
Det vill säga att där det förekommer likartad information i likartade processer bör den om möjligt hanteras på ett enhetligt sätt.
Om man har detta som utgångspunkt finns i Sverige alldeles lysande förutsättningar för att nå snabba säkerhetshöjningar, något som nu inte alls tillvaratas utan snarare motarbetas.
Låt oss ta kommunerna som det kanske tydligaste exemplet.
Samtliga 290 kommuner har tio obligatoriska uppgifter som de ska utföra.
Det innebär att deras kärnverksamhet i består av tio i huvudsak likartade processer med i huvudsak likartad information.
Att söka skola eller byggnadslov ser ungefär likadant ut även om man kan ha olika organisationer, system och begrepp.
Genom att utnyttja den fördelen och skapa generiska processer inklusive informationsmängder kan man också ta fram informationsklassningar för kärnverksamheten som kommunerna kan utgå från liksom även skyddsnivåer där systemen som stöder processerna kan placeras in.
Detta är bara ett exempel på hur vi snarare har motverkat de stora fördelar som finns i likheten och skapat ett enormt maskineri av krav på att med bristfälliga resurser klassa samma information fast få fram olika resultat… Förutom den effektivitet och kostnadsreducering som skulle kunna vinnas med den här typen av styrning är den kanske mest centrala att det faktiskt skulle leda till bättre säkerhet.
De riskbedömningar, klassningar och skyddsnivåer som kan tas fram med experter på nationell nivå kan med stor sannolikhet, förutom att vara enhetliga, vara av en annan kvalitet än de som en informationssäkerhetsansvarig på 20 % i Söpple kommun har möjlighet att frambringa.
Här vill jag dock med all kraft understryka att den verksamhetskunskap som finns i företag, kommuner, regioner och myndigheter inte kan ersättas av säkerhetsexperter.
Nej, här det snarare frågan om en stark funktionell renodling där verksamheter står för verksamhetskompetensen och säkerhetsfunktioner står för säkerhetskompetens.
Och självklart kommer det att kvarstå verksamhet som är unik som måste hanteras av den egna organisationen.
Grunden var att försöka komma fram till hur man ska kunna skapa institutionella förutsättningar för att skapa en fungerande informationssäkerhet som dessutom är i samklang med både den planerade och den oplanerade digitalisering som pågår.
Jag vill betona betydelsen av institutionella förutsättningar i styrsystem eftersom det inom säkerhetsområdet florerar en underförstådd föreställning om regelstyrning både i den lokala organisationen och på nationellt plan.
Den kan tolkas som att det räcker med att bara säga till vad som gäller (regler) och sedan straffa eller skamma de som avviker från dessa.
Om detta har en säkerhetshöjande effekt eller inte har en underordnad betydelse.
Till och med vid framtagandet av föreskrifter är frågan om hur föreskriften ska få effekt en osynlig fråga.
För att belägga det räcker det att konstatera att det saknas en planerad uppföljning av föreskrifters genomslag inte tas fram.
Jag tror helt enkelt att säkerhetsområdet måste börja närma sig andra områden när det gäller styrning.
Detta behov blir än mer framträdande då det sedan ett par decennier är i allt högre grad privata aktörer som utför centrala delar av samhällsviktig och offentligt finansierad verksamhet.
I en situation av mer governance och mindre government blir rak regelstyrning mindre effektiv.
De institutionella förutsättningarna innebär inte bara regler utan också där beteendena bör förflyttas så att de överensstämmer med reglerna.
En viktig uppgift är alltså att hitta de mekanismer som kan underlätta denna förflyttning.
Ganska självklart men kanske för ofta bortglömt.
Styrningen beror alltså på att man väljer rätt metoder för att underlätta förflyttningen av beteendena.
Straff och tillsyn är ofta framlyfta incitament inom säkerhetsområdet men min uppfattning är att minst lika stort intresse borde vigas åt de positiva incitamenten som exempelvis överenskommelser, kunskapsstyrning och en positiv säkerhetskultur även på nationell nivå.
För att inte hamna i Frejas situation och ha en vagn spänd bakom trilskande kissar har jag tagit fram följande superförenklade bild över hur en gemensam styrmodell skulle kunna utformas.
Pilarna ovanifrån är verksamhetskrav för att styrmodellen ska utformas med de risker som finns i detta perspektiv.
Vad som inte finns med är hur styrmodellen ska samverka med myndigheternas krav på digitalisering – detta mest beroende på att jag funnit det omöjligt att hitta underlag för att beskriva hur denna styrning är avsedd att ske.
Här vill jag skjuta in att den här typen av modell även skulle leda till att relationen med leverantörer av tjänster för informationshantering skulle förbättras på ett antal nivåer.
För det första skulle kommunikationen vid upphandlingar kunna ske med stöd av skyddsnivåerna i modellen: kunden kan istället för egenhändigt utformad kravspec för säkerhet peka på vilken skyddsnivå systemet eller tjänsten ska uppfylla.
För det andra kan, om beskrivningarna i skyddsnivåerna är rätt utformade, leverantörerna bidra med lösningar med bättre säkerhet än vad kunderna skulle kunna formulera krav på.
Leverantörerna har trots allt som sin kärnuppgift att utveckla teknik vilket inte kunderna har.
För det tredje skulle det ge leverantörerna ett mått av förutsägbarhet som gör det värt att investera i utveckling av nya säkerhetslösningar.
För att bara ta några möjliga förbättringar.
Det skulle också innebära att man kan lyfta kretsloppet av ständig förbättring, PDCA-cykeln, från den enskilda organisationen till vår gemensamma informations- och it-struktur, med dessa exempel: Detta är bara en bråkdel som finns att säga om detta.
I ett senare inlägg kommer jag därför att beskriva förslaget ytterligare.
Observera fram till dess med tacksamhet att jag inte satt Operation Gyllenborst som namn på modellen.
2018 har varit ett bra år för mig personligen men knappast för världen i stort.
Jag kommer därför inte att ge några julgåvor, inte skicka några godiskorgar eller julkort utan istället investera litet pengar som ett mycket anspråkslöst sätt att påverka vår gemensamma framtid i rätt riktning.
Om andra får inspiration att göra detsamma – desto bättre!
Jag donerar därför 10 000 kronor till Civil Rig som arbetar för att försvara människors medborgerliga och politiska rättigheter och stärker människorättsförsvarare som är utsatta för risker.
Idag när grundläggande demokratiska värden ifrågasätts av allt fler känns detta som en organisation med större relevans än någonsin.
Det går att swisha valfri summa till 900 12 98 men man kan också bli månadsgivare.
Flera alternativ finns Det är lätt att glömma bort allt gott arbete som sker lokalt och som gör vårt samhälle bättre.
När man som jag lever ett kringflackande liv är det svårt att bidra till detta arbete i det dagliga men då kan man ändå stödja de fantastiska människor som varje dag gör livet litet bättre för människor.
Jag har därför valt att även ge 10 000 kronor till Världen i Värmland som är ett nätverk som arbetar för att förbättra situationen för unga människor som kommit som flyktingar till Värmland.
Nätverket samarbetar med flera av kyrkorna i länet, Röda Korset m.fl.
För den som också vill bidra till detta finns swish 123 262 5648 och bg 510-3338.
På facebook-gruppen med samma namn finns information om de många aktiviteter och insatser som görs.
(Jag kommer även att ge en summa till Djurskyddet som tar hand om katter i nöd men det säger jag inte för att undvika att framstå som en crazy cat lady…).
Annars önskar jag alla en god jul och ett gott nytt 2019 där allt blir litet, litet bättre!
Och att alla tar det litet lugnt och läser en god bok.
I augusti 2014 fick den då relativt unga myndigheten Statens servicecenter ett uppdrag av regeringen att i samverkan med Riksarkivet samt sju pilotmyndigheter utveckla och använda en förvaltningsgemensam tjänst för e-arkiv.
Efter dryga fyra år avbryter man nu upphandlingen med hänvisning att det endast inkommit en kvalificerad sökande och att priset är för Detta är mycket bekymmersamt.
I en fråga som varit akut i ett par decennier, nämligen det långsiktiga bevarandet av den information som genereras i myndigheter, kommuner och landsting, har myndigheter blivit intalade att det snart kommer en lösning på deras .
Så sent som för en månad sedan deltog Statens servicecenter på Arkivforum och trumpetade ut att man nu var i mål och att myndigheter skulle kunna ansluta sig till tjänsten inom ett halvår.
Det skulle vara frestande att ropa ”skandal” men det är intressantare att försöka analysera vad misslyckandet beror på.
Själv har jag redan tidigare skrivit om att hela upplägget var märkligt i framförallt två hänseenden.
För det första har det hela tiden saknats en övergripande strategi för det långsiktiga bevarandet av digitala handlingar.Det som kallats e-arkiv hos Statens servicecenter är bara en del i en större helhet som ännu inte finns beskriven.
Eftersom tjänsten enbart är ett mellanarkiv återstår fortfarande att skapa ett slutarkiv och min obesvarade fråga har varit varför ett mellanarkiv över huvud taget skulle vara intressant i ett digitalt perspektiv.
Om information ska överföras från arkivbildaren till en annan myndighet borde det rimligen ske på ett sätt där även slutarkivering ingår eller åtminstone är tydligt planerad.
Så är nu inte fallet och för mig förefaller detta bara vara ett prokrastinerande av en oundviklig uppgift.
Den andra frågan är sammanhängande med detta och handlar om Riksarkivets roll och varför information som ska långtidsbevaras först ska mellanlanda hos en annan myndighet.
Jag menar att Riksarkivet borde ta ansvaret för denna kärnuppgift i det egna området och beskriva hur ett digitalt mellanarkiv borde utformas för att passa in i en större helhet av bevarande.
Att överlåta detta uppdrag till en myndighet utan expertkompetens känns både ologiskt och som ett stort risktagande.
Det som upphandlingen slutligen fallit på är dock den bristande informationssäkerheten hos leverantörerna vilket framgår tydligt i det beslut som Statens servicecenter tagit angående att avbryta .
Av de åtta anbudsgivarna föll sex bort på grund av de inte uppfyllde kraven på informationssäkerhet, en drog sig ur frivilligt och den enda kvarvarande blev för dyr.
Att informationssäkerheten varit en, med ett understatement, underordnad fråga i e-arkivsammanhang är för mig uppenbart både utifrån den enkät jag gjorde i våras och ännu tydligare i de frågor jag ställt till leverantörer.
De leverantörer jag frågat och där det finns en stark korrelation med de som lämnat anbud till Statens servicecenter har inte kunnat svara på en enda fråga gällande säkerhet alternativt har aktivt beslutat att inte svara.
Detta förhållande borde blivit känt även för Statens servicecenter.
Jag har vid förfrågan inte fått ta del av de säkerhetskrav som Statens servicecenter ställt men i dokumentet som offentliggjorts om upphandlingen visar att flertalet leverantörer som lämnat anbud inte kan visa upp ens den mest elementära styrning av säkerhet i sina tjänster.
För mig är det mest förvånande att Statens servicecenter under fyra år drivit ett projekt med syfte att tillgodose myndigheterna med en e-arkivtjänst inte under denna tid vare sig lyckats med att genomföra en relevant marknadsanalys eller med att förmedla information till leverantörerna om informationssäkerhetens betydelse.
Har man verkligen trott att leverantörerna jobbar med informationssäkerhet utan att man behöver betona det eller har man bara kört på trots indikationer på att det inte fungerar?
Och detta efter Transportstyrelsen och alla de diskussioner som förts om molntjänster och outsourcing?
Nu kan en kritisk läsare tänka att utfallet beror på att Statens servicecenter ställt alldeles orimligt höga säkerhetskrav.
Min bedömning är den motsatta.
De fallerande anbudsgivarna uppfyller inte ens elementära säkerhetskrav som till exempel att ha en informationssäkerhetspolicy eller kunna visa vilka säkerhetskontroller man genomför.
Som sagt; jag har ingen aning om hur säkerhetskraven formulerats i upphandling eftersom det sekretessbelagts.
Men om leverantörerna inte ens har ett LIS eller kan beskriva hur det egna säkerhetsarbetet är organiserat måste dialogen mellan upphandlande myndighet och leverantörer gått allvarligt fel.
Detta är dessutom en upphandling som skett med så kallat förhandlat förfarande där den upphandlande myndigheten inbjuder utvalda leverantörer och förhandlar om kontraktsvillkoren med en eller flera av dem.
Dialogen har syftat till att utforma krav och villkor för om hur en förvaltningsgemensam tjänst för e-arkiv på bästa sätt kan utformas.Under dialogen har sökande presenterat och preciserat sin lösning i enlighet med inbjudan till respektive dialogomgång.
Sammanlagt har sex (6) dialogomgångar .
Projektet har alltså pågått i fyra år med dialoger med hugade leverantörer.
Ändå har man inte fått leverantörerna att inse att de åtminstone måste ha en basal informationssäkerhet för att kunna bli aktuella.
För mig bekräftar det mitt intryck av att e-arkivfrågan på alla nivåer varit tämligen konsekvent isolerad frånt.
I den aktuella upphandlingen har det lett till ett ofruktbart resultat för kunder och leverantörer trots nedlagda resurser.
Vad värre är – att arbetet med att ta fram andra lösningar för e-arkiv avstannat hos myndigheterna och därmed en stor förlust av tid.
I sin till regeringen förklarar Statens servicecenter att man inte lyckats upphandla en tjänst som är ekonomiskt försvarbar i förhållande till investeringen.
Man menar sig dock ha vunnit så viktiga erfarenheter av sina fyra projektår att man vill att regeringen ska ge ett nytt uppdrag till myndigheten för att utreda en lösning där Statens servicecenter upphandlar licenser för drift och lagring hos en annan myndighet.
Jag menar att denna tummetott i form av någon typ av erfarenhet inte bör motivera regeringen att ge Statens servicecenter ett fortsatt uppdrag.
Istället bör Riksarkivet få ett uppdrag att ta fram en strategi för långtidslagring av digital information, d.v.s.
omfatta både mellan- och slutarkiv.
Detta ingår inte specifikt i den pågående arkivutredningens trots att det ändå måste uppfattas vara arkivsektorns kärnuppdrag.
Därför bör ett separat uppdrag om detta formuleras som inkluderar arkivteoretiska, informatiska, tekniska, juridiska och organisatoriska aspekter men även på ett djupare plan den informationssäkerhet som måste inarbetas i lösningen.
En mycket omfattande men oundgänglig uppgift för utredningen är också att ta fram strategier för att lagra de allt mer komplexa informationsinfrastrukturer som byggs upp med både offentliga och privata aktörer.
I dag tycks fortfarande e-arkiv ofta handla om att ”arkivera” enskilda system trots att det inte är så verkligheten ser ut.
Man kan tycka att detta i onödan drar ut på tiden men för mig är detta en nödvändig grund för det digitala långtidsbevarandet och i förlängningen det digitala samhället.
När utredningen är klar och beslut fattats om inriktning bör expertmyndigheten Riksarkivet vara beställare av de tekniska lösningarna där mellanarkivet kanske kan vara förlagt hos Försäkringskassan.
Slutarkivet måste dock, anser jag, finnas hos Riksarkivet.
I detta kan jag inte se att Statens servicecenter kan spela någon väsentlig roll.
Och återigen är mitt credo: är det någonstans informationssäkerhet behövs så är det i e-arkiv!
Det har knappast gått någon förbi att det under några år nu rasar in nya eller nygamla regleringar gäller olika aspekter av informationssäkerhet: dataskyddsförordningen, lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet), ny säkerhetsskyddslag och sedan litet civilt försvar på det.
Samtliga av ovanstående regleringar ”drabbar” primärkommunerna.
En egenhet för primärkommunerna generellt är att kravbördan inom alla områden drabbar samtliga kommuner lika hårt oavsett om de har 4000 invånare eller 900 000.
Detsamma gäller för ovan nämnda nya lagar.
Kommunerna har den, vid sidan om sjukvården, mest komplexa kravbilden på informationssäkerhet i samhället redan från början i kombination med att flertalet av små och medelstora kommuner alltför ofta helt eller delvis saknar den kompetens som behövs för att hantera situationen.
För att uppnå målbilden; ett säkrare Sverige, behöver de ansvariga myndigheterna därmed anstränga sig till det yttersta för att ge ett stöd som fungerar till kommunerna.
Att inta en hållning av typen ”det är deras eget ansvar” är helt meningslöst och kontraproduktivt eftersom det objektivt sett saknas förutsättningar för att de skulle kunna lyckas med det.
Ytterligare en aktör i detta är SKL som under senare påtagit sig ett allt större operativt ansvar i frågor bland annat av denna typ.
Nu är det alltså litet upp till bevis-läge.
Jag ska därför göra en liten kontrollrunda för att se vilken information och stöd Söpple kommun kan räkna med när det gäller NIS och därefter göra en sequel om säkerhetsskyddslagen.
Först en kort bakgrund.
NIS-direktivet antogs av Europaparlamentet 2016 och den svenska lag som följden av detta, lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, trädde med tillhörande förordning i kraft 1 augusti 2018.
Målsättningen med direktivet och följaktligen med lagen är att hög gemensam nivå på säkerhet i nätverk och informationssystem.
Lagstiftningen är inriktad på de nätverk och informationssystem som stödjer samhällsviktiga tjänster i sju sektorer (energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten, digital infrastruktur) samt i digitala tjänster.
Det är inte i en begreppsvärld klar som ett vårregn vi rör oss i här vilket gör att jag hänvisar den intresserade till definitionerna i lag och förordning för att själv bilda sig en uppfattning om den exakta betydelsen i begreppen.
Viktig avgränsning är att lagen inte gäller för verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen.
Däremot gäller den för både offentlig och privat verksamhet.
För att uppnå bättre säkerhet är de främst två krav lagen riktar in sig på.
För det första ska leverantörerna av samhällsviktiga tjänster bedriva einklusive riskanalyser och incidenthantering.
Av någon anledning betonas det särskilt att man också ska vidta åtgärder för att reducera de risker man upptäcker(!).
Man skulle kunna tycka att det är en ganska självklar del i emen lagstiftaren känner ändå att detta måste påpekas.
För det andra är det universalmedlet incidentrapportering som jag i förtroende vill meddela att jag tror är tecknet på att det offentliga säkerhetsarbetet har fastnat i en NPM-fälla.
Det vill säga att tvinga ett antal decentraliserade verksamheter att rapportera in uppgifter som man inte sedan vet vad man ska göra med.
Lagen innehåller också nyheten att leverantörerna av samhällsviktiga och digitala tjänster ska tillsynas vilket i sin tur bygger på att de som lagen berör själva ska anmäla sig till tillsynsmyndigheten.
Om så inte sker, om man inte vidtar korrekta säkerhetsåtgärder eller inte rapporterar incidenter kan en sanktionsavgift tas ut av tillsynsmyndigheten.
Efter dataskyddsförordningen kan ordet ”sanktionsavgift” väcka viss panik men i lagen om informationssäkerhet för samhällsviktiga och digitala tjänster sägs En sanktionsavgift ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor.
10 miljoner kan ju vara skrämmande för en liten kommun men för en större organisation kan det som en summa värd att gambla med.
Vad som är skrämmande är att det inte är en tillsynsmyndighet utan sex förutom MSB: Sammanfattningsvis är min bedömning att det är minst lika omfattande krav som ställs i den här lagen som i dataskyddsförordningen.
Att bedriva ett systematiskt och riskbaseratär en mycket komplex uppgift som de statliga myndigheterna inte lyckas leva upp på något särskilt övertygande sätt trots att kravet funnits i föreskrift i snart ett decennium.
Nu vidgas kretsen som skulle uppfylla den målbilden till även kommuner och landsting vilkas möjlighet att realisera den är långt, långt sämre än de statliga myndigheternas.
Och så till ett stort antal företag som kommer att ta in kravet i sin affärsplanering och vara extremt intresserade av att förstå exakt vad som krävs eftersom säkerhet kostar.
Missförstå mig rätt.
Jag är den första att hävda nödvändigheten av att bedriva eoch då särskilt i kommuner och landsting.
Hur starkt jag än uttrycker den övertygelsen framstår det som ett understatement.
Men för att uppnå detta måste man förstå förutsättningarna.
Jag ska därför här göra ett litet tankeexperiment för att försöka förstå hur den nya lagstiftningen landar i en medelstor kommun som vi kan kalla Söpple kommun.
En första observation är när vi tittar på de obligatoriska uppgifterna för en kommun är att Söpple kommun kommer att få fem tillsynsmyndigheter: Energimyndigheten eftersom man har ett kommunalt elbolag, Transportstyrelsen eftersom man har kommunal kollektivtrafik, IVO eftersom man bedriver hälso- och sjukvård bland annat inom äldrevården, Livsmedelsverket eftersom man producerar och levererar dricksvatten och PTS eftersom man har ett stadsnät (jag har inte här gjort någon skillnad på om det är kommunala bolag).
Söpple kommun måste alltså vara beredda på att dessa fem olika myndigheter kan komma på tillsynsbesök.
Vilka förutsättningar har då Söpple kommun som med sina 24 000 invånare kan sägas vara en normalstor kommun.
I kommunen finns ingen informationssäkerhetsansvarig utan frågan ligger under it vilket också är normalt men olyckligt.
Man har påbörjat en sondering med två grannkommuner för att gemensamt kunna inrätta en tjänst som informationssäkerhetssamordnare vilket suttit hårt åt eftersom varje utgift ställs mot personal i äldreomsorgen.
Tyvärr har man redan insett att även om man lyckas få beslut om medel för en sådan tjänst kommer det att bli extremt svårt att hitta en sökande som både har kompetens och är villig att flytta till Söpple.
Sannolikheten för att hitta någon i kommunen är mycket låg, det finns inga utbildningar för att snabbt utbilda en redan anställd och de som finns på marknaden kan definitivt få bättre betalt än i kommunal verksamhet.
Jag vill bara här återigen understryka att informationssäkerhet i en kommun är på en svårighetsgrad som få informationssäkerhetsansvariga i statlig verksamhet någonsin råkar ut för så är det någonstans kompetens verkligen behövs så är det i kommunerna.
Både tjänstemannaledningen och den politiska ledningen i Söpple kommun är yrvakna.
De har inte hört talas om något NIS-direktiv och har precis tagits sig igenom pärsen med dataskyddsförordningen.
Min hypotes om okunskapen i Söpple bygger jag på att det är just det förhållande som jag stött på när jag varit i kontakt med ett stort antal kommunala företrädare.
För att göra en bedömning om varför beredskapen inför NIS är så låg så gjorde jag i förra veckan en rundvandring på MSB:s och de övriga tillsynsmyndigheternas samt SKL:s webbplatser för att se vilken information som fanns om NIS där.
På MSB:s webbplats finns en sida med undersidor som i huvudsak bygger på vad som står i lag, förordning och MSB:s . Hur olika aktörer ska göra för att de ska kunna klara en tillsyn står det däremot mycket litet om, där hänvisar man till det så kallade Metodstödet som på en tämligen abstrakt nivå går igenom olika aktiviteter som kan ingå i ett systematiskt säkerhetsarbete.
Vällovligt men inte särskilt användbart för en kommun med de mycket konkreta frågor som måste lösas i detta sammanhang – bara en sådan sak som att hantera nämndorganisationen… Ytterligare en komplikation är att man tungt lutar sig mot en standard som inte är fritt tillgänglig, något som kan bli mycket besvärligt när tillsynsaktiviteterna sätter igång.
Det går liksom inte att kräva att varje organisation som ska tillsynas måste köpa standarderna för att veta vad de är tvungna att göra.
Skyldigheterna måste framgå av föreskriften och vara möjliga att granska även i ett offentlighetsperspektiv.
Övriga tillsynsmyndigheter har inte heller de såvitt jag kan se ingen information riktad till kommunerna specifikt.
I vissa fall tycker jag dock att den generella information de erbjuder är överlägsen den som finns på MSB:s webbplats som Energimyndighetens frågor och svar som ger rediga besked i en del kniviga .
Mest sparsmakad är kanske IVO som egentligen bara konstaterar att man är Inte heller SKL erbjuder sina uppdragsgivare något överflöd av information i . Webbplatserna gav alltså inte något bra stöd för Söpple kommun att ta tag i frågan men det är kanske inte den vägen som är den primära för att sprida information till kommunerna – för att börja söka där måste man ju först veta att det finns ett NIS-direktiv.
Jag skickade därför ett mail till MSB.
PTS, Livsmedelsverket, Energimyndigheten, IVO och Transportstyrelsen med följande lydelse: Hej!
Jag skulle vilja ta del av information angående lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet) som x (d.v.s.
den aktuella myndigheten) skickat direkt till kommuner.
Samma meddelande lade jag in i frågelåda på SKL:s webbplats och jag kan redan nu avslöja att jag inte fått något svar på detta.
När det gäller myndigheterna kan man sammanfattningsvis säga att det endast är MSB som skickat ut någon information direkt till kommunerna och då inte till kommunerna specifikt eftersom det handlar om missiven till föreskrifterna när de gått ut på remiss.
Detta skedde sista augusti.
MSB har deltagit i en träff i nätverketkommuner (KIS) och har en frågelåda på webbplatsen där man kan skicka in mail.
Dessa frågor är dock inte ännu synliga för någon annan än den som skickat frågan.
Livsmedelsverket har tagit fram en broschyr som man delat ut på en konferens om dricksvatten.
I övrigt säger sig tillsynsmyndigheterna invänta att MSB ska samordna dem.
Så här fyra månader efter att lagen trätt i kraft är det svårt att inte jämföra med hur vi blev fullständigt översköljda från olika håll med information om dataskyddsförordningen.
Datainspektionen måste faktiskt få en eloge för att man redan ett par år innan det äntligen blev 25 maj 2018 byggde upp informationskanaler både IRL och på sin webbplats.
Jag kommer med särskild glädje ihåg en realtidschatt för kanske två år sedan då det gick att ställa alla möjliga frågor till myndighetens kunniga jurister.
För aktiva personuppgiftsansvariga har det varit fullt möjligt att planera och bygga upp de nödvändiga funktionerna i sin organisation.
Att det sedan inte alltid blivit så är en annan fråga.
Att Datainspektionen bedrivit ett aktivt informationsarbete i god tid innan dataskyddsförordningen blev verklighet gör att de tillsyner man raskt kommit igång med känns rimliga.
Samma sak kan inte sägas i fallet med NIS-direktivet som trots att det varit känt på central nivå i flera år inte alls åtföljts av samma förberedelser.
Utifrån vad jag hittills sett kan mycket väl frågan fortfarande vara helt okänd i Söpple kommun men även hos andra både offentliga och privata aktörer.
Nu verkar ju inte tillsynsmyndigheterna kommit igång än vilket måste vara lika bra sett till det rådande läget när det gäller information och stöd.
Meningen med tillsyn är inte att skapa ett blame game och inte heller innebär tillsyn i sig några förbättringar om det inte tydligt framgår vad som ska göras (jag hävdar detta med viss emfas efter att ha jobbat med tillsyn ett antal år).
Tyvärr tycker jag mig spåra en omedveten trend inom både säkerhet och digitalisering att information från myndigheter främst sker muntligt på konferenser m.m.
Förutom den otydlighet och det breda tolkningsutrymme som övergivandet av skriftlig information innebär gör det att informationen inte når utanför de invigdas krets.
Det är inte heller möjligt att fördjupa sig, gå tillbaka, sprida vidare och att ha kontroll över att det är korrekt information som förmedlas.
Nu när olika lagstiftningar dessutom ska samexistera i en mängd organisationer krävs betydligt djupare resonemang än de som kan förmedlas via en power point-presentation.
För att göra en u-sväng i mitt argumenterande kanske det finns fördelar med att det ännu spridits information och stöd gällande lagen om informationssäkerhet för samhällsviktiga och digitala tjänster.
Nu kanske det finns möjlighet att ta ett nationellt ansvar och samordna de olika regleringarna så att inte varje kommun behöver sitta och försöka få ihop olika lagstiftningar och hur de ska uttolkas för den egna verksamheten?
Låt oss hoppas det.
För att de här nya regleringarna dels ska få genomslag, dels leda till säkerhetshöjande effekter krävs mycket tydlig information om som ska göras till som ska göra något samt stöd för det ska göras, d.v.s.
Dessutom, snälla, behövs samordning så att det blir en enhetlig kravbild.
Utan starkt stöd, gemensam prioritering och samordning kommer Söpple kommun vare sig att klara NIS-direktivet eller säkerhetsskyddslagen.
För kommuner som Söpple där egen kompetens i hög grad saknas tror jag att vi måste tänka mycket mer i fasta skyddsnivåer och ett mycket välutvecklat centralt stöd för att det inte bara ska bli både dålig säkerhet och dålig stämning.Men vem är det då som ska ta ansvar för helheten?
Kanske behövs det rent av en ny informationssäkerhetsutredning som utgår från verklighetens utförare av informationssäkerhet och vad de behöver för att klara uppgiften?
Jag tror helt enkelt vi har råd att leva i en drömvärld där olika aktörer oberoende av varandra pekar på vad de vill ha men ingen talar om för Söpple kommun få ihop det i den egna verksamheten.
Förtydligande: jag har efter jag publicerade detta fått ett påpekande att kommunens stadsnät sannolikt inte faller under NIS men däremot under lagen om elektronisk kommunikation (LEK) som har likartade krav som NIS.
Effekten för Söpple kommun blir alltså ungefär densamma i slutändan.
Eftersom frågan om spårbarhetens vara eller icke vara som en självständig aspekt av informationssäkerhet är återkommande diskuterad ska jag här göra ett inlägg i frågan.
Bakgrunden är den så kallade CIA-triaden som kommer från engelskans Confidentiality, Integrity och Availability vilket ofta på svenska översatts till konfidentialitet, riktighet och tillgänglighet.
Detta är kanske inte en optimal översättning vilket möjligen är en delorsak till de olika uppfattningar som finns om hur detta ska tolkas.
Huvudorsaken skulle jag dock vilja hävda att det med förvånande kraft hävdas att det bara finns en möjlig beskrivning av vad arbetet med informationssäkerhet syftar till och att det fångas i den svenska definitionen.
Vi (inte så få) som vill problematisera begreppen för att få dem mer anpassade till de behov vi uppfattar finns möts av tystnad.
För att ge så gott underlag som möjligt för en diskussion ska jag försöka vara tydlig och transparent som möjligt i min argumentation och hoppas att få svar i samma anda.
Utgångspunkten för mitt resonemang är ett statement som jag mer uppfattar som en dogm och som ofta formuleras som kofindentialitet, riktighet och tillgänglighet är den verkliga kärnaspekterna i informationssäkerheten och att spårbarhet är en osjälvständig stödfunktion till de övriga tre.
Nyligen såg jag det formulerat som fast sats: konfidentialitet, riktighet och tillgänglighet är tillstånd, spårbarhet en förmåga.
Vare sig eller kan härledas ur ISO/IEC 27000:2018 (ordlistan för 27000-serien) som genomgående använder property som exempelvis: property of accuracy and completeness Property kan översättas som egenskap.
Inte heller i den terminologi som tagits fram av en arbetsgrupp i SIS: Teknisk Rapport SIS-TR 50:2015 (kan tyvärr inte länka eftersom den inte är fritt tillgänglig) återfinns tillstånd respektive förmåga i denna betydelse.
I rapportens inledning står det: Informationssäkerhet handlar därför om hur informationens konfidentialitet, riktighet och tillgänglighet ska bevaras så att organisationens krav kan uppfyllas.
Dessa egenskaper kompletteras ibland även med en eller flera andra egenskaper, såsom spårbarhet, oavvislighet, ansvarighet, autenticitet och auktorisation.
Här definieras alltså konfidentialitet, riktighet och tillgänglighet som men så även bland annat spårbarhet.
I övrigt förekommer begreppet tillstånd litet här och var men aldrig på det sätt som i satsen ovan.
Närmast kommer man i beskrivningen av informationssäkerhetsmodell: Enheterna i ett system indelas i logiska grupper av subjekt (användare och deras processer), objekt och resurser.
Egenskaper hos ett önskvärt, ”säkert” tillstånd definieras och det visas att varje tillståndsövergång bevarar säkerheten vid övergång från ett till-stånd till ett annat.
Ett säkert tillstånd kräver att samtliga tillåtna åtkomstfall överensstämmer med fastställda säkerhetsregler.
Jag tolkar denna beskrivning liksom de andra tillstånd som ändå förekommer i handboken (exempelvis av redundans, anonymitet m.m.)
som en sammansatt helhet som resulterar från flera/många säkerhetsaktiviteter.
Riktighet definieras exempelvis som endast: skydd mot oönskad förändring vilket jag gissar ska läsas med en koppling bakåt till inledningen; att det är en eller möjligen en funktion.
Synsättet att det finns etablerade definitioner som ”tillstånd” respektive ”förmåga” verkar vara en uppfattning som får anses begränsat till vissa företrädare i Sverige som inte har stöd i den terminologi som tagits fram.
Detta synsätt verkar inte hämtat från något internationellt etablerat sammanhang vilket det räcker att göra en slö koll på Wikipedia för att upptäcka.
I artikeln Informations security anges som key concepts som första punkt CIA- triaden med följande beskrivning The CIA triad of confidentiality, integrity, and availability is at the heart of information security.
Inte heller i den svenska akademiska diskussionen förefaller det finnas konsensus eller ens en särskilt omfattande diskussion om CIA-begreppen.
Det gör att jag särskilt höjer på ett ögonbryn då akademiker på högre nivå utan närmare förklaring anammar satser som den ovan beskrivna utan förtydliganden.
Jag är helt enig i att detta är ett key concept – då borde det förtjäna en behandling på akademisk nivå som motsvarar dess betydelse.
Fördelen med att det saknas etablerade och allmänt accepterade definitioner är att det skapar en frihet att undersöka vilket förhållningssätt som är mest ändamålsenligt och samtidigt logiskt konsistent åtminstone på en basal nivå.
Personligen finner jag inte begreppen tillstånd respektive förmåga som särskilt tydliggörande men möjligen kan en begreppsmodellering där tankarna om detta redovisas på ett öppet sätt uppenbara en logik som jag missat.
Om vi ändå i detta sammanhang kan utgå från att det finns ett antal egenskaper som är centrala för att skapa god informationssäkerhet så är nästa fråga vilka dessa är.
Inte heller här råder den fullständiga enighet om CIA-triaden vilket man ibland kan förledas att tro.
Parkerian Hexad konstruerades redan 1998 av som adderade tre aspekter till den ursprungliga triaden: Authenticity, Availability och Utility.
Även aktuella svenska exempel på kritisk diskussion om CIA triaden.
Det av MSB finansierade forskningsprojektet SECURIT landade bland annat i antologin där ett bidrag ( av Björn Lundgren) starkt ifrågasätter CIA-triaden.
Jag kanske inte är helt övertygad om den modell som forskaren anser borde ersätta CIA-triaden men i detta sammanhang är det ändå viktigt att poängtera att det är väl värt att diskutera frågan.
ISO 27000 öppnar ju också upp för att triaden kan kompletteras med ytterligare egenskaper vilket också sker exempelvis i själva standarden i avsnittet om kryptering.
Noterbart är att ISO-standarderna inte har en konsistent hantering av begreppen sinsemellan trots att de riktar sig mot samma objekt (i detta fall informationshantering).
I SS-ISO 30300 (hantering av verksamhetsinformation) anges målen vara vilket är snubblande nära ISO 27000 men med andra definitioner.
I SS-ISO 15489 (Dokumenthantering) är ett tillkommande mål autenticitet.
Här bör en begreppsmodellering göras, särskilt som SS-ISO 30300 börjat spridas främst genom SKL.
Även här finns alltså ett behov av att göra sig redo för att öppna upp och diskutera om och hur centrala begrepp ska användas.
Själv menar jag att det finns skäl för att se närmare även på autenticitet men här ska jag koncentrera mig på spårbarhet.
Istället för att som nu negligera spårbarhetsbegreppet finns det anledning att lyfta upp det och se hur dess betydelse ökat under de senaste årtiondena och detta i flera dimensioner.
För det första är det den mest självklara dimensionen att på ett säkert sätt kunna följa vad som hänt i informationshanteringen både som en följd av mänsklig aktivitet och som tekniska händelser.
I det allt mer transaktionstäta informationsflödena där en mängd aktörer är detta en alltmer central funktion.
Här gäller detta att även uppfatta egenskapen spårbarhet som en negation, det vill säga att undvika spårbarhet till exempel som skydd för den personliga integriteten.
För att bara räkna upp några krav som inte endast omfattar informationens konfidentialitet, riktighet eller tillgänglighet utan där det också ställer krav på en hög grad av spårbarhet: Kraven på spårbarhet har också en tydlig koppling till konkreta säkerhetsåtgärder där loggning är den främsta åtgärden för att skapa spårbarhet i it-tjänster.
Loggning sker även i ett antal andra typer som i inpasseringskontrollssystem, telefoni, chatt och andra kommunikationslösningar.
I den manuella informationshanteringen kan det behöva finnas rutinerna som bland annat kan omfatta signering, vidimering, kontrollerad versionshantering och kvittensförfarande.
Observera också att om dessa åtgärder inte kan matchas mot ett definierat krav på spårbarhet kan det innebära stora merkostnader, inkräktande på den personliga integriteten och ytterst leda till lagöverträdelser om det inte går att motivera åtgärden.
För att illustrera behovet inom den samhällsviktiga verksamheten sjukvård finns det gott stöd att hämta i det paper som presenterades av Ella Kolkowska, Karin Hedström och Fredrik Karlsson vid Örebro University på en konferens redan 2009: (tillgängligt via DIVA).
Spårbarheten är alltså direkt kopplad till målsättningen för kärnverksamheten och ytterst till patientsäkerheten.
Att då som SKL ta bort spårbarheten ur sitt klassningsverktyg förefaller inte direkt som att anpassa säkerheten efter verksamhetens behov och inte heller att värna sina medlemmars intressen.
Observera också att spårbarhet inte enbart handlar om att spåra användares aktiviteter utan själva informationen.
Här finns en naturlig övergång till de andra syften som spårbarheten kommer att behöva tjäna i allt högre grad.
Den första är för att skapa autenticitet, en kvalitet som blir allt mer uppenbart nödvändig.
Spårbarhet är en tydlig faktor för att kunna skapa autenticitet och oavvislighet vilket är ett krav från arkivsidan.
I den informationshantering som sker i offentlig sektor borde alltså rimligen spårbarhet upphöjas till triadnivå, särskilt sett till kravet på rättssäkerhet och att kunna tillhandahålla information för forskningsändamål.
Jag lämnar nu autenticiteten i förhoppningen att övertygelsen om betydelsen är väl känd.
Istället ska jag skriva om något som tilltar ännu mer i betydelse, nämligen möjligheten att reproducera information.
Idag sammanställs den information som visas på skärmen från ett växande antal källor, olika tjänster och applikationer.
För att kunna reproducera information såsom den såg ut vid ett visst givet tillfälle kommer att krävas allt mer avancerade funktioner av spårbarhet.
Den som har följt ett it-avbrott på närmare håll vet att den inte enbart leder till tillgänglighetsproblem utan även till en rad andra negativa konsekvenser.
En sådan är att man ofta får versionsproblem där blir svårt att säkerställa vilken den senaste versionen av olika informationstyper var.
När fel version av en delmängd körs kan det skapa mycket stora problem där hela tilltron till informationslösningen kan gå om intet.
En fatal variant är när information förlorats utan att det går att spåra att den försvunnit.
För att sammanfatta: jag kan inte se att det finns något stöd för att begreppen tillstånd respektive förmåga är etablerade som beskrivning för olika aspekter av informationssäkerhet utan snarare att skulle vara det mest använda internationellt begreppet vilket också används i ISO 27000.
Det görs heller ingen hierarkisk skillnad mellan egenskaper av den typ som framgår i uppdelningen tillstånd/förmåga.
För att försöka vara vitsig är det svårt att spåra var uppfattningen om tillstånd/förmåga har uppstått och på vilka grunder.
CIA-triadens uppräkning av egenskaper är återkommande diskuterad och kan kompletteras vid behov även enligt ISO 27000 med till exempel spårbarhet.
I detta sammanhang vill jag understryka att en portalprincip i ISO 27000en ska anpassas till verksamhetens behov, det är alltså inte standarden i sig som skapar låsningar.
Om en uppfattning är att standarden kan anpassas till verksamhetens/samhällets behov menar jag att det gör det omöjligt att använda standarden som stöd för nationell (eller lokal) styrning av informationssäkerhet.
Det finns ju liksom inget egenintresse i att följa en standard.
Det skulle behövas en riktigt djupborrande analys på flera nivåer av hanteringen av aspekten spårbarhet i Sverige.
Jag när fortfarande ett hopp om att de som ger uttryck för starka åsikter gällande spårbarhet kan ta sig tiden att utveckla hur de tänker och inte bara konstatera sin uppfattning.
Detta är inte bara en teoretisk tankelek utan frånvaron av spårbarhet eller motsvarande som styrmedel för informationssäkerheten får mycket allvarliga konsekvenser för bland annat hälso- och sjukvård men även för förmågan att upprätthålla kontinuitet, för dataskydd och för det långsiktiga bevarandet.
Ett särskilt problem ligger i att det inte går att ta del av vare sig de resonemang som ligger bakom olika ställningstaganden eller själva standardtexterna eftersom de inte fritt tillgängliga trots att de utgör underlag t.o.m.
för föreskrifter.
Denna bristande offentlighetsstruktur har jag skrivit ett annat blogginlägg om Ett typiskt tecken för en dogm är att bevarandet av dogmen är viktigare än de negativa konsekvenser dess tillämpning får.
Jämför exempelvis med katolska kyrkans dogm att preventivmedel inte är tillåtna.
Dogmen är orubbad trots de uppenbara negativa konsekvenser detta får i form av könssjukdomar och oönskade graviditeter vilket i sin tur leder till illegala aborter med oerhört lidande och död.
I fallet med katolska kyrkan går det ändå att se vem som har ansvar för dogmerna med de dödliga konsekvenserna men vem tar ansvar för dogmer inom informationssäkerhetsområdet och de eventuella konkreta följder de kan få?
Informationssäkerhet är inte en religion och vi har inget stöd av högra makter (tror jag).
Därför när jag en from förhoppning att vi gemensamt ska försöka eliminera de drag av dogmatism som ändå florerar.
För att hantera de enorma säkerhetsutmaningar vi står inför har vi inte råd att bygga säkerhetsåtgärder på resonemang som inte tål att prövas utan vi kommer istället att behöva pröva våra intellekt till det yttersta för att åter och åter hitta de bästa lösningarna.
Och vi måste inse att detta inte är teoretiska övningar utan de val vi gör leder till goda eller mindre goda resultat i praktiken och där det ligger ett stort ansvar på oss som arbetar med informationssäkerhet.
Slutligen kan jag inte undgå att tycka att myndigheter inom informationssäkerhetsområdet är de som tillsammans med akademin måste ta ett särskilt ansvar för bryta ner dogmer och bygga kunskap som samhället kan använda.
Nu ser jag fram emot en mängd kloka motargument!
Sedan jag skrev mitt förra blogginlägg där jag förordade att vi borde införa en starkare gemensam styrning av informationssäkerheten bland annat i form av gemensamma skyddsnivåer samt t.o.m.
ett gemensamt ledningssystem har jag flera gånger fått frågan ”har du kollat på KLASSA?”.
Svaret är ja, det har jag och till och med skrivit på bloggen .
Sedan dess har det skett en viss men som jag ser det så kvarstår de huvudproblem som jag skrev om i det tidigare inlägget.
Att man dessutom tagit bort spårbarhet som en bedömning i klassningen gör ju inte saken direkt bättre (vilket också ett antal personer verksamma i landsting och kommuner upprört framfört till mig).
De mest övergripande invändningarna jag hade var att verktyget bygger på att man klassar system, inte information, och att säkerhetskraven är alldeles för glesa.
Detta kan menar jag leda till att man snarast skapar säkerhetsproblem än förebygger dem eftersom en organisation kan bli invaggad i en falsk trygghet av att ha vidtagit åtgärder när de i själva verket är otillräckliga.
Dessutom stöds samma aktivitet ofta av samma eller snarlik information på olika bärare som i detta exempel från en tämligen harmlös anställningsaktivitet direkt hämtad från verkligheten: Om man då fragmentiserar klassandet till att endast omfatta informationen då den exempelvis befinner sig i rekryteringsverktyget missar man ju att skydda samma information då den förekommer i andra sammanhang.
Ju fler olika typer av tjänster och bärare som används desto viktigare blir det att ha kontroll över informationen oavsett var den befinner sig.
Med tanke på att verktyget är framtaget för kommunal verksamhet blir man litet brydd i detta hänseende när man tänker på vissa av de mest känsliga verksamheterna.
Ta till exempel överförmyndarna där konfidentialitet, riktighet och spårbarhet är oerhört viktiga för att verksamheten ska kunna bedrivas.
Överförmyndarnas informationshantering sker i en komplex mosaik av bland annat enskilda beslutssystem, lagringsytor, papper och mail.
I detta sammanhang är det självklart helt otillräckligt att bara genomföra en systemklassning av ett ärendehanteringssystem.
Man skulle kunna invända att överförmyndarna är en liten och unik verksamhet med specifika krav där man inte kan förvänta sig att generella metoder ska kunna fungera.
Visserligen svarar jag men i grunden gäller detta för de flesta verksamheter inom en kommun eller landsting eller t.o.m.
med en statlig verksamhet oavsett omfattning.
Kraven på säkerhet ligger på alla de bärare, inte bara det som en händelse definieras som ett ”system” (vilket dessutom är alltmer oklar definition sett till dagens tekniska utveckling).
Återigen vill jag propagera för att istället se det som att system och tjänster ska certifieras för att klara vissa skyddsnivåer – inte klassas.
Bortsett från kvaliteten på metoden för klassningen funderar jag över det i mitt tycke oproportionerliga intresse som finns för klassning och incidenthantering.
Samt att detta intresse tar sig uttryck i att klassning respektive incidenthantering ses som fristående aktiviteter och inte som delar i en större helhet.
Det fragmentiserade synsättet går igen i de metoder som presenteras.
Den bärande idéen är att varje organisation med egna resurser och egna värderingar ska styra informationssäkerheten i den egna verksamheten.
Detta menar jag är ett mer och mer verklighetsfrämmande paradigm i en värld där vi i allt högre grad delar information mellan organisationer samt mellan organisationer och individer.
I ett digitalt tjänstesamhälle är det inte den interna säkerheten i den enskilda organisationen som är det mest centrala utan den gemensamma infrastrukturens säkerhet.
Det är ungefär som att i vägtrafiken låta varje transportföretag men även varje individ ta fram sina egna regler och tillämpa dem på de gemensamma vägarna.
Det är klart att man genom frivilliga samordnande insatser och tillsyn skulle uppnå en viss effekt men jag tror de flesta skulle uppfatta det som ett absurt och närmast nihilistiskt trafikpolitiskt förslag.
När det gäller säkerheten i den digitala infrastrukturen är fortfarande en dominerande uppfattning.
I det tidigare blogginlägget om KLASSA ställde jag upp sex krav på en fungerande metod för informationsklassning.
Omättligt krävande som jag är vill jag nu lägga till två ytterligare.
För det första måste metoden vara tillämplig även i ett större sammanhang än i en enskild organisations användning av ett system.
För det andra ingå i en större helhet av systematiskt– att klassa information utan relation till det kretslopp av övriga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering, ansvarsfördelning och uppföljning är inte effektivt säkerhetshöjande.
Särskilt inte om skyddsnivåerna har stora brister.
Informationsklassning är helt enkelt inte sååå viktig i sig.
Men inte ens då tror jag att detta är en särskilt bra väg att gå.
Det inte alldeles enkelt att utföra klassning på ett välavvägt sätt ens med stöd av en bra metod.
Vad som krävs är erfarenhet och kompetens inom informationshantering och risker samt förståelse för hur organisationer fungerar.
Att klassa information är inte att som professor Balthazar stoppa in information i ett rör på en informationsklassningsmaskin och med automatik få ut en färdig klassning.
Därför är det inte en metod där olika organisationer förväntas göra sina egna klassningar en lösning på det mycket stora kompetensunderskottet – kompetensen behövs ändå.
Och om alla gör sina egna bedömningar i en gemensam struktur kan man fråga sig vad som blir resultatet.
En god gissning är att den lägsta nivån blir trendsättande inte minst eftersom om en part har en låg nivå på sina säkerhetsåtgärder riskerar det övriga aktörers säkerhet.
Den som har gjort en större investering riskerar att få denna investering underminerad av den som väljer en lägre nivå – ekonomin i att ändå välja den högre nivån kan starkt ifrågasättas.
Att klassa information är varken så enkelt eller så viktigt som enstaka aktivitet som man ibland vill ge sken av.
Sammantaget vill jag därmed propagera för en mycket starkare styrning av processer, informationshantering och informationssäkerhet där den gemensamma grunden inte är optional.
Vi måste lämna det föråldrade synsättet där ”system” sätts i centrum och istället inse att det är en informationsinfrastruktur som måste hanteras med vederbörlig respekt och med styrande säkerhetsregler.
Kanske har vi förlorat ett decennium av möjligheter att skapa en gemensam informationssäkerhet genom att låta en slavisk tolkning av ISO 27000 kombineras med en flummig samordningstanke.
Det räcker inte med lösryckta initiativ kring olika aktiviteter som klassning utan vi måste se att ebygger på en samverkande helhet av säkerhetsåtgärder.
Om jag ser tillbaka och försöker se var jag fått vägledning i min roll som informationssäkerhetsansvarig så är det första jag kommer att tänka på den Handbok i it-säkerhet i tre delar som Statskontoret gav ut 1997.
Även om den angav att innehållet var it-säkerhet var det i realiteten informationssäkerhet den handlade om, det vill säga den organisatoriska styrningen med hjälp av ett antal aktiviteter.
När jag tittar tillbaka i den är det inte så mycket som förändrats vilket väl får sägas vara en ganska dyster insikt.
Trots att Statskontoret inte hade ett mer renodlat informationssäkerhetsuppdrag tog man även fram ett metodstöd och mallregelverk som skulle hjälpa myndigheter att införa ett ledningssystem för informationssäkerhet.
Stödet kallades OffLIS och kom 2003 som en del i arbetet med ”24-timmarsmyndigheten”.
Krisberedskapsmyndigheten (KBM), inrättades efter vissa förvecklingar 2002 och var en av de myndigheter som 2009 slogs samman till dagens MSB.
I KBM:s uppdrag fanns bland annat att ha det sammanhållande myndighetsansvaret för samhällets informationssäkerhet och att utforma en nationell handlingsplan för informationssäkerhet.
Som en del i detta uppdrag tog man fram metodstödet BITS (Basnivå för it-säkerhet) som var tänkt att fungera som en de facto-standard för offentlig sektor.
BITS introducerades kraftfullt av KBM inte minst i kommunerna och bistod även med en slags konsultstöd samt olika typer av bidrag för att exempelvis höja den fysiska säkerheten och förbättra tillgången till reservkraft till kommunala datorhallar.
OffLIS och BITS slogs ihop 2005 för att få en ökad enhetlighet.
Seklets första årtionde var rörligt när de gällde informationssäkerhet.
Vid sidan om KBM:s uppdrag pågick informationssäkerhetsutredningen, Verva skrev föreskrifter om säkert informationsutbyte och Nämnden för elektronisk förvaltning tillsattes 2003 med uppgiften: ” att stödja utvecklingen av ett säkert effektivt elektroniskt informationsutbyte mellan myndigheter och mellan myndigheter och enskilda genom att beslut om vilka standarder för informationsutbyte myndigheter under skulle använda sig av” vilket ju låter välbekant.
Trots att frestelsen är stark ska jag inte gå längre in detta just nu utan bara konstatera att BITS var synnerligen populärt inte minst hos kommuner och efterfrågades långt efter att MSB valt att avveckla stödet.
Ett antal kommuner hänvisar fortfarande i sina styrande dokument till BITS (det är bara att googla och kolla).
Vad var det då som gjorde BITS så populärt?
En vanlig uppfattning bland de kommunala företrädare jag diskuterat frågan med var att BITS gav dem enkla handfasta regler och en tydlig lägstanivå att förhålla sig till.
Utifrån de resurser som står till buds i en liten eller medelstor kommun har detta setts med viss tacksamhet, särskilt då stödet åtföljdes med ett visst konsultativt och ekonomiskt bistånd.
Själv har jag varit skeptisk.
Ett skäl var att BITS var så inriktat på it-säkerhet (även om man vid revideringen 2006 gjorde en strukturell anpassning till ISO 27000).
Ett annat att en tillämpning av BITS leder till en basnivå medan det verkliga behovet i en kommun (liksom i andra organisationer) är att kunna ha olika nivåer av skydd beroende på informationens och verksamhetens karaktär.
Framförallt har jag tyckt att man riskerar att missa den unika organisationens behov.
BITS övergavs också av KBM och sedermera MSB.
Idag är utgångspunkten för de stöd som tas fram att varje organisation ska starta från noll och ta fram sitt eget ledningssystem med alla delar.
Den enskilda organisationen erbjuds det som kallas metodstöd eller delmängder som stöd för att klassa system.
Bara i offentlig sektor innebär det att över 400 myndigheter, 290 kommuner och 21 regioner själva ska ta fram och förvalta respektive ledningssystem, metoder för risk-och kontinuitetshantering och skyddsnivåer.
Detta är en enorm arbetsinsats som dessutom kräver att varje myndighets/kommuns/landstings ledningssystem måste översättas vid samarbeten.
Till detta kommer alla andra nödvändiga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering,….
Objektivt sett kommer detta inte att vara möjligt att genomföra eftersom det inte finns tillgänglig kompetens i en omfattning som ens är i närheten av vad som skulle behövas.
Min uppfattning är att en dellösning på den annars omöjliga ekvationen med starkt ökande krav på systematiskti kombination med en mycket påtaglig brist på tillgänglig kompetens är en ökad standardisering.
Jag har därför börjat ompröva min tidigare inställning.
Som en följd av detta tror jag det dags att ta fram en ny inriktning där en omvärdering göras av de tankar som låg bakom BITS och även OffLIS kan ingå som ett första steg.
Då menar jag inte att en revision av BITS eller en återstart på OffLIS.
Snarare att seriöst analysera vilka delar av esom kan standardiseras i olika typer av organisationer.
Ett nytt koncept borde istället vara inriktat på s. Jag ska här bara skissa upp några punkter där en standardisering skulle kunna ske och ge mycket stora samordningsvinster.
För enkelhetens skull så kan vi ta kommunerna som exempel.
Det är också lämpligt eftersom kommunerna har mycket komplexa säkerhetsbehov som är mycket svåra att hantera för den enskilda kommunen, inte minst för de små och medelstora kommunerna.
De svenska kommunerna har tio obligatoriska uppgifter, det vill säga uppgifter som de enligt lag ska utföra oavsett kommunens storlek och resurser.
Dessa uppgifter genomförs på olika sätt i olika kommuner och i olika organisatoriska konstruktioner.
Men processens olika aktiviteter är i stort sett de samma i flera av dessa obligatoriska uppgifter.
Att söka plats på förskolan eller att administrera den politiska beslutsapparaten innehåller samma moment och i stort samma information om än med olika benämningar.
För att underlätta för kommunerna skulle följande kunna göras nationellt: Naturligtvis bör det framgå att organisationen måste göra egna riskbedömningar och att det enbart är förslag.
Ändå skulle detta vara en mycket värdefull hjälp för kommunerna som också skulle kunna tillämpa grundmodellen för informationsklassning med skyddsnivåer för den unika information som kan utöver de standardiserade förslagen.
Låter mycket att ta fram nationellt tänker ni kanske.
Betänk då att alternativet är att ta fram detta i 290 kommuner, i många fall utan tillräcklig kompetens och resurser, och då få fram inkompatibla lösningar.
Sannolikheten för att flertalet kommuner inte klarar uppgiften och istället får skämmas i rapporter från MSB och Riksrevisionen är inte direkt låg.
Jag menar därför att det är en mycket rimlig investering att skapa nationella lösningar där det faktiskt går.
Hur dessa lösningar ska tas fram och vem som ska ansvara för utveckling och förvaltning tål att diskuteras.
Kanske är en stiftelse där även privata aktörer skulle kunna ingå ett alternativ?
Efter mitt förra inlägg om e-hälsa har jag fått en del kommentarer som visar att sjukvårdens organisation och i ännu högre grad e-hälsoområdets styrning är en okänd värld för många.
Som en projektledare en gång sa till mig som en förebärare för Trump: ”Hur svårt kan det vara med sjukvård (och e-hälsa)?”.
Ganska svårt skulle jag vilja säga vilket även Trump .
Därför kommer här en inledning för att ytterligare förtydliga hur jag uppfattar organisationen idag (finns utrymme för osäkerhet i detta) samt ge ett praktiskt exempel på vad det leder till.
För att bara titta på den bristande styrningen har jag uppdaterat en gammal bild till hur jag tror det ser ut i dag (jag har inte tagit med finlir som kvalitetsregister och trygghetslarm m.m., m.m.).
Bilden är ett försök beskriva samspelet.
Som framgår är ett flertal myndigheter involverade i olika delar, det finns utförare och leverantörer.
Två saker är slående.
Den första är att det inte finns en överordnad myndighet med mandat att hålla ihop helheten och som kan vara kontaktpunkt för övriga aktörer.
Med tanke på hälso- och sjukvårdens betydelse för samhället i olika dimensioner, de mycket stora offentliga resurser som går till sjukvården och det stora antalet aktörer som deltar i det gemensamma vårdarbetet måste detta ses som ett icke-rationellt sätt att organisera det hela om man vill ha effektivitet, kvalitet och strategisk inriktning.
Det andra är SKL och sjukvårdshuvudmännens organisation som jag menar inte håller måttet för de uppgifter som man åtagit sig.
Sjukvårdshuvudmännen har en roll som offentliga organ som är reglerad i lagstiftningen.
Detsamma gäller för vårdgivare oavsett om de är privata eller offentliga.
Men i denna ordning har alltmer SKL glidit in, en intresseorganisation som inte är en myndighet, inte har en lagfäst roll och inte omfattas av offentlighetslagstiftningen.
Riksrevisionen har pekat på detta i en gällande den generella styrningen på vårdområdet.
Inom e-hälsoområdet är problemen med detta mycket tydligt.
En inte oviktig fråga i detta är att det öppenhetskrav som gäller för myndigheter som landsting, regioner och kommuner försvinner då de samarbetar i sin intresseorganisation.
Nu när aktiviteter som tidigare skedde i respektive huvudmans verksamhet flyttas in i SKL:s hägn (inklusive Inera) försvinner också insynen.
Detta kan jämföras med kommunalförbund där insynsmöjligheten fortfarande finns kvar.
Denna fråga verkar inte engagera SKL i någon högre grad, jag söker på hemsidan för att finna om man frivilligt erbjuder en likande insyn i beslutsunderlag och annat som skulle räknas som allmänna handlingar hos SKL:s medlemmar men ser inga sådana informationsinsatser.
Jag skickade även ett mail till SKL:s infoadress den 24 juli: Hej!
Jag vet att SKL inte är en myndighet och därmed inte omfattas av offentlighetslagstiftningen.
Däremot är SKL:s medlemmar det liksom medlemmarnas uppdragsgivare.
Min fråga är hur eftersträvar SKL att ändå kunna erbjuda motsvarande transparens som medlemmarna förutsätts ha?
Detta borde vara allt viktigare i och med att SKL har tagit på sig allt fler uppgifter av operativ karaktär och frågor som starkt påverkar medlemmarnas prioriteringar och finansiering.
Eller är SKL:s linje att allmänheten får tillräcklig insyn via det material som publiceras på den egna webbplatsen?
Detta mail är fortfarande obesvarat efter ett par veckor, kanske beroende på semestertider, vilket i sig är en intressant illustration av att SKL inte omfattas av kraven på myndigheter att snabbt besvara inkommande frågor.
I frågan om e-hälsa är det dock de bristande organisatoriska förutsättningarna som är mest värda att ifrågasätta.
SKL är i sig inte en organisation som är skapad för att bedriva operativ verksamhet utan för att driva förhandlingar i huvudmännens intresse mot arbetstagare och delvis även mot regeringen.
Nu har man omvandlat sig till något som varken är företag eller myndighet men har en horisontell integration där huvudmännen både är leverantörer och kunder, en typ av organisation som redan Vänerskogs jättelika konkurs 1981 visade problemen med.
Denna oreda av aktörer i en infrastruktur av mycket känslig information är detta, ja jag vågar klämma i med, katastrofalt.
Ett mycket stort antal stort antal aktörer är inne och rycker i den gemensamma informationsinfrastrukturen utan att det finns en konkret inriktning utom den som delas av regeringen och SKL.
Jag noterar att webbplatsen inte uppdaterats sedan oktober 2017 men att det kommit en som mest verkar vara ett underlag för förhandlingar samt ett antal fluffiga mål.
Det är långt till verkstaden om man säger så.
Vad leder detta till i praktiken?
Ett bra exempel är hur den ganska naturliga frågeställningen om att ge patienten tillgång till mer information om sin hälsa, behandlingar m.m har hanterats.
För att klargöra utgångsläget så har patienter haft rätt att ta del av sin journal sedan länge, se patientjournallagen (SFS 1985: 562).
En journalhandling inom enskild hälso- och sjukvård skall på begäran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller kopia, om inte annat följer av 2 kap.
8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.
E-hälsofrågan i det hela handlar mer om patienten kan del av journalen.
Personligen tycker jag att hela frågan är felformulerad – istället borde den ha varit: ”hur informerar vi patienten på bästa sätt?”.
Då hade vårdens arbetsverktyg knappast varit den bästa lösningen utan man skulle jobbat på att ge patienten information i den form och på det sätt som gör det enkelt att ta till sig.
Bortsett från detta så påbörjades under början av 2000-talet i landstingsvärlden projekt med målsättning att tillgängliggöra journalen via nätet.
Observera att detta endast handlar envägskommunikation – att patienten får möjlighet att journalen.
Trots att dessa initiativ pågick bland huvudmännen bestämde Göran Hägglund som socialminister att ett nationellt initiativ skulle inledas för att patientjournaler skulle göras tillgängliga i en tjänst där de kunde användas av tredjeparter efter patientens initiativ.
Jag ser det här som ett utslag av att både e-hälsa och e-förvaltning starkt präglades av att under åren runt decennieskiftet ses som en näringsfråga, d.v.s.
de personuppgifter som myndigheter samlar in ska ses som råvara för privata tjänsteleverantörer.
Do´nt get me started – utrymmer räcker inte till för dra upp alla negativa aspekter av detta… Låt mig istället nöja mig med att detta var en lösning med så många problem inte minst säkerhetsmässigt att den skulle ha lagt sig i byrålådan på ett mycket tidigt stadium.
Nu är det stoppat av Datainspektionen även om eHälsomyndigheten fortsätter att processa stödda av en landets mest exklusiva advokatbyråer till en kostnad på drygt 1,5 miljoner bara 2017 (jag har kollat).
För att summera: det har alltså pågått två parallella projekt utan samordning, så vitt jag kan se, för att överföra information från journal till patienter.
Man har inte i lösningarna tagit höjd för hur behovet att patienten med tillräcklig kvalitet och säkerhet ska kunna föra tillbaka uppgifter till vården – en fråga som i sig är en av grundvalarna i en utvecklad e-hälsa.
Exemplet visar mycket tydligt att det inte finns en gemensam plan, behovsanalys eller medvetenhet om att man bygger en gemensam infrastruktur.
Min erfarenhet från olika sammanhang inom området är det också ofta saknas vilja att ta vara på professionernas intresse av fungerande arbetsverktyg eller etiska krav.
Tråkigt nog tycker jag inte att arbetstagarorganisationerna varit särskilt skickliga på att samla och driva sina medlemmars olika behov, detta är dock bara mer än känslomässig upplevelse från konferensbord och från att ha tagit del av olika debattinlägg.
Trots att alla aktörer med emfas skulle säga att de starkt vurmar för patients intresse kan jag tycka att det är väl lätt att utan fog göra sig till patientens företrädare.
Framför allt är det svårt att hitta insikten i att patienter är vi alla och på samma sätt som vi har väldigt olika syn och intressen i andra frågor har vi det även som patienter.
Ett flagrant exempel på detta är de som ständigt ställer patientsäkerhet mot integritet.
Eller inte erkänner att om en välsituerad grupp använder kommersiella nätläkare för att lindra myggbett så kommer det att inkräkta på andra patienters intressen.
Även här måste finnas en mycket större helhetstanke där e-hälsan sätts i sitt rätta sammanhang.
Slutligen kan jag inte underlåta att gå in på integritetsfrågan och hur det gick när jag försökte begära ut mina personuppgifter från vården.
Även detta är en god illustration av läget.
Först till den juridiska historiken som går att scrolla förbi om man inte är intresserad men den har rätt stor betydelse för det praktiska utlämnandet av personuppgifter.
Enligt den gamla patientjournallagen hade varje vårdgivare ansvar för sin egen journal och om uppgifterna behövdes hos en annan vårdgivare måste vissa mått och steg vidtas.
En ansvarig läkare hos vårdgivare A måste göra en menprövning om det var till men eller gagn för patienten att uppgifterna lämnades ut.
Lämnades uppgifter ut skulle ett journalnotat göras om när, vad och till vem uppgifter lämnats ut och hos vårdgivare B fördes uppgifterna in som ”kopia”.
Hela förfarandet hade fördelar som att det gav mycket god spårbarhet, patienten kunde eventuellt förhindra att information lämnades vidare om man ville skydda sin integritet och det var inte hela journalen som lämnades vidare utan bara relevanta delar.
Jag vill bara påpeka dessa fördelar utan att för den delen behöva anklagas för att vara bakåtsträvare för naturligtvis är detta regler som är svåra att upprätthålla i ett digitalt flöde.
Och, ja, jag är väl medveten om att reglerna inte alltid efterlevdes.
Min poäng är att dessa säkerhetsåtgärder inte ersattes av motsvarande funktioner när patientdatalagen (PDL) infördes.
Mitt intryck efter att ha följt frågan om vårdinformation tämligen ingående sedan 1994 är att det inte ens fanns en ambition att göra det.
Denna min uppfattning stärks när jag läser förarbetena till lagstiftningen.
Jag ser patientdatalagen som ett resultat av mer än ett decenniums påverkanskampanj från olika aktörer med innebörden att säkerhet och integritet inte går att förena med digitaliseringen utan man måste välja.
Valet blev då tämligen enkelt eftersom den tekniska och organisatoriska förändringen redan genomförts.
Resultatet, förutom allt newspeak där dålig säkerhet var bra säkerhet o.s.v., var att i patientdatalagen infördes ”sammanhållen journalföring” som enligt lagens definition betyder: Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.
I och med patientdatalagen ändrades grundprincipen för hanteringen av journaluppgifter från att det tidigare defaultläget var att en vårdgivare inte kunde lämna ut uppgifter utan menprövning till nuvarande defaultläge: att information kan flöda mellan vårdgivare om inte patienten aktivt spärrar utlämnandet.
Ett villkor som satts upp för den sammanhållna journalföringen: Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att andra uppgifter än dem som anges i görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.
En sjuk patient ska alltså ta till sig information om hur informationen kommer att hanteras och dessutom ha kraft genomdriva en spärr om hen bedömer att överföringen olämplig.
Några saker bör särskilt noteras i detta redan orimliga scenario.
För det första innebär direktåtkomsten att vårdgivare 2 får tillgång till vårdinformation hos vårdgivare 1 istället för som tidigare ett journalutdrag över information som bedöms vara relevant för det aktuella sjukdomstillfället.
För det andra förutsätter det att vårdpersonalen hos vårdgivare 1 kan ge upplysningar om hur informationen kommer att hanteras i den sammanhållna journalföringen, vilka som kommer att få tillgång till den exempelvis.
Min visserligen anekdotiska men ändå uppfattning efter att ha frågat ett ganska stort antal anställda i vården finns inte en kunskap inom vården hur informationen hanteras och hur ska då personalen kunna upplysa patienten?
Detta är inte så konstigt för jag tror uppriktigt inte någon idag har kontroll över informationsflödena i vården.
För det tredje lyser ett decennium efter PDL:s ikraftträdande fortfarande möjligheten att faktiskt spärra sin journal med sin frånvaro hos ett stort antal vårdgivare.
I praktiken kan jag inte se att patienten har någon reell möjlighet att vare sig få veta hur den egna vårdinformationen hanteras eller att påverka åtkomsten till den.
Med stöd av den sammanhållna journalföringen har det vuxit fram en vårdinformationsspaghetti där det vad jag kunnat se inte finns vare sig överblick, tydlig styrning eller definierade ansvar.
Detta leder också till att när jag hos min vårdgivare frågar: ”Gör ni journalnotat om vilka samtycken till andra vårdgivare jag givit så att jag kan få en sammanställning över vilka som fått åtkomst till mina uppgifter?” får till svar ” Nej, det finns i dagsläget ingen sådan funktion i COSMIC men detta är under utveckling, det vill säga en samtyckestjänst.
Vi dokumenterar inte i x:s journal andra vårdgivares samtycken, detta är var och ens eget ansvar.
När någon inhämtar ett samtycke i COSMIC så genererar detta en logg samt en referens i journalen.”.
Det vill säga att den vårdgivare som lämnar ifrån sig informationen noterar inte detta utan patienten förväntas ansvara för spårbarheten.
Jag vände mig då till Inera som ansvarar för tjänsten Nationell Patientöversikt som är en slags växel då vårdinformation förs mellan olika vårdgivare.
På frågan om de kan redovisa vilka som eventuellt tagit del av min vårdinformation svarar de: ”Samtycke måste alltid inhämtas av den vårdgivare som ska ta del av din information i NPÖ.
Samtycket ska registreras i det lokala journalsystemet hos den aktuella vårdgivaren.
Det tekniska samtycket loggas i den nationella säkerhetstjänsten som förvaltas av Inera.
Det finns ingen dokumentation från journalinformation och inte heller någon information om varför samtycket har inhämtats.” Deras uppfattning är alltså att de endast har ”tekniska loggar” och att jag fortfarande själv måste hålla reda på mina samtycken trots digitaliseringen.
Det framgår också att de anser att de tekniska loggarna inte är att betrakta som personuppgifter.
Jag har valt att inte fördjupa mig ytterligare i detta men hoppas att andra tar upp den tråden.
Sammantaget skulle jag vilja säga att detta rimmar rätt illa med dataskyddsförordningens krav.
Min egentliga poäng med att försöka beskriva att oreda, de oklara ansvarsförhållandena och bristande överblick är att detta naturligtvis inte bara påverkar patientens möjlighet till personlig integritet.
I ännu högre grad påverkas effektivitet, patientsäkerheten och möjligheten att upprätthålla verksamheten vid större störningar.Särskilt bekymmersamt är det oklara ansvaret som även andra Vad blir då kontentan av allt detta?
Jag tror faktiskt inte huvudfrågan är huruvida sjukvården ska förstatligas utan hur den ska styras (även om jag i dagsläget har litet svårt att se exakt vilket värde den regionala politiska styrningen tillför).
Oavsett om det finns 2 eller 200 000 vårdgivare så måste det finnas en stark statlig styrning som då inte enbart omfattar den offentligt finansierade slutenvården som ett förstatligande skulle innebära.
Den nuvarande bristen på styrningen tjänar såvitt jag kan se enbart oseriösa leverantörer på och möjligen de offentliga företrädare som älskar att åka omkring på olika konferenser och framställa sig som visionära.
Situationen där myndigheter processar mot varandra vittnar väl om något om den rådande anarkin.
Om vi inte klarar av att styra digitaliseringen av vården idag så blir tanken på AI och IoT mardrömslik.
Mina förslag är därför att på äktsvenskt maner tillsätta flera rejäla utredningar men med skillnad från de tidigare inte bilägga facit från uppdragsgivaren.
Jag ser framför mig en handfull utredningar inom olika områden men som är starkt koordinerade så att resultaten går att använda.
Viktigt är att ta hänsyn till de mångskiftande intressen som hälso- och sjukvården ska tjäna, inklusive professionernas och forskningens behov på kort och lång sikt.
Inriktningen bör vara att på samma sätt som på 1940-talet bygga en långsiktigt fungerande infrastruktur i bred politisk enighet.
Några förslag (jag tar inte med komplicerade saker som prioriteringar i vården och patienters egentliga intressen): Puh!
Jag vill verkligen inte påstå att jag kommit med de definitiva sanningarna i dessa komplicerade frågor – det finns så många olika sätt att betrakta den svenska e-hälsan.
Säkert har jag missuppfattat eller vantolkat en massa saker.
Mitt enda försvar är att jag efter bästa förmåga försökt måla upp bild av e-hälsa.
Förhoppningsvis kan dessa långa inlägg stimulera andra att dela bild av samma frågor.
I maj när dataskyddsförordningen trädde i kraft inledde jag ett test: att genom att ställa frågor om hur mina personuppgifter hanterades i vården ville jag göra en temperaturmätning av den kontroll som vården generellt har över vårdinformationen.
För hälso- och sjukvård innebär (i princip) inte dataskyddsförordningen någon så stor skillnad eftersom både patientdatalagen och PuL redan gett patienten möjlighet att få tillgång till sin information och (i teorin) spärra åtkomsten till sin vårdinformation.
I verkligheten är det och har det sedan patientdatalagen varit svårt för att inte säga omöjligt att få veta hur patientuppgifter hanteras – det är i alla fall min uppfattning som jag ville pröva genom att begära upplysningar om mina egna vårduppgifter med stöd av dataskyddsförordningen.
Svaren på mina frågor var negativa (vilket jag kommer att återkomma till senare) men jag fick underlag rörande dagssituationen inom e-hälsoområdet.
Detta inlägg svävar ut in extremis och handlar om i vilket landskap som digitalisering av vårdinformationen sker.
Jag ska resonera om den bristande styrningen av e-hälsa samt pusta ut orosmoln om informationssäkerhet och det långsiktiga bevarandet av vårdinformationen.
I ett följande inlägg kommer jag att skriva mer om den bakomliggande juridiken.
Först till organisationen av den svenska sjukvården som förvånansvärt många som gör inlägg i e-hälsofrågor inte tycks bottna helt i. Tillåt mig att roa mig med en historisk utflykt.
Den svenska vården är i huvudsak offentligt finansierad via skattemedel.
Det regionala ansvarar för att erbjuda vård inom det egna upptagningsområdet enligt hälsosjukvårdslagen.
Men landstingen och regioner behöver inte själva vara utförare av all vård utan kan även vara privata.
Andelen privata vårdgivare har tillväxt mycket starkt under de senaste 20 åren men strukturen med självständiga landsting som sjukvårdshuvudmän har funnits sedan 1862 (med varierande uppdrag).
Redan här finns underlag för vanliga missuppfattningar om ansvar men också reella problem eftersom de flesta krav i föreskrifter m.m.
riktas mot vårdgivarna och inte sjukvårdshuvudmännen.
När det gäller säkerhet och integritet har dock vårdgivarna inte så stora möjligheter att påverka sin situation trots att de har ansvaret – de tvingas (formellt eller informellt) ofta av sjukvårdshuvudmän, SKL eller myndigheter att använda lösningar oavsett egna säkerhetskrav.
Landstingen är kommuner med en politisk ledning vilket gör att inriktningen för olika landsting och regioner kan variera.
För e-hälsan som av naturliga skäl blir allt mer nationell är detta en ansvarsfördelning som innebär stora problem, inte minst eftersom landstingspolitiker använt rollen för egna, i mitt tycke kortsiktiga, kampanjer.
En misstanke som gror är att e-hälsa används av politiker för att undkomma att diskutera den offentligt finansierade vårdens grundfråga: den nödvändiga prioriteringen.
Det är ett väl känt faktum att det inte finns någon bortre gräns för behovet av vård, det finns hela tiden nya sjukdomar och tillstånd som kan behandlas och definitionen av hälsa kan sättas så högt att inte minsta krämpa blir acceptabel.
Däremot är vårdens resurser begränsade – alltså måste prioriteringar ske.
Detta är den mest laddade av alla frågor för sjukvårdspolitiker eftersom prioriteringar ofelbart kommer att leda till att några patienter blir missnöjda.
Den som tillsattes i slutet av nittiotalet för att ge de lokala politikerna stöd i form av nationella prioriteringslistor släppte också snabbt den glödheta potatisen och lämnande ifrån sig litet allmänna rekommendationer om hur processen för prioriteringar skulle kunna ske .
Min teori är att politiker och högre tjänstemän i vården nu (omedvetet) använder e-hälsa som en dimridå för att undvika frågan om prioriteringar genom att hävda att e-hälsosatsningar skulle kunna leda till enorma effektivitetsvinster (som då underförstått skulle leda till att får den vård de vill ha).
I verkligheten sker en mycket negativ icke-styrd prioritering av sjukvårdsmedel genom bland annat kommersiella nätläkare där en ohelig allians mellan nätläkarnas ekonomiska intresse och människor med lättare krämpor prioriterar upp sig på bekostnad av andra med reella hälsoproblem.
En hårdvinklad beskrivning men ni förstår vad jag menar.
Detta sätter stark press på sjukvårdspolitiker som i vissa fall måste säga nej men hellre säger att e-hälsa kommer att lösa problemen.
Själv är jag positiv till de former av e-hälsa som leder till reella förbättringar men att tro att den ska kunna upphäva den omöjliga ekvationen mellan outtömliga behov och begränsade resurser är en vanföreställning som ansvarsfulla politiker borde göra upp med.
En annan viktig negativ faktor är SKL:s förändrade roll.
SKL driver sina medlemsorganisationers intressen i förhållande gentemot uppdragsgivaren staten, d.v.s.
att man vill att staten ska styra så litet som möjligt (även om det inte uttrycks preeeecis så) vilket ökar på fragmentiseringen ytterligare.
Den tidigare sammanhållande myndigheten Socialstyrelsen som var en beredande motpart för SKL blev sönderslagen för några år sedan.
Uppgifterna är nu fördelade på fyra myndigheter som tillsammans med Läkemedelsverket tycks ha ett tämligen lågintensivt samarbete.
SKL och sjukvårdshuvudmännen agerar som månghövdad maktfaktor utan eget ansvar i det tomrum som skapades när Socialstyrelsen nedmonterades.
Dessutom står e-hälsoområdet under ett starkt kommersiellt intresse, inte bara genom nätläkarna.
Den nära alliansen mellan känns inte helt betryggande för det kommande.
I den tidigare regeringen var två av hälso- och sjukvårdsministerns statssekreterare hämtade från it-leverantörer vilket Dagens samhälle skrev om förra året.
Förväntan på stora vinster inom vården och en kanske alltför nära relation är knappast positiva nyheter för patienter och skattebetalare.
Eftersom jag intresserat mig en hel del för den svenska sjukvårdens historia kan jag inte undgå att fundera över att maktbalansen mellan staten som är uppdragsgivaren och utförarna, d.v.s.
sjukvårdshuvudmännen (regioner och landsting) samt numera SKL, har förskjutits.
Att göra historiska jämförelser är alltid vanskligt men för mig går det inte att motstå frestelsen att försöka analysera varför e-hälsa och digitalisering relativt sett varit så litet framgångsrika samhällsprojekt i förhållande till de resurser som satsat.
Hade det gått att prata fram e-hälsa och digitalisering hade det svenska samhället genomgått ett Civilization-moment där den framgångsrike spelaren lyckas uppfinna elektricitet på 1100-talet.
Men tyvärr räcker det inte med miljontals power point bilder, konferensinlägg, möten, testbäddar och avgränsade dellösningar för att skapa infrastruktur.
I detta delar jag uppfattningen i om floden av åsikter.
Jag tror mig att se några orsaker till det haltande genomförandet av något som trots allt alla varit överens om ska genomföras.
Detta är en situation som i mycket liknar den som rådde från slutet av fyrtiotalet och i ett par decennier framåt då det skedde en så här i efterhand nästan ofattbar mobilisering och utbyggnad av den svenska hälso- och sjukvården.
När jag skrev en historik om den värmländska sjukvården häpnade jag över att landstinget under en tioårsperiod byggde inte mindre än fyra nya sjukhus!
Även om jag är starkt lockad ska jag inte gräva ner mig ytterligare i detta utan bara tacksamt konstatera att den samhälleliga kraftsamling är något som vi nu fortsätter att skörda frukterna av.
Hur kunde man lyckas med denna infrastrukturella revolution?
En första förutsättning var att det fanns en stark politisk enighet om att detta skulle genomföras även från de borgerliga partierna som annars kampanjade för skattesänkningar.
Men till skillnad mot e-hälsoutvecklingen (liksom digitaliseringen i övrigt) nöjde man sig inte med den politiska enigheten utan skapade även de institutionella förutsättningarna (för den som vill läsa mer om institutionella förutsättningar rekommenderar jag verkligen att läsa litet Lennart Lundqvist eller Bo Rothstein) för utbyggnad.
En viktig sådan var att skapa ett mycket genomarbetat kunskapsunderlag att ta ut riktningen ifrån.
I detta var utredningsväsendet mycket betydelsefullt, de utredningsinsatser som gjordes var av mycket hög kvalitet.
Häri ligger en väsentlig skillnad mot de utredningar och kommittéer som levererat förslag inom digitalisering och e-hälsa, jag nöjer mig med att instämma i de synpunkter som framförs i den här .
I utvecklingen fanns en mycket kraftfull och sammanhållande motor i Medicinalstyrelsen, sedermera Socialstyrelsen.
Det är idag nästan svårt att förstå hur inflytelserik myndigheten var och på vilken detaljnivå man styrde sjukvården.
Om vi bara ser till vårdbyggnader fanns det ett regelverk som ner till hur många luftkubik per vårdplats definierade hur sjukhusen skulle byggas.
Varje ritning på ny- eller ombyggnad måste skickas in för godkännande och stränga inspektörer åkte ut och kontrollerade att det som byggts höll måttet.
Landstingen var byggherrar och hade det praktiska ansvaret för byggande och vård men deras intressen samlade ingen front i Landstingsförbundet (en del av SKL:s föregångare tillsammans med Kommunförbundet) utan gick huvudsakligen via riksdagen.
Där fanns det som kallades ”landstingspartiet” eller ”landstingsbänken” där landstingsordförande som nästan undantagslöst även vara riksdagsmän kunde driva sina frågor – ofta i gott samförstånd oavsett partipolitisk tillhörighet.
Även detta var en viktig institutionell förutsättning eftersom det då fanns etablerade och lagfästa former för att lösa intressemotsättningar.
Idag är situationen radikalt annorlunda.
En viktig skillnad är förstås att det kommit in så många privata aktörer men också att när de gamla institutionerna revs ner ersattes de inte av nya som skulle varit verkningsfulla då man anammade new public management som grundfilosofi för den svenska vården.
Jag är för tillfället inne på att försöken att uppnå effektiv digitalisering och e-hälsa är bland de bästa exemplen på hur new public management på ett negativt sätt präglat svensk offentlig sektor.
Resultatet har bland annat blivit att Socialstyrelsen i accelererande takt fråntagits mandat och att sammanhållen utveckling ersatts med fragmentisering.
Intresseorganisationen SKL tycks inte heller längre gå via en beredning på myndighetsnivå utan direkt på regeringen och jag har t.o.m.
läst meningar som att ”regeringen bör SKL i uppdrag …”.
Den geografiska uppdelningen av ansvar var under perioden mindre problematisk än idag eftersom större delen av vårdens uppgifter kunde lösas inom varje landstings hank och stör.
När digitaliseringen tog fart i början av nittiotalet skapades överbryggande strukturer som exempelvis Sjunet och sedermera Carelink.
Nu finns både eHälsomyndigheten och Inera m.fl.
som utan tydlig gemensam strategi eller regelverk grejar i infrastrukturen.
Bortsett från det negativa i att sakna gemensam styrning ser jag det inte heller som problemfritt när digitalisering och e-hälsa blir frikopplade från den kärnverksamhet de ska utgöra stödfunktion för.
En annan aspekt som tycks ha glömts bort är vårdinformationens långsiktiga betydelse både för den enskilda patienten och för forskningen.
För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård.
Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades).
Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman.
Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän.
Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring.
Alla sjukvårdshuvudmän (alltså landsting/regioner) utom en om jag kommer ihåg rätt hade åtagit sig att bevara alla läkarförda journaler för all framtid.
Bakgrunden till detta var den enorma betydelse som den vårdinformation som arkiverats från sjuttonhundratalet och framåt haft för den svenska forskningen.
I PDL är kravet att en journal ska bevaras i minst tio är efter att sista anteckningen förts in i handlingen samt att journaler som allmänna handlingar ska hanteras som sådana.
Det är ungefär vad som stod i patientjournallagen också men nu är kontexten radikalt annorlunda och även innebörden av begreppen – vad är ens en ”handling” i dagens vårdinformation?
Bara den förändringen att betydligt mindre andel av vårdinformationen är allmänna handlingar och därmed kan gallras av den enskilda vårdgivaren är en stor risk.
Vissa sjukvårdshuvudmän har försökt reglera arkivfrågan i avtal med de privata vårdgivarna men detta är knappast tillräckligt.
Redan idag är det som presenteras på skärmen hos en vårdgivare en sammanställning av information ur en rad system och tjänster som kan finnas både inom och utom vårdgivarens organisation.
Detta är bara inledning av en utveckling där informationshanteringen kommer att bli organisatoriskt och tekniskt allt mer komplex.
För att bevara denna gigantiska informationsmassa för framtiden för att kunna serva patienter som envisas med att leva i bortåt ett sekel och för att kunna ge underlag för livsviktig forskning räcker det inte med att litet svävande beskriva ”e-arkiv”.
För mig är detta en mycket bekymmersam fråga och det förvånar mig att varken Riksarkivet eller de utredningar som genomförts gällande registerforskningen intresserat sig för detta.
Så här i slutet av litanian vill jag inte på något sätt hävda att vi kan använda gårdagens lösningar idag.
Däremot tror jag att det finns mycket att vinna på att ha ett historiskt perspektiv.
I detta fall vill jag lyfta fram behovet av kvalitativa kunskapsunderlag som är parlamentariskt förankrade, en långsiktig väl definierad inriktning, institutionella förutsättningar anpassade efter aktuell situation och en sammanhållande kraft med mandat att genomdriva beslutade lösningar.
Framför allt tror jag att vi måste erkänna att det finns intressemotsättningar och lyfta fram dem i ljuset för att kunna diskutera hur de ska lösas.
Ofta framhålls svårigheten med den geografiska uppdelningen, minst lika stor är den som handlar om de inte helt kompatibla intressena privata utförare och den offentliga finansieringen.
Hur dessa intressen ska balanseras mot varandra har hittills varit en icke-fråga i e-hälsosammanhang.
Det har vi inte råd att låta den fortsätta vara.
Om vi ska klara upprätthålla den väsentliga del i välfärdssamhället som den offentligt finansierade sjukvården utgör och dessutom införa dataskyddsförordning, NIS-direktiv, civil beredskap och allt annat så måste vi ändra bilden av e-hälsa.
Det handlar inte om att släppa ner litet slumpmässiga tekniska lösningar (gärna efter påtryckning av olika leverantörer) utan att se att det kräver samma mobilisering, organisation och koordinering som då sjukvården byggdes ut under efterkrigstiden.
Och glöm inte forskningen!
Den första frågan i min enkät var huruvida myndigheten, landstinget respektive kommunen tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1.
Det var en klumpigt formulerad fråga eftersom RA-FS naturligtvis bara gäller statliga myndigheter.
Min tanke var dock i all enkelhet att även om det inte finns en föreskrift om att planera sitt långsiktiga bevarande av digital information direkt riktad till den egna verksamheten så borde det ändå vara nödvändigt att ha en strategi för att kunna efterleva alla andra krav som finns på att informationen bevaras i exempelvis vårddokumentation.
För en arkivarie borde detta också vara kärnuppdraget: att ta fram en inriktning för det långsiktiga bevarandet.
För att friska upp minnet på de enstaka människor som inte har alla sina RA-FS:ar färskt i minnet så är kravet i 3 kap 1 § i RA-FS 2009:1 formulerat så här: 1 § Myndigheten ska upprätta en strategi för bevarande av elektroniska handlingar.
Av strategin ska framgå vilka åtgärder myndigheten avser att vidta för att säkerställa ett bevarande av handlingarna.
Åtgärderna ska dokumenteras i enlighet med 2 §.
Strategin ska fortlöpande kompletteras och hållas aktuell. . Med åtgärder avses hur elektroniska handlingar ska framställas, överföras, hanteras, förvaras och vårdas under den tid som de ska bevaras.
Myndigheten bör vid planeringen av system och rutiner, i enlighet med bestämmelserna i 6 § arkivförordningen (1991:446), samråda med arkivmyndigheten.
Därefter följer mer detaljerade krav på vad strategin ska innehålla men i min enkät nöjde jag mig att efterfråga själva befintligheten av en strategi.
Innan jag går vidare gör jag här en liten utvikning om förutsättningarna för ett långsiktigt bevarande.
En reflektion jag gör när jag läser Riksarkivets krav är inriktningen på system, teknik och handlingar.
Detta rimmar, menar jag, inte helt med kravet på en processorienterad arkivredovisning som finns i RA-FS 2008:4.
Till detta kommer de förvaltningsgemensamma specifikationerna som inte heller är processinriktade.
De e-arkivlösningar som presenteras som verkar vara helt inriktade på att lyfta över information från ett system till ett annat utan någon koppling till process såvitt jag kunnat utröna.
Jag är dessutom osäker på hur OAIS-modellen ska tillämpas i relation till processer.
Det framstår som det finns ett antal komponenter som det långsiktiga bevarandet ska bygga på men att dessa inte är helt koordinerade.
När jag läser de kravspecifikationer som tagits fram för e-arkiv verkar det vara de tekniska kraven som kommit i förgrunden och tyvärr på ett ganska daterat sätt.
Att prata om system i en tid då allt mer information hanteras i molntjänster kan få ganska ödesdigra konsekvenser för arkivbildnigen.
Det är synd för jag tror inte att de tekniska aspekterna är det som främst utgör ett hinder för att lyckas med ett långsiktigt bevarande.
Den här frågan går inte heller att hantera i bitar utan måste ses som en sammanfogad helhet som vilar på en solid teoretisk grund, och det är den grunden som jag uppfatta är undflyende i de resonemang som förs.
För mig som arkivteoretisk nörd skulle det optimala vara det processorienterade perspektivet var genomgående som strukturerande princip för att knyta ihop verksamhet och information, självklart ända in i det digitala långtidsbevarandet.
Konkret skulle vi kunna försöka utveckla proveniensbegreppet till att förutom den inre och yttre proveniensen även omfatta en processproveniens.
Proveniensen har ett antal funktioner för arkivbildningen som att ge informationen ett mervärde då den sätts i organisatoriska kontext, att skapa autenticitet och att ge oss de bästa möjligheterna för att kunna återsöka information.
Dessutom som redan den store Nils Nilsson underströk: de processuella värdena.
Om vi nu tar tanken med de processuella värdena och sammanför det med ett proveniensbegrepp i det långsiktiga bevarandet skulle vi kunna utveckla helt nya lösningar.
Det känns aningen pinsamt att dra upp gamla texter stup i kvarten men faktiskt skrev jag i Arkiv, samhälle och forskning redan 1997 en artikel, (AFS 1997:3 – det går tyvärr inte att länka till den) som försöker resonera om hur nya tekniska lösningar ändrar förutsättningarna för arkivteorins grundpelare.
Mycket i texten är kanske passerat men något som jag ändå tycker fortfarande förtjänar att poängteras är skillnaden mellan Müller, Feith och Fruins öppna förhållningssätt till vad som avgränsar den yttre proveniensen där de om och helhet.
I Sverige, till skillnad mot i andra länder, har arkivbildarbegreppet blivit manifest och alltid kopplat till en enskild organisation.
Om vi nu tittar på världen såsom den ser ut med snabba omorganisationer och en alltmer gemensam informationsinfrastruktur – borde vi inte då skruva upp processbegreppets betydelse och samtidigt något tona ner arkivbildarbegreppet för att uppnå det vi ska proveniensprincipen till?
Med dagens tekniska lösningar menar jag att detta vore fullt möjligt att både hitta lösningar som ger en bättre proveniens samtidigt som de skulle ge effektivitet och minskade kostnader.
För att ta ett enkelt exempel skulle det menar jag var betydligt bättre att identifiera ett antal större samhällsprocesser som varat över tid i olika former och redovisa informationen per process som första steg och därefter arkivbildare.
Ta exempelvis folkskolan som fram till 1930-talet hade kyrkan som huvudman, därefter staten och nu kommunerna medan verksamheten i huvudsak varit densamma.
För att ge bättre överblick och även proveniens skulle informationen kunna vara sökbar både per process och per arkivbildare.
Jag vill bara hinta med vad detta skulle innebära när det gäller vårdinformation där det idag är stora problem att avgöra vilken information som finns var och vem som är ansvarig för den.
Med en processorientering vid en omorganisation skulle det också vara möjligt att låta den digitala informationen vara tillgänglig både i den avslutade arkivbildningen och som överförd i den nya (ja, jag vet att man måste lösa utnämningsfrågan men det känns som ett mindre aber).
För det långsiktiga bevarandet menar jag att dessa frågeställningar har stor betydelse eftersom de både avgör arkivbildningens värde, möjligheten till återsökbarhet och inte minst ansvarsfördelningen.
Men låt oss lämna mina tankar i frågan och istället se hur de myndigheter, kommuner och landsting som svarat på enkät hanterat frågan.
Av de kommuner som svarat är det bara två som säger ett tydligt ”ja” på frågan om de tagit fram en strategi i linje RA-FS.
En handfull svarar att de gjort det som medlemmar i Sydarkivera, ytterligare några säger att de är på gång eller har strategisk inriktning i andra dokument men det absoluta flertalet uppger sig inte ha någon strategi.
Bland landstingen är det ingen av de svarande utom en region som anser sig ha en strategi motsvarande kravställningen i RA-FS 2009:1 men några har reglerat delelement i ett långtidslagrande som format.
Det man kan se i svaren är att många kommuner, landsting och regioner har försökt hitta olika typer av samarbetsformer för att gemensamt ta fram en inriktning där den mest framgångsrika tycks vara Sydarkivera.
Många respondenter uttrycker att frågan är svår att hantera autonomt eftersom man inte har kompetens eller resurser att ens utreda hur långtidsbevarandet skulle kunna gå till.
Och som någon påpekar ”Vi kommuner har ju ett speciellt förhållande till Riksarkivets föreskrifter.”, det vill säga att man kan välja att efterleva dem men det är inget tungt argument eftersom man inte är skyldig att följa dem.
är en imponerande ansats men inte heller den ger de svar som behövs.
Från myndigheterna har jag fått in svar där c.a.
50 myndigheter säger sig ha en strategi av vilka flertalet även bifogat strategin.
Det förekommer en hel del disclaimers av typen ”den har några år på nacken” eller ”vi håller på att omarbeta den”.
Ett antal myndigheter skriver också att de håller på att ta fram en strategi.
Det är ett rätt omfattande material att tränga igenom men det finns ändå några gemensamma drag som jag här ska sammanfatta i några punkter (observera att detta är generaliseringar – undantag finns).
Jag är också angelägen om att återigen understryka att frågans komplexitet som ställer nästintill orimliga krav de enskilda myndigheterna.
Först en glädjande observation: få myndigheter har idag som uttalad strategi att ta ut digital information i pappersformat för arkivering.
Visserligen förekommer detta fortfarande i verkligheten trots de mycket stora informationsförluster som detta leder till men nu är ambitionen åtminstone att komma vidare med ett kvalitativt bevarande av digital information.
De flesta strategier följer, föga förvånande, RA-FS:ens krav.
Efterlevnaden kan uppfattas som litet väl hörsam eftersom det i vissa fall blir en upprepning av vad som står i RA-FS med tillägget att ”det ska vi göra”.
Men det finns också många som gjort stora insatser för att beskriva hur den digitala informationen ska omhändertas konkret och i detalj.
Det gör att vissa av dokumenten kanske inte egentligen är strategier utan mer av riktlinjer eller instruktioner.
Genomgående är att myndigheterna har avgränsat scoopet för strategin till den egna verksamhetens verksamhetssystem eller förvaltningsobjekt trots att dagens e-förvaltning i allt högre grad innebär integrerade informationshanteringslösningar.
I de fall där det av strategierna ändå framgår att myndigheten ingår i myndighetsövergripande informationshantering nämns inte vad jag kunnat upptäcka hur detta ska hanteras arkivbildningsmässigt.
Jag kan inte se att eSam (en efterföljare till E-delegationen) ger någon vägledning i hur frågan ska omhändertas vare sig strategiskt eller operativt, teoretiskt eller .
Om jag ska utnämna en fråga som särskilt oroande är det just denna – att det skapas allt större allmänna handlingar där ansvaret för den långsiktiga hanteringen är till synes oklart.
Att för den enskilda myndigheten göra de utredningsinsatser som krävs för att lösa frågeställningen och därefter få accept på detta i ett större sammanhang framstår inte som en optimal inriktning.
Föreskriften är från 2009 och är som jag tidigare redovisat inriktad på system och elektroniska handlingar.
Det är sannolikt bakgrunden till att de strategier som jag tagit del av också är det.
Det handlar om verksamhetssystem, inte tjänster och inte heller processer, samt är i hel del fall länkade till myndighetens systemförvaltningsmodell.
Vissa formuleringar skulle kunna tolkas som att strategierna är tillämpbara även på tjänster.
Elektroniska handlingar kan förekomma även i tjänster och tjänster skulle kunna vara förvaltningsobjekt.
Sådana möjliga tolkningar verifieras dock inte i de mer instruktionslika tillvägagångssätt som ingår i strategierna.
Koppling till processorienterad arkivredovisning saknas ofta men man ser ansträngningar för att integrera arkivredovisning och bevarandeplaner (möjligen även klassificeringsstrukturer) på ett bra sätt men det framgår inte hur.
Trots det tekniska perspektivet är det svårt att se en verkligt strategisk inriktning i strategierna.
Man pekar ibland på att man valt en viss programvara eller en viss tjänst för lagring men inte för hur länge.
Ibland omnämns att överlämning till arkivmyndigheten inte är aktuellt, ibland berörs inte slutarkivering alls.
Sammantaget är jag imponerad av den kompetens som arkivarier lagt in i sina strategier.
Även om jag inte sett en strategi som jag tycker uppfyller alla krav så finns det en stor gemensam resurs i de många strategierna att crowd-sourca ur för att kanske skapa en gemensam linje.
Ur ett forsknings- och kulturarvsperspektiv finns det dock anledning att vara bekymrad.
Det finns en inte oväsentlig risk inte bara för att information inte arkiveras utan också för att den information som verkligen tas om hand kommer att sakna tillräcklig proveniens, kontext och återsökningsmöjligheter.

Att ta fram ett underlag för en nationell styrmodell för informationssäkerhet som byggde på vetenskapligt stöd för styrning generellt Att ta fram 5–10 generiska processer för kommuner inklusive den informations som skapas/används i processen samt i förlängningen Att skapa ett underlag för att ta fram gemensamma skyddsnivåer som skulle kunna tillämpas av både offentliga och privata aktörer Tillförlitlighet Äkthet Integritet (oförändrad) Användbarhet avtalshantering ansvarsutkrävande interna kontrollsystem upptäckt av avvikelser teknisk övervakning dataskydd patientsäkerhet medarbetares integritet medarbetares rättssäkerhet brottsutredning forensik fysiskt skydd Ta fram en grundmodell för informationsklassning inklusive skyddsnivåer.
Observera att skyddsnivåerna är den stora tunga uppgiften som kommer att kräva långsiktig förvaltning men som kan användas även andra organisationer t.ex.
som stöd för att efterleva NIS-direktivet.
Ta fram en certifieringsinstitution där leverantörer kan certifiera sina tjänster och system på olika skyddsnivåer.
Ta fram ett antal standardprocesser utifrån de obligatoriska uppdragen Identifiera informationen i dessa processer.
Ge stöd för att kartlägga vilka bärare som används för att hantera informationen.
Observera att det inte enbart gäller system och tjänster utan även andra bärare.
Ge förslag på en standardklassning av informationsmängderna.
Med detta som utgångspunkt kan ut skyddsnivåerna plockas fram krav både på den egna verksamheten, egen it och på externa leverantörer av tjänster.
Stärkt samordning av de frågor som påverkar vården i regeringskansliet och en stärkt roll för Socialstyrelsen som sammanhållande kraft i vården och beställare av it-lösningar hos e-Hälsomyndigheten, SKL m.fl.
Hur en gemensam infrastruktur ska kunna byggas upp i konkreta termer och ansvarsförhållandena för detta En ny patientdatalag som lever upp till dagens många olika behov och som inte genar när det blir svårt.
En arkivlag som kan tillgodse kravet på att bevara den gemensamma informationsinfrastruktur som uppstår inom bland annat e-hälsa.
I en ny arkivlag bör finnas utrymme för att fatta beslut om bevaranderegler även för andra än statliga myndigheter, t.ex.
ett krav på att viss vårdinformation ska bevaras för all framtid oavsett vårdgivare.
SKL:s roll med övervägande om liknande krav på öppenhet som gäller de ingående sjukvårdshuvudmännen.
Frågan bör ställas om SKL över huvud taget har de institutionella förutsättningarna att leverera gemensamma e-tjänster eller om detta istället bör ske av myndigheter Utred möjligheten att införa en lösning liknande den norska Normenden svenska vården.
Detta drev jag med klent gehör när jag jobbade på MSB men det är aldrig fel att vädra gamla käpphästar.
MSB måste våga överge sin beröringsskräck för verkligheten och kunna ge faktiskt stöd till bland annat vården.
Hur e-hälsan systematiskt ska utvärderas och vem som ska utföra det.

olika beteende vad de hur integrity inte sina sina sina 16 § på vilket sätt läsa alla all en sina sjukvårdsvårdshuvudmännen vårdgivare alla

Meny Författare: Inläggsnavigering

En anekdotisk bakgrund Vad bör man göra

MENU MENU Fia Ewald Postat av Postad i , Tagged , Postat av Postad i Postat av Postad i , , Tagged , , , Postat av Postad i , , , , Tagged , , , , , Postat av Postad i , , , Tagged , , , , , , Postat av Postad i , , , , Tagged , , , , , Postat av Postad i , , , , Tagged , , , , , , Postat av Postad i , , , , , , , , Tagged , , , , , , , , , , Postat av Postad i , , , , , , , , Tagged , , , , , , , Postat av Postad i , , , , Tagged , , , , ← → Sök efter:

tillstånd förmåga egenskaper egenskap Informationssäkerhet och organisationskultur Vad är säker kultur Information Security Goals in a Swedish Hospital egenskap Allmänna råd Arkivbildarbegreppet och proveniensprincipen under press?
adminstrative bodies Göteborgs Stads föreskrifter och riktlinjer om arkiv- och informationshantering

Det har nu gått en vecka sedan dataskyddsförordningen trädde i kraft.
Under den förlidna veckan kom även Förvaltningsrättens utslag som gav Datainspektionen rätt gällande eHälsomyndighetens tjänst .
För mig var domen mycket välkommen eftersom jag redan sedan start uppfattat Hälsa för mig som en tjänst med skakig ansvarsfördelning och bristande säkerhet trots att den är tänkt att hantera känsliga personuppgifter från hela den svenska befolkningen.
Förra veckan skulle alltså kunna ses som en bra vecka för den personliga integriteten men det återstår verkligen mycket att göra.
En separat frågeställning som behöver lyftas är vikten av att få god information om hur personuppgifter hanteras för att kunna skydda den egna integriteten.
Individens komplicerade situation blev tydlig när jag såg en del reaktioner, framför allt från tjänsteleverantörer, angående Förvaltningsrättens utslag om Hälsa för mig.
Om jag tolkar dessa reaktioner rätt så uppfattar de det som någon form av omyndigförklarande av individer att de (individerna alltså) inte själva får bedöma säkerheten och integriteten i Hälsa för mig (plus i de appar som vidareutnyttjar information) utan att klåfingriga myndigheter lägger sig i. Själv tycker jag att det är en, hm, okonventionell hållning till myndigheters och leverantörers ansvar för sina tjänster som t.o.m.
Parks & Recreation hade en bättre analys av (i säsong 7 avsnitt 5 men hela serien rekommenderas naturligtvis!).
Komplexiteten ligger i att både kunna få kunskap om hur de egna uppgifterna hanteras för att kunna välja vilka risker man vill ta som individ samtidigt som det måste ställas krav på de personuppgiftsansvariga att ha nödvändig säkerhet och dataskydd i sina lösningar.
Båda dessa aspekter förutsätter att det finns god och dokumenterad kontroll över informationsflöden och säkerhetsåtgärder som går att presentera.
Först då finns en situation där individen kan känna tillit till den personuppgiftsansvarige och välja att antingen nöja sig med det eller att fatta ett informerat val att till exempel undandra eller spärra sina uppgifter.
Samtidigt gjorde jag inspirerad av dataskyddsförordningen ett experiment att försöka få en presentation av hur mina personuppgifter hanteras i vården.
I patientdatalagen finns regler om hur utlämnande av patientuppgifter får ske till andra vårdgivare och hur individen kan förhindra att så sker.
Detta förutsätter att patienten får kännedom om hur åtkomst och potentiell åtkomst till uppgifterna om den egna vården ser ut vilket också får ses som ett grundläggande krav i dataskyddsförordningens tillämpning.
Utan att känna till hur uppgifterna hanteras kan jag inte invända mot hanteringen och eventuellt begära en spärr.
Hittills har mitt experiment att få reda på hur mina uppgifter går från vårdcentralen in i någon typ av sammanhållen journal som sedan finns tillgänglig via bland annat den nationella tjänsten NPÖ för andra vårdgivare gått sisådär vilket kommer att avrapporteras senare.
Men dessa två sammanfallande förlopp fick mig att fundera på den ständiga frågan som ställts till mig i min yrkesroll under våren angående dataskyddsförordningen: ”Vad vi göra?” – som för att hitta miniminivån.
Ett bra steg vore om myndigheter och andra i tillitsbranscher som vården istället formulerar frågan som: ”Vad vi göra för att uppnå en god integritet?”.
Omformuleringen skulle i bästa fall kunna leda till att organisationen internaliserar integritet som ett värde för den egna verksamheten istället för ett mer ögontjänande uppfyllande av externa krav.
Då skulle individens intresse av att skydda sin integritet och det av detta följande behovet av att få god information om personuppgifterna hanteras få en betydligt högre dignitet.
Mitt till leda upprepade mantra att det inte handlar om exempelvis patientsäkerhet integritet utan om patientsäkerhet integritet skulle i så fall falla ut som ett självklart mål.
Trots att jag intresserat mig för hur vårdinformation hanteras under många år har jag aldrig sett någon flödesbeskrivning som beskriver hur information, tjänster, infrastruktur och organisationer interagerar på ett mer heltäckande sätt.
Det är möjligt att det finns men inte ens i de statliga utredningar om e-hälsa m.m.
där jag funnits med i utkanten har jag sett den typen av beskrivningar.
Det samma gäller för övrigt för e-förvaltning och digitalisering.
Det är möjligt att det finns men då så i skymundan att inte ens den intresserade finner dem.
Övergripande process- och flödesbeskrivningar skulle naturligtvis inte bara var av stort värde för enskilde utan också för myndigheter och företag som administrerar olika tjänster i flödena.
Avsaknaden av gemensam kartbild kan vara en starkt bidragande orsak till den, trots idoga och stora satsningar, inte så lyckosamma digitaliseringen.
Men just nu är jag mest intresserad av den torftiga beskrivning av den i verkligheten mycket komplexa hanteringen av mina patientuppgifter som sker i lokala och nationella tjänster.
I mitt hemlandsting finns denna som visserligen är korrekt men knappast begriplig för den vanliga patienten.
I andra sammanhang betonas ofta vikten av att sätta patientens intresse i centrum och att det ska finnas en valfrihet.
Varför skulle inte samma inriktning tillämpas på integritetsfrågan?
Jag har därför några förslag som skulle kunna stärka patientens ställning.
Första förslaget: Ta fram en infograf över hur patientinformation flödar inom och mellan vårdgivare och olika leverantörer.
Med litet god vilja och innovation borde det på sikt vara möjligt att göra för den enskilde patienten men ett första steg är att visa det på en generell nivå.
Detta skulle också vara ett stort stöd i enskilda vårdgivares presentationer av hur patientens information kommer att hanteras.
Dessutom skulle mödan att beskriva den mycket intrikata informationsstruktur som byggts upp vara väl värd sett även för att få en större förståelse hos de som fortsättningsvis ska bygga vidare – kanske resulterar det t.o.m.
i en planerad utveckling.
Ett konkret förslag är att regeringen ger eHälsomyndigheten ett uppdrag att ta fram övergripande flödesbeskrivning med inriktning på personuppgifter.
Kanske bör den nya digitaliseringsmyndigheten få motsvarande uppdrag på e-förvaltningssidan.
Som den baksluga människa jag är ser jag hur starkt dessa beskrivningar skulle kunna bidra till informationssäkerheten, kontinuitets- och incidenthanteringen och till möjligheten för långsiktigt bevarande av information med autenticitet.
I flöden bör det även framgå var valmöjligheter finns för individen, d.v.s.
där man kan välja att avstå från att låta personuppgifter om en själv gå vidare.
Andra förslaget: Ett flertal av sjukvårdshuvudmännen har struntat i att efterleva PDL och inte lyckats införa möjligheten för patienten att spärra sin journal.
Kommunikationen från vårdgivarna om spärrar har också varit märklig där det ofta framstått som att man löper stora hälsomässiga risker om man vill begränsa åtkomsten till vårdinformationen.
Spärrarna är som idé en mycket klumpig form av åtkomstbegränsning som understödjer den typen av hotfulla undertexter eftersom det handlat om allt eller inget, d.v.s.
att man spärrar stora delar av vårdinformationen oavsett vilken typ av information det är.
Mitt förslag är därför att eHälsomyndigheten får i uppdrag att ta fram ett mer dynamiskt åtkomstskydd som skulle kunna leda till en större valfrihet för mig som patient.
Till exempel så skulle jag kunna få välja att endast ge tillgång till information om läkemedel och överkänslighet medan övrig information får efterfrågas vid behov.
Tredje förslaget: eftersom vården uppenbarligen inte klarar att ha en integritetsskyddande behörighetshantering (det räcker att se på de inspektioner som Datainspektionen genomför för att konstatera det) så är pseudonymisering ett alternativ för vården vilket jag skrev om redan (här vädras verkligen gamla käpphästar).
Pseudonymisering som del i ett privacy by design-arbete i vården skulle ha många fördelar för integritet och säkerhet men skulle kräva en stor sammanhållen insats och en sannolikt en förmåga till samordning som saknas idag.
Men ändå, även detta skulle kunna vara en gemensam uppgift för eHälsomyndigheten och digitaliseringsmyndigheten.
Eller kanske Vinnova skulle kunna ge stöd till några entreprenörer som vill ta fram en pseudonymiseringsapp kopplad till BankID som skulle låta oss faktiskt välja hur mycket vi vill att andra ska veta om oss?
Det finns med största säkerhet många invändningar mot mina förslag men om jag får åtminstone några att fundera över integritetsfrågor på ett mer kreativt sätt än vad som synes ske idag lovar jag att var nöjd.
För mig är informationsförvaltning och informationssäkerhet nära sammanhängande frågor med många gemensamma förutsättningar och problem.
Det största gemensamma problemet är kanske att de sällan integreras sinsemellan och inte heller med det som kallas digitalisering.
Eftersom jag fått uppdrag att skriva en bok om dessa frågor började jag fundera på hur jag skulle få en bättre bild av hur sambanden ser ut i praktiken.
En fråga som utkristalliserade sig var e-arkiv som en del av informationsförvaltningen.
För att kunna förstå frågan på rätt sätt är det viktigt att först analysera betydelsen av ”arkiv” och därmed av ”e-arkiv”.
Trots att det både säljs och köps s.k.
e-arkivlösningar finns det ingen definition av vad detta skulle kunna vara.
Jag kommer att återkomma till denna fråga i ett senare inlägg men här nöjer jag mig med att utgå från att e-arkiv är en process för att långsiktigt bevara digital information med autenticitet, spårbarhet, konfidentialitet, sökbarhet samt med processuella värden i behåll.
Samtliga dessa krav kan finnas i olika grad beroende på den information som ska bevaras.
Den som delar min bedömning om vad ska ses som ett e-arkiv är sannolikt beredd på att acceptera att informationssäkerhet och e-arkiv har starkt inbördes beroende.
Min utgångspunkt är också att en stor del av allmänna handlingar ska bevaras över tid liksom en inte obetydlig del av den information som produceras i privata verksamheter.
Även om kraven på konfidentialitet och tillgänglighet i de flesta fall klingar av så är ändå slutsatsen att e-arkivlösningar måste kunna erbjuda minst lika bra informationssäkerhet som de digitala lösningar som hanterar informationens mer aktiva skeden.
För e-arkivet ökar istället kraven på autenticitet som kan sägas vara en kombination av spårbarhet och riktighet.
Genom den aggregering av information som planeras i många e-arkivlösningar ökar också kraven på att skydda mot obehörig åtkomst.
Utan att utveckla detta ytterligare så måste med dessa förutsättningar ett mycket aktivtomge e-arkiven med riskanalyser och informationsklassning m.m.
på minst samma nivå som för andra digitala lösningar.
I en allt mer digital värld är jag också mycket nyfiken på hur dessa frågor ska lösas nationellt och om vi inte måste tänka på ett annat sätt när det gäller det långsiktiga bevarandet än vad vi gjort när det gäller pappershandlingar.
För den oinvigde har Riksarkivet varit slutarkivet för de allmänna handlingar som produceras i statliga myndigheter som i långsam process likt sedimentering vandrar från aktivt skede via mellanarkiv till slutlagring.
Digitaliseringen gör hela denna process onödig, de digitala handlingar som ska bevaras för eftervärlden skulle kunna överföras till slutarkiv i samma ögonblick som de skapas och en kopia hanteras i verksamheten.
Ändå tycks tankegången fortfarande var densamma i praktiken och någon slags mellanarkiv för digital information byggas upp av Statens Servicecenter som outsourcar tjänsten till något av de stora leverantörerna.
Jag ställer mig frågande till hela tanken i detta, att tjänsten byggs upp inte av den myndighet med ansvar och kompetens inom arkivområdet utan en annan, men också inför hur erbjudandet eller påbudet uppfattas av de myndigheter som förväntas delta.
Detta är bakgrunden till att jag i början av 2018 skickade ut en enkät till samtliga myndigheter, regioner/landsting och kommuner med följande frågor: Har ni tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1?
Om ja skulle jag, om möjligt, vilja ta del av den.
Har ni en egen e-arkivlösning eller planerar ni att köpa en tjänst för det eller på annat sätt anlita utomstående?
Om ni planerar att köpa en tjänst eller anlita utomstående: ser ni det som ett mellanarkiv?
Vilken tidshorisont har ni för nyttjandet av tjänsten?
Har ni en Plan för informationssäkerhet enligt 6 kap RA-FS 2009:1?
Om ja skulle jag, om möjligt, vilja ta del av den.
Om/när ni tagit fram en egen e-arkivlösning alternativt anlitat utomstående för tjänsten, har detta då föregåtts av en riskanalys och informationsklassning?
Vilka är, som ni ser det, de viktigaste kraven på informationssäkerhet när det gäller e-arkiv?
Ur offentlighetsperspektivet är svarsfrekvensen dyster för detta är hur många som svarat till dags dato trots att förfrågan även innehöll en begäran om att få ta del av allmän handling: 62 kommuner (21 % av samtliga tillfrågade) 8 regioner/landsting (40 %) 86 myndigheter (24 %) Några noteringar kan göras rörande de svarande.
Bland kommuner är det påfallande att det snarare är de små kommunerna som ansträngt sig för att svara än de medelstora eller stora.
Bland myndigheterna har universitet och högskolor varit exceptionellt bra på att svara (75 %).
Av de myndigheter som ingår i eSam som är ”ett medlemsdrivet program för samverkan mellan 24 myndigheter och SKL.
Samarbetet syftar till att underlätta och påskynda digitaliseringen av det offentliga Sverige.” och som bland annat drivit på frågan om öppna data är det knappt hälften av de ingående myndigheterna som svarat på enkäten.
Här skulle man kanske kunna önska litet mer av att leva som man lär och en vilja att förmedla information även i praktiken.
Hela tanken så som den formuleras idag är att ett ”e-arkiv” på något sätt är en applikation i egen regi, i samverkan, hos en myndighet eller i form av en molntjänst.
Därför tyckte jag också att det var intressant att ställa frågor till olika typer av leverantörer hur de formulerat säkerhetskraven på sina lösningar.
Här var svarsfrekvensen extremt låg när jag ställde dessa frågor: Kan ni redovisa på vilket sätt ni arbetat med informationssäkerhet i tjänsten?
Vilka ser ni som de främsta informationssäkerhetsriskerna kopplade till tjänsten?
Kan ni erbjuda tjänsten på olika skyddsnivåer?
Är alla typer av information möjlig att hantera i dem?
Vilka krav ställer ni på eventuella underleverantörer?
Hur ser ni på ert ansvar i förhållande till användarna av tjänsten då det gäller att uppnå tillräcklig informationssäkerhet?
Har ni ett eget internt ledningssystem för informationssäkerhet (LIS)?
Har ni en utpekad informationssäkerhetsansvarig i er organisation?
Har ni ett eget standardförslag på personuppgiftsbiträdesavtal och är det i så fall möjligt för mig att få ta del av?
Är tjänsten planerad för att klara NIS-direktivet och civilt försvar?
Jag har på dessa frågor inte fått ett enda svar som inte varit av typen ”varför ställer du de frågorna” eller ”kan vi ta det per telefon istället”.
Statens Servicecenter var dock mycket snabba och tillmötesgående och skickade över kravspecifikationen de använt när de försökt upphandla tjänsten e-arkiv.
Min slutsats är att leverantörerna: Inte fått tydligt formulerade säkerhetskrav på sina tjänster Inte har tagit fram ett generellt presentationsmaterial som redovisar vilken säkerhet som deras tjänster erbjuder.
Att säkerhet i tjänsten inte är självklara frågor ser jag som mycket bekymmersamt och som en klar brist på mognad hos dessa tjänster vilket också komplicerar situationen för särskilt mindre organisationer som planerar att upphandla ett ”e-arkiv”.
I nästa blogginlägg kommer jag att redovisa de svar som inkommit från kommuner, landsting/regioner och myndigheter.
Den minnesgode kommer ihåg att jag tyckte det saknades några frågor vid den öppna utfrågningen i riksdagens försvarsutskott om cybersäkerhet för ett par veckor sedan.
För att inte bara planlöst gnälla ska jag formulera några av de frågor jag själv skulle ställt i rollen som en hyfsat insatt folkvald ledamot i försvarsutskottet.
Rollen kräver ju en något mer nobel approach än den som småaktig bloggare.
Jag kommer därför naturligtvis inte att ställa tråkiga frågor som vad cybersäkerhet betyder eller vad det är för värden på axlarna på MSB:s bild över utvecklingen av digitalisering respektive cybersäkerhet även om jag grubblat över detta sedan jag såg den.
Jag ska heller inte göra banala zingers av typen ”här ser vi hur man försöker lösa morgondagens frågor med gårdagens lösningar.”.
Istället kommer jag att försöka ställa fem övergripande frågor som jag menar är av betydelse för samhället och inte bara för samhällets säkerhet.
– Herr ordförande, vi har nu fått en genomgång av ett statsråd och fyra myndighetsföreträdare.
Tyvärr kan inte genomgången ha lett till en bra helhetsbild av frågan.
Varje myndighetsrepresentant har presenterat sin myndighets perspektiv på ett sätt som får åhöraren att känna sig som på toppen av ett utsiktstorn där det bara är möjligt att beskåda utsikten genom fyra fastlåsta och begränsade kikare.
Själva vyn är osynlig genom dessa tunnlade perspektiv.
När vi som folkvalda får en presentation där cyberförsvar, säkerhetsskydd, samhällsviktig verksamhet, och den vardagliga informationssäkerheten presenterade som helt separerade spår är det lätt att förstå den vanmakt som många aktörer som förväntas göra något i praktiken känner.
I NISU-utredningen 2015 var det första åtgärdsförslaget för att förbättra informationssäkerheten att utveckla en nationell styrmodell för informationssäkerhet: En nationell styrmodell för informationssäkerhet består av ett antal komponenter som måste utvecklas och förvaltas över tid.
En del är ett sammanhållande regelverk som innehåller olika nivåer av reglering under föreskriftsnivån, det vill säga en regelhierarki som motsvarar ett ledningssystem inom en organisation.
Förutom de resurser som krävs för att utveckla och förvalta styrmodellen krävs en lösning för anslutning och efterlevnadskontroll som löpande samordnas med andra intressenter.
I detta ligger också omfattande utbildningsinsatser.
I styrmodellen är informationsklassning den mest omfattande aktiviteten som går från processorienterad informationskartläggning via själva klassningsmomentet till utvecklade gemensamma skyddsnivåer.
För att skyddsnivåerna ska kunna fylla sin funktion krävs omfattande insatser av både egen och extern kompetens inom områdena administrativ, fysisk och it-inriktad säkerhet.
Slutligen förutsätter en nationell styrmodell en väl utvecklad kunskapsstyrning.
Kunskap kan i detta sammanhang röra sig om kunskap om metoder men i ännu högre grad om att kunna ge ett vederhäftigt underlag för en styrning utifrån risk.
Det innebär att kunna förmedla en uppdaterad riskbild och att samtidigt kunna förmedla stöd för riskreducerande åtgärder.
Behovet av en nationell styrmodell förefaller större än någonsin, inte minst sett i perspektivet av att försöka samordna digitalisering och säkerhet.
Min fråga till statsrådet är därför var detta förslag hamnat.
En följdfråga till myndighetsföreträdarna är om det är omöjligt att utan ett formellt uppdrag från regeringen börja samarbeta på ett sätt som leder till konkreta samordnade stöd för – Herr ordförande, två konkreta frågor angående molntjänster.
I efterdyningarna av skandalen vid Transportstyrelsen har molntjänster blivit en huvudfråga för regeringen när det gäller säkerhet.
Samtidigt vet vi att molntjänster redan används i stor omfattning av svenska myndigheter, kommuner och regioner/landsting, att de ger effektiva lösningar och i många fall bättre säkerhet än om verksamheterna själva skulle drifta och förvalta i egen miljö.
Många av de tjänster som idag finns även som applikationer för egen förvaltning kommer snart enbart att finnas som molntjänster.
Samtidigt är det svårt för Söpple kommun att ställa krav på Microsoft och Google angående säkerhet och integritetsskydd.
En lösning som skulle kunna ge både bättre säkerhet och nödvändig effektivitet var om svenska staten på samma sätt som den tyska sluter ett gemensamt avtal med några av de stora jättarna.
Jag förstår problematiken när det gäller konkurrensfrågor m.m.
men vill ändå ställa frågan om detta är något regeringen överväger eller om varje kommun och myndighet även fortsättningsvis ska försöka lista ut om det är juridiskt korrekt att använda Office 365 samt ta fram sina egna avtal.
Jag skulle också vilja fråga om den ändring som redan skett, nämligen att SÄPO och Försvarsmakten tilldelats en vetorätt när det gäller utkontraktering av information från säkerhetskänslig verksamhet.
Detta ställer ju ansvarsprincipen på ända och jag funderar i detta sammanhang om regeringen ser framför sig även andra förändringar i denna grundpelare i svensk förvaltning.
Vem tar ansvar för verksamheten i det här fallet – SÄPO eller verksamhetsledningen?
-Herr ordförande, under dagens presentationer är det lätt att få föreställningen att säkerhet är ett enkelt och entydigt begrepp samt att säkerhetsåtgärder alltid är obestridligt ”goda”.
Den som ägnat minsta tanke åt detta och kanske dessutom kanske ändå studerat lite samhällsvetenskap, historia eller filosofi vet naturligtvis att så inte är fallet.
Säkerhet existerat alltid i en relation till andra värden.
En supersäker lösning som skulle förhindra alla brott vore att låsa in alla medborgare och slänga bort nyckeln för att dra frågan över det löjligas gräns.
Samtidigt måste jag som folkvald naturligtvis beakta de olika intressen som finns i samhället och som delvis står i konflikt med ”säkerhet”.
För mig framstår det som det finns tre värden som ständigt kommer i konflikt med den renodlade säkerheten; effektivitet, demokrati och individens integritet.
I digitaliseringssträvandena ligger önskan om effektivitet.
Demokrati i den form vi känner den är ett centralt element insyn och delaktighet.
Övervakning är per se en inskränkning i integritet.
Jag hörde ingen av talarna ta upp dessa konflikter och ställer därför frågan om myndighetsföreträdarna ser det som liggande utanför sitt uppdrag att även ta hänsyn till denna typ av aspekter.
Det är i så fall viktigt att veta eftersom utgångspunkten då måste vara att myndigheterna agerar som ”säkerhetsnördar” och de övriga perspektiven måste tillföras från annat håll innan beslut tas i viktiga frågor.
– Herr ordförande, jag tror vi alla är överens om att det finns ett stort behov av att utveckla informationssäkerheten i Sverige.
En absolut vital förutsättning för att kunna göra det är att det finns tillgänglig kunskap och kompetens på olika nivåer.
Min bedömning är att detta behov är skriande idag alltifrån den vetenskapliga nivån till att det saknas tusentals informationssäkerhetsansvariga företag, kommuner, landsting och myndigheter.
Detta leder till att vi inte vet vad vi ska göra för att faktiskt vara effektiva och att det saknas operativ förmåga att bedriva det säkerhetsarbete som åläggs olika aktörer.
Situationen kommer knappast att förbättras av sig själv eftersom det idag endast finns en handfull utbildningsplatser per år för att utbilda kompetenta informationssäkerhetsansvariga.
Många av de som idag är informationssäkerhetsansvariga (eller kallar sig certifierade och informationssäkerhetsexperter) saknar helt utbildning inom området.
Fortbildningsbehovet är därför oerhört stort.
Ytterligare en aspekt är att kunskapsuppbyggnad bygger på ett kritiskt tänkande och en öppen dialog.
Ett intryck från säkerhetsområdet är att det ofta präglas av en tystnadskultur och en anti-intellektualism.
Detta bygger, tror jag, på tradition, på att det saknas arenor för ett intellektuellt utbyte i säkerhetsfrågor och på att en osäker profession sluter sig inom sig själv i kotterier.
För att komma vidare och hitta den goda säkerhetskulturen som skapar kunskap och insikt även på den nationella nivån krävs insatser även från myndigheterna.
Min fråga är hur det stora kunskaps- och kompetensbehovet ska tillgodoses och hur myndigheterna kan verka för en god säkerhetskultur med kritiskt tänkande även i de nationella sammanhangen.
– Herr ordförande, en sista fråga.
I de presentationer vi tagit del av lyfts diverse försumligheter och bristande medvetande hos samhällets aktörer fram.
Däremot sägs mycket litet om och i så fall hur myndigheterna med särskilt ansvar för säkerhet bedriver en systematisk utvärdering av sina egna insatser.
Utvärdering är ju en grundläggande aktivitet i ett systematiskt arbetssätt och det finns därför anledning att anta att denna kvalitetshöjande mekanism måste vara inbyggd i myndigheternas verksamhet.
Detta framgår dock inte i de årsredovisningar jag tagit del av och inte heller i dagens presentationer.
Därför skulle jag vilja ställa frågan om den bristande säkerheten alltid är någon annans fel eller om det är möjligt att myndigheterna sett anledning att även förbättra sina egna insatser?
Det är klart man bänkar sig framför tv:n (i ärlighetens namn bakom en datorskärm) när riksdagen har en öppen utfrågning om cybersäkerhet vilket skedde förra Sändningen börjar med en lång och mycket grynig mingelupptagning när alla deltagare och åhörare ska leta upp sina platser.
Trots mitt seriösa intresse för frågan uppstår nästan omedelbart samma problem som under de senaste veckornas rapportering från Svenska akademien; gränsen mellan fiktivt och faktiskt berättande glider ihop.
Jag och mitt sällskap följer de stela tjänstemannakramarna, den tidigare statliga chefen som nu blivit lobbyist som ivrigt söker sällskapet hos sina tidigare kollegor, den aningen nervöse talskrivaren som flackar med blicken och hoppas på att chefen ska hålla sig till manus och inte sväva ut i egna funderingar, den tidigare myndighetschefen som överraskande dyker upp.
Soundtracket till House of cards tonar upp i medvetandet och det är med stigande intresse man följer scenen.
Enda missen sett ur ett underhållningsperspektiv är den tekniska kvaliteten och att personaget inte introduceras.
Den nerv som fanns i minglet dör tråkigt nog ut i samma ögonblick som redovisningarna av vad som sker på cybersäkerhetsområdet börjar.
Först ministern, sedan myndighetscheferna i tur och ordning.
Det mest förvånande är att absolut inget förvånande sägs.
Det är exakt samma saker som sägs som har upprepats i 15-20 år.
Inga nya lösningar, inga nya självinsikter och inga reflektioner av vad som skulle kunna ändras hos myndigheterna själva.
Naturligtvis förekommer ordet ”cyber” mer ymnigt än någonsin och aktuella catch phrases som ”det förändrade omvärldsläget”.
Nya aningen dunkla fenomen som ”civila cyberförsvaret” förs in utan att det klargörs vad exakt detta skulle vara.
Axiom som att brister upptäcks när incidenter rapporteras ventileras.
Det mest genomgående temat är att de utfrågade myndigheterna säger sig behöva ännu mer resurser.
Alltså i sak intet nytt.
Däremot saknar i alla fall jag ett analytiskt förhållningssätt där man faktiskt kommer in på frågan hur intresseavvägningen mellan den effektivitet som digitaliseringen står för och en bättre säkerhet ska göras på samhällsnivå.
Eller hur det demokratiska samhället ska leva ihop med den ständigt ökade övervakningen från både företag och staten.
Sammantaget blir utfrågningen en god illustration över varför nuläget är som det är: säkerhetslägret och digitaliseringslägret är som två cykloper som möts och aldrig skapas ett stereoseende.
Inte heller då riksdagsledamöterna släpps in för att ställa frågor efter statsrådets och myndighetschefernas redovisningar tillkommer något nytt perspektiv.
De folkvalda håller sig hovsamt inom den uppdragna ramen och ställer välvilliga frågor som möts av föga förvånande svar.
Enda gången där det hettar till är när det bekymmersamma läget i kommunerna återkommande lyfts fram och en representant från SKL i lätt agiterad ton hävdar att tillståndet minsann är bättre än så eftersom så många kommuner börjat använda KLASSA (!).
För att övertyga den som inte tror mig har jag sammanställt ett litet quiz där den som vill får gissa om citaten kommer från den öppna utfrågningen förra veckan eller från För att göra det litet svårare har jag bytt ut ”informationssäkerhet” i texten från 2005 mot ”cybersäkerhet”.
Innebörden i begreppsanvändningen är mycket likartad i detta sammanhang och samtliga talare förra veckan.
Den som först sänder in ett rätt svar bjuder jag på lunch eller ett glas efter jobbet.
Skicka in en tipsrad med A för SOU 2005:42, B för citat från utfrågningen.
En rimlig ståndpunkt är att tydliga begrepp i de flesta fall är en förutsättning för en fungerande kommunikation.
Personligen ser jag kommunikation som det viktigaste redskapet för att få till en fungerande informationssäkerhet både i den egna organisationen och nationellt.
Därför är begrepp inom informationssäkerhet en avgörande faktor för att lyckas.
Ett begrepp som gjort en raketkarriär är cyber.
Det är inte bara en allmän känsla utan stöds också av en sökning i Retriever, se graf: I många sammanhang, även från regeringen, lyfts betydelsen av s.k.
cybersäkerhet fram som en central fråga för det svenska samhället.
Jag uppfattar försvarsminister Peter Hultqvist som en informell rekordhållare då han lyckades säga ”cyber” inte mindre än 36 gånger i ett men då krävdes det också stycken som det här för att lyckas: Cyberdomänen, eller cyberrymden, vad vi än väljer att kalla den, har kommit att bli en ytterligare arena för militär och annan verksamhet.
Den trenden har varit tydlig under en tid.
Tidigare rapporter från Försvarsberedningen har lyft fram de problem och risker som präglar cyberdomänen.
Den tilltagande antagonistiska dimensionen i cyberrymden gör det nödvändigt att utveckla och stärka cyberförsvarsresurser.
Vi kan se att ett flertal länder i världen har gjort just det.
Det försvarspolitiska inriktningsbeslutet från 2015 innehöll ett tydligt och nytt steg i arbetet med svenskt cyberförsvar.
Här förekommer även sammansättningar som cyberdomänen respektive cyberrymden som antingen är samma sak eller möjligen inte eftersom begreppen används varannan gång t.o.m.
Detta är kanske bara ett uttryck för språkglädje där man vill variera uttrycken.
Hur som helst har begreppet ”cyber” här någon slags rumslig dimension.
I den nationella strategi för samhällets informations- och cybersäkerhet som regeringen presenterade 2017 och som statsrådet hänvisar till i sitt anförande saknas dock denna rumsliga dimension då begreppen som utgör strategins ämne definieras: Med informations- och cybersäkerhet avses i denna skrivelse en uppsättning säkerhetsåtgärder för bevarande av konfidentialitet, riktighet och tillgänglighet hos information.
Med konfidentialitet avses att obehöriga inte ska kunna ta del av informationen.
Med riktighet menas att informationen inte förändras, manipuleras eller förstörs på ett obehörigt sätt.
Med tillgänglighet menas att behöriga ska kunna ha tillgång till informationen på det sätt och vid den tidpunkt som tjänsterna erbjuder.
För informationssäkerhet som avser digital information används i denna skrivelse även begreppet cybersäkerhet.
I denna skrivelse används begreppen beroende av sitt sammanhang, där exempelvis cybersäkerhetsbegreppet är vanligt förekommande i en internationell .
Det är litet svårt att se skillnaden mellan informations- respektive cybersäkerhet men jag tolkar det som att man ser cybersäkerhet som en delmängd av informationssäkerhet där cybersäkerhet bara handlar om ”digital information”.
Cybersäkerhet anses också mer ”internationellt”.
För mig är blir det aningen besynnerligt att tala om digital information eftersom det blir en mix av information och bärare– när man exempelvis klassar information är det ju inte mediet som klassas utan informationsinnehållet.
För att få bättre bild av hur begreppet används av de myndigheter som har särskilda ansvar inom området och därmed ofta kommunicerar med begreppet i fokus skrev jag en enkel fråga till tre av dessa myndigheter; Försvarsmakten, SÄPO och MSB.
Begreppet ”cyber” används flitigt för tillfället.
Jag skulle behöva ha x:s definition av begreppet eftersom det används på olika sätt i olika sammanhang.
Samma dag fick jag svar från Försvarsmakten med en hel ordlista ( ) med sammansättningar med ”cyber”, däribland cybersäkerhet: Cybersäkerhet är den samling av säkerhetsåtgärder, riskhanteringsmetoder och tekniker som kan användas i syfte att bevara konfidentialitet, riktighet, spårbarhet och tillgänglighet i cyberrymden.
En stor eloge till FM för denna goda service!
Definitionen pekar mindre på styrning på organisatorisk men desto mer på konkreta säkerhetsåtgärder, alltså ganska långt från ledningssystem.
Åtgärderna ska vidtas i cyberrymden (med synonymer som cyberspace, cybermiljön, cyberarenan, cyberdomänen) som enligt begreppslistan är: Cyberrymden är den del av informationsmiljön som består av de sammanlänkade och av varandra beroende it-infrastrukturer, som möjliggör kommunikation, med tillhörande data och information.
Den inkluderar internet, intranät, telekommunikationssystem, it-system samt inbyggda processorer och styrenheter.
Jag uppfattar det som cyberrymden är den gemensamma tekniska infrastrukturen men inte informationen i sig.
Från SÄPO kom efter en knapp vecka det något förvånande svaret: Hej, Säkerhetspolisen har ingen egen definition av begreppet cyber.
Det är inte ett begrepp som används primärt i vår verksamhet.
Förvånande eftersom ”cyber” förekommer flitigt på SÄPO:s webbplats, i olika rapporter och utåtriktad verksamhet som och för att bara ta ett par exempel.
Slutligen då MSB där svaret satt hårdare inne och inte kom förrän efter en dryg månad: Hej!
Ordet ”cyber ”kan inte anses stå för sig själv, utan används av MSB i sammansättning med andra ord, främst ”cybersäkerhet”.
Beroende på sammanhanget använder MSB ordet ”cybersäkerhet” med något olika betydelse: MSB har under flera år engagerat sig i terminologifrågor och stöttar bl.a.
SIS i arbetet med terminologi på informations- och cybersäkerhetsområdet.
MSB planerar inte att ta fram en egen definition av begreppet cyber, eller cybersäkerhet.
De definitioner/beskrivningar som myndigheten behöver kunna använda är, enligt ovan, bl.a.
från regeringens strategier, standardiseringsorgan (ex SIS), FN, EU samt Nato.
Cyber/cybersäkerhet förekommer i dag i förslag till reglering från EU (den s.k.
cybersäkerhetsakten, COM(2017) 477 final).
Myndigheten har därmed tre olika definitioner för olika sammanhang och har dessutom gjort en egen utveckling av den definition som fanns med i 2017 år nationella strategi.
Detta blir aningen motsägelsefullt när man samtidigt säger sig använda befintliga definitioner/beskrivningar och inte utveckla egna.
Formuleringen om SIS undviker elegant att MSB faktiskt inte använder den definition av cybersäkerhet (”cyber” i sig själv ingår inte) som finns terminologin SIS-TR 50:2015 (tyvärr är jag inte länka till terminologin eftersom den inte är fritt tillgänglig): bevarande av konfidentialitet, riktighet och tillgänglighet hos information i cyberrymden Cyberrymden;telerymden har i sin tur definitionen: abstrakt rymd som utgörs av digital kommunikation mellan datornätverk och där all digital information befinner sig Med den förtydligande kommentaren: Cyberrymden innefattar all kommunikation via internet samt telekommunikation.
En cyberrymd möjliggörs av den hårdvara och de system som ingår i en infrastruktur.
Jag är inte alldeles säker på att jag förstår vad detta exakt betyder.
Terminologin verkar dock ha den implicita uppfattningen att ”cyber” har med internationella konflikter och antagonism att göra vilket markeras redan i det inledande stycket till kapitlet om Samhällets informations- och cybersäkerhet: Varje dag utsätts svenska myndigheter och företag för cyberattacker.
Detta har bidragit till att bl.a.
frågor om cybersäkerhet och cyberresiliens har blivit mer aktuella inom olika branscher.
Sverige, liksom många andra europeiska länder, har på senare år börjat uppmärksamma risken för cyberattacker som en global och militär hotbild.
Det är därför viktigt att introducera cybersäkerhet inom olika branscher för att öka förståelsen och kompetensen för hur man kan skydda information från dessa hot.
Cybersäkerheten har medfört nya termer, men eftersom området fortfarande är nytt kan dessa termer komma att ändras och det kommer att krävas fortsatt terminologiutredning inom detta område.
Det verkar inte råda någon konsensus om skillnaden mellan informations- och cybersäkerhet, utan de två termerna används ibland omväxlande.
Ibland används termen informationssäkerhet när inriktningen ligger på informationen och termen cybersäkerhet när det handlar om den digitala domänen; ibland ses cybersäkerhet som informationssäkerhet på en global nivå .
Samtliga sammansatta ord med förleden cyber som presenteras i terminologin är företeelser som skulle kunna ingå i en krigföring eller terrorism på hög nivå (cyberattack, cyberavskräckande, cyberförsvar, cyberkrigföring, cyberoperation osv.).
I en lustig cirkelrörelse hänvisar man i en fotnot till SOU 2015:23 (NISU) och den begreppsdiskussion som förs där på sidan 40: En grundläggande definitionsfråga för hela den svenska informationssäkerhetsnomenklaturen handlar just om innebörden av det svenska begreppet ”informationssäkerhet”.
På engelska är detta begrepp uppdelat i två betydelser dels ”Information Security” som utgår från ett tekniskt perspektiv och återspeglas i ISO 27001-standarden, dels i ”Information Assurance” som utgår från ett nationellt säkerhetsperspektiv och där även organisation och policy ingår.
I tidigare utredningsarbeten gjordes försök att särskilja det senare begreppet från det förra genom att introducera termen ”informationssäkring”, vilket också infördes i SIS-nomenklatur.
Begreppet – liksom den förenklade varianten ”övergripande informationssäkerhet” – vann aldrig någon uppslutning i det offentliga Sverige då det ansågs för komplicerat att beskriva.
Följden har dock blivit olyckliga sammanblandningar i begreppens innebörd – inte minst i internationella sammanhang.
Cybersäkerhetsbegreppet är mer strategiskt och fokuserar mer på nationella och internationella nätverk.
Därmed har cybersäkerhet en större internationell räckvidd med t.ex.
folkrättsliga frågeställningar och normer på cyberområdet än det mer tekniska informationssäkerhetsbegreppet.
Det senare har en större tyngdpunkt mot hård- och mjukvara samt standardisering.
Motivet för fokus mot cybersäkerhet är att det är på detta område som statsmaktsperspektivet behöver utvecklas då frågeställningarna ligger ovanför myndigheternas ansvarsområden, samt att avdömningar mellan olika sektorsstrategier kan behöva göras inom ramen för ett svenskt koherent nationellt förhållningssätt gentemot EU och andra internationella .
Detta är ju ett märkligt stycke där den uttalat organisatoriskt inriktade ISO 27001 framställs som fokuserade på tekniska åtgärder (!).
Cybersäkerhet sägs vara mer ”strategiskt” och verkande på nationell nivå.
Till att detta kommer alla företag som använder ”cyber” i olika konstellationer för sin produkter och tjänster som knappast är på nationell nivå.
Sammantaget är användningen av begreppet ”cyber” högst inkonsistent och rör sig i en skala från å ena sidan normal it-säkerhet med vissa tillägg av informationssäkerhet till en del av det nationella försvaret.
Vissa gemensamma drag tycks finnas som att det gäller digital infrastruktur i någon bemärkelse samt den renodlade inriktningen mot antagonistiska hot.
I övrigt är det ganska fritt valt vilken betydelse man vill ge ordet.
Är denna otydlighet då egentligen ett problem?
Det kanske behövs ett sådant här amorft begrepp som beskriver en amorf verklighet och inte enbart för sexa till vilken konferensrubrik eller vilket tjänsteutbud i it-sektorn som helst?
Kanske inte men jag måste ändå resa invändningen att om att vårt, enligt många, största hot förtjänar en något mer entydig beskrivning.
Att måla upp ett förödande hot mot nationen och mot enskilda men göra det i så oklara termer är inte bra för samhällsklimatet i en demokrati (vilket jag skrivit om tidigare).
Inte heller är det en fördel för kunder att erbjuda tjänster där det inte närmare går att avgöra vad tjänsten egentligen består i. Jag tycker därför att det är en rimlig önskan att åtminstone centrala myndigheter sätter sig ner för att begreppsmodellera vad ”cyber” är och vilken relation cybersäkerhet har till informationssäkerhet.
Betänk språklagens krav på myndigheterna: Språket i offentlig verksamhet ska vara vårdat, enkelt och begripligt.
”Inget är så starkt som en idé, vars tid har kommit” skrev Victor Hugo.
Egentligen tycker jag att den nu inte längre så nya verksamhetsbaserade arkivredovisningen (RA-FS 2008:4) borde ha fått större genomslag i kommunsverige vid det här laget.
Visst, det är många kommuner som infört verksamhetsbaserad arkivredovisning och även börjat skruva till sina dokumenthanteringsplaner (a k a informationsförvaltningsplaner), men därifrån till att arkivredovisningen verkligen implementeras såväl tekniskt som verksamhetsmässigt känns vägen lång.
Kanske ligger en del av förklaringen i att arkivvärlden tidigare in behövt förklara saker för verksamheten på samma sätt tidigare.
I den gamla pappersbaserade världen (och den hängde med längre än många tror i den kommunala världen) skötte arkivarien eventuella sökningar efter avställda handlingar.
Hän behövde inte förklara så mycket för verksamheten och verksamheten behövde heller inte veta så mycket om hur söket faktiskt gick till.
I och med RA-FS 2008:4 tvingas arkivvärlden och resten av verksamheten mötas på ett helt annat sätt än tidigare.
Intentionerna med RA-FS 2008:4 är ju, vilket framgår tydligt av vägledningen ”Redovisa verksamhetsinformation”, att arkivredovisningen (och då främst klassificeringsstrukturen) ska styra informationshantering i såväl diarium som verksamhetssystem.
Denna intention stöder jag för övrigt till fullo!
Men…som säkert många av er som läser Fias blogg vet så är det lättare sagt än gjort att skapa dylika styrningar.
Förutom det hästjobb som många av er lagt ned på att beskriva verksamhetsprocesser, uppdatera dokumenthanteringsplaner, eventuellt försöka väva in informationssäkerhetsperspektivet (inklusive dataskydd) så ska ni dessutom lyckas få femtioelva systemägare, chefer m fl att förstå vikten av att detta arbete genomförs samt implementeras i diverse system/tjänster.
Jag är själv ingen ”äkta” arkivarie, utan har närmat mig disciplinen via diverse jobb inom informationshantering och verksamhetsutveckling.
Jag vill ändå tro att jag har lyckats förstå ganska mycket av RA-FS 2008:4 och vägledningen som nämndes ovan.
Jag var bland annat med och startade upp arbetet med att införa den nya arkivredovisningen hos Myndigheten för samhällsskydd och beredskap (MSB).
Redan då, 2011, kände jag att det var tufft att förklara det värde den skulle kunna tillföra verksamheten.
Det var snarare än fråga om att uppfylla Riksarkivets krav på myndigheten.
Eftersom det pågick ett arbete med att införa ett ledningssystem för informationssäkerhet (LIS) på MSB så väcktes idén att försöka slå två flugor i en smäll.
Tanken var att en dokumenthanteringsplan rimligen borde kunna beskriva hanteringsregler utifrån såväl ett arkivperspektiv som ett informationssäkerhetsperspektiv.
Många av de krav som ställs från respektive håll är trots allt överlappande.
Eftersom jag jobbat en tid på ett bolag som hette Astrakan och därför arbetet en del med processmodellering kändes det naturligt att försöka beskriva sambanden med hjälp av grafiska processer I och med Riksarkivets föreskrift (RA-FS) 2008:4 ska myndigheter i Sverige redovisa sina handlingar utifrån verksamhetens processer istället för enligt det gamla klassificeringsschemat från 1903.
Denna omvälvning har också på allvar börjat slå igenom i kommunsverige, vilket på många sätt är bra och egentligen bara en återspegling av den verkliga informationshanteringen.Dock upplever jag fortfarande, och jag tror att jag är i relativt stort sällskap, att det är svårt att pedagogiskt förklara för kommunens verksamheter hur arkivredovisningen kan hjälpa till att styra upp informationshanteringen annat än i själva arkivet.
Därför har jag tagit fram följande grafiska presentation.
Jag går in på LinkedIn eftersom det ingår i jobbet att hålla sig uppdaterad, storknar aningen av de hundratals bilder på människor som står och sitter på olika podier, framför olika power point-presentationer, runt olika sammanträdesbord (hoppas på en etnologisk studie av denna subkultur snart).
Vid de flesta inloggningar tillförs jag ingen ny och värdefull information utan det är mer samma känsla som då jag oengagerat bläddrar igenom lokaltidningen, kanske för att jag fått min beskärda del av denna typ av sammanhang.
Men så ibland dyker det upp något som kittlar till i sinnet.
Som när jag såg en av de inte så få offentligt anställda digitaliseringsmissionärerna (jag menar inte att vara ironisk – jag vet helt enkelt inte vad jag ska använda för begrepp för den här nya rollen) hävda att det var ”säkerhetsmupparna” som hindrat den digitala utvecklingen och att dessa muppar nu borde skärpa sig.
Jag kände mig träffad, jag är nog en del i muppkollektivet även om jag brukar kalla oss säkerhetsnördar.
Visserligen har jag idogt bedrivit en självkritik mot säkerhetsnörderiet, exempelvis i nio blogginlägg om varför säkerhetsarbetet inte funkar (del 1 : ) men är det verkligen säkerhetsarbetet som försvårat digitaliseringen i Sverige?
Bilden av motsättningen mellan å ena sidan digitalisering, å andra säkerhet återkommer ständigt och närs från båda sidor.
Ett purfärskt och illustrativt exempel där säkerhetssidan målar upp den hotfulla digitaliseringen är denna debattartikel.
Här presenteras den återkommande tropen att det finns en ursprunglig och manuell hantering som default är den säkrare .
Jag delar inte den uppfattningen.
Nuläget är för det första inte särskilt säkert (ett understatement) och för det andra är knappast digitalisering ett av många alternativ utan alternativ.
De som hoppas på att hejda utvecklingen av digitalisering hoppas med största sannolikhet förgäves.
Men grundattityden att förändring innebär en ökad risk försvårar av naturliga skäl kommunikationen med de som torgför digitaliseringens välsignelser.
För mig framstår det litet som två grupper, säkerhetsnördar och digitaliseringsmuppar, som delvis tappat orienteringen och börjat se sin egen mission som ett ändamål i sig själv.
Tendensen förstärks av att det finns starka ekonomiska intressen bakom båda riktningarna.
Att det dessutom uppfattas finnas icke helt oväsentliga politiska poäng i att som landstingspolitiker hävda att man står för det moderna digitala samhället eller att man som rikspolitiker frammanar behovet av skydd mot onda makter gör diket ännu djupare.
Hur stor är i realiteten intressekonflikten och hur mycket är säkerheten gruset i digitaliseringsmaskineriet?
När jag läser ESV:s uppföljningsrapport från förra veckan angående digitaliseringssträvandena i offentlig anges inte säkerhetsnördarna som förklaringen till den för sega utvecklingen.
Istället är det regeringens ineffektiva strategiska styrning av infrastrukturen, bristande samordning och bristande organisatorisk mognad som lyfts fram som hinder.
Det är ju litet nedslående med tanke på de många rara miljoner som plöjts ner i digitalisering och som inte lett till önskat resultat.
Samtidigt är det ju en fördel att det inte främst är mer pengar som behövs utan en tydligare riktning.
Själv skulle jag vilja hävda att vare sig säkerhet eller digitalisering har ett autonomt existensberättigande, endast kopplingen till verksamhets- eller samhällsnytta kan skapa anledning att utveckla säkerhet eller att digitalisera.
Det är rimligt att tona ner intressekonflikten eftersom det finns fler likheter än skillnader mellan arterna säkerhets- respektive digitaliseringsmupp och deras habitat.
I båda fallen saknas styrmodeller nationellt, konkret strategisk inriktning och ett evidensbaserat kunskapsområde för praktisk tillämpning.
En negativ likhet är att betydelsen av integritet sällan varit djupt känd av någon av arterna.
För att komma framåt tror jag att det är viktigt att skapa en gemensam insikt om nödvändigheten av både och, både digitalisering och säkerhet.
Då kan en attitydförskjutning ske inom båda kolonierna där respekt för kärnverksamheternas behov prioriteras, inte den egna gruppens agenda.
Därmed kan också grunden läggas för gemensamma strategier, styrmodeller och kunskap – allt det som saknas idag.
Jag är inte för att gå över till digitala val – det skulle innebära alldeles för stora risker… Hälsningar från en säkerhetsnörd.
Som så många andra som arbetar med informationssäkerhet läser jag nu med stort intresse den granskning som på regeringens uppdrag genomförts av Transportstyrelsens upphandling av förändrad it- .
Det finns ett antal faktorer till den olyckliga händelseutvecklingen som förtjänar uppmärksamhet och säkert kommer att fortsätta att penetreras.
En aspekt som jag menar borde analyseras närmare än vad som skett i granskningen är myndigheters (och även andra organisationers) behov av generell kontroll över sin information.
För mig framstår att ha kontroll över vilken information som finns i organisation samt hur den hanteras som den mest basala förutsättningen för att uppnå en fungerande informationssäkerhet.
För myndigheter är detta inte krav kopplat enbart till informationssäkerhet utan finns även i offentlighetslagstiftningen och i arkivlagen.
De allmänna handlingarna ska vara redovisade och snabbt återsökbara.
I praktiken innebär det att en myndighet (inklusive kommuner) måste ha kontroll över den information som skapas, inkommer och på olika sätt hanteras i verksamheten.
Det hjälpmedel som används för att skapa den eftersträvade kontrollen kallas ofta dokumenthanterings- eller informationshanteringsplan.
Det finns inget legalt krav på att ta fram dessa planer men realistiskt sett är det nödvändigt att ha den här typen av planer, oavsett vad de kallas, för att kunna systematiskt kunna beskriva vilken information som finns.
I fallet Transportstyrelsen skulle ett sådant verktyg kunnat ge ett bra stöd inför en eventuell outsourcing eftersom, rätt utformad, skulle planen ha identifierat vilken information som skulle ingå i upphandlingen och vilket krav på skydd ur olika hänseenden (säkerhetsskydd, personuppgifter m.m.)
som måste tillgodoses.
Mitt intryck är att många myndigheter inte har de informationshanteringsplaner som vore nödvändiga för kontroll av informationshantering.
De planer jag sett är ofta antingen fragmentariska (d.v.s.
omfattar endast delar av verksamhetens informationshantering) eller inaktuella.
Vanligt är också att de i alltför hög grad bara redovisar information som ser ut som ”dokument”.
Detta mitt intryck kan vara helt fel men jag tycker det vore en angelägen uppgift för Riksarkivet att utreda och göra till en prioriterad fråga.
Med konsekvent användning av informationshanteringsplaner skulle inte bara offentlighets- och arkivbehovet kunna tas om hand utan det skulle också kunna utgöra ett väsentligt steg mot en stärkt informationssäkerhet.
Och vara ett konkret samarbetsområde för informationssäkerhetsmänniskor och arkivarier!
I all enkelhet tror jag inte att svensk förvaltning kommer att klara den pågående digitaliseringen utan betydligt bättre samordning, i annat fall kommer händelser liknande den på Transportstyrelsen att bli återkommande.
På trettiotalet presenterade Erwin Schrödinger ett tankeexperiment som illustrerar en tänkt paradox där väldigt små fysikaliska partiklar kan befinna sig i ett så kallat överlagrat tillstånd.
Konsekvensen av paradoxen är att en katt i ett slutet rum tillsammans med en instabil atomkärna skulle kunna uppfattas som samtidigt död och levande.
Jag tänker inte fördjupa mig ytterligare i kvantfysiken.
Ur mitt perspektiv, som är att kontroll över informationen är centralpunkten både för informationssäkerhet och informationsförvaltning inklusive arkiv, finns det allt fler tillfällen då det är rimligt att använda tankeexperimentet som metafor och prata om Schrödingers information.
Det är innebär information som både finns och inte finns på samma gång, något som är negativt för den som vill ha kontroll över sin information.
Låt mig ta några exempel.
Det första exemplet är kanske det mest uppenbara och gäller formatet.
Trots att jag är mycket pro-digitalisering så får ändå pappret och dess föregångare pergament m.m.
sägas ha den stora fördelen att informationen som haft papper som bärare har varit möjlig att ta del av över seklerna.
I och med att bärarna blivit digitala sluts cirkeln på sätt och vis då information precis som i gamla glömda teckenformer blir omöjlig att ta del av även om den faktiskt finns.
Jag tänker då på den information som finns lagrat på medier och i format som inte längre går att läsa.
Diskar som står och dammar, format som ligger som bilagor till mail, gamla applikationer som inte migrerats med till nutiden– oräkneliga exempel kan göras.
Trots att de inte kan läsas ligger de kvar för ingen riktigt förmår att ta ställning och hålla i yxan.
Oförmågan att ta tag i yxan och faktiskt gallra är mitt andra exempel.
Gallring har kallats arkivariens svåraste uppgift men jag ska inte här gå in på den i och för sig mycket väsentliga frågan om vad som ska gallras utan själva gallringsrutinen.
Förutsättningen i myndigheter är att allmänna handlingar (vilket generellt är merparten av den information som myndigheten hanterar) ska bevaras.
Undantaget är när ett gallringsbeslut fattats som kan göras av ett antal skäl vilket beskrivs i en av Riksarkivets få vägledande skrifter: Vanligen syftar gallring till att myndighetens arkiv inte skall tyngas av allmänna handlingar som saknar påtagligt informationsvärde, allmänna handlingar som motsvaras av annan dokumentation i det egna arkivet eller andras arkiv, eller allmänna handlingar som har ett informationsvärde som är starkt begränsat i tiden.
I fråga om personuppgifter kan gallring ibland syfta till att skydda enskildas personliga integritet.
Rent ekonomiska bedömningar kan också ges mycket stor vikt, t ex när man har serier med få intressanta uppgifter i relation till .
Det som är själva poängen med gallringsbeslutet är att handlingarna sedan verkligen också förstörs.
Ett gallringsbeslut är inte ett förslag utan handlingarna ska faktiskt som Riksarkivet skriver ske utan dröjsmål när gallringsfristen har löpt ut eller gallringstidpunkten har uppnåtts.
Detta efterlevs inte alltid.
Ibland kan gallringsbeslut vara formulerade som att handlingar ”får” gallras vid en viss tidpunkt vilket kan ge intryck av att alternativet att handlingarna bevaras också finns.
Inte sällan har jag i kommuner, landstings och myndigheters bestånd påträffat information som borde varit gallrad och därmed, sett till de fattade besluten, inte finns.
Detta skapar naturligtvis en stor potentiell brist på rättssäkerhet för den enskilde där myndighetsbeslut säger att exempelvis en information rörande den enskilde inte finns men det sedan visar sig att den ändå gör det.
Det rimmar också mycket illa med dataskyddsförordningen och ger dessutom ett intryck av att kommunen/myndigheten har en dålig ordning där man inte efterlever fattade beslut.
Och hur skyddas en information som både finns och inte finns?
Ytterligare ett exempel som jag stött på är hanteringen av loggar.
Loggar bör av integritetsskäl i de flesta fall gallras efter kort tid, default 3 månader om inte något annat framkommit vid informationsklassning, och då verkligen tas bort.
I många verksamheter separeras dock inte loggarna från verksamhetsinformationen utan följer med i den allmänna back upen vilket gör att de ligger kvar år efter år.
Integritetskänslig information från tjänster och passersystem som följer den anställdes alla aktiviteter på jobbet kan finnas kvar trots att många arbetsgivare har loggpolicys som säger något helt annat.
Och för en myndighet blir det naturligtvis prekärt om loggarna begärs ut som allmän handling och man då måste ta ställning till om de finns eller inte finns trots att de rent faktiskt finns.
Det mest övergripande exemplet som jag redan tidigare varit inne på i en är all den information som finns i en myndighet och som bedömts inte vara allmänna handlingar.
Denna andel av den totala informationshanteringen ser jag som i stark tillväxt på gemensamma file servers, i olika egeninitierade molntjänst typ Dropbox och alla möjliga andra former.
Informationen fångas inte upp i dokumenthanteringsplaner eller andra verktyg men finns likaväl.
Jag har inga patentlösningar på hur de här olika situationerna ska hanteras.
Min spaning är helt enkelt bara att det är viktigt att vi inte har information som liknar katten i Schrödingers tankeexperiment.
Ingen kan idag förneka vikten av att förbättra informationssäkerheten i de samhällsviktiga verksamheterna.
Ett antal utredningar har under de senaste tre åren utmynnat i olika förslag på hur detta ska ske.
Tyvärr har fokus legat allt för mycket på reaktiva åtgärder som incidentrapportering och allt för litet på det förebyggande arbetet, detta trots att det ofta påpekats att de stora säkerhetsvinsterna kan göras genom olika typer av incidenter och säkerhetsproblem motverkas innan de uppstår.
För mig framstår den i särklass viktigaste förebyggande åtgärden att tillräcklig kompetens finns för att hantera informationssäkerhetsrelaterade frågor på olika nivåer.
För att uppnå detta krävs både episteme, fronesis och techne.
Det vill säga det måste finnas en vetenskaplig grund för att de åtgärder som vidtas är effektiva i förhållande till de problem de avses att lösa, att det måste finnas en praktisk kunskap hur fungerandeska bedrivas och det måste finnas en djupare förståelse att nya situationer kan hanteras.
Jag skulle vilja hävda att detta idag i allt för hög grad saknas.
Konkret kommer ett stort antal organisationers ledningar behöver ett kompetent stöd för att styra sittså att det motsvarar de risker som verksamheten är utsatt för och för att kunna tillvarata alla nya möjligheter som den pågående digitaliseringen innebär.
Jag pratar alltså inte om it-säkerhet som är inriktad på tekniska åtgärder utan informationssäkerhet som handlar om verksamhetsstyrning och information.
Utöver befintliga krav kommer även nya från bland annat dataskyddsförordningen, NIS, civilt försvar och en ny säkerhetsskyddslag.
Det gäller c.a.
350 myndigheter, 290 kommuner, ett tjugotal landsting/regioner och ett okänt antal privata aktörer som medverkar till att upprätthålla samhällsviktiga verksamhet.
En av de vanligaste frågorna jag får när jag besöker kommuner, regioner och myndigheter är vilka utbildningsmöjligheter som finns.
Hos de som får allt tyngre ansvar för det faktiskat finns såvitt jag kan bedöma en allt större medvetenhet om kompetensbehovet.
Till viss del fanns denna insikt även i den strategi för samhällets som MSB tog fram tillsammans med andra myndigheter.
Tyvärr har inte insikten utmynnat i några konkreta satsningar för att stödja utvecklandet av professionsinriktade utbildningar.
Även om behovet av kompetens är känt anvisas få vägar för kompetensförsörjningen.
Vare sig i den nationella säkerhetsstrategin eller i digitaliseringsstrategin, båda presenterade av regeringen 2017, nämns något om kompetensförsörjning inom informationssäkerhetsområdet.
Utredningar som SOU 2015:23 , SOU 2017:36 SOU 2017:114 liksom lagrådsremissen om ny säkerhetsskyddslag är lika renons på förslag annat än de som gäller utpekade tillsynsmyndigheter.
Den nationella strategin för informations- och cyberssäkerhet (Skr.
2016/17:213) skulle kunna inge ett visst hopp eftersom den faktiskt innehåller ett avsnitt som heter Öka kunskapen och främja kompetensutvecklingen.
Hoppet om att finna ett mål att tillgodose behovet av professionell kompetens generellt avtar dock snabbt då det visar sig att det som avses är att informera organisationer om sårbarheter och behovet av säkerhetsåtgärder samt att höja den enskilda användarens kunskap.
Samtliga strategier och utredningar tycks dock förutsätta att den kompetens som behövs kommer att finnas utan vidare styrning.
Jag delar inte denna tilltro till den osynliga handen.
Istället ser jag att vi står inför ett mycket stort och komplicerat kompetensförsörjningsbehov.
Bara det ett nyrekryteringsbehov av något hundratal informationssäkerhetsspecialister årligen till kommuner och landsting/regioner som kanske har samhällets mest komplexa informationssäkerhetsbehov måste uppmärksammas.
Många av oss som idag är verksamma inom informationssäkerhetsområdet saknar formell utbildning för våra jobb eftersom utbildningar helt enkelt inte funnits i någon högre grad (jag jämställer inte olika certifieringar med högskoleutbildning även om de säkert är bra på sitt sätt).
Därav ett stort fortbildningsbehov.
De kurser på högskolenivå som erbjuds idag via en sökning på antagning.se för hösten 2018 är antingen korta kurser eller har en renodlad teknisk inriktning.
Undantagen är masterutbildningar i Örebro som har ett handfull platser samt i Luleå där ett organisatoriskt perspektiv tillförs en huvudsak it-inriktad utbildning.
Detta räcker naturligtvis inte långt.
Mitt förslag är därför att en utredning tillsätts som tillåts koncentrera sig på hur behovet av kunskap och kompetens inom informationssäkerhetsområdet ska tillgodoses under de närmaste åren.
Utgångspunkten är att staten måste ta ett betydligt större ansvar för kunskapsförsörjning på en vetenskaplig nivå och för att kunskapen omsätts till kompetenshöjande åtgärder för prioriterade målgrupper i samhället.
Målen bör vara att det gemensamma utbildningsplaner för en treårig högskoleutbildning som informationssäkerhetsspecialist med inriktning på organisation och information, att det utbildas 50 informationssäkerhetsspecialister per år samt att varje kommun har tillgång till minimum en halvtids informationssäkerhetsspecialist.
Inom detta fält kan även utbildningar av typen ”informationssäkerhetsspecialist kommunal verksamhet” och ”informationssäkerhetsspecialist hälso- och sjukvård” kunna finnas.
Även fortbildningar för redan yrkesverksamma bör ingå i ett kunskapslyft för informationssäkerhetsområdet.
Utan denna typ av insats har jag mycket svårt att se hur alla andra mål för att höja samhällets informationssäkerhet ska kunna realiseras.

Alla våra moderna samhällsbärande system bärs upp av den nya informationsteknologin.
Det går inte att organisera fram cybersäkerhet utan det krävs resursförstärkningar.
Enligt x mening är det av strategisk betydelse att kunna säkerställa kompetensförsörjningen inom informationssäkerhetsområdet.
X konstaterar också att staten behöver egen och unik kompetens.
Staten har också det yttersta ansvaret för den nationella säkerheten, vilket ställer särskilda krav.
Staten förfogar över en rad administrativa, ekonomiska och informativa styrmedel.
I praktiken är dessa relativt svagt utvecklade på informationssäkerhetsområdet.
Vår sårbarhet ökar och vi har stora brister trots att stora åtgärder vidtagits.
Såsom beskrivet i skrivelsen Nationell strategi för samhällets informations- och cybersäkerhet (Skr.
2016/17:213, Justitiedepartementet) där definitionen är ”informationssäkerhet som avser digital information”.
För att inte riskera en snäv tolkning som att det enbart omfattar it- och nätverkssäkerhet anser MSB att cybersäkerhet i detta sammanhang avser säkerhetsåtgärder på samhällelig strategisk nivå, främst reglerande och samordnade åtgärder, som behövs så att samhällets aktörer kan bedrivapå organisatorisk nivå, främst för information som hanteras digitalt.
Såsom beskrivet i Sveriges inlaga till FN:s generalförsamling att cybersäkerhet tydligare beskriver de skyddsåtgärder som innefattar konfidentialitet, tillgänglighet och riktighet för att inte blandas samman med den betydelse av informationssäkerhet som används av vissa länder eller organisationer som en del av en doktrin där synen att informationsinnehållet som sådant är ett hot.
I de fall MSB har samverkan med andra organisationer (såsom EU, NATO och FN) kan viss annan betydelse av cybersäkerhet förekomma, utefter de samverkande organisationernas definition av begreppet.

måste bör eller och

Meny Författare: Inläggsnavigering

MENU MENU Fia Ewald Postat av Postad i , , , Tagged , , , Postat av Postad i , , , Tagged , , , , , , Postat av Postad i , , , , , Tagged , , , , , , Postat av Postad i , , , Tagged , , , , , postat av Postad i , , Tagged , , , , , Postat av → Postad i , , Tagged , , , , Postat av Postad i , , Tagged , , Postat av Postad i , , , Tagged , , Postat av Postad i , , Tagged , , , Postat av Postad i , , , , , , , Tagged , , , , , , , ← → Sök efter:

Förslag till informationssäkerhetspolitik.
Begrepp med definitioner för cyber Detta är ett gästinlägg av Fredrik Granholm, verksamhetsarkitekt i Sollefteå kommun. . the Informations- och cybersäkerhet i Sverige Informationssäkerhet för samhällsviktiga och digitala tjänster, reboot – omstart för den digitala förvaltningen

En mig närstående berättade att biblioteket där hen jobbar har en dystopihylla på barn- och ungdomsavdelningen.
Så populär är den dystopiska genren för barn att den kräver en egen hylla.
Jämfört med den yviga diskussionen om tysthetsnormen på bibliotek känns det här som en viktigare fråga för mig: varför har dystopin blivit ett så dominerande narrativ, så dominerande att även barn måste få en rejäl dos av dyster framtid?
Det är alltid svårt att bedöma sin nutid men detta är bara ett tecken på att vi för närvarande lever i en tid av ett ökande materiellt välstånd, längre livslängd, ett minskat terrorhot (i alla fall i Europa) och, sett i ett längre perspektiv, färre konflikter men med en känsla av att vi vandrar på avgrundens rand.
Egendomligt nog är oron i mindre grad riktad mot reella hot som klimatsituationen.
Undersökningar liknande den ger en ganska entydig bild av den bristande tilltron till framtiden bland unga.
Flera av senare tids mest populära serier som The handmaids tale (som bygger på min gamla favorit Atwoods bok) är också dystopier.
Inte bara barnen utan även vuxna antingen får sin redan dystra världsbild bekräftad eller influeras till en sådan via masskulturen.
Den dystopiska världsbilden fördystrar inte bara den enskilda människans liv utan avspeglar ett samhälle av rädda människor.
Att rädda människor är mer lättstyrda och mer beredda att underordna sig starka ledare som säger sig kunna erbjuda skydd är väl utforskat, bland annat av Zygmunt Bauman i verk som den Flytande rädslan.
Det förenande kännetecknet för dystopierna är ett auktoritärt styre vilket känns aktuellt även utanför fiktionens värld.
Kanske kan den skräck vi känner för de fiktiva tyrannierna i allt från Harry Potter till vuxenlitteratur omvandlas till en kraft för att förhindra auktoritära tendenser i verkligheten.
Efter att ha läst Timothy Snyders On tyranny, en kort bestseller med hög densitet, funderar jag över om dystopierna på ett olyckligt sätt medverkar till att vi accepterar auktoritära tendenser som oundvikliga.
De auktoritära tendensernas återkomst riskerar att urholka demokratin och på sikt leda till tyranni.
On tyranny beskriver faktorer som historiskt sett har berett vägen för tyranni och vad en ansvarsfull individ kan göra för att motverka att dessa faktorer får genomslagskraft.
Exemplen är hämtade dels från nazismens genombrott i Tyskland, dels det sovjetiska tyranniet.
On tyranny ger uppmaningar som att slå vakt om språket, om sanningen, om institutionerna, om integriteten, om yrkesetik och om att våga stå för en egen åsikt.
Börjar vi ge vika och kompromissa eller, ännu värre, agera som en del i den kraft som vill underminera demokrati, öppenhet och integritet så kan en snabb förflyttning ske till ett auktoritärt styrelseskick.
Exempel på rörelser i den riktningen finns i flera europeiska länder idag och det finns ingen anledning att tro att Sverige skulle vara immunt.
Det kan förtjäna att understrykas att förflyttningen mot auktoritära styren i dagens Europa i huvudsak varit interna angelägenheter och jag tänkte därför i detta sammanhang inte fokusera på vår stora stygga granne i öst utan på vad vi kan göra själva.
En möjlig slutsats utifrån den historiska erfarenheten är att ett samhälle som genomsyras av tillit är det som har bäst motståndskraft mot auktoritära styren.
Vi bör alltså inte hålla ögonen öppna enbart för de auktoritära tendenserna utan även för förhållanden i samhället som antingen skapar eller eroderar tillit.
Den tillitsdelegation som Ardalan Shekarabi tillsatt är sannolikt ett positivt steg i rätt riktning men otillräckligt eftersom målet för delegationens arbete är att ”styrningen av den offentliga förvaltningen i högre utsträckning ska baseras på ”.
Det handlar i huvudsak om saker som att föreslå nya styrmodeller i den offentliga förvaltningen som kan ersätta New public management-modeller som visat sig tämligen destruktiva, d.v.s.
tillit i förhållandet mellan regeringen och myndigheterna istället för detaljerade och mätbara kontrollprogram.
Mycket bra självklart men som sagt otillräckligt för att skapa tillit hos innevånarna i förhållande till staten eller samhället i ett vidare perspektiv.Ändå ska inte verkligen inte myndigheters roll som samhällsbärande institutioner underskattas.
Här finns ett samspel mellan att myndigheterna måste göra sitt yttersta för att få förtroende men också att medborgarna, media och debattörer accepterar ett ansvar för myndigheters och andra institutioners möjlighet att fungera.
En uppfordrande maning från Snyder som känns omodern i dagens skräniga politiska klimat är att vi måste försvara våra institutioner: It is the institutions that helps us to preserve decency.
Det här är naturligtvis ett något obekvämt perspektiv, vana som vi är att få gnälla på allt.
Jag är dock beredd att köpa Snyders resonemang och ska själv försöka komma bort från slentriangnällandet och bli mer konstruktiv.
Min övertygelse om att detta är viktigt stärktes då jag häromdagen läste en terrorismforskare hundvissla om att ”Sverige” accepterar att kriminella spränger polisbilar.
Med Snyders text färsk i minnet gjorde jag en ansträngning för att se något som helst positivt i att hen utnyttjar sin stora plattform för att göra den här typen av utspel som knappast har med verkligheten att göra.
Jag kan inte se någon sådan positiv effekt – bara att tilliten i samhället minskar.
Det måste dock poängteras att försvara institutioner som sådana inte innebär att de inte får kritiseras.
Tvärtom måste ett ständigt förbättringsarbete pågå men det måste ske med respekt för institutionerna som just institutioner.
Om vi kan vara överens om premissen att tillit är en motkraft mot auktoritära synsätt så vill jag nu gå ett steg längre och säga att vi som arbetar med frågor inom informationshantering, säkerhet och integritet har en möjlighet att i någon liten mån påverka en förflyttning i rätt riktning.
Det kräver dock kulturförskjutning inom kåren mot ett arbete tydligare grundat i värderingar och även en uppgörelse med den anti-intellektuella och delvis auktoritära hållning som alltför ofta präglar synsätt och arbetsformer.
Vikten av att förankra säkerhetsåtgärder i värderingar innebär en förståelse av att ”säkerhet” inte har ett existensberättigande i sig själv utan måste vara kopplat till att utveckla och skydda värden i organisationen, och på samhällsnivå; värden för samhället.
De materiella värdena är enkla att identifiera men i förhållandet till tillit så är det, som jag uppfattar det, framför allt öppenhet, korrekthet och respekt för den enskildes integritet.
Att detta inte faller sig alldeles naturligt för alla som jobbar med säkerhet förstår jag utifrån att ha blivit kallad både integritetsextremist och öppenhetsfundamentalist (med viss glimt i ögat) av kollegor.
Och att göra sig fri från det anti-intellektuella handlar väsentligen om att erkänna att informationshantering och säkerhet befinner sig i ett territorium av ständiga dilemman där förmågan till relevanta problemformuleringar är helt central för att vara en positiv kraft.
I detta ligger naturligtvis även förmågan att tänka och att kunna ta till sig ny kunskap samt att inse att det inte finns absoluta sanningar.
Även här föreställer jag mig en ganska mödosam process för att utveckla kåren mot en mer ändamålsenlig kultur.
Låt mig ta några exempel på frågor där säkerhetsarbete kan stärka eller stjälpa tilliten.
Den mest näraliggande proberstenen är dataskyddsförordningen som träder i kraft i maj och vars syfte är stärka den personliga integriteten (och den gemensamma europeiska marknaden).
Vi är väl ett antal som både arbetat med informationssäkerhet och integritetsfrågor, t.ex.
som PUO, men min personliga erfarenhet är att integritet försätter många säkerhetsmänniskor i ett ambivalent tillstånd.
Å ena sidan finns det redan idag lagstiftning som ska skydda integriteten och som förutsätter att informationssäkerheten medverkar till detta, å andra sidan är åtgärder som olika typer övervakning centrala i säkerhetsarbetet.
Integritet och övervakning går inte att förena utan en djupare analys där det måste finnas en beredskap för att den övervakning som skulle vara eftersträvansvärd ur ett rent säkerhetsperspektiv inte går att införa på grund av den inskränker den personliga integriteten.
Den lagstiftning som redan finns angående integritetsskydd efterlevs i många fall inte.
Jag tror inte heller att lagstiftning är tillräckligt utan att relationen mellan värderingar och lagstiftning är mer komplex än vad som framskymtar i dessa mycket seniora jurister .
Värdering och lagstiftning är helt enkelt inte synonymt (för att ta det mest slitna exemplet otrohet som inte är förbjudet men som det finns en stark värdering kring).
För att kunna hantera det återkommande dilemmat mellan integritet (som lagstiftningen kräver) och övervakning måste man ha stöd i värderingar, att verkligen bottna i att integritet är ett viktigt värde och själv aktivt verka för att förbättra den.
Lyckas man med det bidrar man till tilliten inte bara genom att slå vakt om integriteten utan även genom att på ett seriöst och öppet sätt visa att världen inte är svart-vitt utan kräver avvägningar och kompromisser.
Integritet har en tendens att frammana svart-vita resonemang och dessutom märkliga motsatsförhållanden som leder tanken fel.
Jag har tidigare skrivit om den falska dikotomi (ett argumentationsfel där det förutsätts att det bara finns två alternativ, men där det egentligen skulle kunna vara så att båda dessa alternativ är falska eller att dessa inte behöver utesluta varandra) som använts när det gäller integriteten i sjukvården.
Där har nu under 25 år patientsäkerhet ställts mot integritet trots att det är fullt möjligt att uppnå både och.
Denna falska motsättning har upprätthållits av sjukvårdens makthavare på olika nivåer och av programvaruleverantörer och är märkligt seglivad och reproduceras i alla sammanhang rörande digitalisering och e-hälsa, explicit och implicit.
Ett nytt exempel på detta är den rapport som Myndigheten för vård- och omsorgsanalys publicerade i . Rapportens syfte är att beskriva till vilket man haft stöd i enkätundersökning.
Trots den goda intentionen att ta reda på befolkningens inställning till tillgången till vårduppgifter menar jag att man hamnar i ett etiskt moras när man läser enkätens beskrivning av verkligheten och de frågor som respondenterna förväntas besvara.
Ett exempel på bakgrund: Sjukvårdspersonal har inte alltid tillgång till dina journaler som förts på andra vårdenheter.
Till exempel kan det vara så att läkaren på din vårdcentral inte kan se journalen från specialistläkare som du träffat på sjukhus.
Nu tas initiativ för att se till att olika vårdenheter ska kunna se varandras journaler, så att den vårdpersonal du träffar har tillgång till viktig information om dig.
Det är bara personal som deltar i vården av dig eller som på andra sätt behöver uppgifterna för sitt arbete som har rätt att läsa din journal.
Men detta kan ändå medföra en ökad risk att personal som inte har rätt till det läser dina uppgifter.
Redan beskrivningen sätts förutsättningen att patienten måste gå med på en ökad risk för obehörig åtkomst för att få den självklara nyttan av att behöriga vårdgivare ska få rätt underlag för sin behandling.
Samtidigt beskrivs den obehöriga åtkomsten som ett undantag Andra studier och källor pekar emellertid på att hanteringen av digitala hälsouppgifter inte alltid lever upp till dessa förväntningar på säker hantering.
trots att det är väl känt inte minst genom Datainspektionens försorg att personal som inte alls behöver det har tillgång till känslig information i sjukvården är regel idag, inte ett undantag.
När respondenten får frågor som om gissar jag att flertalet förutsätter att det endast är personal som aktivt deltar i respondentens vård som avses.
Den falska dikotomin finns ständigt som en bakgrund som när man i intervjuerna frammanar en situation på liv och död: Anser du att all vårdpersonal som du kommer i kontakt med bör kunna se (allt) ditt journalinnehåll?
a. Vilka uppgifter anser du bör vara synliga – om något – för vårdpersonal på till exempel akutmottagningen?
istället för att fråga om respondenten anser att alla inom en region inklusive fotvårdsterapeuter bör få se din psykjournal.
Min generella invändning mot rapporten, vid sidan om den falska dikotomin, är att den riktar hypotetiska frågor om specifika förhållanden där respondenterna med största sannolikhet har mycket litet kunskap som hur informationshanteringen sker, vårdens organisation och rådande säkerhets- och integritetsförhållanden.
En radikal tanke är att föreställa sig att enkäten utformats utifrån dagens verkliga situation med frågor som: Hur upplever du att tusentals anställda som inte alls deltar i din vård har tillgång till all vårdinformation och det heller inte finns rutiner för att i efterhand på ett rimligt effektivt sätt kontrollera eventuell felaktig åtkomst?
Detta innebär också en möjlighet att förändra information så att du riskerar allvarlig felbehandling.
Jag tror att den typen att frågor skulle ge en mer rättvisande bild av hur människor faktiskt bedömer sin önskan om integritet.
Svarsfrekvensen når inte upp till 30 procent vilket kan vara ett tecken på att många tilltänkta respondenter uppfattade sin förmåga att besvara frågorna som begränsad.
Det har inte utgjort något hinder för de slutsatser som presenteras i rapporten.
Jag kommer säkert att återkomma till den här rapporten då den trots sina brister och luddiga slutsatser med säkerhet kommer att användas i olika e-hälsosammanhang som ett stöd för lösningar med bristfälliga integritetskrav.
Ur ett tillitsperspektiv är det också negativt inte bara på det sätt som beskrivs i rapporten: Westins många studier har också påvisat ett starkt samband mellan graden av tillit till institutioner och inställningen till integritetsskydd.
utan också genom att institutionernas förmåga att värna den enskildes integritet påverkar tilliten.
Med den integritetssyn som signaleras i rapporten riskerar integriteten att påverkas i negativ riktning vilket i sin tur kan leda till en sänkt tillit.
Detta stärks ytterligare av den bild av verkligheten som ges inte rimmar med de granskningar av faktiska förhållanden som gjorts.
För mig blir detta ett dubbelfel sett med spaning på tillit: först de verkliga bristerna i sjukvården, därefter att de ignoreras.
Samma osäkerhet om vilken verklighet vi pratar om infinner sig lätt när det gäller säkerhetsåtgärder.
Ett uppenbart exempel är övervakningskameror.
Vetenskapligt finns det svaga för att övervakningskameror minskar kriminalitet utom då de placeras i parkeringshus.
Ändå lyfts övervakningskameror ständigt fram som ett sätt att visa handlingskraft, inte minst för att bekämpa brottslighet i utsatta områden.
Jag förutsätter att flertalet som argumenterar för fler kameror är väl medvetna om den bristande effektiviteten i åtgärden men av andra skäl ändå framhärdar i sin argumentation.
Som jag ser det leder ineffektiva säkerhetsåtgärder till en falsk trygghet eller till att själva säkerhetsåtgärderna ger belägg för att människor borde känna sig orolig eller till att alerta medborgare inser att de blir ”lurade” av myndigheterna.
Inget av dessa tre alternativ skapar en större tillit i samhället.
De bör dock få oss som arbetar med säkerhet att fundera över vilka direkta och indirekta konsekvenser vårt säkerhetsarbete kan få och att våga ifrågasätta den reella säkerhetshöjande effekten av olika åtgärder.
Avvägningen mellan integritet och vilket annat värde som helst behöver inte med nödvändigt leda till att vilket värde som helst är viktigare.
Den ambivalens som finns hos många säkerhetsmänniskor inför integritetsfrågorna finns i minst lika hög grad inför öppenhet.
Öppenhetens betydelse för samhällelig tillit är knappast ifrågasatt av någon och för svenska förhållanden finns det en stor mängd statsvetenskapliga studier om detta så jag finner det överflödigt att länka till någon enskild av dessa studier.
Den intresserade kan börja med Bo Rothstein och sedan gå vidare.
Sverige har ju också unika förutsättningar för att ge insyn i myndigheters verksamhet genom offentlighetsprincipen.
Även här finns dock ett glapp mellan lagstiftningen och de värderingar som myndigheter och enskilda tjänstemän har.
För att offentlighetsprincipen ska fungera i praktiken krävs en vilja att tillhandahålla information även om det kan leda till negativa konsekvenser för myndigheten.
Den kultur som finns inom säkerhetsområdet bär på ett arv där huvuduppgiften har varit att säkerställa att hemlig information inte blir tillgänglig för obehöriga.
Resultatet blir en osäkerhet som gör att sekretesstämpeln kommer fram för flitigt när det gäller säkerhetsrelaterad information.
Att möjligheten att sekretessbelägga information tillämpas i allt vidare utsträckning uppmärksammas av grävande journalister .
Öppenheten är basen för tillit men också ett viktigt verktyg för att kunna bedriva den källkritik som är nödvändig i ett klimat där falska nyheter och påverkansaktiviteter florerar.
Men även källkritik måste utgå från rimliga värderingar som ger tillit.
För mig som är danad i Lauritz Weibulls hårda källkritiska skola är det centralt att det källkritiska förhållningssättet tillämpas även på grunden för de egna utsagorna.
Om inte denna princip anses giltig uppfattar jag det som att vi tar ett steg mot den asymmetriska situation som råder under auktoritära regimer där enbart andra nationers påverkansförsök nagelfars medan utsagor som gynnar den egna ståndpunkten okritiskt anammas.
Tecken på sådana tendenser av överdrivet välvilligt mottagande har uppmärksammats av bland annat podden Mediespanarna rörande en undermålig rapport om rysk .
Problemet är att de som har det lovvärda syftet att avslöja rysk desinformation själva blir desinformatörer.
Det är dags att avrunda detta långa och pretentiösa inlägg med att komma några förhoppningar inför det nya året, förhoppningar som känns alldeles särskilt aktuella den här veckan då Folk och försvar drar i gång samtidigt som valåret inleds.
En första förhoppning är att vi alla har ett ansvar för att medverka till att skapa tillit i samhället.
Vi som arbetar med säkerhet bör låta vårt arbete styras av värderingar som skyddar öppenhet, integritet och demokrati.
Vi måste också våga ifrågasätta våra egna sanningar och tillämpa en systematisk källkritik där det också är tillåtet att ha fel.
Ta stöd i Timothy Snyders uppmaningar och se hur du kan omsätta dem i ditt arbete.
Läs och se dystopier men motverka att de förverkligas genom att vara extra vaksamma mot alla steg som går i en auktoritär riktning, som inskränker öppenhet och demokrati samt medborgarens möjlighet att hävda sina rättigheter även i förhållande till den egna statsmakten.
Undvik att gå in i starkt polariserade lägen som skapar falska dikotomier som att vi antingen är fullständigt naiva eller att ett storkrig står för dörren vilket legitimerar inskränkningar i öppenheten och andra demokratiska rättigheter.
Och var inte rädd, rädsla urholkar inte bara själen utan även samhället.
Som jag litet surt påpekat några gånger är kunskapsgrunden fört påfallande svagt.
Det är därför en händelse av stort intresse när en ny forskningsantologi inom informationssäkerhetsområdet publiceras som nu då presenteras.
Än mer så när den är inriktad på organisation och inte enbart teknik som den övervägande del av de svenska forskningsinsatser varit.
Antologin bygger på resultatet från ett antal olika forskargrupper som finansierats av MSB i ett femårigt forskningsprogram relaterat till frågor om informationssäkerhetskultur.
I programmet genomfördes en omfattande enkätundersökning som använts av flera av de ingående forskningsgrupperingarna.
Att det är ett konglomerat av olika discipliner som deltagit är både en styrka och en svaghet i antologin.
Styrka eftersom det ger en i delar ny och intressant belysning av informationssäkerhet, svaghet då den röda tråden i antologin känns väl tunn och att det mer har handlar om paketering än en reell knytning till just säkerhetskultur.
Att det inte är ett inarbetat forskningsområde visar sig också i att den litteratur som använts i förvånande hög grad är utgiven för tio år sedan eller mer.
Först två allmänna reflektioner efter genomläsning.
För det första beskrivs informationssäkerhet påfallande ofta direkt och indirekt som en statisk entitet, d.v.s.
på ett icke-relationellt sätt, som här t.ex: Informationssäkerhetskultur kan vara bra såväl som dålig.
Den är bra om den gynnar .
Jag menar att informationssäkerheten inte är ett värde i sig utan att det är organisationens intressen som ska gynnas av informationssäkerhetskulturen, d.v.s.
att den goda informationssäkerhetskulturen stödjer organisationen i att identifiera sitt behov av olika informationssäkerhetsåtgärder.
Den andra reflektionen är den i mitt tycke en övertro på regelstyrning.
I några av inläggen framstår det som att informationssäkerhetskulturens främsta och möjligen enda uppgift är att motivera medarbetarna att följa regler.
Med erfarenhet från att vara informationssäkerhetsansvarig alternativt konsult i rätt många organisationer har jag upplevt att det stora behovet av säkerhetskultur är att den lägger grunden för en dialog om informationssäkerhet.
Verksamheten måste vara involverad eftersom det är den som känner de egentliga behoven av säkerhet men behöver hjälp med att kanalisera dem och över huvud taget definiera dem som säkerhetsrelaterade.
I detta är exempelvis verksamhetens förmåga och intresse av att uppmärksamma risker och kommunicera dem.
Och när det gäller styrningen är det också aningen förvånande att ledarskap inte diskuteras – när organisationskultur i allmänhet brukar ses som i en nära samvariation med ledarskap.
Här tänker jag inte enbart på det generella ledarskapet i en organisation.
Minst lika viktigt är det ledarskap som de som arbetar med informationssäkerhet utövar både nationellt och i sina respektive organisationer.
Min uppfattning, som saknar vetenskapligt belägg, är att detta ledarskap fortfarande är starkt präglat av en patriarkal kultur hämtad från en militär-polisiär tradition som är illasittande i de flesta moderna organisationer.
Detta kommer ytterligare att förstärkas när Metoo-revolutionen, som inte bara handlar om sextrakasserier utan även manligt maktmissbruk bland annat på arbetsplatser, rullar vidare.
Några av inläggen läser jag med känsla av: var det inte mer?
Det är inte sååå upphetsande med en slutsats som att tjänstemän som arbetar i regelföljande organisationsklimat anammar informationssäkerhetsregler bättre än tjänstemän i organisationer utan detta klimat.
Eller att informationssäkerhetskulturen gynnas av att ledningen uttrycker att informationssäkerhet är en viktig fråga för organisationen (även om detta ändå touchar ledarskapsfrågan som jag tidigare skrev att jag saknade).
I andra fall blir jag uppriktigt förbryllad.
Avsnittet om ”praktikanpassad informationssäkerhetspolicy” blandar alla nivåer av styrande dokument på ett sätt som jag som strukturfascist känner mig ytterst obekväm med.
Bara att skriva informationssäkerhetspolycier i plural … Ett annat exempel som leder grubbel är detta: Historiskt sett baserast på tre tekniskt orienterade principer: , och .
Författarna vill komplettera dem med ”organisatoriskt orienterade och beteendebaserade principer som ansvar, rollintegritet, förtroende och etiskt handlande”.
Jag gillar känslan av att få mattan undanryckt under fötterna, för mig har aspekterna konfidentialitet, riktighet, tillgänglighet och spårbarhet varit definitioner av vad som ska uppnås i tillräcklig grad med både organisatoriska och tekniska åtgärder.
Tyvärr kan jag inte säga att den nya vinklingen som författarna från Handelshögskolan i Örebro lanserar känns uppenbar ens vid en närmare genomläsning.
”CIA”-begreppen ifrågasätts även av filosofen Björn Lundgren som vill ersätta dem med den s.k.
Trots att jag har en del högskolepoäng i filosofi går mig delar av hans resonemang förbi, kanske för att jag fastnar på ett tidigt skede eftersom det förefaller som om hans utgångspunkt är att det finns ett läge där information är ”säker”.
I min uppfattning strider detta mot det riskbaserade säkerhetsarbetet där det snarare handlar om att rikta in sig mot ett ständigt rörligt mål och få en acceptabel riskmiljö.
Andra inlägg är mer givande.
Den etnologiska studien av den konfliktfyllda kultur som råder runt framtagandet av informationssäkerhetsstandarder bör leda till eftertanke men har också vissa (ofrivilligt?)
komiska inslag.
Flera av inläggen handlar om informationssäkerhet i hälso- och sjukvård och det är kanske här antologin är som mest intressant särskilt med den tydliga kopplingen till integritetsfrågor.
När nu många nya aktörer börjat visa intresse för integritetsfrågor i samband med dataskyddsförordningen har det ett generellt intresse.
Jag ska därför göra en fördjupning rörande ett av antologins inlägg.
Jag har i olika sammanhang ifrågasatt säkerheten och hanteringen av personuppgifter i den nationella tjänsten Hälsa för mig och kan därför säkert uppfattas som jävig men vill ändå hävda att Peter Johanssons och Sofie Hellbergs bidrag som handlar om den tjänsten är det mest givande avsnittet i antologin.
Detta inte enbart för att sjukvårdens informationssäkerhet och hantering av integritetsfrågor är så viktiga i sig utan också för att de frågeställningar de lyfter fram kan generaliseras.
Bidraget inleds med en effektiv genomgång av tidigare forskning om integritet samt om några möjliga synsätt.
Själva förordar de ett s.k.
kontextdrivet förhållningssätt i motsats att försöka skapa en allomfattande och evig definition av integritetsbegreppet: Vi delar uppfattningen om att nyckeln till att förstå och hantera personlig integritet ligger det sammanhang där integritetsfrågorna uppstår.
En fördel med detta förhållningssätt är att man redan i designfasen av nya tekniker och system kan inkludera skydd för den personliga integriteten eller sätt upp regler kring nya teknikers användningsområden.
Utan ett sådant kontextdrivet förhållningssätt finns en risk att man vare sig kan identifiera eller hantera situationer där den personliga integriteten .
Detta stämmer väl med privacy by design (som ju föreskrivs i dataskyddsförordningen) även om jag hellre skulle beskriva det som privacy by design i än i system.
Forskarna identifierar de två parallella trenderna där accelererande mängder information insamlas och bearbetas samtidigt som individen får en ökad tillgång till information om sig själv.
Med denna bakgrund studerar forskarna den tidigare regeringens satsning på tjänsten Hälsa för mig.
Hur ansvaret för säkerhet och integritet ska fördelas i det informationshanteringslandskapet är inte uppenbart vilket caset med Hälsa för mig visar.
Att trycka ner ansvaret till individen med krav på hen själv ska ”styra” sin integritet har varit en bekväm lösning som myndigheter och tjänsteleverantörer.
Individens möjlighet att göra rimliga avvägningar är av flera skäl mycket begränsad av att hen inte kan överblicka användningen av informationen, konsekvenserna av detta och dessutom är i ojämn maktrelation med leverantören av tjänsten.
En egen reflektion är att författarna i marginalen låter ett inslag i den kultur som formats runt e-hälsa skymta fram när man skriver: Att personlig integritet är något som kan upplevas stå i vägen för e-hälsoutvecklingen har vi noterat vid olika e-hälsokonferenser.
Där har vi lyssnat på olika talare som raljerat över ”integritetsivrare”, vilket vi uppfattar som mycket problematiskt då det appliceras svepande på bland annat läkare och patientföreningar som representerar särskilt sårbara .
Potentiellt negativa effekter för integriteten tonas .
Detta är en kultur jag känner igen sedan åtminstone början av nittiotalet.
Som verksam inom informationshanteringen i vården blev jag vittne till ett tydligt perspektivskifte.
Från att tystnadsplikt och integritet hade varit kärnvärden i läkarkåren och vården i stort skedde en snabb relativisering (ja, jag vet att allt inte var idealiskt tidigare heller men pratar här om de uttalade etiska ståndpunkterna).
Relativiseringen av integriteten blev ett förhållningssätt som funnits med i digitaliseringsprocessen av vården ända sedan dess begynnelse, där det har målats upp en motsatsställning mellan patientsäkerhet och integritet.
Bakgrunden till detta är att det har funnits en motvilja hos sjukvårdshuvudmän, vårdgivare och systemleverantörer att göra den insats som krävs för att få en styrning av informationshanteringen och systemen/tjänsterna så att båda dessa värden kan uppnås samtidigt.
Min uppfattning är att denna relativisering främst bottnade i att sjukvårdshuvudmännen m.fl.
inte prioriterade att ta fram organisatoriska beskrivningar av hur ”vårdrelation” ska definieras, d.v.s.
vilka medarbetare som verkligen har anledning att ta del av den enskilda patientens vårdinformationen.
Detta kompletterat med att systemleverantörerna inte klarade av att leverera digitala lösningar med en för ändamålet avpassad behörighetshantering gjorde att den personliga integriteten framställdes som ett hinder för verksamheten och ett hot för patienten.
Ett tydligt tecken var den ständigt återkommande bilden på konferenser och andra sammanhang där det beskrevs hur en medvetslös patient kommer in på akuten och personalen p.g.a.
att patienten kan ge samtycke inte kommer åt information som överkänslighet eller annan medicinsk bakgrund med följd av att patienten avlider.
Att flertalet patienter inte är medvetslösa, inte på akuten och att behörighetsstyrningen kan ske situationsanpassat försvann i detta scenario som gjorde det överväldigande tydligt för många att integritet är av ondo.
En rådande doktrin var också att behörighetsstyrning var onödigt och att loggning var lösningen på kontroll av åtkomst.
Att loggning i detta syfte skulle kräva att det är mycket tydligt vem som har åtkomsträtt, d.v.s.
i princip samma förutsättning som för den behörighetshantering som man sa sig inte kunna åstadkomma, förträngdes.
Effekten blev usel informationssäkerhet samt att etiken och i förlängningen lagstiftning anpassades efter organisatoriska och tekniska brister.
Detta vore ytterst intressant att läsa om i en forskningsstudie.
Den inneboende paradoxen med självstyrd integritet samtidigt som individen inte har det egentliga valet eller möjligheten att styra begränsningen av användningen av personuppgifter är inte unik för Hälsa för mig.
Den möjlighet att spärra uppgifter som patienten fick i patientdatalagen (PDL) 2008 har i praktiken inte realiserats utan på många sätt motarbetats av vårdgivare.
Bidraget om Hälsa för mig och den bristande integritetsanalysen i det projektet illustrerar en historisk utveckling formad genom tekniska ofullkomligheter men därefter stödd av en säkerhetskultur som legitimerar den bristande säkerheten, ja rent av gör den till en dygd.
Den bristande analysen i fråga om integritet i Hälsa för mig har lett till att Datainspektionen listat ett antal förelägganden som måste åtgärdas innan tjänsten kan tas i bruk.
E-hälsomyndigheten har överklagat detta till f men i dagsläget verkar det oklart om tjänsten kommer att kunna tas i bruk.
För mig är detta antologins absolut viktigaste bidrag när det gäller att vissa betydelsen av en positiv respektive negativ informationssäkerhetskultur.
Dessutom att den kulturella påverkan på intet sätt är begränsad till en enskild organisation utan kan omfatta en hel sektor.
Här finns verkligen möjlighet till vidare forskning.
I dessa dataskyddsförordningstider är det också av stor betydelse att visa att integritet inte handlar om teknikaliteter utan om kultur och värderingar.
Sammantaget illustrerar antologin ett spretigt kunskapsområde med oklar teori och en ganska lång väg kvar att gå.
Svaret på frågan i rubriken tycker jag mig kunna se som: ja, det finns både positiv och negativ informationssäkerhetskultur och vi måste förstå mer för att kunna stärka den positiva kulturen.
Ett steg till mot en ny säkerhetsskyddslag är taget i och med att lagrådsremissen presenterades för någon vecka sedan.
Själv utsatte jag det ursprungliga förslaget som presenterades av utredningen för en kritisk och är därför av naturliga skäl nyfiken på hur regeringen hanterat förslaget och de många remissvar som kommit in.
Efter en genomläsning är min slutsats att regeringen köpt utredningens förslag med några få men viktiga förändringar initierade från remissvaren.
En sådan positiv förändring är att regeringen instämmer i ett antal remissinstansers kritik av utredningens förslag att använda begreppet informationssäkerhetsklassificering trots att klassningen endast skulle bedöma konfidentialitet.
Istället kommer begreppet säkerhetsskyddsklassificering vilket visserligen är otympligt men, viktigare, är mer korrekt i förhållande till vad aktiviteten innebär.
Ännu bättre hade det varit om begreppet informationssäkerhet överhuvudtaget användes i lagen eftersom man definierar det på ett helt eget sätt: Säkerhetsskyddet ska förebygga att uppgifter som omfattas av sekretess och som rör rikets säkerhet obehörigen röjs, ändras eller förstörs (informationssäkerhet) Det vore ju så mycket bättre att undvika begreppsförvirring och istället införa ett unikt begrepp typ informationsskydd men man får vara tacksam för det lilla i det här sammanhanget.
Jag noterar också att intresset för internationell anpassning förefaller större än för att få en nationellt konsistent modell för informations-/informationssäkerhetsklassificering.
Men i huvudsak kvarstår utredningens förslag och regeringen fyller på.
Den nya säkerhetsskyddslagen sägs nödvändig framförallt av tre orsaker som kan sammanfattas som: ”det förändrade omvärldsläget”, digitaliseringen och att allt större del av det som kallas säkerhetskänslig verksamhet ombesörjs av privata aktörer (inklusive i form av outsourcing m.m.).
Händelserna vid Transportstyrelsen har inte heller gått obemärkt förbi om man säger så.
Detta gör att den nu gällande säkerhetsskyddslagens tillämpningsområde anses för ”snävt” vilket annorlunda uttryckt innebär att man vill utvidga till att fler verksamheter och funktioner samt mer information ska klassas som säkerhetskänslig.
Det som slår mig när jag läser lagrådsremissen liksom den tidigare utredningen är bristen på systemtänkande på samhällsnivå.
Här finns ett stuprörsutredande där man försöker utreda och lagstifta i delar utan att sammanhang skapas och utan att det går att se hur de olika delarna hänger ihop.
Särskilt tydligt blir detta när det gäller ”säkerhetskänslig” i förhållande till ”samhällsviktig” verksamhet.
Med den glidning som sker från att säkerhetsskyddet, förenklat beskrivet, varit fokuserat på antagonistiska hot mot hemlig information i offentlig verksamhet till att övergå till ett betydligt större område blir gränsdragningen än svårare.
Nu har vi dels säkerhetsskydd som ska skydda säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter där med säkerhetskänslig verksamhet avses: verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd Och så samhällsviktig verksamhet som definieras som: Ett bortfall av eller en svår störning i verksamheten kan ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid leda till att en allvarlig kris inträffar i samhället.
Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt Lagrådsremissen ”förtydligar” skillnaden mellan det ena och det andra genom följande plattityd: Verksamheter som bör omfattas av en ny säkerhetsskyddslag omfattas i regel av dessa kriterier, men karaktäriseras därutöver av att de har betydelse för Sveriges säkerhet ur ett nationellt perspektiv.
Skälet för detta är att säkerhetsskyddslagen i första hand bör syfta till att skydda särskilt känsliga verksamheter mot antagonistiska angrepp, t.ex.
spioneri, sabotage och terroristbrott.
Personligen uppfattar jag det som djupt problematiskt när skillnaden på det ena och det andra blir ungefär som den klassiska Fred Astaire-sången med refrängen Potato, potahto, tomato, .
Det är helt enkelt väldigt svårt att avgöra skillnaden mellan samhället respektive Sverige.
Den enda skillnaden i detta sammanhang är såvitt jag kan se att säkerhetsskydd ställs i relation till typen av hot (antagonistiska).
När det nu blir allt tydligare att informationssäkerheten generellt är på en nivå som inte på något sätt motsvarar behovet borde en huvudfråga vara hur bättre stöd ska ges till alla de verksamheter som är säkerhetskänsliga och/eller samhällsviktiga.
Att då inte kunna ge reda ut ens huvudkriterierna på ett pedagogiskt sätt förtjänar ett totalt underbetyg.
I backspegeln verkar lanseringen av samhällsviktig verksamhet som begrepp och det praktiska arbetet med att faktiskt utveckla och skydda de funktioner som vi alla är beroende av vid större störningar ha misslyckats.
Det klena stödet för att identifiera vad som är samhällsviktigt kombinerat med avsaknaden av förslag på konkreta åtgärder som ska vidtas om man mot all förmodan lyckas med uppgiften är ett allvarligt problem.
Säkerhetsskyddet är knappast lösningen på det problemet även om det verkar vara en tanke som vissa drabbas av.
Varken den ursprungliga utredningen eller lagrådsremissen utgör någon hjälp i det hänseende.
I lagrådsremissen blandar man t.o.m.
ihop begreppen som på sidan 35 där man motiverar ett ökat säkerhetsskydd med allvarliga konsekvenser i samhällsviktig verksamhet.
Att det är svårt att ge exakta kriterier för säkerhetskänslig respektive samhällsviktig verksamhet har jag förståelse för men det måste ändå gå att åstadkomma betydligt mer än det som hittills presenterats.
En första insats vore att en central ansträngning gjordes för att definiera vad som är skyddsvärt ur dels säkerhetsskyddsperspektiv, dels ur vad som ska räknas som samhällsviktigt.
Nu trycks frågan istället ner på organisationsnivå och skapar en logisk knut: det är organisationen själv som genom en säkerhetsanalys ska fastställa om den är säkerhetskänslig men för att över huvud taget komma på att man är säkerhetskänslig måste man först göra analysen… Detta förstärks ytterligare av att lagrådsremissen uttrycker sig i termer som närmast är att likna vid : Det kan också tänkas att ett angrepp som riktas mot en verksamhet på en förhållandevis liten geografisk yta påverkar människor som har funktioner i andra verksamheter med direkt betydelse för Sveriges säkerhet.
Även flera koordinerade, eller av varandra oberoende, angrepp som resulterar i störningar av samhällsviktiga funktioner på lokal eller regional nivå kan påverka Sveriges säkerhet, t.ex.
genom att det bland befolkningen generellt sprids oro och misstro mot myndigheternas förmåga att hantera situationen.
Dessa exempel på frågeställningar som en verksamhetsutövare måste ta ställning till visar att bedömningen av säkerhetsskyddslagens tillämpningsområde inte enbart kan ha sin grund i geografiska områden eller antalet medborgare som potentiellt kan drabbas av ett angrepp.
Även potentiella följdverkningar av en händelse måste vägas in i bedömningen.
Och visst kan säkerhetsbedömningar likna kaosforskning på sätt och vis men att kräva att kommuner, landsting och regioner ska kunna göra sådana bedömningar är att bygga in en fallucka i hela systemet eftersom det är en omöjlig uppgift.
Ytterligare en dimension av detta är att privata aktörer förväntas att på ett objektivt sätt analysera om det finns funktioner som är säkerhetskänsliga i den egna verksamheten trots den kostnadsdrivande effekt en sådan bedömning skulle få.
Och den spännande frågan om aggregering hos privata aktörer där intet svar ges om vem som ska ha koll på detta: Ett annat exempel på verksamhet som kan anses ha betydelse för Sveriges säkerhet är om en leverantör svarar för driftstjänster åt ett flertal myndigheter och leverantörens samlade uppdrag kan ha betydelse för Sveriges säkerhet.
Även om de enskilda uppdragen inte anses som säkerhetskänsliga kan leverantörens samlade engagemang innebära risker för alla de myndigheter som den utför tjänster åt vid ett antagonistiskt angrepp, vilket i slutändan skulle leda fram till effekter för samhället i stort.
(s 46) Ungefär på samma sätt är det med samhällsviktig verksamhet, det är organisationen själv som ska bedöma vilka delar som är samhällsviktiga och även där intuitivt kunna se långa beroendekedjor på samhällsnivå som inte finns beskrivna.
Idag är det uppenbart att 1.
Kommuner/landsting har ansvar en stor del av den samhällsviktiga verksamheten och även en del funktioner som är att betrakta som säkerhetskänsliga 2.
Förmågan att kunna vidta rätt säkerhetsåtgärder är alldeles för låg.
Vad som förvånar mig är detta inte är något som analyseras närmare vare sig i utredningen eller lagrådsremissen, vilka åtgärder och vilket stöd som vore nödvändigt för att intentionerna ska kunna förverkligas.
Riskerna med vagheten är flera.
Den mest uppenbara är att säkerhetsåtgärder inte vidtas i den omfattning som vore befogat.
En annan av jämförbar dignitet är att svårigheten att avgöra om det är ”säkerhetskänsligt” eller ”samhällsviktigt” gör att organisationer i en allmän ängslighet tar det säkra för det osäkra (lätt hänt efter sommarens och höstens massiva mediebevakning) och definierar information och system som säkerhetskänsliga.
Detta gör att jag inte ens blir förvånad över crazylösningar som när sjukvårdshuvudmän försöker få sjukvårdssystem att bli säkerhetsskyddade, uppenbarligen utan en susning om vad det skulle innebära i . Detta är för den med minsta insikt ett totalhaveri i säkerhetstänkande och där ett förverkligande skulle innebära att en stor del av sjukvården lamslogs.
En inte oväsentlig risk är att integritets- och offentlighetsaspekter blir utdefinierade i verkligheten på samma sätt som i lagrådsremissen.
Denna risk förs fram av flera remissinstanser men viftas i lagrådsremissen bort utan vidare spisning (ex s 48 och 63).
Jag funderar också rätt mycket när jag läser lagrådsremissen på risken att säkerhetsskyddet genom oklarheten i tillämpningen devalveras.
Om information och system inte hör dit ändå placeras där kommer då säkerhetsskyddet verkligen att kunna upprätthållas där det verkligen behövs?
Överhuvudtaget väcker lagrådsremissen så många frågor att jag rekommenderar alla att läsa den och försöka visualisera effekten i den verkliga världen.
Hur ska man till exempelvis göra för att bedöma riktighet och tillgänglighet men inte i form av klassning?
Och hur få ihop säkerhetsskyddslagens legitimitet i antagonistiska hot när en stor del av störningarna i informationshanteringen och därmed i verksamheten uppstår av andra orsaker?
Och vore det inte mycket bättre att inrikta sig på säkerhetskänsliga funktioner än dito verksamheter?
Då skulle faktiskt statsmakten kunna peka ut vilka funktioner oavsett organisation som bedöms som väsentliga för Sverige vilket skulle vara ett enormt stöd inte minst för kommunerna.
Sammantaget: det känns inte som livet som säkerhetsmänniska blivit enklare med lagrådsremissen.
Den understryker dock behovet av att förstärka arbetet med informationssäkerhet för den samhällsviktiga verksamheten.
Det här kommer att bli ett nördigt inlägg om arkivfrågor eftersom arkivfrågor per se är nördigt eller hur?
För läsaren ska kunna sätta inlägget i ett sammanhang ska jag bekänna min bakgrund och därmed även antyda sambandet mellan informationssäkerhet och arkiv.
Min ingång till informationssäkerhet gick via arkiven.
Under ett antal år arbetade jag som arkivarie, först på arkivinstitutioner och därefter som landstingsarkivarie.
Som så många andra arkivarier hamnade jag i skrået via studier i historia, själv påbörjade jag en forskarutbildning i ekonomisk historia efter att ha läst politisk historia, förvaltningshistoria, naturvetenskapernas idéhistoria o.s.v., o.s.v.
Synsättet att arkivvetenskap (i den mån något sådant ens kan sägas existera) var en stödvetenskap för historieämnet föreföll därför inledningsvis logiskt även för mig.
Sedan hände två saker: jag blev väldigt intresserad av metoder för att strukturera information och jag blev tvungen att börja tillämpa detta i en pågående verksamhet, inte bara i avställda arkiv.
Jag skrev om sett ur det industrihistoriska perspektivet men insåg allt tydligare verksamhetsbehovet i att strukturera information.
Det kändes egendomligt att betrakta detta verksamhetsbehov kikande ut från en arkivinstitution och dess behov som är helt annorlunda än verksamhetens.
Jag fortsatte att skriva om dessa frågor och vikten av att arkivväsendet omorienterar sig och inte ser sig som en historiens Istället borde vi vända på processen och se att om arkivarierna specialiserar sig på informationshantering och stödjer verksamheten kommer behovet av långsiktigt bevarande också att hanteras.
Däremot gäller inte det omvända.
Jag kan väl inte säga att jag fick särskilt mycket gehör för detta utan blev istället betraktad som en arkivvärldens gossen Ruda som en riksarkivarie vänligt uttryckte det.
Nu har jag inte arbetat som arkivarie på många år men interagerar med arkivfrågor nästan dagligen då jag arbetar med informationssäkerhet vilket är naturligt då arkiven kan sägas att jämte krypton vara de informationssäkerhetsåtgärder som förekommit ända sedan antiken.
OK, vi kan väl säga signering också så blir det tre antika åtgärdstyper.
I vilket fall så sett ur mitt limbo-tillstånd där jag halvvägs utanför, halvvägs innanför arkivvärldens gränser uppfattar jag det som att den desorientering som funnits ända sedan sjuttiotalet fortfarande lever kvar.
Jag ska inte här närmare gå in på hur denna desorientering mellan att delta i att utveckla myndigheternas informationshantering år ena sidan och å andra sidan ha blicken fäst vid det historiska materialet.
Vad som är glädjande är att regeringen initierat en översyn av arkivområdet under Lars Ilshammars kompetenta .
Översynen ska bland annat analysera hur samhällsutvecklingen påverkat kraven på arkivsektorn, se över arkivlagstiftningen och Riksarkivet roll i förhållande till andra myndigheter.
Det kan bli spännande!
Inspirerad av detta kommer här tre frågeställningar som kan förtjäna att tas med som faktorer då översynen genomförs och som dessutom är sammankopplade.
Först en disclaimer: i det följande kommer jag liksom som många andra som diskuterar arkivfrågor att strunta i de privata aktörernas behov och praxis gällande dessa frågor och endast ägna mig åt den offentliga sektorn och arkivväsendet i stat, kommun och landsting.
Detta är en nästan oförlåtlig avgränsning men eftersom jag här kommer att ta upp några frågeställningar som i första läget framförallt berör det offentliga arkivväsendet finns det en viss logik i detta.
Det kan dock inte nog understrykas vikten av att det offentliga arkivområdet idag måste ta mycket större hänsyn till privata aktörer eftersom allt större del av den offentligt finansierade verksamheten utförs av privata aktörer.
Ta till exempel inom vården som i efterkrigstiden i all väsentlighet ombesörjdes av offentliga utförare men som sedan nittiotalet alltmer utförs av privata vårdgivare.
Vårdinformationen som har ett mycket stort värde under lång tid för den enskilde patienten och ett stort forskningsvärde men lever idag ett osäkert liv eftersom det faktiskt inte längre är tydligt reglerat hur den ska hanteras långsiktigt.
Den första fråga jag tänkte lyfta är frågan är den utpräglade juridifiering som råder gällande arkivhanteringen.
I Sverige har arkivväsendet en mycket nära koppling till statsmakten sedan lång tid och numera även en stark koppling i lagstiftningen mellan arkivlagen och offentlighetslagstiftningen.
Detta kan ses som en välsignelse och jag tror inte det finns en idag levande arkivarie som inte hämtat legitimitet ur detta faktum och det är självklart att detta ger arkivverksamheten en potentiellt stark ställning i offentliga organisationer (nu blir det ju inte alltid så i praktiken).
Men för att travestera femte Moseboken: en välsignelse kan samtidigt vara en förbannelse.
Förbannelsen ligger i att samtidigt som offentlighetslagstiftningen definierar arkivens innehåll så definierar den arkivens avgränsning.
I arkivlagen sägs att: En myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap.
9 § tryckfrihetsförordningen och som myndigheten beslutar skall tas om hand för arkivering.
Vad som utgör en myndighets arkiv är alltså en juridisk definition, inte en arkivvetenskaplig.
Detta är i sig värt att uppmärksamma men det får även djupgående praktiska konsekvenser.
Det måste understrykas att vad som kan utgöra en allmän handling inte är übertydligt.
Formuleringar som att ”handlingen ska vara upprättad eller inkommen till myndigheten” leder tankarna till information som liknar pappersdokument och som är vagt relaterade till postgång (detta är också vad som avspeglas i de heliga diarierna som ofta uppfattas som det som definierar vad som är myndighetens allmänna handlingar).
Men detta är ju inte den enda information myndigheten använder.
Om man jämför dokumenthanteringsplaner med vilka informationsmängder som en myndighet eller kommun verkligen använder för att utföra sina uppgifter är skillnaden ofta stor.
Detta blir ganska uppenbart om man gör en processorienterad informationskartläggning där det, vågar jag hävda, alltid kan identifieras betydligt fler informationsmängder än vad som finns redovisat i dokumenthanteringsplanen.
Det finns, tror jag, en outtalad föreställning om vad som ska räknas som allmänna handlingar som inte är uppdaterad så att den går att omsätta i en modern myndighets faktiska informationshantering där Skype, molntjänster och även mer traditionella it-system står för merparten av transaktioner.
Och när kartan inte stämmer med verkligheten förefaller kartan vinna över verkligheten.
Riksarkivet säger även på sina ställen att man jämställer arkivförteckning (som endast ska innehålla allmänna handlingar) och dokumenthanteringsplan: Här hittar du svar på frågor som rör den andra delen av arkivredovisningen, den som beskriver vilken information som uppstår i myndighetens verksamhet och hur informationen förvaras.
Traditionellt kallas denna redovisning för arkivförteckning eller dokumenthanteringsplan.
De element som förekommer här är handlingsslag och handlingstyper samt f . Det finns också ofta en stark vilja att göra så litet information som möjligt till allmänna handlingar eftersom det uppfattas som negativt att allmänheten ska få tillgång till information som myndigheten vill ha för sig själv.
Det kan både ske genom att man kallar information för ”arbetsmaterial” eller genom att man försöker dra ut på statusförändringen till allmän handling genom att kräva exempelvis att ett ”ärende” (detta fullständigt intetsägande begrepp i de flesta icke-exekutiva verksamheter) ska vara avslutat innan en enskild handling blir allmän.
Sammantaget menar jag att juridifieringen av arkivbegreppet, förutom att leda till att många arkivarier uppträder som någon slags barfotajurister istället för informationshanterare, får effekten att en stor diskrepans uppstår mellan det verkliga arkivet och det som kallas myndighetens arkiv.
Med detta verkliga arkivet menar jag den information som myndigheten faktiskt använder för att bedriva sin verksamhet och som arkivteoretiskt borde ses som ”arkivet”.
Jag tycker att arkivariekåren och arkivväsendet här sviker sin uppgift eftersom väsentlig information och väsentliga sammanhang här förloras.
Den andra frågan jag tänkte ta upp är gallring.
Ingen vettig människa kan idag bortse från att det är ett stort problem att mängden information växer exponentiellt.
Konsekvenserna blir bristande sökbarhet, bristande integritet, arbetsmiljöproblem, säkerhetsproblem eftersom det inte går att styra dessa gigantiska informationsmängder och faktiskt i slutändan ett miljöproblem.
Arkivariens andra huvuduppgift måste därför att på ett professionellt sätt göra gallringsutredningar och sedan se till att information försvinner.
Men trots att det i arkivlagen uttryckligen står att allmänna handlingar får gallras så sker detta inte alls med den fermitet som vore nödvändig, kanske beroende på att många arkivarier räds uppgiften och att det på olika sätt sägs att huvudregeln är att alla allmänna handlingar ska bevaras… Det finns också strukturella problem som att myndigheterna inte är sina egna arkivmyndigheter utan måste vänta på att Riksarkivet fattar gallringsbeslutet.
Det mest utarbetade stödet för gallring som Riksarkivet tillhandahåller är såvitt jag kan se från Även vad gäller gallring leder den ovan beskrivna juridifieringen till principiella problem med mycket stora konsekvenser.
Gallring innebär att allmänna handlingar destrueras, när arbetsmaterial förstörs kallas det rensning.
Om dokumenthanterings- och gallringsplaner endast omfattar allmänna handlingar innebär det att det i varje myndighet och kommun finns stora mängder av information där styrning saknas och där informationen inte ens är identifierad.
Detta hävdar jag är det reella läget vilket är högst bekymmersamt inte minst ur säkerhetssynpunkt där kontroll av informationen är a och o. Punkt tre på dagens lista (ja, jag hotar med att komma tillbaka till ämnet) är otidsenligheten och bristen på strategi i arkivområdet.
Som ändå hyfsat insatt kan jag inte utläsa vad Riksarkivets strategi för långtidsbevarandet är mer än att man gör allt för att statliga myndigheter inte ska komma och försöka dumpa sina arkiv: Leveranser bör inte innehålla handlingar yngre än 10 år.
Leveranser med handlingar 10–20 år gamla övervägs särskilt noga med hänsyn till frekvens, sekretesstyngd och andra handläggningsfrågor.
Leverans från en och samma arkivbildare bör inte ske tätare än vart tionde år vad gäller pappershandlingar.
Digitalt material bedöms utifrån egna, specifika .
På något sätt tycks man helt leva kvar i en pappersverklighet där arkivhandlingar inte fick levereras förrän efter 50 år och då helst inbundna.
I en digital verklighet skulle vore den mest rimliga lösningar att man genom tydlig styrning överförde den information som ska bevaras för framtiden till Riksarkivet i samma stund som den skapas.
Naturligtvis skulle detta kräva en massiv höjning av informationssäkerheten i Riksarkivets lagring och kommunikation men det skulle samtidigt vara den mest rationella hanteringen av en digital arkivbildning.
Det är möjligt att Riksarkivet har en mängd spännande strategiska diskussioner men dessa måste i så fall föras ut till de myndigheter och kommuner som idag sliter sitt hår och försöka räkna ut vad som förväntas att de ska göra.
Och, don´t get me started, det handlar inte om de s.k.
e-arkiv som nu försäljs.
Förhoppningsvis kan en klok översyn leda till att desorienteringens dimmor litet börjar upplösas och att en riktning tas ut.
I mina funderingar om en tänkbar nationell styrmodell för informationssäkerhet slås jag av vilket i mitt tycke oproportionerligt intresse incidentrapportering fått som säkerhetsåtgärd.
För att ge en snabb bild av nuläget så har MSB sedan snart två år en särskild föreskrift angående obligatorisk it-incidentrapportering för statliga myndigheter.
Till detta kommer dataskyddsförordningens krav och förslaget på NIS-direktivets tillämpning i som båda framför starka krav på incidentrapportering.
Dataskyddsförordningen kommer att träda i kraft i maj 2018, samma månad som även utredningens förslag rörande NIS-direktivet sannolikt kommer att sjösättas.
MSB:s incidentrapportering är alltså inriktad enbart på statliga myndigheter och gäller uttryckligen endast it-incidenter.
MSB:s definition handlar inte om störning på verksamhetens processer utan vilken typ av, framförallt teknisk, orsak som lett till störningen samt i vissa fall konsekvenser för informationshantering: störning i mjuk- eller hårdvara, störning i driftmiljö, informationsförlust eller informationsläckage, informationsförvanskning, hindrad tillgång till information, säkerhetsbrist i en produkt, angrepp, handhavandefel oönskad eller oplanerad störning i kritisk infrastruktur, eller annan plötslig oförutsedd händelse som lett till skada .
Det är alltså ett tämligen icke-stringent incidentbegrepp (lägg märke till att begreppet ”plötslig” överraskande kommer in under punkt 10) som används.
Att notera är också att bristande spårbarhet inte nämns som en incidenttyp.
Dataskyddsförordningen, som i princip kommer att gälla i alla offentliga och privata organisationer som hanterar personuppgifter, har ett incidentbegrepp som är helt inriktat på personuppgifter: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt Det är framför allt obehörig åtkomst (konfidentialitet) men även förlust eller förvanskning (riktighet) av personuppgifter som ska ses som incidenter i detta perspektiv.
Det bör dock understrykas att för att kunna efterleva dataskyddsförordningens övriga krav är både positiv och negativ spårbarhet en central faktor.
Däremot kan en personuppgiftsincident lika gärna ske i icke-digitala som digitala medier – det är alltså inte enbart it-incidenter som är aktuella (vilket särskilt bör beaktas med tanke på att den s.k.
missbruksregeln i PuL försvinner).
I författningsförslaget gällande NIS-direktivet slutligen är definitionen av incident: : en händelse med en faktisk negativ inverkan på säkerheten i nätverk eller informationssystem Precis som i MSB:s och Dataskyddsförordningens definitioner lyser verksamhetspåverkan med sin frånvaro, det är nätverken och informationssystemen som är objektet för regleringen som gäller både offentliga och privata aktörer i följande samhällsviktiga branscher: En självklar fråga är om den bristande samordning som av de tre olika regleringarna är acceptabel.
Det förefaller inte finnas några planer för att förenkla för de som kommer att behöva rapportera samma incident i två eller i värsta fall tre olika stuprör.
Gissningsvis måste MSB:s befintliga inrapportering och den som följer av NIS samordnas eftersom de båda ska ske i MSB:s regi men då kvarstår ändå personuppgiftsincidenterna.
Och i författningsförslaget för NIS-direktivet finns det en antydan om att är bra om tillsynsmyndigheterna samarbetar: med Datainspektionen när den handlägger incidenter som medfört personuppgiftsincidenter och innan ett åtgärdsföreläggande meddelas, så det finns kanske hopp om en praktisk samverkan.
Jag ska inte fördjupa mig ytterligare i samordningsproblemen även om de är nog så intressanta för alla som kommer att drabbas av dem.
Istället tänker jag svära litet i den nationella säkerhetskyrkan och ifrågasätta om det verkligen är rimligt att satsa så mycket intresse och resurser på just incidentrapportering.
Man kan göra den inte helt rimliga analogin till en enskild organisation som ska förbättra sin informationssäkerhet och då satsar större delen av sitt krut på incidentrapportering – skulle vi då tycka att det är en ändamålsenlig satsning?
Den kritiske kan här invända att författningsförslagetsamhällsviktiga och digitala tjänster innehåller litet vaga krav på säkerhetsåtgärder: 14 § Leverantörer av digitala tjänster ska utarbeta och vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder när de tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster inom unionen.
Med beaktande av den senaste tekniska utvecklingen ska dessa åtgärder säkerställa en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till den föreliggande risken, varvid hänsyn ska tas till 1. säkerheten i system och anläggningar, 2. incidenthantering, 3. hantering av driftskontinuitet, 4. övervakning, revision och testning och 5. efterlevnad av internationella standarder.
Samt även ett system för tillsyn med ett antal tillsynsmyndigheter (varav ett par redan tackat nej till uppdraget i sina remissvar).
Huvudpunkten är ändå incidentrapportering vill jag hävda.
Är detta då den mest effektiva åtgärden för att förbättra säkerheten?
Låt oss då först titta på syftet med incidentrapportering.
I en organisation är incidentrapportering inte en lösryckt aktivitet utan del i en där den fyller flera olika syften: Behovet av informationskvalitet i rapporteringen är olika för de olika syftena.
För att inleda akut felavhjälpning krävs mycket snabb kommunikation, däremot kan inte den som anmäler felet förväntas kunna redogöra för orsaken.
För att inleda kontinuitetshanteringen måste en koppling kunna göras mellan de drabbade informationsbärarna och verksamhetsprocesser för att rätt prioriteringar av återställelse respektive reservrutiner ska kunna göras.
Underlaget för långsiktig förbättring måste vara av mer analytisk karaktär men också bygga på en konsistent tillämpning av begrepp för att mönsterigenkänning ska kunna göras.
Kravet på god informationskvalitet gäller även för rapportering, riskanalysen och fört i mer vida termer.
Hur har man då resonerat i dessa frågor när det gäller den nationella rapporteringen.
Inte alls vad jag kan se, det är till och med svårt att utläsa vad syftet med den befintliga incidentrapporteringen egentligen är även om den dåvarande inrikesministern Ygeman 2015 så följande då beslutet att införa rapporteringen togs: Syftet med ett sådant system är att möjliggöra en förbättrad lägesbild över informationssäkerheten i statlig förvaltning.
Förmågan att förebygga, upptäcka och hantera it-angrepp mot statliga informationssystem ska också bli bättre.
Sådana it-incidenter kan röra exempelvis störningar i mjukvara, hårdvara eller driftmiljö eller förlust av data i olika sammanhang.
It-incidenter kan orsakas av bland annat externa attacker, säkerhetsbrister i it-produkter eller felaktigt .
Det är alltså inte incidenthantering som eftersträvas utan ”en förbättrad lägesbild”.
För mig förefaller det torftigt att ha en lägesbild som består av tekniska incidentbeskrivningar men jag tror också att inrapporteringsmoralen påverkas i starkt negativ riktning med tanke på att den svaga möjligheten till payoff eftersom det inte handlar om incidenthantering.
Egentligen inte ens om rapportering utan endast om incidentanmälan eftersom meddelande om att något hänt ska ske innan någon djupare analys har hunnit ske.
Samma oklarhet gäller även rapporteringen av personuppgiftsincidenter och rapportering enligt NIS-direktivet – det enda som kan hända är att man får ett besök av tillsynsmyndigheten för att uttrycka sig raljant.
Att både MSB och Datainspektionen hävdar att det finns ett starkt behov av att sekretessbelägga rapporteringen gör att den lägesbild som uppges vara huvudsyftet för åtminstone MSB kommer att vara tillgänglig i mycket begränsade kretsar.
Erafarenhetsåtervinningen på nationell nivå är därmed inget som kan locka fler att rapportera.
Att det sannolikt kommer att saknas ett starkt driv att rapportera incidenter påverkar kvaliteten i lägesbilden.
Ytterligare en aspekt som påverkar kvaliteten är den svaga begreppsmodelleringen av vad som ska inrapporteras samt att det saknas kriterier för verksamhetspåverkan i rapporteringen.
Här hade stora lärdomar kunnat hämtas från exempelvis smittskyddsområdet och överhuvudtaget från ett mer vetenskapligt förhållningssätt.
Att resonemang i denna riktning helt saknas både i dataskyddsförordning och i NIS-direktivet talar för sig själv.
Att incidentrapporteringen ändå fått ett så stort genomslag som universalmedel beror förmodligen på att den har en USP.
Det går nämligen att förklara vad incidentrapportering är för politiker och andra makthavare medan många andra säkerhetsåtgärder på systemnivå kräver betydligt mer i pedagogik.
Incidenter kan också kopplas till mer actioninriktad kommunikation som kan leda fram till snabba beslut än en diskussion om hur informationssäkerhet ska bli en normal del av förvaltningen.
Men, som alla vet, är det inte alltid det som är lätt att sälja som är det vi bäst behöver.
Sammantaget tror jag följande.
Den nationella incidentrapporteringen kommer inte att ge de enskilda organisationerna något stöd i det egnat och kvaliteten i de rapporter som faktiskt sker kommer att vara låg.
Den gemensamma lägesbilden som summa kommer inte ha högre kvalitet än de ingående delarna och kommer därför att ha ett värde som inte är i paritet med fokus och de resurser som läggs på incidentrapporteringen.
Vore det då inte bättre att försöka göra en något djupare analys och försöka reda ut vilka åtgärder som skulle ha en reellt säkerhetshöjande effekt på nationell nivå?
Eller åtminstone sätta in incidentrapporteringen i ett sammanhang som redovisas och som kan vara del av en större styrmodell?
Den goda offentlighetsstrukturen, eller bristen på sådan, är värd ett blogginlägg till.
För att sammanfatta mitt förra inlägg så är det inte bara kraven i OSL som gör att offentlighetsstrukturen inom myndigheter, kommuner och landsting bör prioriteras.
Den transparens som ingen politiker, högre tjänsteman eller konsult någonsin missar att närmast religiöst lyfta fram på konferenser och i strategier som en förutsättning för en fungerande demokrati borde innebära att insyn är en central fråga.
Ett annat högaktuellt skäl är att god tillgång till korrekt information från källan är ett av de mest verksamma sätten att bekämpa den farsot av informationspåverkan som bedrivs av både politiska och kommersiella intressen.
Ytterligare en anledning som kanske är mer av motiverande karaktär är att om kravet på systematik och sökbarhet i informationshanteringen (som en god offentlighetsstruktur förutsätter) realiseras skulle det innebära enorma effektivitetsvinster för den offentliga förvaltningen.
Då skulle ju nämligen även medarbetarna på myndigheten eller i kommunen helt plötsligt få arbetsverktyg och en överblick som är revolutionerande jämfört med i dag.
Något som borde ligga helt i linje med de officiella digitaliseringssträvandena.
I en kommentar till mitt förra blogginlägg i frågan framkom också att myndigheter ibland får anlita konsulter för att söka fram allmänna handlingar hos andra myndigheter, ett tydligt tecken på bristande insynsmöjligheter även mellan myndigheter.
Trots alla dessa goda anledningar i heta områden är ändå inte offentlighetsstrukturen god och de finns få indicier på att andra än enstaka torra bloggare intresserar sig för frågan.
Och när man ändå närmar sig frågan så fastnar man i diarieföringen vilket jag ser som den återvändsgränd vi sprungit i sedan 1970-talet utan att någonsin bromsa in och fundera vad vi håller på med.
Innan jag tittar vidare på några myndigheters mer eller mindre ambitiösa insatser på området ska jag därför skriva litet om diarieföring som fenomen och dess roll som ett klent substitut för en god offentlighetsstruktur.
Vad som måste noteras är att det inte finns någon skyldighet för myndigheter att information utan skyldigheten är att allmänna handlingar ska vara Däremot är kravet på god offentlighetsstruktur obligatoriskt.
Varför är det här intressant?
Jo, därför att diarieföring inte på något sätt borgar för en god offentlighetsstruktur – snarare tvärtom.
Diarieföring är från början ett sätt att dagligen lista in- och utgående korrespondens (därav ordet diarium som litet slarvigt kan översättas som ”dagbok”).
Sedan medeltiden och ännu tidigare har detta varit ett sätt för hov, kyrkliga institutioner och en begynnande förvaltning att hålla ordning på korrespondensen.
I Sverige finns exempel från bruk och proto-industri där man redan tidigt började föra diarium – eftersom jag ordnade arkivet minns jag med särskild kärlek Långvinds bruk och dess diarium från 1600-talet.
Problemet är bara att diarieföringen sedan 1600-talet inte på något sätt utvecklats i samma takt som övrig informationshantering utan utgör en slags museal kvarleva i dagens förvaltning.
Trots att myndigheter har både en och två registratorer (även kommuner och landsting) så ger inte diarieföring vare sig insyn utifrån eller möjlighet till styrning av informationshanteringen internt i myndigheten.
Ingen tycks heller ställa krav på att det ska kunna gå att söka information eller registrera den utan personlig hjälp av en registrator.
Att diariet omfattar endast en bråkdel av de allmänna handlingar som finns i myndigheten (d.v.s.
att endast vissa typer av korrespondens samt dokument som ser ut som pappershandlingar) verkar inte heller väcka oro.
Istället lever diarieföringen kvar som en ritual som blir allt mer tom år för år.
Fossiliseringen har pågått under årtionden vilket också visar sig vid en snabb sökning på Libris.
Sökningen renderar inte i en enda längre text som på djupet analyserar hur diarieföring i traditionell utformning skulle kunna ersättas av sökverktyg som bättre uppfyller andemening i OSL de senaste 30 åren.
En DIVA-sökning är ungefär lika nedslående.
Diarieföringen sker idag med en stor arbetsinsats och i it-system som utformats för att i mesta mån efterlikna papperskartotek och slippar i tre färger.
Det finns ingen formell utbildning till registrator (Mitthögskolan har haft enstaka kurser på arkivutbildningen) utan detta är ett yrke som traderats från kvinna till kvinna och idag är mer en konstform än en funktionell sökfunktion.
Det räcker att titta på sökmöjligheten som erbjuds i ett diarieföringssystem för att förstå hur lång bort från en Google-sökning vi är och vilken omöjlig nivå av förförståelse som krävs för att göra en sökning ens inom en myndighet.
För att ge ytterligare ett par exempel på hur det i realiteten ser ut för den som söker på en myndighets webbplats och vill ha insyn, inte bara tillgång till tjänster, så ska jag här beskriva ett par myndigheter som borde ha särskilt intresse för de här frågorna.
Lantmäteriet har varit mycket framgångsrika när det gäller digitalisering och öppna data.
När jag gnällt över att öppna data (som ju är näringsinriktade tjänster) prioriterats framför insyn ur ett demokratiskt perspektiv har jag ibland fått det lugnande beskedet att de två frågorna hänger ihop.
Den myndighet som satsar ambitiöst på öppna data kommer att vara lika ambitiös när det kommer till insynsperspektivet har varit tanken.
Men stämmer det i verkligheten?
Lantmäteriet har visserligen en lockande flik under som heter .
Kan man bli annat än sugen på att kika in där?
Under finns en redovisning över olika hjälpmedel som används inom Lantmäteriet som t.ex.
: som innehåller upp gifter hämtade från Arkivförteckningen.
Denna sammanställs som ett stöd till verksamheten.
Planen beskriver verksamhetens processer och dess handlingstyper.
För varje handlingstyp finns beskrivande och styrande information som t ex format, gallring, lagring och förvaring.
Den skulle jag gärna vilja ta del eftersom den ju vore en första ingång för att förstå vilken information som Lantmäteriets processer hanterar.
Detta verkar dock bara vara en teaser för planen är inte tillgänglig på webben och det finns heller ingen hänvisning till hur jag skulle kunna ta del av den.
Däremot kan jag klicka mig i in informationsredovisningsverktyget där jag kan få ta del av Historik och information om Lantmäteriets föregångare hittas i på respektive arkivbildare.
Det är alltså själva arkivredovisningarna som ligger här.
Märkligt nog är även det nya materialet ordnat enligt allmänna arkivschemat framtaget 1903 och sammantaget är detta inte ett sätt att presentera information för målgrupper utanför den snäva arkivariekretsen.
För att ändå vara någorlunda rättvis kan en högmotiverad utomstående få ett visst grepp om det historiska materialet men knappast en insyn i dagens verksamhet.
Att det står är missvisande; något diarium kan jag inte hitta utan vad som gäller är att ta personlig kontakt med registratorerna om man inte söker remisser och remissvar samt rapporter som presenteras under egna flikar.
Sammantaget är bedömningen att Lantmäteriet möjligen har en halvgod offentlighetsstruktur när det gäller arkivbildningen men knappast när det gäller pågående verksamhet.
Tesen att en satsning på öppna data med automatik leder till samma engagemang i insynsfrågor finner inte särskilt mycket stöd här.
Det är kanske litet dumt att titta på en myndighet där jag själv arbetat eftersom jag då har en betydligt bättre förförståelse än den vanlige invånaren.
Men eftersom MSB har en roll gällande psykologisk försvar och i att motverka informationspåverkan tycker jag det är intressant att se om och hur myndigheten själv understödjer källkritik med en god offentlighetsstruktur.
Tyvärr finns inte ens ett diarium tillgängligt (remisser och remissvar finns utlagda).
Tanken verkar vara att man ska ringa eller maila registraturen.
Med min ”lokalkännedom” uppfattar jag det som att MSB:s webbplats är tämligen orörd sedan myndighetens tillblivelse 2009.
Om något ska göras åt detta jungfruliga tillstånd bör en god offentlighetsstrukturen vara ett centralt mål med tanke på de budskap som lämnas till externa parter om vikten av källkritik.
Efter detta tappar jag litet motivationen att närgranska fler myndigheters webbplatser.
Jag bläddrar igenom eSams övriga medlemmar, d.v.s.
myndigheter som uttryckt ett stort intresse för digitalisering: Migrationsverket, Statens Servicecenter, Arbetsförmedlingen, Kronofogden… Det ser ungefär likadant ut hos de flesta, i korthet hänvisar man till att ta kontakt med registrator.
Det verkar ha formats en icke-uttalad standard för hur liten ansträngning myndigheter tillåts göra för att skapa insyn.
För mig är det förvånande att omvärlden, och då kanske allra mest journalister, finner sig i den dåliga insynen i myndigheters verksamhet och att kritiken som riktas då riktas nästan enbart mot bristande diarieföring och rutiner för utlämnande.
Exempel på detta är när Peter Wolodarski idag riktar en helsida med i och för sig mycket välmotiverad kritik mot UD för att man tar alldeles för lång tid på sig att lämna ut handlingar.
Wolodarski utvecklar den kritik som redan framförts av om brister i diarieföring och utlämnande.
Självklart är detta brister som måste tas på stort allvar och i sitt svar på Facebook säger Margot Wallström att hon ska göra det: I DN i dag den 15 oktober tar Peter Wolodarski upp de anmärkningar som Utrikesdepartementet fått från Justitieombudsmannen för att inte skyndsamt nog ha lämnat ut information om mejl om Sveriges kampanj till FN:s säkerhetsråd.
Det ska inte råda något tvivel om att jag delar Wolodarskis syn på värdet i offentlighetsprincipen.
Öppenhet och transparens är värden som Sverige förknippas med och främjar över hela världen.
I det aktuella fallet begärdes information om drygt 74 000 mejl ut.
För vart och ett måste vi ta ställning till om någon uppgift omfattas av sekretess i enlighet med offentlighets- och sekretesslagen.
Det är ingen liten uppgift: grovt skattat bedöms detta ärende ta ungefär ett och ett halvt års arbetstid.
JO bedömer att UD inte har handlagt ärendet tillräckligt skyndsamt.
I vissa fall har UD, enligt JO, inte heller tagit ställning löpande till registrering av mejl i ärendet.
Som departementschef för UD ser jag allvarligt på JO:s anmärkningar.
UD har sedan år 2014 sett över och förändrat rutinerna för hur vi hanterar utlämning av handlingar.
Förfrågningar om att få ta del av allmänna handlingar är arbetsuppgifter som ska hanteras skyndsamt och gå före annan verksamhet, och vi tillsätter extra resurser vid arbetstoppar.
Vi fortsätter nu vårt arbete för att förbättra dessa rutiner Men även om diarieföringen och utlämnandet skulle fungera oklanderligt enligt de normer som gäller idag menar jag att detta inte på något sätt är tillräckligt för att skapa en god offentlighetsstruktur på det sätt som OSL kräver, bl.a: Varje myndighet ska upprätta en beskrivning som ger information om 1. myndighetens organisation och verksamhet i syfte att underlätta sökande efter allmänna handlingar, 2. register, förteckningar eller andra sökmedel till myndighetens allmänna handlingar, 3. tekniska hjälpmedel som enskilda själva kan få använda hos myndigheten för att ta del av allmänna handlingar, Jag hävdar att det med dagens teknik är fullt möjligt att ge offentlighetsprincipen ett reellt innehåll, ge insyn, ge möjlighet till förståelse för vilken information som finns och ge tillgång till allmänna handlingar utan onödiga dröjsmål.
Men istället för god offentlighetsstruktur fortsätter vi med en fullständigt obsolet diarieföring.
Varför nöjer vi oss med så litet?
Varför låter vi inte digitaliseringens omvandlande kraft användas här där det är så angeläget?
Sällan har uttrycket ”på förekommen anledning” förefallit så relevant som när en promemoria angående presenterades och skickades på remiss i veckan.
Den konspiratoriskt lagde funderar naturligtvis vid vilken tidpunkt promemorian initierades och hur diskussionen gick då .
Nu är den i alla fall lagd och det är naturligtvis intressant att se på det faktiska innehållet.
Redan här bör det dock poängteras att promemorian endast gäller statliga myndigheter och därför saknar relevans i den senaste veckans diskussioner om kommunernas säkerhetsskydd till exempel.
Såvitt jag kan se innehåller den egentligen bara tre förslag på förändringar i säkerhetsskyddsförordningen som innebär konkreta förändringar.
För det första kompletteras rubriken för 16 § till att omfatta även utkontraktering (Överlåtelse av verksamhet som drivs av det allmänna).
På det sättet tydliggörs att reglerna även omfattar outsourcing av den typ som genomfördes vid Transportstyrelsen.
För det andra ska myndigheter som planerar att genomföra till exempel en outsourcing genomföra en särskild säkerhetsanalys: undersöka och dokumentera vilka uppgifter i den verksamhet som myndigheten avser att utkontraktera som ska hållas hemliga med hänsyn till rikets säkerhet och som kräver säkerhetsskydd (särskild säkerhetsanalys) Eftersom säkerhetsskyddsförordningen redan förutsätter att myndigheten ska ha koll på var det finns uppgifter som ska hållas hemliga bör detta i princip inte innebära något större merarbete.
Redan initialt vid en planerad outsourcing bör det ju vara klart om det förekommer hemliga uppgifter eller inte i den information som ska outsourcas.
Naturligtvis vet jag att det inte alltid är så i verkligheten men nu försöker jag ringa in vad som är det som kan tillkomma som nya element.
Den tredje förändringen är också den som innebär den stora förändringen, nämligen att det inte, om förslaget går igenom, längre räcker att själv upplysa den enskilde outsourcingpartnern om att säkerhetsskyddslagen som gäller för utkontrakterade.
Nu ska myndigheten också samråda med tillsynsmyndigheten (Försvarsmakten respektive SÄPO) om den planerade outsourcingen.
Myndigheten ska alltså ta sin särskilda säkerhetsanalys till sin tillsynsmyndighet för samråd redan innan upphandling inleds.
Tillsynsmyndigheten får också enligt förslaget ett mycket starkt mandat att styra upphandlingen och till och med stoppa den: Tillsynsmyndigheten får förelägga myndigheten att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen.
Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att säkerhetsskyddslagens krav inte kan tillgodoses trots att ytterligare åtgärder vidtas får tillsynsmyndigheten besluta att utkontrakteringen inte får genomföras.
Utdraget till sin konsekvens ger förslaget ett helt nytt rollspel där Försvarsmakten respektive SÄPO blir ytterst ansvariga för riskbedömningen medan myndigheten som ska outsourca i princip kan skicka in sin säkerhetsanalys och därefter sätta sig på läktaren.
Detta innebär både potentiella nackdelar som att ansvarsprincipen sätts ur spel och fördelar som att det tydliggörs vem som egentligen gjort bedömningen, d.v.s.
Händer det något med den information som outsourcats och alla de åtgärder som myndigheten förelagts av SÄPO kan vad jag ser inget ansvarsutkrävande ske mot myndigheten.
Hur SÄPO ska kunna hålla sig uppdaterade för att kunna göra korrekta riskbedömningar är för mig svårt att riktigt förstå.
Med tanke på förslagen till utvidgning av säkerhetsskyddslagens tillämpning i förslaget till säkerhetsskyddslag där det är mycket oklart vad som ska anses påverka ”Sveriges säkerhet” ser jag framför mig en ny flaskhals i den offentliga förvaltningen när SÄPO ska döma av alla större upphandlingar.
Det ska bli intressant att läsa remissvaren och se hur dessa frågor diskuteras av remissinstanserna.
I dessa dagar då vikten av att kunna gå till källan för att kontrollera fakta har blivit alltmer uppenbar borde offentlighetsprincipen lyfts fram som den nationalklenod den är bara av det skälet.
Så är inte fallet vad jag kan se, trots 250-årsjubileet förra året.
I så fall skulle den exempelvis haft en central plats i den nationella digitala strategin men avsnittet som börjar bra med Digitalisering bidrar till att skapa förutsättningar för ett öppet och inkluderande demokratiskt samhälle med goda möjligheter att uttrycka och sprida åsikter, idéer och information.
utmynnar endast i förslag rörande medier.
Ord som och förekommer överhuvudtaget inte i strategin.
Tråkigt tycker jag, särskilt med tanke på att insikten om insynens betydelse för ett väl fungerande samhälle fanns (i alla fall med hjälp av vissa politiska påtryckningar) till och med hos Adolf Fredrik (på bilden ovan) som annars mest intresserade sig för att svarva snusdosor.
Han undertecknade 1766 lagtexten som motiverade offentlighetsprincipen med: ”Att vi eftersinnat den stora båtnad allmänheten av en rättskaffens skriv- och tryckfrihet tillflyter i det en obehindrad inbördes upplysning uti varjehanda nyttiga ämnen icke allenast länder till vetenskapers och goda slöjders uppodling och utspridande, utan ock gifver en hvar af undersåtarne ymnigare tillfälle att dess bättre känna och värdera ett visligen inrättadt regerings-sätt; ävensom ock denna frihet bör anses för ett af de bästa hjälpmedel till sedernas förbättring och laglydnadens befrämjande, då missbruk och olagligheter genom trycket bliva för allmänhetens ögon ådagalagda.” Dagens ministrar är knappast distraherade av att svarva snusdosor, ändå missas hur gynnsamt insyn är för samhället i de förvaltningspolitiska utspelen.
Men trots allt är ju faktiskt offentlighetsprincipen, om än undanskymt, fortfarande det som gäller för myndigheter, landsting och kommuner.
I en digital verklighet skulle också själva innebörden av principen kunna förverkligas, långt bortom tunga ritualer bland uråldriga diarieföringsprinciper och pappershantering.
En positiv bieffekt av en mer digital och utvecklad tillämpning är att det också skulle kunna leda till ett indirekt försvar av offentlighetsprincipen som nu ibland ifrågasätts av att den kan vara administrativt tyngande för vissa verksamheter.
Det är naturligtvis ett orimligt argument men med en smidigare hantering skulle det återkommande ifrågasättande av enskildas möjlighet till insyn kunna reduceras så att det inte längre utgör ett hot.
I ett tidigare har jag skrivit om behovet av att utveckla offentlighetsprincipen och Peter Seipels viktiga text om de olika tolkningar som är möjliga.
Som jag ser det finns det både ett mycket stort behov av att utveckla offentlighetsprincipen samtidigt som möjligheterna att göra det i princip är oändliga.
Det som avgör är enbart om det finns en vilja att förbättra insynen eller inte.
Att döma av de insatser som hittills gjorts av regeringar oavsett färg de senaste decennierna, då frågor som 24-timmarsmyndigheter, e-förvaltning och digitalisering varit ständigt prioriterade, är viljan inte besvärande intensiv.
Faktiskt knappt synlig.
För att inte bara fördomsfullt anta saker har jag gjort ett litet test av nuläget.
Offentlighetsprincipen innebär inte enbart att man kan begära ut allmänna handlingar.
Myndigheten ska underlätta för den intresserade att få insyn i själva handlingarna men inte bara det; man ska även ha en så kallad god offentlighetsstruktur.
Detta beskrivs i offentlighets- och sekretesslagen (OSL) där det särskilt betonas att en myndighet särskilt ska beakta att enskilda bör ges goda möjligheter att söka allmänna handlingar samt: Varje myndighet ska upprätta en beskrivning som ger information om 1. myndighetens organisation och verksamhet i syfte att underlätta sökande efter allmänna handlingar, 2. register, förteckningar eller andra sökmedel till myndighetens allmänna handlingar, 3. tekniska hjälpmedel som enskilda själva kan få använda hos myndigheten för att ta del av allmänna handlingar, 4. vem hos myndigheten som kan lämna närmare upplysningar om myndighetens allmänna handlingar, deras användning och sökmöjligheter, 5. vilka bestämmelser om sekretess som myndigheten vanligen tillämpar på uppgifter i sina handlingar, 6. uppgifter som myndigheten regelbundet hämtar från eller lämnar till andra samt hur och när detta sker, och 7. myndighetens rätt till försäljning av personuppgifter.
Vad är då rimliga förväntningar på god offentlighetsstruktur idag om man redan 1766 beslutade följande: ”och bör till den ändan uti alla arkiver fri tillgång lämnas att sådana handlingar få avskriva på platsen eller utbekomma i bevittnad avskrift och det vid samma tjänsteansvar som nyss nämnts” Själv tycker jag att det är en miniminivå utifrån OSL:s krav i ett digitalt Sverige att myndigheters webbplatser ska vara ingången för den enskilde att söka information inte bara om myndighetens tjänster utan om vilka allmänna handlingar som finns i myndigheten.
Det bör alltså finnas en beskrivning av myndighetens processer och den information som genereras ur dessa processer alternativt stödjer processerna.
Eftersom myndigheter ändå enligt en föreskrift sedan är skyldiga att ha en processorienterad arkivredovisning borde inte detta vara ett ohemult krav.
Sättet att beskriva verksamheten och informationen måste självklart vara så att en utomstående kan förstå den utan att ha kontakt med myndighetens personal, typ registratorer.
Det är viktigt att understryka att det inte går att begränsa sig till vilka handlingar som finns registrerade i diariet vilket ju naturligtvis är en bråkdel av alla de allmänna handlingar som finns i myndigheternas it-tjänster och -system.
Inte heller kan offentlighetsstrukturen sägas gälla de tjänster som en myndighet har i förhållande till allmänheten – insynen måste riktas främst mot myndighetens egen verksamhet om den ska tjäna de syften som uppställts.
Som utomstående bör jag också ha möjlighet att söka på och identifiera enskilda allmänna handlingar, även detta utan att behöva ta kontakt med myndigheten.
Myndigheten bör också i detta sammanhang kunna redovisa väsentliga uppgifter som om på vilket sätt personuppgifter kan ingå i olika handlingar och vilka gallringsbeslut som fattats om olika informationsmängder.
Slutligen bör jag kunna ta del av handlingarna digitalt.
Inte heller detta gäller endast de handlingar som finns i diariet utan samtliga allmänna handlingar.
En sekretessprövning måste i många fall ske innan utlämnandet men även detta är en rutin som borde kunna effektiviseras och där de handlingar som per definition är offentliga ligger tillgängliga för nedladdning.
Så är ju redan fallet med protokoll m.m.
från de politiska församlingarna i kommunerna.
För att göra en liten temperaturmätning har jag formulerat, i mitt tycke, tre rimliga frågor för test på några myndigheter/kommuner för att se hur utvecklad deras offentlighetsstruktur är: För att börja uppifrån tänkte jag i det här blogginlägget börja med några centrala myndigheter.
Med avsikt avstår jag från att testa regeringens hemsida eftersom jag redan tillbringat mycket tid med att snurra runt på den för att söka information – sällan med önskat resultat.
Istället tänkte jag titta på några myndigheter som har uppdrag så att de skulle kunna påverka offentlighetsstrukturen hos andra myndigheter alternativt varit delaktiga i nationella digitaliseringsaktiviteter.
Riksarkivet har vid sidan om uppdraget om det långsiktiga bevarandet också gett ut föreskrifter om bland annat arkivredovisning vilket är grunden för hur myndighetens allmänna handlingar redovisas.
Myndigheten har även ingått i E-delegationen och där haft uppdrag bland annat att genomföra projekt om e-diarium.
Riksarkivet har sedan den 1 juli år 2016 i uppdrag att främja arbetet med att tillgängliggöra information och öppna data från statliga myndigheter.
Detta är ett axplock av Riksarkivets aktiviteter på området vilket skulle föranleda en att tro att myndighetens egen offentlighetsstruktur är väl utvecklad.
På finns ingenting som leder en besökare intresserad av Riksarkivets verksamhet och de allmänna handlingar som stödjer den.
Jag går via Om Riksarkivet vidare till Om oss och kan då gå in på fliken Organisation som visare den traditionella matrisbilden.
Organisationen beskrivs också i fyra ”processområden” vilket känns något motstridigt som begrepp men ger en ganska tydlig bild av vad man sysslar med.
Däremot saknas helt uppgifter om vilken information som stödjer processerna.
Jag gör en sökning på diarium för att kanske hitta myndighetens diarium så att jag åtminstone kan se vilka allmänna handlingar som är diarieförda men får då 202 träffar som handlar om olika projekt som Riksarkivet deltagit i för att bland annat utveckla e-diarium.
En känns aningen ironisk: en nyhetsnotis om en rapport där Riksarkivet framhåller de enorma samhällsvinster som skulle kunna göras med e-diarium och e-arkiv.
Det är möjligt att de bland de 202 träffarna döljer sig något litet myndighetsdiarium som jag inte upptäckte när jag skummade igenom söklistan men då är det så väl dolt att i praktiken inte är sökbart.
Vad jag kan se är de enda allmänna handlingar som identifierade, sökbara och även möjliga att ta del av digitalt de remissvar som Riksarkivet skrivit.
Det är svårt att säga något annat att det är ett klent resultat för en myndighet som borde hålla fanan högt för en god offentlighetsstruktur.
Pensionsmyndigheten är en stor myndighet och har också varit involverad i flertalet mer eller mindre lösa organisationer inom digitaliseringsområdet som exempelvis E-delegationen.
Myndigheten är nu hemvist för eSam, ett medlemsdrivet program för samverkan mellan 21 myndigheter och SKL.
Samarbetet syftar till att underlätta och påskynda digitaliseringen av det offentliga Sverige.
På Pensionsmyndighetens webbplats finns betydligt mer av den information jag söker än hos Riksarkivet.
Från första sidan kan jag gå in via O och klicka vidare till en föredömligt tydlig box: Lagar, regler och allmänna handlingar.
Här finns en länk till en arkivbeskrivning i pdf-format som också ger exempel på handlingar som används i olika ärendeslag/processer.
Arkivbeskrivningen redovisar också sökverktyg som finns samt Pensionsmyndighetens gallringsregler.
Exemplariskt ur arkivariesynpunkt men sannolikt svårt att koppla informationen till en enskild handling som önskar göra det; t.ex.
för att begära ut en enskild handling eller försöka se om en handling som man vill ta del av kommer att gallras.
Dessutom finns ett e-diarium som lider av den svaghet som alla andra diarier har, nämligen att man måste vara registrator för att kunna använda det som söksystem.
Heliga åtgärder som att man måste lägga in datum för att kunna få fram resultat är en avgörande nackdel för den som är van att googla men så är inte heller diarieföringssystemen utformade för att ge bredare allmänhet sökmöjligheter.
Eftersom det saknas fritextsökning måste den som söker ha mycket hög grad av förförståelse för att kunna göra en lyckad sökning.
Här måste jag veta vilken typ av ärende som Pensionsmyndigheten anser att en handling ingår i eller vem som är ”motpart” för att kunna göra en sökning.
När jag skriver in ”digitalisering” får jag exempelvis fram enbart två handlingar eftersom det är de enda handlingar (gissar jag) som har ”digitalisering” i rubriken.
Det saknas alltså metadatahantering vilket leder till att en myndighet som har haft väldigt många fingrar i digitaliseringsburken ändå via sitt diarium framstår som helt utanför.
Den instruktion till diariet som presenteras visar väl litet på svårigheterna: Ange namn på ett ärende eller motpart.
Du kan skriva in hela eller delar av namnet.
Du kan söka ärenden inom olika verksamhetsområden.
Du kan söka bland pågående ärenden, avslutade ärenden eller alla ärenden.
Ett ärende-ID består av ett prefix (till exempel VER), årtal och löpnummer och skrivs på följande sätt: VER 2010-2.
Via datumfälten anger du vilket datumintervall sökningen ska göras inom.
Sökresultatet sorteras efter datum som du själv kan sortera på.
Man kan också gå in via som redovisar diarienummer, ärenderubrik och datum för handlingar som diarieförts de senaste sju dagarna.
Även här krävs ofta en hög grad av förförståelse för att kunna tillgodogöra sig informationen och handlingarna är inte läsbara i sig en när de är uppenbart offentliga.
Sammantaget har Pensionsmyndigheten gjort en stark ansats för att få en god offentlighetsstruktur men fortfarande känns det som att det är starkt inifrån-och-ut-perspektiv som präglat det som gjorts.
De är olika delar som satts ihop utan att en riktig synergi uppstått och e-diariet som är den enda egentliga sökmöjligheten är dels inte ett fungerande sökverktyg för en utomstående, dels innehåller det endast begränsade delar av de allmänna handlingar som finns inom myndigheten.
Det går inte heller att förstå var det förekommer personuppgifter eller vilka handlingar som gallras när.
En annan viktig myndighet i digitaliseringsbranschen är ESV som ska stödja regeringen och Regeringskansliet med att ta ett helhetsgrepp om digitaliseringen och driva utvecklingen framåt, tillsammans med myndigheterna.
Bland annat genom att analysera den offentliga sektorns digitalisering, följa myndigheternas it-användning, utveckla metodstöd och ge stöd inom nyttorealisering.
Det är också ett uppdrag som förpliktigar och där ambitionen för den egna verksamhetens digitala hantering borde finnas.
Att döma av ESV:s webbplats ligger myndigheten tyvärr på samma nivå som Riksarkivet med enbart remissvar som tillgängliga allmänna handlingar.
Genomgången av de tre myndigheterna gav inte ett positivt resultat.
Jag kan ana flera bakomliggande orsakerna till det dåliga utfallet som inte är knutet till de enskilda myndigheterna utan snarare är generella.
Det främsta skälet tror jag är att offentlighetsprincipen obekväm.
Bara häromdagen hörde jag en statlig tjänsteman till synes obrydd förklara att hen inte brydde sig om att diarieföra handlingar eftersom det var så jobbigt när utomstående började ringa och fråga om ärendet.
Men det obekväma ligger också på en helt annan nivå, kunskap är makt och en tämligen oproblematisk hypotes är att den som har makt gärna vill ha kvar den orubbad.
Kanske är det därför det finns så få högljudda förespråkare för verklig insyn bland högre tjänstemän och politiker.
En annan orsak är den rådande förvaltningsfilosofin som är och under en längre tid har varit starkt influerad av New Public Management där offentlig sektor ses i huvudsak som en tjänsteleverantör bland andra.
Eftersom denna trend har varit i princip synkroniserad med digitaliseringen har demokrati- och insynsaspekter varit kraftfullt nedprioriterade.
Ett tredje skäl kan vara den bristande styrning myndigheter internt har av sin informationshantering.
Min erfarenhet är att många myndigheter inte styr sin informationsförsörjning på ett systematiskt sätt och därmed kan man inte heller presentera den på ett begripligt sätt utåt.
Sannolikt är den bristande sökbarheten och den fragmentariska beskrivningen den samma inifrån som utifrån, något som inte gynnar verksamheter som är helt beroende av sin informationsförsörjning.
Sammantaget finns allt att vinna på att ägna sig åt att utveckla den goda offentlighetsstrukturen vilket alldeles särskilt bör gälla de myndigheter som i någon mån ska utgöra föregångare för andra.
Jag tar gärna emot synpunkter på det jag nu skrivit, om det är missvisande, har felaktiga utgångspunkter eller om jag missat något på de webbplatser jag gått in på.
I dessa dagar då persikorna äntligen mognar trots den sommar som aldrig var har jag egentligen inte tid med budgetproppen.
Men trots att persikorna insisterar på en omedelbar syltning kommer här ändå några reflektioner med anledningen av regeringens intentioner gällande informationssäkerhet, dock med disclaimern att jag inte i detalj har studerat samtliga av de knappa 4000 sidorna.
Föga förvånande är informationssäkerhet ett prioriterat område.
Efter det senaste årets skandaler samt det så beramade ”förändrade omvärldsläget” så kommer sannolikt inte regeringens satsningar på informationssäkerhet i olika former att väcka motstånd hos oppositionen.
Själv skulle jag ändå vilja resa frågan om det i första hand är pengar som saknas för att förbättra säkerheten.
Men först till själva pengaregnet.
När jag nu håller på att försöka formulera förslag på komponenter i en nationell styrmodell har jag tagit fram en idébild för mig själv för att förstå de många former som informationssäkerhet förekommer i på en samhällsnivå.
Redan här vill jag utfärda en stark varning för bristen på logik i bilden.
Samtidigt vågar jag mig på att hävda att denna brist inte enbart beror på mina egna tillkortakommanden utan i kanske lika hög grad på att den verklighet jag försöker beskriva saknar logik.
Viktigt för att förstå bilden är samtliga fyra former av behov av/krav på informationssäkerhet kan förekomma i samma organisation.
De avklingande pilarna syftar till att försöka beskriva en intresseavvägning; i det ”normala” säkerhetsarbetet sker riskbedömningar hela tiden där hänsyn hela tiden måste tas till andra värden för den egna organisationen och samhället medan i den andra änden är säkerhetskraven mer absoluta.
Ett exempel på det senare är ju av att demokratiska rättigheter som insyn inte kan anföras då de ställs som säkerhetsbedömningarna.
Jag kommer att återkomma till den här bilden i senare inlägg, just nu använder jag den bara för att resonera kring budgetproppen.
Det mest revolutionerande var den digitaliseringsmyndighet som regeringen beslutat ska skapas under 2018 med ett anslag första året som är något högre än ESV:s (vilket är litet ironiskt eftersom ESV har varit en av de starkaste lobbyisterna för digitaliseringsmyndighet och en kandidat för att bli det).
Det är alltså ingen liten myndighet man konstruerar även om anslagen planeras att sjunka längre fram.
Förutom att man slänger in hanteringen av tjänster som e-legitimation och Mina meddelanden får den nya myndigheten ansvar för att samordna arbetet med Öppna data.
Myndigheten kan väl ses som ett nytt och något mer kraftfullt försök att samordna digitaliseringen efter raddan av tämligen misslyckade initiativ från Toppledareforum och framåt till e-Delegationen och Digitaliseringskommissionen.
I budgetpropositionen står inget vad jag kan se om att myndigheten ska ha något särskilt ansvar för informationssäkerhet men i intervjuer med bland annat civilminister Shekarabi efter att proppen presenterats luftas sådana tankar som .
Att informationssäkerhet är en förutsättning för en lyckad digitalisering är något som både jag själv och andra framfört med emfas så principiellt är det en naturlig tanke att sammanföra frågorna.
Vi är då i boxen ”normal verksamhet”.
Mandatet, ansvaret och uppgiften är dock synnerligen oklart.
Det utökade förvaltningsanslaget till MSB på 40 miljoner till informationssäkerhet och psykologiskt försvar får väl ses som något som hamnar i boxarna ”samhällsviktig verksamhet” respektive ”totalförsvar/civil beredskap”.
Här bör det betonas att det är tillskott till redan omfattande medel.
Jag uppfattar att den generella inriktningen för MSB blir tydligare och tydligare civilt försvar och samhällsviktig verksamhet vilket sannolikt kommer att prägla även myndighetens insatser inom informationssäkerhetsområdet.
Utrymmet för denna typ av spekulationer är stort eftersom det inte finns någon offentliggjord strategi från myndigheten.
SÄPO får en rundlig extra dusör för att arbeta med den nya säkerhetsskyddslagen.
Vad Försvarsmakten och SÄPO i övrigt gör inom informationssäkerhetsområdet är svårt att överblicka utifrån på grund av den sekretess som råder.
Att PTS föreslås få ett årligt tillskott på 13 miljoner för att ”vidta åtgärder som säkerställer myndighetens långsiktiga arbete avseende säkerhetsskydd och informationssäkerhet för att bättre möta förändrade och framtida krav som ställs.” är däremot en öppen uppgift i proppen.
Här dyker alltså återigen boxarna för totalförsvar och säkerhetsskydd upp.
Sådär kan man fortsätta att hoppa omkring i budgetpropositionen för att försöka greppa statens insatser för att förbättra informationssäkerhet.
För mig framstår de krav på informationssäkerhet som ställs i den normala verksamheten och som stödjer intressen som är centrala för individen, demokratiska värden, ekonomi och effektivitet påfallande nedprioriterade.
Detta trots att samma budgetproposition understryker behovet av ökad digitalisering.
Det hänvisas i proppen till strategierna för informations- och cybersäkerhet respektive för digitalisering men som jag i tidigare blogginlägg beskrivit är båda dessa styrdokument egendomligt inriktade mot säkerhetsskydd.
De värden jag låtit symboliseras i form av pilar blir därmed som jag ser det osynliggjorda och inte medtagna i en större riskanalys som omfattar mer en ren säkerhet.
Det är till nackdel både för enskilda och för samhället i stort.
En liknande outtalad prioritering görs inom digitaliseringsområdet där öppna data lyfts fram som en viktig uppgift för den nya digitaliseringsmyndigheten medan möjligheten att förbättra den demokratiska insynen i myndigheternas verksamhet inte alls omnämns.
Självklart måste Sverige följa PSI-direktivet men det vore en fördel med ett motsvarande engagemang för att förverkliga kraven som emanerar ur grundlagen på god offentlighetsstruktur och insyn.
Obalansen mellan näringslivsintresset för öppna data och det demokratiska intresset av en öppen och tillgänglig förvaltning kan förmodas ha ett ursprung i att it-frågorna hittills legat på näringsdepartementet.
Detta är ju tämligen ologiskt eftersom regeringens (oavsett färg) inriktning inom digitaliseringsområdet främst varit att utveckla förvaltningen vilket borde motiverat en placering tillsammans med övriga förvaltningsstyrningsfrågor.
Problemformuleringen påverkas naturligtvis av i vilket politikområde som har taktpinnen.
Nu tyder vissa budgetanslag på en förflyttning av frågan i rätt riktning.
Min upplevelse efter att ha läst strategierna för digitalisering respektive cyber- och informationssäkerhet tillsammans med den budgetproposition där strategiernas första steg mot ett förverkligande är att de båda områdena lider av liknande brist på inriktning.
Jag har redan klankat på strategierna och budgetpropositionens riktningslöshet bekräftar mina farhågor.
När det gäller säkerhetsområdet kan jag inte urskilja något som tyder på att det genomförts en riskanalys som motiverar fördelningen av medel.
Istället förefaller det vara samma typ av brandsläckningsinsatser på nationell nivå som förekommer i organisationer som saknar ett systematiskt.
Inte heller kan jag se något samband mellan de olika satsningarna eller stöd för de olika involverade myndigheterna att samordna sig.
För att hitta en positiv trådände så skulle det kunna finnas Ariadnetråd ut ur labyrinten om digitaliseringsmyndigheten skulle kunna formeras till en fungerande myndighet med styrkraft och som kan ta över informationssäkerhetsfrågorna för den normala verksamheten.
Om värdena i de fyra pilarna lyfts fram som frågor som ska ligga i myndighetens uppdrag att driva skulle hypotetiskt sett en bättre balans mellan säkerhet och verksamhetsnytta kunna uppnås.
På sätt skulle även försummade frågor som stöd för enskildas säkerhet kunna kopplas ett digitalt medborgarskap liksom relationen mellan öppenhet och slutenhet kunna lyftas fram och avvägas.
En utveckling i denna riktning skulle kräva ett stort kulturskifte där digitaliseringsmyndigheten inte blir en statlig ideologifabrik av samma typ som exempelvis Digitaliseringskommissionen.
Jag är inte alldeles optimistisk då jag återgår till mina husmorssysslor.
De senaste månaderna har det knappt gått en dag utan att informations- och it-säkerhet utgör en del av medias huvudnyheter.
Det känns litet ovant att helt plötsligt arbeta med ett hett ämne men mediabevakningen ger också en insikt om hur området ser ut utifrån.
En inte helt uppbygglig syn: det finns stora problem som varit kända sedan länge och som det satsas omfattande resurser på för att lösa men där det råder förvirring i hur de aktörer som arbetar med frågan ska koordinera sig.
Vanligt förekommande reportage är en myndighetsrepresentant som presenterar hotbilder med tillägget att den egna myndigheten har förslag på lösningar som går att fixa bara man får mer pengar.
En trött metafor är klassfotboll där alla sjuåringar springer på bollen samtidigt, i mitt huvud har istället titeln på en pjäs av Pirandello dykt upp: Sex roller söker en författare.
Det behövs helt uppenbart ett gemensamt manus för samhällets aktörer.
Efter några inlägg av ständigt gnäll är det dags att skriva litet mer om vad som kan göras.
Då menar jag inte för den enskilda organisationen utan litet mer pretentiöst på den nationella nivån.
I några inlägg ska jag resonera om den nationella styrmodell för informationssäkerhet som den enhet jag ledde på MSB började arbeta med, ett arbete som dess värre aldrig hann fullföljas.
Inläggen kommer att i huvudsak utgå från offentlig sektors behov men eftersom det finns ett stort antal privata aktörer som deltar i leveransen av det gemensamma åtagandet är det inte ett helt konsekvent perspektiv.
Utgångspunkten är att trots avsevärda insatser tycks inte informationssäkerheten förbättras nämnvärt i förhållandet till den digitala utvecklingen.
Gapet mellan den verkliga säkerhetsnivån och den önskvärda ständiga ökas istället för att slutas.
Eftersom bilden är genomgående och den samma oavsett om det är myndigheter, landsting eller kommuner vi pratar om får det ses som ett strukturproblem som sannolikt inte går att avhjälpa i den enskilda organisationen utan kräver en gemensam styrning.
Och även om det förekommit mycket fnysande kommentarer efter både skandalen vid Transportstyrelsen och nu senast om polis-debaclet av typen ”hur svårt kan det vara?” så är nog min uppfattning att det inte så himla enkelt att göra rätt som vissa vill hävda.
Orsaken är både bristen på samordning och en attityd hos de myndigheter som ska ge stöd som inte skulle ge full poäng i en kundnöjdhetsundersökning.
En annan premiss inte är fråga.
Även om vi bortser från det semantiska kaos som rått i den senaste tidens mediabevakning där begreppen informations-, it- och cybersäkerhet flugit som konfetti i luften återstår ett behov av att se olika dimensioner.
En grundläggande skillnad ligger i å ena sidan verksamhetens eget behov och å andra sidan statens krav på verksamheten.
Statens krav är sig mångtydiga från att skydda rikets säkerhet till att se till samhällets funktionalitet vilket inte är riktigt samma sak och dessutom tillkommer all upptänklig lagstiftning som innebär implicita krav på säkerhet.
Informationssäkerhet kan rimligen ses som en metodlåda som kan och ska användas i olika syften som är delvis motstridiga.
För att ta ett aktuellt exempel fick i dagarna FRA och MUST förstärkning med närmare en halv miljard för att åtgärder inom informations- och .
I kommentarer framgår det att avsikten är att utöka övervakningen med bland annat ytterligare sensorsystem.
Samtidigt ställer dataskyddsförordningen krav på stärkt personlig integritet vilket föranleder ett antal informationssäkerhetsåtgärder.
Att säga att ökad trafikövervakning inte direkt gynnar den personliga integriteten är väl inte att ta till överord.
Och så har vi NIS-direktivet som ska införas och som inte heller har mycket att komma med i det hänseendet mer än detta: Paragrafen genomför artikel 14.1–2 i NIS-direktivet.
Valet av säkerhetsåtgärder enligt 11 och 12 §§ ska grunda sig på en riskanalys.
Analysen ska kunna användas som beslutsstöd för leverantörens prioriteringar och avvägningar mellan olika typer av säkerhetsåtgärder i förhållande till tjänstens funktionalitet, finansiella och administrativa konsekvenser samt skyddet för den personliga .
Medan OECD tycker det är integritetsfrågorna är livsviktiga för den digitala ekonomin och att integritet och informationssäkerhet tillsammans måste tjäna som en plattform för diverse positiva utvecklingsfaktorer.
The OECD focuses on the development of better policies to ensure that security and privacy foster economic and social prosperity in an open and interconnected digital Informationssäkerhet är alltså en für från totalförsvaret till den enskildes säkerhet vid e-handel.
Många organisationer får därför hantera en mycket komplex kravbild på informationssäkerhet som idag inte är samordnad.
En styrmodell för informationssäkerhet skulle fylla en väsentlig funktion genom att integrera mångfalden av delvis motstridiga krav till en helhet.
Om detta inte sker på nationell nivå tvingas varje enskild organisation försöka lösa samma frågor med varierande resultat.
Förutom ett gigantiskt resursslöseri leder det också till försämrad förmåga att samverka i den gemensamma informationshantering som idag redan är uppbyggd samt till kvalitetsproblem.
Som så ofta vill jag här peka på kommunernas prekära situation när de med små organisationer ändå förväntas klara detta.
Utanför själva styrmodellen ligger en avgörande förutsättning: den offentliga sektorns användning av olika typer av it-resurser.
Informationssäkerheten måste vara utformad så den svarar på de behov som användningen av it skapar.
De säkerhetsåtgärder som behövs är av helt olika typ beroende på om den strategiska inriktningen är att man ska fortsätta på den väg mot ”cloud first” som tidigare beslutats eller om det ska ske en återgång mot mer drift och förvaltning i egen regi.
Detta påverka även faktorer som långsiktiga behov av investeringar i teknik och kompetensförsörjning.
Men inte bara de explicita målen för it-politiken spelar roll.
Att it-politik idag fortfarande, liksom under Alliansens regeringstid, ligger kvar som en näringspolitisk fråga ger en väsentlig förklaring till avsaknaden av tydlig inriktning för offentlig sektors digitalisering.
Detta är inte bara ett signalvärde utan gör att digitaliseringen ligger utanför den övriga förvaltningspolitiken.
Mycket påtagligt präglar det den lätt förvirrade strategin för Ryggmärgsreflexen för många i säkerhetsbranschen när man talar om styrning är ”reglering”, ett kvardröjande arv från den militär-polisiära bakgrunden.
Jag tror dock att det finns stora fördelar i att försöka se på styrningen av informationssäkerhet som på styrningen av övriga områden inom staten och den offentliga sektorn.
Att begrunda hur den svenska förvaltningsstyrningen generellt är tänkt att fungera är ett fruktbart spår där lärdomar kan dras till exempel från ESV:s breda uppdrag.
Personligen menar jag att den inom informationssäkerhetsområdet kanske mest underutnyttjade men samtidigt mest effektiva styrformen är kunskapsstyrning.
Styrningen kan inte heller ske enbart från de myndigheter ”med särskilda uppgifter inom området informationssäkerhet”.
En stor del av kraven på informationssäkerhetsåtgärder genereras från annat håll och då inte enbart från dataskyddsförordningen utan en mängd lagar, avtal och överenskommelser.
Min tolkning är att den förändrade kravbilden också kommer att förskjuta styrningen mot mer proaktivitet än den i huvudsak reaktiva inriktning som hittills varit rådande där insatser som tillsyn och incidentrapportering varit prioriterade.
Som den löshäst jag numera är, utan de förpliktigande hämskor som tyvärr vidlåder den statlige tjänstepersonen idag, tänkte jag unna mig att fritt spekulera i några inlägg om förutsättningarna för en nationell styrmodell och hur den skulle kunna se ut.
Inledningsvis ska jag uppmärksamma olika aktörer inom informationssäkerhetsområdet, vad de erbjuder idag samt (något förmätet) försöka bedöma en eventuell utvecklingspotential.

Energi (elektricitet, olja, gas) Transporter (lufttransporter, järnvägstransporter, sjöfart, vägtransport) Bankverksamhet Finansmarknadsinfrastruktur Hälso- och sjukvård (hälso- och sjukvårdsmiljöer [inklusive sjukhus och privata kliniker]) Leverans och distribution av dricksvatten Digital infrastruktur Initiera akut felavhjälpning Inleda återställelsearbete (kontinuitetshantering) Ge underlag för långsiktig förbättring Rapportering internt och externt Indirekt: försörja riskanalys ocht i stort Får jag en beskrivning av verksamheten och av de allmänna handlingar som är kopplade till myndighetens processer?
Kan jag själv söka och identifiera enskilda allmänna handlingar?
Kan jag ta del av handlingarna digitalt?

alltid 3 § personuppgiftsincident: incident incidenthantering diarieföra registrerade.
Informationshanteringsplan, 2 § 2 § Så söker du i e-diariet en

Meny Författare: Inläggsnavigering

Integritet och hälso- och sjukvård Lantmäteriet MSB Riksarkivet Pensionsmyndigheten ESV

Beskrivning av en myndighets allmänna handlingar

MENU MENU Fia Ewald Postat av Postad i , , Tagged , , , Postat av Postad i , , , Tagged , , , Postat av Postad i , Postat av Postad i , , , Postat av Postad i , , , , , Postat av Postad i , , , Postat av Postad i , , , Postat av Postad i , , , Postat av Postad i , , Postat av Postad i , , , , ← → Sök efter:

Befolkningens inställning till nytta och risker med digitala hälsouppgifter Vad är din uppfattning om att olika vårdenheter får tillgång till varandras journaler?
Informationssäkerhet och sekretess riktighet tillgänglighet processer Om oss Diariet och informationsredovisning Diariet och informationsredovisning och utkontraktering Demokratin värnas i digitala miljöer insyn offentlighetsprincip 4 kap.
Allmänna åtgärder för att underlätta sökande efter allmänna handlingar, m.m.
Senast diarieförda handlingar

Jag kan faktiskt inte släppa den här debattartikeln från , undertecknad av bland annat en utmanare om partiledarposten.
Den illustrerar tydligt några orsaker till Transportstyrelse-skandalen och den ännu större skandalen: den usla informationssäkerheten i vården.
För att inte genast mötas med argument som att ”vill du ha tillbaka pappersjournalerna då?” vill jag föra till protokollet att jag är en varm anhängare av digitalisering – men på rätt sätt och med tillräcklig säkerhet.
Här har vi ett parti som efter en sommar då informationssäkerhet var huvudnyhet i alla medier, en generaldirektör och två ministrar fått avgå och en tredje sannolikt även han på väg.
När detta inte får dem att dra slutsatsen att när helst digitalisering diskuteras måste det följas av åtminstone ordet informationssäkerhet är det svårt att ens fantisera om vilken medial atombomb som skulle väcka dem.
Att dessutom hävda att vårdens utmaningar inom informationshantering skulle kunna avhjälpas genom digitalisering är att banalisera frågan på ett sätt som är närmast en förolämpning mot de som arbetar i vården.
Alla som sett hur överdokumentation och byråkratisering har växt i takt med de New Public Management-ideal som präglat vården sedan slutet av åttiotalet (och som haft mycket varma förespråkare i Liberalerna) inser att det inte räcker med att slänga in nya appar och plattor för att förändra arbetssituationen.
Jag tror inte heller att de som är praktiska utförare av vård är tillfreds med appar som gör att patientuppgifter hamnar på okända servrar i USA, tjänster som gör att uppgifterna om läkemedel inte är korrekta, att deras signatur under en ordination kan vara satt av någon annan eller att trygghetslarmen i vart femte fall inte fungerar.
Informationssäkerhet motverkar inte patientens eller personalens intresse utan är något som skapar kvalitet i vården.
Att debattörerna lyckas förtränga de nya krav på informationssäkerhet som kommer att ställas redan nästa år genom dataskyddsförordningen och NIS-direktivet är gåtfullt.
Den bekymmerslösa hållningen till lagstiftning och annan demokratiskt beslutad styrning är visserligen inte något nytt.
Jag har irl hört en av debattörerna på ett raljerande sätt uttala sig om PuL och Datainspektionen vilket tydligen är en fastslagen hållning som gäller även MSB som : ”Vi som beslutsfattare måste vara modigare att driva orimliga tolkningar till prövning.
Vi kan annars ducka för en bedömning från datainspektionen, MSB eller en lagstiftning som samlar damm någonstans.
När lagstiftningen får orimliga konsekvenser måste vi ta ansvar för en sådan förändring.
Här krävs det ganska stora ställningstaganden kring integritet för att exempelvis individbasera den”, säger Daniel Forslund.
och för att ta två färska exempel.
Personligen har jag svårt att kalla det att ”ducka” att följa lag och föreskrifter och att en av landets främsta offentliga makthavare ser det så är aningen svårsmält.
Jag vill påminna om att oviljan att underkasta sig lagstiftningen faktiskt är det som ledde till skandalen på Transportstyrelsen.
Att samma frifräsande ogenerat demonstreras av vårdens makthavare är bekymmersamt och ger en bild av orsakerna till dagens bristande informationssäkerhet i vården.
Vad som är ändå mer förvånande är artikeln satt i ljuset av Liberalernas starka vilja att profilera sig inom det säkerhetspolitiska området.
Att släppa fram en artikel om hälso- och sjukvård som kanske är den mest samhällsviktiga av alla verksamheter som inte tar hänsyn till att verksamheten ska fungera vid större störningar och som en del av totalförsvaret skapar frågor.
Att driva på en digitalisering för normalläget är inte tillräckligt, det måste även finnas fungerande robusta lösningar när vi som bäst behöver dem.
Har partiet överhuvudtaget en sammanhållet säkerhetspolitisk linje?
Eller finns det en linje i Försvarsutskottet och en helt annan när de samhällsviktiga verksamheterna ska styras i praktiken?
Tyvärr är nog inte Liberalerna ensamma om denna vinglighet.
Inför valåret 2018 finns det all anledning att känna de kandiderande partierna på pulsen i informationssäkerhetsfrågan och då inte minst i vården.
Känslor är en inte oviktig komponent i säkerhetsarbetet.
Gott så, insikter och säkerhetsmedvetande kan inte enbart byggas på logiska resonemang utan förutsätter också en djupare upplevelse.
Men ibland kan det bli väl mycket känslor och litet för litet analys.
Jag tänker på skandalen vid Transportstyrelsen som inte enbart lockar fram det skarpaste hos människor och då menar jag inte på mängden av skadeglada och litet barnsliga ”vad var det vi sa”-kommentarer som är nog så ansträngande.
Framför allt tycker jag att den osorterade diskussion där offentlig användning av outsourcing och molntjänster jämställs med den lagstridiga outsourcingen vid Transportstyrelsen är osaklig och vilseledande.
Istället tror jag att vi måste landa i en mer sansad diskussion om hur den offentliga sektorn ska få ett så välfungerande it-stöd som möjligt vilket inkluderar allt från infrastruktur till appar.
Förhoppningsvis skulle en sådan diskussion kunna utmynna i en it-strategi för det offentliga Sverige.
Detta tänker jag återkomma till i ett senare blogginlägg där jag utvecklar det jag skrev i den här .
Artikeln har fått positiv respons.
Någon enstaka har misstolkat den och annat som att jag skulle vara för en ohämmad användning av outsourcing och molntjänster, något jag finner ironiskt med tanke på hur ofta det antytts (mer eller mindre explicit) att jag är en säkerhetsbromskloss som motarbetar alla nya härliga digitala tjänster.
Det kan vara en trösterik illusion men jag är ändå övertygad om att det är i mellanrummet mellan de fasta positionerna som vägen framåt går.
Lösningarna är inte svarta eller vita utan olika delar i en gemensam informationsinfrastruktur måste analyseras i sin egen rätt.
I denna struktur kommer icke statligt ägda komponenter att ingå i form av infrastruktur, utrustning, applikationer och tjänster.
Så är det redan i dag i hög grad och det är svårt att förstå hur staten skulle kunna utveckla denna helhet i egen regi.
Om en intention mot ökad statligt ägande och utvecklande av infrastruktur, utrustning, applikationer och tjänster borde detta föregås av en ordentlig riskanalys där de faktiska riskerna faktiskt värderas.
Det skulle motverka känslotänkandet och ge en mer rationell grund för en strategi.
Observera att jag uppfattar att det finns argumentation som främst vilar på känslor i båda riktningar, både hos dem som förordar marknadslösningar och hos de som hävdar att säkerheten alltid är bättre i statligt ägda lösningar.
I väntan på en inriktning kommer det på gott och ont att fortsätta att upphandlas både outsourcing och molntjänster av alla möjliga typer.
Myndigheter erbjuder även varandra sourcing och tjänster vilket kanske t.o.m.
är ännu mer komplicerat ut säkerhetssynpunkt (vilket jag diskuterade i mitt förra blogginlägg).
Jag tycker dock inte att vi ska låta oss förtvivlas över detta.
Bara för att Transportstyrelsen var dåliga (milt sagt!)
på att genomföra en upphandling behöver inte alla myndigheter vara dömda att vara det.
Om vi utgår från att en stor del av it-relaterade tjänster även fortsättningsvis kommer att upphandlas av kommersiella aktörer bör en viktig säkerhetsåtgärd vara att inrikta sig på de offentliga upphandlingarna.
Detta kan ske på två nivåer; dels på en gemensam övergripande nivå, dels hos den enskilda myndigheten eller kommunen som ska göra en upphandling.
På den nationella nivån identifierade SOU 2015: 23 Informations- och cybersäkerhet i Sverige säker upphandling som ett av sex strategiska mål.
I den nyligen framlagda finns däremot inte upphandling bland de sex strategiska prioriteringarna.
Det finns ett kortare stycke på sidan 15 som i vaga ordalag säger att stödet för upphandling ska stärkas och därtill kommer att regeringen ska verka för att: myndigheternas kompetens avseende upphandling av nätverk, produkter och system stärks och att myndigheterna vid upphandlingar säkerställer att hänsyn tas till säkerhetsaspekter Inte så kraftfullt och det är svårt att se att outsourcing och molntjänster kan inrymmas under ”nätverk, produkter och system”.
För mig förefaller det finnas betydligt större möjligheter för att nationellt förbättra informationssäkerheten i upphandling än vad som framkommer strategin.
En viktig del är att ägna större intresse åt molntjänster eftersom det sannolikt är där den stora ökningen av externa tjänster kommer att ske.
En del finns att hämta i den rapport som Pensionsmyndigheten levererade som resultatet av ett .
För transparensens skull medger jag att jag deltog som expert i den utredningen.
Ett förslag i rapporten var att ge MSB i uppdrag att genomföra en riskanalys av användning av molntjänster och andra externa IT-tjänster ur ett nationellt perspektiv, och att föreslå eventuella åtgärder.
Detta förslag har dock inte, såvitt jag vet, anammats men borde genomföras, inte nödvändigtvis av MSB utan hellre av en mer sammansatt gruppering.
Rätt genomförd där olika alternativ granskas utgör en sådan analys mycket viktig input till en mer strukturerad inriktning av offentlig it.
Upphandlingsmyndigheten omnämns också i förbifarten i cybersäkerhetssäkerhetsstrategin, däremot inte Statens inköpscentral under Kammarkollegiet som trots allt ingår ramavtalen för it och telekom för hela den offentliga sektorn.
I ramavtalshanteringen tror jag att det finns en stor potential där det går att ställa tydligare krav på leverantörerna men också att ge betydligt bättre stöd för de avropande myndigheterna att komplettera ramavtalets krav.
Att göra bra upphandlingar bygger på att det finns en tydlig kommunikation mellan kund och leverantör vilket i sig förutsätter att kunden kan formulera sina krav.
När man tittar på avrop som gjorts innehåller de påfallande litet om informationssäkerhet (en studie har gjorts av detta som tyvärr inte finns tillgänglig på MSB:s webbplats).
Min tolkning efter mina kontakter med myndigheter, kommuner och landsting är att man Sammanfattningsvis tror jag helt enkelt att detta är en för svår fråga för små och medelstora (kanske t.o.m.
för stora) myndigheter att hantera autonomt – det finns ett stort behov av effektivt stöd.
Innan jag slutade på MSB började jag arbeta med ett koncept för standardiserade skyddsnivåer som skulle kunna användas bland annat vid upphandlingar.
Alltså om kravet är hög nivå på riktighet innebär det de här kraven på tekniska och organisatoriska åtgärder (kraven måste naturligtvis omges av en hög grad av förvaltning så att de hålls aktuella).
Min tanke var att detta skulle utgöra en gemensam plattform för kunder och leverantörer där inte unika krav behövde tas fram för varje upphandling.
Detta tror jag fortfarande är en bra lösning som borde utvecklas som stöd för alla typer av it-relaterade upphandlingar.
Staten skulle även kunna använda marknadskrafterna till sin fördel och agera som en samlad förhandlingspartner till de stora internationella leverantörerna av molntjänster.
Krav på t.ex.
var svenska myndigheters information ska hanteras (inom landet), dedikerade/kontrollerad personal och att följa ett gemensamt regelverk skulle kunna ställas.
Detta har redan skett i Tyskland och jag ser inte varför inte Sverige skulle följa detta exempel.
I den bästa av världar skulle staten då få både kontroll över sin information och samtidigt få tillgång till de lösningar som de kommersiella leverantörerna kan erbjuda.
Detta är en lösning som definitivt bör noggrant utvärderas innan beslut om statliga moln eller koncentration av statlig it-drift beslutas.
Detta är bara några möjligheter för att förbättra på nationell nivå men det finns också mycket i teorin som den enskilda myndigheten eller kommunen kan göra.
När jag arbetade på MSB skrev jag en för informationssäkerhet vid upphandling av it-relaterade tjänster.
Så här i efterhand kan jag säga att om Transportstyrelsen kunnat följa vägledningen skulle inte Stefan Löfven behövt avbryta sin semester och två ministrar avgå… Tanken var att så konkret som möjligt beskriva hur informationssäkerhet på ett bra sätt tas med vid upphandlingar.
Vissa har påpekat att det är ett utopiskt tillstånd av väl planerade upphandlingar som redovisas i vägledningen.
Jag är naturligtvis medveten om att många upphandlingar sker under stark tidspress och att de upphandlade organisationerna är sällan-köpare som nog saknar den vana och kompetens som skulle krävas för de komplicerade upphandlingar som det ofta gäller.
Om man ska gena är det ändå bra att veta vad man inte har gjort som man kanske borde ha gjort.
Vägledningen innehåller vissa förenklingar som kanske kan ifrågasättas som t.ex.
: Riskanalysen bör inledas med att kartlägga vilken roll systemet eller tjänsten ska ha i organisationen samt vilka interna och externa intressenter som finns till lösningen när den är i drift.
För att kunna göra riskanalysen krävs därför att man översiktligt beskriver vilken information som ska hanteras och på vilket sätt .
Vissa aspekter bör säkerställas initialt eftersom de är avgörande för vilka lösningar som är möjliga, som till exempel: Om lösningen är tänkt att hantera denna typ av information kommer det att finnas särskilda säkerhetskrav i lagstiftning som redan från början kan utesluta vissa typer av lösningar som exempelvis molntjänster.
Vän av ordning kan naturligtvis hävda att det går att använda molntjänster och outsourcing för den här typen av information med rätt säkerhetsåtgärder vidtagna.
Jag menar dock att det i praktiken innebär krav på kompetens och resurser som flertalet organisationer saknar.
Och om man skärskådar verkligheten så kan nog inte mindre myndigheter och kommuner följa vägledningen eftersom de saknar kompetens och resurser att göra ens det.
Detta trots att molntjänster och outsourcing innebära en möjlighet att höja säkerheten (för information som inte faller under säkerhetsskyddslagen eller innehåller känsliga personuppgifter).
Att undvika att molntjänster när personuppgifter är också ett råd som är allt svårare att följa eftersom även ordinära kontorstjänster som mail, kalender och samarbetsytor naturligtvis innehåller personuppgifter och t.o.m.
känsliga personuppgifter.
När det är precis de tjänsterna som de flesta myndigheter och kommuner vill köpa som molntjänster uppstår ett dilemma som sannolikt bara går att lösa genom den typ av nationellt avtal som jag tidigare beskrev.
När jag är ute och pratar om upphandling är det två punkter som jag trycker extra hårt på förutom informationsklassning/riskanalys.
För det första att man måste första att en upphandling är en process där åtminstone fyra aktörer ingår: Dessa fyra aktörer brukar ofta ha divergerande uppfattningar om både hur upphandlingen ska genomföras och vad den ska leda fram till.
Informationssäkerhet är sällan vara en prioriterad del av upphandlingen och många är väl vi som en kravspec i handen med kommentarer av typen: ”kan du slänga in säkerhetskraven till i början av nästa vecka?” Därför finns det en processbeskrivning med i vägledningen med markering av de aktiviteter där informationssäkerheten bör finnas med.
Tyvärr tror jag även detta är ett råd som är svårt att tillämpa eftersom många organisationer saknar en fastställd process för upphandling – det finns alltså inte struktur att fästa säkerhetsåtgärderna i. I vissa fall kan ett ledningssystem för informationssäkerhet fungera som ett lok som skapar ordning i generella processer genom sin kravställning men alltför många gånger kommer säkerheten in alldeles för sent och med alldeles för liten betydelse.
Det andra jag brukar trycka på är att när vi allt som oftast säger att det måste finnas en beställarkompetens är det inte bara under själva upphandlingen som detta behövs.
Som syns i processbeskrivningen så behövs det beställarkompetens inom informationssäkerhetsområdet ända tills att avtalet.
Detta glöms ofta bort och det fortlöpande säkerhetsarbetet kommer aldrig till stånd och en inte oväsentlig faktor är att det är svårt för den enskilda myndigheten att få till en metod för att genomföra det.
Även den myndighet som varit duktig när det gäller att ställa de initiala kraven får därför en avklingande säkerhet som så småningom övergår till osäkerhet.
Upphandlingsfrågan har länge varit en favorit för mig och jag har predikat på längden och på bredden om dess vikt.
Trots att jag in i det längsta vill se konkreta lösningar för att förbättra informationssäkerheten i den enskilda organisationen så förstår läsaren av det här inlägget säkert redan nu att jag ser det som en ganska hopplös uppgift.
I offentlig sektor behöver myndigheter, kommuner och regioner en stark nationell plattform för upphandlingar av it-relaterade tjänster för att kunna ta sitt eget ansvar.
Med plattform menar jag i all stillsamhet en strategi för hur regeringen tänker sig informationsförsörjningen, en styrmodell för ansvar, mer utvecklade ramavtal, upphandlingsstöd till enskilda organisationer, standardiserade skyddsnivåer och ett nationellt avtal med Microsoft m.fl.
Att alla de utredningar som skett inom området inte lyckas greppa frågan uppfattar jag som ett misslyckande och litet av ett svek mot alla de myndigheter, kommuner och landsting som gör så gott de kan för att sköta sina upphandlingar fast de i realiteten kanske har möjlighet att göra det.
De journalister som vill gräva efter undermåliga avtal när det gäller säkerhet kommer sannolikt inte att gå lottlösa i fortsättningen heller.
Min fråga i rubriken är helt retorisk.
Vi är ett läge där upphandlingar sker och kommer att fortsätta ske.
Att se till att de sker med god informationssäkerhet kräver nationella lösningar mycket snart.
Om inte annat nafsar dataskyddsförordningen oss alla allt ihärdigare i bakhasorna och finns det inte en nationell beredskap för det så bör general-, region- och kommundirektörerna sova mycket oroligt.
Eftersom vissa inte kunna läsa den debattartikel som publicerades 4 augusti i eftersom den är låst bakom en betalvägg lägger jag ut texten här.
Nu pågår en omfattande diskussion rörande Transportsstyrelsens skandal.
Den diskussion som förts efter att händelsen blivit känd har kommit att handla om allt möjligt som informationssäkerheten generellt, statliga moln med mera vilket händelsen på Transportsstyrelsen inte egentligen har någon bäring på.
Jag ser istället händelsen som ett symptom på regeringens otydlighet i it-politiken där man inte lyckas skapa en strategisk inriktning som både omfattar ­effektivitet och säkerhet.
Detta skapar en kognitiv dissonans* i styrningen som jag menar är den egentliga förklaringen till varför i övrigt kompetenta och förnuftiga generaldirektörer ger sig in i huvudlösa upphandlingar av it-relaterade tjänster.
Informationshantering på samhällsnivå innebär ett antal intressekonflikter; stat kontra ­individ, slutenhet kontra öppenhet, integritet kontra övervakning och så vidare.
Den i det här mest intressanta är konflikten effektivitet/ekonomi/verksamhetsnytta och ”säkerhet”.
Motsägelsefullheten uppstår när intressekonflikten negligeras eller i vissa fall till och med skapas.
I nuläget har regeringen å ena sidan formulerat ett antal förslag rörande att informationssäkerhet och säkerhetsskydd ska stärkas och å andra sidan imperativa budskap om ökad användning av molntjänster och om att bli världsbäst på e-förvaltning kompletterat med önskemål om att statens it-kostnader generellt bör sänkas.
Till detta kommer förslaget till ny säkerhetsskyddslag som är mycket otydligt om vad som egentligen ska räknas som inverkande på rikets säkerhet.
Dessa olika intressen går inte att förena fullt ut, det vill säga staten kan inte alltid välja lika litet som dåligt avvägd säkerhet kan få förhindra verksamhet att fungera på ett effektivt och någorlunda ekonomiskt försvarbart sätt.
Min uppfattning är att så länge de här intressekonflikterna inte lyfts fram, diskuteras och blir föremål för en gemensam avvägning på nationell nivå kommer myndighetsledningar att vara utsatta för motstridiga signaler där det är omöjligt att avgöra hur den egna it-verksamheten ska utformas så att den tillgodoser samtliga intressen.
I år har regeringen presenterat både en ­cyber- och informationssäkerhetsstrategi och en digitaliseringsstrategi.
Ingen av dessa strategier ger såvitt jag kan se något stöd för myndigheter i hur de ska möta framtiden och hur de ska hantera de olika intressekonflikter som finns.
Jag menar att dessa strategier bör få sjunka in i glömskan och ersättas av en ­offentlig it-strategi där olika intressen sammanvägs på ett strukturerat sätt.
För att kunna ta fram en fungerande strategi krävs dock en helt annan nivå på utredandet än hittills och också att man försöker hitta fungerande lösningar för framtiden och inte ägnar sig åt att lösa gårdagens frågor.
Det kan visserligen finnas skäl att skapa en statlig molntjänst för lagring och att säkra upp ­datorhallar där så kallad säkerhetskänslig statlig information hanteras.
Detta är dock bara dellösningar.
Verkligheten idag är att alltmer offentlig information hanteras i molntjänster och dessa molntjänster erbjuder inte bara lagring utan funktionalitet som inte går att erbjuda på annat sätt.
När det sägs att outsourcing/molntjänster används av ekonomiska skäl är detta en sanning med stor modifikation – de används snarare i allt högre grad för att uppnå verksamhetsnytta.
Dessutom kan molntjänster, rätt upphandlade och med rätt beställarkompetens, innebära en klart förbättrad säkerhet för många verksamheter.
Medan det stormar vidare på regeringsnivå hoppas jag att pendeln inte slår över för långt, att vettskrämda politiker och generaldirektörer uppfattar outsourcing i sig som problemet och fattar beslut som leder till att vi börjar backa in i framtiden.
Jag är övertygad om att outsourcing och framför allt molntjänster kommer att öka i betydelse – detta är en verklighet med en mix av egna och köpta lösningar som vi måste lära oss hantera.
Det går inte heller att fokusera enbart på statlig it-verksamhet.
En övervägande del av samhällsviktig verksamhet ombesörjs av landsting, kommuner och privata aktörer.
Informationsflödena sker också mellan alla dessa aktörer i alltmer gemensamma infrastrukturer.
Om god informationssäkerhet ska uppnås på samhällsnivå måste dessa olika aktörer samverka och utgå från samma strategiska inriktning.
I ett samhälles it-strategi måste ett vägval göras: Om det är regeringens uppfattning att det är så stora risker att använda kommersiella molntjänster att merparten av offentlig information måste hanteras i lokaler, utrustning, applikationer och tjänster som ägs av myndigheter – då måste det formuleras.
Det andra alternativet är att dagens mixade verklighet ska utvecklas.
Oavsett vilket val som görs måste det finnas resurser och kompetens att hantera det valda alternativet.
Detta gäller inte minst informationssäkerheten där ett säkerhetsskydd av flera anledningar inte kan utgöra svaret.
­Säkerhetsskydd bör sparas som den yttersta åtgärden för att skydda rikets säkerhet.
En ­vidare tillämpning leder bland annat till ­oacceptabla inskränkningar i medborgerliga rättigheter samtidigt som säkerhetsåtgärderna som ingår i säkerhetsskyddet inte svarar mot de krav på tillgänglighet och skydd av personlig integritet som ställs inom samhällsviktig verksamhet.
Tyvärr förefaller många av förslagen som framförts hittills illa genomtänkta, såsom det ofta blir när man reagerar på en akut situation och en specifik händelse.
Förhoppningsvis leder inte dessa förslag till snabba åtgärder – istället behövs ett mer analytiskt skede där en helhetsbild av den nuvarande röriga argumentationen sorteras upp.
Vi bör också komma överens om att det inte finns en typ av säkerhet eller en lösning.
Istället måste vi inse att ”säkerhet” är ett paraplybegrepp där många intressen måste leda fram till en mängd olika lösningar som tillsammans kan leda till ett säkrare samhälle.
För mig förefaller inte lösningarna ligga främst i att styra placeringen av utrustningen utan att på olika sätt styra informationshanteringen genom avtal, tydligt ansvar, upphandlingskompetens, organisation, mjuka tekniska lösningar och kunskap.
Men den viktigaste insikten är att så länge inte regeringen ger en inriktning om hur intressekonflikterna ska hanteras kan inte myndigheterna förväntas göra det.
En standardscen ur mitt arbetsliv 2010-2015: ett möte angående e-förvaltning, e-hälsa eller liknande på nationell nivå.
Jag sträcker upp handen och säger något i stil med ”vi måste få in informationssäkerhet”, ”riskanalys, informationsklassning, kravställning, ansvarsfördelning”, ”den personliga integriteten är en viktig säkerhetsdimension”.
Mina inlägg möts som alltid antingen med invändningar med innebörden att säkerhet motverkar verksamhetens syfte eller, i de flesta fallen, tystnad.
Efter något år sa jag, aningen ironiskt, ”ni vet vad jag kommer att säga och nu säger jag det så kan ni gå vidare”.
På andra möten med myndigheter med så kallat särskilt ansvar för informationssäkerhet mötte jag samma oförstående reaktioner inför de verksamhetskrav som finns bland annat inom hälso- och sjukvård.
Jag kände mig som ett växelrelä mellan två världar med begränsad förståelse för varandras förutsättningar med mantrat: effektivitet säkerhet, säkerhet effektivitet.
Händelserna på Transportstyrelsen belyser med neon de negativa konsekvenserna av oförmågan att styra den digitala utvecklingen på ett sammanhållet sätt.
Jag tänker här inte den kommentera de politiska förvecklingarna även om de är dramatiska utan istället resonera om några av de förslag som framförts på lösningar för att förhindra liknande händelser.
Min huvudtes är att förslagen lider av att det saknas en tydlig problemformulering – vad är det egentligen lösningarna avhjälpa?
Det som väckt mest intresse är att det i Transportstyrelsens outsourcing ingått information som faller under säkerhetsskyddslagen.
Detta är naturligtvis helt huvudlöst och jag är fortfarande förvånad över att SÄPO inte lyckades förhindra det.
Att det ingått hemlig information har dock gett hela den efterföljande diskussionen en olycklig slagsida mot att outsourcing av myndigheters informationshantering är ett säkerhetsproblem (vilket också är rätt konstigt med tanke på att privata leverantörer står för rätt stor av bland annat utrustning, fordon, konsulter o.s.v.
inom t.ex.
Försvarsmakten).
Så är inte fallet menar jag – rätt genomförd kan outsourcing och användande av molntjänster ha en säkerhetshöjande effekt för många myndigheter.
Många myndigheter har problem med att få tillräckliga resurser och kompetens för att kunna upprätthålla en rimlig it-säkerhet och då har vi ändå inte talat om kommuner och landsting.
Det är också något lätt verklighetsfrämmande i att hävda det skulle vara möjligt att backa bandet och hämta tillbaka all information som idag hanteras i molntjänster som är den alltmer dominerande formen av outsourcing.
Skämtsamt brukade jag redan på andra sidan decennieskiftet hävda att det förvarades mer allmänna handlingar på Projektplatsen än i Riksarkivet.
Idag kan myndigheter upphandla sina kontorstjänster i form av molntjänster via Kammarkollegiet vilket också allt fler gör.
Kommunal verksamhet liksom hälso- och sjukvård byggs i snabb takt på allt fler molntjänster och inte bara för traditionella it-tjänster utan även för telefoni, välfärdsteknologi o.s.v.. Vad som förbigås i den nu pågående diskussionen är att molntjänsterna inte handlar om av information utan de allt oftare ersätter verksamhetssystemen.
De ger också helt nya integrationsmöjligheter mellan funktioner som tidigare varit inlåsta i olika system.
Min inte helt originella prognos är att ”system” på det sätt vi tänker idag inom 10 år är döda och har ersatts funktionalitet som hämtas från olika tekniska lösningar som interagerar via internet.
Det leder också till att den traditionella outsourcingen som nu ägnas ett så stort intresse också kommer att få en klart minskad betydelse.
Jag som ägnat mycket tid åt att skriva om teknikskiftet inom massaindustrin på 1800-talet känner igen ett teknikskifte när jag ser ett.
Historien visar ganska entydigt på att båtar föga att försöka gå emot ett sådant – det är snabb anpassning till nya förutsättningar som är den viktiga framgångsfaktorn i en sådan situation.
Det gäller även för informationssäkerhetsområdet menar jag.
Om att vi nu, vilket vissa tycks mena och den förslaget till säkerhetsskyddslag antyder, skulle inkludera samhällsviktig verksamhet i det som ska falla under säkerhetsskyddslagen – vad blir konsekvenserna?
Det skulle visserligen kunna förhindra outsourcing i många fall men det skulle också ett antal andra negativa konsekvenser.
Den gällande säkerhetsskyddslagen gäller skyddet av information som kan påverka rikets säkerhet om den blir röjd för obehöriga.
Detta är tydligt avgränsade informationsmängder som ska vara identifierade och kända för organisationen som hanterar dem.
Skyddsåtgärder av både organisatoriskt och teknisk karaktär finns beskrivna och tillämpas oavsett kostnad eller organisationens krav på effektivitet.
Det är alltså ett binärt förhållande som inte är riskbaserat – en organisations ledning har egentligen ingen egen möjlighet att påverka hanteringen och äger inte risken.
Detta är motsatsen till esom bygger på att ledningen ska styra säkerheten genom att väga säkerhetsåtgärder i förhållande till risker för verksamheten.
I det systematiskat är ekonomiska avväganden en naturlig del.
Säkerhetsskyddet utgör inte ett skydd för något annat än rikets säkerhet i bemärkelsen röjande av hemlig information för obehöriga.
De säkerhetsåtgärder som stipuleras är inriktade på konfidentialitetsaspekten och till viss del på någon slags robusthet.
Om man ser på samhällsviktig verksamhet så är kravbilden helt annorlunda med exempelvis höga krav på tillgänglighet, spårbarhet och riktighet.
I den allmänna röran har även uppgifter om skyddade personuppgifter, skydd för den personliga integriteten och säkerhetsskydd förekommit i samma andetag.
Det är då viktigt att förstå att säkerhetsskyddet inte avser skydd för den personliga integriteten.
För mig förefaller det märkligt att det finns en önskan om att devalvera betydelsen av rikets säkerhet.
Som SÄPO påpekar i sin vägledning angående finns det ingen legal definition av ”rikets säkerhet” men det får ändå sägas att det får vara rätt rejäla saker för att uppfylla kraven: Någon legaldefinition av begreppet rikets säkerhet finns inte.
Rikets säkerhet kan dock sägas avse såväl den yttre säkerheten för det nationella oberoendet som den inre säkerheten för det demokratiska statsskicket.
Det är alltså det nationella oberoendet respektive det demokratiska statsskicket som är det egentliga skyddsobjektet.
Merparten av samhällsviktig verksamhet kan knappast sägas nå upp till den nivån mer än i enskildheter.
Däremot har man mycket stora behov av informationssäkerhet men det är en annan fråga.
Jag menar att säkerhetsåtgärderna på den yttersta nivån som säkerhetsskyddet innebär måste sparas till det syfte som de är avsedda för i annat fall kommer säkerhetsskyddet i sin helhet att urholkas.
Det är en generell erfarenhet att säkerhetsåtgärder som inte kan motiveras löper en stor risk att kringgås och då får man en situation med en fiktiv säkerhet vilket kanske är den mest svårhanterliga situationen av alla.
Låt oss ändå leka med tanken att säkerhetsskyddsåtgärder börjar tillämpas i en vidare omfattning, typ för information som är ”känslig” eller samhällsviktig.
Det skulle ju i så fall inte bara påverka outsourcing utan även myndigheternas interna verksamhet.
Yippie – bort med de kreativa flexikontoren!
Men också bort med de smidiga molntjänsterna och de resefria mötena.
Och hur vård och omsorg ska klara sig är en gåta, ska varje enstaka server i den nationella infrastrukturen utformas som enligt SÄPO:s krav, ska all vårdpersonal klassas?
Bäva månde de redan hårt prövade patienterna.
Önskan att vilja utvidga säkerhetsskyddet så att det även ska kunna tillämpas för att skydda det som ligger utanför det som definieras som rikets säkerhet är förståelig.
Har man en hammare så ser allt ut som spikar eller hur det nu brukar heta.
I ny situation griper man ofta efter det man har till hands och just nu verkar tanken på ett utvidgat säkerhetsskydd vara en tröst för många.
Jag menar att detta är en lösning som är en tankevurpa vilket jag skrivit ett längre blogginlägg om apropå förslaget till nu .
Istället bör det upprätthållas en distinkt gräns mellan säkerhetsskydd och systematisktmed verksamhetsinriktning.
Likaså bör en tydlig linje gå mellan säkerhetsskydd och samhällsviktig verksamhet.
I detta fall borde problemformuleringen vara: vi har ett stort antal offentliga och privata verksamheter som har ett stort behov av att förbättra sin informationssäkerhet.
Vissa av verksamheterna, exempelvis inom vård och omsorg, har kanske de mest komplexa kraven på informationssäkerhet över huvud taget i samhället.
På dessa krav är inte säkerhetsskydd en lösning.
Istället måste det byggas upp stöd för att dessa verksamheter ska kunna bygga upp esom motsvarar deras behov.
Stödet måste vara utformat så att det kan hantera den snabba tekniska och organisatoriska utvecklingen samt integrera i strukturer där många aktörer samverkar.
Ansvarsförhållandena för informationshanteringen och informationssäkerheten måste vara närmast övertydliga.
Andra har vädrat morgonluft och fört fram den nygamla idéen att Statens servicecenter ska få uppdraget att skapa en statlig ”molntjänst” eller .
Låt mig redan här säga att jag inte är kategoriskt emot statlig samordning eller inte ser problemet med att staten outsourcar stora informationsmängder till privata aktörer.
En fråga jag bevakat är exempelvis Hälsa för mig där jag senast uttalade mig i DN tidigare i Däremot är jag inte övertygad om att storskalig statlig datadrift är lösningen på de problem som bör prioriteras.
Dessutom ser jag ett antal frågeställningar som måste hanteras om en statlig ”molntjänst” ska bli en framgång ens för statlig verksamhet.
I Statens servicecenters rapport från är det endast lagring och datakraft som ska erbjudas.
Eller som generaldirektören säger i en : – Jag sa till regeringen att: bilda tio stycken stora datacentraler där vi lägger in servrarna.
Vi föreslog helt enkelt en statlig molntjänst som skulle innebära att staten äger datahallen och servrarna, säger Thomas Pålsson.
I samma artikel uttalar sig civilminister Ardalan Shekarabi på detta något enigmatiska sätt: I stället vill Shekarabi bygga upp en gemensam struktur för de mest säkerhetskänsliga myndigheter.
– Så att vi kan insourca verksamheter.
Det är det som är i pipeline just nu, säger han.
– Då handlar det om att gemensamt bygga upp en verksamhet så att man kan insourca det man har outsourcat.
Så att man minskar behovet av att outsourca.
Helst ska man inte outsourca.
Ministern påpekar dessutom att den rapport som Statens Servicecenter lämnat där de vill ta hand om myndigheters information ”saknar säkerhetstänk”.
Precis nu (torsdag den 27 juli) ger Shekarabi ett uppdrag till PTS att ta fram en modell för säkra it-utrymmen för säkerhetskänsliga myndigheter.
Frågorna hopar sig.
Att Statens Servicecenter vill utöka sitt uppdrag är tydligt men exakt vad är det man vill erbjuda?
Det ministern verkar avse är någon slags gemensam datacentral för säkerhetskänsliga myndigheter vilka dessa nu är.
Min bedömning är att det som i detta skulle kunna vara en vettig och framkomlig väg är att skapa en gemensam infrastruktur för information som faller under säkerhetsskyddslagen eftersom det ställer så sära tekniska och organisatoriska krav.
Den skulle dock knappast vara lämplig att lägga hos Statens Servicecenter.
Jag ställer mig däremot tveksam till fördelen med att staten skulle skapa en egen molntjänstleverantör (eller om det nu är sourcing man egentligen avser) för en bredare målgrupp även om jag kan se behovet hos särskilt mindre myndigheter (egendomligt nog bygger Statens servicecenters utsagor när det gäller behov på intervjuer med de 15 myndigheterna).
I Statens servicecenters rapport framgår inte hur en statlig leverantör skulle vara konkurrenskraftig i förhållande till stora it- och molntjänstleverantörer och innehåller inte heller ekonomiska beräkningar som stödjer det caset.
En inte helt oviktig faktor är den svårighet att rekrytera rätt och tillräcklig kompetens till en statlig it-leverantör.
Det gäller inte bara effektivitet utan även säkerhet.
Min högst subjektiva uppfattning är att kompetensen och den möjliga leveransen hos de kommersiella leverantörerna ligger rätt långt över vad statliga myndigheter kan leverera.
Problemet är att staten generellt inte är bra beställare, särskilt inte inom säkerhetsområdet.
Risken är alltså att myndigheterna får sämre och dyrare lösningar.
Här tror jag att det finns viktiga erfarenheter från Kommundata som var it-leverantör åt kommunerna under en period under 90-talet.
Den aspekten blir ännu mer akut när man tänker på vad som ska levereras.
Det som Statens servicecenter kallar molntjänster är lagring och datakraft men det är inte den typen av ”primitiva” molntjänster som kommer att dominera i myndighetsvärlden.
Det är sammanväxta lösningar av kommunikation, samarbetsytor, planeringsstöd och ärendehantering som på sikt kan komma att ersätta ett antal verksamhetssystem.
Dessa lösningar kommer endast att vara tillgängliga som molntjänster och att Statens Servicecenter ska kunna ta fram likvärdiga produkter som exempelvis Microsoft finner jag tämligen osannolikt.
Det är också välkänt att det är svårt för staten att vara leverantör åt staten – detta har varit ett återkommande tema i e-förvaltningsarbetet.
Eftersom statliga myndigheter inte kan sluta avtal med varandra har kundmyndigheterna betydligt svagare ställning i förhållande till en systermyndighet än till en kommersiell leverantör.
Det visade sig också under Statens Servicecenters första tid när myndigheter var skyldiga att överlåta bland annat lönehantering till servicecentret men inte hade reella möjligheter att genomdriva sina säkerhetskrav.
Vilket leder över till ett annat, som jag ser det, avgörande principiellt problem, nämligen vem som har ansvar för den information som lagras hos en servicemyndighet.
Jag hävdar att det är informationsägaren, det vill säga kundmyndigheten, som har ansvar för att informationen hanteras med tillräcklig säkerhet.
Detta ansvar går inte att uppfylla om man inte kan skriva bindande avtal med sin leverantör.
I denna oklarhet i ansvar ligger en mycket stor risk som visserligen delvis skulle kunna hanteras genom en professionell struktur av skyddsnivåer som kunden kan välja mellan, detta räcker dock inte.
Sannolikheten att kärnverksamhetens säkerhet börjar styras från servicemyndigheten men att ansvaret ligger kvar hos kundmyndigheterna är överhängande.
Det är verkligen att sätta vagnen framför hästen och skapar ytterligare en dimension av oklarhet i ansvar.
Om det blir ett informationsläckage eller om bristande tillgänglighet i myndighetsinformationen leder till skada för tredje man vems är då ansvaret?
När internationella jämförelser görs glömmer man ofta bort den svenska förvaltningsstrukturen med självständiga myndigheter med eget ansvar.
Det här är en fråga som måste klarläggas även legalt liksom kundmyndigheternas möjlighet att styra så att inte samkörning görs av olika myndigheters information.
Sett ur ett integritetsperspektiv förefaller idag privata leverantörer ha ett större intresse för att skydda enskildas integritet än myndigheter vilket måste ses som risk då större mängder information ska sammanföras från olika myndigheter.
Ett annat problem med den här typen av lösningar är den vertikala integrationen där staten både är kund och leverantör.
Som kund vill man ha maximal output, som leverantör vill man ha maximal intäkt.
I offentlig verksamhet leder detta ofta till stora svårigheter i styrningen eftersom man hamnar i ingenmansland mellan intäkts- respektive budgetfinansiering.
Även här finns lärdomar från Kommundata men också Inera och dess föregångare i landstingsvärlden.
Resultatet blir negativt och oförutsägbart för kunden eftersom man inte kan styra genom att välja en annan leverantör men samtidigt inte har makt över monopolleverantören.
Min mest avgörande invändning är dock att det idag inte går att avgränsa informationshanteringen till att vara ”statlig”.
Myndigheter, kommuner, landsting och privata aktörer samverkar allt mer integrerat och frågan är då vad som ska hanteras i det statliga molnet.
Ska även privata aktörer som utför uppdrag åt staten ingå?
Ska kommuner som utbyter information med Försäkringskassan ingå?
Hur stort ska det statliga molnet egentligen bli?
Och, slutligen, jag tror inte de största riskerna idag ligger hos de statliga myndigheterna utan hos kommuner och landsting som både står för merparten av den samhällsviktiga verksamheten och ofta har sämst möjligheter skapa säkra lösningar.
Med en dåres envishet upprepar jag att detta är vad som borde prioriteras framför allt annat.
Medan det stormar vidare på regeringsnivå hoppas jag att pendeln inte slår över för långt, att vettskrämda politiker och generaldirektörer uppfattar outsourcing i sig som problemet och fattar beslut som leder till att vi börjar backa in i framtiden.
Jag är övertygad om att outsourcing och framför allt molntjänster kommer att öka i betydelse – detta är en verklighet med en mix av egna och köpta lösningar som vi måste lära oss hantera.
Jag kommer ihåg när jag på tidigt 1990-tal besökte en liten vårdcentral som vi kan kalla Söpple VC för att se över informationshanteringen.
En läkare pekade på vårdcentralens dator som satt fastspänd under skrivbordet på det där sättet som kanske inte alla kommer ihåg.
Han sa: ”Nu vill de ta datorn ifrån oss och ha vår information i distriktets datorhall, hur ska jag då kunna skydda mina patienter?” Hans fråga är lika relevant idag som då efter att informationen förflyttas från den enskilda datorn till distriktets datorhall, till landstingets datorhall, till nationell nivå och nu till molnet.
Det är vår uppgift som säkerhetsmänniskor att ge svaret på den frågan.
Vi har inte lyckats särskilt bra i tidigare skeden med tanke på hur det ser ut, därför bör vi mobilisera på ett konstruktivt sätt nu.
Det vore bra om vi innan vi går vidare kan enas om att avvägningen mellan effektivitet och säkerhet inte är en enkel fråga utan det finns reella intressekonflikter som måste hanteras.
Vi bör också komma överens om att det inte finns typ av säkerhet eller lösning.
Istället måste vi inse att ”säkerhet” är ett paraplybegrepp där många intressen måste leda fram till en mängd olika lösningar som tillsammans kan leda till säkrare samhälle.
Och som sagt: vi måste bli mycket duktigare på att problemformulera för att kunna hitta rätt lösningar.
För mig förefaller inte lösningarna ligga främst i att styra placeringen av utrustningen utan att på olika sätt styra informationshanteringen genom avtal, upphandlingskompetens, organisation, mjuka tekniska lösningar och kunskap.
Jag utlovar att i ett senare inlägg återkomma till mer konkreta förslag.
Den unika händelsen att en GD får sparken efter att ha beslutat att outsourca information där även uppgifter som faller under säkerhetsskyddslagen ingått har skapat ett stort buzz i säkerhetsvärlden.
Det är en uppseendeväckande och skandalös historia som skett på Transportstyrelsen där myndighetsledningen tycks huvudlöst ha struntat i alla varningar och uppmaningar.
Mest förvånande är kanske att SÄPO enligt uppgift i media varit involverade och framfört synpunkter men inte lyckats genomdriva dem.
Jag är dock inte särskilt förvånad och det är inte första gången myndighetsledningar tar medvetna beslut om att genomföra upphandlingar som om inte direkt lagvidriga innebär mycket stora risker.
I den upphetsade stämning som råder kan det vara bra att försöka konkretisera vad som faktiskt hänt (så som jag tolkar det utifrån medierapporteringen).
Kontentan är för mig att det inte är en informationssäkerhetsfråga utan en fråga om hur regeringen styr sina myndighetschefer och säkerställer att de bland annat efterlever säkerhetsskyddslagen samt förhoppningsvis även annan lagstiftning.
Nu pågår en omfattande diskussion rörande Transportstyrelsens skandal där många inlägg är skrivna i till synes stor affekt.
Inte minst debattörer med säkerhetsanknytning kommer pepprade salvor och förslag på åtgärder som sägs kunna motverka att liknande händelser skulle kunna inträffa igen.
Tyvärr tycker jag många av förslagen verkar illa genomtänkta, såsom det ofta blir när man reagerar på en akut situation och en specifik händelse.
Förhoppningsvis leder inte dessa förslag till snabba åtgärder – istället behövs ett mer analytiskt skede, en helhetsbild där den nuvarande röriga argumentationen något sorteras upp.
Den diskussion som förts efter att händelsen blivit känd har också kommit att handla om allt möjligt som informationssäkerheten generellt, statliga moln m.m.
vilket händelsen på Transportstyrelsen inte egentligen har någon bäring på.
Jag ser istället händelsen som ett symptom på regeringens otydlighet i it-politiken där man inte lyckas skapa en strategisk inriktning som omfattar både effektivitet och säkerhet.
Detta skapar en kognitiv dissonans i styrningen som jag menar är avgörande förklaring till varför i övrigt kompetenta och förnuftiga generaldirektörer ger sig in i huvudlösa upphandlingar av it-relaterade tjänster.
Låt mig förtydliga.
Informationshantering på samhällsnivå innebär ett antal intressekonflikter som jag skrivit om i tidigare blogginlägg; stat – indvid, integritet – övervakning o.s.v.
Den i det här mest intressanta är konflikten effektivitet/ekonomi och ”säkerhet”.
Informationssäkerhet innehåller i sig motstridiga intressen som mellan tillgänglighet och konfidentialitet men det lämnar jag för tillfället åt sidan.
Den kognitiva dissonansen uppstår när intressekonflikten negligeras eller i vissa fall t.o.m.
I nuläget har regeringen å ena sidan formulerat ett antal förslag rörande att informationssäkerhet och säkerhetsskydd ska stärkas (jag skriver det som två punkter för jag anser inte att det är samma sak) och å ena sidan andra imperativa budskap kring ökad användning av molntjänster och om att bli världsbäst på e-förvaltning.
Dessutom framförs ofta önskemål om att statens it-kostnader generellt bör sänkas.
Till detta kommer dessutom att förslaget till ny säkerhetsskyddslag är så otydligt om vad som egentligen ska räknas som inverkande på rikets (OK Sveriges) säkerhet.
Dessa olika intressen går inte att förena fullt ut, det vill säga staten kan inte alltid välja cloud first lika litet som att dåligt avvägd säkerhet kan få förhindra verksamhet att fungera på ett effektivt och någorlunda ekonomiskt försvarbart sätt.
Min uppfattning är att så länge de här intressekonflikterna inte lyfts fram, diskuteras och blir föremål för en gemensam avvägning på nationell nivå kommer myndighetsledningar att vara utsatta för en kognitiv dissonans där det är omöjligt att avgöra hur den egna it-verksamheten ska utformas så att den tillgodoser samtliga intressen.
För att skapa en bredare bild än säkerhetsskyddsfrågan på Transportstyrelsen vill jag göra en återkoppling till för situationen för ganska exakt två år sedan då E-hälsomyndigheten skrev ett avtal med Cap Gemini om outsourcing av alla svenska patientjournaler för hantering hos Microsoft.
Även denna affär innebar mycket stora säkerhetsproblem men väckte inte alls lika mycket intresse – kanske för att det främst rörde sig om risker för individer och inte för staten.
När flera med mig påpekade den bristande säkerheten i upphandlingen mottogs det inte särskilt väl (faktiskt inte ens i min egen myndighet).
Orsaken till detta tror jag var just den kognitiva dissonansen: regeringen har beställt en lösning för hälsokonton där kommersiella aktörer ska kunna delta och detta snabbt.
Att då ställa säkerhetskrav uppfattas lätt som grus i maskineriet vilket jag för övrigt upplevde även då Statens servicecenter bildades.
Utan att på något sätt vilja ursäkta felande myndighetsledningar är det ganska uppenbart att när staten inte ens på övergripande nivå lyckas hantera dessa intressekonflikter blir det desto svårare att hantera situationen i den enskilda myndigheten.
Att ta ställning i intressekonflikterna är vad jag menar att både regeringens cyber- och informationssäkerhetsstrategi och digitaliseringsstrategi skulle ha gjort på ett samordnat sätt.
Så är nu inte fallet och därför är det med största sannolikhet inte heller sista gången statliga myndigheter kommer att göra huvudlösa affärer.
För att kunna ta fram en fungerande strategi kräver dock en helt annan nivå på utredandet än hittills och också att man försöker hitta fungerande lösningar för framtiden och inte ägnar sig åt att lösa gårdagens frågor.
Att föreslå statliga molntjänster för ”lagring” kunde kanske varit ett alternativ vid sekelskiftet men knappast idag då molntjänsterna ersätter verksamhetssystem för att bara ta ett enstaka exempel.
Det är inte bara regeringen har en hemläxa att göra utan även vi som arbetar professionellt med säkerhetsskydd och informationssäkerhet.
Jag tror vi står inför stora utmaningar både inom säkerhetsskydds- och informationssäkerhetsområdet där vi måste kunna bidra på ett bättre sätt.
Låt oss därför inte banalisera frågeställningarna och utlova enkla lösningar utan erkänna att här krävs nytänkande, uthållighet och betydligt bättre kunskapsgrund för att kunna utgöra ett stöd för samhället.
30 juni kom alltså äntligen strategi.
Två dagar före Almedalen och samma dag som de i det offentliga Sverige som inte är och tycker på Gotland förhoppningsvis sjunker in i sommardvala alldeles oavsett vilka strategier som lanseras.
Det är nästan svårt att veta var jag ska börja eftersom det trettiotal sidor som utgör strategin väcker så många frågor.
Att försöka redogöra för dem skulle kräva ett utrymme som vida överstiger strategins sidantal.
Bara användningen av begrepp gör läsaren konfys.
Exempel ett: strategin heter .
Vi som sedan ”cybersäkerhet” började användas för att hotta upp konferenspunkter undrat vad det egentligen betyder är inte så få.
En förklaring som varit återkommande är att det är ”säkerhet i domänen cyber”, alltså något kopplat till försvarets indelningar och något ”internationellt”.
Strategin släpper dock redan på sidan 4 alla ambitioner att försöka utreda denna fråga: För informationssäkerhet som avser digital information används i denna skrivelse även begreppet cybersäkerhet.
I denna skrivelse används begreppen beroende av sitt sammanhang, där exempelvis cybersäkerhetsbegreppet är vanligt förekommande i en internationell kontext.
Ska man tolka det som ”informationssäkerhet” är aningen mer inriktad på icke-digital information?
Och på vilket sätt skulle en sådan uppdelning tillföra något klargörande?
Och om det egentligen är samma sak varför skulle man då i svenska texter ta hänsyn till vilket begrepp som används internationellt om det egentligen inte har någon annan innebörd än informationssäkerhet?
Det är som författarna på ett tidigt stadium gett upp men ändå velat ha med det litet läckrare ”cybersäkerhet”, tänkt ”wtf” och bara gått vidare.
Exempel två är definitionen av ”tillgänglighet”: Med tillgänglighet menas att behöriga ska kunna ha tillgång till informationen på det sätt och vid den tidpunkt som tjänsterna erbjuder.
Här har strategins författare ändrat innebörden av begreppet på ett fatalt sätt.
I den terminologi som reviderades 2015 (och som man visserligen kan ha synpunkter på) SIS handbok Terminologi för Informationssäkerhet (SIS HB 550 utgåva 3) är definitionen: Åtkomlighet för behörig person vid rätt tillfälle.
Strategin har alltså gjort det märkliga tillägget vilket jag finner både missvisande och i någon mån obegripligt.
Vilka tjänster är det som avses?
Någon typ av it-tjänster sannolikt men eftersom strategin i övrigt har en stark förkärlek för ”system” vandrar tankarna iväg mot de samhällsviktiga tjänster som beskrivs i NIS-direktivet som är verksamhet och inte it-lösningar.
Dessutom leder beskrivningen tanken mot ett synsätt att det är tjänsterna – inte informationen- som är i centrum vilket för den som vill planera för att upprätthålla kontinuitet inte är bra.
Den som vill ha en fungerande kontinuitetshantering måste ha alternativa sätt för sin informationsförsörjning och då räcker det inte att titta på enskilda ”tjänster”.
Mest svårtolkat uppfattar jag ”som tjänsterna erbjuder”.
Det är som det smygs in ett konfidentialitetsperspektiv i tillgänglighetsbegreppet, att tillgänglighet skulle betyda att endast behöriga ska tillgång till tjänsterna när de erbjuds.
Det finns ett antal andra begrepp som förtjänar en diskussion men som vila tills vidare.
Jag tänkte istället ta upp några utgångspunkter för strategins författare.
Dessa ligger till grund för de prioriteringar som görs och som jag menar i många stycken gör strategin irrelevant.
I mycket känns strategins inriktning igen från Infosäkutredningen som lämnade sin rapport med förslag om en informationssäkerhetspolitik 2005 .
Gemensamt att både utredningen 2005 och den nya strategin är skrivna helt sett ur statens intressen trots att man i båda fallen säger sig behandla informationssäkerhet.
Det behövs knappast några poäng i statsvetenskap för att inse att staten inte är synonym med samhället och det känns därför intellektuellt torftigt att strategin inte på något ställe erkänner och problematiserar de intressekonflikter inryms i samhällets informationssäkerhet.
Det gäller relationen stat-individ, stat-privata företag och stat-kommuner/landsting för att ta de mest uppenbara ytorna för konvergerande intressen.
Istället utgår strategin okommenterat från att alla samhällets aktörer är villiga att underkasta de åtgärder som strategin föreslår som till stor del motiveras ur ett nationellt försvarsperspektiv.
Genomgående är förslagen inriktade på att staten talar om hur saker ligger till, föreskriver och sedan genom tillsyn kontrollerar att ”samhället” lyder.
Jag tror att den här ”far vet bäst”-mentaliteten är omotiverad i så måtto att pappa staten faktiskt inte vet bäst på det här området utan har all anledning att ta till sig andra samhällsaktörers kunskap och intressen.
Att peka med hela handen fungerar kanske bra inom den gröna sektorn.
De kommunpolitiker som måste göra intresseavvägningar mellan insatser inom äldreomsorgen och att satsa på säkerhetsåtgärder som inte kan motiveras är nog däremot betydligt mindre villiga att utan protester röra sig i handens riktning.
Kanske är det också detta förhållningssätt som gjort att så litet av de förslag av de som presenterade har realiserats – en insikt som möjligen skulle kunnat ge strategin en annan inriktning och ton.
Den implicita föreställningen att statens intressen per automatik sammanfaller med allas (förutom brottslingars och fientliga nationers) intressen får egenartade konsekvenser då strategin tar sig an integritetsfrågan.
Det enda sammanhang där strategin utvecklar sig om den personliga integriteten är när den är hotad av privatpersoner i form av näthat och grooming.
Närmast ohederligt blir det när man inte ens nämner den kritik som framkommit gällande konsekvenserna på den personliga integriteten i remissvar rörande förslaget att MSB ska få installera sensorsystem.
Istället framställs sensorsystemen som i princip redan beslutade: Regeringen har under våren 2017 remitterat en promemoria om tekniska sensorsystem (Ju2017/02002/L4) med förslag att MSB får stödja verksamhetsutövare inom samhällsviktig verksamhet med informationssäkerheten genom att tillhandahålla sensorsystem som kan stärka samhällets möjlighet att upptäcka och hantera it-incidenter.
MSB:s sensorsystem ska inte tillhandahållas till de verksamheter som erbjuds TDV.
Därmed var relationen mellan staten och individen överstökad.
Dataskyddsförordningen känns mycket avlägsen i strategin.
En annan genomgående tendens är att strategin i princip endast intresserar sig för de antagonistiska hoten.
Andra typer av risker diskas av i två förströdda meningar: Olika former av störningar i mjuk- eller hårdvara eller störningar i driftmiljö är vanligt förekommande.
Yttre fysiska händelser som t.ex.
bränder, avgrävda kablar, översvämningar eller solstormar utgör också en del av hotbilden.
Resten av hotavsnittet beskriver en leviathan-liknande situation där framför allt statens intressen måste tillvaratas.
Utan upphovsman för riskbedömningen meddelas: Det möjliga agerandet av stater, statsunderstödda aktörer eller andra aktörer med liknande förmåga utgör det allvarligaste informations- och cybersäkerhetshotet mot Sverige.
Självklart kan inte dessa hot underskattas – de är verkliga och omfattande.
Men enligt min erfarenhet äventyras de flesta organisationers verksamhet i lika hög grad av t.ex.
bristande rutiner som leder till uppdateringsfel.
Ett stort antal av de större incidenter som inträffat under senare år har också haft icke-antagonistisk bakgrund.
För landsting och kommuner skulle jag vilja påstå att den absolut största utmaningen ligger i att kunna efterleva dataskyddsförordningen när den träder i kraft.
Oavsett om jag har rätt i denna bedömning eller inte vågar jag hävda att strategins oförmåga att se att olika organisationer lever med olika risker och med olika behov av säkerhetsåtgärder är en av dess mest påtagliga brister.
På ett flertal ställen presenteras lösningar som blickar tillbaka till BITS och andra försök att skapa säkerhet i alla organisationer.
Detta strider inte bara mot grundtanken i ISO 27000 som säger att ledningen i varje organisation måste ta ställning till risker och därefter göra sina prioriteringar.
Det strider också mot de verkliga behov som finns i olika organisationer eftersom olika verksamhetsprocesser kan använda samma information på helt olika sätt.
I strategins anses detta dock fel: Samma information kan få olika skydd i olika organisationer och kunskapen om vilket skydd som är lämpligt och tillgängligt för en viss typ av information är hos många aktörer ofullständig.
Jag tror att man här omedvetet endast utgår från konfidentialitetsaspekten och inte har reflekterat tillräckligt över behovet av riktighet, spårbarhet och tillgänglighet kan skifta starkt mellan olika organisationer.
Under ett par arbetade jag på MSB med att tillsammans med bland annat representanter från hälso- och sjukvårdsområdet med att fram ett koncept för nationell styrmodell.
Tanken var inte att alla organisationer skulle ha samma säkerhet utan att modellen skulle utgöra ett stöd för kommunikation mellan olika verksamheter så att varje organisation skulle kunna få den nivå av säkerhet som dess ledning ansåg lämpligt.
Konkret skulle det innebära att det t.ex.
fanns gemensamma metoder för processkartläggning, informationsklassning och skyddsnivåer.
Att nu strategin ser det som ett problem att olika informationsmängder värderas olika av olika organisationer uppfattar jag som att man tankemässigt är tillbaka till det one size fits all-koncept som BITS byggde på.
Det mest anmärkningsvärda med strategin är att den inte beskriver en relevant framtid, inte ens ger en relevant bild av dagens situation.
Det som utgör strategins existensberättigande redovisas i avsnittet .
Det sidlånga avsnittet börjar tämligen stillsamt med: Det innebär att både informationen i sig och de system som används för att förvara och överföra informationen måste skyddas.
Men därefter bryter ett sammelsurium av demokrati och andra värden, ting, system, kommunikation och i någon mån information ut.
Ungefär på mitten dyker följande märkliga passage upp: I dag bygger systemen för att hantera information huvudsakligen på digital informations- och kommunikationsteknologi.
Detta gäller inte minst de system Sverige är beroende av för att kunna styra och leda riket under omfattande påfrestningar som kan följa av kris eller krig.
Jag biter mig hårt i tungan för att inte ställa ironiska frågor som om det tidigare fanns system som inte byggde på digital teknik och om det är så att just de system som Sverige är beroende av för att kunna styra och leda riket o.s.v.
(vilka de nu kan vara) är ännu mer digitala än övriga it-system.
Även om stycket vidlåds med en ofrivillig komik är det dock inte särskilt lustigt att läsa denna flacka och redan inaktuella beskrivning av beroenden.
Det är som strategins upphovsmän (för övrigt precis som utredarna av NIS-direktivet) fortfarande tänker sig en situation där verksamheter är beroende av tydligt avgränsade ”system” som man själv driftar och förvaltar.
Jag menar att vi redan idag är långt ifrån en sådan situation.
Istället går allt fler organisationer helt eller delvis över till molntjänster som dessutom är intrikat integrerade så att det är svårt att urskilja enskilda tjänster eller komponenter.
Detta är ju också något som uppmuntras i andra inriktningar från regeringen.
För att ta ett konkret exempel vågar jag utan större talang som sierska ändå påstå att en stor del av den svenska förvaltningens dagliga informationshantering kommer att ske i Office 365 som molntjänst inom 5 år.
Att jag vågar sticka ut hakan beror inte enbart på egna observationer i verkligheten utan också på att Microsoft låtit förutskicka att de kommer att sluta att tillhandahålla sina Office-programvaror för installation i egen miljö.
De kommer att gå all in molntjänster.
Denna nya situation behandlas överhuvudtaget inte i strategin.
I där det rimligen borde inrymmas en sådan diskussion och förslag på lämpliga säkerhetsåtgärder nämns detta överhuvudtaget inte.
Lika litet intresse ägnas åt välfärdsteknologin som är i stark framväxt och som innebär nya intressanta frågeställningar inom en stor samhällsviktig verksamhet.
Strategins bristande omvärldsbevakning påverkar även de säkerhetsåtgärder som presenteras.
Mycket är uppstekta tidigare förslag alternativt bekräftelser på redan existerande lösningar även om jag fortfarande när ett visst hopp om den så kallade nationella modellen för systematiskt.
Ett axplock på aktiviteter där regeringen ska enligt strategin fortsätta att verka för det man redan verkat för eller inte kan undvika att verka för: Inte särskilt kraftfullt eller nydanande.
I ärlighetens namn ska väl sägas att det även ingår att regeringen ska verka för en strategi för kryptosystem, mer övervakning i olika hänseenden och mer brottsbekämpning.
Om Sverige ska bli, som regeringen proklamerat, världsbäst inom digitalisering och e-hälsa behövs det en storsatsning på proaktiv informationssäkerhet som stödjer denna inriktning.
Förutom att stärka säkerheten i nätverk och kommunikationer är svårt att se vad den liggande strategin bidrar med i det hänseendet.
Efter att ha begrundat åtgärdsförslagen uppfattar jag att huvuddragen är ett perimeterskydd på nationell nivå, incidentrapportering och tillsyn.
Detta menar jag inte är särskilt verkningsfullt i förhållande till dagens molntjänstsamhälle.
System i egen drift och förvaltningen som staten fysiskt kan kontrollera är inte den framtid som strategin ska fungera i. Att staten skapar säkerhetslösningar för (forntida teknik höll jag på att skriva) tekniska lösningar på utgående är inte unikt för den här strategin; som en klok kollega påpekade häromdagen är det konstigt att det nu görs så stort nummer av säker e-post.
Redan nu sker kommunikationen ofta i andra former än e-post och om fem år kommer sannolikt dess betydelse vara i starkt avtagande.
Bristen på ambition att skapa bättre möjligheter att hantera de nya frågeställningar som digitaliseringen medför präglar också strategins kunskapssyn.
Istället för en offensiv hållning där man utgår från ett läge som jag bedömer som tämligen ovedersägligt, nämligen att vi idag hög grad saknar kunskap om även grundläggande kunskap om vi ska bygga en fungerande informationssäkerhet, är strategin även här konserverande.
Den kunskap som strategins författare anser behövs är att kartlägga brister och sedan öka medvetenheten om dessa till olika aktörer.
Det är enligt regeringens bedömning viktigt att arbetet med att analysera sårbarheter, brister och behov med koppling till Sveriges informations- och cybersäkerhet fortsätter att utvecklas och fördjupas i syfte att stödja och öka medvetenheten om långsiktigtpå alla nivåer i samhället När man sedan kommer in på högre utbildning, forskning och utveckling räknas ett antal redan pågående projekt upp samt en avslutande lam inriktning: Lärosäten, industriforskningsinstitut, näringsliv och offentlig sektor samverkar för att öka nyttiggörande och innovation inom informations- och cybersäkerhetsområdet.
Min uppfattning är att om en större förändring (i positiv riktning är det väl bäst att säga) av samhällets informationssäkerhet så förutsätter det en utvecklad kunskapsstyrning.
Mer effektivt än att använda retroaktivt inriktade och repressiva åtgärder som incidentrapportering och tillsyn är att kunna beskriva för olika typer av aktörer hur de kan använda belagt effektiva säkerhetsåtgärder.
Detta förutsätter dock i sin tur att det finns kunskap som kan utgöra underlag för en relevant styrning.
Ett område som alldeles särskilt borde lyftas fram är det informatik och hur en styrd informationshantering kan ge ökad säkerhet i de tjänster som alltmer kommer att ersätta de traditionella systemen.
Jag bedömer att tekniskt perimeterskydd kommer att vara något som måste fortsätta att utvecklas men att dess relativa betydelse kommer att minskas i förhållande till hur säkerhet kan byggas in i informationshanteringen.
Därmed anser jag att detta borde vara ett strategiskt kunskapsområde för framtiden, en uppfattning som inte förefaller delas av strategins upphovsmän som på ett ytterst vagt sätt sveper över en mängd teknikområden.
Ett annat kunskapsområde som hänger ihop med själva definitionen av informationssäkerhet är betydelsen av spårbarhet i informationshanteringen.
En långvarig men icke-uttryckt schism inom det svenska informationssäkerhetsskrået är begreppet spårbarhet som för många varit tabubelagt utan närmare förklaring.
I de verksamheter som länge varit transaktionstäta och komplexa som exempelvis hälso- och sjukvården har kravet på spårbarhet varit självklart.
För ”purister” har det dock varit en styggelse.
Nu menar jag att det borde vara uppenbart för de flesta praktiskt verksamma att begreppet måste tillämpas aktivt i informationsklassningar och riskanalyser.
Enbart dataskyddsförordningens krav förutsätter åtgärder för spårbarhet som idag inte tillämpas men användningen av integrerade tjänster kommer också att innebära behov av att kunna rekonstruera sammanställd information där alla ingående datamängder har rätt version o.s.v.
Hur detta ska kunna gå till är även det ett område där forskning är nödvändig men denna typ av kunskap ligger långt utanför det område som strategin rör sig inom.
Trots denna orimligt långa text innehåller den bara ett litet antal nedslag i de frågeställningar som väcks.
Min kritik kan sammanfattas i tre punkter.
För det första är det väldigt uppenbart att det är en strategi för staten – inte för samhället.
De stora frågor och intresseavvägningar som de flesta av samhällets aktörer måste hantera lyser med sin frånvaro – inifrån- och ut-perspektivet är så överväldigande att jag får känslan av att man suttit i en bunker och skrivit strategin för att försäkra sig om att inga ovälkomna intryck från verkligheten ska smyga sig in.
Genomgående så förläggs också fel och brister hos aktörerna i samhället; de har dålig kunskap och de gör fel.
Däremot så håller den del av staten som skrivit strategin inte upp en spegel och frågar sig vad man själv kunnat göra bättre.
Trots att staten skottar in omfattande resurser centralt till de myndigheter som ska samordnat har resultatet inte blivit det önskade.
Det är därför märkligt att strategins angreppssätt är att framförallt resten av samhället ska skärpa sig.
Kanske måste man, istället för att fortsätta göra mer av samma sak, våga rikta blicken inåt och försöka analysera varför det hittills inte funkat så bra trots resurserna.
Det vill säga en gammaldags hederlig utvärdering av en fristående part.
För det andra beskriver strategin inte ens dagens digitala situation utan en snart förgången tid.
Jag har ju närt vissa förhoppningar rörande strategin men måste nu redan inledningsvis medge att det kommit helt på skam.
Istället för att vara framåtblickande vilket är ett slags grundkrav på en strategi är den produkt som presenteras häpnadsväckande inaktuell även för dagens situation.
Jag förstår att de som skrivit dokumentet varit snärjda och begränsade av bland annat det fem år gamla NIS-direktivet.
Detta ”ursäktar” dock inte den enligt min bedömning föråldrade bild av verkligheten som är strategins utgångsläge.
Faktiskt är det svårt att se den nya strategin som mer aktuell än den som togs fram 2010 och som dessutom var betydligt mer kortfattad och välstrukturerad .
För det tredje levererar strategin få eller inga konkreta inriktningar – man lyckas inte ens beskriva hur de områden som staten faktiskt kontrollerar ska styras.
Hur ska exempelvis säkerhetsskydd, samhällsviktig verksamhet och normal verksamhet förhålla sig till varandra?
Och de olika incidentrapporteringskrav som staten nu riktar mot olika aktörer, hur ska de integreras till en effektiv och rimlig helhet?
Om exempelvis eHälsomyndigheten råkar ut för en incident där personuppgifter ingår ska man då rapportera till MSB (enligt MSB:s föreskrift), till IVO (enligt NIS-direktivet) och till Datainspektionen (enligt dataskyddsförordningen).
Eftersom incidentrapportering under en längre tid lyfts fram som den mest prioriterade säkerhetsåtgärden vore det rimligt att en strategi gav besked om hur den långsiktigt ska hanteras.
Och om nu en stor del av den samhällsviktiga verksamheten och den offentliga förvaltningen i övrigt kommer att hantera sin information i ett fåtal internationella molntjänster?
Är det då inte en central strategisk säkerhetsfråga för staten att ha en inriktning för relationen till dessa molntjänstleverantörer.
Det är ju knappast ett alternativ att köra ett DDR-lösning och utveckla egna statliga lösningar.
En strategi borde fungera som mer än talepunkter för en minister i Almedalen men här tycks beskedet ganska klart: Fråga inte vad staten kan göra för dig utan vad du kan göra för staten.
För oss andra verksamma i skrået är det viktigt att inte dras in i bunkern utan att vi arbetar med de frågor som är relevanta i dag och i framtiden.
Under senare tid har jag liksom många andra ägnat mig åt dataskyddsförordningen och hur man ska förena den med det övrigat – en fråga som jag återkommer till i en senare blogg.
Nu ska jag istället skriva om min nya förälskelse; privacy by design.
Privacy by design, inbyggt integritetsskydd, är ju ett av de krav som ställs i förordningen som träder i kraft i maj nästa år.
Förmodligen är detta också ett av de krav som kommer att ställa störst krav på de personuppgiftsansvariga både organisatoriskt och tekniskt.
Att inte samla in mer personuppgifter än nödvändigt, att se till att åtkomsten till dem är strikt, att skydda dem genom pseudonymisering eller liknande, att säkerställa att de inte används för något annat ändamål än det ursprungliga samt att gallra dem när de inte längre behövs är några aktiviteter som kommer att sätta hård press på många verksamheter.
Inte minst inom hälso- och sjukvården kommer det att bli nödvändigt med omfattande åtgärder eftersom man där länge eftersatt integritetsaspekterna.
När jag började läsa in mig litet mer på privacy by design var det dock inte de konkreta åtgärderna som intresserade mig mest.
Istället vad det de sju grundprinciper som formulerats av Information and Privacy Commissioner of Ontario på 1990-talet.
De är: När jag tittar på principerna så tänker jag att samtliga skulle kunna vara tillämpliga i ett vidare perspektiv, som grunden för ett koncept för information security by design.
Den sista skulle kunna bytas ut mot en princip som handlar om användaren, något i stil med: Respekt för användaren – utforma processen/systemet/tjänsten så att användaren har överblick och kan agera med rätt säkerhet.
Det skulle till exempel kunna innebära att standardiserade skyddsnivåer finns inbyggda utifrån den informationsklassning som informationsägaren gjort.
Självklart måste de organisatoriska aspekterna lyftas fram mycket tydligare, till exempel gällande ansvar.
Jag är medveten om att begreppet security by design redan finns och till och med i snabb men är då endast i ett it-perspektiv – inte i ett informationssäkerhetsperspektiv.
Här finns mycket att arbeta vidare med.
Det som slår mig är hur litet uppmärksamhet det proaktiva säkerhetsarbetet får för närvarande.
Istället är det återkommande temat i bland annat dataskyddsförordningen och NIS-direktivet incidentrapportering.
Och självklart är det de inträffade incidenterna som gör sig i media oavsett om det hackerattacker eller större driftstopp.
Kanske kan man också rent teknikhistoriskt se det som en mognadsprocess.
När järnvägen introducerades runt mitten av 1800-talet var insamlandet av incidenterna också ett första steg i ett begynnande säkerhetsarbete.
Att det reaktiva säkerhetsarbetet kommer att dominera synfältet under det närmaste året med alla krav på och den stora tilltron till incidentrapportering är det nog ingen tvekan om, oavsett dess betydelse i förhållande till det proaktiva.
Själv kan jag därför i trygg visshet om att denna aspekt kommer att bli väl omhändertagen fundera vidare på hur information security by design kan användas som ett organisatoriskt koncept.
Regeringen har utlovat en cybersäkerhetsstrategi till i maj. Vad jag kan se har den ännu inte dykt upp men är kanske i antågande.
I väntan på detta passar jag på att skriva ner några förhoppningar på innehållet i strategin.
I det följande kommer jag att utgå från antagandet att strategin inte enbart kommer att handla om cybersäkerhet, detta oklara men uppenbart upphetsande begrepp, utan även om informationssäkerhet.
Frågan är vad statens intresse gällande cyber- och informationssäkerhet egentligen är, det vill säga vad en strategi bör avse att styra.
som rörde sig i samma härad var spretig i detta avseende och känns så här i efterhand som en önskelista från ett antal myndigheter utan en sammanhängande tanke kring samhällets behov.
Därför är en första förhoppning att strategin dels har modet att inte vara alltför influerad av NISU, dels att man istället försöker utgå från konkreta behov på samhällsnivå.
För att uttrycka det något klyschigt; mer ”pull” än ”push”, mer utifrån-och-in än inifrån-och-ut.
För mig har staten ett vitt spektrum av intressen inom informationssäkerhetsområdet från cyberkrigföring till information riktad till enskilda om säkert agerande på nätet.
Förhållningssättet måste av naturliga skäl skilja sig starkt inom spektrets olika delar.
När det gäller försvar och säkerhetsskydd är lagstiftning och repressiva incitament kanske lämpliga styrmedel medan i andra delar är kunskapsstyrning både det rimliga och det effektiva sättet att förbättra säkerheten.
Ett alternativ är att strategin endast omfattar de delar som rör rikets säkerhet och samhällsviktig verksamhet och skippar den informationssäkerhet som gör att samhället fungerar i normalläget.
En farhåga är dock att strategin endast kommer att beröra vissa typer av informationssäkerhetskrav och utesluta andra som till exempel de krav som emanerar ur dataskyddsförordningen.
Det vore olyckligt eftersom jag tror det främsta behovet just nu är att sammanfoga en helhet av styrning där staten tar ansvar för att beskriva hur de enskilda organisationerna ska förhålla sig till bland annat civil beredskap, totalförsvar, samhällsviktig verksamhet och infrastruktur samt dataskydd.
Till detta kommer visioner om digitalisering och öppenhet.
Staten har en viktig uppgift i att förklara hur helheten ska se ut, något som såvitt jag vet ännu inte är gjort.
Istället skjuts frågeställningen ner till den enskilda kommunen, myndigheten, landstinget eller företaget att lösa.
Förbryllande signaler kommer i de många utredningarna som var och en tycks undersöka sitt eget slutna rum.
Själv har jag ägnat omotiverat stort intresse för bilden i säkerhetsskyddsutredningen där säkerhetsskyddet tycks gälla för en fjärdedel (ja, jag har beräknat det) av all samhällets regleringar, av samhället eller av myndigheternas informationshantering eller av något annat odefinierat.
Egentligen säger väl bilden bara att säkerhetsskyddslagen är en särskild lag och att det finns andra lagar och regler.
Att det skulle vara en principskiss är kanske att dra det litet väl långt.
Självklart bör man inte tolka illustrationer på detta autistiska sätt men jag kan bara försvara mig med att det är den generella oklarheten som gör att jag tar varje halmstrå för att försöka förstå tanken hos utredarna.
För mig själv har jag försökt rita upp sambandet mellan de olika styrsystemen som jag tror kanske kan se ut så här: Till detta kommer och hur det ska införas i Sverige .
Jag utgår från att direktivet främst ska tillämpas på den samhällsviktiga verksamheten eftersom det är vad som står i direktivet även om det även gäller bland annat vissa molntjänstleverantörer utan att dessa behöver vara samhällsviktiga: De leverantörer av digitala tjänster som omfattas av direktivet är sådana som tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster.
Dessa leverantörer ska inte identifieras på det sätt som gäller för leverantörer av samhällsviktiga tjänster och omfattas av direktivet utan att någon bedömning ska göras av om de är samhällsviktiga eller inte.
Min bild, som jag inte skulle vilja slå vad om mer än chokladkaka om att den stämmer, bygger på förutsättningen att en verksamhet och/eller en informationshantering inte kan vara betydelsefull för rikets (Sveriges) säkerhet om den inte också är samhällsviktig men det kan den kanske?
Och hur ser relationen mellan beredskap och säkerhetsskydd ut?
Efter att ha närläst förslaget till ny säkerhetsskyddslag samt andra utredningar ser jag det som synnerligen angeläget att definiera vad som är av betydelse för rikets säkerhet respektive är samhällsviktigt.
Glider dessa begrepp ihop påverkar det både demokratiaspekter och effektiviteten i samhället.
Jag när en stark förhoppning om att strategin reder ut hur dessa olika säkerhetsområden förhåller sig till varandra eftersom det också verkar vara finnas ett internt behov inom regeringskansliet att göra det.
Ett exempel på detta är den nya digitaliseringsstrategin som nämner ”samhällsviktig” endast en gång i förbifarten men däremot hänvisar till säkerhetsskyddslagen (!)
och NIS-direktivet: Ett löpande och systematiskt säkerhetsarbete ska göras för att identifiera och förebygga säkerhetsbrister samt hantera incidenter.
Privata och offentliga verksamheter behöver utveckla medvetenheten om informations- och cybersäkerhet, t.ex.
hur de kan skydda sina nätverk och informationssystem.
Genomförandet av EU:s direktiv om åtgärder för en hög gemensam nivå på säkerhet i nätverk och informationssystem i hela unionen ([EU] 2016/1148) och arbetet med en ny säkerhetsskyddslag kommer att spela stor Intrycket är att det är säkerhetsskyddslagen som ska utgöra den främsta styrfunktionen för informationssäkerheten i digitaliseringen vilket för mig ter sig som en föreställning med många negativa konsekvenser både för demokrati och effektivitet.
Strategin har en viktig uppgift i att peka på hur informationssäkerheten i digitaliseringen främst måste styras via det systematiska och verksamhetsinriktade arbetet.
Att både tjänster och kommunikationslösningar är samhällsviktiga är en helt annan sak än att säkerhetsskyddslagen ska tillämpas.
En grundprincip för allt säkerhetsarbete bör vara att det inte bara gäller att införa så mycket säkerhet som möjligt – lika viktigt är att undvika att införa omotiverade säkerhetsåtgärder.
Kanske är digitaliseringsstrategins (i mitt tycke) missvisande inriktning ett resultat av att det är tämligen oklart hur den samhällsviktiga verksamhetens informationssystem ska skyddas.
Visserligen finns krav på risk- och sårbarhetsanalyser och snart genom NIS-direktivet även på incidentrapportering men vilka metoder, tekniska lösningar m.m.
som ska användas är ännu valfritt.
vad som ska utgöra samhällsviktig verksamhet måste varje aktör själv bestämma i det system för krisberedskap som byggts upp i Sverige som bottom-up snarare än top- down.
Söpple kommun måste själv avgöra vilken verksamhet som är samhällsviktig respektive av betydelse för rikets säkerhet samt, kvinnogissar jag, av betydelse för den civila beredskapen.
En cyber- och informationssäkerhetsstrategi skulle kunna peka på att det vore ganska bra att ta ett något starkare top-down-grepp.
I den allt mer komplexa informationsinfrastrukturen finns det all anledning för staten att med hela handen peka ut vilka tjänster och infrastrukturkomponenter som är samhällsviktiga.
Ingen enskild aktör är sig själv nog och ingen enskild aktör kan längre se hur beroendekartan ser ut, särskilt inte som den vägledning som finns för detta skrevs för ett decennium .
Ett konkret förslag är att den gamla ÖCB-rollen som MSB alltmer axlar också leder till att man agerar som ÖCB gjorde; talar om exakt vad som ska ses samhällsviktigt alternativt ingående i den civila beredskapen alternativt totalförsvaret och vad det föranleder för åtgärder.
En strategi ska ju peka ut vägen framåt.
Jag tänker mig att den nationella cyber- och informationssäkerhetsstrategin ska spela litet av samma roll som en policy i en organisations ledningssystem.
Det vill säga uttala en viljeinriktning samt beskriva ansvar och resurser för att förverkliga inriktningen.
En modell för den centrala styrningen vore att SÄPO/Försvarsmakten har precis som idag har ansvar säkerhetsskydd medan MSB:s ansvar däremot avgränsas till kravställning utifrån civil beredskap och samhällsviktig verksamhet.
ESV alternativt en ny digitaliseringsmyndighet skulle kunna överta uppdraget att stödja informationssäkerheten i normalläget samt för att kanalisera kraven från MSB, Dataskyddsmyndigheten (formerly known as Datainspektionen).
Slutligen är ett alternativ att Konsumentverket tar en större roll i att stödja privatpersoner i en säkrare it-användning.
Jag hör redan invändningarna: så många aktörer, det blir rörigt, hur ska de samordna sig?
Men detta är ju redan verkligheten.
Det jag föreslår är att strategin ska skapa en tydligare nationell spelplan istället för att de många, i vissa fall disparata, kraven lämnas osorterat till de enskilda aktörerna, som till exempel Söpple kommun, att försöka reda ut.
Förhoppningsvis skulle en organisatorisk form skapas för att avväga olika krav och intressen på ett enhetligt sätt istället för att 290 trötta kommunledningar var och en försöker gissa sig fram till vad som behöver göras (liksom dito myndighets-, regions-, landstings och företagsledningar).
Vissa grundaktiviteter som incidenthantering måste stödja olika behov och rapporteringsvägar för att ta ytterligare ett bevis på den nationella samordningens nödvändighet.
Den naturliga konflikten mellan säkerhet å ena sidan och verksamhetsnytta å den andra skulle också kunna hanteras på ett öppet sätt.
Jag ska inte tänja mer på tålamodet hos den eventuella läsare som hängt med ända hit genom att fortsätta räkna upp allt som pekar mot behovet av starkare samordning utan nöjer mig med en antydan om att jag har många exempel kvar i rockärmen.
Slutligen borde en strategi också gå in på hur kostnaderna för en bättre cyber- och informationssäkerhet ska fördelas.
Detta är viktigt inte minst eftersom det finns ett stort antal privata aktörer som är delaktiga som utförare av för samhället viktig verksamhet.
Den sangviniska hållning utredningen avseende ny säkerhetsskyddslag intar gällande kostnader i konsekvensbeskrivning är knappast hållbar: Sammanfattningsvis har vi kommit fram till att våra förslag inte bör innebära annat än marginellt ökade kostnader vare sig för det allmänna eller för enskilda jämfört med nuvarande lagstiftning.
I ärlighetens namn tror jag att alla insatta vet att säkerhet kostar och ibland kostar rejält.
Att för ett enskilt företag genomföra alla de potentiella åtgärder som ligger i förslaget till säkerhetsskyddslag har en prislapp och det hade varit hedervärt om utredaren tagit sitt ansvar och utrett det närmare.
Det känns aningen mästrande när statliga utredare skriver: Av kommersiella skäl finns det där starka incitament till en god informationssäkerhet.
Vår bedömning är att det finns en stor vilja att i sådan verksamhet följa internationella standarder som t.ex.
Detta sammantaget innebär att den förändring som vi föreslår träffar verksamheter där dessa tillkommande krav på informationssäkerheten redan bör vara omhändertagna.
Vad man bygger denna bedömning på är oklart.
Tillkommer gör kostnader för civil beredskap, samhällsviktig verksamhet, NIS och dataskyddsförordning.
Sammantaget uppfattar jag detta som icke oväsentliga kostnader för den enskilda aktören.
Visserligen kan man hävda att dålig säkerhet kostar minst lika mycket men genom att det är till stor del obligatoriska säkerhetsåtgärder som tillkommer kan inte längre Söpple kommun gambla och ta risken.
Finansieringen bör därför vara något av ett huvudnummer i en strategi.
Detta är skrivet under påverkan av en finsk förkylning vilket kanske gör att min vision om strategin blir litet väl hallucinatorisk.
Men låt oss ändå hoppas att vår väntan belönas med något mer konkretion och problemlösning än de senaste utredningarna på området levererat.
Oavsett vilken roll jag haft inom informationssäkerhetsområdet, informationssäkerhetschef, konsult eller byråkrat på nationell nivå, har ett behov varit lika uppenbart: behovet av ökad samordning och styrning.
Slutsatsen att det inte är möjligt för en enskild organisation att utveckla ett helt eget koncept för informationssäkerhet behöver knappast motiveras, särskilt när utvecklingen gått mot allt mer gränslösa integrationer av informationshanteringen.
En självklar grundsten för många av oss som arbetat länge med informationssäkerhet har varit ISO 27000 och dess föregångare och det har därför varit naturligt att peka på den som en naturlig utgångspunkt i den nationella styrningen.
Däremot har jag alltid uppfattat det som en mycket stor nackdel att standarden liksom trots att syftet är så stor spridning som möjligt är omgivna av avsevärda ekonomiska hinder.
För en stor statlig myndighet kan några tusenlappar tyckas vara småpengar men för en liten kommun eller mindre företag är det summor som inte är lika enkla att motivera.
Att rekommendera organisationer att införa ledningssystem för informationssäkerhet enligt standarden har därför innehållit en inneboende svårighet som kanske ändå går att överse med.
Jag har däremot varit betydligt mer tveksam till den direkta hänvisning som funnits till standarden i MSB:s föreskrift sedan .
Här sägs att myndigheter ska följa en föreskrift som inte är fritt tillgänglig vare sig för myndigheten eller för exempelvis medborgare som vill kunna ha insyn i myndighetens arbete.
Att inte kunna sprida innehållet i en av grundförutsättningarna för myndighetens arbete försvårar naturligtvis kommunikationen.
Ytterligare ett problem är att en myndighet med föreskriftsrätt föreskriver andra myndigheter att följa regler som man själv inte har kontroll över och dessutom snabbt kan göra föreskriften obsolet när de ändras.
Tyvärr följde detta krav med när föreskriften uppdaterades i form av krav på ISO/IEC 27001:2014 och ISO/IEC 27002:2014 ska ”beaktas”.
I dagarna har jag fått tips om ett beslut i Högsta domstolen (tack Carl-Arne!)
som ger mig stöd i min .
Här skrivs explicit: En grundläggande del av legalitetsprincipen får därför anses vara att författningar ska finnas tillgängliga för var och en i läsbar form utan något krav på betalning, och att detta gäller också för en standard som det hänvisas till i en författning.
Att myndigheten kostnadsfritt kan informera om vad som står i standarden anses inte upphäva denna bedömning.
Med Högsta domstolens beslut, om det befinns tillämpligt även i detta sammanhang, finns nu en möjlighet att utveckla den nationella styrningen så att den blir mer transparent och tillgänglig för alla.
Förslaget till ny ger ett intryck av att inte vara fullt genomarbetat i de mer generella avsnitten.
I avsnitten om informationssäkerhet förstärks detta intryck.
När jag läser om informationssäkerhet känns det redan från början som om jag fått på mig ett par helt annorlunda glasögon som får min vanliga informationssäkerhetsverklighet i ett helt nytt perspektiv.
Nya perspektiv brukar vara uppfriskande och klarläggande.
Tyvärr kan jag inte säga att det är min upplevelse av utredningens verklighetsbeskrivning.
Istället känns det litet som när medeltida munkar beskrev djur de aldrig sett men hört talas om, en vag likhet men ganska långt från förlagan.
Man ser liksom att det är en elefant men det liknar inte de elefanter man känner till.
”Informationssäkerhet” är beskrivet från en annan kontinent än min, gissningsvis är den kontinenten Försvarsmakten .
Informationssäkerhet pekas liksom i den gällande säkerhetsskyddslagen ut som en av tre säkerhetsskyddsåtgärder tillsammans med fysisk säkerhet och personalsäkerhet.
Utredningen vill samtidigt utvidga säkerhetsskyddets tillämpning till helt nya verksamheter där det redan finns ett pågåendesom fyller en mycket viktig funktion bland annat för samhällets robusthet.
Dessa två faktorer borde sammantaget lett till att utredningen förhållit sig till den redan existerande verkligheten, försökt ta vara på det redan inarbetade och tillfört endast det som är nödvändigt ur säkerhetssynpunkt.
Utredningen väljer istället en radikalt annorlunda väg och skapar sin egen kontinent utan mer än en tunn landbrygga till det etablerade säkerhetsarbetet, uppfinner sina egna begrepp och metoder.
På denna kontinent betyder ”den vedertagna definitionen av informationssäkerhet” den, sett ur det civila perspektivet, stympade definition som används inom Försvarsmakten och säkerhetsskyddsområdet och som fokuserar på sekretess.
Jag skriver avsiktligt sekretess och inte konfidentialitet eftersom den utgår från vad som är sekretessbelagt enligt OSL.
Den aktivitet som motsvarar informationsklassning är också helt inriktad på sekretessaspekten (mer om detta nedan).
Samtidigt skriver utredningen att man vill utvidga säkerhetsskyddslagens informationssäkerhet till att även omfatta riktighet och spårbarhet, i alla fall i någon mening.
Samma ambivalens till lagens tillämpningsområde finns när det gäller hotbilden.
Medan man, liksom i gällande lag, avgränsar hoten till att främst gälla antagonistiska hot ska nu informationssäkerheten skydda mot hela hotspektrat s 329: Här är visserligen definitionen av informationssäkerhet den samma som för det som beskrivs i en civil verksamhet men då uppstår å andra sidan problemet att sett i den här kontexten skulle det innebära att allt normalt förebyggandekan/ska ses som något som bör styras ur ett säkerhetsskyddsperspektiv.
Över huvud taget är relationen mellan den ordinarie informationssäkerheten och de åtgärder som ska påföras en verksamhet utifrån krav på säkerhetsskydd svårförståelig i utredningens resonemang.
Som på sidan 347 t.ex.
: Detta är ett motsägelsefullt påstående eftersom man i det följande gång på gång visar att den informationssäkerhet som utredningen avser väsentligen skiljer sig från den som tillämpas av t.ex.
de organisationer som följer ISO-standarden eller andra etablerade metoder.
Betyder det att SÄPO:s alternativt Försvarsmaktens föreskrifter om säkerhetsskydd hegemoniskt ska breda ut sig och tillämpas även i informationshantering som inte faller under lagstiftningen?
Med tanke på att en av utredningens huvudnummer är ett tyngre verksamhetsansvar, det vill säga att offentliga och privata verksamheter ska utföra ganska avancerade manövrar inom säkerhetsskyddsområdet på egen hand, är tydlighet a och o. Myndigheter, kommuner, landsting och privata företag har också ett alltmer krävande verksamhetsstyrtsom för den absoluta merparten organisationer är helt dominerande jämfört med säkerhetsskyddet.
Dessa två delar måste därför gå att integreras på ett smidigt sätt.
Det kräver både tydliga avgränsningar av vad som är vad samordning av begrepp och metoder där så är möjligt.
Som jag tidigare skrivit måste premissen av flera skäl också vara att säkerhetsskyddet ska tillämpas endast där så är nödvändigt och berättigat.
Jag ska därför att i det följande se närmare på den centrala aktiviteten klassning och analysera de praktiska konsekvenserna av utredningens förslag.
Tillämpningsområdet av säkerhetsskyddslagen har alltså enligt min mening glidit iväg och blivit otydligt.
Ur informationssäkerhetssynpunkt är det intressant att begrunda utredningens förslag på en tudelad uppdelning hur behovet av skydd ska bestämmas (s 22): Man överger alltså begreppet ”hemlig” och övergår till den övergripande beteckningen ”säkerhetsskyddsklassificerade uppgifter”.
Bakgrunden är att släppa kopplingen till offentlighets- och sekretesslagen (OSL) som ju endast är tillämplig på offentliga organisationer.
Att kunna identifiera och klassa information är alltså avgörande för att kunna bedöma vad som ska falla under säkerhetsskyddslagen.
Förutom att ringa in vilka uppgifter som är av betydelse för Sveriges säkerhet m.m.också för att definiera ”i övrigt säkerhetskänslig verksamhet” vilket är en utvidgad ersättning för det som skulle skyddas mot terrorism.
Som exempel nämns alltså ” Utredningen utlovar en beskrivning av hur säkerhetsskyddet ska utvecklas för de två verksamhetstyperna ( verksamheter som innebär hantering av och verksamheter som av annan anledning är säkerhetskänslig ).).
Redan här börjar ett metodologiskt problem.
Eftersom begreppet ”verksamhet” aldrig diskuteras så det är svårt att avgöra om en verksamhet avser en organisation, en del av en organisation, en process eller en aktivitet.
Jag satsar på att det är en del av en organisation men inte en specificerad funktion utan något mer flytande.
I sina beskrivningar hur det konkreta säkerhetsskyddsarbetet ska utföras beskrivs visserligen en elefant kallad informationssäkerhet som vagt liknar de elefanter som jag känner till spretar rejält i resonemangen.
Jag skulle inte åta mig att ställa upp en logisk sanningstabell över utredningens utsagor.
En central poäng för utredningen är att säkerhetsskyddet som traditionellt varit inriktat på att skydda konfidentialitet nu ska vidgas till att även motverka brister i tillgänglighet och riktighet.
Detta sägs samtidigt som man vill göra en internationell anpassning och ha fyra ”informationssäkerhetsklasser”.
Vad man säger är alltså att man ska anpassa sig internationellt men samtidigt inte, att man ska ta med skydd för information även i förhållande till riktighet och tillgänglighet men samtidigt inte ta med de aspekterna i informationsklassningen.
Även begreppen är motstridiga: man säger att informationen ska ”informationsklassificeras” trots att det enda som avses är en bedömning av behovet av konfidentialitet.
Dessutom är de uppgifter som genomgått informationsklassificeringen inte som man skulle kunna tro utan .
Detta betyder att de ska hanteras i någon av de fyra som utgör säkerhetsskyddet… För att gå vidare med klassificeringen så vill alltså utredningen att det ska införas Jag vill resa en stark invändning mot begreppet informationssäkerhetsklasser eftersom det inte är informationssäkerhet som klassificeras utan endast skydd mot obehörig åtkomst.
Informationssäkerhet har, som utredningen i ett senare avsnitt framhåller, en etablerad definition där även aspekterna riktighet, tillgänglighet och allt oftare även spårbarhet ingår.
Det är direkt vilseledande att använda ”informationssäkerhet” när man endast avser en delmängd.
Jag kan faktiskt inte förstå varför man med berått mod vill skapa en källa till ständiga missförstånd och därmed väsentligen försvåra säkerhetsarbetet i de verksamheter där det ska bedrivas.
Oansvarigt skulle jag vilja säga och en arrogans mot alla de som i sin dagliga gärning har att reda ut begreppen i sina respektive organisationer för att få litet praktisk verkstad.
Överhuvudtaget är synen på informationssäkerhet och klassning märklig och, jag ber om ursäkt, litet slapp.
På sidan 346 slås aspekterna riktighet och tillgänglighet ihop som om de vore jämförbara entiteter trots att alla som arbetat med informationssäkerhet vet att det här högst olika åtgärder som är nödvändiga för de två aspekterna.
Man hävdar också: .
Med tanke på att SLA för tillgänglighet är de mest etablerade nivåkraven är första meningen svår att tolka.
Att tillgänglighetskraven också styr en verksamhets prioriteringar vid en kris borde göra det än mer angeläget att ha en nivåindelning.
För mig med ett osunt intresse för klassning och skyddsnivåer är andra meningen minst lika obegriplig – att kraven är varierande mellan verksamheter borde göra standardisering nödvändig.
Enligt förslaget ser den praktiska hanteringen ut så här (s 344): åtgärderna ska förebygga att uppgifterna röjs, ändras, görs otillgängliga eller förstörs.
I Bortsett från skönhetsfläckar som benämningen av ISO-standarden (”ledning av informationssäkerhet”) är det andra momenten en egendomlig övning.
Det handlar om någon slags friåkning och vars konsekvens är lika oklar som grunden för bedömningen.
Där värderingen av negativa konsekvenser ur konfidentalitetssynpunkt ska ske i fyra nivåer saknas här helt nivåer, vad som ska bedömas är enbart ”betydelse”.
Hur riktighet och tillgänglighet ska hanteras beskrivs ingenstans mer än i en indirekt hänvisning till säkerhetsskyddsanalysen samt här (s. 287): Detta är så konstigt att jag inte riktigt vet hur jag ska reagera, särskilt som just denna utvidgning lyfts fram som en av de centrala förändringarna jämfört med gällande lag.
Frågor som vad detta innebär i praktiken hopar sig.
Hur ska man avgöra vilken information det gäller och i förlängningen vilken utrustning, kommunikationer m.m.
som ska användas?
Vilka typer av åtgärder ska vidtas?
Kommer staten att kräva att särskilda rutiner, viss utrustning och särskilda tjänster ska användas på samma sätt som när det gäller den säkerhetsklassificerade informationen?
Kommer staten att ta på sig att utveckla eller certifiera utrustning?
En vital fråga är också om information som bedöms som väsentlig av säkerhetsskyddskäl men enbart sett till krav på tillgänglighet och/eller riktighet (vet inte vad denna typ av information och andra informationstillgångar ska kallas för de är väl inte säkerhetsskyddsklassificerade?)
också ska påtvingas säkerhetsskyddsåtgärder som gäller sekretessaspekten.
Dessa frågors svar kommer att ha stor påverkan på både offentliga och enskilda organisationer.
Att då inte ägna energi åt att verkligen utreda vad förändringen består i och hur den ska tillämpas är ganska avgörande för hur utredningens kvalitet bör betygsättas.
När man kommer in på välkänd terräng (klassning ur sekretessynpunkt) är man desto mer mångordig.
Här vill man främst med hänvisning till Försvarsmaktens förhållanden samt internationell anpassning införa 4 nivåer.
Nackdelen är att man hela tiden utgår från att resten av världen fungerar som Försvarsmakten där hantering av säkerhetsskydd kan räknas som en kärnverksamhet.
Exempelvis ids man inte ens ta upp frågan om hur verksamheter ska förhålla sig till först de fyra nivåer för informationsklassning som MSB rekommenderar och sedan ytterligare fyra konfidentialitet.
Ska information bedömas på en totalt åttagradig skala eller hur tänker man?

Tror att ramavtalen tagit hand om säkerhetsfrågorna Tycker sig sakna kompetens och metoder att ställa rätt krav Utgår från att leverantörerna med automatik levererar tjänsterna med rätt säkerhet (de har ju säkert fått alla krav redan från andra kunder…).
Innehåller informationen personuppgifter?
Om ja, är dessa uppgifter att betrakta som känsliga personuppgifter?
Kan lösningen komma att hantera information som påverkar rikets säkerhet?
Verksamheten som behöver it-stödet It-chef Informationssäkerhetsansvarig Inköpare/upphandlare Det var känt att det fanns information som föll under säkerhetsskyddslagen i de system som skulle outsourcas Ledningen och styrelsen var medvetna om detta Ett aktivt beslut fattades att trots kännedom om detta fullfölja outsourcingen öka tydligheten i myndighetsstyrningen och lyfta betydelsen av ett tillfredsställandeinternt på myndigheterna samverkan mellan myndigheter med särskilda uppgifter på informations- och cybersäkerhetsområdet stärks NIS-direktivet genomförs effektivt och att det etableras en adekvat styrning och tillsyn av säkerheten i nätverk och informationssystem i samhällsviktig verksamhet för vissa aktörer inom de utpekade sektorerna företag och myndigheter som äger eller arbetar med samhällsviktig verksamhet där industriella informations- och styrsystem ingår får stöd i sitt arbete med att stärka informationssäkerheten, berörda myndigheter utvecklar arbetet med att genomföra och stödja kartläggningar och utredningar om sårbarheter och lämpliga säkerhetsåtgärder i samhället förmågan att hantera allvarliga it-incidenter upprätthålls genom en samordnad övningsverksamhet.
Förebygga incidenter – inte enbart agera i efterhand.
Utgångsläget att personuppgifterna är skyddade.
Inga extra åtgärder nödvändiga för användaren – alla standardinställningar skyddar integriteten.
ekniker för att skydda personuppgifter ska vara integrerade i systemet redan från början – inte läggas till i efterhand. . Skydd av personuppgifter inte en negativ aspekt för utvecklaren, inte förlust av funktionalitet – integritetsskydd kan skapa en win-win situation.
Skydd inbäddat i systemet innan personuppgifterna samlas och sedan i hela livscykeln.
Användaren ska ha överblick och kunna kontrollera att hens personuppgifter behandlas på det sätt hen samtyckt till.
Individens intresse i centrum vid hantering av personuppgifter.

all och och all lagring ska största en en samma hur Proactive not Reactive; Preventative not Remedial.
och men

Meny Författare: Inläggsnavigering

Säkerhetsskydd och informationssäkerhet Statliga molntjänster Det var ju inte särskilt konstruktivt

MENU MENU Fia Ewald Postat av Postad i , , , Postat av Postad i , , , , Postat av Postad i , , , , Postat av Postad i , , , , Postat av Postad i , , , , Postat av Postad i , , , Postat av Postad i Postat av Postad i , , , Postat av Postad i , , , Tagged , , , Postat av → Postad i , , , , , ← → Sök efter:

Det finns flera intressekonflikter när det gäller informationssäkerhet.
Så länge ­regeringen är otydlig med vad som ska prioriteras, kan inte myndigheter på egen hand förväntas klara avvägningarna.
Det skriver säkerhetsexperten Fia Ewald cloud first En samlad strategi för samhällets informations- och cybersäkerhet som tjänsterna erbjuder samhällets Säker information Vad ska skyddas?
Öka säkerheten i nätverk, produkter och system Säkerhetsskyddet har också en viktig funktion i att ge ett skydd för säkerhetsskyddsklassificerade uppgifter mot andra risker än sådana som beror på brott.
Exempel på sådana åtgärder är skydd mot avlyssning och åtgärder för att minska utrymmet för misstag, tekniska brister eller annat som kan medföra oavsiktlig skadlig påverkan på informationen.
Åtgärder som är förknippade med informationssäkerheten enligt säkerhetsskyddslagen kan inte särskiljas från informationssäkerhet i en vidare bemärkelse.
Exempel på detta är skydd mot skadlig kod och användarautentisering som är relevanta åtgärder även för it-system som inte är av betydelse för Sveriges säkerhet.
Föreskrifter som meddelas med stöd av lagstiftningen, måste kunna avse informationssäkerheten i stort för de verksamheter som omfattas av säkerhetsskyddslagens krav.
Detsamma gäller för tillsyn.
En helhetssyn krävs inom detta område och såväl föreskrifter som tillsyn måste kunna omfatta samtliga de relevanta åtgärder som syftar till att ge ett skydd för information.
Säkerhetsskyddet ska inriktas mot verksamhet som innebär hantering av säkerhetsskyddsklassificerade uppgifter.
Det ska innefatta skydd av uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt säkerhetsskyddsåtagande och som till sin natur är sådana uppgifter som avses i bestämmelser om sekretess.
Det innebär således en vidare ram än enligt den nuvarande lagen som utgår från begreppet hemliga uppgifter.
Därutöver ska säkerhetsskyddet inriktas mot verksamheter som av annan anledning behöver ett säkerhetsskydd (i övrigt säkerhetskänslig verksamhet).
Det motsvarar delvis vad som i dag skyddas inom ramen för skydd mot terrorism, dvs.
i huvudsak verksamhet vid skyddsobjekt, flygplatser och vissa verksamheter som ska skyddas enligt folkrättsliga åtaganden om luftfartsskydd, hamnskydd och sjöfartsskydd.
Det skyddsvärda området bör inte avgränsas genom regleringen om skyddsobjekt, utan ska utformas så att det även kan innefatta annan säkerhetskänslig verksamhet, t.ex.
hantering av it-system eller sammanställningar av uppgifter som är av central betydelse för ett fungerande samhälle eller verksamhet som behöver skyddas på den grunden att den kan utnyttjas för att skada nationen, t.ex.
vissa verksamheter inom det kärntekniska området.
I dag utgår säkerhetsskyddslagen från att behov av säkerhetsskydd främst handlar om skydd av hemliga uppgifter.
Kopplingen till offentlighets- och sekretesslagen kan ge intryck av att säkerhetsskydd främst är en angelägenhet för myndigheter och andra offentliga organ för vilka den lagen är tillämplig.
Därutöver handlar det om ett säkerhetsskydd med inriktning att skydda mot terrorism för flygplatser och byggnader, anläggningar m.m.
som enligt skyddslagen är skyddsobjekt.
Sådana avgränsningar är i dag för snäva och medför eller riskerar att medföra att t.ex.
verksamheter som är av betydelse för att upprätthålla grundläggande samhällsfunktioner faller utanför tillämpningsområdet.
Ett första steg är en ändrad systematik som bl.a.
tydligare innefattar sådan säkerhetskänslig verksamhet som bedrivs hos enskilda.
hantering av it-system eller sammanställningar av uppgifter som är av central betydelse för ett fungerande samhälle”.
säkerhetsskyddsklassificerade uppgifter (i övrigt säkerhetskänslig verksamhet informationsklassificerade säkerhetsskyddsklassificerade informationssäkerhetsklasser fyra informationssäkerhetsklasser av internationell modell.
Riktighets- och tillgänglighetskrav är svårare att indela i nivåer än när det gäller konfidentialitetskrav.
Detta på grund av att kraven kan vara mycket varierande i olika verksamheter och system och svårare att uttrycka i generella termer Vi föreslår därför att säkerhetsskyddsåtgärden informationssäkerhet delas upp i två delmoment.
Det första tar sikte på skyddet av säkerhetsskyddsklassificerade uppgifter från det perspektivet att informationssäkerhetssammanhang brukar man tala om skydd för konfidentialitet, riktighet och tillgänglighet.
I denna del är det konfidentialitetsperspektivet som är det framträdande.
I det andra momentet anges att åtgärderna ska förebygga skadlig påverkan på informationstillgångar som annars är av betydelse för säkerhetskänslig verksamhet.
I detta fall är det därför enbart riktighets- och tillgänglighetshänsyn som gör sig gällande.
Med informationstillgångar avses information och informationssystem i vid bemärkelse, dvs.
uppgifter, handlingar och tekniska system som används för att i olika avseenden elektroniskt kommunicera och i övrigt behandla uppgifter.
Observera att begreppet har en delvis annan och mer långtgående betydelse i den internationella standarden för ledning av informationssäkerhet (LIS) där även människor ingår i begreppet.
Överlag ger säkerhetsskyddslagstiftningen i dag intryck av att den del av säkerhetsskyddet som inte handlar om hemliga uppgifter närmast ses som ett kompletterande skydd.
En sådan ordning bör inte behållas.
Som framgår av våra förslag i avsnitt 16.1, 17.1 och 18.1 föreslås syftet med de olika åtgärdsområdena (informationssäkerhet, fysisk säkerhet och personalsäkerhet) beskrivas med utgångspunkt från såväl de skyddsbehov som finns när en verksamhet hanterar säkerhetsskyddsklassificerade uppgifter som de skyddsbehov som finns i verksamheter som av annan anledning är säkerhetskänsliga.
Några skillnader i fråga om åtgärder och förfarandet för de två inriktningarna anser vi inte vara motiverade.

Jag lyssnar på det senaste avsnittet av den underbara podden som handlar om atomskräcken.
Programledaren Kalle Lind och historikern Marie Cronqvist pratar om stämningen under kalla kriget och särskilt om skräcken för atomkriget som föranledde omfattande mer eller mindre välbetänkta åtgärder.
Det är svårt att undvika att göra jämförelser med nutiden där atomkriget blivit cyberkrig med samma ryssar med tillägget av terrorister.
Förmedlade hot och ständiga konfliktbudskap ger en förkrigsatmosfär vilken i sin tur ger grogrund till fake news och låga krav på sanningshalt inte bara hos ryssarna.
Som Aiskylos skrev för sisådär 2500 år sedan; krigets första offer är sanningen.
Det är helt enkelt inte särskilt lätt i en sådan samhällsstämning försöka inta en rationell hållning till hotbilder och rimliga säkerhetsåtgärder.
Med detta som bakgrund läser jag utredningen som har ett grått omslag och en titel som är helt befriad från den putslustighet som många andra utredare hängett sig åt: ”En ny säkerhetsskyddslag”.
Förtroendeingivande.
Säkerhetsskydd är ett svårhanterligt område.
Samtidigt som det är något som alla vill ha i någon form finns det mycket starka skäl att det ska ha en så begränsad tillämpning som möjligt.
Säkerhetspolisen (och Försvarsmakten) har mycket stora befogenheter som inskränker medborgarens normala fri- och rättigheter samtidigt som de åtgärder som vidtas ska skydda bland annat dessa rättigheter.
Denna balansgång är alltid svår i en demokrati genom det asymmetriska informationsövertaget där de som representerar SÄPO och Försvarsmakten alltid kan hävda att de känner till hot som de tyvärr inte kan avslöja men som motiverar mer resurser och mer inflytande för säkerhetstjänsten.
Bristen på transparens omöjliggör också för utomstående att bedöma säkerhetsskyddets effektivitet, så även för uppdragsgivaren.
Dialogen mellan myndigheter och uppdragsgivare blir därför annorlunda jämfört med andra myndigheter som nagelfars i fråga om effektivitet i förhållande till behov och de resurser som tillförts.
Dessutom innebär mandatet att SÄPO kan ålägga organisationer att genomföra olika typer av säkerhetsåtgärder (även tekniska lösningar) som inte organisationen själv valt, något som kan ha påverkan på organisationens ekonomiska förhållanden.
Därför måste dessa inskränkningar av rättigheter minimeras och starka motiv till inskränkningarna finnas och att den transparens som saknas i genomförande måste ersättas med så offentliga och tydliga spelregler som möjligt.
Beslutsfattare, medborgare och andra aktörer har rätt att förvänta sig en förutsägbarhet i myndighetsutövningen och att element av godtycklighet är bannlysta.
Förutsägbarhet bör i det här fallet innebära både att det är klart när lagen är tillämplig och vad konsekvenserna blir av att lagen ska tillämpas.
Ytterligare en viktig utgångspunkt är att säkerhetsskydd inte är det enda sättet att skydda för samhället viktiga resurser och att hänsyn måste tas till att myndigheter och andra organisationer bedriver ett aktivt säkerhetsarbete som utgår från andra regelverk.
För att säkerhetsskydd ska bli aktuellt räcker det inte med att en verksamhet är viktig eller känslig, brister i skyddet måste leda till risker för rikets säkerhet samt de övriga skyddsvärden som finns definierade.
Detta är min utgångspunkt i läsningen av förslaget där jag först kommer att titta på några principiella frågor och i ett senare inlägg mer specifikt på de delar som gäller informationssäkerhet.
För utredningen står det klart att det behövs ett utvidgat säkerhetsskydd, något som framför allt uttrycks som negation.
Utrednings ledmotiv är ”för snävt” som beskrivningen av dagens säkerhetsskydd, jag räknar till drygt 30 tillfällen där ”snävt” används i olika sammansättningar – oftast med ”allt för”.
Säkert är det få som inte delar utredningens uppfattning att tiderna förändras och hoten ser annorlunda ut, däremot behöver inte per definition en förändring innebära utvidgning.
Den utvidgning som utredningen föreslår är att: Förändringen är inte bara i omfattning utan ligger även djupare, i själva definitionen av vad som ska skyddas.
I den nuvarande lagstiftningen används begreppet rikets säkerhet som det som är styrande för vad lagen avser att skydda.
Begreppet har traditionellt innehållit tre dimensioner: verksamhet, skyddsaspekt och typ av hot.
Verksamhet har framför allt avsett den centrala statsmakten och militära förhållanden.
Skyddsaspekten har varit konfidentialitet; obehörig åtkomst av information.
Hot har varit relaterat till brott; på senare tid antagonism och terrorism.
Med dessa ganska distinkta avgränsningar har det varit möjligt att identifiera vilken verksamhet och vilken information som omfattats av lagstiftningen liksom att vidta åtgärder för att förhindra obehörig åtkomst.
I förslaget till ny säkerhetsskyddslag förskjuts samtliga dessa parametrar.
När det gäller verksamhet skriver utredningen: I dag utgår säkerhetsskyddslagen från att behov av säkerhetsskydd främst handlar om skydd av hemliga uppgifter.
Kopplingen till offentlighets- och sekretesslagen kan ge intryck av att säkerhetsskydd främst är en angelägenhet för myndigheter och andra offentliga organ för vilka den lagen är tillämplig.
Därutöver handlar det om ett säkerhetsskydd med inriktning att skydda mot terrorism för flygplatser och byggnader, anläggningar m.m.
som enligt skyddslagen är skyddsobjekt.
Sådana avgränsningar är i dag för snäva och medför eller riskerar att medföra att t.ex.
verksamheter som är av betydelse för att upprätthålla grundläggande samhällsfunktioner faller utanför tillämpningsområdet.
Ett första steg är en ändrad systematik som bl.a.
tydligare innefattar sådan säkerhetskänslig verksamhet som bedrivs hos enskilda.
Vi föreslår att beskrivningen av säkerhetsskyddet ska utgå från två huvudsakliga inriktningar.
Säkerhetsskyddet ska inriktas mot verksamhet som innebär hantering av säkerhetsskyddsklassificerade uppgifter.
Det ska innefatta skydd av uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt säkerhetsskyddsåtagande och som till sin natur är sådana uppgifter som avses i bestämmelser om sekretess.
Det innebär således en vidare ram än enligt den nuvarande lagen som utgår från begreppet hemliga uppgifter.
Därutöver ska säkerhetsskyddet inriktas mot verksamheter som av annan anledning behöver ett säkerhetsskydd (i övrigt säkerhetskänslig verksamhet).
Det motsvarar delvis vad som i dag skyddas inom ramen för skydd mot terrorism, dvs.
i huvudsak verksamhet vid skyddsobjekt, flygplatser och vissa verksamheter som ska skyddas enligt folkrättsliga åtaganden om luftfartsskydd, hamnskydd och sjöfartsskydd.
Det skyddsvärda området bör inte avgränsas genom regleringen om skyddsobjekt, utan ska utformas så att det även kan innefatta annan säkerhetskänslig verksamhet, t.ex.
hantering av it-system eller sammanställningar av uppgifter som är av central betydelse för ett fungerande samhälle eller verksamhet som behöver skyddas på den grunden att den kan utnyttjas för att skada nationen, t.ex.
vissa verksamheter inom det kärntekniska området.
Att säkerhetskänslig verksamhet idag också kan vara privat är inte mycket att orda om.
Däremot öppnar den sista meningen upp för en definition som liknar begreppet ”samhällsviktig verksamhet” som är: En verksamhet som uppfyller minst ett av följande villkor: Med samhällsviktig verksamhet menas de verksamheter, anläggningar, noder, infrastrukturer och tjänster som upprätthåller den funktion som de ingår i och är verksamhet som är av avgörande betydelse för upprätthållandet av viktiga samhällsfunktioner.
Samhällsviktig verksamhet kan vara av nationell, regional eller lokal betydelse.
Vad som är samhällsviktigt kan variera beroende på vilka situationer vi ställs inför och i takt med att samhället utvecklas.
Var gränsen går mellan ”säkerhetskänslig” å ena sidan och ”samhällsviktig” å andra sidan framstår i alla fall inte för mig som uppenbart.
I kapitel 13.1 presenteras ett försök att utreda inom vilka samhällssektorer finns särskilda skyddsvärda funktioner (som då ska omfattas av säkerhetsskyddslagen).
Inte heller efter att ha studerat det blir skiljelinjen distinkt även om man här försöker ringa in mer exakt vad det är som avses.
Ett rättesnöre skulle kunna ha varit att säkerhetskänslig verksamhet måste vara av nationell betydelse men inte heller detta håller när man på sidan 245 skriver: Det bör därför krävas ett kvalificerat skyddsbehov utifrån för samhället fundamentalt viktiga funktioner för att åtgärder enligt säkerhetsskyddslagstiftningen ska vara motiverade.
Dessa funktioner kan, trots kravet på nationell betydelse, finnas i en regional eller till och med i en lokal kontext.
Situationen förbättras inte heller av att utredningen föreslår på oklara grunder att begreppet ”rikets säkerhet” ska bytas ut mot ”Sveriges säkerhet”.
Orsaken att frångå det inarbetade begreppet till ett med mer territoriell konnotation sägs någonstans vara en vilja att vidga begreppets tillämpning samtidigt som det i den egentliga förklaringen skrivs: Benämningen rikets säkerhet ska ersättas med Sveriges säkerhet vilket endast är en språklig ändring.
Att det kan råda osäkerhet kring den nya lagens tillämpningsområde är olyckligt.
En risk är att en allt för vid tillämpning leder till att medborgares grundlagsfästa rättigheter inskränks (information görs otillgänglig, övervakning sker, personkontroller införs, ekonomiska förhållanden påverkas, arbetsmöjligheter försvåras) i ett alltför stort antal verksamheter som efter beslut av SÄPO börjar hanteras i extraordinära former.
Denna risk förstärks av oklarheten i vem som ska avgöra om en verksamhet är säkerhetskänslig eller inte.
En intressant fråga är vad som händer om en organisation själv genom en säkerhetsskyddsanalys kommer fram till att det saknas säkerhetskänslig verksamhet medan SÄPO hävdar motsatsen.
Frågan blir ännu intressantare om man betänker a) det är ett vinstdrivande företag b) säkerhetsskydd kostar avsevärda resurser.
Det är också litet svårt att se en förståelse för de beroendekedjor som finns i dagens samhälle och hur svårt det är att avgränsa enskilda verksamheter.
Utan tydliga avgränsningar skulle väsentliga delar av det svenska näringslivet inom it, telekom, kraft, livsmedel, bank och finans, vård och omsorg samt underleverantörer till dessa i värsta fall kunna omfattas av säkerhetsskyddslagstiftningen.
Alternativt skulle lagen kunna tillämpas på ett sätt som skulle kunna vara konkurrenspåverkande, som att i vissa sektorer skulle underleverantörer ses som säkerhetskänsliga, i andra inte.
Ytterligare en risk är att oren uppdelning mellan samhällsviktig respektive säkerhetskänslig verksamhet skulle kunna påverka krishanteringsförmågan.
Om en allvarlig händelse definieras som i första hand något som ska hanteras av SÄPO kan det leda till att det återställande krisarbetet försvåras exempelvis genom att information hemligstämplas.
I nästa inlägg alltså mer om informationssäkerhet i förslaget.
Jag satt egentligen och skrev om förslaget till ny säkerhetsskyddslag.
Den är en uppgift som kräver sin kvinna och man unnar sig kanske en stund av rekreerande slösurfande emellanåt.
Twitter är den digitala motsvarigheten till lösgodis fast mer irriterande och nu har jag börjat observera ett ”nytt” irriterande fenomen.
Det kan tyckas som en struntsak men ju mer jag tänker på det så är det inte det.
Jag menar de offentliga chefer som skriver på Twitter och andra sociala medier med twitterbiografier som ”Enhetschef på myndigheten X men twittrar som privatperson” eller ”Avdelningschef på myndigheten Y men tweetsen är mina egna”.
Sedan fylls deras flöden av myndighetsmeddelanden, bilder på dem själva i olika myndighetssammanhang samt inte minst en massa åsikter i frågor relaterade till deras myndighetsutövning.
På en nivå är jag beredd att utbrista ”skaffa dig ett liv” – om man som privatperson är fullkomligt besatt av sitt jobb mår man nog inte så bra.
Men naturligtvis är det inte så att de här cheferna egentligen agerar som privatpersoner utan som en del i sin yrkesroll, i vissa fall uppmuntrat av arbetsgivaren.
Många myndigheter tycks se det som ett egenvärde att enskilda tjänstemän är synliga i sociala medier, litet oklart varför om ni frågar mig.
Men om nu myndighetsledningen tycker det är bra att cheferna i verksamheten är ute och visar sig i sociala medier varför gör de då inte officiellt som myndighetsföreträdare utan som ”privatpersoner”?
Jag kan bara se två skäl till detta vilka båda rimmar illa med svensk förvaltningstradition och med de förväntningar som medborgare har rätt att ha i förhållande till sina myndigheter.
Det första är att man vill slingra sig undan offentlighetsprincipen.
Teorin är att om man skriver om myndighetens verksamhet som privatperson som kommer inte vare sig tweets man själv skriver eller tweets som riktas till en att räknas som allmänna handlingar.
Ursprungligen var nog skälet att det är litet knöligt att diarieföra och lagra tweets och att det därför är frestande att komma på kreativa lösningar för att undvika det.
Men jag tror att det numera, vid sidan om en administrativ slapphet, skapats en mystisk frizon där även generaldirektörer gör uttalande i sakfrågor blandat med kommentarer om fotboll.
Rent strikt betraktas information kopplat till myndighetens ärenden som allmänna handlingar oavsett om de kommer in eller skickas ut i form av flaskpost eller twitter men detta tycks ha kommit bort i den allmänna villervallan.
Den bristande kontrollen över myndighetens information liksom att lagar inte efterlevs är frågor av vikt i ett informationssäkerhetsperspektiv.
Allvarligare är kanske ändå det andra, möjligen outtalade skälet, till att chefer släpper loss i sociala medier förklädda till privatpersoner.
För att ta ett axplock har jag sett personer i chefspositioner eller motsvarande: retweeta opinionsbildare inom det egna myndighetsområdet med starkt berömmande ord, retweeta rapporter med klart tvivelaktigt vetenskapligt värde med lika berömmande ord, upprört kritisera regeringen för att den egna verksamheten (d.v.s.
myndighetens, inte privatpersonens) fått för litet medel samt i förklenande ordalag beskrivit enskilda folkvalda.
Intrycket är i många fall att myndigheterna bedriver lobbyverksamhet genom sina ”privata” chefer som i sin tur retweetar opinionsbildare som ställföreträdande kommunikatörer av myndighetens linjer.
Med tanke på att de retweetade opinionsbildarna inte är särskilt nyanserade i sina åsikter rör sig intrycket av myndigheten allt längre från det litet gråa men förtroendeingivande till en hetsig åsiktsförmedlare.
Det måste understrykas att jag inte på något sätt vill minska offentligt anställdas möjligheter att uttrycka åsikter, delta i den allmänna debatten eller vara politiskt aktiva.
Snarare tvärtom, jag tycker att det vore högst önskvärt att fler människor på olika sätt är engagerade i samhället.
Vad jag vänder mig emot är att offentligt anställda chefer opinionsbildar inom sina egna verksamhetsområden och därmed skapar en flytande gräns mellan å ena intresse- och lobbygrupper och å andra sidan myndigheten.
Kalla mig konservativ men det är ett faktum att svenska tjänstemän inte är politiskt tillsatta och ska inte politisera myndigheternas verksamhet på det sätt som jag menar att ovanstående tweets är exempel på.
Tjänstemannen får inte heller förväxlas med privatpersonen eftersom det skapar förvirring och minskar förtroendet för myndigheterna.
Och, inte minst, när nu betydelsen av källkritik och av att kunna identifiera vem som står bakom ett budskap förefaller det orimligt att myndigheter agerar som så dåliga exempel.
Det finns alldeles för få verktyg som kan användas som stöd för informationsarbetet och det är därför i sig positivt att SKL tagit fram ett stöd för Klassning vid sidan om riskanalys den mest centrala aktiviteten för att styra informationssäkerheten vilket gör det extra intressant med ett verktyg.
Verktyget är framtaget för kommunal verksamhet med krav som ursprungligen sägs hämtade från två äldre stöd från MSB:s föregångare KBM; BITS (Basnivå för IT-Säkerhet) och BITS+.
Dessa stöd togs fram 2006 och har sedan inte uppdaterats efter att ett beslut fattades redan runt 2009 att lämna BITS därhän.
Kraven har sammanställts och utvecklats till en kravkatalog som även har en koppling till ISO 27000-serien: I samarbete mellan ett antal kommuner bearbetades kravkataloger och funktioner under våren 2015 och blev verktyget du är inne i nu.
Kraven mappades om till ISO 2700x och förtydligades.
Jag bestämde mig för att göra ett test av verktyget för att se hur det fungerar i den vardagliga situation som informationsklassning är i en organisation med ett systematiskt.
För att ge den som läser testet en bild av mina utgångspunkter tänker jag i detta inlägg först beskriva förutsättningarna för informationsklassning, och särskilt informationsklassning i kommunal verksamhet.
Jag ska också försöka tolka KLASSA:s övergripande metodsyn.
Utgångspunkten föri offentlig verksamhet är i många fall ISO-standarden, så också för mig och, om än inte direkt utsagt, för KLASSA.
Målet med klassning definieras i SS-ISO IEC 27002:14 som: Att säkerställa att information får en lämplig skyddsnivå i enlighet med dess betydelse för organisationen.
Säkerhetsåtgärden är: Information ska klassas i termer av rättsliga krav, värde, verksamhetsbetydelse och känslighet för obehörigt röjande eller modifiering.
Och vägledning för införande: Klassning och tillhörande säkerhetsåtgärder för informationen bör ta hänsyn till verksamhetens behov av spridning eller begränsning av informationen samt till de legala kraven.
Andra tillgångar än information kan också klassas i överensstämmelse med klassningen av den information som är lagrad i, behandlas av eller på annat sätt hanteras eller skyddas av tillgången.
Ett problem med standarden är att begreppen inte är modellerade vilket ställer till problem till exempel genom att begreppet ”tillgång” både kan användas för själva informationen och för de bärare som används för att hantera informationen som till exempel en applikation eller ett papper.
Denna brist blir alltmer problematisk eftersom organisationer i allt högre grad använder molntjänster eller delar tjänster på andra sätt vilka knappast kan ses som organisationens tillgångar.
Detta ska jag fördjupa mig i vid ett annat tillfälle.
Här räcker det att säga att standarden tämligen tydligt säger att det är information som ska klassas.
Som en följd av den klassning som gjorts av informationen kan även andra tillgångar klassas, t.ex.
genom en klassning av system.
Enligt standarden ska: Modellen för informationsklassning bör omfatta regler för klassning samt kriterier för granskning av klassificering över tid.
Skyddsnivån i modellen bör bedömas genom att analysera konfidentialitet, riktighet och tillgänglighet samt andra krav för den aktuella informationen.
I 27001 finns bilaga A som ofta brukar uppfattas som en kravlista för att uppfylla standarden avsnittet A.8.2.
med där målet med klassningen sägs vara: Att säkerställa att information får en lämplig skyddsnivå i överensstämmelse med dess betydelse för organisationen.
Den modell som används ska alltså inte bara innehålla beskrivning av säkerhetsåtgärder i olika skyddsnivåer utan också kriterier som för skyddsnivåer som ger en kontinuitet över tid oavsett den snabba tekniska utvecklingen.
Klassningen ska kunna genomföras utifrån konfidentialitet, riktighet och tillgänglighet men också utifrån andra krav som är aktuella.
Efter att ha arbetat med informationsklassning i vitt skilda organisationer med helt olika typer av informationshantering kan jag se vissa generella krav som måste uppfyllas om klassningsaktiviteten ska få en säkerhetshöjande effekt.
Som användare möts man av ett fräscht och lättnavigerat gränssnitt vilket skapar förväntningar.
Jag utlovas att kunna få ”informationssäkerhetsklassa” (litet knölig term men det är kanske för att göra en distinktion mot det KLASSA som används i ett arkivperspektiv) informationen i ett verksamhetssystem, att göra en handlingsplan och att få en lista med upphandlingskrav.
Redan här finns ju ett problem genom att det är ”informationen i ett verksamhetssystem” som ska klassas vilket ger en rätt föråldrad syn på relationen mellan verksamhet, information och it-lösning som jag försökt beskriva ovan.
Positivt är dock att klassa har med aspekten spårbarhet.
Detta är en nödvändighet för de organisationer som har verksamhet inom vård med tanke på de krav som ställs på detta i den relativt nya föreskriften från Socialstyrelsen .
Men vilket praktiskt stöd får jag genom KLASSA?
Jag tänker mig att jag klassar informationen i två olika verksamhetssystem med stor spännvidd.
Det första är ett tänkt rumsbokningssystem för kommunhuset i Söpple, det andra ett vårdsystem för äldreomsorgen i samma kommun.
Jag erbjuds att klassa i fem nivåer från 0= ingen eller försumbar skada till 4= synnerligen allvarlig skada.
För nivå 4 finns en oklar formulering: Röjande av informationen medför Systemet behandlar information som omfattas av sekretess och rör rikets säkerhet (hemliga uppgifter) där röjande av information kan ge oöverskådliga konsekvenser där t ex omfattande fara för liv och hälsa föreligger.Informationen omfattas av t ex säkerhetsskyddslagstiftningen.
Är det endast för uppgifter som är hemliga eller är det även andra uppgifter som kan utgöra omfattande fara för liv och hälsa om de röjs?
Säkerhetsskyddslagen säger inget om liv och hälsa – det är andra värden som avses skyddas i den lagstiftningen.
Det är inte heller rimligt att föreställa sig att sjukvård ska bedrivas med den utrustning och de rutiner som säkerhetsskyddet stipulerar (RÖS- och signalskydd för att ta ett par exempel).
Detta är en besvärande oklarhet.
När jag som test fyller i nivå 4 får jag till svar: Du har klassat kravområdet som .
Kraven på dessa typer av system hanteras inte via KLASSA.
Kontakta organisationens informationssäkerhetsansvarige för hantering av denna typ av information.
Jag förstår helt enkelt inte var liv och hälsa kommer in här eftersom konstruktörerna av KLASSA verkar avse endast rikets säkerhet.
För mitt rumsbokningssystem fyller jag i att det kan bli måttliga skade-effekter i alla aspekter (nivå 1) och får ut en kravlista som jag sedan kan bedöm hur väl jag uppfyller.
Skadeeffekten är beskriven som: Inga märkbara större svårigheter för verksamheten att nå målen.
Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation.
Enskilda individer eller andra myndigheter och organisationer kan notera störningen eller uppleva lindriga besvär men utan påvisbar ekonomisk påverkan.
Med tillägget Verksamhetens förmåga att utföra sina arbetsuppgifter påverkas endast i begränsad omfattning av otillgänglighet till systemet.
för aspekten tillgänglighet.
För vårdsystemet väljer jag lika konsekvent nivå 3 vilket står för: Skapar stora svårigheter för organisationens verksamhet.
Omöjligt eller nästan omöjligt att fullfölja uppdragen.
Samhällsviktiga funktioner i egen eller annan organisation påverkas sannolikt.
Individers liv och hälsa äventyras.
med tillägget: Verksamhetens förmåga att utföra sina arbetsuppgifter påverkas i en allvarlig/katastrofal omfattning av otillgänglighet i systemet.
Jag har några synpunkter på beskrivningar av skadeeffekterna som jag väljer att hoppa över i detta redan alltför långa inlägg.
Istället ska jag fokusera på det stöd jag får ut.
Grunden är att konstruktörerna har gått via kravbilagan till ISO 27000.
Detta leder till ett stort principiellt problem och några praktiska.
Det principiella består i en underförstådd tolkning av kraven i bilaga inte ska tolkas som en helhet utan att säkerheten höjs genom ju av kraven som uppfylls.
Detta är inte min tolkning vilken istället är att alla organisationer som eftersträvar att följa standarden ska uppfylla samtliga krav men på olika nivå beroende på sitt behov av skydd.
Organisationer som certifierar sig gör ju ett Statement of Applicability (SoA) om de inte anser att kravet är tillämpbart i deras organisation.
Det praktiska resultatet av detta principiella val i KLASSA är att listan över säkerhetskrav (som numreras utifrån standarden) är betydligt kortare för rumsbokningssystemet än för vårdsystemet.
Detta skulle kunna förefalla rimligt och som ett tecken på att säkerhetskraven är lägre – alltså färre krav.
Jag tycker dock inte det när man ser vilka krav som saknas för rumsbokningssystemet.
Exempel på vad som saknas är rena hygienfaktorer som krav på sekretessförbindelser, att identiteter inte återanvänds, styrning av loggar och uppdateringar, nätverkssäkerhet, relationen till leverantören, leverantörens åtkomst och granskning.
Dessa säkerhetskrav påverkar ju inte enbart rumsbokningssystemet utan i värsta fall hela miljön som de finns i. Att KLASSA tar sin utgångspunkt i standardens krav i sin rena form i de flesta fallen (undantag är till exempel identifieringslösningar) leder till den litet paradoxala följden att det ställs mycket få tekniska krav trots att det är system som klassas.
Det leder också till att kraven är mycket öppna för tolkning och inte till någon större hjälp vare sig intern eller vid upphandling som till exempel: Information tillhörande systemet som lagras på externa molntjänster eller på flyttbar lagringsmedia, exempelvis mobiltelefoner, USB-minnen och externa hårddiskar, hanteras och skyddas på motsvarande sätt som övrig information tillhörande systemet.
Eller ur det excelark som kan användas som stöd för upphandling: Leverantören ska ha en rutin för att både avaktivera användarkonton och permanent ta bort konton från systemet.
Trots att behovet är stort och ansatsen tycker jag inte att KLASSA är ett bra verktyg.
I vissa fall skulle jag till och med säga att det är en riskfaktor i sig eftersom KLASSA på de lägre säkerhetsnivåerna plockar bort så många självklara säkerhetsåtgärder att ett system som sägs uppfylla kraven kan vara i avsaknad av elementära säkerhetsåtgärder.
Detta är en risk i systemet och i värsta fall för hela it-miljön som det finns i. Om en leverantörs åtkomst inte är styrd och begränsad i ett system kan det leda till obehörig åtkomst även i andra integrerade lösningar för att bara ta ett exempel.
Av de sex krav jag ställde upp fyller KLASSA endast delvis upp krav 2, 4 och 6 om man gör en välvillig tolkning.
Jag hoppas SKL gör ett omtag och då även ser över till exempel kraven från dataskyddsförordningen och integrerar även dem.
Man tror ju nästan inte det är möjligt att utreda digitalisering ytterligare en gång men det får man ändå ge regeringen – att sätta fart på utredandet, det kan den!
Nu har den emotsedda utredningen om en ”ny” digitaliseringsmyndighet presenterats, med det litet sekelskiftesdoftande namnet SOU 2017:23 .
Spoilervarning eller service till er som inte vill läsa längre än hit: Först vill jag ge utredningen en eloge för den 40-sidiga historik som ingår.
En randanmärkning är att historieskrivningen skulle blivit ännu intressantare om den även inkluderat en teoretisk diskussion i ett förvaltningshistoriskt perspektiv.
Det skulle ge digitaliseringen den kontext som så ofta saknas.
Det har dock inte varit utredningens uppdrag att anlägga en mer djuplodande syn på digitaliseringens roll i samhället och i förvaltning.
Istället har regeringen velat ha en analys av och förslag till: .
Mer konkret handlar det om att ge förslag på hur staten skapa en organisation och ansvarsfördelning för nationella tjänster som Mina meddelanden och Svensk e-legitimation.
Dessa två tjänster har ju inte riktigt levererat enligt regeringens ambition och ytterligare ett uppdrag för utredningen har varit att föreslå I övrigt är det välbekant stoff där uppgifter som i princip har funnits sedan tiden för 24-timmarsmyndigheten flyttas omkring litet i myndighetsstrukturen.
Utredningen börjar i moll.
Sverige har halkar efter i digitaliseringen trots att regeringar oavsett färg sedan länge hävdat att vi ska vara bäst.
I parentes sagt har jag aldrig förstått varför strävan är att vara bäst istället för att vara tillräckligt bra men det kanske bara är trist och pragmatisk jante-inställning.
Utredningen söker den främsta orsaken till det icke-fördelaktiga läget i att staten under lång tid valt en decentraliserad ansvarsmodell för digitaliseringen.
Hypotesen framförs med hänvisning till det stora antal utredningar från andra myndigheter (Riksrevisionen, E-delegationen, ESV och Digitaliseringskommissionen) som alla pekat på samma sak.
En reflektion under läsningen är att myndigheterna visserligen enigt pekat på fenomenet men därefter lämnat helt olika svar på lösning.
E-delegationen föreslår t.ex.
någon slags mjuk samordningslösning som ska leda till ökad samordning medan Digitaliseringskommissionen istället föreslår en ny myndighet.
Det är inte alldeles lätt att vara regering och inom ett drygt år få två helt olika förslag på lösningar från sina utredningar… Avsnittet om organisation är begripligt vilket är något mer än vad som kan sägas om avsnittet En nationell digital infrastruktur.
Det inleds med utredningens bedömning Politiken för digital förvaltning bör utformas mot bakgrund av dess roll i den nationella digitala infrastrukturen.
Jag läser meningen om och om igen och förstår absolut ingenting.
Är det politiken som bör utformas med bakgrund av dess roll i den nationella digitala infrastrukturen?
Eller är det den digitala förvaltningen?
Vilken roll har i så fall i politiken alternativt den digitala förvaltningen i den nationella digitala infrastrukturen?
Och vad är den nationella digitala infrastrukturen?
Är det lösningar som staten kontrollerar, är det infrastruktur som används för nationella tjänster?
Utredaren tycks mena att infrastrukturfrågan inte nödvändigtvis behöver kräva några heltäckande statliga beslut utan att den liksom växer fram organiskt av offentliga och privata aktörer.
Det hela mynnar ut i fler frågor och egentligen inga svar.
Det avsnitt som jag av naturliga skäl är mest intresserad av är det som handlar om informationssäkerhet, integritetsskydd och personuppgiftsansvar.
Utredarens bedömningar är idag att betrakta som truismer; säkerhet måste integreras i digitaliseringen, kommuner och myndigheter behöver mera stöd för att göra det men myndigheter som har ansvar för att ge stöd i ovanstående frågor är inte koordinerade.
Detta är kända sanningar sedan länge så det en ny utredning skulle kunna tillföra skulle vara att komma ett steg längre än att pliktskyldigt skriva att det är viktiga frågor och föreslå vad som ska göras för att förbättra situationen.
Och det här jag återigen stöter på ett generellt problem med dagens utredningsväsende.
Min referensram är tyvärr härliga utredningsinsatser som t.ex.
Emigrationsutredningen 1907-1913 under Gustaf Sundbärg.
Utredningen genomfördes av tidens främsta forskare på området, ny kunskap skapades och regeringen fick dessutom ett mycket kvalificerat beslutsunderlag.
Dagens utredningar verkar alltför ofta bara innebära ett legitimerande av ett beslut som redan ligger och väntar.
Teori, analys och vetenskaplig kompetens är inte särskilt efterfrågat.
Istället hamnar utredningarna i det som jag inledningsvis gav en eloge; en sammanställning av redan publicerade källor.
”Kompilation” skulle läraren på den forskarutbildning jag påbörjade men aldrig avslutade morra innan han gav ett underkänt betyg hänvisande till det mest nesliga felsteget i skrivandet näst det rena fusket.
Nu ska jag inte vara alltför njugg, utanför säkerhetsområdet finns det resonemang om hur offentligt finansierade aktörer kan betraktas som tillför ny kunskap men det känns mer som undantag.
Jag har också förståelse för att utredningen med den korta tid (sedan i slutet av november 2016) som stått till förfogande knappast kan göra några djupdykningar.
Frågan blir då varför man väljer att tillsätta en utredning och inte helt enkelt låta tjänstemännen på RK ta fram ett beslutsunderlag i den riktning som regeringen tänkt sig besluta.
Elakt tänker jag att kanske statliga utredare om digitalisering är en av de yrkesgrupper som kan vara ersättas med eftersom de ständigt kompilerar litet till utan att tillföra någon ny analys.
Vilket omedelbart slå tillbaka på mig själv för självklart skulle mitt itererade gnäll på statliga utredningar om digitalisering precis lika lätt kunna göras av en robot.
I avsnittet om informationssäkerhet, integritetsskydd och personuppgiftsansvar kompileras det sida upp och sida ner från MSB, PTS och Datainspektionens webbplatser och föreskrifter samt från Riksrevisionens rapporter, tidigare SOU:er o.s.v.. Ingen ny kunskap och ingen analys men utredningen försäkrar som så många utredningar före den att informationssäkerhet och integritet är superviktiga förutsättningar för digitalisering.
Författningsförslaget gällande den nya myndigheten ser ut så här: 11 § Myndigheten ska samverka med Datainspektionen, Myndigheten för samhällsskydd och beredskap samt Post- och telestyrelsen i frågor om digitalisering av förvaltningen, personlig integritet och informationssäkerhet.
Det är ju ett förslag som är svårt att undvika att uppfylla… Jag uppfattar detta som det svagaste partiet i utredningen eftersom det saknar riktning, nytänkande och konkreta förslag.
Det intressanta är när utredningen själv diskuterar s.k.
eget utrymme (liksom även Mina meddelanden för den delen), vilket är en fråga med många säkerhetsdimensioner finns inte tillstymmelse till riskanalys eller diskussion om säkerhetsaspekter.
Detta skildrar i ett nötskal hur informationssäkerhet och integritet hanteras i förhållande till digitalisering; välmenande omnämnande men ingen praktik.
Föga originellt anser jag att grundprincipen förär att det ska vara riskbaserat.
Skälen till detta är många.
Det starkaste är att det inte går att vidta rätt säkerhetsåtgärder om man inte vet vilka risker de avser att reducera.
Utan kopplingen till risk blir säkerhetsarbetet ett självändamål vilket jag bedömer som en av de största riskerna (!)
för ett effektivt säkerhetsarbete.
Konsekvensen, vilket jag alltför ofta sett i praktiken, är att en organisation visserligen kan investera stora resurser i säkerhetsåtgärder men att investeringen inte alls ger en säkerhetshöjande effekt som motsvarar investeringen.
I ledningens styrning av informationssäkerheten i den egna organisationen måste riskägaren, d.v.s.
ledningen, också ha den faktiska möjligheten bedöma vilka risker som är acceptabla respektive oacceptabla sett i relation till verksamhetsnyttan.
Detta är grunden för ett fungerande ledningssystem.
Det finns också starka skäl till att styrningen av informationssäkerheten bör förflyttas så att tyngdpunkten ligger mer på risk än compliance.
Compliance är per definition bakåtblickande – vi kan i huvudsak reglera det vi känner till – vilket inte är det mest ändamålsenliga i en starkt föränderlig situation (jag ska inte här gå in på att risk kan byggas in som ett element i en reglering utan förenklar starkt).
Organisationens övergripande riskanalys har också ett starkt samband med kontinuitets- och incidenthantering.
Kontinuitetshantering innebär en prioritering av resurser, för att göra den prioriteringen måste det vara klart vilka konsekvenser som kan uppstå i verksamheten om olika delar av informationshanteringen inte fungerar.
För att bedöma kunna bedöma olika incidenters grad av allvarlighet gäller samma sak, att en riskanalys är gjord som underlag för ledningens prioriteringar.
Inträffade incidenter är också ett viktigt inflöde för riskhanteringen.
Vid sidan om de stora organisationsövergripande riskanalyserna består det dagliga arbetet för en informationssäkerhetsansvarig i inte oväsentlig omfattning att vara metodstöd för riskanalyser.
Riskanalyser vid utveckling, upphandling, organisationsförändringar och ett antal andra tillfällen.
Informationsklassning bör ses som en form av riskanalys och båda momenten kan med fördel göras samtidigt med samma normskala.
Trots riskhanteringens centrala betydelse finns det ett antal svårigheter när man vill leva som man lär och ha ett riskbaserat.
Tyvärr är min erfarenhet att stödet från ISO 27005 inte ger den praktiskt arbetande särskilt mycket.
Istället måste man hantera de organisatoriska förutsättningarna i den egna verksamheten, enkelt sagt men inte utan problem i praktiken.
För att illustrera detta ska jag ta upp ett par exempel på förutsättningar för riskhanteringen ur informationssäkerhetssynpunkt som är svåra att hitta ett entydigt förhållningssätt till.
En första förutsättningsrisker bara är en typ av risker som organisationer måste hantera.
De flesta organisationer är idag skyldiga att på ett systematiskt sätt analysera och hantera vissa typer av risker.
I en myndighet där jag försökte få en överblick slutade jag när jag hittat nio formella krav på riskanalyser, allt från MSB:s krav på risk- och sårbarhetsanalyser till riskanalyser ur försäkringssynpunkt.
Därtill kommer inte sällan kravet på att göra en säkerhetsanalys.
Detta är inte unikt för myndighetsvärlden, många privata verksamheter är underställda formella krav men har också anslutit sig till branschregelverk där riskanalyser ingår.
Riskanalyserna kan vara på organisationsövergripande nivå eller på delar av organisationen, gemensamt är dock att de saknar en gemensam metod för att genomföra analysen.
Det kan vara komplexa kontrollsystem som COSO eller enklare metoder som ligger som grund för de analyser som ska göras.
Den informationssäkerhetsansvariga har då alternativen att antingen försöka integrera bedömningen av risker relaterade till informationssäkerhet i befintliga analyser eller lägga ytterligare en analys till de övriga.
En annan aspekt är att ett fungerande säkerhetsarbete kräver riskanalyser på ett antal nivåer.
Den mest begränsade riskanalys jag gjort var på en kartotekslåda med patientuppgifter för tjugo år sedan, den mest omfattande har rört nationella förhållande.
I en organisation bör det finnas ett flöde så att risker på lägre nivåer aggregeras och tillsammans ger underlag för den övergripande riskbilden.
De organisationer som lever efter ISO 27000 har sannolikt även beslutat att ledningen regelbundet ska få en rapportering av riskläget.
Det finns även en nedåtrörelse där ledningens riskvärdering ska distribueras i organisationen och influera bedömningarna av risker på lägre nivå.
För att det ska fungera på ett smidigt sätt är en gemensam metod en klar fördel.
Vi står alltså inför valet av horisontell eller vertikal integration; ska det finnas en gemensam metod för alla typer av riskhantering i organisationen?
Eller är det enklare att försöka få till en fungerande metod för riskhantering ur informationssäkerhetssynpunkt som tillämpas på alla nivåer i organisationen?
Svaret är inte givet utan måste bedömas efter noggrann analys i varje organisation.
När jag skrivit detta har jag bara skrapat tunt, tunt på ytan av allt det som finns att diskutera om riskhantering.
Den som har metoder, erfarenheter eller synpunkter på ämnet får gärna höra av sig så sammanställer jag och förmedlar det här på bloggen.
Inkommer ingenting finns det stor risk att jag återkommer och fortsätter att skriva om mina egna erfarenheter i frågan.
På svenska är ”säkerhet” ett begrepp medan på engelska finns både ”safety” och ”security”.
Begreppen används i kunskapsområden relaterade till säkerhetsfrågor som till exempel inom trafiksäkerhet.
I korthet innebär safety åtgärder för att motverka oavsiktliga fel, misstag, negativa avvikelser, produktfel o.s.v.
medan security är skydd mot avsiktliga, antagonistiska hot.
Det är en avgörande skillnad mellan de risker som safety-åtgärder avser att reducera jämfört med security-relaterade risker.
Information security är också ett område som traditionellt varit inriktat mot antagonistiska hot vilket i hög grad har övertagits av de svenska aktörerna inom informationssäkerhetsområdet.
Både på engelska och svenska är spåren från denna bakgrund mycket tydliga.
Jag har länge funderat över varför det rådande paradigmet inom informationssäkerhetsområdet fortfarande är så inriktat på antagonistiska hot.
Det anspråkslösa empiriska material som finns kring vilken typ störningar i informationshanteringen som ger stor verksamhetspåverkan tyder ju snarare på att det stora problemet ligger i exempelvis bristande uppdateringar i it-lösningar.
Om syftet medt är att reducera störningar som påverkar olika verksamheters möjlighet att upprätthålla sin leverans med acceptabel kvalitet så förefaller fokuseringen på antagonistiska hot kontraproduktiv.
Trots att jag tror att de flesta som sysslat med informationssäkerhet vet att det förhåller sig på det här sättet, både när det gäller hotbilden och fokuseringen på antagonistiska hot, är det märkligt besvärligt att föra en diskussion om frågan.
Orsaken till att det är svårt att diskutera frågan är att security-begreppet skapat en hegemoni som så starkt styr synsätt och de underliggande begreppen och därmed skapar ett paradigm där andra synsätt utesluts.
Att tala om paradigm i samband med informationssäkerhet kan ju tyckas både paradoxalt och onödigt teoretiserande.
Paradoxalt eftersom jag tidigare hävdat att informationssäkerhetsområdet är anti-intellektuellt och paradigm kan ju tolkas som ett akademiskt genomarbetat teoribygge.
Detta är dock en felsyn eftersom ett paradigm ofta helt eller i delar är ett omedvetet tolkningsmönster, integrerat i iakttagarens blick.
Det är också det som gör det svårhanterligt, paradigmet ligger som ett filter över verkligheten och gör att endast det som går att passa in i tolkningsmönstret slipper in.
En situation som gjorde mig brydd och som kan illustrera paradigmets kraft var när jag deltog i ett arbete på en myndighet som förutsatte att vi kunde nå fram till en definition av vad en incident är.
Med min bakgrund i verksamhetsnära informationssäkerhet var det uppenbart att begreppet incident som måste innefatta alla typer av händelser i informationshanteringen som leder till störningar i verksamheten.
Eftersom både it, informationshantering och informationssäkerhet har sitt existensberättigande som stödfunktioner för kärnverksamhetens processer så är grundorsaken till en störning för verksamheten irrelevant, antagonistisk eller inte.
Detta synsätt delades dock inte alls av deltagaren som skulle tillföra ett it-säkerhetsperspektiv.
Hen hävdade outtröttligt att endast händelser med ett antagonistiskt ursprung kan innefattas i begreppet incidenter.
Buggar, uppdateringsfel och brister i rutiner, oavsett hur dramatiska effekter på verksamheten de får, är inte incidenter enligt detta synsätt.
Varje möte i vår arbetsgrupp strandade på denna fråga.
När jag försökte framföra att denna definition av begreppet, bortsett från allt annat, även skulle leda till stora praktiska problem eftersom det ibland kan ta dygn eller ännu längre innan det går att hitta orsaken till en störning.
Ska de då räknas som incidenter och hanteras enligt fastställd incidentrutin eller inte?
Och ska en organisation ha två olika rutiner för ”negativa händelser” i informationshanteringen beroende på dess upphov trots att verksamhetspåverkan är exakt den samma?
Jag kan nu se orsaken till att vi inte kunde kommunicera på ett konstruktivt sätt i denna viktiga fråga var security-paradigmet så skymde sikten att de verkliga frågeställningarna försvann.
Att det skulle vara onödigt teoretiskt att tala om paradigm är kanske ett allvarligare felslut eftersom det är just den medvetna eller omedvetna teorin som stödjer oss i att hantera de högst praktiska frågor som leder till en bättre informationssäkerhet.
Jag tänker ganska ofta på en organisation i flygbranschen där jag var konsult under några månader och intervjuade ett stort antal personer.
Det slående var att alla som var oinvigda i informationssäkerhetens mysterier men väl insatta i trafik och kommunikation frågade om jag avsåg security eller safety när jag pratade om informationssäkerhet.
För dem var distinktionen självklar och funktionell; att ha säkerhetskontroller på flygplatser för att förhindra terrorister är en viktig uppgift men minst lika viktigt är att ta bort isen från flygplansvingar så att planet fungerar på bästa sätt.
Som passagerare är jag ytterst tacksam för den vikt som läggs vid safety-frågor som sannolikt har större betydelse för att så få trots allt blir skadade i trafiken generellt.
Detta gäller inte bara flyget naturligtvis.
Säkerhetsbältet i bilen skyddar mig inte mot terrorister men sannolikheten för att råka ut för en oavsiktlig trafikolycka bedömer jag som betydligt större och säkerhetsbältets påverkan på dödade och skadade i trafiken kan knappast överskattas.
Jag vill därför förorda att vi börjar arbeta mot ett paradigmskifte där ”Information Safety” blir lika prioriterat som ”Information Security”.
Det betyder att något överge krigsretoriken med ständiga antagonister, attacker och hot och mer inrikta sig på ett kvalitetsarbete i den gråa vardagen, att prioritera upp uppdateringar, rutiner, dokumentation, planering och utvärdering på ett systematiskt sätt.
Att kunna upprätthålla två samtidiga perspektiv är nödvändigt om vi verkligen vill att viktiga verksamheter ska kunna upprätthållas med tillräcklig kvalitet.
Insynen i den offentliga verksamheten och tillgången till allmänna handlingar gynnar medborgarens individuella rättssäkerhet liksom medborgarens kontroll över de offentliga institutionernas funktion.
Dessutom, vilket känns alltmer betydelsefullt, kan tillgången till allmänna handlingar göra att det offentliga samtalet har stöd i relevanta fakta och gemensam kunskap.
Sammantaget finns det alltså alla skäl till att se den svenska offentlighetsprincipen, med den unika rätt den ger medborgarna till insyn, som en oskattbar tillgång för demokratiutveckling.
Att offentlighetsprincipen helt handlar om informationshantering borde ha lett till att den ägnats stort intresse i e-demokratisammanhang.
Nu för ju visserligen e-demokrati i sig en tynande tillvaro i digitaliseringssatsningarna men det är ändå häpnadsväckande att offentlighetsprincipen snarare motverkas än utvecklas.
Departement, myndigheter och kommuner verkar alltför ofta göra sitt bästa för att undvika att lämna ut även den information som helt uppenbart är allmän och offentlig.
KU och JO kritiserar departement och myndigheter för deras förhalande och försvårande av utlämningsärenden, utan synbarlig effekt.
Det har gått så långt att det t.o.m.
startats tjänster för att ge stöd för den som vill begära ut allmänna handlingar hos trilskande Offentlighetsprincipen inskränks också genom allt fler krav på sekretess, inte minst uppges ofta säkerhetsaspekter vara skälet till önskan om sekretess.
2 kap Tryckfrihetsförordningen (TF) handlar om allmänhetens rätt att ta del av allmänna handlingar.
Det är en rättighet som lagstiftaren inser inte är så lätt att komma i åtnjutande av om medborgaren inte känner till vilken information som hen har rätt att del av.
Förvaltningslagen innehåller därför krav gällande serviceskyldighet, tillgänglighet och öppenhet som tillsamman brukar kallas .
Det betyder att departementet/myndigheten/kommunen inte bara ska ta ställning till de begärande om utlämning av allmänna handlingar som medborgare lyckas formulera på fri hand.
Man ska också orientera medborgaren om vilka handlingar som finns och rimligen hur de är relaterade till verksamheten.
Det ska vara möjligt för medborgaren att få en överblick över myndighetens information och vilka handlingar som skulle vara lämpliga att begära ut om man är intresserad av en viss fråga.
Detta gäller naturligtvis även för den insyn som den granskande journalistiken behöver.
För c.a.
15 år sedan gjorde jag ett test av 20 kommuner, 20 landsting och 20 myndigheter för att se hur väl de levde upp till kravet på god offentlighetsstruktur.
Resultatet var nedslående.
Visserligen hade några lagt ut sina diarier på sin webbplats men eftersom diariesystemen är utformade för registratorer var de oanvändbara som sökverktyg även för mig som är specialist inom området.
De kräver en förförståelse för organisationen som ingen utomstående har, till exempel vilken organisatorisk enhet som hanterar en viss fråga, vad ärendetypen kallas, vad dokumenttypen kallas o.s.v.
Min slutsats var att den goda offentlighetsstrukturen var obefintlig.
Vid en stickprovskontroll i dag är läget i princip oförändrat.
Gå in på valfri myndighet, landsting, region eller kommun och testa, de flesta är i nivå med regeringen själva där man efter mycket letande på webbplatsen kan komma fram hit ett dokument som mycket översiktligt beskriver handlingar som kan . De som häromveckan uppmanade till bättre källkritik kan inte heller ses som några föredömen då gäller att erbjuda allmänheten möjligheter att ta del av de allmänna handlingar som skulle kunna utgöra motvikt till falska nyheter.
Goda undantag kan finnas som när kommuner gör en ansträngning för att ge insyn i nämnders , i övrigt är det ett tämligen kompakt mörker.
Tanken att digitaliseringen kan vara ett kraftfullt redskap för att utöka medborgarens möjlighet till insyn som fanns på har dött någonstans på vägen.
Ända in i slutet av nittiotalet förekom i it-kommissionens hägn flera goda ansatser där jag särskilt vill lyfta fram beskrivning av hur offentlighetsprincipen kan tolkas på ett minimalistiskt respektive ett maximalistiskt sätt.
Man kan urskilja tre olika slag av handlingsoffentlighet: ärendeinsyn, verksamhetsinsyn och kunskapsinsyn.
Den första kategorin ger endast möjligheter till insyn i handlingar hänförliga till ett bestämt ärende.
Sökanden måste kunna identifiera ärendet i fråga och de begärda handlingarna måste ha ett klart samband med detta.
Principen kan tolkas olika snävt: vad som är ett ärende kan t.ex.
uppfattas på olika vis och sambandet mellan handling och ärende kan vara av mer eller mindre formell art.
Den andra kategorin ger en mer omfattande insyn och förutsätter inte att begärda handlingar har anknytning till något visst av sökanden identifierat ärende.
Den begränsas av sitt syfte att ge möjligheter till inblick i myndigheternas verksamhet.
Begränsningen kan t.ex.
i praktiken utformas som en ändamålsprövning inriktad på att utlämnandet måste vara nödvändigt för att ge möjlighet att bedöma rättsenligheten och lämpligheten av myndighetens åtgärder.
Den tredje kategorin innebär i sin mest extrema form att myndigheternas hela informationsinnehav skall stå till allmänhetens fria förfogande och lämnas ut i begärda urval och former.
Informationsinnehavet betraktas som en gemensam tillgång som alla i samhället har varit med om att bygga upp och därför också bör få tillgodogöra sig.
Det innebär inte att han bortser från de intressekonflikter som en mer omfattande insyn för med sig: Att en enskild önskar viss insyn i en myndighets verksamhet är inte detsamma som att myndigheten är intresserad av att ge sådan insyn.
Snarare uppstår det ofta konflikter mellan önskemål om insyn och önskemål om insynsbegränsning.
Det ligger i offentlighetsprincipens natur att ge upphov till sådana konflikter.
De gäller inte bara den enskilde informationssökaren kontra den ”drabbade” myndigheten utan generellt, på samhällsnivå.
En vidsträckt öppenhet har sina fördelar men också sitt pris.
Jag uppmuntrar alla att läsa Seipel och reflektera över insynens för- och nackdelar.
Insynen är den korrigerande kraften som, förutom att skapa ett bättre offentligt samtal och medvetna medborgare, motverkar korruption och maktmissbruk.
Borde inte detta vara oerhört angelägna frågor idag?
Trots digitaliseringens möjligheter finns det få tecken på att de tagits tillvara när det gäller att förbättra insynen i myndigheters verksamheter eller i olika beslutsprocesser.
Senare års utredningar och andra nationella insatser som E-delegationen, Digitaliseringskommissionen, eSam och regeringens Vision ägnar inget intresse åt hur insynen skulle kunna förbättras.
Istället lever vi kvar i den petrifierade diarieföringen omgiven av brusande internet där medborgarens möjlighet till insyn ständigt minskar istället för ökar.
Denna negativa utveckling skyms av de entusiastiska insatser som görs under beteckningen Öppna data som ibland framställs som relaterad till demokratiska värden.
Att Öppna data skulle stärka demokratin är dock tveksamt.
EU:s PSI-direktiv som blivit har som sitt syfte att: att främja utvecklingen av en informationsmarknad genom att underlätta enskildas användning av handlingar som tillhandahålls av myndigheter.
Öppna data handlar alltså om näringspolitik och inte om demokrati.
Även om jag inte på något sätt vill nedvärdera betydelsen av näringspolitik skulle det i denna tid av ganska vinglig demokratisk utveckling sitta bra med en rejäl satsning på offentlighetsprincipen.
Ardalan Shekarabis tillitsreform borde inte enbart sträcka sig till tilliten inom myndigheterna utan även omfatta tilliten till myndigheterna.
Förbättrad insyn är kanske det mest verkningsfulla medlet för att förbättra tilliten till förvaltningen.
Det är också dags att styra bort från New Public Management även i detta avseende och låta myndigheter vara något mer än bara tjänsteleverantörer.
Mitt förslag är att Shekarabi och Alice Bah Kuhnke slår sig ihop, lyfter blicken från Öppna data och gör en långsiktig satsning på offentlighetsprincipen som en del av digitaliseringen.
Min uppfattning är att den svenska demokratitraditionen är en deltagardemokrati och att vi bör utveckla demokratin i en deliberativ riktning inte minst eftersom det skulle gynna den samhälleliga tilliten.
I ett tidigare inlägg har jag framfört att digitalisering kan vara ett verksamt stöd för att göra detta men att det kräver en uttalad linje från regeringen samt konkreta åtgärder i digitaliseringsarbetet.
Jag har också hävdat det är inom den konstitutionella komponenten av demokratin, d.v.s.
när det gäller individuella rättigheter, rättssäkerhet och maktdelning, som den offentliga digitaliseringen främst kan ha positiv effekt eftersom den är inriktad på förvaltningsfrågor.
Om digitaliseringen ska stärka demokratin måste denna aspekt alltså vara framlyft i de nationella satsningar som initierats av regeringen eller andra centrala offentliga aktörer.
Jag ska här göra ett snabbt svep över digitaliseringsområdet och se hur demokratifrågan hanterats.
Det finns en historia inom e-demokratiområdet i Sverige där frågan fanns med i de fyra it-kommissionerna som avlöste varandra mellan 1994 och 2003, och även i regeringens it-politiska strategigruppens rekommendationer från 2006.
Men är utvecklandet av e-demokrati en viktig del av dagens digitaliseringssträvanden?
Det finns två aktuella urkunder för det nu pågående digitaliseringsarbetet.
Först kom den It i människans tjänst– en digital agenda för Sverige .
Därefter regeringens strategi för en digitalt samverkande statsförvaltning Med medborgaren i centrum från .
I den digitala agendan spänns bågen i demokratifrågor: It ska vara ett stöd för medborgardialog samt bidra till att öka medborgarnas kunskap, samhällsengagemang, insyn och inflytande.
En levande demokrati där individer har möjlighet att påverka beslut som rör den egna vardagen är målet för demokratipolitiken.
Inom ramen för arbetet med att stärka demokratin är prioriterade frågor goda möjligheter till insyn och inflytande, lokal- och kommunal demokrati, förstärkta möjligheter till inflytande i den demokratiska processen samt vidgat inflytande med hjälp av e-verktyg.
Därför är det positivt om it är ett stöd för medborgardialog samt bidrar till att öka medborgarnas kunskap, samhällsengagemang, insyn och inflytande.
Tyvärr utmynnar målbilden i ett åtgärdsförslag som närmast är en icke-åtgärd: Under de kommande åren är det en gemensam utmaning för stat, kommun och landsting att utveckla användningen av it som stöd i dialogen med medborgarna.
Detta bör ske på ett sätt som stärker demokratin genom att utveckla en transparent demokrati och ge medborgarna ökad möjlighet att utöva inflytande i de demokratiska beslutsprocesserna.
Regeringen stödjer därför bl.a.
fortsatt Sveriges Kommuner och Landstings projekt Medborgardialog med stöd av it som ska pågå till 2013.
Lustigt nog ägnas betydligt mycket mer engagemang åt hur demokratiutveckling via digitalisering kan ingå som en viktig del i svensk biståndspolitik än åt hur den inhemska demokratiutvecklingen kan stärkas.
Det finns också ett flertal hänvisningar till den som lade grunden för E-delegationens arbete men som också skapade en varaktig dimma kring syftet med digitaliseringen; är det för medborgaren, förvaltningen eller för näringen som olika åtgärder vidtas?
Ett mycket påtagligt exempel på detta är när en ökad tillgänglighet till offentlig information framställs som ett demokratiprojekt men det egentliga syftet visar sig vara att företag ska kunna vidareutnyttja offentlig information i kommersiella syften.
Detta är en följd av kombinationen av den svenska offentlighetsprincipen och EU:s PSI-direktiv vilket verkligen skulle förtjänat att få de olika syftena förtydligade.
Denna dubbelhet följer med in i målen för regeringens strategi Med medborgaren i centrum där ett av målen är: Öppenhet.
Vi ska ta hjälp av det digi­tala för att stärka demokratin och, öka transparensen och bidra till mer tillväxt genom öppna data.
Litet längre fram trycker man på de demokratiska värden som kan stärkas: Insyn och öppenhet är grundläggande förut­sättningar för demokratiskt ansvarsutkrävande och det är därför viktigt med transparens och tillgång till information om den statliga för­valtningen.
Digitala tjänster ger möjlighet att förverkliga offentlighetsprincipen på ett sådant sätt att information inte bara görs tillgänglig på begäran.
Ett exempel är Openaid.se, som publi­cerar information om det svenska biståndet.
De enda inriktningar i strategin som skulle kunna påverka demokratiska värden är tillsättandet av informationshanteringsutredningen och en förstudie om ökad transparens i Regeringskansliets remisshantering.
Såvitt jag kan se innehåller inte förslaget till som blev resultatet av informationshanteringsutredningen några förslag för att förbättra insynen, däremot ett antal förslag rörande integritet som ledde till invändningar av en rad remissinstanser.
Om transparensen i remisshanteringen förbättrats är jag osäker på.
Sammantaget kan man säga att det har funnits en del ambitioner i demokratifrågor, om än vaga, i regeringens styrning av digitaliseringen.
De organ som tillsatts för att realisera regeringens ambitioner kan inte heller sägas ha tagit e-demokratin vidare.
E-delegationen, en kommitté som tillsattes 2009 och fortlevde till 2015, fick av regeringen uppdraget att: beakta den utveckling som sker inom området e-demokrati, dvs.
användning av it i demokratiska processer.
Men delegationen gjorde själv en avgränsning ”av uppdraget och har inte beaktat demokratifrågor.” som man skriver i sitt .
E-delegationens efterföljare eSam (eSam är ett medlemsdrivet program för samverkan mellan myndigheter och Sveriges Kommuner och Landsting (SKL) om digitaliseringen av det offentliga Sverige) nämner inte demokratifrågan över huvud taget.
Digitaliseringskommissionen som haft regerings uppdrag att bistå Regeringskansliet i den fortsatta utvecklingen av digitaliseringspolitiken, bl.a.
genom att ta fram underlag lämnar inte heller i sitt slutbetänkande några förslag på att förbättra e-demokratin.
Däremot innehåller temarapporten från 2016 ett antal uppsatser som anknyter till demokratifrågor inklusive den personliga integriteten.
Uppsatserna är av mycket varierande kvalitet där några ha ett språkbruk som knappast setts i statliga utredningar, som på sidan 66 för att ta ett exempel: Sett ur det här perspektivet tycks många av sjukvårdens praktiker, där patienters önskemål om att slå ihop journaler inte hörsammas med hänvisning till den personliga integriteten, närmast perversa.
Lyckligtvis är inte nivån på argumentation den samma i hela rapporten men den innehåller å andra sidan mycket få förslag för att förbättra demokratin med hjälp av digitalisering.
Undantaget är Ulf Bjerelds och Marie Demkers diskussion om hur digitaliseringen kan underlätta för de politiska partierna att stärka sin ställning som länk mellan medborgarna och de beslutsfattande institutionerna.
Efter denna genomgång tycker jag mig kunna konstatera att det saknas en tydlig och uttalad linje gällande e-demokrati från den här regeringen liksom från de tidigare.
De generella initiativ som regeringen tagit för att uppmuntra en ökad digitalisering har inte heller kommit att handla om att stärka demokratin.
E-delegationen avgränsade till och med bort det uppdrag de fått av regeringen om att beakta utvecklingen inom området e-demokrati.
Bristen på engagemang är förvånande eftersom detta borde vara en angelägen uppgift då demokratin såsom vi känner den tycks alltmer hotad av auktoritära krafter.
Uppriktigt tror jag också att de digitala verktygen kan skapa möjligheter att pigga upp en förstelnad och litet rostig demokrati.
Men, som Anders R Olsson påpekade för redan för mer än femton år sedan, detta sker inte av sig själv utan förutsätter en uthållig vilja.
Jag ska återkomma till ett par frågor där digitaliseringen verkligen kan påverka demokratin i antingen positiv eller negativ riktning.
Knappt hinner jag avsluta ett inlägg om nationell säkerhetsstrategi förrän regeringen och SKL lanserar en gemensam tvåårig handlingsplan för samverkan vid genomförande av Vision e-hälsa Som intresserad av nationella initiativ inom digitalisering och säkerhet får man ligga i för att hinna med!
Visionen innehåller inte mer konkreta mål än att vi ska vara ”bäst i världen”, ett uttryck som har en litet osund bismak i Trumps tidsålder: År 2025 ska Sverige vara bäst i världen på att använda digitaliseringens och e-hälsans möjligheter i syfte att underlätta för människor att uppnå en god och jämlik hälsa och välfärd samt utveckla och stärka egna resurser för ökad självständighet och delaktighet i . Utöver detta nämns tre insatsområden; regelverk, enhetligare begreppsanvändning samt standarder.
Under insatsområdet regelverk sägs: Utgångspunkten i arbetet med regelverk inom e-hälsoområdet är att balansera rättigheter eller intressen såsom skydd för personlig integritet, kvalitet, säkerhet och effektivitet.
De lagar och andra föreskrifter som är styrande för verksamheterna ska säkra den enskildes olika rättigheter eller intressen.
Regelverket bör hantera den tekniska utvecklingen.
Om regelverket behöver ändras för att tillgodose kvalitet och effektivitet i verksamheten ska även behovet av integritets- och säkerhetsskydd tillgodoses.
Bortsett från att begreppet säkerhetsskydd används på ett felaktigt sätt för den sista meningen i stycket fram den för mig helt obsoleta tanken att det skulle finnas en motsättning mellan säkerhet å ena sidan, kvalitet och effektivitet å den andra.
I andra branscher har man lyckats ta sig från föreställningen att informationssäkerhet är detsamma som krånglig sekretesshantering, så icke på Regeringskansliet och i SKL:s korridorer.
En handlingsplan måste väl ändå vara mer inriktad på faktiska aktiviteter tänker man hoppfullt.
Samma tre insatsområden återkommer av naturliga skäl, och minst intresse ägnas regelverksområdet.
Inledningen uppvisar samma felaktiga intressemotsättningar: De lagar, förordningar och föreskrifter som är styrande för verksamheterna ska säkra den enskildes olika rättigheter eller intressen, men måste också kunna hantera de specifika frågeställningar som den digitala utvecklingen medför.
Insatserna syftar därför till att uppnå ändamålsenliga regelverk som både värnar individens integritet och säkerhet, och samtidigt medverkar till att främja den digitala utvecklingen.
Det handlar om att balansera rättigheter såsom skydd för personlig integritet mot en jämlik, patientsäker och tillgänglig vård.
Målbilden är en aning konkretare: Skapa ändamålsenliga regelverk som såväl värnar individens integritet och säkerhet som främjar den digitala utvecklingen, samt underlätta tillämpning och införande av regelverk i berörda verksamheter.
Det låter ju jättebra tänker jag efter att i åratal tjatat om nödvändigheten av gemensam styrmodell för informationssäkerhet.
Äntligen ska det tas krafttag!
Men när jag läser om de gemensamma aktiviteter som staten och SKL ska genomföra blir jag modfälld igen: fastslå en process för att gemensamt identifiera och fånga behov av information gällande befintliga regler eller kommande förändringar av dessa, skapa förutsättningar för en säkrare läkemedelsprocess, bevaka intressen, sprida kunskap om initiativ samt vid behov ta fram nationell vägledning rörande EU-samarbetet.
Hur dessa aktiviteter ska kunna leda fram till ett gemensamt regelverk undgår mig, och om detta är det som ska genomföras fram till 2019 lär informationssäkerheten inte förbättras i vården på den här sidan decenniet.
Samtidigt är det uppenbart att säkerhetsproblemen blir allt större, bara de senaste dygnen har förlossningsvården i Stockholm drabbats , regionsjukhuset i Örebro haft stora och Nya Karolinskas patientlarm slagits ut av .
Själv har jag börjar samla på medierapporter om brister i informationssäkerheten i vården eftersom det saknas officiell statistik och det är mycket oroande läsning.
Jag känner en växande förtvivlan över att riskerna faktiskt inte tas på allvar av de som styr vården, inte ens då man sätter sig ner för att planera framtiden.
Problemen går inte att lösa för varje vårdgivare utan måste samordnas.
Det räcker det inte med att identifiera befintliga regelverk eller att nöja sig med att skapa säkrare läkemedelsprocess.
Det går inte heller att som i den nationella säkerhetsstrategin intressera sig för sjukvården endast i krigs- och krissituationer.
Vad som behövs är en stor samordnad satsning på normallägets sjukvård som du och jag är beroende av och då är det inte bara regelverk som ska samordnas.
Istället måste de politiker som gärna vill profilera sig som digitaliseringens ambassadörer se litet längre än nästa val, gräva litet djupare i fickan och börja bygga en integrerad säkerhetsarkitektur.
För att vi ens ska få en hyfsad e-hälsa som patienter kan lita på krävs en stor ekonomisk satsning, jag tänker mig en informationssäkerhetsmiljard med tanke på hur eftersatt området är.
Dessutom kompetens och uthållighet.
För att bli bäst i världen … ja, då krävs ännu mycket mer och av detta syns ingenting i handlingsplanen.
Innan jag fortsätter diskutera e-demokrati måste jag göra ett inlägg om en aktualitet: den nationella som presenterades på försvarsområdets Almedalen Folk och försvar.
Det är med viss förväntan jag läser strategin där ett helt avsnitt ägnas åt , illustrerat av ett stridsflygplan.
Det positiva med strategin är att det litet intrasslat beskrivs att digitaliseringen förutsätter bättre informationssäkerhet även om det känns som beskrivningen känns som ihopklippt från några gamla dokument.
Förväntan på att strategin ska innehålla något substantiellt och inriktande om informationssäkerhet avklingar tyvärr snabbt och stridsflygplanet visar sig vara en ganska kongenial illustration.
Fokus ligger helt och hållet på att upprätthålla funktionalitet i samhällsviktig verksamhet, mycket litet om ens något sägs om integritet, mänskliga rättigheter, riktighet, kvalitet eller effektivitet i verksamheten.
När tillit nämns är det tillit till digitaliseringen som nämns (!)
medan demokratifrågan är mycket avlägsen.
Detta att jämföra med den nationella strategi för som togs fram 2009 som hade som målbild: Medborgares fri- och rättigheter samt personliga integritet.
Samhällets funktionalitet, effektivitet och kvalitet.
Samhällets brottsbekämpning.
Samhällets förmåga att förebygga och hantera allvarliga störningar och kriser.
Näringslivets tillväxt.
Medborgares och verksamheters kunskap om, och förtroende för informationshantering och IT-system.
Den nu aktuella nationella säkerhetsstrategin omfattar hela säkerhetsområdet men skiljer sig också åt från andra strategier, inklusive den tidigare informationssäkerhetsstrategin, genom att inte ange några mål.
Istället inleds strategin med något som kallas ”Våra nationella intressen”.
Huruvida dessa intressen är tillgodosedda idag eller inte är oklart eftersom strategin raskt kastar sig över till ”hot” och ”åtgärder”.
Det ger en särskild prägel åt strategin eftersom den inte förmedlar några mål som skulle innebära nya möjligheter utan istället anlägger en defensiv hållning.
Detta är ganska långt ifrån regeringens offensiva inriktning inom digitaliseringsområdet.
Utmaningar som frammanas inom cyber- och informationssäkerhetsområdet anges de endast som förekommande i form av antagonistiska hot: Några exempel på sådana utmaningar är antagonistis­ka hot såsom informationsoperationer och elektroniska angrepp mot skyddsvärda informations- och kommunika­tionssystem, t.ex.
i form av datain­trång, sabotage eller spionage, exempelvis mot totalförsvarets verksamhet.
It-angrepp för att bedöma, påverka eller störa samhällsviktiga funktioner som ett förstadium till en väpnad konflikt hör också hit.
It-angrepp riskerar också att otillbörligt påverka utgången av demokratiska val.
Tyvärr finns det ju inget bra kunskapsunderlag om de bakomliggande orsakerna till störningar i informationshanteringen och hur de fördelas mellan antagonistiska respektive icke-antagonistiska incidenter.
Som jag tidigare skrivit finns det indikationer att de vanligast förekommande incidenterna är av typen uppdateringsproblem och programvarufel.
Detta stämmer även med den bild jag har efter rätt många år i branschen även detta liksom andra utsagor i frågan får ses som löst grundade antaganden eller anekdotiska bevisföringar.
Det är därför synd att strategin ensidigt inriktar sig på de antagonistiska hoten eftersom det riskerar att ge det fortsatta arbetet en slagsida som gör effektiviteten i nationellat mer begränsad.
Ytterligare en negativ aspekt med att uttala en så tydlig inriktning är att det ger intrycket av att det finns kvalitativt kunskapsunderlag i frågan.
Det kan i sin tur leda till att det nödvändiga arbetet med att hitta former för att skapa och ständigt uppdatera ett sådant kunskapsunderlag inte initieras.
Vilka åtgärder föreslås då för att komma till rätta med den allvarliga situation som målats upp?
Ja, det är ganska svårt att se några mer konkreta åtgärder vid sidan om sådant som redan finns eller redan är beslutat.
Det talas om de risk- och sårbarhetsanalyser respektive säkerhetsanalyser som redan är föreskrivna, om it-incidenter, om förslaget på ny säkerhetsskyddslag och om den nationell strategi för informations- och cybersäkerhet som bl.
a. bygger på NIS-direktivet som håller på att tas fram.
I övrigt rader som: Därtill bör arbetet med de globala dimensionerna av informations- och cybersäkerhets­frågorna intensifieras.
Vilket väl kan betyda vad som helst.
Kanske är det fel att förvänta sig något annat än det som redan framförts i andra sammanhang i den här typen av dokument, särskilt som den nationella strategin för informations- och cybersäkerhet är i antågande.
Det känns ändå som ett förlorat tillfälle att inte använda en strategi för att beskriva ett framtida önskvärt tillstånd och försöka skapa en helhetsbild.
Med denna bakgrund vill jag föra fram tre centrala önskemål på vad som borde ingå i den kommande informationssäkerhetsstrategin: Analysera och redovisa vilka olika syften som informationssäkerheten ska tjäna på samhällsnivå, även de som ligger vid sidan om att upprätthålla funktionalitet i beredskapssyfte.
Till exempel hur informationssäkerheten ska kunna stärka tilliten i viktiga samhällsfunktioner genom att säkerställa integritet, effektivitet och kvalitet.
Skapa organisatoriska former där olika informationssäkerhetsintressen kan samverka i en gemensam styrmodell – om informationssäkerheten annekteras och görs om till ett rent försvarsintresse kommer digitalisering, effektivitet, integritet och demokrati inte att kunna hanteras på ett rimligt sätt Skapa ett bättre kunskapsunderlag – det är särskilt viktigt att myndigheter går i bräschen och arbetar evidensbaserat i dessa faktaresistenta tider Både mål och åtgärder måste motsvara alla de olika behov som somt ska täcka.
Om strategin för informations- och cybersäkerhet inte klarar att omfatta andra aspekter än funktionalitet i ett beredskapsperspektiv kommer det att orsaka stora problem i den offentliga verksamheten.
Myndigheter, kommuner, landsting och även företag i välfärdsbranscher kommer då att bli tvungna att själva försöka skapa lösningar för att upprätthålla helhetsperspektivet på informationssäkerhet.
Resultatet blir fler stuprör istället för ökad standardisering och på sikt kanske ett nytt begrepp fastställas som täcker helheten och som kan ersätta ”informationssäkerhet”.

Fler verksamheter ska kunna falla under säkerhetsskyddet Flera organisationer ska kunna falla under säkerhetsskyddet Inom informationssäkerhetsområdet ska inte enbart konfidentialitet utan även riktighet och tillgänglighet bedömas Ett bortfall av, eller en svår störning i verksamheten som ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid kan leda till att en allvarlig kris inträffar i samhället.
Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt.
Det måste vara information och organisation som är i centrum.
Precis som standarden pekar på så är första steget att identifiera information, klassa den utifrån värdet och betydelsen för verksamheten inklusive betydelsen av att kunna uppfylla externa krav.
Att klassa system, vilket fortfarande förekommer, ger en i mitt tycke svag verksamhetsanknytning.
Detta eftersom det inte råder ett ett-till-ett-förhållande mellan verksamhet, informationsmängder och system.
Det är i de allra flesta fall bara en delmängd av en verksamhets information som hanteras i samma system och det är därför svårt att få en bild av informationens betydelse och värde för verksamheten genom att bara titta på ett system.
Ytterligare ett skäl att undvika att blanda samman klassning av information respektive av system kan illustreras av ett exempel jag använt flera gånger.
En kommun som ska klassa konsekvenserna av att informationen om att stänga fönstren och hålla sig inomhus vid en gasolycka inte når fram till invånarna kan inte bara klassa webbplatsen.
Istället måste man titta just på informationen, därefter se vilka bärare och rutiner som är lämpliga inklusive reservlösningar.
Att bara titta på webbplatsen belyser helt enkelt inte situationen.
Det måste finnas skyddsnivåer som är beskrivna för de bärare som används för informationen.
Med det avser jag system, applikationer och it-tjänster men även krav på hur den pappersbundna hantering som alltjämt finns kvar ska ske.
Skyddsnivåerna måste även innefatta krav på det fysiska skyddet som omger information och utrustning.
Skyddsnivåerna måste vara beskrivna på ett konkret sätt som går att använda som en kravspecifikation både för den egna verksamheten, dels som stöd vid upphandlingar.
Det måste gå att differentiera så att det görs åtskillnad på krav från de olika aspekterna konfidentialitet, riktighet, spårbarhet och tillgänglighet.
Att ha höga krav på tillgänglighet innebär på intet vis att man alltid har samma höga krav på konfidentialitet.
Åtgärder för uppnå det ena kan ofta motverka det andra vilket kan leda till att informationsklassning försämrar möjligheten att uppnå en anpassad säkerhet.
Det måste det finnas en aktiv förvaltning av både krav och föreslagna skyddsåtgärder så att de inte blir vilseledande och i värsta fall kan leda till en falsk trygghet som underminerar ett systematiskt säkerhetsarbete som hela tiden måste möta nya risker.
Jag har alltid förordat att information som faller under säkerhetsskyddslagen, d.v.s.
som kan på verka rikets säkerhet, ska behandlas separat eftersom det för denna information finns fastställda krav på rutiner och utrustning som ligger utanför verksamhetens normala miljö.
Det är ofta lätt att identifiera denna typ av information och skapa ett separat spår för den och sedan fortsatta den övriga klassningen.
Utredningen tycker att regeringen ska ta litet mer ansvar och ta fram en plan för digitaliseringen, tydliggöra ansvarsförhållanden, ställa krav på uppföljning m.m., m.m.
Man föreslår att antingen ska Esam plus litet annat flytta till ESV och utgöra en myndighetsfunktion för digitalisering.
Tjänsterna Mina meddelanden och e-legitimation ska förvaltas av myndigheten.
Alternativt kan en helt ny myndighet bildas för detta ändamål.
Man promotar Mina meddelanden och säger att det krävs en ny förordning för att bland annat reglera personuppgiftsansvaret i tjänsten Och trycker på att ”informationssäkerhet och integritetsskydd beaktas i varje skede av arbetet med att bygga ut den digitala förvaltningen”

Informationsklassning skada för rikets säkerhet som inte endast är ringa.

Meny Författare: Inläggsnavigering

Vad är det egentligen som ska skyddas?
En sammantagen bedömning

Förutsättningar i SS-ISO IEC 27002:14 Mina egna krav Test av KLASSA Den digitala agendan Regeringens strategi för en digitalt samverkande statsförvaltning Med medborgaren i centrum E-delegationen och Digitaliseringskommissionen

MENU MENU Fia Ewald postat av Postad i , , , , , Postat av Postad i , Postat av Postad i , , , , Postat av Postad i , , , , Postat av Postad i , Postat av Postad i , , , , , Postat av Postad i , , Postat av Postad i , , , , , Postat av Postad i , , , , Postat av Postad i , , , , , , , ← → Sök efter:

effektiv styrning av utveckling, införande och förvaltning av nationella digitala tjänster åtgärder och incitament för att uppnå en ökad användning av de nationella digitala tjänsterna, och samverkan mellan offentlig och privat sektor i tillhandahållandet av de nationella digitala tjänsterna.
Lag (2010:566) om vidareutnyttjande av handlingar från den Informations- och cybersäkerhet, digitala risker

Statskontorets publikationer är en underskattad men ständig källa om inte till glädje så till mycket nyttig kunskap.
Under sommaren har jag en forskningsantologi kallad .
Min bedömning är att denna antologi är ett måste för den som arbetar med informationshantering eller informationssäkerhet i offentlig sektor.
Här får man så mycket sammanhang och tankar att man går ur boken som en tjänsteperson eller konsult stärkt och betydligt bättre rustad att hantera sitt uppdrag.
Ur en informationssäkerhetskonsults vinkel är det framför allt avsnitten om hur förpappring, managementbyråkrati, användning av standarder och konsulter riskerar leda inte bara till onödig administration utan också till bristande styrförmåga.
Tyvärr är det mycket som känns obehagligt välbekant.
Det är dystert att blir varse om hur det område man själv jobbar inom liksom man själv kanske är en förgiftad gåva till uppdragsgivaren, att det kostar mer än det smakar.
Vi kanske ödmjukt borde inseltför ofta ger upphov till mer byråkrati än nytta, till mer krångel än säkerhet.
En ständigt närvarande fråga borde vara hur kan vi skapa bättre säkerhet utan att tynga våra uppdragsgivare och utan att ta kraft från organisationernas verkliga uppgifter.
Hur mycket har alla de icke-fungerande ledningssystem inte kostat i pengar, incidenter och en falsk trygghet som hindrat att man vidtagit reella säkerhetsåtgärder.
Slutligen är det för mig oetiskt att ta mer resurser från kärnverksamheten till säkerhet om det inte går att påvisa att det är nödvändigt.
Givna frågor borde vara: Varför fungerar då så mycket avt så dåligt trots de avsevärda resurser som läggs på det från olika håll?
Efter att ha begrundat Statskontorets antologi vill jag på prov lansera hypotesen att många av informationssäkerhetens tillkortakommande beror på att arbetet bedrivits som en del i den new public management-trend som varit rådande i svensk förvaltning de senaste decennierna.
NPM diskuteras frekvent i antologin och många av dessa resonemang kan med lätthet översättas till informationssäkerhetsområdet.
Kännetecknande för NPM är bland annat en strävan att styrformerna i offentlig förvaltning ska likna de i privata företag.
Konsekvenserna blir i korthet decentralisering, ram/mål-styrning, standarder och en massa mätande.
Det som regleras är som ska göras men inte Ansvaret för hur åtgärder ska genomföras trycks ner i den decentraliserade strukturen.
Någon som kommer att tänka på den så omtalade ansvarsprincipen kanske?
NPM kan låta lockande men jag skulle säga att informationssäkerheten nationellt och i de enskilda organisationerna lidit stor skada av att det inte funnits en inriktning att ge tydliga direktiv om olika säkerhetsåtgärder ska utföras.
Det är en närmast kuslig suboptimering att varje organisation ska räkna ut allt själva.
Kravet på kortsiktig leverans och mätbarhet gör att det strategiska arbetet försummas.
Dessutom leder till en bristande samordning i en alltmer integrerad informationsinfrastruktur där en parts investering i säkerhet görs helt urarva genom att andra aktörer har gjort andra bedömningar och därmed inte infört samma skydd.
Fokus ligger också på dokument, standarder och rapportering, allt i enlighet med NPM:s styrfilosofi.
Jag tror inte att motståndet mot att få en konkretare styrning i säkerhetsfrågor ligger hos enskilda myndigheter, kommuner eller regioner, tvärtom är en vanlig utgångspunkt i diskussioner att man vill ha tydlighet och stöd i att veta vilka säkerhetsåtgärder som är adekvata och uppdaterade.
Snarare uppfattar jag att myndigheterna med föreskriftsrätt duckar och inte vill ta det ansvar som det innebär att peka med hela handen.
Det är liksom lättare att klaga på den bristande säkerheten i förvaltningen än att ge ett ändamålsenligt stöd.
Jag vill lansera ett förslag som jag haft sedan jag jobbade på MSB som exempel på hur vi skulle kunna bryta med ovanstående ineffektiva styrning och få en bättre och billigare säkerhet.
Mitt förslag är och har varit att erbjuda stöd i form av standardiserade skyddsnivåer och det jag kallar normerande klassningar.
Skyddsnivåer har jag skrivit om tidigare så därför koncentrerar jag mig på de normerande klassningarna.
Det mest uppenbara exemplet på hur det skulle kunna fungera gäller kommunal verksamhet.
Tänk er att det finns 290 kommuner med samma tio obligatoriska uppgifter.
Det leder till att man har i grunden har mycket likartade processer även om man ofta har egna beteckningar på förvaltningar, processer och informationsmängder.
I större kommuner kan det vara så att flera organisatoriska enheter ägnar sig åt samma slags verksamhet, exempelvis förskola eller äldreomsorg.
Man kan också anlita utomstående leverantörer för att driva verksamhet som till exempel ett äldreboende.
En viktig grundprincip för kommunal verksamhet är likvärdighet, dvs.
att invånare har rätt att förvänta sig samma kommunala service oavsett var man bor eller vem som är utförare.
I det här sammanhanget bör det tolkas som att invånare har rätt till samma säkerhet och integritet.
Detta uppnås dock knappast om informationsklassningar genomförs på tusentals olika sätt med helt olika resultat (jag kommer inte att ta upp SKR:s KLASSA här eftersom jag gjort det på annat ställe och kommit fram till att det inte är ett verktyg för informationsklassning utan möjligen för att ställa baskrav på enskilda system och som dessutom ger precis samma risk för olikartade bedömningar som om man inte använde verktyget).
Vad som skulle leda till både ensartade bedömningar och dramatiskt minskad resursåtgång är att göra normerande klassningar på prioriterade processer i kommunal verksamhet.
Man skulle då gå igenom en generisk process, exempelvis utbetalning av försörjningsstöd, se vilka informationsmängder som stödjer och skapas i de olika aktiviteterna i processen.
Därefter kan informationsmängderna klassas och den normerande klassningen användas av samtliga som utbetalar försörjningsstöd.
I och med att aktiviteter och informationsmängder är förvånansvärt konstanta över tid i många processer (tro mig, jag har gått igenom ett stort antal processer även i ett ”historiskt” perspektiv) så skulle denna grund kunna användas under lång tid.
Uppdateringar måste göras då exempelvis lagstiftning eller andra nya förutsättningar leder till att en förändrad bedömning blir nödvändig.
Även denna förvaltningsinsats har allt att vinna på att genomföras kollektivt och inte av varje informationsägare.
Och, observera, den normerande klassningen är bara ett stöd.
Det står varje informationsägare fritt att välja en annan nivå eftersom ansvaret för säkerheten kvarstår hos hen.
Ytterligare en poäng är att det här finns mycket stora samordningsvinster att göra även med dataskydd och arkiv.
Jamen systemen och it-tjänsterna säger ni uppbragt – varför finns inte de med i konceptet???
Det gör de faktiskt eftersom it-säkerheten hanteras i de standardiserade skyddsnivåerna och gör man sin processorienterade informationskartläggning rätt så identifierar man inte bara de digitala lösningar som används som bärare utan även de andra medier som faktiskt används.
Dessutom förekommer idag information i många fall i flera versioner på olika bärare så därför kan man inte gå nerifrån och upp.
Slutligen är bärarna inte alls lika konstanta som aktiviteter och informationsmängder så att ha dem som utgångspunkt för strategiskt styrning skulle vara göra sig själv en stor otjänst.
En passant kan sägas att samma synsätt sannolikt skulle kunna användas av SÄPO till allas nytta.
Att göra generiska säkerhetsskyddsanalyser för exempelvis kommuner och regioner skulle avlasta dessa aktörer och ge ett mer likvärdigt skydd.
(Jag flyr nu eftersom jag vet att detta är en helig ko som absolut inte får besudlas….).
Min förutsägelse är att det inte finns något ljus som automatiskt kommer att slås på i denna mörka byråkratiska tunnel utan det är vi själva genom att tänka fritt och nytt som måste skapa det.
Det är inte i mängden dokument säkerheten sitter.
Jag har grubblat en hel del över den falske officeren som i hägn av den svenska försvarsmakten lyckades ta sig ända in i . Som en bakgrund kan sägas att jag aldrig arbetat inom Försvarsmakten men varit i nära kontakt med representanter för myndigheten i olika sammanhang, inte minst då jag arbetade på MSB.
Dessutom gav utbildningen till signalskyddschef som jag genomgick för många år sedan en inblick i Försvarsmaktens syn på säkerhet.
Tillåt mig att framföra några obekväma iakttagelser som helt baserar sig på uppgifter i media.
Min egen upplevelse har varit att representanter från Försvarsmakten har självbilden att säkerheten i denna verksamhet är mycket bättre både vad gäller omfattning och kvalitet än den som den civila världen lyckas leverera.
Denna bild förefaller som så självklar att den aldrig ens diskuteras och påverkar även verksamheter utanför Försvarsmakten.
Det går ofta så långt att man vill exportera de säkerhetslösningar som tillämpas inom försvaret till andra delar av samhället.
Själv har jag ofta reflekterat över huruvida Försvarsmaktens (och säkerhetsskyddets) lösningar verkligen är ”bättre” än civila respektive kommersiella dito samt om de över huvud taget är möjliga att implementera i en mindre styrd miljö än Försvarsmaktens.
Skillnaderna mellan mål, organisation, kultur och teknik är så i grunden olika varandra att jag betvivlar att en rak export från Försvarsmakten är vare sig möjlig eller önskvärd.
Tvivlet har förstärkts av den attityd som kan finnas hos de som kommer från det gröna hållet, en viss överlägsenhet och ovilja att ta till sig att andra mål och medel är centrala i det civila livet.
Vid ett antal anställningsprocesser har jag också varit med om att militärer ansett sig lämpade som informationssäkerhetsspecialister i det civila trots att de saknat erfarenhet både från den rekryterande verksamhetens bransch och av informationssäkerheten.
Att ha jobbat i Försvarsmakten har varit en tillräcklig merit för dessa sökande.
Eftersom min grundprincip för säkerhetsarbete är att säkerheten måste anpassas till de unika förutsättningar som råder i varje organisation har denna inställning förefallit missriktad för den som vill förbättra säkerheten.
Det behöver kanske inte tilläggas att representanter för den hållningen inte skapar förutsättningar för en givande diskussion med respekt från båda håll.
Vart vill jag då komma med dessa anekdotiska grundade beskyllningar sammanförda med skandalincidenten den falska officeren?
En del är min egen förundran över att en verksamhet med ovanstående rykte och självbild som ”säkerhetsexperter” hamnat i en säkerhetsskandal som enligt min mening faktiskt slår den i Transportstyrelsen.
Här har man gett en uppenbart opålitlig person fått en säkerhetsklassad tjänst på Must, fått samordna signalskyddstjänsten och haft tillgång till !
Därefter har utlandstjänster med mera följt, också dessa tjänster med reella möjligheter att åstadkomma stor skada.
Slutligen blev han även en av Kustbevakningens kontaktpersoner för den ryska säkerhetstjänsten .
Sammantaget en karriär med potentiell tillgång till mycket känslig information under ett par decennier.
Lustigt nog förekommer samma kommentarer från Försvarsmakten och Must som från Transportstyrelsen där man vill reducera allvaret i händelsen genom att hävda att inget tyder på att någon skada är skedd.
Dessutom sägs att rutinerna för säkerhetskontroller skärpts de senaste tio åren.
Båda dessa defensiva kommentarer är problematiska menar jag.
Det förefaller svårt att på någon månad grundligt reda ut eventuella skadeverkningar av ett bedrägeri som vad jag förstår av media pågått i ett par decennier och dessutom i mycket känslig verksamhet.
Sakförhållanden borde föranleda en mycket större utredning med tanke på hur länge han varit där och hur kort tid som Försvarsmakten känt till förhållandena.
För mig som okunnig utomstående borde bara vetskapen om de insiderjobb Wennerström och Bergling genomförde framkalla frossa och en oerhörd iver att verkligen ta reda på vad som hänt.
Kanske sker också detta i det tysta men den till synes obekymrade hållningen i media inger inte förtroende.
Argumentet att säkerhetskontrollerna blivit så mycket bättre på senare år motsägs av att bedragaren under just de senaste åren manövrerat sig mellan olika känsliga positioner ända fram till Nato.
Det tyder inte på att noggranna kontroller gjorts.
Att verifiera de uppgifter en sökande lämnar vid ansökningsförfarandet uppfattar jag ändå som en slags basnivå.
I min okunnighet förfaller det som en relativt enkel uppgift när det gäller officerstjänster.
Den aktuella bedragaren hade ljugit om akademiska studier vilket är en sak.
En annan att han uppgivit att han genomfört officersutbildning vilket är en lögn som är mycket svårare att förstå att han lyckades slå i sina arbetsgivare.
När ett företag eller myndigheter ska anställa finns det ofta bokstavligen hundratals möjliga studiemeriter med utländska universitet inräknade.
Försvarsmakten har däremot en potentiell totalkoll på inflödet till officerstjänster, de kontrollerar ju den enda möjliga meriten.
Det finns mig veterligen inga alternativa eller privata officersutbildningar.
Att då någon ändå slipper igenom är högst förvånande.
När falska läkare avslöjas går det snabbt att kontrollera mot Socialstyrelsens förteckning över vilka som är legitimerade.
Då finns det ändå c.a.
jämfört med c.a.
vilket borde vara litet enklare att hålla reda på.
På sociala medier har jag fått upplysningen av mer insatta i branschen att det här sannolikt är ett fall av vad som kallas ”bäste bror”.
Jag tolkar det som en kåranda där man av rädsla att uppfattas som ifrågasättande av en officerskollegas kompetens eller heder underlåter att genomföra de rutinkontroller som beslutats.
Kanske känns det pinsamt att fråga någon som man borde känna utan och innan vad de egentligen har för formella meriter.
I en så liten yrkesgrupp som 9000 officerare kan naturligtvis en sådan tendens förstärkas.
Det känns inte som detta är förklaringen till varför Försvarsmakten inte reagerade när det fick uppgifterna från Kustbevakningen om de fynd myndigheten gjort angående ”officerens” meriter.
Det är bara obegripligt för en utomstående att den informationen inte ledde till omedelbara åtgärder.
Faktiskt känns det som det hela kunna fortgå än om inte Dagens Nyheter uppmärksammat det hela och ställt de frågor som fortfarande i stort är .
Vad kan vi lära av detta när det gäller säkerhet i allmänhet, förutom att pressen gör ett viktigt renhållningsarbete när myndigheterna själva inte klarar av det?
Min första tanke är hur svårt det är att få till en fungerande säkerhet.
Även om säkerhetsarbete alltför ofta framställs som enkelt att genomföra bara man följer de rätta ”mallarna” känner jag och troligen många andra som arbetat i praktiken en stor ödmjukhet inför uppgiften.
Det är så mycket som inte står i manualerna, det är så många procedurer som ska fungera, det är så många människor som ska tänka, känna och göra rätt.
Och det räcker inte att det fungerar en gång, det ska fungera åt efter år.
I det aktuella fallet är det ju de i allmänhet så hånade ”medarbetarna” som slarvat utan de som gjort säkerhetskontrollerna (eller borde ha gjort) måste ju vara människor med utpekat säkerhetsansvar.
Även detta kan jag på någon nivå förstå, att det känns fånigt och pinsamt att be någon man kanske jobbat ihop med länge presentera formella meriter och sedan dessutom kontrollera dessa merithandlingar som är utfärdade av i princip den egna arbetsgivaren.
En hel del säkerhetsarbete är ”going through the motions”, att man utan större engagemang utför repetitiva kontroller och hur frestande är det då inte att gena litet grann.
Den uthållighet som krävs här underskattas ofta.
Det är (relativt) lätt att besluta som säkerhetsregler men det blir en stor säkerhetsrisk om de regler som beslutats av olika anledningar inte tillämpas.
Orsakerna till att reglerna inte efterlevs är många, vi behöver inte gå in på dem alla, här vill jag bara peka på den situation som kan uppstå när alla låtsas som att reglerna fungerar fast alla egentligen vet att det fuskas.
En sådan säkerhetsmässig potemkinkuliss är en större risk anser jag än en beslutad lägre säkerhetsnivå som faktiskt fungerar.
Nu menar jag inte att det i det aktuella fallet fanns ett alternativ utan detta är mer en reflektion efter de senaste årens säkerhetshausse där många organisationer har beslut och styrande dokument som anvisar säkerhetsåtgärder som det i realiteten finns ambition att införa.
Kort sagt: verklig säkerhet trumfar fantasier!
För mig som arbetar med säkerhet är det en viktig uppgift att i dialog med ledningen för den aktuella organisationen bedöma vilken säkerhet som går att införa och vilka risker som olika alternativ innebär.
Det sämsta alternativet är när ledningen har uppfattningen att allt är hunky dory och att organisationen har en väl fungerande säkerhet medan verkligheten är en helt annan.
En sådan ledning kan ha mycket svårt att hantera situationer där stora brister uppdagas eftersom det strider helt mot deras verklighetsuppfattning.
Hypotetiskt skulle man kunna tänka sig hur svårt det var för Försvarsmaktens ledning att ta in att man huserat en bedragare i det allra känsligaste i ett par decennium utan att detta upptäckts.
Lika hypotetiskt kan man då förstå att detta kan leda till beslutsångest och oförmåga att agera trots att korten ligger på borden, som när Försvarsmakten fick information av Kustbevakningen och inte tycktes kunna hantera den.
Jag tror helt enkelt att det är farligt att vara alltför övertygad om att man per definition är bra på säkerhet.
Att vara bra på säkerhet är att ständigt ompröva och vara medveten om alla brister som hela tiden finns oavsett vilka insatser som görs.
Ytterligare en tankeställare ligger i att skandalen inte skulle ha upptäckts om inte DN lagt ner omfattande insatser på att gräva och gräva.
Att seriösa media är en förutsättning för icke-korrupta myndigheter är en slutsats man kan dra, en annan att det saknas interna funktioner som säkerställer compliance på ett effektivt sätt.
Det är inte så att jag vill måla f-n på väggen men jag tror att rätt många nu grubblar hur många andra som kunnat slinka in i systemet om kontrollerna är så obefintliga.
Nu har vi ett exempel på hur illa det kan gå.
Det bästa vi kan göra med det exemplet att återkommande hålla upp det framför oss och ställa frågan: kan det hända även här?
Och sedan försöka svara ärligt på det.
Tillägg 2020-02-05: Nu visar det sig att anställda själva kunnat lägga in sin meriter hos Försvarsmakten utan att kontroll skett hos .
Ganska häpnadsväckande.
Den svenska förvaltningen bygger sedan gammalt på ett väloljat utredningsmaskineri som jag är djupt positiv till men som jag känner en stigande oro för.
Med min bakgrund inom historieområdet har jag kunnat följa uppgången av synsättet att offentliga beslut ska vila på rationell grund och att denna grund bäst skapas genom genomlysande utredningar genomförda av högt kvalificerade företrädare för akademi och förvaltning.
Hur hånade utredningarna än varit i debatten som politiska undermanövrar så har de möjliggjort insyn och ett demokratiskt samtal om de viktiga vägvalen i samhället.
Utan att gripas av allt för djup förvaltningsnostalgi försöker jag läsa och värdera de utredningar som kommer i för mig relevanta områden.
Värderingen underlättas eller påverkas i alla fall av att jag själv varit expert eller på annat sätt deltagit i ett antal utredningar, bland annat som ”spökskrivare” av text som sedan hamnat i den slutgiltiga utredningen.
Min slutsats av dessa erfarenheter är att de utredningar som genomförs ofta lider av brister både i utredningsarbetet, i mottagandet hos remissinstanser och i genomförandet.
I denna korta text kommer jag med nödvändighet att bli orimligt svepande och kategorisk men har ändå gjort bedömningen att det finns ett intresse i att lyfta fram vissa systemfel som jag tyckt mig se genom åren.
De som har andra erfarenheter och uppfattningar uppmanar jag med emfas att delge dessa – utredningsväsendet förtjänar verkligen att diskuteras, förtjänar i positiv bemärkelse eftersom det är en så bärande institution i den svenska demokratin.
Det finns ju även olika typer av utredningar men här tänker jag främst på de utredningar som tillkommer genom att regeringen tillkallar en kommitté eller en särskild utredare för att skaffa underlag för ett politiskt ställningstagande.
Kommitténs uppgift är att ta fram fakta, göra analyser av dessa fakta och därefter presentera förslag på åtgärder.
När uppdraget är slutfört avrapporteras resultatet oftast i form av ett betänkande, en SOU (Statens offentliga utredningar).
En utredning av denna typ bör på ett rättvisande sätt inte bara beskriva förslagen utan även alternativen till dessa förslag samt vilka positiva och negativa konsekvenser som förslagen förväntas få.
Efter att betänkandet är presenterat sker remissomgången där olika parter kan redovisa sina synpunkter och argumentera för eller emot betänkandet.
Många utredningar stannar här, d.v.s.
hamnar i en djup malpåse och blir bortglömda medan några lyckligt utvalda går vidare i beslutsprocessen.
Syftet med processen är det bästa, att få rationell grund för besluten i ett öppet förfarande och dessutom en god möjlighet att revidera hur förslagen genomförts, men det är just detta gör en dyster när processen inte hanteras på ett tillräckligt bra sätt.
Förutom det generella gnället är en återkommande kritik att utredningarnas uppdrag ofta är att bekräfta en redan befintlig politisk inriktning snarare än att på ett öppet sätt undersöka en frågeställning.
Annorlunda formulerat; redan problemformuleringen snöper utredningens möjlighet att nå fram till de objektivt sett mest relevanta förslagen.
Naturligtvis kan inte utredningarna jämställas med akademiska undersökningar, de sker på ett politiskt uppdrag, men med tanke på att de ofta fortskrider under flera år kan en snäv och tidsbunden partipolitisk utgångspunkt snabbt göra hela utredningen daterad och oanvändbar.
Denna typ av kortsiktig problemformulering leder i sin tur till två andra fatala systemfel.
För det första gör det att utredningar tenderar att bli alltför operativa, det vill säga svara på en nästintill dagsaktuell fråga vilket i sin tur leder till att utredningarna blir som stuprör utan gemensam överbyggnad.
Då hjälper inte det mycket tröttande tricket att låta utredningen till tre fjärdedelar bestå av kompilat från tidigare utredningar.
Om inte redovisningen av redan gjorda utredningar åtföljs av en analys av hur de påverkar den aktuella utredningen undanröjer det inte på något sätt stuprörstänkandet.
För det andra leder det ofta till en ytlighet i begrepp och förutsättningar.
Som ett exempel på detta kan vi ta ”digitalisering” en företeelse som utretts på längden och tvären men där själva fenomenet och dess förutsättningar mycket sällan analyserats.
Istället ses digitalisering som en fastställd entitet som bara kan utvecklas i en given riktning och med i princip goda konsekvenser.
Denna egendomligt deterministiska syn på teknik och samhälle anammas även när Riksrevisionen granskar .
Då granskas inte huruvida regeringens målbild att Sverige ska vara bäst i världen på digitalisering, vilket skulle vara mycket rimligt att ifrågasätta i förhållande till samhällsnyttan, utan enbart hur långt myndigheter och regering tagit sig i den riktningen.
Om vi därefter tittar litet på utredarna och deras medhjälpare finns den vanlige utredaren som får stöd av experter av olika slag men också kommittéer.
I det första fallet kan jag se två påtagliga sårbarheter.
Den ena är utredaren själv som allt oftare tycks vara en jurist vilket skulle kunna tyckas rimligt med tanke på att utredningen förhoppningsvis ska leda fram till lagförslag men det kan också ses som ett exempel på den tilltagande juridifieringen efter Sveriges EU-inträde.
Det är inte säkert att alla problem gynnas av att främst formuleras i juridiska termer utan att det ibland vore bättre med en utredningsprocess som inleds av de som är ämneskunniga för att först därefter bearbetas som en juridisk frågeställning.
Sedan är det experterna där det ofta synes vara en hårfin skillnad mellan expert och särintresse.
Det gäller de tjänstemän som ska bevaka den egna myndighetens intresse men jag måste medge att jag grubblat över det rimliga i att tillsätta en representant för den största leverantören som expert i en utredning om .
Säkert mycket kunnig men kanske då lämpligare att skapa en fokusgrupp för olika leverantörer för att undvika frågan om jäv?
Lika ofta är dock avsaknaden av nödvändiga perspektiv i expertgruppen slående.
Om vi till exempel tar NISU (SOU 2015:23) och utredningen om nu säkerhetsskyddslag (SOU 2015:25) samt dess efterföljare med kompletteringar (SOU 2018:82) så har dessa tre utredningar gemensamt att de helt saknar representation från kommuner och regioner.
Detta trots att utredningarna måste utgå från att deras förslag till stor del ska omsättas just av kommuner och regioner.
Bristen påpekades från några remissinstanser men jag tror att risken är stor att man även fortsättningsvis kommer att se utredningar med ett i huvudsak inifrån och ut-perspektiv.
Att särintressena får så stort utrymme har nackdelen att det också skapas stuprörsformation utredningarna.
finns ett antal förslag som uppenbart skrivits fram av de olika myndigheter som är närmast berörda.
Tyvärr är inte förslagen integrerade sinsemellan, beroendeförhållande mellan förslagen är inte beskrivna, inte heller finns en prioritering gjord.
Den här typen av hopplockade åtgärder måste vara mycket svåra att använda som beslutsunderlag utan vidare bearbetning.
De utredningar som bedrivs som kommittéer (exempelvis E-delegationen och Digitaliseringskommissionen) löper å andra sidan risken att utvecklas till egna särintressen och bli mer som en form av myndigheter utan ansvar.
Själv läser jag alltid utredningarnas konsekvensbeskrivningar med största intresse eftersom det är där som man enligt min mening bäst kan bedöma utredningens kvalitet.
Om utredaren verkligen försökt, utan hänsyn till sina egna darlings, beskriva även de negativa konsekvenser som kan uppstå om utredningens förslag förverkligas är det en bra utredning där beslutsfattarna får stöd att fatta rätt beslut.
Då ges även en möjlighet att i tid börja arbeta med att reducera eventuella risker och negativa konsekvenser.
Tyvärr blir jag sällan glad när jag läser konsekvensbeskrivningar eftersom de ofta förefaller verklighetsfrämmande och främst bestående av glädjekalkyler som för att visa det geniala i utredningens förslag.
Avsaknaden av relation med de som har kännedom om verkligheten är sannolikt den bakomliggande orsaken till de sangviniska konsekvensanalyser som avslutar utredarens möda.
Jag har nu under ett par år funderat över hur säkerhetsskyddslagens utredare kunde komma fram till denna sammanfattning av konsekvenserna av sitt förslag: Bedömning: Förslagen medför inte annat än marginella kostnadsökningar för vissa myndigheter som får delvis utökade upp-gifter enligt våra förslag.
Dessa kostnadsökningar bedöms kunna hanteras inom nuvarande budgetramar.
Förslagen bedöms inte medföra några kostnadsökningar för företag utom i de fall dessa på eget initiativ och för egen nytta begär s.k.
säkerhetsintyg för leverantör, då kostnader kan upp-komma för vissa säkerhetsskyddsåtgärder.
Förslagen kan medföra att något fler personer säkerhetsprövas.
Få torde idag hålla med om den bedömningen vilket bland annat framgår av remissvaren på den kompletterande utredningen då det börjat gå upp för allt fler vad den nya lagen faktiskt kommer att innebära.
Vad som förbryllar mig är att alla de ökade kostnader och andra negativa konsekvenser som idag är uppenbara för de flesta inta kan ha varit särskilt svårt att förutse.
Detta är inte unikt för just den här utredningen utan är, menar jag, mer att se som ett systemfel där utredare systematiskt tonar ner de negativa konsekvenserna.
Möjligen beror detta på att de är rädda för att deras förslag ska ses som ”dåliga” eftersom det innebär vissa negativa effekter men det är ju en attityd som knappast gagnar utredarens uppdragsgivare.
En sista svag punkt i utredningsmaskineriet är att remissinstanserna ägnar ett så till synes svagt intresse för att läsa hela utredningen.
Istället kommenterar man möjligen de delar som berör den egna verksamheten.
Jag har förståelse för att många myndigheter och andra blir överösta med remisser och har svårt få tiden att räcka till för att ge kvalitativa svar på alla.
Samtidigt så är remissvaren inte bara ett sätt att värja den egna verksamheten från dumma förslag.
Det är också en möjlighet att bidra med juridiska och andra bedömningar för att förbättra helheten.
Nu ska jag göra ett djärvt grepp och citera Sun Tzu (tror jag) direkt ur mina djupaste hjärnvindlingar utan att kolla upp det.
Han sa ungefär så här: om jag får tio dagar på mig att fälla skogens största träd ägnar jag åtta dagar åt att slipa min yxa.
Ni får nu möjligheten att komma med en massa bra rättelser men vad jag vill säga är att detta skulle kunna vara ett citat som både uppdragsgivare och utredare skulle kunna tatuera in som gadd.
De stora utmaningar vi står inför inom digitalisering, informationshantering, arkiv och säkerhet förtjänar de bästa utredningar som tar minst åtta dagar av de tio.
Jag måste genast rätta mig själv innan någon annan hinner göra det!
En mig närstående har grävt fram att det nog inte var Sun Tzu och inte ens Lincoln som myntat men det blir en snygg tatuering om det är kinesiska tecken… Vår ambivalens inför molntjänster är stor.
Å ena sidan har vi risken att personuppgifter och annan känslig information kommer i orätta händer, å andra all den funktionalitet som vi så gärna vill ha.
Dessutom måste det vägas in att molntjänster erbjuder många säkerhetsfördelar, inte minst för mindre organisationer.
menar att vi står i ett vägskäl.
Själv ser jag att många redan har gjort sitt val och tyckt att nyttan med molntjänster överstiger risken.
Att många kommuner har gjort så är ingen hemlighet men jag blir ganska häpen när jag efter ett tips kollade upp , en rekryteringstjänst för Försvarsmakten.
Tipset var att denna tjänst ligger i Office 365, en molntjänst som driftas av Microsoft på Irland.
För att få korrekt information skrev jag och frågade Försvarsmakten litet om detta.
Jag har tre frågor om Mitt försvarsmakten: Slutligen skulle jag vilja ut en lista över vilka personuppgifter som hanteras i Mitt försvarsmakten.
Tack för svar!
och fick då följande svar som jag publicerar in extenso: Hej!
Se svar nedan på dina frågeställningar.
Mitt Försvarsmakten är byggt inom extern molntjänst (Microsoft Office 365).
Försvarsmakten har ställt krav på informations- och IT-säkerhet och granskat den färdiga lösningen utifrån kraven med godkänt resultat.
Inom ramen för utvecklingsarbetet har den militära underrättelse- och säkerhetstjänsten, MUST, löpande deltagit i granskningar av lösningen och har även godkänt lösningen inför driftsättningen.
Försvarsmakten arbetar kontinuerligt med kontroll och förbättringar av informations- och IT-säkerheten i alla IT-tjänster inklusive denna.
Försvarsmakten kommenterar inte i detalj hur säkerhetskraven är implementerade.
Personuppgifterna i Mitt Försvarsmakten behandlas med stöd av samtycke från den enskilde.
Av samtycket framgår även att Microsoft behandlar personuppgifterna.
Försvarsmakten använder Google Analytics från Google som analysverktyg.
Google Analytics använder cookies.
Informationen som genereras av dessa (inklusive IP-adresser) kommer att vidarebefordras till och lagras av Google.
Denna information används i syfte att utvärdera besöksstatistik.
Google kan också överföra denna information till tredje parter om det krävs enligt lag eller i de fall en tredje part behandlar informationen för Googles räkning.
Google kommer inte att koppla samman IP-adresser med annan data som Google innehar.
Google Analytics anonymiserar den information som skickas till Google.
För personer utan registrerad användarprofil i Mitt Försvarsmakten som har registrerat sig för ett specifikt event behandlas endast uppgift om namn och e-postadress.
För personer med registrerad användarprofil i Mitt Försvarsmakten behandlas uppgifter om Namn Personnummer Kontaktuppgifter (adress, telefonnummer och e-postadress) Uppgift om kön Uppgift om svenskt medborgarskap Uppgift om nuvarande sysselsättning Uppgift om nuvarande arbetsgivare Uppgift om godkända betyg MA / SV / EN från gymnasiet Uppgift om kondition och muskelstyrka Intresse för Försvarsmakten Medarbetarstatus, tidigare anställning inom FM Har ansökt om Veterankort eller har Veterankort Har sökt tjänst Har sökt GMU Har gjort rekryttest Startat GMU/GU-F/GSU/Kombattantutbildning Slutfört GMU/delkurs/GU-F Tagit anställning inom FM Avtal tecknat Avtal tecknat den Samtycker till lagring och bearbetning av information Kandidaten vill avregistrera sig Mvh Försvarsmakten Det ska medges att jag ibland varit aningen tveksam till att det ofta framställs som att Försvarsmakten är säkerhetsexperterna även då det gäller det civila samhällets säkerhet.
Men om vi acceptera premissen att Försvarsmakten är någon form av riktkarl för samhällets säkerhet blir detta svar intressant.
Frågorna jag ställer mig är: Observera att jag inte har svaret på dessa frågor – jag bara funderar.
Den minnesgode kommer ihåg att jag tyckte det saknades några frågor vid den öppna utfrågningen i riksdagens försvarsutskott om cybersäkerhet för ett par veckor sedan.
För att inte bara planlöst gnälla ska jag formulera några av de frågor jag själv skulle ställt i rollen som en hyfsat insatt folkvald ledamot i försvarsutskottet.
Rollen kräver ju en något mer nobel approach än den som småaktig bloggare.
Jag kommer därför naturligtvis inte att ställa tråkiga frågor som vad cybersäkerhet betyder eller vad det är för värden på axlarna på MSB:s bild över utvecklingen av digitalisering respektive cybersäkerhet även om jag grubblat över detta sedan jag såg den.
Jag ska heller inte göra banala zingers av typen ”här ser vi hur man försöker lösa morgondagens frågor med gårdagens lösningar.”.
Istället kommer jag att försöka ställa fem övergripande frågor som jag menar är av betydelse för samhället och inte bara för samhällets säkerhet.
– Herr ordförande, vi har nu fått en genomgång av ett statsråd och fyra myndighetsföreträdare.
Tyvärr kan inte genomgången ha lett till en bra helhetsbild av frågan.
Varje myndighetsrepresentant har presenterat sin myndighets perspektiv på ett sätt som får åhöraren att känna sig som på toppen av ett utsiktstorn där det bara är möjligt att beskåda utsikten genom fyra fastlåsta och begränsade kikare.
Själva vyn är osynlig genom dessa tunnlade perspektiv.
När vi som folkvalda får en presentation där cyberförsvar, säkerhetsskydd, samhällsviktig verksamhet, och den vardagliga informationssäkerheten presenterade som helt separerade spår är det lätt att förstå den vanmakt som många aktörer som förväntas göra något i praktiken känner.
I NISU-utredningen 2015 var det första åtgärdsförslaget för att förbättra informationssäkerheten att utveckla en nationell styrmodell för informationssäkerhet: En nationell styrmodell för informationssäkerhet består av ett antal komponenter som måste utvecklas och förvaltas över tid.
En del är ett sammanhållande regelverk som innehåller olika nivåer av reglering under föreskriftsnivån, det vill säga en regelhierarki som motsvarar ett ledningssystem inom en organisation.
Förutom de resurser som krävs för att utveckla och förvalta styrmodellen krävs en lösning för anslutning och efterlevnadskontroll som löpande samordnas med andra intressenter.
I detta ligger också omfattande utbildningsinsatser.
I styrmodellen är informationsklassning den mest omfattande aktiviteten som går från processorienterad informationskartläggning via själva klassningsmomentet till utvecklade gemensamma skyddsnivåer.
För att skyddsnivåerna ska kunna fylla sin funktion krävs omfattande insatser av både egen och extern kompetens inom områdena administrativ, fysisk och it-inriktad säkerhet.
Slutligen förutsätter en nationell styrmodell en väl utvecklad kunskapsstyrning.
Kunskap kan i detta sammanhang röra sig om kunskap om metoder men i ännu högre grad om att kunna ge ett vederhäftigt underlag för en styrning utifrån risk.
Det innebär att kunna förmedla en uppdaterad riskbild och att samtidigt kunna förmedla stöd för riskreducerande åtgärder.
Behovet av en nationell styrmodell förefaller större än någonsin, inte minst sett i perspektivet av att försöka samordna digitalisering och säkerhet.
Min fråga till statsrådet är därför var detta förslag hamnat.
En följdfråga till myndighetsföreträdarna är om det är omöjligt att utan ett formellt uppdrag från regeringen börja samarbeta på ett sätt som leder till konkreta samordnade stöd för – Herr ordförande, två konkreta frågor angående molntjänster.
I efterdyningarna av skandalen vid Transportstyrelsen har molntjänster blivit en huvudfråga för regeringen när det gäller säkerhet.
Samtidigt vet vi att molntjänster redan används i stor omfattning av svenska myndigheter, kommuner och regioner/landsting, att de ger effektiva lösningar och i många fall bättre säkerhet än om verksamheterna själva skulle drifta och förvalta i egen miljö.
Många av de tjänster som idag finns även som applikationer för egen förvaltning kommer snart enbart att finnas som molntjänster.
Samtidigt är det svårt för Söpple kommun att ställa krav på Microsoft och Google angående säkerhet och integritetsskydd.
En lösning som skulle kunna ge både bättre säkerhet och nödvändig effektivitet var om svenska staten på samma sätt som den tyska sluter ett gemensamt avtal med några av de stora jättarna.
Jag förstår problematiken när det gäller konkurrensfrågor m.m.
men vill ändå ställa frågan om detta är något regeringen överväger eller om varje kommun och myndighet även fortsättningsvis ska försöka lista ut om det är juridiskt korrekt att använda Office 365 samt ta fram sina egna avtal.
Jag skulle också vilja fråga om den ändring som redan skett, nämligen att SÄPO och Försvarsmakten tilldelats en vetorätt när det gäller utkontraktering av information från säkerhetskänslig verksamhet.
Detta ställer ju ansvarsprincipen på ända och jag funderar i detta sammanhang om regeringen ser framför sig även andra förändringar i denna grundpelare i svensk förvaltning.
Vem tar ansvar för verksamheten i det här fallet – SÄPO eller verksamhetsledningen?
-Herr ordförande, under dagens presentationer är det lätt att få föreställningen att säkerhet är ett enkelt och entydigt begrepp samt att säkerhetsåtgärder alltid är obestridligt ”goda”.
Den som ägnat minsta tanke åt detta och kanske dessutom kanske ändå studerat lite samhällsvetenskap, historia eller filosofi vet naturligtvis att så inte är fallet.
Säkerhet existerat alltid i en relation till andra värden.
En supersäker lösning som skulle förhindra alla brott vore att låsa in alla medborgare och slänga bort nyckeln för att dra frågan över det löjligas gräns.
Samtidigt måste jag som folkvald naturligtvis beakta de olika intressen som finns i samhället och som delvis står i konflikt med ”säkerhet”.
För mig framstår det som det finns tre värden som ständigt kommer i konflikt med den renodlade säkerheten; effektivitet, demokrati och individens integritet.
I digitaliseringssträvandena ligger önskan om effektivitet.
Demokrati i den form vi känner den är ett centralt element insyn och delaktighet.
Övervakning är per se en inskränkning i integritet.
Jag hörde ingen av talarna ta upp dessa konflikter och ställer därför frågan om myndighetsföreträdarna ser det som liggande utanför sitt uppdrag att även ta hänsyn till denna typ av aspekter.
Det är i så fall viktigt att veta eftersom utgångspunkten då måste vara att myndigheterna agerar som ”säkerhetsnördar” och de övriga perspektiven måste tillföras från annat håll innan beslut tas i viktiga frågor.
– Herr ordförande, jag tror vi alla är överens om att det finns ett stort behov av att utveckla informationssäkerheten i Sverige.
En absolut vital förutsättning för att kunna göra det är att det finns tillgänglig kunskap och kompetens på olika nivåer.
Min bedömning är att detta behov är skriande idag alltifrån den vetenskapliga nivån till att det saknas tusentals informationssäkerhetsansvariga företag, kommuner, landsting och myndigheter.
Detta leder till att vi inte vet vad vi ska göra för att faktiskt vara effektiva och att det saknas operativ förmåga att bedriva det säkerhetsarbete som åläggs olika aktörer.
Situationen kommer knappast att förbättras av sig själv eftersom det idag endast finns en handfull utbildningsplatser per år för att utbilda kompetenta informationssäkerhetsansvariga.
Många av de som idag är informationssäkerhetsansvariga (eller kallar sig certifierade och informationssäkerhetsexperter) saknar helt utbildning inom området.
Fortbildningsbehovet är därför oerhört stort.
Ytterligare en aspekt är att kunskapsuppbyggnad bygger på ett kritiskt tänkande och en öppen dialog.
Ett intryck från säkerhetsområdet är att det ofta präglas av en tystnadskultur och en anti-intellektualism.
Detta bygger, tror jag, på tradition, på att det saknas arenor för ett intellektuellt utbyte i säkerhetsfrågor och på att en osäker profession sluter sig inom sig själv i kotterier.
För att komma vidare och hitta den goda säkerhetskulturen som skapar kunskap och insikt även på den nationella nivån krävs insatser även från myndigheterna.
Min fråga är hur det stora kunskaps- och kompetensbehovet ska tillgodoses och hur myndigheterna kan verka för en god säkerhetskultur med kritiskt tänkande även i de nationella sammanhangen.
– Herr ordförande, en sista fråga.
I de presentationer vi tagit del av lyfts diverse försumligheter och bristande medvetande hos samhällets aktörer fram.
Däremot sägs mycket litet om och i så fall hur myndigheterna med särskilt ansvar för säkerhet bedriver en systematisk utvärdering av sina egna insatser.
Utvärdering är ju en grundläggande aktivitet i ett systematiskt arbetssätt och det finns därför anledning att anta att denna kvalitetshöjande mekanism måste vara inbyggd i myndigheternas verksamhet.
Detta framgår dock inte i de årsredovisningar jag tagit del av och inte heller i dagens presentationer.
Därför skulle jag vilja ställa frågan om den bristande säkerheten alltid är någon annans fel eller om det är möjligt att myndigheterna sett anledning att även förbättra sina egna insatser?
Det är klart man bänkar sig framför tv:n (i ärlighetens namn bakom en datorskärm) när riksdagen har en öppen utfrågning om cybersäkerhet vilket skedde förra Sändningen börjar med en lång och mycket grynig mingelupptagning när alla deltagare och åhörare ska leta upp sina platser.
Trots mitt seriösa intresse för frågan uppstår nästan omedelbart samma problem som under de senaste veckornas rapportering från Svenska akademien; gränsen mellan fiktivt och faktiskt berättande glider ihop.
Jag och mitt sällskap följer de stela tjänstemannakramarna, den tidigare statliga chefen som nu blivit lobbyist som ivrigt söker sällskapet hos sina tidigare kollegor, den aningen nervöse talskrivaren som flackar med blicken och hoppas på att chefen ska hålla sig till manus och inte sväva ut i egna funderingar, den tidigare myndighetschefen som överraskande dyker upp.
Soundtracket till House of cards tonar upp i medvetandet och det är med stigande intresse man följer scenen.
Enda missen sett ur ett underhållningsperspektiv är den tekniska kvaliteten och att personaget inte introduceras.
Den nerv som fanns i minglet dör tråkigt nog ut i samma ögonblick som redovisningarna av vad som sker på cybersäkerhetsområdet börjar.
Först ministern, sedan myndighetscheferna i tur och ordning.
Det mest förvånande är att absolut inget förvånande sägs.
Det är exakt samma saker som sägs som har upprepats i 15-20 år.
Inga nya lösningar, inga nya självinsikter och inga reflektioner av vad som skulle kunna ändras hos myndigheterna själva.
Naturligtvis förekommer ordet ”cyber” mer ymnigt än någonsin och aktuella catch phrases som ”det förändrade omvärldsläget”.
Nya aningen dunkla fenomen som ”civila cyberförsvaret” förs in utan att det klargörs vad exakt detta skulle vara.
Axiom som att brister upptäcks när incidenter rapporteras ventileras.
Det mest genomgående temat är att de utfrågade myndigheterna säger sig behöva ännu mer resurser.
Alltså i sak intet nytt.
Däremot saknar i alla fall jag ett analytiskt förhållningssätt där man faktiskt kommer in på frågan hur intresseavvägningen mellan den effektivitet som digitaliseringen står för och en bättre säkerhet ska göras på samhällsnivå.
Eller hur det demokratiska samhället ska leva ihop med den ständigt ökade övervakningen från både företag och staten.
Sammantaget blir utfrågningen en god illustration över varför nuläget är som det är: säkerhetslägret och digitaliseringslägret är som två cykloper som möts och aldrig skapas ett stereoseende.
Inte heller då riksdagsledamöterna släpps in för att ställa frågor efter statsrådets och myndighetschefernas redovisningar tillkommer något nytt perspektiv.
De folkvalda håller sig hovsamt inom den uppdragna ramen och ställer välvilliga frågor som möts av föga förvånande svar.
Enda gången där det hettar till är när det bekymmersamma läget i kommunerna återkommande lyfts fram och en representant från SKL i lätt agiterad ton hävdar att tillståndet minsann är bättre än så eftersom så många kommuner börjat använda KLASSA (!).
För att övertyga den som inte tror mig har jag sammanställt ett litet quiz där den som vill får gissa om citaten kommer från den öppna utfrågningen förra veckan eller från För att göra det litet svårare har jag bytt ut ”informationssäkerhet” i texten från 2005 mot ”cybersäkerhet”.
Innebörden i begreppsanvändningen är mycket likartad i detta sammanhang och samtliga talare förra veckan.
Den som först sänder in ett rätt svar bjuder jag på lunch eller ett glas efter jobbet.
Skicka in en tipsrad med A för SOU 2005:42, B för citat från utfrågningen.
Ingen kan idag förneka vikten av att förbättra informationssäkerheten i de samhällsviktiga verksamheterna.
Ett antal utredningar har under de senaste tre åren utmynnat i olika förslag på hur detta ska ske.
Tyvärr har fokus legat allt för mycket på reaktiva åtgärder som incidentrapportering och allt för litet på det förebyggande arbetet, detta trots att det ofta påpekats att de stora säkerhetsvinsterna kan göras genom olika typer av incidenter och säkerhetsproblem motverkas innan de uppstår.
För mig framstår den i särklass viktigaste förebyggande åtgärden att tillräcklig kompetens finns för att hantera informationssäkerhetsrelaterade frågor på olika nivåer.
För att uppnå detta krävs både episteme, fronesis och techne.
Det vill säga det måste finnas en vetenskaplig grund för att de åtgärder som vidtas är effektiva i förhållande till de problem de avses att lösa, att det måste finnas en praktisk kunskap hur fungerandeska bedrivas och det måste finnas en djupare förståelse att nya situationer kan hanteras.
Jag skulle vilja hävda att detta idag i allt för hög grad saknas.
Konkret kommer ett stort antal organisationers ledningar behöver ett kompetent stöd för att styra sittså att det motsvarar de risker som verksamheten är utsatt för och för att kunna tillvarata alla nya möjligheter som den pågående digitaliseringen innebär.
Jag pratar alltså inte om it-säkerhet som är inriktad på tekniska åtgärder utan informationssäkerhet som handlar om verksamhetsstyrning och information.
Utöver befintliga krav kommer även nya från bland annat dataskyddsförordningen, NIS, civilt försvar och en ny säkerhetsskyddslag.
Det gäller c.a.
350 myndigheter, 290 kommuner, ett tjugotal landsting/regioner och ett okänt antal privata aktörer som medverkar till att upprätthålla samhällsviktiga verksamhet.
En av de vanligaste frågorna jag får när jag besöker kommuner, regioner och myndigheter är vilka utbildningsmöjligheter som finns.
Hos de som får allt tyngre ansvar för det faktiskat finns såvitt jag kan bedöma en allt större medvetenhet om kompetensbehovet.
Till viss del fanns denna insikt även i den strategi för samhällets som MSB tog fram tillsammans med andra myndigheter.
Tyvärr har inte insikten utmynnat i några konkreta satsningar för att stödja utvecklandet av professionsinriktade utbildningar.
Även om behovet av kompetens är känt anvisas få vägar för kompetensförsörjningen.
Vare sig i den nationella säkerhetsstrategin eller i digitaliseringsstrategin, båda presenterade av regeringen 2017, nämns något om kompetensförsörjning inom informationssäkerhetsområdet.
Utredningar som SOU 2015:23 , SOU 2017:36 SOU 2017:114 liksom lagrådsremissen om ny säkerhetsskyddslag är lika renons på förslag annat än de som gäller utpekade tillsynsmyndigheter.
Den nationella strategin för informations- och cyberssäkerhet (Skr.
2016/17:213) skulle kunna inge ett visst hopp eftersom den faktiskt innehåller ett avsnitt som heter Öka kunskapen och främja kompetensutvecklingen.
Hoppet om att finna ett mål att tillgodose behovet av professionell kompetens generellt avtar dock snabbt då det visar sig att det som avses är att informera organisationer om sårbarheter och behovet av säkerhetsåtgärder samt att höja den enskilda användarens kunskap.
Samtliga strategier och utredningar tycks dock förutsätta att den kompetens som behövs kommer att finnas utan vidare styrning.
Jag delar inte denna tilltro till den osynliga handen.
Istället ser jag att vi står inför ett mycket stort och komplicerat kompetensförsörjningsbehov.
Bara det ett nyrekryteringsbehov av något hundratal informationssäkerhetsspecialister årligen till kommuner och landsting/regioner som kanske har samhällets mest komplexa informationssäkerhetsbehov måste uppmärksammas.
Många av oss som idag är verksamma inom informationssäkerhetsområdet saknar formell utbildning för våra jobb eftersom utbildningar helt enkelt inte funnits i någon högre grad (jag jämställer inte olika certifieringar med högskoleutbildning även om de säkert är bra på sitt sätt).
Därav ett stort fortbildningsbehov.
De kurser på högskolenivå som erbjuds idag via en sökning på antagning.se för hösten 2018 är antingen korta kurser eller har en renodlad teknisk inriktning.
Undantagen är masterutbildningar i Örebro som har ett handfull platser samt i Luleå där ett organisatoriskt perspektiv tillförs en huvudsak it-inriktad utbildning.
Detta räcker naturligtvis inte långt.
Mitt förslag är därför att en utredning tillsätts som tillåts koncentrera sig på hur behovet av kunskap och kompetens inom informationssäkerhetsområdet ska tillgodoses under de närmaste åren.
Utgångspunkten är att staten måste ta ett betydligt större ansvar för kunskapsförsörjning på en vetenskaplig nivå och för att kunskapen omsätts till kompetenshöjande åtgärder för prioriterade målgrupper i samhället.
Målen bör vara att det gemensamma utbildningsplaner för en treårig högskoleutbildning som informationssäkerhetsspecialist med inriktning på organisation och information, att det utbildas 50 informationssäkerhetsspecialister per år samt att varje kommun har tillgång till minimum en halvtids informationssäkerhetsspecialist.
Inom detta fält kan även utbildningar av typen ”informationssäkerhetsspecialist kommunal verksamhet” och ”informationssäkerhetsspecialist hälso- och sjukvård” kunna finnas.
Även fortbildningar för redan yrkesverksamma bör ingå i ett kunskapslyft för informationssäkerhetsområdet.
Utan denna typ av insats har jag mycket svårt att se hur alla andra mål för att höja samhällets informationssäkerhet ska kunna realiseras.
Ett steg till mot en ny säkerhetsskyddslag är taget i och med att lagrådsremissen presenterades för någon vecka sedan.
Själv utsatte jag det ursprungliga förslaget som presenterades av utredningen för en kritisk och är därför av naturliga skäl nyfiken på hur regeringen hanterat förslaget och de många remissvar som kommit in.
Efter en genomläsning är min slutsats att regeringen köpt utredningens förslag med några få men viktiga förändringar initierade från remissvaren.
En sådan positiv förändring är att regeringen instämmer i ett antal remissinstansers kritik av utredningens förslag att använda begreppet informationssäkerhetsklassificering trots att klassningen endast skulle bedöma konfidentialitet.
Istället kommer begreppet säkerhetsskyddsklassificering vilket visserligen är otympligt men, viktigare, är mer korrekt i förhållande till vad aktiviteten innebär.
Ännu bättre hade det varit om begreppet informationssäkerhet överhuvudtaget användes i lagen eftersom man definierar det på ett helt eget sätt: Säkerhetsskyddet ska förebygga att uppgifter som omfattas av sekretess och som rör rikets säkerhet obehörigen röjs, ändras eller förstörs (informationssäkerhet) Det vore ju så mycket bättre att undvika begreppsförvirring och istället införa ett unikt begrepp typ informationsskydd men man får vara tacksam för det lilla i det här sammanhanget.
Jag noterar också att intresset för internationell anpassning förefaller större än för att få en nationellt konsistent modell för informations-/informationssäkerhetsklassificering.
Men i huvudsak kvarstår utredningens förslag och regeringen fyller på.
Den nya säkerhetsskyddslagen sägs nödvändig framförallt av tre orsaker som kan sammanfattas som: ”det förändrade omvärldsläget”, digitaliseringen och att allt större del av det som kallas säkerhetskänslig verksamhet ombesörjs av privata aktörer (inklusive i form av outsourcing m.m.).
Händelserna vid Transportstyrelsen har inte heller gått obemärkt förbi om man säger så.
Detta gör att den nu gällande säkerhetsskyddslagens tillämpningsområde anses för ”snävt” vilket annorlunda uttryckt innebär att man vill utvidga till att fler verksamheter och funktioner samt mer information ska klassas som säkerhetskänslig.
Det som slår mig när jag läser lagrådsremissen liksom den tidigare utredningen är bristen på systemtänkande på samhällsnivå.
Här finns ett stuprörsutredande där man försöker utreda och lagstifta i delar utan att sammanhang skapas och utan att det går att se hur de olika delarna hänger ihop.
Särskilt tydligt blir detta när det gäller ”säkerhetskänslig” i förhållande till ”samhällsviktig” verksamhet.
Med den glidning som sker från att säkerhetsskyddet, förenklat beskrivet, varit fokuserat på antagonistiska hot mot hemlig information i offentlig verksamhet till att övergå till ett betydligt större område blir gränsdragningen än svårare.
Nu har vi dels säkerhetsskydd som ska skydda säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter där med säkerhetskänslig verksamhet avses: verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd Och så samhällsviktig verksamhet som definieras som: Ett bortfall av eller en svår störning i verksamheten kan ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid leda till att en allvarlig kris inträffar i samhället.
Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt Lagrådsremissen ”förtydligar” skillnaden mellan det ena och det andra genom följande plattityd: Verksamheter som bör omfattas av en ny säkerhetsskyddslag omfattas i regel av dessa kriterier, men karaktäriseras därutöver av att de har betydelse för Sveriges säkerhet ur ett nationellt perspektiv.
Skälet för detta är att säkerhetsskyddslagen i första hand bör syfta till att skydda särskilt känsliga verksamheter mot antagonistiska angrepp, t.ex.
spioneri, sabotage och terroristbrott.
Personligen uppfattar jag det som djupt problematiskt när skillnaden på det ena och det andra blir ungefär som den klassiska Fred Astaire-sången med refrängen Potato, potahto, tomato, .
Det är helt enkelt väldigt svårt att avgöra skillnaden mellan samhället respektive Sverige.
Den enda skillnaden i detta sammanhang är såvitt jag kan se att säkerhetsskydd ställs i relation till typen av hot (antagonistiska).
När det nu blir allt tydligare att informationssäkerheten generellt är på en nivå som inte på något sätt motsvarar behovet borde en huvudfråga vara hur bättre stöd ska ges till alla de verksamheter som är säkerhetskänsliga och/eller samhällsviktiga.
Att då inte kunna ge reda ut ens huvudkriterierna på ett pedagogiskt sätt förtjänar ett totalt underbetyg.
I backspegeln verkar lanseringen av samhällsviktig verksamhet som begrepp och det praktiska arbetet med att faktiskt utveckla och skydda de funktioner som vi alla är beroende av vid större störningar ha misslyckats.
Det klena stödet för att identifiera vad som är samhällsviktigt kombinerat med avsaknaden av förslag på konkreta åtgärder som ska vidtas om man mot all förmodan lyckas med uppgiften är ett allvarligt problem.
Säkerhetsskyddet är knappast lösningen på det problemet även om det verkar vara en tanke som vissa drabbas av.
Varken den ursprungliga utredningen eller lagrådsremissen utgör någon hjälp i det hänseende.
I lagrådsremissen blandar man t.o.m.
ihop begreppen som på sidan 35 där man motiverar ett ökat säkerhetsskydd med allvarliga konsekvenser i samhällsviktig verksamhet.
Att det är svårt att ge exakta kriterier för säkerhetskänslig respektive samhällsviktig verksamhet har jag förståelse för men det måste ändå gå att åstadkomma betydligt mer än det som hittills presenterats.
En första insats vore att en central ansträngning gjordes för att definiera vad som är skyddsvärt ur dels säkerhetsskyddsperspektiv, dels ur vad som ska räknas som samhällsviktigt.
Nu trycks frågan istället ner på organisationsnivå och skapar en logisk knut: det är organisationen själv som genom en säkerhetsanalys ska fastställa om den är säkerhetskänslig men för att över huvud taget komma på att man är säkerhetskänslig måste man först göra analysen… Detta förstärks ytterligare av att lagrådsremissen uttrycker sig i termer som närmast är att likna vid : Det kan också tänkas att ett angrepp som riktas mot en verksamhet på en förhållandevis liten geografisk yta påverkar människor som har funktioner i andra verksamheter med direkt betydelse för Sveriges säkerhet.
Även flera koordinerade, eller av varandra oberoende, angrepp som resulterar i störningar av samhällsviktiga funktioner på lokal eller regional nivå kan påverka Sveriges säkerhet, t.ex.
genom att det bland befolkningen generellt sprids oro och misstro mot myndigheternas förmåga att hantera situationen.
Dessa exempel på frågeställningar som en verksamhetsutövare måste ta ställning till visar att bedömningen av säkerhetsskyddslagens tillämpningsområde inte enbart kan ha sin grund i geografiska områden eller antalet medborgare som potentiellt kan drabbas av ett angrepp.
Även potentiella följdverkningar av en händelse måste vägas in i bedömningen.
Och visst kan säkerhetsbedömningar likna kaosforskning på sätt och vis men att kräva att kommuner, landsting och regioner ska kunna göra sådana bedömningar är att bygga in en fallucka i hela systemet eftersom det är en omöjlig uppgift.
Ytterligare en dimension av detta är att privata aktörer förväntas att på ett objektivt sätt analysera om det finns funktioner som är säkerhetskänsliga i den egna verksamheten trots den kostnadsdrivande effekt en sådan bedömning skulle få.
Och den spännande frågan om aggregering hos privata aktörer där intet svar ges om vem som ska ha koll på detta: Ett annat exempel på verksamhet som kan anses ha betydelse för Sveriges säkerhet är om en leverantör svarar för driftstjänster åt ett flertal myndigheter och leverantörens samlade uppdrag kan ha betydelse för Sveriges säkerhet.
Även om de enskilda uppdragen inte anses som säkerhetskänsliga kan leverantörens samlade engagemang innebära risker för alla de myndigheter som den utför tjänster åt vid ett antagonistiskt angrepp, vilket i slutändan skulle leda fram till effekter för samhället i stort.
(s 46) Ungefär på samma sätt är det med samhällsviktig verksamhet, det är organisationen själv som ska bedöma vilka delar som är samhällsviktiga och även där intuitivt kunna se långa beroendekedjor på samhällsnivå som inte finns beskrivna.
Idag är det uppenbart att 1.
Kommuner/landsting har ansvar en stor del av den samhällsviktiga verksamheten och även en del funktioner som är att betrakta som säkerhetskänsliga 2.
Förmågan att kunna vidta rätt säkerhetsåtgärder är alldeles för låg.
Vad som förvånar mig är detta inte är något som analyseras närmare vare sig i utredningen eller lagrådsremissen, vilka åtgärder och vilket stöd som vore nödvändigt för att intentionerna ska kunna förverkligas.
Riskerna med vagheten är flera.
Den mest uppenbara är att säkerhetsåtgärder inte vidtas i den omfattning som vore befogat.
En annan av jämförbar dignitet är att svårigheten att avgöra om det är ”säkerhetskänsligt” eller ”samhällsviktigt” gör att organisationer i en allmän ängslighet tar det säkra för det osäkra (lätt hänt efter sommarens och höstens massiva mediebevakning) och definierar information och system som säkerhetskänsliga.
Detta gör att jag inte ens blir förvånad över crazylösningar som när sjukvårdshuvudmän försöker få sjukvårdssystem att bli säkerhetsskyddade, uppenbarligen utan en susning om vad det skulle innebära i . Detta är för den med minsta insikt ett totalhaveri i säkerhetstänkande och där ett förverkligande skulle innebära att en stor del av sjukvården lamslogs.
En inte oväsentlig risk är att integritets- och offentlighetsaspekter blir utdefinierade i verkligheten på samma sätt som i lagrådsremissen.
Denna risk förs fram av flera remissinstanser men viftas i lagrådsremissen bort utan vidare spisning (ex s 48 och 63).
Jag funderar också rätt mycket när jag läser lagrådsremissen på risken att säkerhetsskyddet genom oklarheten i tillämpningen devalveras.
Om information och system inte hör dit ändå placeras där kommer då säkerhetsskyddet verkligen att kunna upprätthållas där det verkligen behövs?
Överhuvudtaget väcker lagrådsremissen så många frågor att jag rekommenderar alla att läsa den och försöka visualisera effekten i den verkliga världen.
Hur ska man till exempelvis göra för att bedöma riktighet och tillgänglighet men inte i form av klassning?
Och hur få ihop säkerhetsskyddslagens legitimitet i antagonistiska hot när en stor del av störningarna i informationshanteringen och därmed i verksamheten uppstår av andra orsaker?
Och vore det inte mycket bättre att inrikta sig på säkerhetskänsliga funktioner än dito verksamheter?
Då skulle faktiskt statsmakten kunna peka ut vilka funktioner oavsett organisation som bedöms som väsentliga för Sverige vilket skulle vara ett enormt stöd inte minst för kommunerna.
Sammantaget: det känns inte som livet som säkerhetsmänniska blivit enklare med lagrådsremissen.
Den understryker dock behovet av att förstärka arbetet med informationssäkerhet för den samhällsviktiga verksamheten.
Sällan har uttrycket ”på förekommen anledning” förefallit så relevant som när en promemoria angående presenterades och skickades på remiss i veckan.
Den konspiratoriskt lagde funderar naturligtvis vid vilken tidpunkt promemorian initierades och hur diskussionen gick då .
Nu är den i alla fall lagd och det är naturligtvis intressant att se på det faktiska innehållet.
Redan här bör det dock poängteras att promemorian endast gäller statliga myndigheter och därför saknar relevans i den senaste veckans diskussioner om kommunernas säkerhetsskydd till exempel.
Såvitt jag kan se innehåller den egentligen bara tre förslag på förändringar i säkerhetsskyddsförordningen som innebär konkreta förändringar.
För det första kompletteras rubriken för 16 § till att omfatta även utkontraktering (Överlåtelse av verksamhet som drivs av det allmänna).
På det sättet tydliggörs att reglerna även omfattar outsourcing av den typ som genomfördes vid Transportstyrelsen.
För det andra ska myndigheter som planerar att genomföra till exempel en outsourcing genomföra en särskild säkerhetsanalys: undersöka och dokumentera vilka uppgifter i den verksamhet som myndigheten avser att utkontraktera som ska hållas hemliga med hänsyn till rikets säkerhet och som kräver säkerhetsskydd (särskild säkerhetsanalys) Eftersom säkerhetsskyddsförordningen redan förutsätter att myndigheten ska ha koll på var det finns uppgifter som ska hållas hemliga bör detta i princip inte innebära något större merarbete.
Redan initialt vid en planerad outsourcing bör det ju vara klart om det förekommer hemliga uppgifter eller inte i den information som ska outsourcas.
Naturligtvis vet jag att det inte alltid är så i verkligheten men nu försöker jag ringa in vad som är det som kan tillkomma som nya element.
Den tredje förändringen är också den som innebär den stora förändringen, nämligen att det inte, om förslaget går igenom, längre räcker att själv upplysa den enskilde outsourcingpartnern om att säkerhetsskyddslagen som gäller för utkontrakterade.
Nu ska myndigheten också samråda med tillsynsmyndigheten (Försvarsmakten respektive SÄPO) om den planerade outsourcingen.
Myndigheten ska alltså ta sin särskilda säkerhetsanalys till sin tillsynsmyndighet för samråd redan innan upphandling inleds.
Tillsynsmyndigheten får också enligt förslaget ett mycket starkt mandat att styra upphandlingen och till och med stoppa den: Tillsynsmyndigheten får förelägga myndigheten att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen.
Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att säkerhetsskyddslagens krav inte kan tillgodoses trots att ytterligare åtgärder vidtas får tillsynsmyndigheten besluta att utkontrakteringen inte får genomföras.
Utdraget till sin konsekvens ger förslaget ett helt nytt rollspel där Försvarsmakten respektive SÄPO blir ytterst ansvariga för riskbedömningen medan myndigheten som ska outsourca i princip kan skicka in sin säkerhetsanalys och därefter sätta sig på läktaren.
Detta innebär både potentiella nackdelar som att ansvarsprincipen sätts ur spel och fördelar som att det tydliggörs vem som egentligen gjort bedömningen, d.v.s.
Händer det något med den information som outsourcats och alla de åtgärder som myndigheten förelagts av SÄPO kan vad jag ser inget ansvarsutkrävande ske mot myndigheten.
Hur SÄPO ska kunna hålla sig uppdaterade för att kunna göra korrekta riskbedömningar är för mig svårt att riktigt förstå.
Med tanke på förslagen till utvidgning av säkerhetsskyddslagens tillämpning i förslaget till säkerhetsskyddslag där det är mycket oklart vad som ska anses påverka ”Sveriges säkerhet” ser jag framför mig en ny flaskhals i den offentliga förvaltningen när SÄPO ska döma av alla större upphandlingar.
Det ska bli intressant att läsa remissvaren och se hur dessa frågor diskuteras av remissinstanserna.
I dessa dagar då persikorna äntligen mognar trots den sommar som aldrig var har jag egentligen inte tid med budgetproppen.
Men trots att persikorna insisterar på en omedelbar syltning kommer här ändå några reflektioner med anledningen av regeringens intentioner gällande informationssäkerhet, dock med disclaimern att jag inte i detalj har studerat samtliga av de knappa 4000 sidorna.
Föga förvånande är informationssäkerhet ett prioriterat område.
Efter det senaste årets skandaler samt det så beramade ”förändrade omvärldsläget” så kommer sannolikt inte regeringens satsningar på informationssäkerhet i olika former att väcka motstånd hos oppositionen.
Själv skulle jag ändå vilja resa frågan om det i första hand är pengar som saknas för att förbättra säkerheten.
Men först till själva pengaregnet.
När jag nu håller på att försöka formulera förslag på komponenter i en nationell styrmodell har jag tagit fram en idébild för mig själv för att förstå de många former som informationssäkerhet förekommer i på en samhällsnivå.
Redan här vill jag utfärda en stark varning för bristen på logik i bilden.
Samtidigt vågar jag mig på att hävda att denna brist inte enbart beror på mina egna tillkortakommanden utan i kanske lika hög grad på att den verklighet jag försöker beskriva saknar logik.
Viktigt för att förstå bilden är samtliga fyra former av behov av/krav på informationssäkerhet kan förekomma i samma organisation.
De avklingande pilarna syftar till att försöka beskriva en intresseavvägning; i det ”normala” säkerhetsarbetet sker riskbedömningar hela tiden där hänsyn hela tiden måste tas till andra värden för den egna organisationen och samhället medan i den andra änden är säkerhetskraven mer absoluta.
Ett exempel på det senare är ju av att demokratiska rättigheter som insyn inte kan anföras då de ställs som säkerhetsbedömningarna.
Jag kommer att återkomma till den här bilden i senare inlägg, just nu använder jag den bara för att resonera kring budgetproppen.
Det mest revolutionerande var den digitaliseringsmyndighet som regeringen beslutat ska skapas under 2018 med ett anslag första året som är något högre än ESV:s (vilket är litet ironiskt eftersom ESV har varit en av de starkaste lobbyisterna för digitaliseringsmyndighet och en kandidat för att bli det).
Det är alltså ingen liten myndighet man konstruerar även om anslagen planeras att sjunka längre fram.
Förutom att man slänger in hanteringen av tjänster som e-legitimation och Mina meddelanden får den nya myndigheten ansvar för att samordna arbetet med Öppna data.
Myndigheten kan väl ses som ett nytt och något mer kraftfullt försök att samordna digitaliseringen efter raddan av tämligen misslyckade initiativ från Toppledareforum och framåt till e-Delegationen och Digitaliseringskommissionen.
I budgetpropositionen står inget vad jag kan se om att myndigheten ska ha något särskilt ansvar för informationssäkerhet men i intervjuer med bland annat civilminister Shekarabi efter att proppen presenterats luftas sådana tankar som .
Att informationssäkerhet är en förutsättning för en lyckad digitalisering är något som både jag själv och andra framfört med emfas så principiellt är det en naturlig tanke att sammanföra frågorna.
Vi är då i boxen ”normal verksamhet”.
Mandatet, ansvaret och uppgiften är dock synnerligen oklart.
Det utökade förvaltningsanslaget till MSB på 40 miljoner till informationssäkerhet och psykologiskt försvar får väl ses som något som hamnar i boxarna ”samhällsviktig verksamhet” respektive ”totalförsvar/civil beredskap”.
Här bör det betonas att det är tillskott till redan omfattande medel.
Jag uppfattar att den generella inriktningen för MSB blir tydligare och tydligare civilt försvar och samhällsviktig verksamhet vilket sannolikt kommer att prägla även myndighetens insatser inom informationssäkerhetsområdet.
Utrymmet för denna typ av spekulationer är stort eftersom det inte finns någon offentliggjord strategi från myndigheten.
SÄPO får en rundlig extra dusör för att arbeta med den nya säkerhetsskyddslagen.
Vad Försvarsmakten och SÄPO i övrigt gör inom informationssäkerhetsområdet är svårt att överblicka utifrån på grund av den sekretess som råder.
Att PTS föreslås få ett årligt tillskott på 13 miljoner för att ”vidta åtgärder som säkerställer myndighetens långsiktiga arbete avseende säkerhetsskydd och informationssäkerhet för att bättre möta förändrade och framtida krav som ställs.” är däremot en öppen uppgift i proppen.
Här dyker alltså återigen boxarna för totalförsvar och säkerhetsskydd upp.
Sådär kan man fortsätta att hoppa omkring i budgetpropositionen för att försöka greppa statens insatser för att förbättra informationssäkerhet.
För mig framstår de krav på informationssäkerhet som ställs i den normala verksamheten och som stödjer intressen som är centrala för individen, demokratiska värden, ekonomi och effektivitet påfallande nedprioriterade.
Detta trots att samma budgetproposition understryker behovet av ökad digitalisering.
Det hänvisas i proppen till strategierna för informations- och cybersäkerhet respektive för digitalisering men som jag i tidigare blogginlägg beskrivit är båda dessa styrdokument egendomligt inriktade mot säkerhetsskydd.
De värden jag låtit symboliseras i form av pilar blir därmed som jag ser det osynliggjorda och inte medtagna i en större riskanalys som omfattar mer en ren säkerhet.
Det är till nackdel både för enskilda och för samhället i stort.
En liknande outtalad prioritering görs inom digitaliseringsområdet där öppna data lyfts fram som en viktig uppgift för den nya digitaliseringsmyndigheten medan möjligheten att förbättra den demokratiska insynen i myndigheternas verksamhet inte alls omnämns.
Självklart måste Sverige följa PSI-direktivet men det vore en fördel med ett motsvarande engagemang för att förverkliga kraven som emanerar ur grundlagen på god offentlighetsstruktur och insyn.
Obalansen mellan näringslivsintresset för öppna data och det demokratiska intresset av en öppen och tillgänglig förvaltning kan förmodas ha ett ursprung i att it-frågorna hittills legat på näringsdepartementet.
Detta är ju tämligen ologiskt eftersom regeringens (oavsett färg) inriktning inom digitaliseringsområdet främst varit att utveckla förvaltningen vilket borde motiverat en placering tillsammans med övriga förvaltningsstyrningsfrågor.
Problemformuleringen påverkas naturligtvis av i vilket politikområde som har taktpinnen.
Nu tyder vissa budgetanslag på en förflyttning av frågan i rätt riktning.
Min upplevelse efter att ha läst strategierna för digitalisering respektive cyber- och informationssäkerhet tillsammans med den budgetproposition där strategiernas första steg mot ett förverkligande är att de båda områdena lider av liknande brist på inriktning.
Jag har redan klankat på strategierna och budgetpropositionens riktningslöshet bekräftar mina farhågor.
När det gäller säkerhetsområdet kan jag inte urskilja något som tyder på att det genomförts en riskanalys som motiverar fördelningen av medel.
Istället förefaller det vara samma typ av brandsläckningsinsatser på nationell nivå som förekommer i organisationer som saknar ett systematiskt.
Inte heller kan jag se något samband mellan de olika satsningarna eller stöd för de olika involverade myndigheterna att samordna sig.
För att hitta en positiv trådände så skulle det kunna finnas Ariadnetråd ut ur labyrinten om digitaliseringsmyndigheten skulle kunna formeras till en fungerande myndighet med styrkraft och som kan ta över informationssäkerhetsfrågorna för den normala verksamheten.
Om värdena i de fyra pilarna lyfts fram som frågor som ska ligga i myndighetens uppdrag att driva skulle hypotetiskt sett en bättre balans mellan säkerhet och verksamhetsnytta kunna uppnås.
På sätt skulle även försummade frågor som stöd för enskildas säkerhet kunna kopplas ett digitalt medborgarskap liksom relationen mellan öppenhet och slutenhet kunna lyftas fram och avvägas.
En utveckling i denna riktning skulle kräva ett stort kulturskifte där digitaliseringsmyndigheten inte blir en statlig ideologifabrik av samma typ som exempelvis Digitaliseringskommissionen.
Jag är inte alldeles optimistisk då jag återgår till mina husmorssysslor.

Har den här åtgärden en säkerhetshöjande effekt som står i paritet med den kostnad och krångel som den orsakar verksamheten?
Är den här åtgärden verkligen avpassad till och tar hänsyn till verksamhetens egentliga behov av säkerhet?
Indirekt: vet jag som vill lansera den tillräckligt mycket om verksamhetens behov för att kunna avgöra det?
Kommer den här åtgärden verkligen att fungera i praktiken eller är den en ren pappersprodukt?
Och kommer den även att fungera över tid, t.ex.
när konsulten lämnat skeppet?
Finns det verkligen inte ett effektivare sätt att reducera risken till en acceptabel nivå?
Om jag förstår det rätt ligger den här rekryteringssiten som en molntjänst där informationen ligger på Irland?
Använder siten Google Analytics?
Har det gjorts en riskanalys/informationsklassning innan man valde det här sättet att hantera informationen?
Har Försvarsmakten gjort rätt riskbedömning när det valt den här lösningen eller har de liksom många andra fallit för frestelsen och sett all fördelar finns med molntjänsterna och låtit detta få överhanden?
Om riskbedömningen är rimlig att hantera personuppgifter och andra uppgifter om exempelvis placeringar som annars uppfattas känsliga, dessutom i en omfattning som svindlar, i en molntjänst i det här sammanhanget – varför skulle det inte vara det i andra sammanhang som exempelvis i kommunal verksamhet?
Alla våra moderna samhällsbärande system bärs upp av den nya informationsteknologin.
Det går inte att organisera fram cybersäkerhet utan det krävs resursförstärkningar.
Enligt x mening är det av strategisk betydelse att kunna säkerställa kompetensförsörjningen inom informationssäkerhetsområdet.
X konstaterar också att staten behöver egen och unik kompetens.
Staten har också det yttersta ansvaret för den nationella säkerheten, vilket ställer särskilda krav.
Staten förfogar över en rad administrativa, ekonomiska och informativa styrmedel.
I praktiken är dessa relativt svagt utvecklade på informationssäkerhetsområdet.
Vår sårbarhet ökar och vi har stora brister trots att stora åtgärder vidtagits.

vad hur.
hur inom

Meny Säkerhetsskydd Inläggsnavigering

MENU MENU Postat av Postad i , , , Tagged , , , , , , , Postat av Postad i , , Tagged , Postat av Postad i , , Tagged , , Postat av Postad i , , , Tagged , , , , Postat av Postad i , , , , , Tagged , , , , , , Postat av Postad i , , , Tagged , , , , , Postat av Postad i , , , , , , , Tagged , , , , , , , Postat av Postad i , Postat av Postad i , , , Postat av Postad i , , ← Sök efter:

Statlig förvaltningspolitik för 2020-talet SOU 2005:42 Säker information.
Förslag till informationssäkerhetspolitik.
Informations- och cybersäkerhet i Sverige Informationssäkerhet för samhällsviktiga och digitala tjänster, reboot – omstart för den digitala förvaltningen och utkontraktering

Det kan knappast ha förbigått någon att information blivit det nya guldet och att det finns extremt starka både offentliga och privata intressen som vill vara med och ta hem vinster från den resursen.
Framför allt den information som skapas i offentlig sektor är extra åtråvärd dels för att den är så omfångsrik, dels för att den ofta innehåller detaljerade uppgifter om olika allmänt intressanta förhållanden.
Intresset för att använda den offentligt producerade informationen som här kallas ”öppna data” har inom EU formaliserats genom PSI-direktivet som även blivit svensk lag sedan 2010.
En utredning tillsattes på klassiskt och bra svenskt maner 2019 för att bl.a.
genomföra en översyn och utvärdering av lagen (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen, analysera behovet av för-fattningsändringar för att genomföra öppna data-direktivet och säkerställa en ändamålsenlig nationell reglering som, ur ett rättsligt perspektiv, främjar och stödjer den offentliga förvaltningens arbete med att tillgängliggöra öppna data och annan digital information samt lämna förslag till nödvändiga författningsändringar.
Den lämnades över i höstas under beteckningen SOU 2020:55 Innovation genom information och har knappast lett till några större rubriker.
Att vidareförädla data kan ju tyckas som en högst okontroversiell inriktning för ett alltmer digitaliserat samhälle men ändå är det vissa frågor som skaver alltmer ju mer jag funderar på dem.
I utredningen ges följande beskrivning av syftet med offentlig verksamhet ska lägga resurser på arbetet med öppna data: I portalparagrafen till PSI-lagen anges att syftet med lagen är att främja utvecklingen av en informationsmarknad genom att underlätta enskildas användning av handlingar som tillhandahålls av myndigheter.
Redan där kan man haja till.
I Sverige har vi en mycket lång tradition av att utnyttja offentlig information för forskning och allmänhetens insyn men vad som här avses skapas är en ”informationsmarknad”.
Observera att med enskilda avses inte medborgare som vill ha insyn enligt offentlighetsprincipen vilket klargörs längre fram i utredningen utan endast företag som ska använda informationen.
Den tes som drivs i direktivet och i efterföljande lagar och utredningar är att det finns ett starkt samhällsintresse av att skapa en ”informationsmarknad” som ska försörja nationella och internationella företag med råvaran offentlig information till ett självkostnadspris.
I en som tagits fram av Lantmäteriet på uppdrag av regeringen blandas ändå syftena ihop så att det framstår som att öppna data skulle förbättra möjligheten till insyn: Öppna data skapar värde på flera olika plan i samhället.
Det rör sig dels om rena ekonomiska värden i form av stimulerad tillväxt och ökad effektivitet som ger aktörer möjlighet att utveckla nya produkter och tjänster.
Dessutom bidrar öppna offentliga data per definition till ökad transparens och demokratisk kontroll genom att öka insyn och förståelse för offentlig förvaltning.
Den ökade insynen innebär nya möjligheter för externa aktörer att mäta policyeffekter och granska, upptäcka samt motverka oegentligheter inom offentlig sektor.
För mig framstår som mycket tydligt att det finns framför allt tre olika syften med extern åtkomst till myndigheters information: Av dessa syften har under de senaste decennierna det sistnämnda syftet varit extremt prioriterat (även om forskning och företagande ofta kan vara överlappande).
I de olika initiativ som bedrivits i Sverige rörande digitalisering har jag inte på ett enda ställe sett några konkreta förslag för att utveckla lösningar för att stärka offentlighetsprincipen.
Detta trots att öppenheten blivit ordentligt naggad i kanten bland annat genom Sveriges EU-inträde genom avsiktliga och oavsiktliga anpassningar till den betydligt mer begränsade insynsmöjlighet som finns i övriga EU-länder (bortsett från Finland).
När man pratar om ökad delaktighet i digitala sammanhang är det alltså inte ökad insyn som diskuteras utan i de allra flesta olika tekniska lösningar som lanseras för offentlig service.
Vilka möjligheter som finns att digitalt utveckla demokratin är ett ämne som ligger mig varmt om hjärtat men jag skulle här även vilja peka på ytterligare en aspekt där den nuvarande satsningen på öppna data rymmer stora intressekonflikter.
Eftersom jag skulle vilja belysa den på ett principiellt plan och inte fastna i inhemska perspektiv väljer jag att ta ett exempel från USA.
I Erik Åsards nya bok Med lögnen som vapen som handlar om Donald Trump och hans påverkan på det amerikanska samhället.
I ett avsnitt berättar Åsard om Trumps märkliga tillsättningar av ledande tjänstemän.
Detta är nog så intressant men i det som jag fastnat för i detta sammanhang är när han föreslog Barry Myers, en miljonär och gammal kompis, som chef för NOAA som är den amerikanska motsvarigheten till SMHI.
Myers var av en händelse även ägare till ett privat företag som säljer väderrapporter som en kommersiell tjänst.
Enligt Åsard såg Myers rapporteringen från NOAA som en svår konkurrent eftersom myndigheten tillhandahöll samma data kostnadsfritt (enligt lag) som Myers paketerade om och marknadsförde i sin egen tjänst.
Som Åsard skriver: Rapporterna från the National Weather Service är kostnadsfria, men AccuWeather lyckades genom förförisk och inte sällan vilseledande marknadsföring få kunderna att betala för dem.
Utan den statliga väderlekstjänsten och dess skattefinansierade tillgångar (radar, väderstationer, väderballonger) skulle inte företaget ha mycket att erbjuda.
För att skilja ut sig från konkurrenterna började AccuWeather tillverka prognoser som sträckte sig 45 och till och med 90 dagar framåt.
Det är en metod som seriösa meteorologer har dömt ut och liknat vid att använda handläsning eller horoskoptydning.
Vidare skriver Åsard: Till skillnad från bolagen i den privata sektorn är the National Weather Service enligt lag förbjuden att göra reklam för sina tjänster.
Det har utnyttjats av företagare som Myers, som under 1990-talet offentligt började argumentera för att den statliga myndigheten borde förbjudas att göra några väderprognoser överhuvudtaget (utom vid fara för liv och egendom).
Sådan information borde vara en fråga mellan kunderna och de privata företagen, menade han.
När den konservativa republikanska senatorn Rick Santorum lade fram ett snarlikt lagförslag 2005, fick det entusiastiskt stöd av Myers.
Förslaget föll, men Myers tvekade alltså inte att stödja en lag som flagrant skulle gynnat hans eget företag och tvingat skattebetalarna att betala dubbelt för en tjänst som den statliga myndigheten tillhandahållit gratis.
Som Michael Lewis påpekar har privata företag i branschen ett ekonomiskt intresse av väderkatastrofer som deras offentliga motsvarigheter saknar.
Ju större och farligare orkaner, desto fler kunder kommer att vilja betala för att få varningar om dem.
Och ju fler kunder desto större vinster.
Lewis föreställer sig en dystopiskt slut – ”dagen då du bara får den väderleksrapport du betalar för”.
Lyckligtvis har vi ingen Trump i Sverige (än).
De många intressekonflikter som Erik Åsard så elegant lyfter fram i ett kort stycke i sin bok saknas är dock helt relevanta för Sverige när det gäller öppna data.
Av någon anledning har de utredningar som genomförts sedan direktivets tillkomst undvikit att ta upp dessa frågor trots att de har stor betydelse för både samhälle och den enskilde individen.
Att låta marknadskrafter bli dominerande när det gäller hur offentlig information ska användas skapar intressekonflikter.
”Öppna data” kan leda till motsatsen, att de undanhålls från medborgarna för att de utgör råvara för ett företag.
Och kommer det att ställas krav på myndigheterna att de måste upprätthålla informationshantering som annars skulle effektiviseras bort för att det skulle påverka företag som använder informationen negativt om den togs bort?
Det är inte heller säkert att låta multinationella försäkringsbolag kostnadsfritt ta del av patientuppgifter är något som gynnar några andra än just försäkringsbolagen.
Som alltid när det gäller intressekonflikter finns det inget entydigt svart eller vitt i hanteringen av öppna data även om det i det svenska sammanhanget hittills framställts som helt utan komplikationer att langa ut vår viktigaste gemensamma resurs gratis på marknaden.
Själv har jag svårt att förstå hur det kan utgöra en marknad överhuvudtaget, snarare en nationell välgörenhetsbasar.
För att skapa en mer mångdimensionell bild av öppna data där olika intressen kartläggs och ställs mot varandra på ett öppet (!)
sätt bör ett mer gediget underlag än olika tas fram om det verkliga ekonomiska värdet.
Därefter kan en offentlig diskussion föras om hur vår gemensamma informationsbonanza ska användas så att alla våra olika intressen tillvaratas – inte bara de ekonomiska för vissa aktörer.
Efter långt om länge släppte nu äntligen Datainspektionen (snart Integritetsskyddsmyndigheten) sina av åtta vårdgivare.
Även om jag var väl förberedd på innehållet så är det en chockerande dyster läsning när den fulla konsekvensen av vad jag redan visste blev förtydligad på detta sätt.
Låt mig först understryka att det Datainspektionen ställer krav på inte är några nya krav för vården utan de har funnits sedan länge bland annat i Socialstyrelsens och i PuL.
De brister som framkommer i granskningar har inte heller de nyhetens behag utan är de samma som i de granskningar av vården som Socialstyrelsen respektive Datainspektionen gjorde typ 2012.
Det är alltså inte så att vårdgivarna är tagna på sängen med helt ny rafflande krav utan det är väl kända försummelser som regioner och vårdgivare medvetet underlåtit att rätta till.
Egentligen räcker det att läsa följande stycke i granskningen gällande Capio S:t Görans Sjukhus AB för att se vidden av hur undermålig säkerheten och skyddet för integriteten är: Ytterligare försvårande omständigheter är att behandlingen av uppgifter om patienter i huvudjournalsystemet hör till kärnan i en vårdgivares verksamhet, att behandlingen omfattar många patienter och möjligheten till åtkomst avser en stor andel av de anställda.
Inom ramen för den inre sekretessen har mer än 2700 medarbetare åtkomst till uppgifter som rör närmare 490 000 patienter.
Utöver det har mer än 600 medarbetare, inom ramen för den sammanhållna journalföringen, åtkomstmöjligheten till uppgifter rörande cirka 3 patienter i TakeCare.
För att strö ytterligare salt i såret kan man läsa om Aleris sjukvård AB: Aleris har ett dokument som benämns ”Behovs-och riskanalys-TakeCare”.
Dokumentet har sett ut som det gör idag sedan den 28 maj 2012 då Take Care infördes och gäller både för den inre sekretessen och inom ramen för den sammanhållna journalföringen.
Av dokumentet framgår de olika profilerna, så kallade behörighetsgrupper.
Dokumentet visar bland annat läsrättigheterna samt skrivrättigheterna för respektive behörighetsgrupp.
Alla profiler förutom tekniker har tilldelats läsbehörighet till uppgifterna i TakeCare.
Då ska noteras att man hade 796 350 unika patienter i maj 2019 och 1058 aktiva användarkonton av vilket det absoluta flertalet alltså har läsrättigheter till samtliga patienter oavsett om de har en vårdrelation eller inte.
Att Aleris slänger fram en oförändrad riskanalys från 2012 säger nog det mesta om nivån på säkerhetsarbetet liksom när Capio hävdar att de visst har en behov- och riskanalys men att den av okänd anledning är borttappad.
Capio St Göran fick 30 miljoner i sanktionsavgift och Aleris Sjukvårds AB 15 miljoner (plus ytterligare 12 miljoner från sitt andra bolag Aleris Närsjukvård AB) men de är långt ifrån unika.
Bristerna hos övriga granskade vårdgivare (granskningen av Kry ännu ej beslutad) bekräftar det vi redan vet bland annat från tidigare granskningar.
Säkerheten i den svenska sjukvården är helt undermålig och det gäller inte bara vad gäller integritetsrelaterade frågor som de Datainspektionen granskat utan generellt.
Jag har begärt en större del av underlagen från Datainspektionens granskningar och ska fördjupa mig ytterligare i dem.
I detta blogginlägg ska jag ta upp några fenomen som aktualiseras i de granskningsfynd som presenteras i de offentliggjorda rapporterna.
Utgångspunkten är att den usla säkerhet som indikeras genom granskningarna är en följdriktig konsekvens av ett konsekvent förhållningssätt till integritet och säkerhet i vården från olika aktörer.
För att förstå hur samtliga granskade vårdgivare (Kry inte inräknade än så länge) så flagrant bryter mot lagstiftningen måsta man känna till att lagtrots när det gäller integritet och säkerhet i digitala lösningar är normen i den svenska vården – inte undantaget.
Att endast medarbetare med vårdrelation eller något annat mycket tydligt definierat skäl ska ha åtkomst till patientuppgifter är ett krav som har kommit med dataskyddsförordningen utan har funnits i princip sedan journalerna övergick från att vara räkenskapsmaterial till att vara vårddokumentation.
Vi rör oss alltså någonstans i början av förra seklet (hur gärna skulle jag inte vilja gå in på detaljerna i denna historia men inser att alla kan inte vara totala journalnördar – skulle någon vilja veta mer så får ni skicka ett mail).
På den tiden pappersjournalerna gällde fanns de inlåsta i journalarkiv med strikta regler för vem som fick ta del av dem.
Det kan sägas att ha rått en minimalistisk åtkomstprincip innan begreppet var uppfunnet.
Återkommande klagomål fanns på att det var för många som ändå kunde slinka in och läsa det de inte fick men möjligheten får ändå säga vara mikroskopisk jämfört med det som skildras i de aktuella granskningsrapporterna.
När de tidiga journalsystemen introducerades på slutet av 1980-talet hade de inte funktionalitet för en effektiv behörighetsstyrning på individ- och rollnivå vilket var ett första steg på färden mot dagens situation.
Istället för att tvinga leverantörerna tillbaka till ritbordet för att konstruera system som följde lagstiftningen började man (med ”man” avses i det följande den grupp av leverantörer, it-chefer, byråkrater, politiker och andra makthavare inom vården som ansvarat för digitaliseringen) tänja på normerna och hävda att det gick lika bra att styra med logguppföljning som med behörigheter.
Istället för att organisatoriskt och tekniskt begränsa åtkomsten hävdade man att logguppföljning var en jämförbar säkerhetsåtgärd (!).
Denna för svensk sjukvård unika bedömning var ett fatalt vägval ligger bakom en stor del av de säkerhetsproblem som finns i vården idag.
De negativa konsekvenserna begränsas inte enbart till att det på dryga tjugo år utvecklats de organisatoriska och tekniska lösningar som är nödvändiga för följa lagen och ha ens ett basalt skydd för patientuppgifterna.
Det har även lett till att man för att motivera det stora felsteget gjort dygd av nödvändigheten genom att hävda att ALLA inom sjukvården behöver tillgång till ALLA patientuppgifter hela tiden – allt annat vore en risk för patientsäkerheten.
I målande ordalag beskrevs hur nödvändig patientinformation inte skulle finnas tillgänglig för vårdpersonalen vid behandlingar olika slag vilket skrämde upp en hel del läkare och sköterskor som därmed köpte den konstruerade motsättningen mellan patientsäkerhet och integritet.
Det ledde till en ond spiral där krav på korrekt behörighetshanteringen inte ens ställts vid upphandlingar och stora utvecklingsprojekt trots att lagstiftningen är tydlig på denna punkt vilket i sin tur knappast motiverat leverantörer av vårdinformationssystem att utveckla sådan funktionalitet.
Det är därför en särskild glädje att Datainspektionen i granskningen av Capio S:t Göran slår fast att loggning kan ersätta att begränsa åtkomst via behörighetshantering: Capio S:t Görans anger att de använder systematisk logguppföljning för att reducera risken för att medarbetare otillbörligen tar del av patientuppgifter.
Datainspektionen konstaterar att patientdatalagen inte lämnar något utrymme förvårdgivare att kompensera frånvaron av behovs-och riskanalys, eller en allt för bred tilldelning av behörighet tillåtkomst, med en omfattande logguppföljning.
Inte heller fiktiva åtkomsthinder som ”journalfilter” eller ”aktiva val” godkänns av Datainspektionen som tillräckligt för att begränsa åtkomsten vilket kan vara en bra tumregel att ha med sig in framtida projekt.
Det känns också bra att Datainspektionen drar undan mattan för det i digitala sammanhanget urgamla svepskälet för att ha lagstridig hantering av personuppgifter, nämligen att hävda att man har en akutverksamhet.
Ytterligare en konsekvens är att den lättsinniga hållningen till lagstiftning sedan dess blivit en tradition inom vård-it.
Ett aktuellt exempel är när Region Skåne först beslutat att medvetet gå emot bättre vetande och upphandla en som går emot dataskyddslagstiftningen och sedan i sista minuten sig.
Hur mycket denna utsvävning kostat i pengar och förlorad tid är oklart.
Argumentationsfelen för att använda exempelvis molntjänster är desamma som medvetet praktiserats under par decennier i vården: ”ja men det blir ju bättre än det vi har” och så bygger man fast sig i bristfällig lösning som det tar åratal att ta sig ur istället för att ställa rätt säkerhetskrav från början och se till att de levereras.
Själv kan jag inte räkna alla gånger som jag, när jag påpekat brister i tänkta lösningar, fått kommentarer som ”ja men det är ju bättre än det som finns idag”, d.v.s.
att legitimera kända risker i nya lösningar med den falska jämförelsen med dagsläget.
Detta är ytterligare en väsentlig bakgrund till dagens situation och som bygger på samma knäppa riskhantering som är den andra återkommande bristen i Datainspektionens aktuella granskningar, nämligen risk- och sårbarhetsanalyser där vårdgivarna återkommande endast analyserar och inte risker.
För en sansad människa framstår det kanske som obegripligt varför man över huvud taget bryr sig om att göra riskanalyser om man inte är intresserad av att identifiera och reducera risker.
Jag ser det mer som en del i den svenska digitaliseringskulturen där det inte får finnas problem utan vi ständigt är glittrande glada.
Och har vi inte identifierat några risker så behöver vi ju inte några säkerhetsåtgärder och då är ”utmaningen” (inte problemet) obefintlig.
Tydliga ansvarsförhållanden är grunden för all fungerande säkerhet.
Saknas denna förutsättningen kommer säkerheten oundvikligen att bli lidande och det går inte heller att genomföra ett ansvarsutkrävande.
I den trassliga spaghettistruktur som är svensk vård-it blir detta synligt även i Datainspektionens granskningar.
En konstruktion som skulle behöva synas beskrivs i rapporten om Aleris Sjukvård AB: Federation Samverkan TakeCare (FSTC) är beställare av journalsystemet Take Care och Compu Group Medical (CGM) är leverantör av journalsystemet och ansvarar för de funktioner som systemet har för att styra behörigheter.
Alla funktioner i journalsystemet är skapade av CGM, men det är Aleris som väljer vilka funktioner som en viss personalkategori ska ha tillgång till bland de funktioner som finns inlagda.
Aleris har inga tekniska möjligheter att göra ändringar i Take Care eftersom Aleris inte har någon rådighet över journalsystemet.
Aleris är endast användare av systemet.
Aleris har inte kunnat ställa några krav på CGM vid upphandlingen av journalsystemet.
Bolaget har till exempel påpekat att det funnits problem med journalsystemet bestående i, så vitt avser behörighetstilldelningen, att systemet inte kan separera läs-och utskriftbehörigheter för en läsfunktion.
CGM har inte varit intresserade av att ändra detta trots synpunkter från Aleris.
Det är FSTC som kan beställa ändringar av funktionerna och det är sedan upp till CGM om de vill utföra ändringarna eller inte.
Aleris har en representant i FSTC som kan framföra Aleris önskemål.
Aleris har dock inte fått något gehör för bolagets synpunkter.
Här förefaller det alltså omöjligt för vårdgivaren som även är personuppgiftsansvarig att genomdriva sina säkerhetskrav eftersom en organisation utan formellt ansvar förhindrar det.
Om vi nu hypotetiskt litar blint på att Aleris verkligen ställt rätt säkerhetskrav är det alltså FSTC som drivs av Region Stockholm som inte bara förorsakat kränkningar av ett mycket stort antal patienters integritet utan också ”användarna” Aleris sanktionsavgifter.
Det borde finnas ett intresse åtminstone från ”användarna” att reda ut ansvarsförhållandena och skapa garantier för att man kan få påverkansmöjlighet på de gemensamma it-systemen så at de följer lagstiftningen även om regionen inte prioriterar den frågan.
Trots att det i övrigt finns en mycket god säkerhetskultur i vården har man alltså inte lyckats inympa informationssäkerhet i den.
Det huvudsakliga ansvaret för detta ligger naturligtvis hos regionerna som sjukvårdshuvudmän tillsammans med SKR som sedan mitten av 90-talet utlovat gemensamma regler för informationssäkerhet men hittills inte lyckats uppvisa något som ens liknar det.
Är det någonstans där Datainspektionen bör göra nästa granskning så är det hos SKR:s it-bolag Inera.
Detta är särskilt angeläget eftersom lösningar som NPÖ som tillhandahålls av Inera saknar adekvat behörighetshantering (se ovan) som inte bara drabbar den enskilde vårdgivare utan samtliga vårdgivare som använder.
En annan aktör som väcker viss tveksamhet är IVO vars granskningar hittills inte alls verkar ha genomförts på samma grundliga nivå som Datainspektionen.
Några granskade verksamheter hänvisar till granskningar som IVO gjort och som på något sätt skulle gett klartecken för den säkerhetsnivå som de nu ligger på.
Förhoppningsvis kan tillsynsansvaret i och med NIS-direktivet leda till att IVO utvecklar sina granskningsmetoder.
Jag tror att det är centralt att myndigheterna samverkar här och ser informationssäkerheten i ett helhetsperspektiv och förstår att det är en sammanhängande säkerhetsarkitektur där brister i ett hänseende skapar risker på flera olika sätt.
Det skulle även vara en fördel att ha gemensamma granskningsmetoder och kanske t.o.m.
genomföra granskningar tillsammans.
Många tillsynsmyndigheter kan lära sig mycket genom att studera med vilken noggrannhet och stringens Datainspektionens granskningar genomförts.
I rättvisans namn ska sägas att vården inte fått särskilt mycket hjälp från myndighetshåll att utveckla sin säkerhet.
Jag har tidigare om att MSB:s knytning till ISO 27000 och det metodstöd som utvecklats i denna anda knappast är till hjälp för vårdens infrastruktur och jag kan inte heller se andra satsningar som tagits fram för att stödja denna i sanning samhällsviktiga verksamhet.
Datainspektionens granskningar som endast rör ett par aspekter av säkerheten borde ge upphov till ett större samordnande projekt lett av myndigheter för att långsiktigt höja vården säkerhet eftersom detta är en fråga som regionerna med all önskvärd tydlighet visat att de inte klarar av.
En helt nödvändig insats är att tvinga regioners och SKR:s makthavare att erkänna att det finns ett mycket stort säkerhetsunderskott i vården och istället för att stoppa huvudet i ta sitt ansvar och börja bygga för framtiden.
Häromveckan kom en OECD-rapport där det framkom att Sverige enligt de måttstockar som användes inte var så bra på digitalisering.
Rapporten väckte förvåning och upprördhet i vissa kretsar.
Jag kan på sätt och vis förstå att det kan upplevas som en kalldusch med tanke på hur mycket offentlig ”digitalisering” haussas och sponsras.
Samtidigt får jag litet drygt medge att jag inte är såååå häpen.
Den svenska digitaliseringen har under decennier fört en haltande tillvaro trots att den ständigt varit omgiven av jublande kaskader av pepp.
Under dessa år har olika mystiska nationella organisationer skapats, marknadsförts och sedan dött utan att lämna några imponerande spår efter sig.
Ur minnet kan jag rada upp följande: Utöver detta har diverse ännu mer kortlivade initiativ tagits av regeringar i form av råd och kanske den mest luftiga av alla: en nationell CIO, en funktion som lyckligtvis evaporerade efter mindre än ett år.
Av allt detta finns idag bara DIGG kvar – en myndighet med oklart ansvar och mandat.
Efter att ha rört mig i både närmare centrum och och för det mesta i periferin av dessa cirklar så finns det vissa genomgående drag som jag tycker mig kunnat notera.
Bara uppräkningen av alla flyktiga organisationer som haft en förväntan på sig att samordna den svenska digitaliseringen visar på det kanske främsta problemet: bristen på kontinuitet.
Det har aldrig funnits en långsiktig plan med prioriteringar för hur den offentliga digitaliseringen ska rullas ut.
Bristen på strategisk inriktning skulle i sig kunna vara en strategi, att den svenska staten gjort en välavvägd bedömning att en organisk framväxt utan styrning av digitala lösningar på sikt skulle gynna samhället bäst.
Om detta har varit planen har den dock hållits väl dold.
Verkligheten tyder på, i alla fall för mig, att planering och tydlig inriktning hade varit mycket önskvärt för att skapa en fungerande digital infrastruktur.
Kanske var vi närmare en möjlighet att skapa en infrastruktur på slutet av 90-talet än idag.
Då fanns en medvetenhet om att Sverige hade unika möjligheter bland annat genom denna snabba spridningen av hemdatorer som skett då anställda fick möjlighet att med förmånliga villkor skaffa sig en egen dator via arbetsgivaren.
Då diskuterades hur en statlig e-legitimation skulle kunna införas som en central infrastrukturkomponent.
Själv tyckte jag att det var en rimlig förlängning av ett statlig åtagande: folkbokföring, personnummer och sedan e-legitimation skulle fullfölja en lång linje i svensk förvaltningshistoria som skulle kunna vara byggstenen för många andra lösningar.
Men sedan hände ingenting, varje år sas det att i september – då kommer den att komma!
Vet ej varför just september var en så bra månad för att lansera e-leg men i min något osäkra minnesbild var det så.
En myndighet (E-nämnden) bildades 2003 för att leva i två somrar med uppdrag att stödja utvecklingen av ett säkert effektivt elektroniskt informationsutbyte mellan myndigheter och mellan myndigheter och enskilda genom att beslut om vilka standarder för informationsutbyte myndigheter under regeringen skulle använda sig av.
Detta inkluderade även e-legfrågan.
Men som sagt någon statlig e-legitimation blev det inte då vilket jag är ganska övertygad berodde på ideologiska skäl.
Politiker av olika schatteringar gick all in för nyliberalism och ville hellre att ”marknaden” skulle hantera e-legitimationerna vilket säkert påverkade införande och fördröjde en säker infrastruktur-utveckling.
Att jag tagit upp denna gamla historia är mest för att peka på ett annat återkommande tema i den svenska digitaliseringen, nämligen att det saknats öppna och tydliga diskussioner om hur staten och marknaden ska samverka på bästa sätt för gynna samhället.
Istället har framtagandet av digitala lösningar skett i en ideologisk blindhet som lett mycket stora kostnader (tänk bara Hälsa för mig) utan att det lett till de resultat som eftersträvats.
Och vad är det då för resultat som eftersträvas?
Man skulle tycka att med den stora förväntan på digitalisering och AI som lösningen på alla problem liksom de miljarder som pytsats in att även utan plan så skulle det vara nödvändigt att ha någon slags tydliga mål som går att följa upp.
Så är dock inte fallet om man inte räknar det outsägligt fåniga målet att ”Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter” som tydligt.
Istället vimlar det av fluffiga utsägelser som digitaliseringen ska rädda allt från äldreomsorgen till exportindustrin och självklart skolan.
Exakt hur det här ska gå till beskrivs vad jag kan se varken av , eller digitaliseringsevangelisterna trots att man skrivit vad man kallar mål och strategier.
Det förväntas bara ske.
Det ligger något av en paradox i att digitaliseringslösningar idag så ofta används för att mäta som en del i det rådande NPM-paradigmet när det samtidigt sker så litet av formell utvärdering av vad digitaliseringen faktiskt leder till.
Om man går in de traditionella utvärderarna av ”vad f-n får vi för pengarna?” som Riksrevisionen, Statskontoret och, när det gäller e-hälsa, Myndigheten för vårdanalys finns påfallande få granskningar och rapporter skrivna just om digitalisering.
Riksrevisionen publicerade 2016 en som knappast är en av dem som länder revisionen till heder med tanken på kvaliteteten som kontrollerar om myndigheter digitaliserat tillräckligt mycket – inte vad digitaliseringen lett till.
Detta är i sig en generell tendens, att se digitaliseringen i sig som något ”gott” samtidigt som man i nästa andetag säger att digitaliseringen inte är självändamål.
Men vad kan vara mer självändamål än att ha som mål att ”Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter”?
Däremot kom 2019 en om digitalisering och nyföretagande som faktiskt sätter nyföretagandet i centrum – inte digitaliseringen.
Utöver detta finns det inte mycket att hämta om digitalisering hos Riksrevisionen om man är intresserad av resultatet av statens insatser på området.
Statskontoret har skrivit myndighetsanalyser av bl.a.
E-delegationen, Digisam och Digitaliseringsrådet (spoiler alert: de har inte lyckats så bra) men egentligen inget vad jag kan se om digitaliseringen i sig.
Riksrevisionens och Statskontorets uppdrag kan möjligen göra dem något begränsade i sina granskningar men att Myndigheten för vårdanalys inte haft detta som ett starkt granskningsområde förvånar mig starkt.
Med tanke på hur e-hälsa, välfärdsteknologi, AI och digitalisering lyfts fram som vårdens frälsare borde utfallet av detta vara mycket angeläget att kontinuerligt följa.
Som det nu är hittar jag egentligen bara en som handlar om cancervården specifik.
Ett om äldreomsorgens digitalisering ska slutlevereras 2023 och inriktningen ”Myndigheten ska bedöma hur digitaliseringen av äldreomsorgen bidrar till verksamhetsutveckling, med särskilt fokus på kostnadseffektivitet.” – alltså hur ska digitaliseringen ”effektivisera” äldreomsorgens.
Sammanfattande kan jag förstå om det är svårt att göra granskningar med så fluffiga mål för vad är det egentligen som ska följas upp?
Min egen anekdotiska upplevelse är att den svenska digitaliseringen lider svårt av ett marshmallowssyndrom.
Ni vet det där gamla experimentet om uppskjuten tillfredställelse som sedan har ifrågasatts men som jag ändå använder här som bild.
På Stanford university erbjöds fyraåring att marshmallows med förutsättningen att om de kunde motstå att genast sluka den godbit de fick och kunde vänta några minuter kunde de istället få två.
Tanken var att de som kunde planera och motstå frestelsen blev framgångsrika längre fram i livet.
Den svenska digitaliseringen tyckte jag ofta har liknat barnen som inte kunde låta bli att genast tillfredsställa sitt sötsug.
De politiker, tjänstemän och företag som drivit på digitaliseringen har dock styrts av starkare tobak än marshmallows men kontentan blir att det idag saknas en plan.
Det tycks som man ofta gör saker för att man inte för att man analyserat och kommit fram till att det är rätt steg i en bestämd riktning.
Detta leder också till den intressanta frågan vems intressen tjänar den nuvarande digitaliseringen.
Som redan nämnts är äldreomsorgen ett frestande område att digitalisera, mindre så digitaliseringsbyråkraternas egna jobb.
Jag ska inte ge mig in på David Graebers tankar om Bullshit jobs (läs gärna själva!)
men tanken på de undersköterskor som flänger omkring som torra skinn i äldreomsorgen är de som ska effektiviseras och inte de som har bullshit jobs är djupt störande.
Jag tänker också på vad en äldre människa tjänar på att inte få en människa som kommer och hjälper till med matning utan en robot.
Detta borde vi prata mycket mer om.
För att ingen ska missförstå ovanstående: jag vet och uppskattar den ständigt puttrande digitaliseringen men skulle uppskatta en plan.
I mitt förra inlägg hävdade jag att arbetet med informationssäkerhet alltför ofta kännetecknas av byråkratiska aktiviteter utan reell säkerhetshöjande effekt men däremot med ett anspråkstagande av verksamheters resurser på ett orimligt sätt.
Det är ju inte heller enbart kärnverksamhetens resurser som används på ett sätt som kan etiskt ifrågasättas.
Att säkerhetsarbetet bedrivs utan hänsyn till hur effektiv användningen av resurser är samtidigt som den oavlåtliga klagovisan ljuder att säkerhetsarbetet får för litet resurser, ständigt för litet resurser, är paradoxalt.
För den som arbetar med säkerhet borde det ha högsta prioritet att få fram arbetssätt som ger största möjliga utdelning av säkerhetshöjande effekter i förhållanden till insatta resurser.
Tyvärr har jag sett mycket litet av den typen av analyser och jag kan t.o.m.
tycka att säkerhetsområdet får rejält med pengar sammantaget utan det riktigt framgår vad som kommit ut av det.
Rubriken på blogginlägget är aningen ironisk eftersom det väl nu är allmänt känt att effektiviseringar sällan leder till bättre verksamhet.
Jag tycker ändå att det är klädsamt om vi som jobbar informationssäkerhet, som är en stödfunktion, håller upp spegeln och ser vad vi kan göra när kärnverksamheten i många organisationer är hårt pressad av krav på besparingar.
Att försöka göra saker bättre och mer kostnadseffektiva behöver inte heller vara till nackdel för metodutveckling, jag dristar mig att anse att det skulle vara en fördel om det fanns ROI-perspektiv på både planerade och genomförda säkerhetsåtgärder.
Jag tror det skulle vara ett stort stöd för många informationssäkerhetsansvariga som nu ibland verkar beta av ett antal aktiviteter utan att kunna bedöma vad det egentligen leder till.
Vissa aktiviteter kan vara stora och dyrbara men det handlar också om annat där kostnaden kanske inte är så stor men effekten ännu mindre.
Att genomföra generiska e-utbildningar är enligt min erfarenhet tämligen bortkastat mensom initierat dem kan bocka av en ruta.
För mig betyder detta mekaniska tillvägagångssätt, förutom pengar och medarbetares tid i sjön, att organisationen invaggas i en vilseledande och farlig falsk trygghet.
Det tämligen obefintliga effektivitetspressen inom säkerhetsområdet, som är så kännbar i andra sektorer, tycker jag mig se leda till en lättja i tanke och i handling.
Det är lätt att glömma bort men informationssäkerhet handlar i grunden om att .
Har man inte det så har man inte en fungerande informationssäkerhet.
Med detta i bakhuvudet så kan den seriösa informationssäkerhetsarbetaren inte leva efter bekvämlighetsprincipen och hela tiden göra det som känns enklast.
Att enbart identifiera information som råkar finnas i system som man redan känner till är som, för att använda en mycket uttjatad bild, att leta efter den borttappade nyckeln under gatlyktan eftersom det är enklast.
Tyvärr är det så jag uppfattar rätt mycket av de insatser som går under beteckningen ”informationsklassning” som inte leder till kontroll över den information som är viktig för verksamheten utan den som redan finns bekvämt paketerad i en behållare a.k.a ett ”system”.
Ibland när jag får ”verktyg” för informationsklassning som är obegripligt efterfrågade presenterade för mig kan jag inte låta bli att fnissa till och tänka på min bekant som var kommunal it-chef på 1990-talet.
Hen hävdade att det var en underbar tillvaro där hen sågs som en wizzard som på vilken fråga som helst (i princip) från verksamheten kunde hacka ihop ett it-verktyg för att lösa en uppgift.
”Stöd” sågs helt enkelt som synonymt med någon slags programvara.
Tyvärr tycks denna uppfattning leva kvar bland många i informationssäkerhetsbranschen trots att det ofta är de icke-digitala delarna i en aktivitet som är svåra.
I informationsklassning (se nedan) är den stora frågan exempelvis att göra rätt analyser, inte att hålla reda på genomförda klassningar.
Innehåller verktygen dessutom generiska skyddsåtgärder uppstår en annan problematik: vem tar då egentligen ansvar för att det är korrekta skyddsåtgärder i förhållande till risken?
Efter denna salva känner jag mig förpliktigad att ge exempel på alternativ.
Här kommer därför ett förslag på arbetssätt motsvarande informationssäkerhetens kinderägg.
De tre fördelarna med mitt förslag är att man faktiskt arbetar med information – inte system, att man kan bygga upp en likvärdig säkerhet i likartade verksamheter och att kostnader i form av pengar och tid radikalt skulle kunna minskas samtidigt som får ökad kvalitet/säkerhet.
Med avsikt har jag valt en mycket säkerhetskänslig funktion som även är mycket vanligt förekommande: processen för läkemedelshantering i äldreomsorgen.
För att ge en kort bakgrund så ombesörjs äldreomsorgen med de 290 kommunerna som huvudman.
Kommunerna kan bedriva omsorgen själva eller anlita underleverantörer som privata vårdföretag.
Oavsett vilket så är det kommunen som har ansvar som sjukvårdshuvudman och ska därmed säkerställa att omsorgen bedrivs på ett säkert och likvärdigt sätt oavsett utförare.
En central del i omsorgen av äldre är läkemedelshanteringen.
Äldre som inte får rätt läkemedel i rätt dos vid rätt tidpunkt löper en avsevärd hälsorisk, i värsta fall med döden som utgång.
Omsorgen sker dygnet runt av ett antal medarbetare som vid varje givet tillfälle måste ha korrekt och spårbar information tillgänglig.
Samtidigt berör uppgifterna om läkemedel omsorgstagarens hälsotillstånd vilket gör dem till känsliga personuppgifter som måste omges med ett mycket starkt skydd mot obehörig åtkomst.
Utöver detta finns en särskild risk i läkemedelshanteringen, narkotiska preparat och även andra är mycket stöldbegärliga.
Även detta stärker det utpräglade behovet av spårbarhet där varje händelse kan följas och och kopplas till person som i en lång verifikationskedja.
En generisk processbeskrivning på övergripande nivå skulle kunna se ut så här.
Inga konstigheter i det men man kan gå ett fördjupande steg till utan att beskrivningen skulle tappa särskilt mycket i allmängiltighet med däremot fånga upp vilken information som hanteras, se detta utsnitt ur processen: Processen startar med att en av regionens läkare gör en läkemedelsordination vilket dokumenteras i regionens vårdsystem samt i den nationella läkemedelslistan.
Dessa moment ligger utanför processbeskrivningen ovan som startar med att information om ordination överförs till kommunen som en pappersutskrift vilket startar processen.
Den intresserade kan notera följande: Detta är inte på något sätt unikt för den här processen utan gäller för många andra.
Slutsatsen man kan dra är att om man seriöst så räcker det sannerligen inte med att ”klassa” ett enskilt system utan måste få kontroll över hela informationshanteringen.
Inte heller att enbart titta på digital information utan det är just helheten som måste fångas för att rätt åtgärder ska kunna vidtas.
Även för dataskyddet är detta en självklarhet – man kan liksom inte bara skydda personuppgifter i digital form.
I den ovan beskrivna processen finns t.o.m.
bärare som apodos-påsar som måste omhändertas på ett korrekt sätt.
Det kan tyckas ansträngande att inte bara få ägna sig åt färdigpaketerad information prydligt avgränsad i system men här finns istället stora effektivitetsvinster att göra.
Det går att klassa informationsmängden ”ordination” och så vidare så att det går att använda som en i samtliga kommuner oavsett vilka bärare man för tillfället råkar använda.
Dagens rekommendation från myndigheter och SKR är att 290 kommuner med vissa fall flera förvaltningar som bedriver äldreomsorg ska klassa system i varje förvaltning.
Dessutom måste samma manöver upprepas av de privata vårdgivare som anlitas av kommunerna.
Enligt beräkningar fanns 2019 14900 företag som ägnade sig åt vård och omsorg.
Jag har inte riktigt tid att fördjupa mig i exakt hur många av dessa som bedriver äldreomsorg men för saken skull så utgår jag från att det åtminstone finns 500 privata äldreboenden.
Sammantaget kanske det då behöver göras 850 klassningar av olika vårdgivare.
Låt oss höfta och säga att resursåtgången per klassning är minst 100 timmar inklusive förberedelser och dokumentation (detta är extremt lågt räknat med tanke på att det ofta är ett flertal deltagare på klassningarna) för att klassa ett system som stödjer en liten del av ordinationsprocessen.
Lustigt nog kommer det också att bli samma system som klassas gång på gång med varierande resultat.
Kontentan blir alltså bristande kontroll över informationen och bristande likvärdighet mellan olika äldreomsorgsverksamheter till en sammantagen resursåtgång av 85 000 timmar.
Betänk också att detta bara är en av flera processer bara i äldreomsorgen.
Mitt förslag är att man istället slår ihop sina påsar, tar fram gemensamma normerande klassningar skyddsnivåer.
Skyddsnivåerna måste då tas fram i stor öppenhet där det redovisas hur man ser på olika risker och hur de föreslagna skyddsåtgärderna avses reducera dessa.
Koppling till krav i föreskrifter med mera bör även finnas.
Skyddsnivåerna måste även innefatta skydd av andra bärare än system och molntjänster, t.ex.
fysiskt skydd av papper.
En jätteuppgift är att hålla skyddsnivåerna uppdaterade så att de inte ger förlegade rekommendationer.
Då ska vi komma ihåg att detta ändå skulle kräva en bråkdel av de resurser som skulle gå åt om varje vårdgivare skulle genomföra alla moment själv.
Jag kan mycket väl tänka mig att man i många fall även kan ge förslag på arbetsrutiner.
Vad skull då detta kunna innebära i praktiken?
Naturligtvis skulle ansvaret för säkerheten aldrig kunna delegeras men exempelvis en vårdgivare skulle kunna gå i ett bibliotek av olika verksamhetsprocesser, välja ut den aktuella och få fram en bild av generisk process samt en normerande klassning av typen nedan (fast ifylld): Därefter jämför vårdgivaren med sin egen verksamhet hur väl det presenterade materialet stämmer överens.
Gör det det i stora drag, kanske med litet annorlunda benämningar, så skulle vårdgivaren med detta stöd kunna ta sig ner till nivå att kunna köpa rätt skåp att förvara den enskilde vårdtagarens medicin i. Att krav på digitala lösningar ingår är naturligtvis självklart.
Som en bonus kan även krav på bevarande och gallring läggas in.
Det kan kännas som en överväldigande uppgift att ta itu med men minns då att den redan är överväldigande och idag tynger kärnverksamheten på ett orimligt sätt.
Kan vi åtminstone ta fram normerande klassningar för generiska processer i samhällsviktig verksamhet skulle vi ge möjlighet att höja samhällssäkerheten högst väsentligt och dessutom kunna reducera resursåtgången.
Eftersom myndigheterna med särskilt ansvar för informationssäkerhet förefaller skeptiska till den här typen av stöd finns det utrymme för andra aktörer att träda fram.
Antalet konsulter har tillväxt kanske inte explosionsartat men massivt under de senaste decennierna.
Det skulle föra för långt att ta upp alla bakomliggande orsaker till detta i ett kort blogginlägg.
Jag tänkte istället ägna mig åt litet självspäkning så här i slutet av sommaren och resonera litet om informationssäkerhetskonsulter och vilken eventuellt nytta eller skada vi kan bidra till.
För dessa resonemang har jag inte något specifikt stöd gällande konsulter inom informationssäkerhetsområdet men utgår från forskning angående managementkonsulteri generellt.
Tankarna som presenteras nedan bygger dock främst på mina egna erfarenheter från båda sidor upphandlingsbordet samt av de studier av de palimpsestlika konsultinsatser som man alltför ofta stöter på som konsult.
Det vill säga de ofta flerfaldiga lager av tidigare uppdrag som inte lett till något varaktigt säkerhetsarbete men som lever kvar som bortglömda power points, ibland regelverk som är copy paste ur standarden och som resignation i organisationen: ”vi har ju redan försökt och det gick inte”.
Marknaden för informationssäkerhetskonsulter har som sagt växt.
Många organisationer, både privata och offentliga, ser behov externa specialister för att förbättra sin säkerhet.
Men flera faktorer försvårar redan i upphandlingsskedet.
En sådan faktor är att det är marknad där ”varan” saknar en tydlig definition för vad ska egentligen en sådan konsult ha för bakgrund och kompetens?
När det inte ens finns en tydlig överenskommelse om vad informationssäkerhet ÄR och än mindre krav på enhetliga utbildningar med fastställt innehåll så är förvirring en självklar konsekvens.
Vanligaste förvirringen är sammanblandningen av informations- respektive it-säkerhet där både leverantör och kund ofta har inriktning på teknisk säkerhet snarare än den organisatoriska säkerhet som är grunden för informationssäkerheten.
Leverantör och kund kan med denna bakgrund ha helt olika uppfattningar om vad som ska levereras.
Genomgående har leverantörer ett kunskapsövertag – det är ju de som förväntas sitta på expertisen.
Om kunden inte har gjort ett ordentligt förarbete med analys av vilken typ specialiststöd man egentligen behöver kan leverantören på olika sätt styra vad som faktiskt kommer att levereras.
Detta moment 22, att man har alltid för litet intern kompetens för att kunna beskriva vad som behövs innan man har upphandlat kompetens, gäller inte bara för enskilda organisationer.
Under åren har jag sett ett rätt stort antal gemensamma ramavtal som haft samma brist.
Upphandlingen tycks formad av önskan att hitta en informationssäkerhetens Mary Poppins som bara glider in och fixar till saker utan att besvära organisationen.
Resultatet blir bland annat att rena teknikföretag kan kapa åt sig uppdrag där organisatorisk kompetens är helt nödvändig.
När ingen annan kan beskriva vad en ”informationssäkerhetsspecialist” är och vad som krävs för att arbeta som en sådan är det naturligtvis ett omöjligt krav att ställa att just den upphandlande organisationen ska göra det.
I ett antal upphandlingar och även anställningsförfarande har varit med om att några yrkesgrupper anser sig kompetenta även om de aldrig arbetat med informationssäkerhet, läs militärer och poliser.
Tidigare har jag skrivit om att informationssäkerhet fortfarande i hög grad är en erfarenhetsbaserad kunskap där juniora utövare lär sig av seniora dito.
Men hur ska krav på denna typ av erfarenhet ställas i en upphandling och hur mycket enklare vore det inte med någon typ av examen kompletterad med praktik under x antal år?
Under senare år har det dykt upp krav på att konsulter ska vara certifierade.
Detta menar jag är ett attraktivt villospår.
De certifieringar som ofta refereras till lider dels av att vara utformade främst för amerikanska förhållande, dels ha teknisk inriktning.
Det är inte till mycket hjälp när man ska få till en organisatorisk styrning i en svensk kommun eller myndighet.Själv skulle jag alltid ge företräde till en konsult med akademisk examen i samhällsvetenskapliga ämnen framför någon med aldrig så många certifieringar men utan examen.
Ett trick som ibland har använts när upphandlingarna inte varit tillräckligt tydliga i kraven är att leverantören erbjuder en senior konsult men det sedan i praktiken blir juniora konsulter som får genomföra uppdraget.
Till viss del kan sådana ageranden uppmuntras genom upphandlingens konstruktion och hur man hanterar dilemmat att å ena sidan försöka uppnå en trygg leverans av konsultkraft från leverantören, å andra sidan få tillgång till verkligt kvalificerade konsulter.
Om betoningen läggs på att leverantörens förmåga att leverera kvantitet finns det en risk att konsulter ses som utbytbara.
En annan nackdel är att mindre leverantörer utesluts från möjligheten att lämna anbud.
Med risk att trampa folk på tårna är min erfarenhet att många av de mest kvalificerade konsulterna inom informationssäkerhetsområdet väljer att starta eget eller att arbeta i mindre bolag så att satsa på kvantitet i upphandlingen kan leda till att man kanske missar kvalitet.
Sedan är den upphandlingstekniska utformningen som ska formulera vad kunden prioriterar.
Ska man göra en bred utannonsering eller räcker det med att vända sig till några få leverantörer?
Är det priset, kvaliteten eller tiden som är viktigast?
För offentliga organisationer finns också omfattande regelverk som LOU att följa när det gäller den här typen av frågor.
Ett mer grundläggande problem är hur man egentligen ska prissätta konsulttjänster.
Fortfarande är den vanliga linjen att man använder timpris vilket är förståeligt men ofta vilseledande.
För en duktig konsult kan naturligtvis leverera mycket mer kvalitet på kortare tid än en mer orutinerad.
Ur kundens synvinkel får man alltså mer kvalitet till lägre pris om man väljer en dyrare konsult (under förutsättning att den dyrare konsulten verkligen är bättre).
Det rimliga vore att sätta priset utifrån nyttan som levereras till kunden oavsett hur lång tid det tar att utföra uppdraget.
Nu är det ofta så att upphandlingar görs av ett visst antal timmar vilket om det kombineras med alltför stor betoning av timpriset leder till att kunden får en sämre konsult till ett högre sammanlagt pris.
Jag menar också att det fordras en ansenlig mängd icke-fakturerbar tid för att utveckla sin kompetens och hålla sig uppdaterad vilket påverkar det som blir timpris ut.
För en medveten kund bör detta vara en aspekt värd att noggrant analysera innan upphandlingsunderlag skickas ut.
Kunder väljer ofta att upphandla x antal timmar eller ett fastprisuppdrag för att få kontroll och inte en löpande räkning utan slut.
Själv brukar jag istället föreslå att kunden köper en timbank med fritt avrop.
Då ligger makten hos kunden som inte behöver avropa fler timmar än man faktiskt använder och dessutom, om man inte trivs med konsulten, kan kunden på ett smidigt sätt avsluta relationen.
Eftersom det ofta är svårt att avgöra hur omfattande uppdraget blir innan man börjar med en mer konkret planering så ger detta kunden en flexibilitet som på ett avgörande sätt kan minska kostnaderna för uppdraget.
Jag tycker också det är rimligt att leverantören tar risken i affären eftersom man har kunskapsövertaget och möjligheten att påverka uppdragets utförande.
Det handlar ju också om att ställa krav som går att utvärdera på ett bra sätt vilket ju är något enklare för tekniska prylar än då man ska köpa mänsklig kompetens.
Kompetensen är som sagt svår att beskriva vilket leder till att den är även är svår att kontrollera.
Med beaktande att kunden ofta inte har möjlighet att göra en riktigt rättvis bedömning så tycker jag ändå att det finns vissa krav som kan leda till en bättre uppfattning om vad leverantörens erbjudande innebär.
Exempelvis skulle jag numera som kund ställa krav på exakt vilka konsulter som är aktuella i anbudet samt efterfråga skriftprov och andra underlag som just dessa konsulter skrivit.
Vid referenstagning skulle jag försöka tala med andra än den eller de som konsulten arbetar närmast hos en tidigare uppdragsgivare eftersom jag upplever att det är rätt vanligt att det finns en aningen symbiotisk relation mellan exempelvis informationssäkerhetsansvarig hos kunden och konsulten.
Kunden bör också få möjlighet att träffa den tilltänkta konsulten för att skaffa sig en bättre bild av personen och det intryck den ger.
Särskilt vikt bör i samtalet läggas vid vilken faktiskt erfarenhet av och förståelse för kundens verksamhet som konsulten har.
Utan denna förförståelse kommer kunden att få betala för leverantörens kompetenshöjning då konsulten måste sätta sig in i förutsättningarna för kundens organisation.
Men inte ens dessa varianter på krav garanterar på något sätt att man hittar ”rätt” konsult.
Inte bara kunden behöver göra analyser av chansen/risken för att uppdraget avlöper framgångsrikt.
Även leverantören har all anledning att försöka klargöra hur redo kundens organisation är för genomförandet av det aktuella uppdraget.
Inte så sällan tackar jag nej till uppdrag.
Det kan handla om att kunden har satt en alldeles för snäv tidsram för att de organisatoriska åtgärderna ska hinna tas fram, processas, beslutas och genomföras eller att jag inte uppfattar att ledningen verkligen är beredd på vad som kommer att vara nödvändiga förutsättningar.
Om ett avtal sluts uppstår omedelbart ett antal nya frågeställningar.
En del av dem uppkommer genom att leverantören och kunden inte har riktigt samma intressen.
Många leverantörer är starkt inriktade på att genomföra uppdrag på sitt sätt, inte minst därför att det lönar sig bättre att ”ta från hyllan” än att utveckla saker tillsammans med kunden (såvida man inte har uppdrag på löpande räkning).
Att vara alltför lyhörd och explorativ kan äventyra vinsten i ett fastprisuppdrag med definierad leverans men även uppdrag med begränsat antal timmar.
Juniora konsulter är också av naturliga skäl rädda att släppa sargen och överge mallar som tagits fram av arbetsgivaren.
För en konsult är det också en svår balansgång mellan att göra för mycket alternativt för litet.
Det är ofta svårt frestande att ta över alltmer avt, alldeles särskilt om förväntan finns på att man ska vara Mary Poppinslikt allfixande.
Det är praktiskt för konsulten eftersom man då kan genomföra arbetet på sitt sätt vilket gör att man har kontroll och det på ett sätt går snabbare.
För kunden kan det dock bli en nackdel om konsulten blir alltför dominerande eftersom man då riskerar få en leverans som inte är avpassad för verksamheten och att behovet av att bygga upp egen kompetens försummas.
Om detta finns mycket mer att skriva men eftersom det är sommar och sol får det vänta till ett senare tillfälle.
Jag tror att vi måste bli mycket mer öppna om att det är svårt både att vara kund och att vara leverantör när det kommer till att upphandla konsulttjänster.
En förbättrad dialog i de enskilda uppdragen där konsulten är följsam och öppen inför hur kunden uppfattar leveransen höjer kvaliteten inte bara i uppdraget utan kan bidra till en långsiktig utveckling av branschen.
Ja, det verkar självklart men vid ett stort antal tillfällen har jag träffat på kunder som varit missnöjda med tidigare konsult men inte tyckt sig kunna nå fram utan istället valt att så snabbt som möjligt avsluta uppdraget.
Vi måste också ha diskussioner generellt om hur man får till en bra upphandling där kund och leverantör har samförstånd om vad och hur uppdraget ska levereras och med vilken kompetens.
Kanske kan informella men allmänt accepterade paketeringar av olika typer uppdrag tas fram.
Detta försvåras dock av att det inte finns någon sammanhållande branschorganisation.
En flink människa skulle ju också kunna ta fram en ratingsida där olika konsultinsatser betygssätt ungefär som ett restaurangbesök – det vore nog smärtsamt men nyttigt för många av oss.
1910 blev Karlstads lasarett det andra i Sverige som blev s.k.
delat lasarett (efter Falun).
Att ett lasarett blev delat betydde att det fanns både en medicinsk och en kirurgisk verksamhet.
I korthet var detta första steget på den snabba utveckling pådriven av en framgångsrik forskning där ögon, öron, ortopedi, röntgen, BB, barn, gynekologi o.s.v, o.s.v.
, blev egna specialiteter och subspecialiteter i ett allt finmaskigare nät.
Till detta kommer allmänmedicin och annan öppenvårdsverksamhet för att inte glömma psykiatrin i olika former.
Alla dessa med tiden hundratals olika kompetensområden måste organiseras i avdelningar, kliniker, mottagningar m.m.
för att få bästa möjliga vård för patienten till en för samhället rimlig kostnad.
Det räcker dock inte med att organisera vårdens olika verksamhet i förhållande till varandra utan vården måste styckevis och delt även passas in i samhällets generella styrning som i sin tur består av förvaltning respektive den politiska styrningen.
För Sveriges del har det i huvudsak inneburit inpassning i kommun, landsting/region och stat eftersom vården varit offentligt finansierad (även detta i huvudsak) sedan lång tid tillbaka.
Historiskt har vårdverksamheten i delar vandrat mellan huvudmännen.
Att allmänmedicin och psykiatri var ett statligt ansvar fram till 1960-talet och äldrevård en landstingsangelägenhet fram till ÄDEL-reformen då den överfördes till primärkommunerna är bara två exempel.
Vad jag vill säga med denna skamligt korta sammanfattning är att sjukvård är EXTREMT svårt att styra med en fullständigt oöverblickbar komplexitet i tre dimensioner: den interna styrningen av vårdarbetet och förvaltningsstyrningen samt den politiska styrningen.
Fram till 1970-talet var inriktningen för att hantera denna komplexitet bland annat att försöka skapa mer enhetliga huvudmannaskap vilket var en av orsakerna till att exempelvis allmänmedicin och psykiatri överfördes till landstingen från staten.
Denna trend avlöstes av den glada NPM-eran när styrningen av offentlig verksamhet fragmentiserades bland annat för att underlätta för privata alternativ.
Det var då äldreomsorgen och den social omsorgen fördes till den kommunala sektorn vilket bland annat har lett till bollandet av gamla multisjuka mellan två huvudmän – något vi sett de avskräckande konsekvenserna av nu efter covid-19.
Det är ett ganska väl beforskat hur organisatorisk komplexitet leder till det som slarvigt brukar kallas byråkrati men som jag hellre skulle benämna administration som inte är direkt kopplad till kärnverksamhetens uppgifter.
Ju större antal aktörer som ska förmås att röra sig i samma riktning eller åtminstone samspela, desto fler samordnade aktiviteter krävs för att hålla ihop helheten.
Det blir strategier, policies, planer, möten, kontroller och rapporteringar i olika riktningar.
Genom privatiseringen av offentlig verksamhet har dessutom ytterligare behov av upphandlingar, kravställningar, regelverk, beställningar och uppföljningar tillkommit.
Detta skapar kohorter av nya typer av administratörer, alltså inte den gamla typen som skötte budget, bokföring och löneutbetalningar.
Istället har kvalitetsutvecklare, upphandlingsspecialister, digitaliseringsstrateger, e-hälsosamordnare och (visst, jag kackar i eget bo) informationssäkerhetsansvariga tillkommit.
Och så naturligtvis kommunikatörer, kommunikatörer och åter kommunikatörer.
Utan jämförelser i övrigt kommer jag osökt att tänka på den här gamla klassiska bilden där jag föreställer mig vårdpersonalen dignar under hela lasset av administration upp till sjukvårdspolitiker och vårdbolagschefer.
Det är med detta i bakhuvudet jag läser i DN som drar en lans för förstatligande av sjukvården.
För mig framstår det som ett relevant förslag.
1962 gav de flesta landsting ut historiker över sina första hundra år.
Dessa historiker rymmer en fascinerande motsättning mellan beständighet och föränderlighet.
Landstingen hade funnits i respektingivande hundra år men vad ett landsting var och skulle syssla med hade ständigt förändrats under dessa är.
Vad detta lär oss är att hur samhällets basala funktioner ska organiseras ständigt måste omprövas för att institutionerna ska vara ändamålsenliga och anpassade till rådande behov.
Historiskt har detta skett kontinuerligt som jag snabbskissat ovan och det finns ingen anledning att tro att just den organisation av sjukvården har idag är den enda möjliga oavsett vad som händer i samhället i övrigt.
Själv hyser jag inte någon ohejdad tilltro till att ett förstatligande av sjukvården skulle lösa alla eller ens merparten av problem som vården har att leva med men i all enkelhet skulle åtminstone ett lager i pyramiden försvinna.
Förhoppningsvis skulle grundläggande mål som likvärdig vård vara enklare att uppnå.
En annan effekt är att den samordnade byråkratin internt mellan de idag 21 regioner skulle kunna plockas bort (även om den säkert delvis skulle komma tillbaka i en annan form).
Att inte bara DN utan även andra med viss energi börjar ifrågasätta regionernas roll väcker oro i regionsleden, inte minst hos särintressets främsta företrädare SKR vars ordförande Anders Knape som skrev ett kanske aningen sentimentalt på DN:s ledare.
Han, liksom regionala företrädare, lobbar ivrigt för att regionernas USP är den politiska styrningen av regionerna som hypotetiskt skulle göra sjukvården regionalt anpassad och därmed ”bättre”.
Med viss bombasm skriver Knape: den lokala och regionala nivåns omkring 40.000 förtroendevalda utifrån kunskap om invånarna lokalt och regionalt.
Deras kraft är oslagbar.
För den som något fördjupat sig i landstingens/regionernas historia väcker denna beskrivning antagligen skuggan av ett leende.
Inga sjukvårdsstrider har varit så infekterade som de enskilda landsting där sedan åtminstone 1920-talet omfattande manifestationer skett för att sjukstugor skulle placeras i ”rätt” samhälle eller rörande nedläggningar av sjukhus.
Knapes uttalande pekar snarare på en klassisk problemställning inom svensk sjukvård: den potentiella motsättningen mellan regional särart å ena sidan och likvärdighet nationellt å andra.
För mig framstår denna argumentationslinje också som alltmer paradoxal då SKR själva så intensivt försöker samla nationell styrning hos sig själva.
Som jag tidigare skrivit om har alltfler frågor börjat samordnas via SKR och därmed flyttats från den regionala nivån till en nationell.
Om SKR starkaste argument mot ett förstatligande är det demokratiska värde som finns i den regionala politiska styrningen verkar det ju vara att såga av sin egen viktigaste sittgren om makten förs från dessa demokratiska församlingar in i det mörker som föreningen SKR utgör.
Själv skulle jag alla dagar i veckan föredra en normal svensk myndighet framför SKR som nationellt samordnande.
Ibland dristar jag mig till och med till att tycka att det kanske är en demokratisk fördel om sjukvården lyfts bort från bypolitiken.
Knape har förstås en poäng när han lyfter fram mindre lyckade statliga experiment och då även inom digitaliseringsområdet.
Tyvärr måste jag dock säga att det är en boll som är svår att inte smasha tillbaka för den som strävar mot förstatligande av sjukvården.
INGEN fråga har engagerat SKR så mycket som digitalisering som lösning på all och jag misstänker att man har en gemensam morgonbön i SKR-palatset som går ungefär så här: Digitalisering, låt ditt namn bli helgat Låt ditt rike komma.
Ge oss i dag vårt dagliga bröd .
Och glöm våra misslyckade projekt, så som vi glömmer dem själva.
Och för oss inte in i verkligheten, utan fräls oss från ansvar.
Förlåt, det är semester… Min poäng är att trots den närmast religiösa inställning som SKR har till digitalisering i teorin så ser i praktiken digitaliseringen av den svenska sjukvården som ett härke trots de enorma resurser som tillförts.
Jag sitter mycket tungt på mina händer för att inte skriva något om den totala frånvaron av samordning av informationssäkerhet och det provocerande ointresset för integritetsfrågor där SKR knappast agerat som insiktsfull vägledare för sina medlemmar.
Om verkligheten ska användas som betygssättare för regionernas och SKR:s förmåga att skapa en nationellt sammanhållande och långsiktigt fungerande vård så ser det rätt illa ut för Knapes linje.
För att komma vidare vore det önskvärt med en hederlig gammaldags utredning som inte helt styrdes av särintressen inom vården.
Personligen lutar jag svagt åt att behovet av nationell samordning av sjukvården bäst hanteras genom ett förstatligande åtminstone av delar av vården.
Det kommer visserligen att skapa nya gränslinjer – hur ska exempelvis äldreomsorgen hanteras med större medicinsk kompetens – men jag tror verkligen det är dags att ompröva dagens situation.
Lämnade idag följande remissvar angående arkivutredningen.
Arkivutredningen fick i uppdrag att göra en bred översyn av arkivområdet i Sverige.
Jag menar att utredningen inte lyckats formulera de strategiska frågor som är av verklig betydelse för att arkivväsendet ska kunna uppfylla sin viktiga samhällsfunktion, än mindre kommit med lösningar på dessa frågor.
Istället har man fastnat i detaljer och frågor av mindre betydelse.
Genomgående har det som kan sammanfattas som ”kulturarvsperspektivet” få styra utredningens inriktning och prioriteringar.
Det gör att de mycket komplexa frågor som samhällets informationshantering brottas med i huvudsak lämnas utan behandling.
Några av de frågor som jag menar är av essentiella för att information av vikt ska kunna säkras för framtiden och som utredningen utelämnar i sin rapport är följande.
Det finns i idag ingen plan för hur all den information som skapas idag ska bevaras med kvalitet, säkerhet och autenticitet för framtiden.
Detta är kärnan i all arkivverksamhet.
När vi nu har en exponentiell tillväxt av information saknas organisatoriska, metodmässiga och tekniska lösningar för det långsiktiga bevarandet.
Likaså saknas aktuell vägledning för hur gallring ska kunna genomföras i de enorma informationsmängder som skapas.
De senast tillkomna generella vägledningar rörande gallring togs fram av Riksarkivet under senare hälften av 1990-talet, d.v.s.
för snart ett kvarts sekel sedan.
Istället för varaktiga lösningar har spridda experiment med så kallade e-arkiv skett i olika regi som exempelvis Statens servicecenters upprepade misslyckande med en e-arkivtjänst.
Dessa lösningar är dock bara mellanarkiv – hur det slutgiltiga omhändertagandet av den digitala informationen är fortfarande höljt i dunkel.
Denna fråga borde ha varit centrum i utredning som har till uppdrag att göra en översyn av arkivverksamheten.
Ända fram till 1990-talet föreföll det fortfarande relevant att utgå från att varje myndighet kan ha i uppdrag att kontrollera den information man själv upprättar samt den information som inkommer till myndigheten.
Detta är idag ett betraktelsesätt som ligger långt ifrån den verklighet som snarare består av en snabbt sammanväxande nationell (och delvis internationell) informationsinfrastruktur.
Offentliga och privata aktörer ingår i processer information utbyts, förädlas, aggregeras och ackumuleras i snabb takt.
Svåra frågor som hur information ska kunna reproduceras från olika källor på ett säkert sätt över tid berörs inte av utredningen.
Inte heller hur ansvarsfördelningen i denna gemensamma infrastruktur ska fördelas röner intresse hos utredningen.
Vad som ska utgöra allmänna handlingar i den enskilda myndighetens arkiv liksom vem som ska ses som arkivbildare i denna helhet finns det idag inga officiella verktyg för att avgöra.
Även detta hade varit en central fråga att peka på för utredningen.
Arkivlagen gör en sammankoppling mellan allmänna handlingar och arkiv: Tyvärr gör denna sammankoppling att då en allt mindre andel av en myndighets handlingar ses som allmänna handlingar, vilket är negativt i sig, kommer även andelen information som ska bedömas ur arkivperspektivet att minska.
Vad denna utveckling innebär för framtidens möjlighet för bland annat forskning tas inte upp utredningen.
Ej heller hur detta påverkar den svenska demokratin där en mer extensiv tillämpning av vad som ska utgöra allmänna handlingar skulle kunna förbättra insyn och delaktighet.
Av särskilt intresse är de verksamheter som tidigare varit offentliga men som privatiserats och där det inte längre finns allmänna handlingar som ger insyn eller möjlighet till forskning.
Här finns privata företag men även intresseorganisationer som SKR som med offentliga medel skapar information med stor betydelse för samhället men som samhället saknar kontroll över.
I informationssamhället är av naturliga skäl information den viktigaste resursen.
Den information som skapas av myndigheter inklusive kommuner och regioner är därför begärlig inte bara inom myndighetssfären och inte bara för forskning utan även för nationella och internationella företag.
Detta har uppmärksammats vad gäller personuppgifter och alldeles särskilt för personuppgifter inom hälso- och sjukvård som är det nya guldet för många multinationella företag.
Hur svenska myndigheter ska förhålla sig till detta utan att t.ex.
äventyra personlig integritet eller riskera att snedvrida verksamheten för att producera information kommenteras inte av utredningen.
Lika litet berörs hur arkivväsendet ska förhålla sig till långsiktigt enormt värdefulla vårdsystemen och hur de ska bevaras för framtiden.
Riksarkivet har uttryckt att de anser att myndigheten ska får peka ut ”samhällsviktig” information oavsett arkivbildare.
Jag menar att det snarare behövs en analys av informationens betydelse som samhällsresurs för att först därefter kan bli möjlighet att besluta om hur prioritering och omhändertagande ska ske.
Utredningen uppmärksammar inte den nära relation arkivområdet har till områden som informationssäkerhet och dataskydd samt generell informationshantering.
Möjligen har det dominerande kulturarvsperspektivet gjort utredningen blind för de aktuella utmaningar som kräver samverkan mellan dessa områden.
Ett förslag är att snarast ta fram en strategi för svensk arkivverksamhet som behandlar ovanstående frågor.
Strategin bör bygga på en utredning som förutsättningslöst går igenom: möjligheter för att långsiktigt kunna bevara och tillhandahålla för samhället relevant information i autentisk form.
I detta ligger även att analysera intressenter och på vilket sätt de ska få tillgång till information alternativt påverka vilken information som ska tas fram/bevaras.
Utan närmare analys går att säga att hela andra resurser än nuvarande kommer att behövas för att ta hand om informationen.
Hur en hållbar finansiering på tillräcklig nivå ska ske är även det en fråga som bör utredas innan en strategi tas fram.
Fia Ewald En gång arkivarie, alltid arkivarie Jag kommer nu att ikläda mig rollen av glädjedödare i dessa ändå så svåra tider – jag ber om ursäkt för det.
Under de senaste veckorna i coronans tid så blommar olika personligheter och mänskliga beteenden för att hantera kriser ut.
I denna vilda blandning av känslor och rationalitet är det inte lätt att urskilja vad som är vad.
Jag tänker nu oftare än vanligt på hur viktigt individens men också organisationens sätt att agera varit i de mer kritiska situationer jag varit inblandad i och vem jag skulle vilja ha vid min sida i en verkligt akut situation.
Att inte låta känslorna styra i en krissituation kan nog alla hålla med om i teorin.
Vi vet att stress försämrar vår tankeförmåga och att det därför i krissituationer är lätt att tillgripa helt fel lösningar eller missa uppenbara svagheter i handlingsalternativen.
Likaså är historien rik på exempel där boten varit värre än soten, d.v.s.
att de åtgärder man vidtagit för att hantera ett akut problem på kort eller lång sikt lett till värre konsekvenser än det ursprungliga problemet kunnat orsaka.
En illustration på detta är agapaddan som trettiotalet importerades till Australien från Hawaii som ett slags biologiskt bekämpningsmedel av en skalbagge som hotade sockerbetsodlingar.
Nu finns det över 100 miljoner av den giftiga paddan som hotar djur- och växtlivet på hela kontinenten.
Detta försvåras av att de sekundära problemen kanske uppstår inom ett helt annat område än där den ursprungliga krisen rör sig.
De som arbetar med krishanteringen kan därmed inte överblicka de möjliga sekundära konsekvenserna eftersom man kanske inte ens har rätt kompetens för att upptäcka dem.
Jag ska inte här gå in på det utslitna filosofiska järnvägsproblemet där olika liv ställs mot varandra utan nöjer mig med att säga att ALLA mår bra av att läsa filosofi och dessutom tänka några extra varv.
När vi blir utsatta för en pressande situation får många individer och organisationer ett starkt behov av att agera.
Att agera är ångestdämpande i sig för det ger känslan av att påverka hotet oavsett effekten av åtgärderna.
Just här menar jag att det just nu finns ett riskabel situation när både individer och myndigheter i positiv anda försöker bekämpa coronan eftersom man i vissa fall tycks släppa sitt ordinarie säkerhetstänkande (vilket väl i ärlighetens namn inte är på toppnivå ens i normalläget).
Samma sak med integritet och skyddet av personuppgifter.
De nya och provisoriska arbetssätten leder till nya risker som måste fångas upp och reduceras.
Anekdoter om hur man helt plötsligt fått oväntat besök i sitt Teams- eller Zoom-möte florerar utan att det observeras som ett säkerhetsproblem.
Okritiska reportage om hur kreativa elever fått skolor att börja använda (!)
i skolans uppgifter.
Entreprenörer som flashar om att de håller på att utveckla appar för smittspårning.
Säkerhet och integritet nämns ytterst sällan och då bara i formuleringar som ”liv går före allt” vilket implicit tycks betyda ”vi struntar i informationssäkerhet och integritet”.
Extra betänksam blir jag av att många tycks inspirerade av Kinas övervakningsmetoder och i denna uppskruvade anda inte tycks se vad de kostar.
När det i fredags kom ett kort meddelande på Ekot att MSB håller på att ta fram någon form av app för smittspårning åt FHM men inte vill kommentera hur den ska utformas undrar jag hur genomtänkt den lösningen egentligen är (särskilt ironiskt med tanke på att MSB varit en bastion spårbarhet som säkerhetsdimension).
Eller är detta myndigheter som drabbats av ett akut behov av att se verksamma ut och därför är beredda att hoppa över säkerhetsskacklarna?
Det är svårt att se hur en sådan lösning skulle kunna tas fram med tillräcklig legal och säkerhetsmässig analys på så kort tid.
När jag pratar om vikten av säkerhet avser jag inte enbart konfidentialitet.
Om man ska skapa olika rapporteringstjänster måste även behovet av riktighet, spårbarhet och tillgänglighet bedömas – annars riskerar man faktiskt att få lösningar där boten är värre än soten.
En lösning för akut rapportering som bygger på sms (förekommer faktiskt) leder till falsk trygghet och att nödvändiga åtgärder kanske inte sätts in för att ta ett enkelt exempel.
Det är just i krissituationer som det systematiskat prövas.
Det är nu som informationsklassningar och riskanalyser har som störst betydelse för att medvetna risker ska kunna tas av den som är riskägare.
Jag vill inte att all kreativitet och god vilja ska kväsas men vi måste arbeta på ett sätt som inte leder till större skador på sikt.
Även om det är kontraintuitivt så måste medvetna bedömningar göras av risker och lagstiftning respekteras.
Appar som används för rapportering av symptom för diagnos är exempelvis medicinsk-teknisk utrustning och måste uppfylla kraven på sådan.
Vi kan inte ge oss hän åt våra känslor utan måste låta systematiken ge oss tillgång till rationaliteten.
Extra illa om en myndighet som MSB signalerar att säkerhet skulle vara av underordnad betydelse i krislägen.
Det är nu vi som mest behöver vårt förnuft och då är det inte alltid bäst att göra ”något” utan vi måste göra så rätt som möjligt.
Det har varit ett bra år för mig på många sätt.
Företaget går bra och därför har jag donerat pengar till 15 av UNHCR:s samt 15 000 kronor till .
Jag har även lyckats hålla min miljöpolicy och inte genomfört några tjänsteresor med flyg i år heller.
Här kommer ytterligare ett försök att förbättra samhället en aning – en ny utlottning av böcker.
Denna gång deltar den som gillar min på Facebook i utlottningen av 3 ex av Shoshana Zuboffs helt epokgörande bok om övervakningskapitalismen.
Skicka ett direktmeddelande före den 10 januari om att du vill vara med i utlottning – det tolkar jag som att du gått med på min hantering av dina personuppgifter.
Hoppas ingen misstycker till att jag skickar ett ex utom tävlan till Daniel Forslund, den kanske mest centrala makthavaren då det gäller utlämnandet av patientuppgifter till aktörer utanför sjukvården.
Kanske har han missat perspektivet ”övervakningskapitalism” trots att ordet övervakningsekonomi finns med i 2019 års – detta vill jag naturligtvis gärna bidra till att avhjälpa!
Ett obligatoriskt men till intet förpliktigande uttryck sedan länge är ”transparens”, ibland så flitigt använt att man riskerar att glömma bort hur viktigt det faktiskt är med öppenhet.
Öppenheten är central för samhällsklimatet och delaktigheten men också för att kunna tillvarata den samlade kompetensen.
I Sverige har vi varit gynnade av den unika institution som offentlighetsprincipen utgjort sedan 1700-talet och som visserligen på många sätt hotas men som fortfarande är ett omhuldat ideal.
Att få insyn i och i förlängningen möjlighet att påverka de stora samhällsfrågorna är det stora värdet med öppenhet för de offentliga verksamheter där offentlighetsprincipen ska tillämpas.
Öppenhet är av samma skäl obekvämt för makthavare, det är liksom bekvämare om man får arbeta ostört och göra som man vill.
Misstag behöver heller inte upptäckas och att slippa stå till svars för det ena och det andra är naturligtvis behagligt.
Sjukvård rankas som den viktigaste frågan av väljarna.
I Sverige är sjukvården offentligt finansierad.
Dessa två premisser sammantaget ger att ett stort mått av öppenhet i hanteringen av sjukvårdsfrågor borde vara en självklarhet.
Tyvärr är inte så fallet när det gäller e-hälsa.
Även för en som tämligen noggrant följt utvecklingen inom området i 25 år är det mycket svårt att få en överblick ens över hur området styrs.
Då menar jag i form institutioner och presenterade inriktningar som rör sig på en konkret nivå.
Under de senaste tio åren har jag sett en rörelse där allt större inflyttande över e-hälsan flyttats över från staten och regionerna till SKL.
Jag har tidigare skrivit om Inera som ändå fattat beslut om att följa offentlighetsprincipen trots att man inte är skyldig att göra det.
Värre är det med SKL som är en arbetsgivarorganisation för regioner och kommuner.
Trots den litet udda konstruktionen att man som intresseorganisation tillskjuts mycket stora offentliga medel från staten och man styrs av folkvalda politiker så har inte kravet på öppenhet följt med.
Bristen på insyn blir mycket påtaglig när man ser på den för digitalisering som tillsattes efter valet och består av politiker från regioner och kommuner.
Det är alltså ett indirekt valt politiskt organ.
Uppdraget är stort och spännande för den som är intresserad av e-hälsa: Beredningen hanterar strategiska frågor om grundläggande gemensamma förutsätt­ning­ar för digital utveckling, exempelvis fråge­ställ­ningar kopplat till effektivisering genom digitalisering, automation och artificiell intelligens (AI), inno­vations- och förändringsledning, data som strategisk resurs, säker informations­hante­ring och nationell digital infrastruktur.
Vidare ska beredningen hantera rättsliga för­utsättningar för en digital samverkande förvaltning.
I uppdraget ingår också att följa SKL-koncernens samverkan för att gemensamt stötta med­lem­marna i deras verk­sam­hetsutveckling med stöd av digitalisering.
Inte minst blir man ju sugen på att läsa mer om hur beredningen ska hantera de rättsliga förutsättningar efter SKL kanske inte helt klargörande angående molntjänster häromveckan där man inte ens nämner eSams rättsliga uttalande där man avråder från att använda molntjänster.
Detta trots att SKL själva uppger följande i sin rapport: Undersökningen från Radar visar att cirka 50 procent av kommunerna använder Microsoft Office 365 (MS O365) och att 100 procent av de större kommunerna använder denna tjänst.
Hur som helst blev jag intresserad av att ta del av beredningen för digitalisering har för arbete på gång, vilka frågor man ventilerade och vilka insatser som planerades.
Detta visade sig vara en stängd dörr för när jag skickade dessa frågor till SKL:s presstjänst (de har ju inget diarium): Jag skulle vilja veta: – vilka handlingar som finns relaterade till Beredningen för digitalisering – vilka av dessa handlingar som jag kan få ta del av fick jag följande, kanske väntade svar: Tack för att du kontaktar oss.
SKL är en intresse- och arbetsgivarorganisation och omfattas inte av skyldigheten att lämna ut allmänna handlingar enligt offentlighetsprincipen.
Vi kan därmed inte hjälpa dig med din förfrågan.
Du kan läsa mer om SKL och vår organisation på .
Jag gjorde ett par försökt med kommuner och regioner, varav ett par med representanter i beredningen, om de fått in några handlingar men helt utan resultat.
Ofrivilligt parafraserar jag Tom Waits gamla låt i huvudet och får en öronmask: what are they building in there?
Men det är inte bara att man faktiskt inte lämnar ut handlingar som är utestängande.
När jag läser programmet till den med underrubriken En dag.
Oändliga möjligheter.
känner jag en lätt yrsel.
Där kommer de usual suspects att prata om ungefär samma saker som vanligt på de otaliga konferenser som går av stapeln (även om jag känner ett visst intresse för den handlingsplan för 2020-2022 som ska diskuteras) medan många av oss andra känner en mycket stor oro för de många alarmerande händelser som tydligt visar att kostnaderna skenar för för e-hälsan och att nya mycket allvarliga säkerhetsbrister hela tiden avslöjas.
Nu senast var det av ett nytt vårdinformationssystem där det avslöjas att det finns stora risker för både patientsäkerhet och integritet: I rapporten pekas på att rutinerna för riskanalys i arbetet med Skånes digitala vårdsystem, SDV, är för dåliga – informationsklassificeringen görs för sent och avklarade riskanalyser sammanställs inte centralt så att de kan följas upp.
Riskanalysverktyget anses dessutom vara svårt att hantera.
Organisationskulturen i sig finns också med bland de identifierade bristerna.
Det finns helt enkelt ingen kommunicerad agenda för informationssäkerhet med verktyg för att rapportera brister i arbetet med den nya vårdinformationsplattformen.
Det gör att brister riskerar att förbises och att ”medarbetare genom uppgivenhet både upplever och bidrar till en tystnadskultur”.
I sin tur leder det till att oro ventileras i korridorerna vilket leder till ytterligare risker.
Naturligtvis fick jag inte ut någon rapport från Region Skåne när jag efterfrågade den utan ett listigt svar att någon sådan rapport inte fanns diarieförd.
Min fråga: Jag undrar då om en sådan rapport inte finns utan att CS blivit vilseförda eller om den finns men man valt eller missat att diarieföra den?
besvarades med att den sannolikt var ett internt arbetsmaterial.
Det mest deprimerande i detta är att upprepningstvånget.
Trots att svenska sjukvården gång på gång råkar ut för stora säkerhetsproblem, trots ett antal liknande projekt i bland annat och med miljardinvesteringar inte fungerar på ett säkert sätt så är det som denna information inte tränger i genom väggarna på den svenska e-hälsans fort.
Att dessa fullkomligt vitala frågor inte tas upp på en konferens om framtidens e-hälsa gör att verkar som vi lever i två olika världar: verkligheten respektive e-hälsans utopia.
Detta är inte en bra grund för ett mycket komplicerat samhällsutvecklingsarbete!
Den tystnadskultur som den interna rapporten som CS tagit del av pekar på en mycket central risk, nämligen tystnadskulturen som gör det omöjligt att föra fram risker eftersom man då avfärdas som negativ.
För den som arbetar med säkerhet och vet hur betydelsefull en positiv säkerhetskultur är för ett fungerande säkerhetsarbete förstår på djupet hur destruktivt det här förhållningssättet är.
Tyvärr praktiseras samma förhållningssätt även på nationell nivå t.ex.
konferensprogram av typen Nationella e-hälsodagen och när en företrädare för SKL på en konferens säger att ”det är mycket enklare att vara emot”, underförstått att resa rationella frågor uppfattas som fientligt.
Jag kan möjligen förstå att SKL som lobbyorganisation jobbar med ensidiga marknadsföringsknep även om jag som skattebetalare inte skulle vilja se pengar som så väl behövs i vården gå till detta.
Däremot tycker jag att myndigheterna borde nyktra till och kunna föra en diskussion där även nyanser är tillåtna.
Jag tror alla kan stå ut med litet av den dåliga stämning som uppstår när folk visar sig ha olika åsikter.
För säkerheten i framtidens e-hälsa är det nödvändigt att kunna prata om risker och reducera dem innan de lett till ett nytt och ett nytt och ett nytt haveri.

demokratiaspekter genom insyn och transparens forskningens tillgång till information på lång och kort sikt förtags behov av råvara till olika typer av tjänster inklusive AI Toppledarforum E-nämnden (Nämnden för elektronisk förvaltning) 24-timmarsmyndigheten Verva E-delegationen E-legitimationsnämnden Digitaliseringskommissionen Digitaliseringsrådet DIGG Merparten av informationsmängderna är även de att betrakta som tämligen generiska Merparten av informationen hanteras i pappersform, detta särskilt i kritiska aktiviteter i processen En stor del av informationen finns på flera bärare samtidigt I hela processen är spårbarheten är essentiell för patientsäkerheten juridiska, organisatoriska arkivteoretiska, tekniska

inte inte behov kan, ha kontroll över sin information normerande klassning och Folkviljan utövas genom inom mot

Meny Digitalisering Inläggsnavigering

Den långsiktiga hanteringen av information Den nya informationsinfrastrukturen Den krympande andelen allmänna handlingar Information som samhällsresurs Bristande relation till näraliggande områden En strategi för den svenska arkivverksamheten

MENU MENU Postat av Postad i , , , Tagged , , Postat av miljoner Postad i , , , , Tagged , , , , Postat av Postad i , Tagged , , , , Postat av Postad i , , , , Tagged , , , , , , , , , Postat av Postad i , , Tagged , , , Postat av Postad i , , , , , Tagged , , , , , , Postat av Postad i , , Tagged , , , Postat av Postad i , , , , Tagged , , , , Postat av Postad i Postat av Hej!
Postad i , , , Tagged , , , , ← Sök efter:

Tack Calle Lilius för bilderna!
En myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap.
12 § tryckfrihetsförordningen och som myndigheten beslutar ska tas om hand för arkivering.

Tre rapporter rörande obligatorisk incidentrapportering har kommit sedan årsskiftet: två från MSB och en från IMY (Integritetsskyddsmyndigheten).
Spännande läsning men säger rapporterna något väsentligt som jag kan dra nytta av i mitt säkerhetsarbete?
Under senare år har det nationella och även europeiska säkerhetsarbetet präglats av en klockarkärlek till obligatorisk inrapportering av incidenter.
Själv känner jag mig mer ambivalent.
Å ena sidan kan det tyckas som en självklarhet att det ska finnas en nationell lägesbild över vad som händer både för det akuta läget men även för att dra nytta av erfarenheterna som det brukar heta.
Å andra sidan är incidentrapportering en aktivitet som rusar i komplexitet när man bara börjar skrapa på ytan, det räcker att försöka rigga en fungerande process i den egna organisationen för att inse det.
Se bara den enkla processbeskrivning jag tagit fram som stöd för den enskilda organsiationer: Tyvärr måste jag medge att jag inte är alldeles övertygad om att kvantitativa insamlingar av något så komplext som incidenter är det bästa sättet att bringa klarhet i vilka verksamhetsstörningar och andra typer av realiserade hot som kan kopplas till it-incidenter (vilket är det som MSB och NIS-direktivet fokuserar på).
Förutom att det tynger de inrapporterande verksamheterna i kritiska faser undrar jag generellt om kvaliteten på rapporteringen och vilken säkerhetshöjande effekt den har.
Generellt är det ett problem att det saknas systematik i det nationella säkerhetsarbetet.
I myndigheter, kommuner, regioner och företag försöker vi få till en PDCA-snurra med ett tydligt C men i de nationella satsningarna för att stödja säkerhetsarbetet tycks inte utvärdering ses som ett nödvändigt steg.
För att ta ett par exempel så har jag frågat MSB om vilken utvärdering som skett av det s.k.
Metodstödet som ligger ute Informationssäkerhet.se och vilken säkerhetshöjande effekt det haft samt ställt samma typ av fråga till SKR angående KLASSA.
I båda fallen var svaret att man inte genomfört någon utvärdering och några planer i den riktningen nämndes inte heller.
Det finns en risk att mycket blir vad jag brukar kalla ”religiös säkerhet”, d.v.s.
åtgärder som vidtas i god tro men där det krävs just tro istället för evidens för att se resultaten.
Ofta handlar det om det som jag redan skrivit om som Graeberskt: när arbetet stannar vid dokument som skrivs, mallar som fylls i, enkäter som besvaras och engångsutbildningar som inte leder till någon djupare kunskap.
När en kommun glatt skriver om att deras styrande dokument blivit ”godkända” av tillsynsmyndigheten men att man inte tittat på hur det faktiskt ser ut i verkligheten tycker jag mig leva i Graebers värld av BS jobs.
Det finns en risk att nationell incidentrapportering blivit så populär just för att den kan röra sig i denna värld.
Vad kommer man då fram till i rapporterna?
För att få litet grepp om frågan har jag gjort en sammanställning av 2020 års inrapporterade incidenter: Efter Kammarrättens utslag dröjde det bara några dagar innan jag fick ut de dokument som jag började jaga med en fråga den 6 augusti.
Samtliga tre dokument har mycket marginella maskningar vilket jag återkommer till men som läsaren själv har möjlighet att bedöma eftersom jag lägger ut dem i sin helhet.
Låt oss då se på dokumenten och då först till det mest övergripande: Riktlinje för informationssäkerhet.
Detta dokument tycks ha ganska litet att göra med den policy som beslutades i och därts övergripande syfte anges vara att främja digitalisering samtidigt som tillit till informationshanteringen upprätthålls.
De flesta skulle kanske anse att informationssäkerheten ska stödja kärnverksamhetens uppdrag, i det här fallet egentligen kundernas uppdrag, men Inera är sannolikt i detta fall ett offer för SKL:s överideologi där digitalisering är ett dominerande egenvärde.Inte ett ord om patientsäkerhet för att bara ta en sak som jag personligen anser aningen viktigare än att ”främja digitalisering”.
Den sällsynt korta policyn innehåller ingenting om ansvarsförhållanden eller vem som egentligen ska styra säkerheten, däremot är ett mål att säkerhetsarbetet ska grundas på ”gemensamma regelverk, referensarkitekturer och styrande principer”.
Gemensamma för vem och framtagna av vem kan man undra.
Policyn ska tillämpas enbart internt och det saknas relation till kunderna trots att Ineras roll som leverantör: Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering.
Den ska också tillämpas i projekt och på förvaltningsobjekt.
Policyn ger som jag ser det inte någon verksam strategisk ledning för Ineras säkerhetsarbete i rollen som tjänsteleverantör eftersom ansvar och relationer helt saknas.
Hela upplägget med denna helt urvattnade policy känns litet märkligt när Inera dessutom arbetar baklänges och lägger den som olja på vattnet på redan framtagna underliggande dokument.
Kanske har det funnits en annan policy tidigare som fadat bort utan kommentar.
Låt oss lämna policyn och istället titta på riktlinjen som av naturliga skäl saknar den kopplingar till den beslutade policyn.
En första observation som reser den alltid lika spännande frågan om kausalitet och korrelation.
Av en händelse sammanfaller att jag efterfrågade riktlinjen den 6 augusti med en massiv uppdatering som skedde den 9 augusti när en mängd basala säkerhetsaspekter fördes in i riktlinjen (se revisionshistoriken).
Detta var också första gången på tre och ett halvt år som en uppdatering skedde.
Nog om detta lustiga sammanträffande.
Inera är är ju en tjänsteleverantör av känsliga informationstjänster till vården och det som först slår mig då jag läser riktlinjen är att detta förhållande är i det närmaste osynligt i riktlinjen på samma sätt som i policyn.
Riktlinjen gör ingen distinktion mellan Ineras interna informationssäkerhet och den säkerhet som ska finnas i de tjänster som levereras.
Kundernas frånvaro i hanteringen blir närmast självlysande i definitionen av informationsägaren: För varje viktig informationsmängd ska det utses en informationsägare med uppdrag att hantera alla delar av informationssäkerheten som är relaterade till denna informationsmängd.
För de tjänster som Inera tillhandahåller är detta normalt rollen Tjänsteansvarig.
Här man alltså kortslutit systemet så kunderna är inte informationsägare och ska inte heller hantera exempelvis informationsklassning och riskanalys av den information som de faktiskt är ansvariga för.
För att göra det extrem tydligt: Inera är inte en vårdgivare utan hanterar andra vårdgivares information i ett antal gemensamma tjänster.
Vårdgivarna (offentliga och privata) är enligt lag och föreskrift ansvariga för sin information och att den hanteras på ett säkert sätt – det är bara att läsa HSLF-FS 2016:40 för att få en samlad bild av kraven.
Samtidigt skriver man t.ex.
under 15.3.1. om en informationsägare som sannolikt är kunden.
Roller och begrepp är alltså inte konsistenta.
Ytterligare ett tecken på att riktlinje inte tjänar Ineras verksamhet särskilt väl är att de ytterst knapphändiga beskrivningar av utveckling som finns i kapitlen 15.1 och 15.2.
Detta är alltså riktlinjen där ansvar, principer och arbetssätt bör framgå.
Som jag uppfattar det är Ineras huvudsakliga uppdrag att utveckla olika it-lösningar för vården vilket skulle föranleda att ett verksamhetsanpassat säkerhetsarbete skulle ha en tyngdpunkt just i utvecklings- och förvaltningsprocessen av erbjudna lösningar.
I Ineras riktlinje är det dock inte så utan det känns snarare som en ytlig genomgång av kraven i ISO 27001 med mycket små modifikationer.
Dessutom ingår den i det jag brukar tänka på som ”de öde regelverken” eftersom det inte bara kunderna som saknas utan även i hög grad andra aktörer.
Istället upprepas riktlinjen igenom ”Inera ska…” utan att närmare definiera vilken roll inom Inera som ska utföra säkerhetsarbetet.
Igenkänningsfaktorn är hög.
Jag har sett denna typ av regelverk ett otal antal gånger och ett genomgående drag är att när regelverk är så här diffusa så får de ingen eller ringa säkerhetshöjande effekt.
Har ledningen inte pekat ut ansvar (vilket man här inte har i policyn och mycket litet i riktlinjen) så finns inget maskineri som drar runt säkerhetsarbetet.
Att något i denna anonyma text skulle befinnas vara av den art att det går att sekretesslägga med hänvisning till OSL 18 kap.
8 §: Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser byggnader eller andra anläggningar, lokaler eller inventarier, tillverkning, förvaring, utlämning eller transport av pengar eller andra värdeföremål samt transport eller förvaring av vapen, ammunition, sprängämnen, klyvbart material eller radioaktiva ämnen, telekommunikation eller system för automatiserad behandling av information, behörighet att få tillgång till upptagning för automatiserad behandling eller annan handling, den civila luftfarten eller den civila sjöfarten, transporter på land av farligt gods, eller hamnskydd.
kändes märkligt.
Än mer så Ineras ursprungliga beslut att hela dokumentet skulle utgöra risk om det spreds.
På ett sätt skulle jag ironiskt kunna hålla med: kvaliteten på dokumentet indikerar en klar brist på styrning av säkerhetsarbetet vilket kan naturligtvis är en stor risk om det framkommer.
Men det som nu maskats i dokumentet är endast sex passager där man mitt i den i övrigt så generella beskrivningen av allmänna säkerhetsåtgärder tydligen placerat in var datalagring sker samt tekniska beskrivningar av bland annat segmentering.
Om dessa uppgifter är på detaljnivå har de knappast i riktlinjen att göra eftersom den då inte går att sprida i en vidare krets internt.
Även detta är att starkt skäl att se över regelverket och styrningen i stort.
Om vi sedan tittar på de två övriga dokument jag fått ta del av: så går maskningarna i dessa sammantaget att räkna på ena handens fingrar.
Förutom att även dessa i huvudsak saknar anpassning till Ineras egentliga behov av styrning och även till SKL:s flaggskepp KLASSA är det svårt att se vad som föranlett Ineras rädsla för att sprida dem.
Hela hanteringen av min begäran utlämnande av handlingar framstår som fånig och okunnig i mina ögon men har det goda med sig att det kanske hindrar andra från det överutnyttjande av 18.8 som jag tycker mig sett tecken på.
Min sammantagna bild är att Inera saknar ett sammanhängande systematisktoch att den styrning som finns inte är är inriktad på rätt målbild som till exempel att ge kunderna möjlighet att styra sin egen säkerhet eller på patientsäkerhet.
Ingenstans framgår att den informationsklassning som kunderna gör av sin information ger utslag i Ineras leverans, inte heller att Inera har ett kunderbjudande som är transparent och flexibelt.
Jag är den första att erkänna att Ineras uppdrag är mycket komplicerat men just därför skulle det kännas betydligt tryggare om det gick att urskilja ett stort engagemang för säkerhetsfrågor som skulle ge både kunder och allmänheten i stort en anledning att hysa en stor tillit till Inera.
Särskilt tänker jag på detta när nu Inera satt igång ett nytt projekt om säker digital .
Visserligen står det ”säker” i rubriken men vilket stöd har projektet i Ineras LIS för att uppnås denna säkerhet?
Finns det en risk att detta projekt hamnar i samma situation som den som kritiserades så hårt av MSB när det gäller säkerhetsaspekterna (trots att det är se att MSB bidrog på ett så särskilt strukturerat sätt)?
Hälso- och sjukvård är ju i högsta grad en samhällsviktig verksamhet som borde få MSB:s mest djuplodande intresse när en ny nationell lösning ska tas fram.
Möjligen har jag helt fel.
Kanske är säkerheten i Ineras verksamhet mycket bättre än vad de styrande dokumenten ger intryck av.
Men samtidigt är det svårt att föreställa sig edär det inte finns en tydlig dokumenterad styrning.
Självklart borde denna styrning omfatta mer än Inera – jag ska väl inte tjata om en nationell styrmodell á la Normen en gång till… Däremot vore det mycket önskvärt med en större granskning av samtliga större aktörer inom hälso- och sjukvård både för att bedöma den reella säkerheten och för att se vilka samordningsbehov som finns.
Med detta som utgångspunkt går det sedan att börja skissa på den gemensamma styrmodellen.
I väntan på detta mitt utopiska tillstånd är en rimlig inriktning att IVO koncentrerar sin tillsyn utifrån NIS-direktivet främst på dessa stora aktörer eftersom de har den största påverkan på vår gemensamma säkerhet.
Efter diskussionerna om 1177-skandalen och andra händelser inom e-hälsoområdet har jag efterfrågat en nationell genomlysning av hur det egentligen står till med informationssäkerheten i den svenska vården.
I väntan på en större aktör som kan genomföra en omfattande analys av den i mitt tycke centrala frågan så tänkte jag börja dra några små strån till stacken och titta närmare på hur några viktiga aktörer inom e-hälsoområdet hanterar informationssäkerhetsfrågan.
Hälso- och sjukvården är också en av de utpekade branscher där aktörer åläggs att bedriva ei NIS-direktivet.
Att sanktionsavgifter kan utdömas från både dataskyddsmyndigheten och från IVO i det här fallet borde vara en starkt pådrivande faktor för att förbättra säkerheten.
En naturlig startpunkt är Inera som presenterar sig så här: Inera ägs av SKL Företag, regioner och kommuner.
Genom att erbjuda kompetens inom digitalisering stödjer Inera ägarnas verksamhetsutveckling.
Inera koordinerar och utvecklar gemensamma digitala lösningar till nytta för invånare, medarbetare och beslutsfattare.
och Inera utvecklar och förvaltar nationella tjänster inom e-hälsa och digitalisering på uppdrag av regioner och kommuner.
Ungefär 35 digitala tjänster drivs idag av Inera, bland annat 1177 Vårdguiden, Nationell patientöversikt och Journalen.
Vissa tjänster används av invånare, andra av vårdpersonal.
Arbete pågår med nuvarande tjänster och på vilket sätt de kan anpassas för kommunerna.
Inera ansvarar också för den gemensamma infrastruktur och it-arkitektur som ligger till grund för många av tjänsterna.
Därmed har Inera uppdraget från sjukvårdshuvudmännen att koordinera och utveckla gemensamma e-hälsolösningar – en supertungviktare inom e-hälsoområdet alltså.
Av detta följer att man har ett lika tungt ansvar när det gäller informationssäkerheten i de lösningar man erbjuder.
Detta faktum accentueras av att sjukvårdshuvudmän och vårdgivare i de flesta fall inte kan välja andra lösningar än de som Inera erbjuder eftersom de är nationella tjänster som det är nödvändigt att använda för att kunna bedriva vård.
Till skillnad mot om man skulle anlita kommersiell leverantör där man både kan styra med kravspecifikation och genom att byta leverantör om man inte är nöjd med säkerheten.
Dessutom ska Inera stödja digitalisering av regioners och kommuners verksamheter genom att tillhandahålla kompetens och material.
Bland annat säger man sig ta fram regelverk för informationssäkerhet, juridik och kvalitetssäkring.
Det vore konstigt om man inte skulle bli intresserad av hur Inera arbetar med informationssäkerhet då dessa olika uppdrag presenteras.
När man bedömer en organisations förutsättningar för att bedriva eär den vanliga metoden att utgå från vilka styrande dokument som tagits fram och beslutats.
Inte för att styrande dokument i sig med nödvändighet leder till bättre säkerhet men de ger ramarna för arbetet och beskriver förhoppningsvis det organisatoriska maskineri med bland annat ansvar och roller som förlängningen ska snurra igång det systematiska arbetet.
I korthet: regelverk är en nödvändig men absolut inte tillräcklig förutsättning för fungerande informationssäkerhet och det finns definitivt olika kvalitet på regelverk.
Dessutom innehåller regler på högre nivå mycket sällan någon som helst känslig information och skulle det återfinnas någon liten del som bedöms som känslig är den lätt att maskera vid ett utlämnande (tro mig – jag har begärt ut regler i stor omfattning från myndigheter, kommuner och regioner).
Innan vi går vidare ska jag för transparensens påpeka att jag för ett femtontal år sedan gjorde ett par konsultuppdrag för Ineras föregångare och jag hade även kontakt med Inera under den tid jag arbetade på MSB.
Mitt sammantagna intryck är att det varit motigt att införa ett systematisktt trots uppdraget Inera och dess föregångare haft.
Men åter till nuläget.
Med ovan beskrivna bakgrund var ett första steg för mig att be att få ta del av Ineras regelverk vilket jag gjorde den 6 augusti: Hej!
Jag skulle vilja ta del av: – Ineras interna ledningssystem för informationssäkerhet (LIS) som tillämpas i Ineras verksamhet – Aktuella regelverk och stödmaterial för informationssäkerhet som Inera tagit fram som stöd för sina kunder Jag skulle dessutom vilja veta när Inera senast genomförde en mer omfattande informationssäkerhetsrevision av den egna verksamheten.
Tack på förhand!
Jag fick snabbt ett automatsvar som kvitterade att mitt ärende tagits emot.
Sedan dröjde det och dröjde det.
Till slut kom ett svar den 22 augusti: Ni har begärt utlämnande av Ineras interna ledningssystem för informationssäkerhet (LIS), som tillämpas i Ineras verksamhet, samt vidare aktuella regelverk och stödmaterial för informationssäkerhet, som Inera tagit fram som stöd för sina kunder.
Ineras informationssäkerhetspolicy återfinns på .
Regelverk och stödmaterial inom informationssäkerhet och arkitektur, som delas med kunder, återfinns på .
Beträffande LIS gör Inera följande bedömning: Informationssäkerhet syftar till att hindra information från att läcka ut, förvanskas eller förstöras samt säkerställa att informationen finns tillgänglig för en legitim användare.
Ineras produkter och tjänster håller en sådan säkerhetsnivå att kunder kan känna förtroende för Inera som leverantör och uppnå en hög nivå av informationssäkerhet.
Inera har ett ledningssystem för informationssäkerhet, som är baserat på ISO 27001.
av regelverk som beskriver krypteringsnivåer, autentiserings-metoder, säkerhetsåtgärder i driftsmiljön m.m.
I systemet ingår vidare modeller förificering, incidenthantering, etc., liksom uppföljning i form av interna och externa revisioner samt säkerhetstester.
Sekretess gäller enligt 18 kap.
8 § 3 offentlighets- och sekretesslagen för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser telekommunikation eller system för automatiserad behandling av information.
LIS innehåller uppgifter av sådan art att ett utlämnande typiskt sett är ägnat att medföra skada för det intresse som skall skyddas genom den aktuella bestämmelsen.
Handlingarna kan därför inte lämnas ut.
Om ni inte är nöjd med sekretessbedömningen har ni rätt att begära ett formellt beslut.
Med vänlig hälsning Inera Detta var ett intressant svar av flera skäl.
För det första är den informationssäkerhetspolicy som bifogas och som också ligger ute på Ineras så sällsynt innehållslös och består enbart av det som i andra policys brukar ligga under rubriken ”mål”.
Bland annat saknas helt inriktning för ansvarsförhållanden vilket är av stor betydelse att definiera för en leverantör .
Att policyn är beslutad den 14 juni i år väcker även det en hel del tankar (mer om innehållet i de dokument jag fått ut längre ner).
Det riktigt förvånande är dock att Inera anser att övriga styrande dokument i sin helhet går att sekretesslägga och det med hänvisning till OSL trots att man inte tillhör de offentliga organisationer som faller under offentlighetslagstiftningen!
Detta sporrade min nyfikenhet och som den jobbiga människa jag är måste jag ställa ytterligare frågor med vändande post: Tack för svar!
En formfråga: har Inera fattat ett beslut att tillämpa OSL generellt för sin verksamhet?
Till svar fick jag följande: I Ineras bolagsordningen (från 2017) står följande: Allmänheten ska ha rätt att ta del av handlingar hos bolaget enligt de grunder som gäller för allmänna handlingars offentlighet i 2 kap.
tryckfrihetsförordningen och offentlighets- och sekretesslagen.
Här tätnade mystiken för mig.
2 kap TF och OSL handlar om hanteringen av allmänna handlingar.
Inera har per definition inte några allmänna handlingar och vad betyder då egentligen paragrafen i Ineras bolagsordning?
En generös tolkning är att man menar att Ineras handlingar ska hanteras som allmänna handlingar i myndigheter, regioner och landsting.
För att den handlingsoffentligheten ska fungera krävs bland annat diarieföring av handlingar där ärenden/handlingar får unika identiteter som går att söka fram och begära ut.
Om myndigheten, i det här fallet icke-myndigheten Inera, bedömer att det finns grund i OSL för sekretess för hela eller delar begärda handlingar ska ett sådant beslut lämnas skyndsamt med besvärshänvisning så begäran prövas i Kammarrätten.
Min nästa fråga blev därför: Tack!
Det innebär alltså att jag kan få ett formellt beslut med besvärshänvisning inom typ tre dagar?
Och svaret kom pronto: Ja, det stämmer.
Vill du alltså helst få ett formellt beslut?
Självklart vill jag ha ett formellt beslut men på vad?
Jag var tvungen att skriva tillbaka för klarläggande: Hej igen!
För att följa ert beslut om att efterleva OSL och TF bör jag få ta del av vilka handlingar och dess unika ID så att jag kan begära ut dem.
I policyn står inget om vilka övriga styrande dokument om ingår i ledningssystemet så därför behöver jag uppgifter om detta.
Exempel kan vara Riktlinje för åtkomst osv.
Dokumentnamnet kan inte falla under den sekretess ni hänvisar till.
Tyvärr har ni ju inget diarium på nätet så att jag själv kan söka reda på dessa uppgifter.
Jag skulle också vilja se beslut om till vilken instans ni skickar besvär i utlämnandefrågor.
När jag fått dessa uppgifter kan jag göra en formell begäran om utlämnande.
En vecka senare (30 augusti) kom svaret med en bilaga Hej Fia, Bifogad fil innehåller en beskrivning av Ineras ledningssystem och dess komponenter.
Den instans som är aktuell i besvärsfrågor är Kammarrätten.
Återkommer till innehållet i dokumentet senare men efter att ha läst beskrivningen skickade jag in följande begäran: Tack!
Jag har alltså fått en beskrivning av ert ledningssystem där ni bedömer att samtliga ingående dokument i sin helhet faller under OSL 18:8 § 3.
Förutom att jag tycker att det är tämligen unikt för Inera att se hela regelverket som fallande ur sekretess blir jag litet fundersam över vilka dokument i beskrivningen som är framtagna och beslutade.
Är beskrivningen en plan över vad som ska tas fram eller finns omnämnda dokument?
Och kommer Kammarrätten verkligen att anse att de är en instans för besvär gällande utbegäran om icke-allmänna handlingar (eftersom Inera inte är skyldiga att följa TF och OSL utan har det mer som en policyinriktning)?
Eftersom jag håller på att skriva om det just nu vill jag gärna pröva detta så jag begär ett formellt beslut angående utlämnande av följande dokument (eftersom de saknar unik identitet anger jag den beteckning som anges i beskrivningen): Jag förutsätter att ni gör en sekretessprövning som innebär att de delar av dokumenten som inte faller under reglerna för sekretess lämnas ut.
Förhoppningsvis håller ni också den praxis som gäller för skyndsam handläggning för denna typ av ärenden, d.v.s.
beslut inom tre arbetsdagar.
Idag den 3 september fick jag ett formell avslag med en besvärshänvisning där beslutet där samtliga handlingar i ledningssystemet förutom policyn i sin helhet bedöms i behov av sekretess.
Besvärshänvisningen är till Kammarrätten som kan göra en annan bedömning.
Själv är jag tveksam till om besvärshänvisningen verkligen fungerar eftersom Inera formellt inte faller under offentlighetsprincipen och de handlingar jag begärt ut därmed inte är att betrakta som allmänna vilket också fastslagits i ett liknande fall, då gällande (SKI).
Av rent intresse kommer jaag ändå att skicka in ett besvär.
Om vi ser till själva processen tycks Inera lägga betoningen på S snarare än O i OSL.
Det är tyvärr inte en ovanlig attityd bland myndigheter, det är klart att det är mycket bekvämare att arbeta bakom lyckta dörrar, men en mycket tråkig utveckling i ett samhälle där vi berömt oss för vår fina offentlighetsprincip.
Min fråga här blir hur syftet med informationsklassningen som säkerhetsåtgärd skulle kunna skadas om Inera lämnade ut beskrivningen av sin metod.
Eller hur riktlinjersin helhet skulle kunna vara känsliga.
För att undvika missförstånd: självklart finns det ingående beskrivningar av tekniska lösningar alternativt risker/sårbarheter som bör hållas skyddade för obehöriga (särskilt som Inera paradoxalt nog är frikostiga med tekniska beskrivningar .
Men styrande dokument på en högre nivå borde Inera ha all anledning att vilja sprida om man tar sitt uppdrag att ”koordinera och utveckla digitala lösningar” på allvar.
Eftersom vi vet att informationssäkerheten är så illa utvecklad inom sjukvården borde Inera föregå med gott exempel och visa upp vilken säkerhet man själv har i sin instans av 1177 till skillnad mot Medhelps hantering.
Vad skulle nyttan vara i att begränsa harmlös information om sitt säkerhetsarbete till sina ”kunder” om man hanterar personuppgifter för hela befolkningen och ett mycket stort antal aktörer är berörda av dessa regler på olika sätt?
En mer cynisk människa än jag skulle ifrågasätta att de dokument jag efterfrågar över huvudtaget finns annat än på ritbordet med tanke på att policyn antogs i mitten av juni i år och övriga dokument rimligen borde vara underdokument till den.
Jag väljer att tro att dokumenten i beskrivningen verkligen finns men det ledningssystem som framtonar liknar inget jag tidigare sett i en organisation med Ineras betydelse och ambition att följa ISO/IEC 27001/27002.
Policyn är som jag tidigare skrivit torftig och innehåller inte delar som ändå får uppfattas som praxis som exempelvis ansvar och roller, incident och kontinuitet vilket även är centrala aspekter för en tjänsteleverantör.
Dessa frågor återkommer inte heller på anvisningsnivå.
Inledningsvis sägs att: Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering.
Den ska också tillämpas i projekt och på förvaltningsobjekt.
Det är alltså en intern policy för bolaget Inera men vad säger det om informationssäkerheten i tjänsterna?
Och i relationen med kunderna?
När så basala frågor lämnas öppna är frågan vad policyn egentligen fyller för syfte.
Sammantaget är den bild jag får att detta inte ens om det blir genomfört skulle bli ett fungerande ledningssystem på det sätt som beskrivs i standarden.
Men då har jag som sagt inte sett själva dokumenten.
Kanske någon som är ”kund” i Ineras mening kan kolla på dessa dokument och återkomma med en beskrivning?
Ineras hemlighetsmakeri blir ännu mer märkligt med tanke på att ett flertal av de ägare som Inera kallar kunder villigt lämnat ut sina styrande dokument för informationssäkerhet när jag frågat.
Varför skulle större sekretess råda hos Inera?
Kanske är det ovanan att leva med en god offentlighetskultur som präglar Ineras synsätt.
På samhällsnivå är det i så fall ett stort problem om viktig information flyttas från öppna organisationer till slutna som Inera och SKL.
Jag tror att överdrivet sekretessläggande är till stor nackdel för säkerhetsarbete generellt men alldeles särskilt i sammanhang då en ett antal aktörer ska dela information, tjänster och infrastruktur.
Det måste finnas en grundlig kännedom och diskussion om gemensamma regler hos de som är aktörer i samarbetet men det måste också gå att presentera utanför den snävaste kretsen för att kunna skapa tillit.
Konsulter och leverantörer måste även de få inblick för att kunna utveckla sina tjänster så att de passar.
Detta gäller än mer om Inera ska axla rollen att stödja kommunerna i deras digitalisering.
Min förslag har sedan länge varit att ta fram gemensamma regelverk och skyddsnivåer för att skapa gemensam säkerhet och dessutom slippa de stora konverteringsproblem som uppstår då aktörer med olika regelverk ska samverka i samma infrastruktur.
Svensk digitalisering är i sig planlös men det skulle kunna gå att riva det Babels torn av språkförbistring som redan finns inom informationssäkerhetsområdet genom att skapa just gemensamma regelverk.
Jag gjorde ett försök 2014 när jag jobbade på MSB att få olika centrala aktörer att samverka men denna strategi har fallit i glömska trots ett flertal tunga undertecknare (bland annat SKL och Inera).
Idag är behovet av fungerande informationssäkerhet i vården större än någonsin finns det definitivt utrymme för Inera att kliva fram och göra mer av sitt uppdrag att ta fram regelverk för informationssäkerhet än det som nu finns presenterat på n, detta särskilt som SKL säger att man ska arbeta ”resolut” med att förbättra informationssäkerheten.
Ska man lyckas med det krävs dock öppenhet och dialog med de många aktörer som måste ingå i ett sådant förbättringsarbete.
Att hävda att sekretess råder för varje mening i styrande dokument på hög nivå är inte ett tecken på vilja till öppenhet och dialog.
Det har knappast gått någon förbi att det under några år nu rasar in nya eller nygamla regleringar gäller olika aspekter av informationssäkerhet: dataskyddsförordningen, lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet), ny säkerhetsskyddslag och sedan litet civilt försvar på det.
Samtliga av ovanstående regleringar ”drabbar” primärkommunerna.
En egenhet för primärkommunerna generellt är att kravbördan inom alla områden drabbar samtliga kommuner lika hårt oavsett om de har 4000 invånare eller 900 000.
Detsamma gäller för ovan nämnda nya lagar.
Kommunerna har den, vid sidan om sjukvården, mest komplexa kravbilden på informationssäkerhet i samhället redan från början i kombination med att flertalet av små och medelstora kommuner alltför ofta helt eller delvis saknar den kompetens som behövs för att hantera situationen.
För att uppnå målbilden; ett säkrare Sverige, behöver de ansvariga myndigheterna därmed anstränga sig till det yttersta för att ge ett stöd som fungerar till kommunerna.
Att inta en hållning av typen ”det är deras eget ansvar” är helt meningslöst och kontraproduktivt eftersom det objektivt sett saknas förutsättningar för att de skulle kunna lyckas med det.
Ytterligare en aktör i detta är SKL som under senare påtagit sig ett allt större operativt ansvar i frågor bland annat av denna typ.
Nu är det alltså litet upp till bevis-läge.
Jag ska därför göra en liten kontrollrunda för att se vilken information och stöd Söpple kommun kan räkna med när det gäller NIS och därefter göra en sequel om säkerhetsskyddslagen.
Först en kort bakgrund.
NIS-direktivet antogs av Europaparlamentet 2016 och den svenska lag som följden av detta, lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, trädde med tillhörande förordning i kraft 1 augusti 2018.
Målsättningen med direktivet och följaktligen med lagen är att hög gemensam nivå på säkerhet i nätverk och informationssystem.
Lagstiftningen är inriktad på de nätverk och informationssystem som stödjer samhällsviktiga tjänster i sju sektorer (energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten, digital infrastruktur) samt i digitala tjänster.
Det är inte i en begreppsvärld klar som ett vårregn vi rör oss i här vilket gör att jag hänvisar den intresserade till definitionerna i lag och förordning för att själv bilda sig en uppfattning om den exakta betydelsen i begreppen.
Viktig avgränsning är att lagen inte gäller för verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen.
Däremot gäller den för både offentlig och privat verksamhet.
För att uppnå bättre säkerhet är de främst två krav lagen riktar in sig på.
För det första ska leverantörerna av samhällsviktiga tjänster bedriva einklusive riskanalyser och incidenthantering.
Av någon anledning betonas det särskilt att man också ska vidta åtgärder för att reducera de risker man upptäcker(!).
Man skulle kunna tycka att det är en ganska självklar del i emen lagstiftaren känner ändå att detta måste påpekas.
För det andra är det universalmedlet incidentrapportering som jag i förtroende vill meddela att jag tror är tecknet på att det offentliga säkerhetsarbetet har fastnat i en NPM-fälla.
Det vill säga att tvinga ett antal decentraliserade verksamheter att rapportera in uppgifter som man inte sedan vet vad man ska göra med.
Lagen innehåller också nyheten att leverantörerna av samhällsviktiga och digitala tjänster ska tillsynas vilket i sin tur bygger på att de som lagen berör själva ska anmäla sig till tillsynsmyndigheten.
Om så inte sker, om man inte vidtar korrekta säkerhetsåtgärder eller inte rapporterar incidenter kan en sanktionsavgift tas ut av tillsynsmyndigheten.
Efter dataskyddsförordningen kan ordet ”sanktionsavgift” väcka viss panik men i lagen om informationssäkerhet för samhällsviktiga och digitala tjänster sägs En sanktionsavgift ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor.
10 miljoner kan ju vara skrämmande för en liten kommun men för en större organisation kan det som en summa värd att gambla med.
Vad som är skrämmande är att det inte är en tillsynsmyndighet utan sex förutom MSB: Sammanfattningsvis är min bedömning att det är minst lika omfattande krav som ställs i den här lagen som i dataskyddsförordningen.
Att bedriva ett systematiskt och riskbaseratär en mycket komplex uppgift som de statliga myndigheterna inte lyckas leva upp på något särskilt övertygande sätt trots att kravet funnits i föreskrift i snart ett decennium.
Nu vidgas kretsen som skulle uppfylla den målbilden till även kommuner och landsting vilkas möjlighet att realisera den är långt, långt sämre än de statliga myndigheternas.
Och så till ett stort antal företag som kommer att ta in kravet i sin affärsplanering och vara extremt intresserade av att förstå exakt vad som krävs eftersom säkerhet kostar.
Missförstå mig rätt.
Jag är den första att hävda nödvändigheten av att bedriva eoch då särskilt i kommuner och landsting.
Hur starkt jag än uttrycker den övertygelsen framstår det som ett understatement.
Men för att uppnå detta måste man förstå förutsättningarna.
Jag ska därför här göra ett litet tankeexperiment för att försöka förstå hur den nya lagstiftningen landar i en medelstor kommun som vi kan kalla Söpple kommun.
En första observation är när vi tittar på de obligatoriska uppgifterna för en kommun är att Söpple kommun kommer att få fem tillsynsmyndigheter: Energimyndigheten eftersom man har ett kommunalt elbolag, Transportstyrelsen eftersom man har kommunal kollektivtrafik, IVO eftersom man bedriver hälso- och sjukvård bland annat inom äldrevården, Livsmedelsverket eftersom man producerar och levererar dricksvatten och PTS eftersom man har ett stadsnät (jag har inte här gjort någon skillnad på om det är kommunala bolag).
Söpple kommun måste alltså vara beredda på att dessa fem olika myndigheter kan komma på tillsynsbesök.
Vilka förutsättningar har då Söpple kommun som med sina 24 000 invånare kan sägas vara en normalstor kommun.
I kommunen finns ingen informationssäkerhetsansvarig utan frågan ligger under it vilket också är normalt men olyckligt.
Man har påbörjat en sondering med två grannkommuner för att gemensamt kunna inrätta en tjänst som informationssäkerhetssamordnare vilket suttit hårt åt eftersom varje utgift ställs mot personal i äldreomsorgen.
Tyvärr har man redan insett att även om man lyckas få beslut om medel för en sådan tjänst kommer det att bli extremt svårt att hitta en sökande som både har kompetens och är villig att flytta till Söpple.
Sannolikheten för att hitta någon i kommunen är mycket låg, det finns inga utbildningar för att snabbt utbilda en redan anställd och de som finns på marknaden kan definitivt få bättre betalt än i kommunal verksamhet.
Jag vill bara här återigen understryka att informationssäkerhet i en kommun är på en svårighetsgrad som få informationssäkerhetsansvariga i statlig verksamhet någonsin råkar ut för så är det någonstans kompetens verkligen behövs så är det i kommunerna.
Både tjänstemannaledningen och den politiska ledningen i Söpple kommun är yrvakna.
De har inte hört talas om något NIS-direktiv och har precis tagits sig igenom pärsen med dataskyddsförordningen.
Min hypotes om okunskapen i Söpple bygger jag på att det är just det förhållande som jag stött på när jag varit i kontakt med ett stort antal kommunala företrädare.
För att göra en bedömning om varför beredskapen inför NIS är så låg så gjorde jag i förra veckan en rundvandring på MSB:s och de övriga tillsynsmyndigheternas samt SKL:s webbplatser för att se vilken information som fanns om NIS där.
På MSB:s webbplats finns en sida med undersidor som i huvudsak bygger på vad som står i lag, förordning och MSB:s . Hur olika aktörer ska göra för att de ska kunna klara en tillsyn står det däremot mycket litet om, där hänvisar man till det så kallade Metodstödet som på en tämligen abstrakt nivå går igenom olika aktiviteter som kan ingå i ett systematiskt säkerhetsarbete.
Vällovligt men inte särskilt användbart för en kommun med de mycket konkreta frågor som måste lösas i detta sammanhang – bara en sådan sak som att hantera nämndorganisationen… Ytterligare en komplikation är att man tungt lutar sig mot en standard som inte är fritt tillgänglig, något som kan bli mycket besvärligt när tillsynsaktiviteterna sätter igång.
Det går liksom inte att kräva att varje organisation som ska tillsynas måste köpa standarderna för att veta vad de är tvungna att göra.
Skyldigheterna måste framgå av föreskriften och vara möjliga att granska även i ett offentlighetsperspektiv.
Övriga tillsynsmyndigheter har inte heller de såvitt jag kan se ingen information riktad till kommunerna specifikt.
I vissa fall tycker jag dock att den generella information de erbjuder är överlägsen den som finns på MSB:s webbplats som Energimyndighetens frågor och svar som ger rediga besked i en del kniviga .
Mest sparsmakad är kanske IVO som egentligen bara konstaterar att man är Inte heller SKL erbjuder sina uppdragsgivare något överflöd av information i . Webbplatserna gav alltså inte något bra stöd för Söpple kommun att ta tag i frågan men det är kanske inte den vägen som är den primära för att sprida information till kommunerna – för att börja söka där måste man ju först veta att det finns ett NIS-direktiv.
Jag skickade därför ett mail till MSB.
PTS, Livsmedelsverket, Energimyndigheten, IVO och Transportstyrelsen med följande lydelse: Hej!
Jag skulle vilja ta del av information angående lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet) som x (d.v.s.
den aktuella myndigheten) skickat direkt till kommuner.
Samma meddelande lade jag in i frågelåda på SKL:s webbplats och jag kan redan nu avslöja att jag inte fått något svar på detta.
När det gäller myndigheterna kan man sammanfattningsvis säga att det endast är MSB som skickat ut någon information direkt till kommunerna och då inte till kommunerna specifikt eftersom det handlar om missiven till föreskrifterna när de gått ut på remiss.
Detta skedde sista augusti.
MSB har deltagit i en träff i nätverketkommuner (KIS) och har en frågelåda på webbplatsen där man kan skicka in mail.
Dessa frågor är dock inte ännu synliga för någon annan än den som skickat frågan.
Livsmedelsverket har tagit fram en broschyr som man delat ut på en konferens om dricksvatten.
I övrigt säger sig tillsynsmyndigheterna invänta att MSB ska samordna dem.
Så här fyra månader efter att lagen trätt i kraft är det svårt att inte jämföra med hur vi blev fullständigt översköljda från olika håll med information om dataskyddsförordningen.
Datainspektionen måste faktiskt få en eloge för att man redan ett par år innan det äntligen blev 25 maj 2018 byggde upp informationskanaler både IRL och på sin webbplats.
Jag kommer med särskild glädje ihåg en realtidschatt för kanske två år sedan då det gick att ställa alla möjliga frågor till myndighetens kunniga jurister.
För aktiva personuppgiftsansvariga har det varit fullt möjligt att planera och bygga upp de nödvändiga funktionerna i sin organisation.
Att det sedan inte alltid blivit så är en annan fråga.
Att Datainspektionen bedrivit ett aktivt informationsarbete i god tid innan dataskyddsförordningen blev verklighet gör att de tillsyner man raskt kommit igång med känns rimliga.
Samma sak kan inte sägas i fallet med NIS-direktivet som trots att det varit känt på central nivå i flera år inte alls åtföljts av samma förberedelser.
Utifrån vad jag hittills sett kan mycket väl frågan fortfarande vara helt okänd i Söpple kommun men även hos andra både offentliga och privata aktörer.
Nu verkar ju inte tillsynsmyndigheterna kommit igång än vilket måste vara lika bra sett till det rådande läget när det gäller information och stöd.
Meningen med tillsyn är inte att skapa ett blame game och inte heller innebär tillsyn i sig några förbättringar om det inte tydligt framgår vad som ska göras (jag hävdar detta med viss emfas efter att ha jobbat med tillsyn ett antal år).
Tyvärr tycker jag mig spåra en omedveten trend inom både säkerhet och digitalisering att information från myndigheter främst sker muntligt på konferenser m.m.
Förutom den otydlighet och det breda tolkningsutrymme som övergivandet av skriftlig information innebär gör det att informationen inte når utanför de invigdas krets.
Det är inte heller möjligt att fördjupa sig, gå tillbaka, sprida vidare och att ha kontroll över att det är korrekt information som förmedlas.
Nu när olika lagstiftningar dessutom ska samexistera i en mängd organisationer krävs betydligt djupare resonemang än de som kan förmedlas via en power point-presentation.
För att göra en u-sväng i mitt argumenterande kanske det finns fördelar med att det ännu spridits information och stöd gällande lagen om informationssäkerhet för samhällsviktiga och digitala tjänster.
Nu kanske det finns möjlighet att ta ett nationellt ansvar och samordna de olika regleringarna så att inte varje kommun behöver sitta och försöka få ihop olika lagstiftningar och hur de ska uttolkas för den egna verksamheten?
Låt oss hoppas det.
För att de här nya regleringarna dels ska få genomslag, dels leda till säkerhetshöjande effekter krävs mycket tydlig information om som ska göras till som ska göra något samt stöd för det ska göras, d.v.s.
Dessutom, snälla, behövs samordning så att det blir en enhetlig kravbild.
Utan starkt stöd, gemensam prioritering och samordning kommer Söpple kommun vare sig att klara NIS-direktivet eller säkerhetsskyddslagen.
För kommuner som Söpple där egen kompetens i hög grad saknas tror jag att vi måste tänka mycket mer i fasta skyddsnivåer och ett mycket välutvecklat centralt stöd för att det inte bara ska bli både dålig säkerhet och dålig stämning.Men vem är det då som ska ta ansvar för helheten?
Kanske behövs det rent av en ny informationssäkerhetsutredning som utgår från verklighetens utförare av informationssäkerhet och vad de behöver för att klara uppgiften?
Jag tror helt enkelt vi har råd att leva i en drömvärld där olika aktörer oberoende av varandra pekar på vad de vill ha men ingen talar om för Söpple kommun få ihop det i den egna verksamheten.
Förtydligande: jag har efter jag publicerade detta fått ett påpekande att kommunens stadsnät sannolikt inte faller under NIS men däremot under lagen om elektronisk kommunikation (LEK) som har likartade krav som NIS.
Effekten för Söpple kommun blir alltså ungefär densamma i slutändan.
Den minnesgode kommer ihåg att jag tyckte det saknades några frågor vid den öppna utfrågningen i riksdagens försvarsutskott om cybersäkerhet för ett par veckor sedan.
För att inte bara planlöst gnälla ska jag formulera några av de frågor jag själv skulle ställt i rollen som en hyfsat insatt folkvald ledamot i försvarsutskottet.
Rollen kräver ju en något mer nobel approach än den som småaktig bloggare.
Jag kommer därför naturligtvis inte att ställa tråkiga frågor som vad cybersäkerhet betyder eller vad det är för värden på axlarna på MSB:s bild över utvecklingen av digitalisering respektive cybersäkerhet även om jag grubblat över detta sedan jag såg den.
Jag ska heller inte göra banala zingers av typen ”här ser vi hur man försöker lösa morgondagens frågor med gårdagens lösningar.”.
Istället kommer jag att försöka ställa fem övergripande frågor som jag menar är av betydelse för samhället och inte bara för samhällets säkerhet.
– Herr ordförande, vi har nu fått en genomgång av ett statsråd och fyra myndighetsföreträdare.
Tyvärr kan inte genomgången ha lett till en bra helhetsbild av frågan.
Varje myndighetsrepresentant har presenterat sin myndighets perspektiv på ett sätt som får åhöraren att känna sig som på toppen av ett utsiktstorn där det bara är möjligt att beskåda utsikten genom fyra fastlåsta och begränsade kikare.
Själva vyn är osynlig genom dessa tunnlade perspektiv.
När vi som folkvalda får en presentation där cyberförsvar, säkerhetsskydd, samhällsviktig verksamhet, och den vardagliga informationssäkerheten presenterade som helt separerade spår är det lätt att förstå den vanmakt som många aktörer som förväntas göra något i praktiken känner.
I NISU-utredningen 2015 var det första åtgärdsförslaget för att förbättra informationssäkerheten att utveckla en nationell styrmodell för informationssäkerhet: En nationell styrmodell för informationssäkerhet består av ett antal komponenter som måste utvecklas och förvaltas över tid.
En del är ett sammanhållande regelverk som innehåller olika nivåer av reglering under föreskriftsnivån, det vill säga en regelhierarki som motsvarar ett ledningssystem inom en organisation.
Förutom de resurser som krävs för att utveckla och förvalta styrmodellen krävs en lösning för anslutning och efterlevnadskontroll som löpande samordnas med andra intressenter.
I detta ligger också omfattande utbildningsinsatser.
I styrmodellen är informationsklassning den mest omfattande aktiviteten som går från processorienterad informationskartläggning via själva klassningsmomentet till utvecklade gemensamma skyddsnivåer.
För att skyddsnivåerna ska kunna fylla sin funktion krävs omfattande insatser av både egen och extern kompetens inom områdena administrativ, fysisk och it-inriktad säkerhet.
Slutligen förutsätter en nationell styrmodell en väl utvecklad kunskapsstyrning.
Kunskap kan i detta sammanhang röra sig om kunskap om metoder men i ännu högre grad om att kunna ge ett vederhäftigt underlag för en styrning utifrån risk.
Det innebär att kunna förmedla en uppdaterad riskbild och att samtidigt kunna förmedla stöd för riskreducerande åtgärder.
Behovet av en nationell styrmodell förefaller större än någonsin, inte minst sett i perspektivet av att försöka samordna digitalisering och säkerhet.
Min fråga till statsrådet är därför var detta förslag hamnat.
En följdfråga till myndighetsföreträdarna är om det är omöjligt att utan ett formellt uppdrag från regeringen börja samarbeta på ett sätt som leder till konkreta samordnade stöd för – Herr ordförande, två konkreta frågor angående molntjänster.
I efterdyningarna av skandalen vid Transportstyrelsen har molntjänster blivit en huvudfråga för regeringen när det gäller säkerhet.
Samtidigt vet vi att molntjänster redan används i stor omfattning av svenska myndigheter, kommuner och regioner/landsting, att de ger effektiva lösningar och i många fall bättre säkerhet än om verksamheterna själva skulle drifta och förvalta i egen miljö.
Många av de tjänster som idag finns även som applikationer för egen förvaltning kommer snart enbart att finnas som molntjänster.
Samtidigt är det svårt för Söpple kommun att ställa krav på Microsoft och Google angående säkerhet och integritetsskydd.
En lösning som skulle kunna ge både bättre säkerhet och nödvändig effektivitet var om svenska staten på samma sätt som den tyska sluter ett gemensamt avtal med några av de stora jättarna.
Jag förstår problematiken när det gäller konkurrensfrågor m.m.
men vill ändå ställa frågan om detta är något regeringen överväger eller om varje kommun och myndighet även fortsättningsvis ska försöka lista ut om det är juridiskt korrekt att använda Office 365 samt ta fram sina egna avtal.
Jag skulle också vilja fråga om den ändring som redan skett, nämligen att SÄPO och Försvarsmakten tilldelats en vetorätt när det gäller utkontraktering av information från säkerhetskänslig verksamhet.
Detta ställer ju ansvarsprincipen på ända och jag funderar i detta sammanhang om regeringen ser framför sig även andra förändringar i denna grundpelare i svensk förvaltning.
Vem tar ansvar för verksamheten i det här fallet – SÄPO eller verksamhetsledningen?
-Herr ordförande, under dagens presentationer är det lätt att få föreställningen att säkerhet är ett enkelt och entydigt begrepp samt att säkerhetsåtgärder alltid är obestridligt ”goda”.
Den som ägnat minsta tanke åt detta och kanske dessutom kanske ändå studerat lite samhällsvetenskap, historia eller filosofi vet naturligtvis att så inte är fallet.
Säkerhet existerat alltid i en relation till andra värden.
En supersäker lösning som skulle förhindra alla brott vore att låsa in alla medborgare och slänga bort nyckeln för att dra frågan över det löjligas gräns.
Samtidigt måste jag som folkvald naturligtvis beakta de olika intressen som finns i samhället och som delvis står i konflikt med ”säkerhet”.
För mig framstår det som det finns tre värden som ständigt kommer i konflikt med den renodlade säkerheten; effektivitet, demokrati och individens integritet.
I digitaliseringssträvandena ligger önskan om effektivitet.
Demokrati i den form vi känner den är ett centralt element insyn och delaktighet.
Övervakning är per se en inskränkning i integritet.
Jag hörde ingen av talarna ta upp dessa konflikter och ställer därför frågan om myndighetsföreträdarna ser det som liggande utanför sitt uppdrag att även ta hänsyn till denna typ av aspekter.
Det är i så fall viktigt att veta eftersom utgångspunkten då måste vara att myndigheterna agerar som ”säkerhetsnördar” och de övriga perspektiven måste tillföras från annat håll innan beslut tas i viktiga frågor.
– Herr ordförande, jag tror vi alla är överens om att det finns ett stort behov av att utveckla informationssäkerheten i Sverige.
En absolut vital förutsättning för att kunna göra det är att det finns tillgänglig kunskap och kompetens på olika nivåer.
Min bedömning är att detta behov är skriande idag alltifrån den vetenskapliga nivån till att det saknas tusentals informationssäkerhetsansvariga företag, kommuner, landsting och myndigheter.
Detta leder till att vi inte vet vad vi ska göra för att faktiskt vara effektiva och att det saknas operativ förmåga att bedriva det säkerhetsarbete som åläggs olika aktörer.
Situationen kommer knappast att förbättras av sig själv eftersom det idag endast finns en handfull utbildningsplatser per år för att utbilda kompetenta informationssäkerhetsansvariga.
Många av de som idag är informationssäkerhetsansvariga (eller kallar sig certifierade och informationssäkerhetsexperter) saknar helt utbildning inom området.
Fortbildningsbehovet är därför oerhört stort.
Ytterligare en aspekt är att kunskapsuppbyggnad bygger på ett kritiskt tänkande och en öppen dialog.
Ett intryck från säkerhetsområdet är att det ofta präglas av en tystnadskultur och en anti-intellektualism.
Detta bygger, tror jag, på tradition, på att det saknas arenor för ett intellektuellt utbyte i säkerhetsfrågor och på att en osäker profession sluter sig inom sig själv i kotterier.
För att komma vidare och hitta den goda säkerhetskulturen som skapar kunskap och insikt även på den nationella nivån krävs insatser även från myndigheterna.
Min fråga är hur det stora kunskaps- och kompetensbehovet ska tillgodoses och hur myndigheterna kan verka för en god säkerhetskultur med kritiskt tänkande även i de nationella sammanhangen.
– Herr ordförande, en sista fråga.
I de presentationer vi tagit del av lyfts diverse försumligheter och bristande medvetande hos samhällets aktörer fram.
Däremot sägs mycket litet om och i så fall hur myndigheterna med särskilt ansvar för säkerhet bedriver en systematisk utvärdering av sina egna insatser.
Utvärdering är ju en grundläggande aktivitet i ett systematiskt arbetssätt och det finns därför anledning att anta att denna kvalitetshöjande mekanism måste vara inbyggd i myndigheternas verksamhet.
Detta framgår dock inte i de årsredovisningar jag tagit del av och inte heller i dagens presentationer.
Därför skulle jag vilja ställa frågan om den bristande säkerheten alltid är någon annans fel eller om det är möjligt att myndigheterna sett anledning att även förbättra sina egna insatser?
Det är klart man bänkar sig framför tv:n (i ärlighetens namn bakom en datorskärm) när riksdagen har en öppen utfrågning om cybersäkerhet vilket skedde förra Sändningen börjar med en lång och mycket grynig mingelupptagning när alla deltagare och åhörare ska leta upp sina platser.
Trots mitt seriösa intresse för frågan uppstår nästan omedelbart samma problem som under de senaste veckornas rapportering från Svenska akademien; gränsen mellan fiktivt och faktiskt berättande glider ihop.
Jag och mitt sällskap följer de stela tjänstemannakramarna, den tidigare statliga chefen som nu blivit lobbyist som ivrigt söker sällskapet hos sina tidigare kollegor, den aningen nervöse talskrivaren som flackar med blicken och hoppas på att chefen ska hålla sig till manus och inte sväva ut i egna funderingar, den tidigare myndighetschefen som överraskande dyker upp.
Soundtracket till House of cards tonar upp i medvetandet och det är med stigande intresse man följer scenen.
Enda missen sett ur ett underhållningsperspektiv är den tekniska kvaliteten och att personaget inte introduceras.
Den nerv som fanns i minglet dör tråkigt nog ut i samma ögonblick som redovisningarna av vad som sker på cybersäkerhetsområdet börjar.
Först ministern, sedan myndighetscheferna i tur och ordning.
Det mest förvånande är att absolut inget förvånande sägs.
Det är exakt samma saker som sägs som har upprepats i 15-20 år.
Inga nya lösningar, inga nya självinsikter och inga reflektioner av vad som skulle kunna ändras hos myndigheterna själva.
Naturligtvis förekommer ordet ”cyber” mer ymnigt än någonsin och aktuella catch phrases som ”det förändrade omvärldsläget”.
Nya aningen dunkla fenomen som ”civila cyberförsvaret” förs in utan att det klargörs vad exakt detta skulle vara.
Axiom som att brister upptäcks när incidenter rapporteras ventileras.
Det mest genomgående temat är att de utfrågade myndigheterna säger sig behöva ännu mer resurser.
Alltså i sak intet nytt.
Däremot saknar i alla fall jag ett analytiskt förhållningssätt där man faktiskt kommer in på frågan hur intresseavvägningen mellan den effektivitet som digitaliseringen står för och en bättre säkerhet ska göras på samhällsnivå.
Eller hur det demokratiska samhället ska leva ihop med den ständigt ökade övervakningen från både företag och staten.
Sammantaget blir utfrågningen en god illustration över varför nuläget är som det är: säkerhetslägret och digitaliseringslägret är som två cykloper som möts och aldrig skapas ett stereoseende.
Inte heller då riksdagsledamöterna släpps in för att ställa frågor efter statsrådets och myndighetschefernas redovisningar tillkommer något nytt perspektiv.
De folkvalda håller sig hovsamt inom den uppdragna ramen och ställer välvilliga frågor som möts av föga förvånande svar.
Enda gången där det hettar till är när det bekymmersamma läget i kommunerna återkommande lyfts fram och en representant från SKL i lätt agiterad ton hävdar att tillståndet minsann är bättre än så eftersom så många kommuner börjat använda KLASSA (!).
För att övertyga den som inte tror mig har jag sammanställt ett litet quiz där den som vill får gissa om citaten kommer från den öppna utfrågningen förra veckan eller från För att göra det litet svårare har jag bytt ut ”informationssäkerhet” i texten från 2005 mot ”cybersäkerhet”.
Innebörden i begreppsanvändningen är mycket likartad i detta sammanhang och samtliga talare förra veckan.
Den som först sänder in ett rätt svar bjuder jag på lunch eller ett glas efter jobbet.
Skicka in en tipsrad med A för SOU 2005:42, B för citat från utfrågningen.
Ingen kan idag förneka vikten av att förbättra informationssäkerheten i de samhällsviktiga verksamheterna.
Ett antal utredningar har under de senaste tre åren utmynnat i olika förslag på hur detta ska ske.
Tyvärr har fokus legat allt för mycket på reaktiva åtgärder som incidentrapportering och allt för litet på det förebyggande arbetet, detta trots att det ofta påpekats att de stora säkerhetsvinsterna kan göras genom olika typer av incidenter och säkerhetsproblem motverkas innan de uppstår.
För mig framstår den i särklass viktigaste förebyggande åtgärden att tillräcklig kompetens finns för att hantera informationssäkerhetsrelaterade frågor på olika nivåer.
För att uppnå detta krävs både episteme, fronesis och techne.
Det vill säga det måste finnas en vetenskaplig grund för att de åtgärder som vidtas är effektiva i förhållande till de problem de avses att lösa, att det måste finnas en praktisk kunskap hur fungerandeska bedrivas och det måste finnas en djupare förståelse att nya situationer kan hanteras.
Jag skulle vilja hävda att detta idag i allt för hög grad saknas.
Konkret kommer ett stort antal organisationers ledningar behöver ett kompetent stöd för att styra sittså att det motsvarar de risker som verksamheten är utsatt för och för att kunna tillvarata alla nya möjligheter som den pågående digitaliseringen innebär.
Jag pratar alltså inte om it-säkerhet som är inriktad på tekniska åtgärder utan informationssäkerhet som handlar om verksamhetsstyrning och information.
Utöver befintliga krav kommer även nya från bland annat dataskyddsförordningen, NIS, civilt försvar och en ny säkerhetsskyddslag.
Det gäller c.a.
350 myndigheter, 290 kommuner, ett tjugotal landsting/regioner och ett okänt antal privata aktörer som medverkar till att upprätthålla samhällsviktiga verksamhet.
En av de vanligaste frågorna jag får när jag besöker kommuner, regioner och myndigheter är vilka utbildningsmöjligheter som finns.
Hos de som får allt tyngre ansvar för det faktiskat finns såvitt jag kan bedöma en allt större medvetenhet om kompetensbehovet.
Till viss del fanns denna insikt även i den strategi för samhällets som MSB tog fram tillsammans med andra myndigheter.
Tyvärr har inte insikten utmynnat i några konkreta satsningar för att stödja utvecklandet av professionsinriktade utbildningar.
Även om behovet av kompetens är känt anvisas få vägar för kompetensförsörjningen.
Vare sig i den nationella säkerhetsstrategin eller i digitaliseringsstrategin, båda presenterade av regeringen 2017, nämns något om kompetensförsörjning inom informationssäkerhetsområdet.
Utredningar som SOU 2015:23 , SOU 2017:36 SOU 2017:114 liksom lagrådsremissen om ny säkerhetsskyddslag är lika renons på förslag annat än de som gäller utpekade tillsynsmyndigheter.
Den nationella strategin för informations- och cyberssäkerhet (Skr.
2016/17:213) skulle kunna inge ett visst hopp eftersom den faktiskt innehåller ett avsnitt som heter Öka kunskapen och främja kompetensutvecklingen.
Hoppet om att finna ett mål att tillgodose behovet av professionell kompetens generellt avtar dock snabbt då det visar sig att det som avses är att informera organisationer om sårbarheter och behovet av säkerhetsåtgärder samt att höja den enskilda användarens kunskap.
Samtliga strategier och utredningar tycks dock förutsätta att den kompetens som behövs kommer att finnas utan vidare styrning.
Jag delar inte denna tilltro till den osynliga handen.
Istället ser jag att vi står inför ett mycket stort och komplicerat kompetensförsörjningsbehov.
Bara det ett nyrekryteringsbehov av något hundratal informationssäkerhetsspecialister årligen till kommuner och landsting/regioner som kanske har samhällets mest komplexa informationssäkerhetsbehov måste uppmärksammas.
Många av oss som idag är verksamma inom informationssäkerhetsområdet saknar formell utbildning för våra jobb eftersom utbildningar helt enkelt inte funnits i någon högre grad (jag jämställer inte olika certifieringar med högskoleutbildning även om de säkert är bra på sitt sätt).
Därav ett stort fortbildningsbehov.
De kurser på högskolenivå som erbjuds idag via en sökning på antagning.se för hösten 2018 är antingen korta kurser eller har en renodlad teknisk inriktning.
Undantagen är masterutbildningar i Örebro som har ett handfull platser samt i Luleå där ett organisatoriskt perspektiv tillförs en huvudsak it-inriktad utbildning.
Detta räcker naturligtvis inte långt.
Mitt förslag är därför att en utredning tillsätts som tillåts koncentrera sig på hur behovet av kunskap och kompetens inom informationssäkerhetsområdet ska tillgodoses under de närmaste åren.
Utgångspunkten är att staten måste ta ett betydligt större ansvar för kunskapsförsörjning på en vetenskaplig nivå och för att kunskapen omsätts till kompetenshöjande åtgärder för prioriterade målgrupper i samhället.
Målen bör vara att det gemensamma utbildningsplaner för en treårig högskoleutbildning som informationssäkerhetsspecialist med inriktning på organisation och information, att det utbildas 50 informationssäkerhetsspecialister per år samt att varje kommun har tillgång till minimum en halvtids informationssäkerhetsspecialist.
Inom detta fält kan även utbildningar av typen ”informationssäkerhetsspecialist kommunal verksamhet” och ”informationssäkerhetsspecialist hälso- och sjukvård” kunna finnas.
Även fortbildningar för redan yrkesverksamma bör ingå i ett kunskapslyft för informationssäkerhetsområdet.
Utan denna typ av insats har jag mycket svårt att se hur alla andra mål för att höja samhällets informationssäkerhet ska kunna realiseras.
I mina funderingar om en tänkbar nationell styrmodell för informationssäkerhet slås jag av vilket i mitt tycke oproportionerligt intresse incidentrapportering fått som säkerhetsåtgärd.
För att ge en snabb bild av nuläget så har MSB sedan snart två år en särskild föreskrift angående obligatorisk it-incidentrapportering för statliga myndigheter.
Till detta kommer dataskyddsförordningens krav och förslaget på NIS-direktivets tillämpning i som båda framför starka krav på incidentrapportering.
Dataskyddsförordningen kommer att träda i kraft i maj 2018, samma månad som även utredningens förslag rörande NIS-direktivet sannolikt kommer att sjösättas.
MSB:s incidentrapportering är alltså inriktad enbart på statliga myndigheter och gäller uttryckligen endast it-incidenter.
MSB:s definition handlar inte om störning på verksamhetens processer utan vilken typ av, framförallt teknisk, orsak som lett till störningen samt i vissa fall konsekvenser för informationshantering: störning i mjuk- eller hårdvara, störning i driftmiljö, informationsförlust eller informationsläckage, informationsförvanskning, hindrad tillgång till information, säkerhetsbrist i en produkt, angrepp, handhavandefel oönskad eller oplanerad störning i kritisk infrastruktur, eller annan plötslig oförutsedd händelse som lett till skada .
Det är alltså ett tämligen icke-stringent incidentbegrepp (lägg märke till att begreppet ”plötslig” överraskande kommer in under punkt 10) som används.
Att notera är också att bristande spårbarhet inte nämns som en incidenttyp.
Dataskyddsförordningen, som i princip kommer att gälla i alla offentliga och privata organisationer som hanterar personuppgifter, har ett incidentbegrepp som är helt inriktat på personuppgifter: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt Det är framför allt obehörig åtkomst (konfidentialitet) men även förlust eller förvanskning (riktighet) av personuppgifter som ska ses som incidenter i detta perspektiv.
Det bör dock understrykas att för att kunna efterleva dataskyddsförordningens övriga krav är både positiv och negativ spårbarhet en central faktor.
Däremot kan en personuppgiftsincident lika gärna ske i icke-digitala som digitala medier – det är alltså inte enbart it-incidenter som är aktuella (vilket särskilt bör beaktas med tanke på att den s.k.
missbruksregeln i PuL försvinner).
I författningsförslaget gällande NIS-direktivet slutligen är definitionen av incident: : en händelse med en faktisk negativ inverkan på säkerheten i nätverk eller informationssystem Precis som i MSB:s och Dataskyddsförordningens definitioner lyser verksamhetspåverkan med sin frånvaro, det är nätverken och informationssystemen som är objektet för regleringen som gäller både offentliga och privata aktörer i följande samhällsviktiga branscher: En självklar fråga är om den bristande samordning som av de tre olika regleringarna är acceptabel.
Det förefaller inte finnas några planer för att förenkla för de som kommer att behöva rapportera samma incident i två eller i värsta fall tre olika stuprör.
Gissningsvis måste MSB:s befintliga inrapportering och den som följer av NIS samordnas eftersom de båda ska ske i MSB:s regi men då kvarstår ändå personuppgiftsincidenterna.
Och i författningsförslaget för NIS-direktivet finns det en antydan om att är bra om tillsynsmyndigheterna samarbetar: med Datainspektionen när den handlägger incidenter som medfört personuppgiftsincidenter och innan ett åtgärdsföreläggande meddelas, så det finns kanske hopp om en praktisk samverkan.
Jag ska inte fördjupa mig ytterligare i samordningsproblemen även om de är nog så intressanta för alla som kommer att drabbas av dem.
Istället tänker jag svära litet i den nationella säkerhetskyrkan och ifrågasätta om det verkligen är rimligt att satsa så mycket intresse och resurser på just incidentrapportering.
Man kan göra den inte helt rimliga analogin till en enskild organisation som ska förbättra sin informationssäkerhet och då satsar större delen av sitt krut på incidentrapportering – skulle vi då tycka att det är en ändamålsenlig satsning?
Den kritiske kan här invända att författningsförslagetsamhällsviktiga och digitala tjänster innehåller litet vaga krav på säkerhetsåtgärder: 14 § Leverantörer av digitala tjänster ska utarbeta och vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder när de tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster inom unionen.
Med beaktande av den senaste tekniska utvecklingen ska dessa åtgärder säkerställa en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till den föreliggande risken, varvid hänsyn ska tas till 1. säkerheten i system och anläggningar, 2. incidenthantering, 3. hantering av driftskontinuitet, 4. övervakning, revision och testning och 5. efterlevnad av internationella standarder.
Samt även ett system för tillsyn med ett antal tillsynsmyndigheter (varav ett par redan tackat nej till uppdraget i sina remissvar).
Huvudpunkten är ändå incidentrapportering vill jag hävda.
Är detta då den mest effektiva åtgärden för att förbättra säkerheten?
Låt oss då först titta på syftet med incidentrapportering.
I en organisation är incidentrapportering inte en lösryckt aktivitet utan del i en där den fyller flera olika syften: Behovet av informationskvalitet i rapporteringen är olika för de olika syftena.
För att inleda akut felavhjälpning krävs mycket snabb kommunikation, däremot kan inte den som anmäler felet förväntas kunna redogöra för orsaken.
För att inleda kontinuitetshanteringen måste en koppling kunna göras mellan de drabbade informationsbärarna och verksamhetsprocesser för att rätt prioriteringar av återställelse respektive reservrutiner ska kunna göras.
Underlaget för långsiktig förbättring måste vara av mer analytisk karaktär men också bygga på en konsistent tillämpning av begrepp för att mönsterigenkänning ska kunna göras.
Kravet på god informationskvalitet gäller även för rapportering, riskanalysen och fört i mer vida termer.
Hur har man då resonerat i dessa frågor när det gäller den nationella rapporteringen.
Inte alls vad jag kan se, det är till och med svårt att utläsa vad syftet med den befintliga incidentrapporteringen egentligen är även om den dåvarande inrikesministern Ygeman 2015 så följande då beslutet att införa rapporteringen togs: Syftet med ett sådant system är att möjliggöra en förbättrad lägesbild över informationssäkerheten i statlig förvaltning.
Förmågan att förebygga, upptäcka och hantera it-angrepp mot statliga informationssystem ska också bli bättre.
Sådana it-incidenter kan röra exempelvis störningar i mjukvara, hårdvara eller driftmiljö eller förlust av data i olika sammanhang.
It-incidenter kan orsakas av bland annat externa attacker, säkerhetsbrister i it-produkter eller felaktigt .
Det är alltså inte incidenthantering som eftersträvas utan ”en förbättrad lägesbild”.
För mig förefaller det torftigt att ha en lägesbild som består av tekniska incidentbeskrivningar men jag tror också att inrapporteringsmoralen påverkas i starkt negativ riktning med tanke på att den svaga möjligheten till payoff eftersom det inte handlar om incidenthantering.
Egentligen inte ens om rapportering utan endast om incidentanmälan eftersom meddelande om att något hänt ska ske innan någon djupare analys har hunnit ske.
Samma oklarhet gäller även rapporteringen av personuppgiftsincidenter och rapportering enligt NIS-direktivet – det enda som kan hända är att man får ett besök av tillsynsmyndigheten för att uttrycka sig raljant.
Att både MSB och Datainspektionen hävdar att det finns ett starkt behov av att sekretessbelägga rapporteringen gör att den lägesbild som uppges vara huvudsyftet för åtminstone MSB kommer att vara tillgänglig i mycket begränsade kretsar.
Erafarenhetsåtervinningen på nationell nivå är därmed inget som kan locka fler att rapportera.
Att det sannolikt kommer att saknas ett starkt driv att rapportera incidenter påverkar kvaliteten i lägesbilden.
Ytterligare en aspekt som påverkar kvaliteten är den svaga begreppsmodelleringen av vad som ska inrapporteras samt att det saknas kriterier för verksamhetspåverkan i rapporteringen.
Här hade stora lärdomar kunnat hämtas från exempelvis smittskyddsområdet och överhuvudtaget från ett mer vetenskapligt förhållningssätt.
Att resonemang i denna riktning helt saknas både i dataskyddsförordning och i NIS-direktivet talar för sig själv.
Att incidentrapporteringen ändå fått ett så stort genomslag som universalmedel beror förmodligen på att den har en USP.
Det går nämligen att förklara vad incidentrapportering är för politiker och andra makthavare medan många andra säkerhetsåtgärder på systemnivå kräver betydligt mer i pedagogik.
Incidenter kan också kopplas till mer actioninriktad kommunikation som kan leda fram till snabba beslut än en diskussion om hur informationssäkerhet ska bli en normal del av förvaltningen.
Men, som alla vet, är det inte alltid det som är lätt att sälja som är det vi bäst behöver.
Sammantaget tror jag följande.
Den nationella incidentrapporteringen kommer inte att ge de enskilda organisationerna något stöd i det egnat och kvaliteten i de rapporter som faktiskt sker kommer att vara låg.
Den gemensamma lägesbilden som summa kommer inte ha högre kvalitet än de ingående delarna och kommer därför att ha ett värde som inte är i paritet med fokus och de resurser som läggs på incidentrapporteringen.
Vore det då inte bättre att försöka göra en något djupare analys och försöka reda ut vilka åtgärder som skulle ha en reellt säkerhetshöjande effekt på nationell nivå?
Eller åtminstone sätta in incidentrapporteringen i ett sammanhang som redovisas och som kan vara del av en större styrmodell?
De senaste månaderna har det knappt gått en dag utan att informations- och it-säkerhet utgör en del av medias huvudnyheter.
Det känns litet ovant att helt plötsligt arbeta med ett hett ämne men mediabevakningen ger också en insikt om hur området ser ut utifrån.
En inte helt uppbygglig syn: det finns stora problem som varit kända sedan länge och som det satsas omfattande resurser på för att lösa men där det råder förvirring i hur de aktörer som arbetar med frågan ska koordinera sig.
Vanligt förekommande reportage är en myndighetsrepresentant som presenterar hotbilder med tillägget att den egna myndigheten har förslag på lösningar som går att fixa bara man får mer pengar.
En trött metafor är klassfotboll där alla sjuåringar springer på bollen samtidigt, i mitt huvud har istället titeln på en pjäs av Pirandello dykt upp: Sex roller söker en författare.
Det behövs helt uppenbart ett gemensamt manus för samhällets aktörer.
Efter några inlägg av ständigt gnäll är det dags att skriva litet mer om vad som kan göras.
Då menar jag inte för den enskilda organisationen utan litet mer pretentiöst på den nationella nivån.
I några inlägg ska jag resonera om den nationella styrmodell för informationssäkerhet som den enhet jag ledde på MSB började arbeta med, ett arbete som dess värre aldrig hann fullföljas.
Inläggen kommer att i huvudsak utgå från offentlig sektors behov men eftersom det finns ett stort antal privata aktörer som deltar i leveransen av det gemensamma åtagandet är det inte ett helt konsekvent perspektiv.
Utgångspunkten är att trots avsevärda insatser tycks inte informationssäkerheten förbättras nämnvärt i förhållandet till den digitala utvecklingen.
Gapet mellan den verkliga säkerhetsnivån och den önskvärda ständiga ökas istället för att slutas.
Eftersom bilden är genomgående och den samma oavsett om det är myndigheter, landsting eller kommuner vi pratar om får det ses som ett strukturproblem som sannolikt inte går att avhjälpa i den enskilda organisationen utan kräver en gemensam styrning.
Och även om det förekommit mycket fnysande kommentarer efter både skandalen vid Transportstyrelsen och nu senast om polis-debaclet av typen ”hur svårt kan det vara?” så är nog min uppfattning att det inte så himla enkelt att göra rätt som vissa vill hävda.
Orsaken är både bristen på samordning och en attityd hos de myndigheter som ska ge stöd som inte skulle ge full poäng i en kundnöjdhetsundersökning.
En annan premiss inte är fråga.
Även om vi bortser från det semantiska kaos som rått i den senaste tidens mediabevakning där begreppen informations-, it- och cybersäkerhet flugit som konfetti i luften återstår ett behov av att se olika dimensioner.
En grundläggande skillnad ligger i å ena sidan verksamhetens eget behov och å andra sidan statens krav på verksamheten.
Statens krav är sig mångtydiga från att skydda rikets säkerhet till att se till samhällets funktionalitet vilket inte är riktigt samma sak och dessutom tillkommer all upptänklig lagstiftning som innebär implicita krav på säkerhet.
Informationssäkerhet kan rimligen ses som en metodlåda som kan och ska användas i olika syften som är delvis motstridiga.
För att ta ett aktuellt exempel fick i dagarna FRA och MUST förstärkning med närmare en halv miljard för att åtgärder inom informations- och .
I kommentarer framgår det att avsikten är att utöka övervakningen med bland annat ytterligare sensorsystem.
Samtidigt ställer dataskyddsförordningen krav på stärkt personlig integritet vilket föranleder ett antal informationssäkerhetsåtgärder.
Att säga att ökad trafikövervakning inte direkt gynnar den personliga integriteten är väl inte att ta till överord.
Och så har vi NIS-direktivet som ska införas och som inte heller har mycket att komma med i det hänseendet mer än detta: Paragrafen genomför artikel 14.1–2 i NIS-direktivet.
Valet av säkerhetsåtgärder enligt 11 och 12 §§ ska grunda sig på en riskanalys.
Analysen ska kunna användas som beslutsstöd för leverantörens prioriteringar och avvägningar mellan olika typer av säkerhetsåtgärder i förhållande till tjänstens funktionalitet, finansiella och administrativa konsekvenser samt skyddet för den personliga .
Medan OECD tycker det är integritetsfrågorna är livsviktiga för den digitala ekonomin och att integritet och informationssäkerhet tillsammans måste tjäna som en plattform för diverse positiva utvecklingsfaktorer.
The OECD focuses on the development of better policies to ensure that security and privacy foster economic and social prosperity in an open and interconnected digital Informationssäkerhet är alltså en für från totalförsvaret till den enskildes säkerhet vid e-handel.
Många organisationer får därför hantera en mycket komplex kravbild på informationssäkerhet som idag inte är samordnad.
En styrmodell för informationssäkerhet skulle fylla en väsentlig funktion genom att integrera mångfalden av delvis motstridiga krav till en helhet.
Om detta inte sker på nationell nivå tvingas varje enskild organisation försöka lösa samma frågor med varierande resultat.
Förutom ett gigantiskt resursslöseri leder det också till försämrad förmåga att samverka i den gemensamma informationshantering som idag redan är uppbyggd samt till kvalitetsproblem.
Som så ofta vill jag här peka på kommunernas prekära situation när de med små organisationer ändå förväntas klara detta.
Utanför själva styrmodellen ligger en avgörande förutsättning: den offentliga sektorns användning av olika typer av it-resurser.
Informationssäkerheten måste vara utformad så den svarar på de behov som användningen av it skapar.
De säkerhetsåtgärder som behövs är av helt olika typ beroende på om den strategiska inriktningen är att man ska fortsätta på den väg mot ”cloud first” som tidigare beslutats eller om det ska ske en återgång mot mer drift och förvaltning i egen regi.
Detta påverka även faktorer som långsiktiga behov av investeringar i teknik och kompetensförsörjning.
Men inte bara de explicita målen för it-politiken spelar roll.
Att it-politik idag fortfarande, liksom under Alliansens regeringstid, ligger kvar som en näringspolitisk fråga ger en väsentlig förklaring till avsaknaden av tydlig inriktning för offentlig sektors digitalisering.
Detta är inte bara ett signalvärde utan gör att digitaliseringen ligger utanför den övriga förvaltningspolitiken.
Mycket påtagligt präglar det den lätt förvirrade strategin för Ryggmärgsreflexen för många i säkerhetsbranschen när man talar om styrning är ”reglering”, ett kvardröjande arv från den militär-polisiära bakgrunden.
Jag tror dock att det finns stora fördelar i att försöka se på styrningen av informationssäkerhet som på styrningen av övriga områden inom staten och den offentliga sektorn.
Att begrunda hur den svenska förvaltningsstyrningen generellt är tänkt att fungera är ett fruktbart spår där lärdomar kan dras till exempel från ESV:s breda uppdrag.
Personligen menar jag att den inom informationssäkerhetsområdet kanske mest underutnyttjade men samtidigt mest effektiva styrformen är kunskapsstyrning.
Styrningen kan inte heller ske enbart från de myndigheter ”med särskilda uppgifter inom området informationssäkerhet”.
En stor del av kraven på informationssäkerhetsåtgärder genereras från annat håll och då inte enbart från dataskyddsförordningen utan en mängd lagar, avtal och överenskommelser.
Min tolkning är att den förändrade kravbilden också kommer att förskjuta styrningen mot mer proaktivitet än den i huvudsak reaktiva inriktning som hittills varit rådande där insatser som tillsyn och incidentrapportering varit prioriterade.
Som den löshäst jag numera är, utan de förpliktigande hämskor som tyvärr vidlåder den statlige tjänstepersonen idag, tänkte jag unna mig att fritt spekulera i några inlägg om förutsättningarna för en nationell styrmodell och hur den skulle kunna se ut.
Inledningsvis ska jag uppmärksamma olika aktörer inom informationssäkerhetsområdet, vad de erbjuder idag samt (något förmätet) försöka bedöma en eventuell utvecklingspotential.
Regeringen har utlovat en cybersäkerhetsstrategi till i maj. Vad jag kan se har den ännu inte dykt upp men är kanske i antågande.
I väntan på detta passar jag på att skriva ner några förhoppningar på innehållet i strategin.
I det följande kommer jag att utgå från antagandet att strategin inte enbart kommer att handla om cybersäkerhet, detta oklara men uppenbart upphetsande begrepp, utan även om informationssäkerhet.
Frågan är vad statens intresse gällande cyber- och informationssäkerhet egentligen är, det vill säga vad en strategi bör avse att styra.
som rörde sig i samma härad var spretig i detta avseende och känns så här i efterhand som en önskelista från ett antal myndigheter utan en sammanhängande tanke kring samhällets behov.
Därför är en första förhoppning att strategin dels har modet att inte vara alltför influerad av NISU, dels att man istället försöker utgå från konkreta behov på samhällsnivå.
För att uttrycka det något klyschigt; mer ”pull” än ”push”, mer utifrån-och-in än inifrån-och-ut.
För mig har staten ett vitt spektrum av intressen inom informationssäkerhetsområdet från cyberkrigföring till information riktad till enskilda om säkert agerande på nätet.
Förhållningssättet måste av naturliga skäl skilja sig starkt inom spektrets olika delar.
När det gäller försvar och säkerhetsskydd är lagstiftning och repressiva incitament kanske lämpliga styrmedel medan i andra delar är kunskapsstyrning både det rimliga och det effektiva sättet att förbättra säkerheten.
Ett alternativ är att strategin endast omfattar de delar som rör rikets säkerhet och samhällsviktig verksamhet och skippar den informationssäkerhet som gör att samhället fungerar i normalläget.
En farhåga är dock att strategin endast kommer att beröra vissa typer av informationssäkerhetskrav och utesluta andra som till exempel de krav som emanerar ur dataskyddsförordningen.
Det vore olyckligt eftersom jag tror det främsta behovet just nu är att sammanfoga en helhet av styrning där staten tar ansvar för att beskriva hur de enskilda organisationerna ska förhålla sig till bland annat civil beredskap, totalförsvar, samhällsviktig verksamhet och infrastruktur samt dataskydd.
Till detta kommer visioner om digitalisering och öppenhet.
Staten har en viktig uppgift i att förklara hur helheten ska se ut, något som såvitt jag vet ännu inte är gjort.
Istället skjuts frågeställningen ner till den enskilda kommunen, myndigheten, landstinget eller företaget att lösa.
Förbryllande signaler kommer i de många utredningarna som var och en tycks undersöka sitt eget slutna rum.
Själv har jag ägnat omotiverat stort intresse för bilden i säkerhetsskyddsutredningen där säkerhetsskyddet tycks gälla för en fjärdedel (ja, jag har beräknat det) av all samhällets regleringar, av samhället eller av myndigheternas informationshantering eller av något annat odefinierat.
Egentligen säger väl bilden bara att säkerhetsskyddslagen är en särskild lag och att det finns andra lagar och regler.
Att det skulle vara en principskiss är kanske att dra det litet väl långt.
Självklart bör man inte tolka illustrationer på detta autistiska sätt men jag kan bara försvara mig med att det är den generella oklarheten som gör att jag tar varje halmstrå för att försöka förstå tanken hos utredarna.
För mig själv har jag försökt rita upp sambandet mellan de olika styrsystemen som jag tror kanske kan se ut så här: Till detta kommer och hur det ska införas i Sverige .
Jag utgår från att direktivet främst ska tillämpas på den samhällsviktiga verksamheten eftersom det är vad som står i direktivet även om det även gäller bland annat vissa molntjänstleverantörer utan att dessa behöver vara samhällsviktiga: De leverantörer av digitala tjänster som omfattas av direktivet är sådana som tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster.
Dessa leverantörer ska inte identifieras på det sätt som gäller för leverantörer av samhällsviktiga tjänster och omfattas av direktivet utan att någon bedömning ska göras av om de är samhällsviktiga eller inte.
Min bild, som jag inte skulle vilja slå vad om mer än chokladkaka om att den stämmer, bygger på förutsättningen att en verksamhet och/eller en informationshantering inte kan vara betydelsefull för rikets (Sveriges) säkerhet om den inte också är samhällsviktig men det kan den kanske?
Och hur ser relationen mellan beredskap och säkerhetsskydd ut?
Efter att ha närläst förslaget till ny säkerhetsskyddslag samt andra utredningar ser jag det som synnerligen angeläget att definiera vad som är av betydelse för rikets säkerhet respektive är samhällsviktigt.
Glider dessa begrepp ihop påverkar det både demokratiaspekter och effektiviteten i samhället.
Jag när en stark förhoppning om att strategin reder ut hur dessa olika säkerhetsområden förhåller sig till varandra eftersom det också verkar vara finnas ett internt behov inom regeringskansliet att göra det.
Ett exempel på detta är den nya digitaliseringsstrategin som nämner ”samhällsviktig” endast en gång i förbifarten men däremot hänvisar till säkerhetsskyddslagen (!)
och NIS-direktivet: Ett löpande och systematiskt säkerhetsarbete ska göras för att identifiera och förebygga säkerhetsbrister samt hantera incidenter.
Privata och offentliga verksamheter behöver utveckla medvetenheten om informations- och cybersäkerhet, t.ex.
hur de kan skydda sina nätverk och informationssystem.
Genomförandet av EU:s direktiv om åtgärder för en hög gemensam nivå på säkerhet i nätverk och informationssystem i hela unionen ([EU] 2016/1148) och arbetet med en ny säkerhetsskyddslag kommer att spela stor Intrycket är att det är säkerhetsskyddslagen som ska utgöra den främsta styrfunktionen för informationssäkerheten i digitaliseringen vilket för mig ter sig som en föreställning med många negativa konsekvenser både för demokrati och effektivitet.
Strategin har en viktig uppgift i att peka på hur informationssäkerheten i digitaliseringen främst måste styras via det systematiska och verksamhetsinriktade arbetet.
Att både tjänster och kommunikationslösningar är samhällsviktiga är en helt annan sak än att säkerhetsskyddslagen ska tillämpas.
En grundprincip för allt säkerhetsarbete bör vara att det inte bara gäller att införa så mycket säkerhet som möjligt – lika viktigt är att undvika att införa omotiverade säkerhetsåtgärder.
Kanske är digitaliseringsstrategins (i mitt tycke) missvisande inriktning ett resultat av att det är tämligen oklart hur den samhällsviktiga verksamhetens informationssystem ska skyddas.
Visserligen finns krav på risk- och sårbarhetsanalyser och snart genom NIS-direktivet även på incidentrapportering men vilka metoder, tekniska lösningar m.m.
som ska användas är ännu valfritt.
vad som ska utgöra samhällsviktig verksamhet måste varje aktör själv bestämma i det system för krisberedskap som byggts upp i Sverige som bottom-up snarare än top- down.
Söpple kommun måste själv avgöra vilken verksamhet som är samhällsviktig respektive av betydelse för rikets säkerhet samt, kvinnogissar jag, av betydelse för den civila beredskapen.
En cyber- och informationssäkerhetsstrategi skulle kunna peka på att det vore ganska bra att ta ett något starkare top-down-grepp.
I den allt mer komplexa informationsinfrastrukturen finns det all anledning för staten att med hela handen peka ut vilka tjänster och infrastrukturkomponenter som är samhällsviktiga.
Ingen enskild aktör är sig själv nog och ingen enskild aktör kan längre se hur beroendekartan ser ut, särskilt inte som den vägledning som finns för detta skrevs för ett decennium .
Ett konkret förslag är att den gamla ÖCB-rollen som MSB alltmer axlar också leder till att man agerar som ÖCB gjorde; talar om exakt vad som ska ses samhällsviktigt alternativt ingående i den civila beredskapen alternativt totalförsvaret och vad det föranleder för åtgärder.
En strategi ska ju peka ut vägen framåt.
Jag tänker mig att den nationella cyber- och informationssäkerhetsstrategin ska spela litet av samma roll som en policy i en organisations ledningssystem.
Det vill säga uttala en viljeinriktning samt beskriva ansvar och resurser för att förverkliga inriktningen.
En modell för den centrala styrningen vore att SÄPO/Försvarsmakten har precis som idag har ansvar säkerhetsskydd medan MSB:s ansvar däremot avgränsas till kravställning utifrån civil beredskap och samhällsviktig verksamhet.
ESV alternativt en ny digitaliseringsmyndighet skulle kunna överta uppdraget att stödja informationssäkerheten i normalläget samt för att kanalisera kraven från MSB, Dataskyddsmyndigheten (formerly known as Datainspektionen).
Slutligen är ett alternativ att Konsumentverket tar en större roll i att stödja privatpersoner i en säkrare it-användning.
Jag hör redan invändningarna: så många aktörer, det blir rörigt, hur ska de samordna sig?
Men detta är ju redan verkligheten.
Det jag föreslår är att strategin ska skapa en tydligare nationell spelplan istället för att de många, i vissa fall disparata, kraven lämnas osorterat till de enskilda aktörerna, som till exempel Söpple kommun, att försöka reda ut.
Förhoppningsvis skulle en organisatorisk form skapas för att avväga olika krav och intressen på ett enhetligt sätt istället för att 290 trötta kommunledningar var och en försöker gissa sig fram till vad som behöver göras (liksom dito myndighets-, regions-, landstings och företagsledningar).
Vissa grundaktiviteter som incidenthantering måste stödja olika behov och rapporteringsvägar för att ta ytterligare ett bevis på den nationella samordningens nödvändighet.
Den naturliga konflikten mellan säkerhet å ena sidan och verksamhetsnytta å den andra skulle också kunna hanteras på ett öppet sätt.
Jag ska inte tänja mer på tålamodet hos den eventuella läsare som hängt med ända hit genom att fortsätta räkna upp allt som pekar mot behovet av starkare samordning utan nöjer mig med en antydan om att jag har många exempel kvar i rockärmen.
Slutligen borde en strategi också gå in på hur kostnaderna för en bättre cyber- och informationssäkerhet ska fördelas.
Detta är viktigt inte minst eftersom det finns ett stort antal privata aktörer som är delaktiga som utförare av för samhället viktig verksamhet.
Den sangviniska hållning utredningen avseende ny säkerhetsskyddslag intar gällande kostnader i konsekvensbeskrivning är knappast hållbar: Sammanfattningsvis har vi kommit fram till att våra förslag inte bör innebära annat än marginellt ökade kostnader vare sig för det allmänna eller för enskilda jämfört med nuvarande lagstiftning.
I ärlighetens namn tror jag att alla insatta vet att säkerhet kostar och ibland kostar rejält.
Att för ett enskilt företag genomföra alla de potentiella åtgärder som ligger i förslaget till säkerhetsskyddslag har en prislapp och det hade varit hedervärt om utredaren tagit sitt ansvar och utrett det närmare.
Det känns aningen mästrande när statliga utredare skriver: Av kommersiella skäl finns det där starka incitament till en god informationssäkerhet.
Vår bedömning är att det finns en stor vilja att i sådan verksamhet följa internationella standarder som t.ex.
Detta sammantaget innebär att den förändring som vi föreslår träffar verksamheter där dessa tillkommande krav på informationssäkerheten redan bör vara omhändertagna.
Vad man bygger denna bedömning på är oklart.
Tillkommer gör kostnader för civil beredskap, samhällsviktig verksamhet, NIS och dataskyddsförordning.
Sammantaget uppfattar jag detta som icke oväsentliga kostnader för den enskilda aktören.
Visserligen kan man hävda att dålig säkerhet kostar minst lika mycket men genom att det är till stor del obligatoriska säkerhetsåtgärder som tillkommer kan inte längre Söpple kommun gambla och ta risken.
Finansieringen bör därför vara något av ett huvudnummer i en strategi.
Detta är skrivet under påverkan av en finsk förkylning vilket kanske gör att min vision om strategin blir litet väl hallucinatorisk.
Men låt oss ändå hoppas att vår väntan belönas med något mer konkretion och problemlösning än de senaste utredningarna på området levererat.

Riktlinje informationssäkerhet Anvisning för informationsklassicering Anvisning för informations- och it-säkerhet för medarbetare Alla våra moderna samhällsbärande system bärs upp av den nya informationsteknologin.
Det går inte att organisera fram cybersäkerhet utan det krävs resursförstärkningar.
Enligt x mening är det av strategisk betydelse att kunna säkerställa kompetensförsörjningen inom informationssäkerhetsområdet.
X konstaterar också att staten behöver egen och unik kompetens.
Staten har också det yttersta ansvaret för den nationella säkerheten, vilket ställer särskilda krav.
Staten förfogar över en rad administrativa, ekonomiska och informativa styrmedel.
I praktiken är dessa relativt svagt utvecklade på informationssäkerhetsområdet.
Vår sårbarhet ökar och vi har stora brister trots att stora åtgärder vidtagits.
Energi (elektricitet, olja, gas) Transporter (lufttransporter, järnvägstransporter, sjöfart, vägtransport) Bankverksamhet Finansmarknadsinfrastruktur Hälso- och sjukvård (hälso- och sjukvårdsmiljöer [inklusive sjukhus och privata kliniker]) Leverans och distribution av dricksvatten Digital infrastruktur Initiera akut felavhjälpning Inleda återställelsearbete (kontinuitetshantering) Ge underlag för långsiktig förbättring Rapportering internt och externt Indirekt: försörja riskanalys ocht i stort

Meny NIS-direktivet Inläggsnavigering

MENU MENU Postat av → Postad i , , , , , , , Tagged , , , , , , , Postat av Postad i , , , , , , Tagged , , , , , Postat av Postad i , , , , , Tagged , , , , , Postat av Postad i , , , , Tagged , , , , , Postat av Postad i , , , , , Tagged , , , , , , Postat av Postad i , , , Tagged , , , , , Postat av Postad i , , , , , , , Tagged , , , , , , , Postat av Postad i , , , , , Postat av Postad i , , , , Postat av Postad i , , , ← Sök efter:

Förslag till informationssäkerhetspolitik.
Informations- och cybersäkerhet i Sverige Informationssäkerhet för samhällsviktiga och digitala tjänster, reboot – omstart för den digitala förvaltningen

I mitt förra inlägg hävdade jag att arbetet med informationssäkerhet alltför ofta kännetecknas av byråkratiska aktiviteter utan reell säkerhetshöjande effekt men däremot med ett anspråkstagande av verksamheters resurser på ett orimligt sätt.
Det är ju inte heller enbart kärnverksamhetens resurser som används på ett sätt som kan etiskt ifrågasättas.
Att säkerhetsarbetet bedrivs utan hänsyn till hur effektiv användningen av resurser är samtidigt som den oavlåtliga klagovisan ljuder att säkerhetsarbetet får för litet resurser, ständigt för litet resurser, är paradoxalt.
För den som arbetar med säkerhet borde det ha högsta prioritet att få fram arbetssätt som ger största möjliga utdelning av säkerhetshöjande effekter i förhållanden till insatta resurser.
Tyvärr har jag sett mycket litet av den typen av analyser och jag kan t.o.m.
tycka att säkerhetsområdet får rejält med pengar sammantaget utan det riktigt framgår vad som kommit ut av det.
Rubriken på blogginlägget är aningen ironisk eftersom det väl nu är allmänt känt att effektiviseringar sällan leder till bättre verksamhet.
Jag tycker ändå att det är klädsamt om vi som jobbar informationssäkerhet, som är en stödfunktion, håller upp spegeln och ser vad vi kan göra när kärnverksamheten i många organisationer är hårt pressad av krav på besparingar.
Att försöka göra saker bättre och mer kostnadseffektiva behöver inte heller vara till nackdel för metodutveckling, jag dristar mig att anse att det skulle vara en fördel om det fanns ROI-perspektiv på både planerade och genomförda säkerhetsåtgärder.
Jag tror det skulle vara ett stort stöd för många informationssäkerhetsansvariga som nu ibland verkar beta av ett antal aktiviteter utan att kunna bedöma vad det egentligen leder till.
Vissa aktiviteter kan vara stora och dyrbara men det handlar också om annat där kostnaden kanske inte är så stor men effekten ännu mindre.
Att genomföra generiska e-utbildningar är enligt min erfarenhet tämligen bortkastat mensom initierat dem kan bocka av en ruta.
För mig betyder detta mekaniska tillvägagångssätt, förutom pengar och medarbetares tid i sjön, att organisationen invaggas i en vilseledande och farlig falsk trygghet.
Det tämligen obefintliga effektivitetspressen inom säkerhetsområdet, som är så kännbar i andra sektorer, tycker jag mig se leda till en lättja i tanke och i handling.
Det är lätt att glömma bort men informationssäkerhet handlar i grunden om att .
Har man inte det så har man inte en fungerande informationssäkerhet.
Med detta i bakhuvudet så kan den seriösa informationssäkerhetsarbetaren inte leva efter bekvämlighetsprincipen och hela tiden göra det som känns enklast.
Att enbart identifiera information som råkar finnas i system som man redan känner till är som, för att använda en mycket uttjatad bild, att leta efter den borttappade nyckeln under gatlyktan eftersom det är enklast.
Tyvärr är det så jag uppfattar rätt mycket av de insatser som går under beteckningen ”informationsklassning” som inte leder till kontroll över den information som är viktig för verksamheten utan den som redan finns bekvämt paketerad i en behållare a.k.a ett ”system”.
Ibland när jag får ”verktyg” för informationsklassning som är obegripligt efterfrågade presenterade för mig kan jag inte låta bli att fnissa till och tänka på min bekant som var kommunal it-chef på 1990-talet.
Hen hävdade att det var en underbar tillvaro där hen sågs som en wizzard som på vilken fråga som helst (i princip) från verksamheten kunde hacka ihop ett it-verktyg för att lösa en uppgift.
”Stöd” sågs helt enkelt som synonymt med någon slags programvara.
Tyvärr tycks denna uppfattning leva kvar bland många i informationssäkerhetsbranschen trots att det ofta är de icke-digitala delarna i en aktivitet som är svåra.
I informationsklassning (se nedan) är den stora frågan exempelvis att göra rätt analyser, inte att hålla reda på genomförda klassningar.
Innehåller verktygen dessutom generiska skyddsåtgärder uppstår en annan problematik: vem tar då egentligen ansvar för att det är korrekta skyddsåtgärder i förhållande till risken?
Efter denna salva känner jag mig förpliktigad att ge exempel på alternativ.
Här kommer därför ett förslag på arbetssätt motsvarande informationssäkerhetens kinderägg.
De tre fördelarna med mitt förslag är att man faktiskt arbetar med information – inte system, att man kan bygga upp en likvärdig säkerhet i likartade verksamheter och att kostnader i form av pengar och tid radikalt skulle kunna minskas samtidigt som får ökad kvalitet/säkerhet.
Med avsikt har jag valt en mycket säkerhetskänslig funktion som även är mycket vanligt förekommande: processen för läkemedelshantering i äldreomsorgen.
För att ge en kort bakgrund så ombesörjs äldreomsorgen med de 290 kommunerna som huvudman.
Kommunerna kan bedriva omsorgen själva eller anlita underleverantörer som privata vårdföretag.
Oavsett vilket så är det kommunen som har ansvar som sjukvårdshuvudman och ska därmed säkerställa att omsorgen bedrivs på ett säkert och likvärdigt sätt oavsett utförare.
En central del i omsorgen av äldre är läkemedelshanteringen.
Äldre som inte får rätt läkemedel i rätt dos vid rätt tidpunkt löper en avsevärd hälsorisk, i värsta fall med döden som utgång.
Omsorgen sker dygnet runt av ett antal medarbetare som vid varje givet tillfälle måste ha korrekt och spårbar information tillgänglig.
Samtidigt berör uppgifterna om läkemedel omsorgstagarens hälsotillstånd vilket gör dem till känsliga personuppgifter som måste omges med ett mycket starkt skydd mot obehörig åtkomst.
Utöver detta finns en särskild risk i läkemedelshanteringen, narkotiska preparat och även andra är mycket stöldbegärliga.
Även detta stärker det utpräglade behovet av spårbarhet där varje händelse kan följas och och kopplas till person som i en lång verifikationskedja.
En generisk processbeskrivning på övergripande nivå skulle kunna se ut så här.
Inga konstigheter i det men man kan gå ett fördjupande steg till utan att beskrivningen skulle tappa särskilt mycket i allmängiltighet med däremot fånga upp vilken information som hanteras, se detta utsnitt ur processen: Processen startar med att en av regionens läkare gör en läkemedelsordination vilket dokumenteras i regionens vårdsystem samt i den nationella läkemedelslistan.
Dessa moment ligger utanför processbeskrivningen ovan som startar med att information om ordination överförs till kommunen som en pappersutskrift vilket startar processen.
Den intresserade kan notera följande: Detta är inte på något sätt unikt för den här processen utan gäller för många andra.
Slutsatsen man kan dra är att om man seriöst så räcker det sannerligen inte med att ”klassa” ett enskilt system utan måste få kontroll över hela informationshanteringen.
Inte heller att enbart titta på digital information utan det är just helheten som måste fångas för att rätt åtgärder ska kunna vidtas.
Även för dataskyddet är detta en självklarhet – man kan liksom inte bara skydda personuppgifter i digital form.
I den ovan beskrivna processen finns t.o.m.
bärare som apodos-påsar som måste omhändertas på ett korrekt sätt.
Det kan tyckas ansträngande att inte bara få ägna sig åt färdigpaketerad information prydligt avgränsad i system men här finns istället stora effektivitetsvinster att göra.
Det går att klassa informationsmängden ”ordination” och så vidare så att det går att använda som en i samtliga kommuner oavsett vilka bärare man för tillfället råkar använda.
Dagens rekommendation från myndigheter och SKR är att 290 kommuner med vissa fall flera förvaltningar som bedriver äldreomsorg ska klassa system i varje förvaltning.
Dessutom måste samma manöver upprepas av de privata vårdgivare som anlitas av kommunerna.
Enligt beräkningar fanns 2019 14900 företag som ägnade sig åt vård och omsorg.
Jag har inte riktigt tid att fördjupa mig i exakt hur många av dessa som bedriver äldreomsorg men för saken skull så utgår jag från att det åtminstone finns 500 privata äldreboenden.
Sammantaget kanske det då behöver göras 850 klassningar av olika vårdgivare.
Låt oss höfta och säga att resursåtgången per klassning är minst 100 timmar inklusive förberedelser och dokumentation (detta är extremt lågt räknat med tanke på att det ofta är ett flertal deltagare på klassningarna) för att klassa ett system som stödjer en liten del av ordinationsprocessen.
Lustigt nog kommer det också att bli samma system som klassas gång på gång med varierande resultat.
Kontentan blir alltså bristande kontroll över informationen och bristande likvärdighet mellan olika äldreomsorgsverksamheter till en sammantagen resursåtgång av 85 000 timmar.
Betänk också att detta bara är en av flera processer bara i äldreomsorgen.
Mitt förslag är att man istället slår ihop sina påsar, tar fram gemensamma normerande klassningar skyddsnivåer.
Skyddsnivåerna måste då tas fram i stor öppenhet där det redovisas hur man ser på olika risker och hur de föreslagna skyddsåtgärderna avses reducera dessa.
Koppling till krav i föreskrifter med mera bör även finnas.
Skyddsnivåerna måste även innefatta skydd av andra bärare än system och molntjänster, t.ex.
fysiskt skydd av papper.
En jätteuppgift är att hålla skyddsnivåerna uppdaterade så att de inte ger förlegade rekommendationer.
Då ska vi komma ihåg att detta ändå skulle kräva en bråkdel av de resurser som skulle gå åt om varje vårdgivare skulle genomföra alla moment själv.
Jag kan mycket väl tänka mig att man i många fall även kan ge förslag på arbetsrutiner.
Vad skull då detta kunna innebära i praktiken?
Naturligtvis skulle ansvaret för säkerheten aldrig kunna delegeras men exempelvis en vårdgivare skulle kunna gå i ett bibliotek av olika verksamhetsprocesser, välja ut den aktuella och få fram en bild av generisk process samt en normerande klassning av typen nedan (fast ifylld): Därefter jämför vårdgivaren med sin egen verksamhet hur väl det presenterade materialet stämmer överens.
Gör det det i stora drag, kanske med litet annorlunda benämningar, så skulle vårdgivaren med detta stöd kunna ta sig ner till nivå att kunna köpa rätt skåp att förvara den enskilde vårdtagarens medicin i. Att krav på digitala lösningar ingår är naturligtvis självklart.
Som en bonus kan även krav på bevarande och gallring läggas in.
Det kan kännas som en överväldigande uppgift att ta itu med men minns då att den redan är överväldigande och idag tynger kärnverksamheten på ett orimligt sätt.
Kan vi åtminstone ta fram normerande klassningar för generiska processer i samhällsviktig verksamhet skulle vi ge möjlighet att höja samhällssäkerheten högst väsentligt och dessutom kunna reducera resursåtgången.
Eftersom myndigheterna med särskilt ansvar för informationssäkerhet förefaller skeptiska till den här typen av stöd finns det utrymme för andra aktörer att träda fram.
Sedan jag skrev mitt förra blogginlägg där jag förordade att vi borde införa en starkare gemensam styrning av informationssäkerheten bland annat i form av gemensamma skyddsnivåer samt t.o.m.
ett gemensamt ledningssystem har jag flera gånger fått frågan ”har du kollat på KLASSA?”.
Svaret är ja, det har jag och till och med skrivit på bloggen .
Sedan dess har det skett en viss men som jag ser det så kvarstår de huvudproblem som jag skrev om i det tidigare inlägget.
Att man dessutom tagit bort spårbarhet som en bedömning i klassningen gör ju inte saken direkt bättre (vilket också ett antal personer verksamma i landsting och kommuner upprört framfört till mig).
De mest övergripande invändningarna jag hade var att verktyget bygger på att man klassar system, inte information, och att säkerhetskraven är alldeles för glesa.
Detta kan menar jag leda till att man snarast skapar säkerhetsproblem än förebygger dem eftersom en organisation kan bli invaggad i en falsk trygghet av att ha vidtagit åtgärder när de i själva verket är otillräckliga.
Dessutom stöds samma aktivitet ofta av samma eller snarlik information på olika bärare som i detta exempel från en tämligen harmlös anställningsaktivitet direkt hämtad från verkligheten: Om man då fragmentiserar klassandet till att endast omfatta informationen då den exempelvis befinner sig i rekryteringsverktyget missar man ju att skydda samma information då den förekommer i andra sammanhang.
Ju fler olika typer av tjänster och bärare som används desto viktigare blir det att ha kontroll över informationen oavsett var den befinner sig.
Med tanke på att verktyget är framtaget för kommunal verksamhet blir man litet brydd i detta hänseende när man tänker på vissa av de mest känsliga verksamheterna.
Ta till exempel överförmyndarna där konfidentialitet, riktighet och spårbarhet är oerhört viktiga för att verksamheten ska kunna bedrivas.
Överförmyndarnas informationshantering sker i en komplex mosaik av bland annat enskilda beslutssystem, lagringsytor, papper och mail.
I detta sammanhang är det självklart helt otillräckligt att bara genomföra en systemklassning av ett ärendehanteringssystem.
Man skulle kunna invända att överförmyndarna är en liten och unik verksamhet med specifika krav där man inte kan förvänta sig att generella metoder ska kunna fungera.
Visserligen svarar jag men i grunden gäller detta för de flesta verksamheter inom en kommun eller landsting eller t.o.m.
med en statlig verksamhet oavsett omfattning.
Kraven på säkerhet ligger på alla de bärare, inte bara det som en händelse definieras som ett ”system” (vilket dessutom är alltmer oklar definition sett till dagens tekniska utveckling).
Återigen vill jag propagera för att istället se det som att system och tjänster ska certifieras för att klara vissa skyddsnivåer – inte klassas.
Bortsett från kvaliteten på metoden för klassningen funderar jag över det i mitt tycke oproportionerliga intresse som finns för klassning och incidenthantering.
Samt att detta intresse tar sig uttryck i att klassning respektive incidenthantering ses som fristående aktiviteter och inte som delar i en större helhet.
Det fragmentiserade synsättet går igen i de metoder som presenteras.
Den bärande idéen är att varje organisation med egna resurser och egna värderingar ska styra informationssäkerheten i den egna verksamheten.
Detta menar jag är ett mer och mer verklighetsfrämmande paradigm i en värld där vi i allt högre grad delar information mellan organisationer samt mellan organisationer och individer.
I ett digitalt tjänstesamhälle är det inte den interna säkerheten i den enskilda organisationen som är det mest centrala utan den gemensamma infrastrukturens säkerhet.
Det är ungefär som att i vägtrafiken låta varje transportföretag men även varje individ ta fram sina egna regler och tillämpa dem på de gemensamma vägarna.
Det är klart att man genom frivilliga samordnande insatser och tillsyn skulle uppnå en viss effekt men jag tror de flesta skulle uppfatta det som ett absurt och närmast nihilistiskt trafikpolitiskt förslag.
När det gäller säkerheten i den digitala infrastrukturen är fortfarande en dominerande uppfattning.
I det tidigare blogginlägget om KLASSA ställde jag upp sex krav på en fungerande metod för informationsklassning.
Omättligt krävande som jag är vill jag nu lägga till två ytterligare.
För det första måste metoden vara tillämplig även i ett större sammanhang än i en enskild organisations användning av ett system.
För det andra ingå i en större helhet av systematiskt– att klassa information utan relation till det kretslopp av övriga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering, ansvarsfördelning och uppföljning är inte effektivt säkerhetshöjande.
Särskilt inte om skyddsnivåerna har stora brister.
Informationsklassning är helt enkelt inte sååå viktig i sig.
Men inte ens då tror jag att detta är en särskilt bra väg att gå.
Det inte alldeles enkelt att utföra klassning på ett välavvägt sätt ens med stöd av en bra metod.
Vad som krävs är erfarenhet och kompetens inom informationshantering och risker samt förståelse för hur organisationer fungerar.
Att klassa information är inte att som professor Balthazar stoppa in information i ett rör på en informationsklassningsmaskin och med automatik få ut en färdig klassning.
Därför är det inte en metod där olika organisationer förväntas göra sina egna klassningar en lösning på det mycket stora kompetensunderskottet – kompetensen behövs ändå.
Och om alla gör sina egna bedömningar i en gemensam struktur kan man fråga sig vad som blir resultatet.
En god gissning är att den lägsta nivån blir trendsättande inte minst eftersom om en part har en låg nivå på sina säkerhetsåtgärder riskerar det övriga aktörers säkerhet.
Den som har gjort en större investering riskerar att få denna investering underminerad av den som väljer en lägre nivå – ekonomin i att ändå välja den högre nivån kan starkt ifrågasättas.
Att klassa information är varken så enkelt eller så viktigt som enstaka aktivitet som man ibland vill ge sken av.
Sammantaget vill jag därmed propagera för en mycket starkare styrning av processer, informationshantering och informationssäkerhet där den gemensamma grunden inte är optional.
Vi måste lämna det föråldrade synsättet där ”system” sätts i centrum och istället inse att det är en informationsinfrastruktur som måste hanteras med vederbörlig respekt och med styrande säkerhetsregler.
Kanske har vi förlorat ett decennium av möjligheter att skapa en gemensam informationssäkerhet genom att låta en slavisk tolkning av ISO 27000 kombineras med en flummig samordningstanke.
Det räcker inte med lösryckta initiativ kring olika aktiviteter som klassning utan vi måste se att ebygger på en samverkande helhet av säkerhetsåtgärder.
”Inget är så starkt som en idé, vars tid har kommit” skrev Victor Hugo.
Egentligen tycker jag att den nu inte längre så nya verksamhetsbaserade arkivredovisningen (RA-FS 2008:4) borde ha fått större genomslag i kommunsverige vid det här laget.
Visst, det är många kommuner som infört verksamhetsbaserad arkivredovisning och även börjat skruva till sina dokumenthanteringsplaner (a k a informationsförvaltningsplaner), men därifrån till att arkivredovisningen verkligen implementeras såväl tekniskt som verksamhetsmässigt känns vägen lång.
Kanske ligger en del av förklaringen i att arkivvärlden tidigare in behövt förklara saker för verksamheten på samma sätt tidigare.
I den gamla pappersbaserade världen (och den hängde med längre än många tror i den kommunala världen) skötte arkivarien eventuella sökningar efter avställda handlingar.
Hän behövde inte förklara så mycket för verksamheten och verksamheten behövde heller inte veta så mycket om hur söket faktiskt gick till.
I och med RA-FS 2008:4 tvingas arkivvärlden och resten av verksamheten mötas på ett helt annat sätt än tidigare.
Intentionerna med RA-FS 2008:4 är ju, vilket framgår tydligt av vägledningen ”Redovisa verksamhetsinformation”, att arkivredovisningen (och då främst klassificeringsstrukturen) ska styra informationshantering i såväl diarium som verksamhetssystem.
Denna intention stöder jag för övrigt till fullo!
Men…som säkert många av er som läser Fias blogg vet så är det lättare sagt än gjort att skapa dylika styrningar.
Förutom det hästjobb som många av er lagt ned på att beskriva verksamhetsprocesser, uppdatera dokumenthanteringsplaner, eventuellt försöka väva in informationssäkerhetsperspektivet (inklusive dataskydd) så ska ni dessutom lyckas få femtioelva systemägare, chefer m fl att förstå vikten av att detta arbete genomförs samt implementeras i diverse system/tjänster.
Jag är själv ingen ”äkta” arkivarie, utan har närmat mig disciplinen via diverse jobb inom informationshantering och verksamhetsutveckling.
Jag vill ändå tro att jag har lyckats förstå ganska mycket av RA-FS 2008:4 och vägledningen som nämndes ovan.
Jag var bland annat med och startade upp arbetet med att införa den nya arkivredovisningen hos Myndigheten för samhällsskydd och beredskap (MSB).
Redan då, 2011, kände jag att det var tufft att förklara det värde den skulle kunna tillföra verksamheten.
Det var snarare än fråga om att uppfylla Riksarkivets krav på myndigheten.
Eftersom det pågick ett arbete med att införa ett ledningssystem för informationssäkerhet (LIS) på MSB så väcktes idén att försöka slå två flugor i en smäll.
Tanken var att en dokumenthanteringsplan rimligen borde kunna beskriva hanteringsregler utifrån såväl ett arkivperspektiv som ett informationssäkerhetsperspektiv.
Många av de krav som ställs från respektive håll är trots allt överlappande.
Eftersom jag jobbat en tid på ett bolag som hette Astrakan och därför arbetet en del med processmodellering kändes det naturligt att försöka beskriva sambanden med hjälp av grafiska processer I och med Riksarkivets föreskrift (RA-FS) 2008:4 ska myndigheter i Sverige redovisa sina handlingar utifrån verksamhetens processer istället för enligt det gamla klassificeringsschemat från 1903.
Denna omvälvning har också på allvar börjat slå igenom i kommunsverige, vilket på många sätt är bra och egentligen bara en återspegling av den verkliga informationshanteringen.Dock upplever jag fortfarande, och jag tror att jag är i relativt stort sällskap, att det är svårt att pedagogiskt förklara för kommunens verksamheter hur arkivredovisningen kan hjälpa till att styra upp informationshanteringen annat än i själva arkivet.
Därför har jag tagit fram följande grafiska presentation.
It-incidenter och andra störningar som påverkar informationshanteringen är och kontinuitetshantering i ett informationssäkerhetsperspektiv är en allt hetare fråga.
Detta förstärks naturligtvis av att vårt beroende till informationshanteringen är i ständig tillväxt liksom riskerna, både de medialt tacksamma antagonistiska hoten och de mer vardagliga som uppdateringar som misslyckas, buggar och hårdvaruproblem.
Utan tillgång till information och kommunikation befinner sig organisationer snabbt i krisläge.
Stora resurser ofta behövs för att åtgärda orsaken till incidenten och för återställelse till normalfunktion men också för att upprätthålla verksamhetsprocesserna med reservrutiner.
I idealläget finns en planering för åtgärder, återställelse och verksamhetsprocessernas reservrutiner samt, inte minst viktigt, för kommunikation med medarbetare och externa intressenter.
Planerna är övade, samordnade och ständigt förbättrade.
Organisationen är också medveten om att det inte bara är tillgängligheten som påverkas av avbrottet, det finns även stora risker för obehörig åtkomst och för negativa konsekvenser för riktighet och spårbarhet.
I verkligheten är i idealläget ganska långt borta vilket inte bara är en personlig erfarenhet utan framgår också från de undersökningar som gjorts av statliga myndigheter och kommuner.
Hur det står till i privata företag finns det ingen lika heltäckande undersökning av men indicierna är starka på en liknande situation även där.
Tyvärr gäller detta även verksamheter som allmänheten har stora förväntningar på ska kunna fungera även under svåra omständigheter, som sjukvården.
Den kanske mest genomarbetade analysen av dessa litet skrämmande förhållanden gjordes av Tom Andersson i en mycket intressant av läkemedelshanteringen i Västra Götalandsregionen.
Utöver de reflektioner som Tom Andersson själv gör i studien finns det några övergripande faktorer som jag anser gör det svårt för den som villa skapa en fungerande kontinuitetshantering i den egna organisationen.
Den kanske mest avgörande är att i princip alla offentliga och privata organisationer idag av sina uppdragsgivare förväntas planera enbart för ett ständigt normalläge.
Att i budgetdiskussioner hävda att det behövs en marginal, litet luft i systemet, litet extrakapacitet att ta till i händelse av störningar skulle i bästa fall väcka förvånade huvudskakningar.
Lean är möjligen en organisationsfilosofi på utgående men önskan att slimma verksamhetsprocesserna till allra nödvändigaste är numera etablerad i flertalet organisationer.
Tyvärr är det oundvikligt att en fungerande kontinuitetshantering kräver att organisationen ska klara situationer utanför normalläget vilket innebär extra resurser både för själva åtgärds- och återställelsearbetet och för reservrutiner som dessutom måste övas för att fungera.
En stor del av tidigare offentligt finansierad och offentligt utförd verksamhet överförts till privata utförare utan att avtalen innehåller krav på att utföraren ska ha en kontinuitetshantering vilket ytterligare försvårar situationen.
Även den som fått budget och sanktion för att skapa en kontinuitetsplan för informationshanteringen i den egna organisationen kommer att ha en svårhanterlig uppgift framför sig.
Informationshanteringen sker inte längre enbart i den egna organisationen utan är en del i ett komplext samspel med andra.
En processkartläggning över en verksamhetsprocess beroenden till olika tjänster och resurser för informationshantering som dessutom ständigt förändras är ett nödvändigt underlag.
Att få kontroll över denna helhet och skapa förutsättningar för att kunna hantera störningar är inget som går att lösa i ett projekt utan kräver ett systematiskt och uthålligt arbete där många interna och externa parter måste vara involverade.
I många sammanhang finns den outtalade förutsättningen att organisationer har en generell kontinuitetshantering som det går att komplettera med informationssäkerhetsaspekterna.
I ett sådant scenario finns redan modell och andra viktiga komponenter som ansvarsfördelning på plats.
Tyvärr är min erfarenhet att detta sällan är hur verkligheten beskaffad i flertalet organisationer.
Vad som finns är kanske en krisledningsorganisation men ingen faktisk planering eller övning av händelser då centrala resurser faller bort.
Den informationssäkerhetsansvarige får då arbeta i underläge och ta ansvar för mycket mer än vad som ligger i rollens mandat och uppgifter.
Här tror jag många informationssäkerhetsansvariga resignerar och med viss förtvivlan grubblar över hur de ska kunna göra det som de ändå vet är en mycket viktig del i uppdraget.
Varken för den generella kontinuitetshanteringen eller den som är specifikt inriktad på informationssäkerhet finns det mycket stöd att hämta.
Detta trots att förmågan att upprätthålla den verksamheten vid större störningar och kriser är ett ansvar som i det svenska krishanteringssystemet ligger på den enskilda organisationen.
Det finns naturligtvis standarder och konsultföretag som kan hjälpa till men någon nationell modell eller metod finns inte etablerad även om detta efterfrågats av bland annat kommuner.
Att plocka fram en egen modell eller metod framstår säkerligen för de flesta medelstora och små organisationer som övermäktigt.
Ur ett samhällsperspektiv är det också en suboptimering om alla organisationer ska ta fram egna varianter som dessutom inte är koordinerade sinsemellan.
Denna dystra bild får ändå inte göra oss passiva eftersom kontinuitetshanteringen är så betydelsefull för oss både i den enskilda organisationen och på en samhällsnivå.
Nedan följer några tips som ändå kan underlätta arbetet.

Merparten av informationsmängderna är även de att betrakta som tämligen generiska Merparten av informationen hanteras i pappersform, detta särskilt i kritiska aktiviteter i processen En stor del av informationen finns på flera bärare samtidigt I hela processen är spårbarheten är essentiell för patientsäkerheten Prioritera verksamhetsprocesser.
Vid en större störning kommer det inte att vara möjligt att upprätthålla all verksamhet utan de resurser i form av exempelvis tjänster, kommunikation och medarbetare måste användas för de processer som ledningen prioriterar.
Prioriteringen ska inte ske under störningen utan under exempelvis verksamhetsplanering.
Kartlägg beroenden.
Genom processkartläggning går det att identifiera vilken information och vilka bärare som är nödvändiga för att upprätthålla processen.
Det ger också ett bra underlag för it-ansvariga att ta fram den planering som ska ske mellan olika tjänster och andra it-resurser.
Håll planeringen så enkel som möjligt.
Alltför komplexa planer blir snabbt inaktuella och dessutom svåra att hantera i ett kritiskt läge.
Det är sällan intressant att gå djupare i olika tänkbara orsaker till störningen utan det är störningens effekter på verksamheten som är det intressanta.
Att koncentrera sig på effekterna gör också planeringen enklare än att ha en mängd olika alternativ utifrån olika orsaker till störningar.
Se till att ledningen är beslutsför.
Under ett akut skede måste ett antal beslut tas som ligger utanför det som är möjligt att planera och då måste de som har en ledningsfunktion känna sig trygga i att de får fatta beslut.
Förbered för kommunikation.
God kommunikation med de egna medarbetarna och med intressenter utanför den egna verksamheten är oumbärlig både före, under och efter en större störning.
Öva, öva,öva!
Övningar kan ske under mycket anspråkslösa former som exempelvis på en arbetsplatsträff där man går igenom ett scenario och simulerar de steg som planen innehåller.
Mycket nyttigt både för planen,och verksamheten.

ha kontroll över sin information normerande klassning och

Meny Processkartläggning

MENU MENU Postat av Postad i , , , , Tagged , , , , , , , , , Postat av Postad i , , , , Tagged , , , , , Postat av → Postad i , , Tagged , , , , Postat av Postad i , Tagged , , , Sök efter:

Tack Calle Lilius för bilderna!
Detta är ett gästinlägg av Fredrik Granholm, verksamhetsarkitekt i Sollefteå kommun.

Jag ska nu framföra den något inopportuna åsikten att det dokumenteras för litet i organisationerna.
Inopportun eftersom vi fortfarande lever i en tid med oändlig övertro på fragmentiserade mätvärden, checklistor, matriser och inkodande, väl skildrat .
Huvudsak blir bisak och frågan är allt oftare för vems skull allt detta registrerande sker, kanske inte för patienten eller eleven utan för att försörja något multinationellt företags omätliga begär efter data?
Det är inte denna typ av dokumentation jag skriver om här utan snarare när matriser ersätter resonemang och utvecklade bedömningar.
För att ta informationssäkerhetsområdet som ett exempel ser jag som regel snarare än undantag informationsklassningar och riskanalyser vars värde kan ifrågasättas, särskilt i det längre perspektivet.
Det som återstår efter timmar av nedlagd arbetstid och noggrann analys är alltför ofta en matris eller ett excel-ark utan förklaringar.
Deltagare eller roller som ingått framgår inte och inte heller hur resultatet ska hanteras.
Men mest saknas på vilka grunder bedömningen gjorts.
Att arbeta på det här sättet är som att skriva i vatten.
Skrivandet, när det sker på ett beständigt sätt, är i sig ett stöd för tanken.
Medan man skriver formulerar man sina tankar, utvecklar och förtydligar, hittar svagheter, gör synteser och lägger grunden för kommunikation.
Man skapar förutsättningar för en diskussion som vaskar fram de bästa praktiska lösningarna.
Både informationsklassningar och riskanalyser ska naturligtvis ske återkommande.
En väl dokumenterad tidigare klassning eller riskanalys är ovärderligt stöd då proceduren ska upprepas.
Istället för att börja från noll kan man gå igenom vilka faktorer som kvarstår eller ändrats, om man fått fördjupad kunskap som påverkar bedömningarna, om åtgärder vidtagits som påverkar risken eller om lagstiftning tillkommit för att ta några exempel.
Utan bra dokumentation kommer inte ens de som deltagit i den förra övningen hur diskussionen gick, än mindre de som kommer till.
Att det organisatoriska minnet skapar effektivitet är en sak.
Ytterligare en är att dokumentationens syfte inte enbart är att kommunicera utan det är också ett sätt att aggregera kunskap inte bara i enstaka situationer utan genom att skapa ett större kunskapsunderlag som kan återanvändas i nya situationer.
Detta bör även ses som en del i organisationens generella riskarbete.
Det skrivna ordet är vår kapsel för kunskap vilket även går att översätta till mänsklighetens utveckling.
Låt mig ta ett sista argument för bättre dokumentation och organisatoriskt minne, nämligen att det är verktyg för att skapa ett sammanhang för de som arbetar i organisationen.
En fullödig dokumentation lägger fram de rationella skälen till gjorda bedömningar och motiverar i förlängningen säkerhetsåtgärder.
Detta leder till en positiv säkerhetskultur kan växa fram där det är naturligt att samtala om säkerhet och där det är tillåtet att ifrågasätta säkerhetsbedömningar.
Den som arbetar med säkerhet behöver inte känna sig pressad och defensiv när någon frågar varför ett visst tillvägagångssätt ska tillämpas eftersom det finns mer än siffra att bygga sin motiverande argumentation på.
KASAM, känslan av sammanhang, var ett begrepp som myntades av sociologen Se alltså detta inlägg som en plädering för att skriva bättre och läsa mer.
Den som känner sig osäker i sitt skrivande måste få öva, öva, öva och att skriva bra bör uppvärderas och ses som en omistlig kompetens för den som arbetar med informationssäkerhet.

Meny Organisationsfrågor

MENU MENU Postat av Aaron Antonovsky på 1960-talet och innebär i korthet att om omvärlden ter sig begriplig, hanterbar och meningsfull så har du lättare att hantera svåra situationer.
Jag menar att det organisatoriska minnet är en betydelsefull del i om vi upplever kasam eller inte på vår arbetsplats.
Bättre rutiner för att ta fram och återanvända meningsfull dokumentation ökar vår förmåga att känna delaktighet och motverkar stress.
Detta är inte på något sätt oväsentligt i dessa dagar då allt fler mår dåligt på jobbet.

Vad ska det första blogginlägget handla om?
Det finns en uppsjö av intressanta frågor som bara ligger och väntar på att ventileras, alltifrån teoretiska frågor som vad informationssäkerhet är till hur man genomför en bra riskanalys i praktiken.
Jag bestämde mig dock för en rivstart; att ta upp den så omtalade ledningsfrågan som i alla sammanhang framhålls som förutsättningen för attt ska lyckas.
Ledningens engagemang ni vet… Genom åren har jag träffat ett mycket stort antal informationssäkerhetsansvariga (med litet olika titlar).
Den mest återkommande förklaringen till att säkerheten inte är så bra som man skulle vilja är att ledningen inte lyssnar, inte intresserar sig, inte förstår varför informationssäkerhet är så viktigt.
Ledsna och irriterade säkerhetsmänniskor beskriver hur de ihärdigt försöker förklara för till synes oengagerade ledningar allt som borde göras, vilka risker som finns och vad lagstiftningen säger.
Ibland lyckasfaktiskt upprätta en relation med ledningen, hen kanske till och med får vara adjungerad i ledningsgruppen eller åtminstone vara en fast punkt på agendan en gång i kvartalet.
I de mest lyckade ögonblicken inser ledningen att informationssäkerhet är en förutsättning för att organisationen ska kunna leverera det man har som mål på ett bra sätt.
Ofta är dessa lyckosamma relationer, enligt min erfarenhet, mycket personberoende och med dagens snabba arbetsmarknad så riskerar de snabbt att upplösas.
Vad jag talar om är inte att lyckas med att få ledningen att besluta om att införa ett ledningssystem, vilket inte behöver vara så svårt – särskilt inte med en omedveten ledning som tror att det gäller att besluta några dokument så är det klart.
Men att skapa en god säkerhetskultur där både ledning och medarbetare är engagerade i säkerhetsfrågor, vaksamma för nya risker och beredda att ständigt utveckla säkerhetsarbetet, det är något helt annat.
För att komma vidare tror jag att vi säkerhetsmänniskor måste omformulera frågan.
Istället för att se ledningens bristande engagemang som grundad i att ledningen inte förstår vikten av säkerhet så tror jag att vi måste se på oss själva.
Hur väl förstår vi verksamheten och dess säkerhetsbehov, vilka aspekter som är prioriterade för ledningen och hur vi få säkerhetsarbetet att stödja dessa prioriteringar?
Informationssäkerhet har inget egenvärde utan måste ställas i relation till behoven i den verksamhet där man verkar där behov kan vara förmågan att leva upp till externa krav som lagstiftning men också så mycket mer.
Själv har jag träffat många ledningsgrupper både som anställd och som konsult.
Framgången med att lyckas övertyga ledningarna om hur central informationssäkerhetsfrågan är har varierat och om jag försöker summera vad som funkat och vad som inte funkat i punktform ser det ut så här: Detta var några tankar kring ledningens engagemang.

Detaljerade beskrivningar av tekniska problem och tekniska lösningar – ledningsgrupper har sällan den tekniska kompetensen så att de uppskattar detta.
Långrandig och överdrivet heltäckande rapportering – ledningen har ju anställtför att ha kompetens vilket också innebär kompetens att sålla fram det som relevant.
Att hämta alltför mycket av argumentationen ur lagstiftning – självklart inser alla ledningar att lagstiftning måste följas men det är liksom inte huvuduppgiften för verksamheten.
Att var alltför ängslig och ovillig att inse att riskhantering innebär att leva med vissa risker – informationssäkerhet skiljer sig inte från andra områden och en fungerande ledning tar alltid risker och kommer att göra det även när det gäller informationssäkerhet.
Att presentera risker och brister utan komma med förslag om åtgärder – denna typ av kommunikation gör ofta att ledningar går i baklås och är oförmögna att hantera problemet.
Att vara alarmistisk och försöka ”skrämma” ledningen till att vidta åtgärder – detta är det absolut sämsta sättet att kommunicera kring säkerhet och leder enligt min erfarenhet osvikligen till att ledningsgruppen stänger av och försöker undvika kontakt i fortsättningen.
Att försöka sätta sig i ledningens position och försöka förstå vad det är de vill veta – att känna till ledningens inriktning och kunna anknyta till den underlättar påtagligt kommunikationen.
Att försöka sätta sig in i vad ledningen kan och vet om informationssäkerhet och anpassa kommunikationen därefter – ofta utgår vi ifrån att de vi talar med vet mycket mer än vad de faktiskt gör.
Om man respekterar de man pratar med och deras förförståelse av ämnet är det också mycket lättare att nå fram.
Att genomföra riskanalyser med ledningen – riskanalyser ger ledningsgrupper möjlighet att själva reflektera kring risker vilket gör att de får en egen relation till frågan.
Att alltid kommunicera specifikt om den egna organisationen och dess behov – ledningar har sällan tålamod med abstraktioner, däremot om det finns en uppenbar verksamhetsnytta i den egna organisationen blir ämnet mycket intressantare.
Att presentera hur brister leder till konkreta konsekvenser i verksamheten – de tekniska orsakerna är ofta ointressanta, däremot innebär konsekvenser i verksamheten också konsekvenser för ledningen vilket får dem att lystra.
Att göra ledningsgruppen beslutsför – ledningars funktion är att fatta beslut och att då ta fram väl underbyggda underlag om risker och åtgärder för att reducera dem som det går att fatta beslut om gör de flesta ledningar vänligt stämda.

Meny Ledningsinformation

MENU MENU Postat av Postad i , Tagged , , , Sök efter:

På trettiotalet presenterade Erwin Schrödinger ett tankeexperiment som illustrerar en tänkt paradox där väldigt små fysikaliska partiklar kan befinna sig i ett så kallat överlagrat tillstånd.
Konsekvensen av paradoxen är att en katt i ett slutet rum tillsammans med en instabil atomkärna skulle kunna uppfattas som samtidigt död och levande.
Jag tänker inte fördjupa mig ytterligare i kvantfysiken.
Ur mitt perspektiv, som är att kontroll över informationen är centralpunkten både för informationssäkerhet och informationsförvaltning inklusive arkiv, finns det allt fler tillfällen då det är rimligt att använda tankeexperimentet som metafor och prata om Schrödingers information.
Det är innebär information som både finns och inte finns på samma gång, något som är negativt för den som vill ha kontroll över sin information.
Låt mig ta några exempel.
Det första exemplet är kanske det mest uppenbara och gäller formatet.
Trots att jag är mycket pro-digitalisering så får ändå pappret och dess föregångare pergament m.m.
sägas ha den stora fördelen att informationen som haft papper som bärare har varit möjlig att ta del av över seklerna.
I och med att bärarna blivit digitala sluts cirkeln på sätt och vis då information precis som i gamla glömda teckenformer blir omöjlig att ta del av även om den faktiskt finns.
Jag tänker då på den information som finns lagrat på medier och i format som inte längre går att läsa.
Diskar som står och dammar, format som ligger som bilagor till mail, gamla applikationer som inte migrerats med till nutiden– oräkneliga exempel kan göras.
Trots att de inte kan läsas ligger de kvar för ingen riktigt förmår att ta ställning och hålla i yxan.
Oförmågan att ta tag i yxan och faktiskt gallra är mitt andra exempel.
Gallring har kallats arkivariens svåraste uppgift men jag ska inte här gå in på den i och för sig mycket väsentliga frågan om vad som ska gallras utan själva gallringsrutinen.
Förutsättningen i myndigheter är att allmänna handlingar (vilket generellt är merparten av den information som myndigheten hanterar) ska bevaras.
Undantaget är när ett gallringsbeslut fattats som kan göras av ett antal skäl vilket beskrivs i en av Riksarkivets få vägledande skrifter: Vanligen syftar gallring till att myndighetens arkiv inte skall tyngas av allmänna handlingar som saknar påtagligt informationsvärde, allmänna handlingar som motsvaras av annan dokumentation i det egna arkivet eller andras arkiv, eller allmänna handlingar som har ett informationsvärde som är starkt begränsat i tiden.
I fråga om personuppgifter kan gallring ibland syfta till att skydda enskildas personliga integritet.
Rent ekonomiska bedömningar kan också ges mycket stor vikt, t ex när man har serier med få intressanta uppgifter i relation till .
Det som är själva poängen med gallringsbeslutet är att handlingarna sedan verkligen också förstörs.
Ett gallringsbeslut är inte ett förslag utan handlingarna ska faktiskt som Riksarkivet skriver ske utan dröjsmål när gallringsfristen har löpt ut eller gallringstidpunkten har uppnåtts.
Detta efterlevs inte alltid.
Ibland kan gallringsbeslut vara formulerade som att handlingar ”får” gallras vid en viss tidpunkt vilket kan ge intryck av att alternativet att handlingarna bevaras också finns.
Inte sällan har jag i kommuner, landstings och myndigheters bestånd påträffat information som borde varit gallrad och därmed, sett till de fattade besluten, inte finns.
Detta skapar naturligtvis en stor potentiell brist på rättssäkerhet för den enskilde där myndighetsbeslut säger att exempelvis en information rörande den enskilde inte finns men det sedan visar sig att den ändå gör det.
Det rimmar också mycket illa med dataskyddsförordningen och ger dessutom ett intryck av att kommunen/myndigheten har en dålig ordning där man inte efterlever fattade beslut.
Och hur skyddas en information som både finns och inte finns?
Ytterligare ett exempel som jag stött på är hanteringen av loggar.
Loggar bör av integritetsskäl i de flesta fall gallras efter kort tid, default 3 månader om inte något annat framkommit vid informationsklassning, och då verkligen tas bort.
I många verksamheter separeras dock inte loggarna från verksamhetsinformationen utan följer med i den allmänna back upen vilket gör att de ligger kvar år efter år.
Integritetskänslig information från tjänster och passersystem som följer den anställdes alla aktiviteter på jobbet kan finnas kvar trots att många arbetsgivare har loggpolicys som säger något helt annat.
Och för en myndighet blir det naturligtvis prekärt om loggarna begärs ut som allmän handling och man då måste ta ställning till om de finns eller inte finns trots att de rent faktiskt finns.
Det mest övergripande exemplet som jag redan tidigare varit inne på i en är all den information som finns i en myndighet och som bedömts inte vara allmänna handlingar.
Denna andel av den totala informationshanteringen ser jag som i stark tillväxt på gemensamma file servers, i olika egeninitierade molntjänst typ Dropbox och alla möjliga andra former.
Informationen fångas inte upp i dokumenthanteringsplaner eller andra verktyg men finns likaväl.
Jag har inga patentlösningar på hur de här olika situationerna ska hanteras.
Min spaning är helt enkelt bara att det är viktigt att vi inte har information som liknar katten i Schrödingers tankeexperiment.
Det här kommer att bli ett nördigt inlägg om arkivfrågor eftersom arkivfrågor per se är nördigt eller hur?
För läsaren ska kunna sätta inlägget i ett sammanhang ska jag bekänna min bakgrund och därmed även antyda sambandet mellan informationssäkerhet och arkiv.
Min ingång till informationssäkerhet gick via arkiven.
Under ett antal år arbetade jag som arkivarie, först på arkivinstitutioner och därefter som landstingsarkivarie.
Som så många andra arkivarier hamnade jag i skrået via studier i historia, själv påbörjade jag en forskarutbildning i ekonomisk historia efter att ha läst politisk historia, förvaltningshistoria, naturvetenskapernas idéhistoria o.s.v., o.s.v.
Synsättet att arkivvetenskap (i den mån något sådant ens kan sägas existera) var en stödvetenskap för historieämnet föreföll därför inledningsvis logiskt även för mig.
Sedan hände två saker: jag blev väldigt intresserad av metoder för att strukturera information och jag blev tvungen att börja tillämpa detta i en pågående verksamhet, inte bara i avställda arkiv.
Jag skrev om sett ur det industrihistoriska perspektivet men insåg allt tydligare verksamhetsbehovet i att strukturera information.
Det kändes egendomligt att betrakta detta verksamhetsbehov kikande ut från en arkivinstitution och dess behov som är helt annorlunda än verksamhetens.
Jag fortsatte att skriva om dessa frågor och vikten av att arkivväsendet omorienterar sig och inte ser sig som en historiens Istället borde vi vända på processen och se att om arkivarierna specialiserar sig på informationshantering och stödjer verksamheten kommer behovet av långsiktigt bevarande också att hanteras.
Däremot gäller inte det omvända.
Jag kan väl inte säga att jag fick särskilt mycket gehör för detta utan blev istället betraktad som en arkivvärldens gossen Ruda som en riksarkivarie vänligt uttryckte det.
Nu har jag inte arbetat som arkivarie på många år men interagerar med arkivfrågor nästan dagligen då jag arbetar med informationssäkerhet vilket är naturligt då arkiven kan sägas att jämte krypton vara de informationssäkerhetsåtgärder som förekommit ända sedan antiken.
OK, vi kan väl säga signering också så blir det tre antika åtgärdstyper.
I vilket fall så sett ur mitt limbo-tillstånd där jag halvvägs utanför, halvvägs innanför arkivvärldens gränser uppfattar jag det som att den desorientering som funnits ända sedan sjuttiotalet fortfarande lever kvar.
Jag ska inte här närmare gå in på hur denna desorientering mellan att delta i att utveckla myndigheternas informationshantering år ena sidan och å andra sidan ha blicken fäst vid det historiska materialet.
Vad som är glädjande är att regeringen initierat en översyn av arkivområdet under Lars Ilshammars kompetenta .
Översynen ska bland annat analysera hur samhällsutvecklingen påverkat kraven på arkivsektorn, se över arkivlagstiftningen och Riksarkivet roll i förhållande till andra myndigheter.
Det kan bli spännande!
Inspirerad av detta kommer här tre frågeställningar som kan förtjäna att tas med som faktorer då översynen genomförs och som dessutom är sammankopplade.
Först en disclaimer: i det följande kommer jag liksom som många andra som diskuterar arkivfrågor att strunta i de privata aktörernas behov och praxis gällande dessa frågor och endast ägna mig åt den offentliga sektorn och arkivväsendet i stat, kommun och landsting.
Detta är en nästan oförlåtlig avgränsning men eftersom jag här kommer att ta upp några frågeställningar som i första läget framförallt berör det offentliga arkivväsendet finns det en viss logik i detta.
Det kan dock inte nog understrykas vikten av att det offentliga arkivområdet idag måste ta mycket större hänsyn till privata aktörer eftersom allt större del av den offentligt finansierade verksamheten utförs av privata aktörer.
Ta till exempel inom vården som i efterkrigstiden i all väsentlighet ombesörjdes av offentliga utförare men som sedan nittiotalet alltmer utförs av privata vårdgivare.
Vårdinformationen som har ett mycket stort värde under lång tid för den enskilde patienten och ett stort forskningsvärde men lever idag ett osäkert liv eftersom det faktiskt inte längre är tydligt reglerat hur den ska hanteras långsiktigt.
Den första fråga jag tänkte lyfta är frågan är den utpräglade juridifiering som råder gällande arkivhanteringen.
I Sverige har arkivväsendet en mycket nära koppling till statsmakten sedan lång tid och numera även en stark koppling i lagstiftningen mellan arkivlagen och offentlighetslagstiftningen.
Detta kan ses som en välsignelse och jag tror inte det finns en idag levande arkivarie som inte hämtat legitimitet ur detta faktum och det är självklart att detta ger arkivverksamheten en potentiellt stark ställning i offentliga organisationer (nu blir det ju inte alltid så i praktiken).
Men för att travestera femte Moseboken: en välsignelse kan samtidigt vara en förbannelse.
Förbannelsen ligger i att samtidigt som offentlighetslagstiftningen definierar arkivens innehåll så definierar den arkivens avgränsning.
I arkivlagen sägs att: En myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap.
9 § tryckfrihetsförordningen och som myndigheten beslutar skall tas om hand för arkivering.
Vad som utgör en myndighets arkiv är alltså en juridisk definition, inte en arkivvetenskaplig.
Detta är i sig värt att uppmärksamma men det får även djupgående praktiska konsekvenser.
Det måste understrykas att vad som kan utgöra en allmän handling inte är übertydligt.
Formuleringar som att ”handlingen ska vara upprättad eller inkommen till myndigheten” leder tankarna till information som liknar pappersdokument och som är vagt relaterade till postgång (detta är också vad som avspeglas i de heliga diarierna som ofta uppfattas som det som definierar vad som är myndighetens allmänna handlingar).
Men detta är ju inte den enda information myndigheten använder.
Om man jämför dokumenthanteringsplaner med vilka informationsmängder som en myndighet eller kommun verkligen använder för att utföra sina uppgifter är skillnaden ofta stor.
Detta blir ganska uppenbart om man gör en processorienterad informationskartläggning där det, vågar jag hävda, alltid kan identifieras betydligt fler informationsmängder än vad som finns redovisat i dokumenthanteringsplanen.
Det finns, tror jag, en outtalad föreställning om vad som ska räknas som allmänna handlingar som inte är uppdaterad så att den går att omsätta i en modern myndighets faktiska informationshantering där Skype, molntjänster och även mer traditionella it-system står för merparten av transaktioner.
Och när kartan inte stämmer med verkligheten förefaller kartan vinna över verkligheten.
Riksarkivet säger även på sina ställen att man jämställer arkivförteckning (som endast ska innehålla allmänna handlingar) och dokumenthanteringsplan: Här hittar du svar på frågor som rör den andra delen av arkivredovisningen, den som beskriver vilken information som uppstår i myndighetens verksamhet och hur informationen förvaras.
Traditionellt kallas denna redovisning för arkivförteckning eller dokumenthanteringsplan.
De element som förekommer här är handlingsslag och handlingstyper samt f . Det finns också ofta en stark vilja att göra så litet information som möjligt till allmänna handlingar eftersom det uppfattas som negativt att allmänheten ska få tillgång till information som myndigheten vill ha för sig själv.
Det kan både ske genom att man kallar information för ”arbetsmaterial” eller genom att man försöker dra ut på statusförändringen till allmän handling genom att kräva exempelvis att ett ”ärende” (detta fullständigt intetsägande begrepp i de flesta icke-exekutiva verksamheter) ska vara avslutat innan en enskild handling blir allmän.
Sammantaget menar jag att juridifieringen av arkivbegreppet, förutom att leda till att många arkivarier uppträder som någon slags barfotajurister istället för informationshanterare, får effekten att en stor diskrepans uppstår mellan det verkliga arkivet och det som kallas myndighetens arkiv.
Med detta verkliga arkivet menar jag den information som myndigheten faktiskt använder för att bedriva sin verksamhet och som arkivteoretiskt borde ses som ”arkivet”.
Jag tycker att arkivariekåren och arkivväsendet här sviker sin uppgift eftersom väsentlig information och väsentliga sammanhang här förloras.
Den andra frågan jag tänkte ta upp är gallring.
Ingen vettig människa kan idag bortse från att det är ett stort problem att mängden information växer exponentiellt.
Konsekvenserna blir bristande sökbarhet, bristande integritet, arbetsmiljöproblem, säkerhetsproblem eftersom det inte går att styra dessa gigantiska informationsmängder och faktiskt i slutändan ett miljöproblem.
Arkivariens andra huvuduppgift måste därför att på ett professionellt sätt göra gallringsutredningar och sedan se till att information försvinner.
Men trots att det i arkivlagen uttryckligen står att allmänna handlingar får gallras så sker detta inte alls med den fermitet som vore nödvändig, kanske beroende på att många arkivarier räds uppgiften och att det på olika sätt sägs att huvudregeln är att alla allmänna handlingar ska bevaras… Det finns också strukturella problem som att myndigheterna inte är sina egna arkivmyndigheter utan måste vänta på att Riksarkivet fattar gallringsbeslutet.
Det mest utarbetade stödet för gallring som Riksarkivet tillhandahåller är såvitt jag kan se från Även vad gäller gallring leder den ovan beskrivna juridifieringen till principiella problem med mycket stora konsekvenser.
Gallring innebär att allmänna handlingar destrueras, när arbetsmaterial förstörs kallas det rensning.
Om dokumenthanterings- och gallringsplaner endast omfattar allmänna handlingar innebär det att det i varje myndighet och kommun finns stora mängder av information där styrning saknas och där informationen inte ens är identifierad.
Detta hävdar jag är det reella läget vilket är högst bekymmersamt inte minst ur säkerhetssynpunkt där kontroll av informationen är a och o. Punkt tre på dagens lista (ja, jag hotar med att komma tillbaka till ämnet) är otidsenligheten och bristen på strategi i arkivområdet.
Som ändå hyfsat insatt kan jag inte utläsa vad Riksarkivets strategi för långtidsbevarandet är mer än att man gör allt för att statliga myndigheter inte ska komma och försöka dumpa sina arkiv: Leveranser bör inte innehålla handlingar yngre än 10 år.
Leveranser med handlingar 10–20 år gamla övervägs särskilt noga med hänsyn till frekvens, sekretesstyngd och andra handläggningsfrågor.
Leverans från en och samma arkivbildare bör inte ske tätare än vart tionde år vad gäller pappershandlingar.
Digitalt material bedöms utifrån egna, specifika .
På något sätt tycks man helt leva kvar i en pappersverklighet där arkivhandlingar inte fick levereras förrän efter 50 år och då helst inbundna.
I en digital verklighet skulle vore den mest rimliga lösningar att man genom tydlig styrning överförde den information som ska bevaras för framtiden till Riksarkivet i samma stund som den skapas.
Naturligtvis skulle detta kräva en massiv höjning av informationssäkerheten i Riksarkivets lagring och kommunikation men det skulle samtidigt vara den mest rationella hanteringen av en digital arkivbildning.
Det är möjligt att Riksarkivet har en mängd spännande strategiska diskussioner men dessa måste i så fall föras ut till de myndigheter och kommuner som idag sliter sitt hår och försöka räkna ut vad som förväntas att de ska göra.
Och, don´t get me started, det handlar inte om de s.k.
e-arkiv som nu försäljs.
Förhoppningsvis kan en klok översyn leda till att desorienteringens dimmor litet börjar upplösas och att en riktning tas ut.
Den goda offentlighetsstrukturen, eller bristen på sådan, är värd ett blogginlägg till.
För att sammanfatta mitt förra inlägg så är det inte bara kraven i OSL som gör att offentlighetsstrukturen inom myndigheter, kommuner och landsting bör prioriteras.
Den transparens som ingen politiker, högre tjänsteman eller konsult någonsin missar att närmast religiöst lyfta fram på konferenser och i strategier som en förutsättning för en fungerande demokrati borde innebära att insyn är en central fråga.
Ett annat högaktuellt skäl är att god tillgång till korrekt information från källan är ett av de mest verksamma sätten att bekämpa den farsot av informationspåverkan som bedrivs av både politiska och kommersiella intressen.
Ytterligare en anledning som kanske är mer av motiverande karaktär är att om kravet på systematik och sökbarhet i informationshanteringen (som en god offentlighetsstruktur förutsätter) realiseras skulle det innebära enorma effektivitetsvinster för den offentliga förvaltningen.
Då skulle ju nämligen även medarbetarna på myndigheten eller i kommunen helt plötsligt få arbetsverktyg och en överblick som är revolutionerande jämfört med i dag.
Något som borde ligga helt i linje med de officiella digitaliseringssträvandena.
I en kommentar till mitt förra blogginlägg i frågan framkom också att myndigheter ibland får anlita konsulter för att söka fram allmänna handlingar hos andra myndigheter, ett tydligt tecken på bristande insynsmöjligheter även mellan myndigheter.
Trots alla dessa goda anledningar i heta områden är ändå inte offentlighetsstrukturen god och de finns få indicier på att andra än enstaka torra bloggare intresserar sig för frågan.
Och när man ändå närmar sig frågan så fastnar man i diarieföringen vilket jag ser som den återvändsgränd vi sprungit i sedan 1970-talet utan att någonsin bromsa in och fundera vad vi håller på med.
Innan jag tittar vidare på några myndigheters mer eller mindre ambitiösa insatser på området ska jag därför skriva litet om diarieföring som fenomen och dess roll som ett klent substitut för en god offentlighetsstruktur.
Vad som måste noteras är att det inte finns någon skyldighet för myndigheter att information utan skyldigheten är att allmänna handlingar ska vara Däremot är kravet på god offentlighetsstruktur obligatoriskt.
Varför är det här intressant?
Jo, därför att diarieföring inte på något sätt borgar för en god offentlighetsstruktur – snarare tvärtom.
Diarieföring är från början ett sätt att dagligen lista in- och utgående korrespondens (därav ordet diarium som litet slarvigt kan översättas som ”dagbok”).
Sedan medeltiden och ännu tidigare har detta varit ett sätt för hov, kyrkliga institutioner och en begynnande förvaltning att hålla ordning på korrespondensen.
I Sverige finns exempel från bruk och proto-industri där man redan tidigt började föra diarium – eftersom jag ordnade arkivet minns jag med särskild kärlek Långvinds bruk och dess diarium från 1600-talet.
Problemet är bara att diarieföringen sedan 1600-talet inte på något sätt utvecklats i samma takt som övrig informationshantering utan utgör en slags museal kvarleva i dagens förvaltning.
Trots att myndigheter har både en och två registratorer (även kommuner och landsting) så ger inte diarieföring vare sig insyn utifrån eller möjlighet till styrning av informationshanteringen internt i myndigheten.
Ingen tycks heller ställa krav på att det ska kunna gå att söka information eller registrera den utan personlig hjälp av en registrator.
Att diariet omfattar endast en bråkdel av de allmänna handlingar som finns i myndigheten (d.v.s.
att endast vissa typer av korrespondens samt dokument som ser ut som pappershandlingar) verkar inte heller väcka oro.
Istället lever diarieföringen kvar som en ritual som blir allt mer tom år för år.
Fossiliseringen har pågått under årtionden vilket också visar sig vid en snabb sökning på Libris.
Sökningen renderar inte i en enda längre text som på djupet analyserar hur diarieföring i traditionell utformning skulle kunna ersättas av sökverktyg som bättre uppfyller andemening i OSL de senaste 30 åren.
En DIVA-sökning är ungefär lika nedslående.
Diarieföringen sker idag med en stor arbetsinsats och i it-system som utformats för att i mesta mån efterlikna papperskartotek och slippar i tre färger.
Det finns ingen formell utbildning till registrator (Mitthögskolan har haft enstaka kurser på arkivutbildningen) utan detta är ett yrke som traderats från kvinna till kvinna och idag är mer en konstform än en funktionell sökfunktion.
Det räcker att titta på sökmöjligheten som erbjuds i ett diarieföringssystem för att förstå hur lång bort från en Google-sökning vi är och vilken omöjlig nivå av förförståelse som krävs för att göra en sökning ens inom en myndighet.
För att ge ytterligare ett par exempel på hur det i realiteten ser ut för den som söker på en myndighets webbplats och vill ha insyn, inte bara tillgång till tjänster, så ska jag här beskriva ett par myndigheter som borde ha särskilt intresse för de här frågorna.
Lantmäteriet har varit mycket framgångsrika när det gäller digitalisering och öppna data.
När jag gnällt över att öppna data (som ju är näringsinriktade tjänster) prioriterats framför insyn ur ett demokratiskt perspektiv har jag ibland fått det lugnande beskedet att de två frågorna hänger ihop.
Den myndighet som satsar ambitiöst på öppna data kommer att vara lika ambitiös när det kommer till insynsperspektivet har varit tanken.
Men stämmer det i verkligheten?
Lantmäteriet har visserligen en lockande flik under som heter .
Kan man bli annat än sugen på att kika in där?
Under finns en redovisning över olika hjälpmedel som används inom Lantmäteriet som t.ex.
: som innehåller upp gifter hämtade från Arkivförteckningen.
Denna sammanställs som ett stöd till verksamheten.
Planen beskriver verksamhetens processer och dess handlingstyper.
För varje handlingstyp finns beskrivande och styrande information som t ex format, gallring, lagring och förvaring.
Den skulle jag gärna vilja ta del eftersom den ju vore en första ingång för att förstå vilken information som Lantmäteriets processer hanterar.
Detta verkar dock bara vara en teaser för planen är inte tillgänglig på webben och det finns heller ingen hänvisning till hur jag skulle kunna ta del av den.
Däremot kan jag klicka mig i in informationsredovisningsverktyget där jag kan få ta del av Historik och information om Lantmäteriets föregångare hittas i på respektive arkivbildare.
Det är alltså själva arkivredovisningarna som ligger här.
Märkligt nog är även det nya materialet ordnat enligt allmänna arkivschemat framtaget 1903 och sammantaget är detta inte ett sätt att presentera information för målgrupper utanför den snäva arkivariekretsen.
För att ändå vara någorlunda rättvis kan en högmotiverad utomstående få ett visst grepp om det historiska materialet men knappast en insyn i dagens verksamhet.
Att det står är missvisande; något diarium kan jag inte hitta utan vad som gäller är att ta personlig kontakt med registratorerna om man inte söker remisser och remissvar samt rapporter som presenteras under egna flikar.
Sammantaget är bedömningen att Lantmäteriet möjligen har en halvgod offentlighetsstruktur när det gäller arkivbildningen men knappast när det gäller pågående verksamhet.
Tesen att en satsning på öppna data med automatik leder till samma engagemang i insynsfrågor finner inte särskilt mycket stöd här.
Det är kanske litet dumt att titta på en myndighet där jag själv arbetat eftersom jag då har en betydligt bättre förförståelse än den vanlige invånaren.
Men eftersom MSB har en roll gällande psykologisk försvar och i att motverka informationspåverkan tycker jag det är intressant att se om och hur myndigheten själv understödjer källkritik med en god offentlighetsstruktur.
Tyvärr finns inte ens ett diarium tillgängligt (remisser och remissvar finns utlagda).
Tanken verkar vara att man ska ringa eller maila registraturen.
Med min ”lokalkännedom” uppfattar jag det som att MSB:s webbplats är tämligen orörd sedan myndighetens tillblivelse 2009.
Om något ska göras åt detta jungfruliga tillstånd bör en god offentlighetsstrukturen vara ett centralt mål med tanke på de budskap som lämnas till externa parter om vikten av källkritik.
Efter detta tappar jag litet motivationen att närgranska fler myndigheters webbplatser.
Jag bläddrar igenom eSams övriga medlemmar, d.v.s.
myndigheter som uttryckt ett stort intresse för digitalisering: Migrationsverket, Statens Servicecenter, Arbetsförmedlingen, Kronofogden… Det ser ungefär likadant ut hos de flesta, i korthet hänvisar man till att ta kontakt med registrator.
Det verkar ha formats en icke-uttalad standard för hur liten ansträngning myndigheter tillåts göra för att skapa insyn.
För mig är det förvånande att omvärlden, och då kanske allra mest journalister, finner sig i den dåliga insynen i myndigheters verksamhet och att kritiken som riktas då riktas nästan enbart mot bristande diarieföring och rutiner för utlämnande.
Exempel på detta är när Peter Wolodarski idag riktar en helsida med i och för sig mycket välmotiverad kritik mot UD för att man tar alldeles för lång tid på sig att lämna ut handlingar.
Wolodarski utvecklar den kritik som redan framförts av om brister i diarieföring och utlämnande.
Självklart är detta brister som måste tas på stort allvar och i sitt svar på Facebook säger Margot Wallström att hon ska göra det: I DN i dag den 15 oktober tar Peter Wolodarski upp de anmärkningar som Utrikesdepartementet fått från Justitieombudsmannen för att inte skyndsamt nog ha lämnat ut information om mejl om Sveriges kampanj till FN:s säkerhetsråd.
Det ska inte råda något tvivel om att jag delar Wolodarskis syn på värdet i offentlighetsprincipen.
Öppenhet och transparens är värden som Sverige förknippas med och främjar över hela världen.
I det aktuella fallet begärdes information om drygt 74 000 mejl ut.
För vart och ett måste vi ta ställning till om någon uppgift omfattas av sekretess i enlighet med offentlighets- och sekretesslagen.
Det är ingen liten uppgift: grovt skattat bedöms detta ärende ta ungefär ett och ett halvt års arbetstid.
JO bedömer att UD inte har handlagt ärendet tillräckligt skyndsamt.
I vissa fall har UD, enligt JO, inte heller tagit ställning löpande till registrering av mejl i ärendet.
Som departementschef för UD ser jag allvarligt på JO:s anmärkningar.
UD har sedan år 2014 sett över och förändrat rutinerna för hur vi hanterar utlämning av handlingar.
Förfrågningar om att få ta del av allmänna handlingar är arbetsuppgifter som ska hanteras skyndsamt och gå före annan verksamhet, och vi tillsätter extra resurser vid arbetstoppar.
Vi fortsätter nu vårt arbete för att förbättra dessa rutiner Men även om diarieföringen och utlämnandet skulle fungera oklanderligt enligt de normer som gäller idag menar jag att detta inte på något sätt är tillräckligt för att skapa en god offentlighetsstruktur på det sätt som OSL kräver, bl.a: Varje myndighet ska upprätta en beskrivning som ger information om 1. myndighetens organisation och verksamhet i syfte att underlätta sökande efter allmänna handlingar, 2. register, förteckningar eller andra sökmedel till myndighetens allmänna handlingar, 3. tekniska hjälpmedel som enskilda själva kan få använda hos myndigheten för att ta del av allmänna handlingar, Jag hävdar att det med dagens teknik är fullt möjligt att ge offentlighetsprincipen ett reellt innehåll, ge insyn, ge möjlighet till förståelse för vilken information som finns och ge tillgång till allmänna handlingar utan onödiga dröjsmål.
Men istället för god offentlighetsstruktur fortsätter vi med en fullständigt obsolet diarieföring.
Varför nöjer vi oss med så litet?
Varför låter vi inte digitaliseringens omvandlande kraft användas här där det är så angeläget?
I dessa dagar då vikten av att kunna gå till källan för att kontrollera fakta har blivit alltmer uppenbar borde offentlighetsprincipen lyfts fram som den nationalklenod den är bara av det skälet.
Så är inte fallet vad jag kan se, trots 250-årsjubileet förra året.
I så fall skulle den exempelvis haft en central plats i den nationella digitala strategin men avsnittet som börjar bra med Digitalisering bidrar till att skapa förutsättningar för ett öppet och inkluderande demokratiskt samhälle med goda möjligheter att uttrycka och sprida åsikter, idéer och information.
utmynnar endast i förslag rörande medier.
Ord som och förekommer överhuvudtaget inte i strategin.
Tråkigt tycker jag, särskilt med tanke på att insikten om insynens betydelse för ett väl fungerande samhälle fanns (i alla fall med hjälp av vissa politiska påtryckningar) till och med hos Adolf Fredrik (på bilden ovan) som annars mest intresserade sig för att svarva snusdosor.
Han undertecknade 1766 lagtexten som motiverade offentlighetsprincipen med: ”Att vi eftersinnat den stora båtnad allmänheten av en rättskaffens skriv- och tryckfrihet tillflyter i det en obehindrad inbördes upplysning uti varjehanda nyttiga ämnen icke allenast länder till vetenskapers och goda slöjders uppodling och utspridande, utan ock gifver en hvar af undersåtarne ymnigare tillfälle att dess bättre känna och värdera ett visligen inrättadt regerings-sätt; ävensom ock denna frihet bör anses för ett af de bästa hjälpmedel till sedernas förbättring och laglydnadens befrämjande, då missbruk och olagligheter genom trycket bliva för allmänhetens ögon ådagalagda.” Dagens ministrar är knappast distraherade av att svarva snusdosor, ändå missas hur gynnsamt insyn är för samhället i de förvaltningspolitiska utspelen.
Men trots allt är ju faktiskt offentlighetsprincipen, om än undanskymt, fortfarande det som gäller för myndigheter, landsting och kommuner.
I en digital verklighet skulle också själva innebörden av principen kunna förverkligas, långt bortom tunga ritualer bland uråldriga diarieföringsprinciper och pappershantering.
En positiv bieffekt av en mer digital och utvecklad tillämpning är att det också skulle kunna leda till ett indirekt försvar av offentlighetsprincipen som nu ibland ifrågasätts av att den kan vara administrativt tyngande för vissa verksamheter.
Det är naturligtvis ett orimligt argument men med en smidigare hantering skulle det återkommande ifrågasättande av enskildas möjlighet till insyn kunna reduceras så att det inte längre utgör ett hot.
I ett tidigare har jag skrivit om behovet av att utveckla offentlighetsprincipen och Peter Seipels viktiga text om de olika tolkningar som är möjliga.
Som jag ser det finns det både ett mycket stort behov av att utveckla offentlighetsprincipen samtidigt som möjligheterna att göra det i princip är oändliga.
Det som avgör är enbart om det finns en vilja att förbättra insynen eller inte.
Att döma av de insatser som hittills gjorts av regeringar oavsett färg de senaste decennierna, då frågor som 24-timmarsmyndigheter, e-förvaltning och digitalisering varit ständigt prioriterade, är viljan inte besvärande intensiv.
Faktiskt knappt synlig.
För att inte bara fördomsfullt anta saker har jag gjort ett litet test av nuläget.
Offentlighetsprincipen innebär inte enbart att man kan begära ut allmänna handlingar.
Myndigheten ska underlätta för den intresserade att få insyn i själva handlingarna men inte bara det; man ska även ha en så kallad god offentlighetsstruktur.
Detta beskrivs i offentlighets- och sekretesslagen (OSL) där det särskilt betonas att en myndighet särskilt ska beakta att enskilda bör ges goda möjligheter att söka allmänna handlingar samt: Varje myndighet ska upprätta en beskrivning som ger information om 1. myndighetens organisation och verksamhet i syfte att underlätta sökande efter allmänna handlingar, 2. register, förteckningar eller andra sökmedel till myndighetens allmänna handlingar, 3. tekniska hjälpmedel som enskilda själva kan få använda hos myndigheten för att ta del av allmänna handlingar, 4. vem hos myndigheten som kan lämna närmare upplysningar om myndighetens allmänna handlingar, deras användning och sökmöjligheter, 5. vilka bestämmelser om sekretess som myndigheten vanligen tillämpar på uppgifter i sina handlingar, 6. uppgifter som myndigheten regelbundet hämtar från eller lämnar till andra samt hur och när detta sker, och 7. myndighetens rätt till försäljning av personuppgifter.
Vad är då rimliga förväntningar på god offentlighetsstruktur idag om man redan 1766 beslutade följande: ”och bör till den ändan uti alla arkiver fri tillgång lämnas att sådana handlingar få avskriva på platsen eller utbekomma i bevittnad avskrift och det vid samma tjänsteansvar som nyss nämnts” Själv tycker jag att det är en miniminivå utifrån OSL:s krav i ett digitalt Sverige att myndigheters webbplatser ska vara ingången för den enskilde att söka information inte bara om myndighetens tjänster utan om vilka allmänna handlingar som finns i myndigheten.
Det bör alltså finnas en beskrivning av myndighetens processer och den information som genereras ur dessa processer alternativt stödjer processerna.
Eftersom myndigheter ändå enligt en föreskrift sedan är skyldiga att ha en processorienterad arkivredovisning borde inte detta vara ett ohemult krav.
Sättet att beskriva verksamheten och informationen måste självklart vara så att en utomstående kan förstå den utan att ha kontakt med myndighetens personal, typ registratorer.
Det är viktigt att understryka att det inte går att begränsa sig till vilka handlingar som finns registrerade i diariet vilket ju naturligtvis är en bråkdel av alla de allmänna handlingar som finns i myndigheternas it-tjänster och -system.
Inte heller kan offentlighetsstrukturen sägas gälla de tjänster som en myndighet har i förhållande till allmänheten – insynen måste riktas främst mot myndighetens egen verksamhet om den ska tjäna de syften som uppställts.
Som utomstående bör jag också ha möjlighet att söka på och identifiera enskilda allmänna handlingar, även detta utan att behöva ta kontakt med myndigheten.
Myndigheten bör också i detta sammanhang kunna redovisa väsentliga uppgifter som om på vilket sätt personuppgifter kan ingå i olika handlingar och vilka gallringsbeslut som fattats om olika informationsmängder.
Slutligen bör jag kunna ta del av handlingarna digitalt.
Inte heller detta gäller endast de handlingar som finns i diariet utan samtliga allmänna handlingar.
En sekretessprövning måste i många fall ske innan utlämnandet men även detta är en rutin som borde kunna effektiviseras och där de handlingar som per definition är offentliga ligger tillgängliga för nedladdning.
Så är ju redan fallet med protokoll m.m.
från de politiska församlingarna i kommunerna.
För att göra en liten temperaturmätning har jag formulerat, i mitt tycke, tre rimliga frågor för test på några myndigheter/kommuner för att se hur utvecklad deras offentlighetsstruktur är: För att börja uppifrån tänkte jag i det här blogginlägget börja med några centrala myndigheter.
Med avsikt avstår jag från att testa regeringens hemsida eftersom jag redan tillbringat mycket tid med att snurra runt på den för att söka information – sällan med önskat resultat.
Istället tänkte jag titta på några myndigheter som har uppdrag så att de skulle kunna påverka offentlighetsstrukturen hos andra myndigheter alternativt varit delaktiga i nationella digitaliseringsaktiviteter.
Riksarkivet har vid sidan om uppdraget om det långsiktiga bevarandet också gett ut föreskrifter om bland annat arkivredovisning vilket är grunden för hur myndighetens allmänna handlingar redovisas.
Myndigheten har även ingått i E-delegationen och där haft uppdrag bland annat att genomföra projekt om e-diarium.
Riksarkivet har sedan den 1 juli år 2016 i uppdrag att främja arbetet med att tillgängliggöra information och öppna data från statliga myndigheter.
Detta är ett axplock av Riksarkivets aktiviteter på området vilket skulle föranleda en att tro att myndighetens egen offentlighetsstruktur är väl utvecklad.
På finns ingenting som leder en besökare intresserad av Riksarkivets verksamhet och de allmänna handlingar som stödjer den.
Jag går via Om Riksarkivet vidare till Om oss och kan då gå in på fliken Organisation som visare den traditionella matrisbilden.
Organisationen beskrivs också i fyra ”processområden” vilket känns något motstridigt som begrepp men ger en ganska tydlig bild av vad man sysslar med.
Däremot saknas helt uppgifter om vilken information som stödjer processerna.
Jag gör en sökning på diarium för att kanske hitta myndighetens diarium så att jag åtminstone kan se vilka allmänna handlingar som är diarieförda men får då 202 träffar som handlar om olika projekt som Riksarkivet deltagit i för att bland annat utveckla e-diarium.
En känns aningen ironisk: en nyhetsnotis om en rapport där Riksarkivet framhåller de enorma samhällsvinster som skulle kunna göras med e-diarium och e-arkiv.
Det är möjligt att de bland de 202 träffarna döljer sig något litet myndighetsdiarium som jag inte upptäckte när jag skummade igenom söklistan men då är det så väl dolt att i praktiken inte är sökbart.
Vad jag kan se är de enda allmänna handlingar som identifierade, sökbara och även möjliga att ta del av digitalt de remissvar som Riksarkivet skrivit.
Det är svårt att säga något annat att det är ett klent resultat för en myndighet som borde hålla fanan högt för en god offentlighetsstruktur.
Pensionsmyndigheten är en stor myndighet och har också varit involverad i flertalet mer eller mindre lösa organisationer inom digitaliseringsområdet som exempelvis E-delegationen.
Myndigheten är nu hemvist för eSam, ett medlemsdrivet program för samverkan mellan 21 myndigheter och SKL.
Samarbetet syftar till att underlätta och påskynda digitaliseringen av det offentliga Sverige.
På Pensionsmyndighetens webbplats finns betydligt mer av den information jag söker än hos Riksarkivet.
Från första sidan kan jag gå in via O och klicka vidare till en föredömligt tydlig box: Lagar, regler och allmänna handlingar.
Här finns en länk till en arkivbeskrivning i pdf-format som också ger exempel på handlingar som används i olika ärendeslag/processer.
Arkivbeskrivningen redovisar också sökverktyg som finns samt Pensionsmyndighetens gallringsregler.
Exemplariskt ur arkivariesynpunkt men sannolikt svårt att koppla informationen till en enskild handling som önskar göra det; t.ex.
för att begära ut en enskild handling eller försöka se om en handling som man vill ta del av kommer att gallras.
Dessutom finns ett e-diarium som lider av den svaghet som alla andra diarier har, nämligen att man måste vara registrator för att kunna använda det som söksystem.
Heliga åtgärder som att man måste lägga in datum för att kunna få fram resultat är en avgörande nackdel för den som är van att googla men så är inte heller diarieföringssystemen utformade för att ge bredare allmänhet sökmöjligheter.
Eftersom det saknas fritextsökning måste den som söker ha mycket hög grad av förförståelse för att kunna göra en lyckad sökning.
Här måste jag veta vilken typ av ärende som Pensionsmyndigheten anser att en handling ingår i eller vem som är ”motpart” för att kunna göra en sökning.
När jag skriver in ”digitalisering” får jag exempelvis fram enbart två handlingar eftersom det är de enda handlingar (gissar jag) som har ”digitalisering” i rubriken.
Det saknas alltså metadatahantering vilket leder till att en myndighet som har haft väldigt många fingrar i digitaliseringsburken ändå via sitt diarium framstår som helt utanför.
Den instruktion till diariet som presenteras visar väl litet på svårigheterna: Ange namn på ett ärende eller motpart.
Du kan skriva in hela eller delar av namnet.
Du kan söka ärenden inom olika verksamhetsområden.
Du kan söka bland pågående ärenden, avslutade ärenden eller alla ärenden.
Ett ärende-ID består av ett prefix (till exempel VER), årtal och löpnummer och skrivs på följande sätt: VER 2010-2.
Via datumfälten anger du vilket datumintervall sökningen ska göras inom.
Sökresultatet sorteras efter datum som du själv kan sortera på.
Man kan också gå in via som redovisar diarienummer, ärenderubrik och datum för handlingar som diarieförts de senaste sju dagarna.
Även här krävs ofta en hög grad av förförståelse för att kunna tillgodogöra sig informationen och handlingarna är inte läsbara i sig en när de är uppenbart offentliga.
Sammantaget har Pensionsmyndigheten gjort en stark ansats för att få en god offentlighetsstruktur men fortfarande känns det som att det är starkt inifrån-och-ut-perspektiv som präglat det som gjorts.
De är olika delar som satts ihop utan att en riktig synergi uppstått och e-diariet som är den enda egentliga sökmöjligheten är dels inte ett fungerande sökverktyg för en utomstående, dels innehåller det endast begränsade delar av de allmänna handlingar som finns inom myndigheten.
Det går inte heller att förstå var det förekommer personuppgifter eller vilka handlingar som gallras när.
En annan viktig myndighet i digitaliseringsbranschen är ESV som ska stödja regeringen och Regeringskansliet med att ta ett helhetsgrepp om digitaliseringen och driva utvecklingen framåt, tillsammans med myndigheterna.
Bland annat genom att analysera den offentliga sektorns digitalisering, följa myndigheternas it-användning, utveckla metodstöd och ge stöd inom nyttorealisering.
Det är också ett uppdrag som förpliktigar och där ambitionen för den egna verksamhetens digitala hantering borde finnas.
Att döma av ESV:s webbplats ligger myndigheten tyvärr på samma nivå som Riksarkivet med enbart remissvar som tillgängliga allmänna handlingar.
Genomgången av de tre myndigheterna gav inte ett positivt resultat.
Jag kan ana flera bakomliggande orsakerna till det dåliga utfallet som inte är knutet till de enskilda myndigheterna utan snarare är generella.
Det främsta skälet tror jag är att offentlighetsprincipen obekväm.
Bara häromdagen hörde jag en statlig tjänsteman till synes obrydd förklara att hen inte brydde sig om att diarieföra handlingar eftersom det var så jobbigt när utomstående började ringa och fråga om ärendet.
Men det obekväma ligger också på en helt annan nivå, kunskap är makt och en tämligen oproblematisk hypotes är att den som har makt gärna vill ha kvar den orubbad.
Kanske är det därför det finns så få högljudda förespråkare för verklig insyn bland högre tjänstemän och politiker.
En annan orsak är den rådande förvaltningsfilosofin som är och under en längre tid har varit starkt influerad av New Public Management där offentlig sektor ses i huvudsak som en tjänsteleverantör bland andra.
Eftersom denna trend har varit i princip synkroniserad med digitaliseringen har demokrati- och insynsaspekter varit kraftfullt nedprioriterade.
Ett tredje skäl kan vara den bristande styrning myndigheter internt har av sin informationshantering.
Min erfarenhet är att många myndigheter inte styr sin informationsförsörjning på ett systematiskt sätt och därmed kan man inte heller presentera den på ett begripligt sätt utåt.
Sannolikt är den bristande sökbarheten och den fragmentariska beskrivningen den samma inifrån som utifrån, något som inte gynnar verksamheter som är helt beroende av sin informationsförsörjning.
Sammantaget finns allt att vinna på att ägna sig åt att utveckla den goda offentlighetsstrukturen vilket alldeles särskilt bör gälla de myndigheter som i någon mån ska utgöra föregångare för andra.
Jag tar gärna emot synpunkter på det jag nu skrivit, om det är missvisande, har felaktiga utgångspunkter eller om jag missat något på de webbplatser jag gått in på.
Jag satt egentligen och skrev om förslaget till ny säkerhetsskyddslag.
Den är en uppgift som kräver sin kvinna och man unnar sig kanske en stund av rekreerande slösurfande emellanåt.
Twitter är den digitala motsvarigheten till lösgodis fast mer irriterande och nu har jag börjat observera ett ”nytt” irriterande fenomen.
Det kan tyckas som en struntsak men ju mer jag tänker på det så är det inte det.
Jag menar de offentliga chefer som skriver på Twitter och andra sociala medier med twitterbiografier som ”Enhetschef på myndigheten X men twittrar som privatperson” eller ”Avdelningschef på myndigheten Y men tweetsen är mina egna”.
Sedan fylls deras flöden av myndighetsmeddelanden, bilder på dem själva i olika myndighetssammanhang samt inte minst en massa åsikter i frågor relaterade till deras myndighetsutövning.
På en nivå är jag beredd att utbrista ”skaffa dig ett liv” – om man som privatperson är fullkomligt besatt av sitt jobb mår man nog inte så bra.
Men naturligtvis är det inte så att de här cheferna egentligen agerar som privatpersoner utan som en del i sin yrkesroll, i vissa fall uppmuntrat av arbetsgivaren.
Många myndigheter tycks se det som ett egenvärde att enskilda tjänstemän är synliga i sociala medier, litet oklart varför om ni frågar mig.
Men om nu myndighetsledningen tycker det är bra att cheferna i verksamheten är ute och visar sig i sociala medier varför gör de då inte officiellt som myndighetsföreträdare utan som ”privatpersoner”?
Jag kan bara se två skäl till detta vilka båda rimmar illa med svensk förvaltningstradition och med de förväntningar som medborgare har rätt att ha i förhållande till sina myndigheter.
Det första är att man vill slingra sig undan offentlighetsprincipen.
Teorin är att om man skriver om myndighetens verksamhet som privatperson som kommer inte vare sig tweets man själv skriver eller tweets som riktas till en att räknas som allmänna handlingar.
Ursprungligen var nog skälet att det är litet knöligt att diarieföra och lagra tweets och att det därför är frestande att komma på kreativa lösningar för att undvika det.
Men jag tror att det numera, vid sidan om en administrativ slapphet, skapats en mystisk frizon där även generaldirektörer gör uttalande i sakfrågor blandat med kommentarer om fotboll.
Rent strikt betraktas information kopplat till myndighetens ärenden som allmänna handlingar oavsett om de kommer in eller skickas ut i form av flaskpost eller twitter men detta tycks ha kommit bort i den allmänna villervallan.
Den bristande kontrollen över myndighetens information liksom att lagar inte efterlevs är frågor av vikt i ett informationssäkerhetsperspektiv.
Allvarligare är kanske ändå det andra, möjligen outtalade skälet, till att chefer släpper loss i sociala medier förklädda till privatpersoner.
För att ta ett axplock har jag sett personer i chefspositioner eller motsvarande: retweeta opinionsbildare inom det egna myndighetsområdet med starkt berömmande ord, retweeta rapporter med klart tvivelaktigt vetenskapligt värde med lika berömmande ord, upprört kritisera regeringen för att den egna verksamheten (d.v.s.
myndighetens, inte privatpersonens) fått för litet medel samt i förklenande ordalag beskrivit enskilda folkvalda.
Intrycket är i många fall att myndigheterna bedriver lobbyverksamhet genom sina ”privata” chefer som i sin tur retweetar opinionsbildare som ställföreträdande kommunikatörer av myndighetens linjer.
Med tanke på att de retweetade opinionsbildarna inte är särskilt nyanserade i sina åsikter rör sig intrycket av myndigheten allt längre från det litet gråa men förtroendeingivande till en hetsig åsiktsförmedlare.
Det måste understrykas att jag inte på något sätt vill minska offentligt anställdas möjligheter att uttrycka åsikter, delta i den allmänna debatten eller vara politiskt aktiva.
Snarare tvärtom, jag tycker att det vore högst önskvärt att fler människor på olika sätt är engagerade i samhället.
Vad jag vänder mig emot är att offentligt anställda chefer opinionsbildar inom sina egna verksamhetsområden och därmed skapar en flytande gräns mellan å ena intresse- och lobbygrupper och å andra sidan myndigheten.
Kalla mig konservativ men det är ett faktum att svenska tjänstemän inte är politiskt tillsatta och ska inte politisera myndigheternas verksamhet på det sätt som jag menar att ovanstående tweets är exempel på.
Tjänstemannen får inte heller förväxlas med privatpersonen eftersom det skapar förvirring och minskar förtroendet för myndigheterna.
Och, inte minst, när nu betydelsen av källkritik och av att kunna identifiera vem som står bakom ett budskap förefaller det orimligt att myndigheter agerar som så dåliga exempel.
Insynen i den offentliga verksamheten och tillgången till allmänna handlingar gynnar medborgarens individuella rättssäkerhet liksom medborgarens kontroll över de offentliga institutionernas funktion.
Dessutom, vilket känns alltmer betydelsefullt, kan tillgången till allmänna handlingar göra att det offentliga samtalet har stöd i relevanta fakta och gemensam kunskap.
Sammantaget finns det alltså alla skäl till att se den svenska offentlighetsprincipen, med den unika rätt den ger medborgarna till insyn, som en oskattbar tillgång för demokratiutveckling.
Att offentlighetsprincipen helt handlar om informationshantering borde ha lett till att den ägnats stort intresse i e-demokratisammanhang.
Nu för ju visserligen e-demokrati i sig en tynande tillvaro i digitaliseringssatsningarna men det är ändå häpnadsväckande att offentlighetsprincipen snarare motverkas än utvecklas.
Departement, myndigheter och kommuner verkar alltför ofta göra sitt bästa för att undvika att lämna ut även den information som helt uppenbart är allmän och offentlig.
KU och JO kritiserar departement och myndigheter för deras förhalande och försvårande av utlämningsärenden, utan synbarlig effekt.
Det har gått så långt att det t.o.m.
startats tjänster för att ge stöd för den som vill begära ut allmänna handlingar hos trilskande Offentlighetsprincipen inskränks också genom allt fler krav på sekretess, inte minst uppges ofta säkerhetsaspekter vara skälet till önskan om sekretess.
2 kap Tryckfrihetsförordningen (TF) handlar om allmänhetens rätt att ta del av allmänna handlingar.
Det är en rättighet som lagstiftaren inser inte är så lätt att komma i åtnjutande av om medborgaren inte känner till vilken information som hen har rätt att del av.
Förvaltningslagen innehåller därför krav gällande serviceskyldighet, tillgänglighet och öppenhet som tillsamman brukar kallas .
Det betyder att departementet/myndigheten/kommunen inte bara ska ta ställning till de begärande om utlämning av allmänna handlingar som medborgare lyckas formulera på fri hand.
Man ska också orientera medborgaren om vilka handlingar som finns och rimligen hur de är relaterade till verksamheten.
Det ska vara möjligt för medborgaren att få en överblick över myndighetens information och vilka handlingar som skulle vara lämpliga att begära ut om man är intresserad av en viss fråga.
Detta gäller naturligtvis även för den insyn som den granskande journalistiken behöver.
För c.a.
15 år sedan gjorde jag ett test av 20 kommuner, 20 landsting och 20 myndigheter för att se hur väl de levde upp till kravet på god offentlighetsstruktur.
Resultatet var nedslående.
Visserligen hade några lagt ut sina diarier på sin webbplats men eftersom diariesystemen är utformade för registratorer var de oanvändbara som sökverktyg även för mig som är specialist inom området.
De kräver en förförståelse för organisationen som ingen utomstående har, till exempel vilken organisatorisk enhet som hanterar en viss fråga, vad ärendetypen kallas, vad dokumenttypen kallas o.s.v.
Min slutsats var att den goda offentlighetsstrukturen var obefintlig.
Vid en stickprovskontroll i dag är läget i princip oförändrat.
Gå in på valfri myndighet, landsting, region eller kommun och testa, de flesta är i nivå med regeringen själva där man efter mycket letande på webbplatsen kan komma fram hit ett dokument som mycket översiktligt beskriver handlingar som kan . De som häromveckan uppmanade till bättre källkritik kan inte heller ses som några föredömen då gäller att erbjuda allmänheten möjligheter att ta del av de allmänna handlingar som skulle kunna utgöra motvikt till falska nyheter.
Goda undantag kan finnas som när kommuner gör en ansträngning för att ge insyn i nämnders , i övrigt är det ett tämligen kompakt mörker.
Tanken att digitaliseringen kan vara ett kraftfullt redskap för att utöka medborgarens möjlighet till insyn som fanns på har dött någonstans på vägen.
Ända in i slutet av nittiotalet förekom i it-kommissionens hägn flera goda ansatser där jag särskilt vill lyfta fram beskrivning av hur offentlighetsprincipen kan tolkas på ett minimalistiskt respektive ett maximalistiskt sätt.
Man kan urskilja tre olika slag av handlingsoffentlighet: ärendeinsyn, verksamhetsinsyn och kunskapsinsyn.
Den första kategorin ger endast möjligheter till insyn i handlingar hänförliga till ett bestämt ärende.
Sökanden måste kunna identifiera ärendet i fråga och de begärda handlingarna måste ha ett klart samband med detta.
Principen kan tolkas olika snävt: vad som är ett ärende kan t.ex.
uppfattas på olika vis och sambandet mellan handling och ärende kan vara av mer eller mindre formell art.
Den andra kategorin ger en mer omfattande insyn och förutsätter inte att begärda handlingar har anknytning till något visst av sökanden identifierat ärende.
Den begränsas av sitt syfte att ge möjligheter till inblick i myndigheternas verksamhet.
Begränsningen kan t.ex.
i praktiken utformas som en ändamålsprövning inriktad på att utlämnandet måste vara nödvändigt för att ge möjlighet att bedöma rättsenligheten och lämpligheten av myndighetens åtgärder.
Den tredje kategorin innebär i sin mest extrema form att myndigheternas hela informationsinnehav skall stå till allmänhetens fria förfogande och lämnas ut i begärda urval och former.
Informationsinnehavet betraktas som en gemensam tillgång som alla i samhället har varit med om att bygga upp och därför också bör få tillgodogöra sig.
Det innebär inte att han bortser från de intressekonflikter som en mer omfattande insyn för med sig: Att en enskild önskar viss insyn i en myndighets verksamhet är inte detsamma som att myndigheten är intresserad av att ge sådan insyn.
Snarare uppstår det ofta konflikter mellan önskemål om insyn och önskemål om insynsbegränsning.
Det ligger i offentlighetsprincipens natur att ge upphov till sådana konflikter.
De gäller inte bara den enskilde informationssökaren kontra den ”drabbade” myndigheten utan generellt, på samhällsnivå.
En vidsträckt öppenhet har sina fördelar men också sitt pris.
Jag uppmuntrar alla att läsa Seipel och reflektera över insynens för- och nackdelar.
Insynen är den korrigerande kraften som, förutom att skapa ett bättre offentligt samtal och medvetna medborgare, motverkar korruption och maktmissbruk.
Borde inte detta vara oerhört angelägna frågor idag?
Trots digitaliseringens möjligheter finns det få tecken på att de tagits tillvara när det gäller att förbättra insynen i myndigheters verksamheter eller i olika beslutsprocesser.
Senare års utredningar och andra nationella insatser som E-delegationen, Digitaliseringskommissionen, eSam och regeringens Vision ägnar inget intresse åt hur insynen skulle kunna förbättras.
Istället lever vi kvar i den petrifierade diarieföringen omgiven av brusande internet där medborgarens möjlighet till insyn ständigt minskar istället för ökar.
Denna negativa utveckling skyms av de entusiastiska insatser som görs under beteckningen Öppna data som ibland framställs som relaterad till demokratiska värden.
Att Öppna data skulle stärka demokratin är dock tveksamt.
EU:s PSI-direktiv som blivit har som sitt syfte att: att främja utvecklingen av en informationsmarknad genom att underlätta enskildas användning av handlingar som tillhandahålls av myndigheter.
Öppna data handlar alltså om näringspolitik och inte om demokrati.
Även om jag inte på något sätt vill nedvärdera betydelsen av näringspolitik skulle det i denna tid av ganska vinglig demokratisk utveckling sitta bra med en rejäl satsning på offentlighetsprincipen.
Ardalan Shekarabis tillitsreform borde inte enbart sträcka sig till tilliten inom myndigheterna utan även omfatta tilliten till myndigheterna.
Förbättrad insyn är kanske det mest verkningsfulla medlet för att förbättra tilliten till förvaltningen.
Det är också dags att styra bort från New Public Management även i detta avseende och låta myndigheter vara något mer än bara tjänsteleverantörer.
Mitt förslag är att Shekarabi och Alice Bah Kuhnke slår sig ihop, lyfter blicken från Öppna data och gör en långsiktig satsning på offentlighetsprincipen som en del av digitaliseringen.
Min uppfattning är att den svenska demokratitraditionen är en deltagardemokrati och att vi bör utveckla demokratin i en deliberativ riktning inte minst eftersom det skulle gynna den samhälleliga tilliten.
I ett tidigare inlägg har jag framfört att digitalisering kan vara ett verksamt stöd för att göra detta men att det kräver en uttalad linje från regeringen samt konkreta åtgärder i digitaliseringsarbetet.
Jag har också hävdat det är inom den konstitutionella komponenten av demokratin, d.v.s.
när det gäller individuella rättigheter, rättssäkerhet och maktdelning, som den offentliga digitaliseringen främst kan ha positiv effekt eftersom den är inriktad på förvaltningsfrågor.
Om digitaliseringen ska stärka demokratin måste denna aspekt alltså vara framlyft i de nationella satsningar som initierats av regeringen eller andra centrala offentliga aktörer.
Jag ska här göra ett snabbt svep över digitaliseringsområdet och se hur demokratifrågan hanterats.
Det finns en historia inom e-demokratiområdet i Sverige där frågan fanns med i de fyra it-kommissionerna som avlöste varandra mellan 1994 och 2003, och även i regeringens it-politiska strategigruppens rekommendationer från 2006.
Men är utvecklandet av e-demokrati en viktig del av dagens digitaliseringssträvanden?
Det finns två aktuella urkunder för det nu pågående digitaliseringsarbetet.
Först kom den It i människans tjänst– en digital agenda för Sverige .
Därefter regeringens strategi för en digitalt samverkande statsförvaltning Med medborgaren i centrum från .
I den digitala agendan spänns bågen i demokratifrågor: It ska vara ett stöd för medborgardialog samt bidra till att öka medborgarnas kunskap, samhällsengagemang, insyn och inflytande.
En levande demokrati där individer har möjlighet att påverka beslut som rör den egna vardagen är målet för demokratipolitiken.
Inom ramen för arbetet med att stärka demokratin är prioriterade frågor goda möjligheter till insyn och inflytande, lokal- och kommunal demokrati, förstärkta möjligheter till inflytande i den demokratiska processen samt vidgat inflytande med hjälp av e-verktyg.
Därför är det positivt om it är ett stöd för medborgardialog samt bidrar till att öka medborgarnas kunskap, samhällsengagemang, insyn och inflytande.
Tyvärr utmynnar målbilden i ett åtgärdsförslag som närmast är en icke-åtgärd: Under de kommande åren är det en gemensam utmaning för stat, kommun och landsting att utveckla användningen av it som stöd i dialogen med medborgarna.
Detta bör ske på ett sätt som stärker demokratin genom att utveckla en transparent demokrati och ge medborgarna ökad möjlighet att utöva inflytande i de demokratiska beslutsprocesserna.
Regeringen stödjer därför bl.a.
fortsatt Sveriges Kommuner och Landstings projekt Medborgardialog med stöd av it som ska pågå till 2013.
Lustigt nog ägnas betydligt mycket mer engagemang åt hur demokratiutveckling via digitalisering kan ingå som en viktig del i svensk biståndspolitik än åt hur den inhemska demokratiutvecklingen kan stärkas.
Det finns också ett flertal hänvisningar till den som lade grunden för E-delegationens arbete men som också skapade en varaktig dimma kring syftet med digitaliseringen; är det för medborgaren, förvaltningen eller för näringen som olika åtgärder vidtas?
Ett mycket påtagligt exempel på detta är när en ökad tillgänglighet till offentlig information framställs som ett demokratiprojekt men det egentliga syftet visar sig vara att företag ska kunna vidareutnyttja offentlig information i kommersiella syften.
Detta är en följd av kombinationen av den svenska offentlighetsprincipen och EU:s PSI-direktiv vilket verkligen skulle förtjänat att få de olika syftena förtydligade.
Denna dubbelhet följer med in i målen för regeringens strategi Med medborgaren i centrum där ett av målen är: Öppenhet.
Vi ska ta hjälp av det digi­tala för att stärka demokratin och, öka transparensen och bidra till mer tillväxt genom öppna data.
Litet längre fram trycker man på de demokratiska värden som kan stärkas: Insyn och öppenhet är grundläggande förut­sättningar för demokratiskt ansvarsutkrävande och det är därför viktigt med transparens och tillgång till information om den statliga för­valtningen.
Digitala tjänster ger möjlighet att förverkliga offentlighetsprincipen på ett sådant sätt att information inte bara görs tillgänglig på begäran.
Ett exempel är Openaid.se, som publi­cerar information om det svenska biståndet.
De enda inriktningar i strategin som skulle kunna påverka demokratiska värden är tillsättandet av informationshanteringsutredningen och en förstudie om ökad transparens i Regeringskansliets remisshantering.
Såvitt jag kan se innehåller inte förslaget till som blev resultatet av informationshanteringsutredningen några förslag för att förbättra insynen, däremot ett antal förslag rörande integritet som ledde till invändningar av en rad remissinstanser.
Om transparensen i remisshanteringen förbättrats är jag osäker på.
Sammantaget kan man säga att det har funnits en del ambitioner i demokratifrågor, om än vaga, i regeringens styrning av digitaliseringen.
De organ som tillsatts för att realisera regeringens ambitioner kan inte heller sägas ha tagit e-demokratin vidare.
E-delegationen, en kommitté som tillsattes 2009 och fortlevde till 2015, fick av regeringen uppdraget att: beakta den utveckling som sker inom området e-demokrati, dvs.
användning av it i demokratiska processer.
Men delegationen gjorde själv en avgränsning ”av uppdraget och har inte beaktat demokratifrågor.” som man skriver i sitt .
E-delegationens efterföljare eSam (eSam är ett medlemsdrivet program för samverkan mellan myndigheter och Sveriges Kommuner och Landsting (SKL) om digitaliseringen av det offentliga Sverige) nämner inte demokratifrågan över huvud taget.
Digitaliseringskommissionen som haft regerings uppdrag att bistå Regeringskansliet i den fortsatta utvecklingen av digitaliseringspolitiken, bl.a.
genom att ta fram underlag lämnar inte heller i sitt slutbetänkande några förslag på att förbättra e-demokratin.
Däremot innehåller temarapporten från 2016 ett antal uppsatser som anknyter till demokratifrågor inklusive den personliga integriteten.
Uppsatserna är av mycket varierande kvalitet där några ha ett språkbruk som knappast setts i statliga utredningar, som på sidan 66 för att ta ett exempel: Sett ur det här perspektivet tycks många av sjukvårdens praktiker, där patienters önskemål om att slå ihop journaler inte hörsammas med hänvisning till den personliga integriteten, närmast perversa.
Lyckligtvis är inte nivån på argumentation den samma i hela rapporten men den innehåller å andra sidan mycket få förslag för att förbättra demokratin med hjälp av digitalisering.
Undantaget är Ulf Bjerelds och Marie Demkers diskussion om hur digitaliseringen kan underlätta för de politiska partierna att stärka sin ställning som länk mellan medborgarna och de beslutsfattande institutionerna.
Efter denna genomgång tycker jag mig kunna konstatera att det saknas en tydlig och uttalad linje gällande e-demokrati från den här regeringen liksom från de tidigare.
De generella initiativ som regeringen tagit för att uppmuntra en ökad digitalisering har inte heller kommit att handla om att stärka demokratin.
E-delegationen avgränsade till och med bort det uppdrag de fått av regeringen om att beakta utvecklingen inom området e-demokrati.
Bristen på engagemang är förvånande eftersom detta borde vara en angelägen uppgift då demokratin såsom vi känner den tycks alltmer hotad av auktoritära krafter.
Uppriktigt tror jag också att de digitala verktygen kan skapa möjligheter att pigga upp en förstelnad och litet rostig demokrati.
Men, som Anders R Olsson påpekade för redan för mer än femton år sedan, detta sker inte av sig själv utan förutsätter en uthållig vilja.
Jag ska återkomma till ett par frågor där digitaliseringen verkligen kan påverka demokratin i antingen positiv eller negativ riktning.
En grundsten i allt systematisktär att kartlägga de interna behoven och de externa kraven som ska inrikta hur informationssäkerheten ska utformas i organisationen.
Som externa krav brukar lagstiftning och villkor i avtal räknas upp.
Inget konstigt i det om det inte vore för den något selektiva tolkningen av vilken lagstiftning som är relevant för informationssäkerheten.
De legala krav som informationssäkerheten traditionellt har intresserat sig för, utifrån den militär-polisiära bakgrunden, är kraven på skydd mot obehörig åtkomst som fanns i sekretesslagen och säkerhetsskyddslagen.
Annan lagstiftning som syftar till att begränsa åtkomst förekommer i de juridiska analyser som jag sett genomföras på myndigheter och i företag även om, som jag tidigare hävdat, kopplingen mellan integritet och informationssäkerhet ofta är otillräcklig.
Däremot är det sällan somt tar hänsyn till den andra centrala aspekten som myndigheter har att tillgodose i sin informationshantering – öppenheten.
I Sverige är det till och med så att öppenhet är defaultläget; alla allmänna handlingar är offentliga såvida inte det finns krav i sekretesslagstiftning på motsatsen.
Detta förhållande är unikt för Sverige och Finland, i andra länder gäller det omvända.
När vi i år firar 250 årsjubileet av den svenska tryckfrihetsförordningen där offentlighetsprincipen är en viktig del förtjänar detta att uppmärksammas även inom informationssäkerhetsområdet.
Kanske bör vi se ändringen från den tidigare sekretesslagen till den nuvarande offentlighets- och sekretesslagen 2009 som en uppmaning att också utveckla informationssäkerhetsområdet.
En viktig utgångspunkt är en gemensam förståelse av att sekretessbelägga information innebär en begränsning av grundlagsfästa medborgerliga rättigheter eller som det uttrycks i OSL:s portalparagraf: Bestämmelserna innebär begränsningar i yttrandefriheten enligt regeringsformen, begränsningar i den rätt att ta del av allmänna handlingar som följer av tryckfrihetsförordningen samt, i vissa särskilt angivna fall, även begränsningar i den rätt att meddela och offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen.
Den enda rimliga tolkningen som yrkesutövare är att vi måste vara mycket varsamma och välgrundade då vi begränsar åtkomsten till information så att vi inte inskränker medborgerliga rättigheter.
Informationssäkerhetens uppdrag i offentlig verksamhet är inte att ängsligt sekretessbelägga så mycket information som möjligt utan att erbjuda stöd för att göra så väl avvägda bedömningar som möjligt.
Den andra slutsatsen som jag menar att vi bör dra är att vi har en minst lika viktig uppgift i att säkerställa att allmän och offentlig information hålls tillgänglig som att skydda det som faller under sekretess mot obehörig åtkomst.
Informationssäkerhetsarbetet har fyra mål: konfidentialitet, riktighet, spårbarhet och tillgänglighet.
De åtgärder som vidtas för att upprätthålla riktighet, spårbarhet och tillgänglighet är de som behövs för att kunna tillhandahålla myndigheters information så att offentlighetsprincipens andemening förverkligas.
Jag kan ana invändningar mot det här resonemanget.
Till exempel tror jag några skulle hävda att konsekvenserna av att inte kunna skydda mot obehörig åtkomst är allvarligare än att inte kunna upprätthålla en god offentlighetsstruktur.
Själv menar jag att vi måste kunna göra båda sakerna med samma engagemang.
Vi måste både sträva efter att ge ett så bra skydd som möjligt för det som kan skada den enskilde eller riket och att ge stöd för en så omfattande öppenhet som möjligt.
I dagens situation med flykt från fakta och där lögner avsiktligt eller oavsiktligt sprids med förödande följder är tillgången till korrekt och spårbar information hos offentliga institutionerna oumbärlig för det demokratiska samhället.
Offentlighetsprincipen är ett mäktigt motgift mot desinformation och informationssäkerhet är ett avgörande stöd för att kunna upprätthålla den!

Får jag en beskrivning av verksamheten och av de allmänna handlingar som är kopplade till myndighetens processer?
Kan jag själv söka och identifiera enskilda allmänna handlingar?
Kan jag ta del av handlingarna digitalt?

3 § diarieföra registrerade.
Informationshanteringsplan, 2 § 2 § Så söker du i e-diariet god offentlighetstruktur

Meny Arkivfrågor inklusive e-arkiv Inläggsnavigering

Lantmäteriet MSB Riksarkivet Pensionsmyndigheten ESV

Den digitala agendan Regeringens strategi för en digitalt samverkande statsförvaltning Med medborgaren i centrum E-delegationen och Digitaliseringskommissionen

Beskrivning av en myndighets allmänna handlingar

MENU MENU Postat av Postad i , , Tagged , , , Postat av Postad i , , , Postat av Postad i , , , Postat av Postad i , , , Postat av Postad i , Postat av Postad i , , Postat av Postad i , , , , , Postat av Postad i , Postat av → Postad i , , → Sök efter:

Om oss Diariet och informationsredovisning Diariet och informationsredovisning Demokratin värnas i digitala miljöer insyn offentlighetsprincip 4 kap.
Allmänna åtgärder för att underlätta sökande efter allmänna handlingar, m.m.
Senast diarieförda handlingar Lag (2010:566) om vidareutnyttjande av handlingar från den

Jag lyssnar på det senaste avsnittet av den underbara podden som handlar om atomskräcken.
Programledaren Kalle Lind och historikern Marie Cronqvist pratar om stämningen under kalla kriget och särskilt om skräcken för atomkriget som föranledde omfattande mer eller mindre välbetänkta åtgärder.
Det är svårt att undvika att göra jämförelser med nutiden där atomkriget blivit cyberkrig med samma ryssar med tillägget av terrorister.
Förmedlade hot och ständiga konfliktbudskap ger en förkrigsatmosfär vilken i sin tur ger grogrund till fake news och låga krav på sanningshalt inte bara hos ryssarna.
Som Aiskylos skrev för sisådär 2500 år sedan; krigets första offer är sanningen.
Det är helt enkelt inte särskilt lätt i en sådan samhällsstämning försöka inta en rationell hållning till hotbilder och rimliga säkerhetsåtgärder.
Med detta som bakgrund läser jag utredningen som har ett grått omslag och en titel som är helt befriad från den putslustighet som många andra utredare hängett sig åt: ”En ny säkerhetsskyddslag”.
Förtroendeingivande.
Säkerhetsskydd är ett svårhanterligt område.
Samtidigt som det är något som alla vill ha i någon form finns det mycket starka skäl att det ska ha en så begränsad tillämpning som möjligt.
Säkerhetspolisen (och Försvarsmakten) har mycket stora befogenheter som inskränker medborgarens normala fri- och rättigheter samtidigt som de åtgärder som vidtas ska skydda bland annat dessa rättigheter.
Denna balansgång är alltid svår i en demokrati genom det asymmetriska informationsövertaget där de som representerar SÄPO och Försvarsmakten alltid kan hävda att de känner till hot som de tyvärr inte kan avslöja men som motiverar mer resurser och mer inflytande för säkerhetstjänsten.
Bristen på transparens omöjliggör också för utomstående att bedöma säkerhetsskyddets effektivitet, så även för uppdragsgivaren.
Dialogen mellan myndigheter och uppdragsgivare blir därför annorlunda jämfört med andra myndigheter som nagelfars i fråga om effektivitet i förhållande till behov och de resurser som tillförts.
Dessutom innebär mandatet att SÄPO kan ålägga organisationer att genomföra olika typer av säkerhetsåtgärder (även tekniska lösningar) som inte organisationen själv valt, något som kan ha påverkan på organisationens ekonomiska förhållanden.
Därför måste dessa inskränkningar av rättigheter minimeras och starka motiv till inskränkningarna finnas och att den transparens som saknas i genomförande måste ersättas med så offentliga och tydliga spelregler som möjligt.
Beslutsfattare, medborgare och andra aktörer har rätt att förvänta sig en förutsägbarhet i myndighetsutövningen och att element av godtycklighet är bannlysta.
Förutsägbarhet bör i det här fallet innebära både att det är klart när lagen är tillämplig och vad konsekvenserna blir av att lagen ska tillämpas.
Ytterligare en viktig utgångspunkt är att säkerhetsskydd inte är det enda sättet att skydda för samhället viktiga resurser och att hänsyn måste tas till att myndigheter och andra organisationer bedriver ett aktivt säkerhetsarbete som utgår från andra regelverk.
För att säkerhetsskydd ska bli aktuellt räcker det inte med att en verksamhet är viktig eller känslig, brister i skyddet måste leda till risker för rikets säkerhet samt de övriga skyddsvärden som finns definierade.
Detta är min utgångspunkt i läsningen av förslaget där jag först kommer att titta på några principiella frågor och i ett senare inlägg mer specifikt på de delar som gäller informationssäkerhet.
För utredningen står det klart att det behövs ett utvidgat säkerhetsskydd, något som framför allt uttrycks som negation.
Utrednings ledmotiv är ”för snävt” som beskrivningen av dagens säkerhetsskydd, jag räknar till drygt 30 tillfällen där ”snävt” används i olika sammansättningar – oftast med ”allt för”.
Säkert är det få som inte delar utredningens uppfattning att tiderna förändras och hoten ser annorlunda ut, däremot behöver inte per definition en förändring innebära utvidgning.
Den utvidgning som utredningen föreslår är att: Förändringen är inte bara i omfattning utan ligger även djupare, i själva definitionen av vad som ska skyddas.
I den nuvarande lagstiftningen används begreppet rikets säkerhet som det som är styrande för vad lagen avser att skydda.
Begreppet har traditionellt innehållit tre dimensioner: verksamhet, skyddsaspekt och typ av hot.
Verksamhet har framför allt avsett den centrala statsmakten och militära förhållanden.
Skyddsaspekten har varit konfidentialitet; obehörig åtkomst av information.
Hot har varit relaterat till brott; på senare tid antagonism och terrorism.
Med dessa ganska distinkta avgränsningar har det varit möjligt att identifiera vilken verksamhet och vilken information som omfattats av lagstiftningen liksom att vidta åtgärder för att förhindra obehörig åtkomst.
I förslaget till ny säkerhetsskyddslag förskjuts samtliga dessa parametrar.
När det gäller verksamhet skriver utredningen: I dag utgår säkerhetsskyddslagen från att behov av säkerhetsskydd främst handlar om skydd av hemliga uppgifter.
Kopplingen till offentlighets- och sekretesslagen kan ge intryck av att säkerhetsskydd främst är en angelägenhet för myndigheter och andra offentliga organ för vilka den lagen är tillämplig.
Därutöver handlar det om ett säkerhetsskydd med inriktning att skydda mot terrorism för flygplatser och byggnader, anläggningar m.m.
som enligt skyddslagen är skyddsobjekt.
Sådana avgränsningar är i dag för snäva och medför eller riskerar att medföra att t.ex.
verksamheter som är av betydelse för att upprätthålla grundläggande samhällsfunktioner faller utanför tillämpningsområdet.
Ett första steg är en ändrad systematik som bl.a.
tydligare innefattar sådan säkerhetskänslig verksamhet som bedrivs hos enskilda.
Vi föreslår att beskrivningen av säkerhetsskyddet ska utgå från två huvudsakliga inriktningar.
Säkerhetsskyddet ska inriktas mot verksamhet som innebär hantering av säkerhetsskyddsklassificerade uppgifter.
Det ska innefatta skydd av uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt säkerhetsskyddsåtagande och som till sin natur är sådana uppgifter som avses i bestämmelser om sekretess.
Det innebär således en vidare ram än enligt den nuvarande lagen som utgår från begreppet hemliga uppgifter.
Därutöver ska säkerhetsskyddet inriktas mot verksamheter som av annan anledning behöver ett säkerhetsskydd (i övrigt säkerhetskänslig verksamhet).
Det motsvarar delvis vad som i dag skyddas inom ramen för skydd mot terrorism, dvs.
i huvudsak verksamhet vid skyddsobjekt, flygplatser och vissa verksamheter som ska skyddas enligt folkrättsliga åtaganden om luftfartsskydd, hamnskydd och sjöfartsskydd.
Det skyddsvärda området bör inte avgränsas genom regleringen om skyddsobjekt, utan ska utformas så att det även kan innefatta annan säkerhetskänslig verksamhet, t.ex.
hantering av it-system eller sammanställningar av uppgifter som är av central betydelse för ett fungerande samhälle eller verksamhet som behöver skyddas på den grunden att den kan utnyttjas för att skada nationen, t.ex.
vissa verksamheter inom det kärntekniska området.
Att säkerhetskänslig verksamhet idag också kan vara privat är inte mycket att orda om.
Däremot öppnar den sista meningen upp för en definition som liknar begreppet ”samhällsviktig verksamhet” som är: En verksamhet som uppfyller minst ett av följande villkor: Med samhällsviktig verksamhet menas de verksamheter, anläggningar, noder, infrastrukturer och tjänster som upprätthåller den funktion som de ingår i och är verksamhet som är av avgörande betydelse för upprätthållandet av viktiga samhällsfunktioner.
Samhällsviktig verksamhet kan vara av nationell, regional eller lokal betydelse.
Vad som är samhällsviktigt kan variera beroende på vilka situationer vi ställs inför och i takt med att samhället utvecklas.
Var gränsen går mellan ”säkerhetskänslig” å ena sidan och ”samhällsviktig” å andra sidan framstår i alla fall inte för mig som uppenbart.
I kapitel 13.1 presenteras ett försök att utreda inom vilka samhällssektorer finns särskilda skyddsvärda funktioner (som då ska omfattas av säkerhetsskyddslagen).
Inte heller efter att ha studerat det blir skiljelinjen distinkt även om man här försöker ringa in mer exakt vad det är som avses.
Ett rättesnöre skulle kunna ha varit att säkerhetskänslig verksamhet måste vara av nationell betydelse men inte heller detta håller när man på sidan 245 skriver: Det bör därför krävas ett kvalificerat skyddsbehov utifrån för samhället fundamentalt viktiga funktioner för att åtgärder enligt säkerhetsskyddslagstiftningen ska vara motiverade.
Dessa funktioner kan, trots kravet på nationell betydelse, finnas i en regional eller till och med i en lokal kontext.
Situationen förbättras inte heller av att utredningen föreslår på oklara grunder att begreppet ”rikets säkerhet” ska bytas ut mot ”Sveriges säkerhet”.
Orsaken att frångå det inarbetade begreppet till ett med mer territoriell konnotation sägs någonstans vara en vilja att vidga begreppets tillämpning samtidigt som det i den egentliga förklaringen skrivs: Benämningen rikets säkerhet ska ersättas med Sveriges säkerhet vilket endast är en språklig ändring.
Att det kan råda osäkerhet kring den nya lagens tillämpningsområde är olyckligt.
En risk är att en allt för vid tillämpning leder till att medborgares grundlagsfästa rättigheter inskränks (information görs otillgänglig, övervakning sker, personkontroller införs, ekonomiska förhållanden påverkas, arbetsmöjligheter försvåras) i ett alltför stort antal verksamheter som efter beslut av SÄPO börjar hanteras i extraordinära former.
Denna risk förstärks av oklarheten i vem som ska avgöra om en verksamhet är säkerhetskänslig eller inte.
En intressant fråga är vad som händer om en organisation själv genom en säkerhetsskyddsanalys kommer fram till att det saknas säkerhetskänslig verksamhet medan SÄPO hävdar motsatsen.
Frågan blir ännu intressantare om man betänker a) det är ett vinstdrivande företag b) säkerhetsskydd kostar avsevärda resurser.
Det är också litet svårt att se en förståelse för de beroendekedjor som finns i dagens samhälle och hur svårt det är att avgränsa enskilda verksamheter.
Utan tydliga avgränsningar skulle väsentliga delar av det svenska näringslivet inom it, telekom, kraft, livsmedel, bank och finans, vård och omsorg samt underleverantörer till dessa i värsta fall kunna omfattas av säkerhetsskyddslagstiftningen.
Alternativt skulle lagen kunna tillämpas på ett sätt som skulle kunna vara konkurrenspåverkande, som att i vissa sektorer skulle underleverantörer ses som säkerhetskänsliga, i andra inte.
Ytterligare en risk är att oren uppdelning mellan samhällsviktig respektive säkerhetskänslig verksamhet skulle kunna påverka krishanteringsförmågan.
Om en allvarlig händelse definieras som i första hand något som ska hanteras av SÄPO kan det leda till att det återställande krisarbetet försvåras exempelvis genom att information hemligstämplas.
I nästa inlägg alltså mer om informationssäkerhet i förslaget.
På svenska är ”säkerhet” ett begrepp medan på engelska finns både ”safety” och ”security”.
Begreppen används i kunskapsområden relaterade till säkerhetsfrågor som till exempel inom trafiksäkerhet.
I korthet innebär safety åtgärder för att motverka oavsiktliga fel, misstag, negativa avvikelser, produktfel o.s.v.
medan security är skydd mot avsiktliga, antagonistiska hot.
Det är en avgörande skillnad mellan de risker som safety-åtgärder avser att reducera jämfört med security-relaterade risker.
Information security är också ett område som traditionellt varit inriktat mot antagonistiska hot vilket i hög grad har övertagits av de svenska aktörerna inom informationssäkerhetsområdet.
Både på engelska och svenska är spåren från denna bakgrund mycket tydliga.
Jag har länge funderat över varför det rådande paradigmet inom informationssäkerhetsområdet fortfarande är så inriktat på antagonistiska hot.
Det anspråkslösa empiriska material som finns kring vilken typ störningar i informationshanteringen som ger stor verksamhetspåverkan tyder ju snarare på att det stora problemet ligger i exempelvis bristande uppdateringar i it-lösningar.
Om syftet medt är att reducera störningar som påverkar olika verksamheters möjlighet att upprätthålla sin leverans med acceptabel kvalitet så förefaller fokuseringen på antagonistiska hot kontraproduktiv.
Trots att jag tror att de flesta som sysslat med informationssäkerhet vet att det förhåller sig på det här sättet, både när det gäller hotbilden och fokuseringen på antagonistiska hot, är det märkligt besvärligt att föra en diskussion om frågan.
Orsaken till att det är svårt att diskutera frågan är att security-begreppet skapat en hegemoni som så starkt styr synsätt och de underliggande begreppen och därmed skapar ett paradigm där andra synsätt utesluts.
Att tala om paradigm i samband med informationssäkerhet kan ju tyckas både paradoxalt och onödigt teoretiserande.
Paradoxalt eftersom jag tidigare hävdat att informationssäkerhetsområdet är anti-intellektuellt och paradigm kan ju tolkas som ett akademiskt genomarbetat teoribygge.
Detta är dock en felsyn eftersom ett paradigm ofta helt eller i delar är ett omedvetet tolkningsmönster, integrerat i iakttagarens blick.
Det är också det som gör det svårhanterligt, paradigmet ligger som ett filter över verkligheten och gör att endast det som går att passa in i tolkningsmönstret slipper in.
En situation som gjorde mig brydd och som kan illustrera paradigmets kraft var när jag deltog i ett arbete på en myndighet som förutsatte att vi kunde nå fram till en definition av vad en incident är.
Med min bakgrund i verksamhetsnära informationssäkerhet var det uppenbart att begreppet incident som måste innefatta alla typer av händelser i informationshanteringen som leder till störningar i verksamheten.
Eftersom både it, informationshantering och informationssäkerhet har sitt existensberättigande som stödfunktioner för kärnverksamhetens processer så är grundorsaken till en störning för verksamheten irrelevant, antagonistisk eller inte.
Detta synsätt delades dock inte alls av deltagaren som skulle tillföra ett it-säkerhetsperspektiv.
Hen hävdade outtröttligt att endast händelser med ett antagonistiskt ursprung kan innefattas i begreppet incidenter.
Buggar, uppdateringsfel och brister i rutiner, oavsett hur dramatiska effekter på verksamheten de får, är inte incidenter enligt detta synsätt.
Varje möte i vår arbetsgrupp strandade på denna fråga.
När jag försökte framföra att denna definition av begreppet, bortsett från allt annat, även skulle leda till stora praktiska problem eftersom det ibland kan ta dygn eller ännu längre innan det går att hitta orsaken till en störning.
Ska de då räknas som incidenter och hanteras enligt fastställd incidentrutin eller inte?
Och ska en organisation ha två olika rutiner för ”negativa händelser” i informationshanteringen beroende på dess upphov trots att verksamhetspåverkan är exakt den samma?
Jag kan nu se orsaken till att vi inte kunde kommunicera på ett konstruktivt sätt i denna viktiga fråga var security-paradigmet så skymde sikten att de verkliga frågeställningarna försvann.
Att det skulle vara onödigt teoretiskt att tala om paradigm är kanske ett allvarligare felslut eftersom det är just den medvetna eller omedvetna teorin som stödjer oss i att hantera de högst praktiska frågor som leder till en bättre informationssäkerhet.
Jag tänker ganska ofta på en organisation i flygbranschen där jag var konsult under några månader och intervjuade ett stort antal personer.
Det slående var att alla som var oinvigda i informationssäkerhetens mysterier men väl insatta i trafik och kommunikation frågade om jag avsåg security eller safety när jag pratade om informationssäkerhet.
För dem var distinktionen självklar och funktionell; att ha säkerhetskontroller på flygplatser för att förhindra terrorister är en viktig uppgift men minst lika viktigt är att ta bort isen från flygplansvingar så att planet fungerar på bästa sätt.
Som passagerare är jag ytterst tacksam för den vikt som läggs vid safety-frågor som sannolikt har större betydelse för att så få trots allt blir skadade i trafiken generellt.
Detta gäller inte bara flyget naturligtvis.
Säkerhetsbältet i bilen skyddar mig inte mot terrorister men sannolikheten för att råka ut för en oavsiktlig trafikolycka bedömer jag som betydligt större och säkerhetsbältets påverkan på dödade och skadade i trafiken kan knappast överskattas.
Jag vill därför förorda att vi börjar arbeta mot ett paradigmskifte där ”Information Safety” blir lika prioriterat som ”Information Security”.
Det betyder att något överge krigsretoriken med ständiga antagonister, attacker och hot och mer inrikta sig på ett kvalitetsarbete i den gråa vardagen, att prioritera upp uppdateringar, rutiner, dokumentation, planering och utvärdering på ett systematiskt sätt.
Att kunna upprätthålla två samtidiga perspektiv är nödvändigt om vi verkligen vill att viktiga verksamheter ska kunna upprätthållas med tillräcklig kvalitet.
I detta inlägg ska jag inrikta mig på några mer generella frågor för området som också bör vara frågor som den som inte lever och andas informationssäkerhet borde ställa.
Ett ganska modest krav är att på ett hyfsat entydigt sätt kunna definiera vad informationssäkerhet är.
Detta är dock svårare än vad det först kan förefalla.
Inte ens om det är ett slags tillstånd eller en förmåga är klart.
Jag ska här endast ta upp några av de frågor man kan ha anledning att ställa sig angående vad informationssäkerhet ska anses vara.
En definition som säkert kommer att användas av många är den som finns med i den terminologi som sammanställts inom SIS: Denna definition har övertagits av MSB i den nya föreskriften MSBFS 2016:1 trots att myndigheten i andra sammanhang talar om ”förmåga” alternativt ”tillstånd” i andra sammanhang.
Jag ska inte detta sammanhang gå in på ISO 27000 och dess översättning i detta sammanhang utan här endast koncentrera mig på det sätt som terminologin definierar begreppet.
I ordet ”bevara” finns en implicit föreställning om att en vald informationsmängd är en entitet som har initiala egenskaper som ska bibehållas i en kortare eller mindre hantering.
Detta är ett ganska egenartat synsätt som sannolikt är hämtat från ett tidigare tekniskt utvecklingsskede, kanske en slags databastänkande, där man är upptagen av transaktioner inom ett enskilt system.
Att ställa krav på informationens kvalitet före instoppandet i systemet eller vid sammanställning till nya informationsmängder ligger utanför definitionen.
I värsta fall skullet alltså leda till att felaktig information förblir felaktig eftersom då den ursprungliga riktigheten ”bevaras”.
Beskrivningen indikerar också ett statiskt förhållande där informationen liksom inkapslad färdas i ett system.
Detta stämmer inte heller särskilt väl med den informationsinfrastruktur som har växt fram där information hela tiden sammanställs, förändras och kommuniceras i nya strukturer.
Informationssäkerheten borde då syfta till att förändras och skapa en tillräcklig nivå av skydd under informationshanteringsprocessen/erna.
Personligen måste jag därför medge att ”bevarande” är en definition som inte känns relevant.
”Tillstånd” eller ”förmåga” är alternativ som skulle ge andra möjligheter men oavsett vilket begrepp som väljs borde det bygga på en mer Trots att informationssäkerhetsområdet inte bygger på tung akademisk forskning på en ontologisk nivå, till exempel rörande vad informationssäkerhet skulle sägas vara, finns det vissa hangups där det hänvisats till akademin.
Den sådan är begreppet ”spårbarhet” som av informationssäkerhetens purister inte anses ha samma autonoma värde som exempelvis riktighet och tillgänglighet.
Purismen i denna fråga känns inte särskilt väl underbyggd.
Mig veterligen inte finns någon begreppsmodellering genomförd över något av begreppen och inte heller är översättningen av den så kallade CIA-triaden ( och ) till konfidentialitet, riktighet och tillgänglighet klockren.
skulle knappast översättas till ”riktighet” i något annat sammanhang, särskilt som riktighet i SIS terminologi anges som vilket återigen antyder ett synsätt som utgår från databashantering.
Rent praktiskt är spårbarhet ett begrepp som är av stor betydelse i transaktionstäta verksamheter som bank, finans och sjukvård samt för att stödja integritetskrav.
Spårbarhet är också mycket tydligt kopplat till konkreta åtgärder som loggning – ändå väljs det bort utan närmare förklaring.
Detta är bara ett exempel på att själva grundelementen i beskrivningen av informationssäkerheten saknar verkligt definition vilket ger möjlighet till vitt skilda tolkningar och närmast trosläror om vad informationssäkerhet egentligen är.
Ett annat tolkningsproblem är skillnaden mellan informationssäkerhet å ena sidan och it-säkerhet å den andra.
Att de som inte har informationssäkerhet har svårt att uppfatta skillnaden är inte så konstigt men att även de som arbetar med informationssäkerhet vacklar i distinktionen är ett tydligt tecken på osäkerheten i begreppet informationssäkerhet.
För mig framstår det som att informationssäkerhet i i första hand är en organisatorisk stödfunktion som ska ge ledningen stöd i att styra sin verksamhets resurser så att de skyddar informationen på ett sätt som stöder verksamhetens mål.
Detta uppfattar jag också som kärnan i ISO 27000 som ju är helt inriktad på att skapa ett ledningssystem som ska ge en organisatorisk förmåga till styrning av informationshanteringen.
It-säkerhet är i detta perspektiv de tekniska åtgärder som ska vidtas för att svara på de krav som ledningssystemet ställer.
Många verksamma inom informationssäkerhetsområdet tycks inte dela denna uppfattning utan ser informationssäkerhet som synonymt med it-säkerhet.
Även denna basala fråga skulle behöva analyseras och få en mer allmänt accepterad förklaring.
Detta är bara några frågor där det enligt min uppfattning råder oklarhet och där utrymmet för analys och vidareutveckling är mycket stort.
I nästa inlägg ska jag ge mig på målet för arbetet med informationssäkerhet.

Fler verksamheter ska kunna falla under säkerhetsskyddet Flera organisationer ska kunna falla under säkerhetsskyddet Inom informationssäkerhetsområdet ska inte enbart konfidentialitet utan även riktighet och tillgänglighet bedömas Ett bortfall av, eller en svår störning i verksamheten som ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid kan leda till att en allvarlig kris inträffar i samhället.
Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt.

konfidentialitet riktighet tillgänglighet

Meny Begrepp Inläggsnavigering

Vad är det egentligen som ska skyddas?

Vad är informationssäkerhet?

MENU MENU postat av Postad i , , , , , Postat av Postad i , , , , , Postat av Postad i , , , , Tagged , , , , → Sök efter:

bevarande av , och hos information.
Confidentiality, integrity availability Integrity skydd mot oönskad förändring

Ibland behöver vi ta ett steg tillbaka och betrakta en till synes fast definierad problemformulering på litet avstånd för att se om det är ett tillräckligt bra sätt att förstå en viktig fråga eller om det kanske finns andra sätt att betrakta den.
Jag ska nu göra ett försök att vidga frågan om integritet i förhållande till vårdinformation i synnerhet men även till den information som skapas och bearbetas i offentliga verksamhet i allmänhet.
När vi pratar om den personliga integriteten idag handlar det i de flesta sammanhang om teknik som åtkomst till personuppgifter i it-system eller övervakningskameror.
Jag tror att detta är en alldeles för begränsade problemformulering när vi ser hur personuppgifter är det högoktaniga bränslet för multinationella företag som jag skrivit om .
Samma fenomen beskrivs i den mycket välförtjänt hyllade och lästa Konsulterna av Anna Gustafsson och Lisa Röstlund.
Vår nuvarande inställning bygger på att obehörig åtkomst till uppgifterna skulle skada vårt anseende, att intima uppgifter om oss själva skulle bli kända för ”fel” personer.
Det är en rättighetstradition som bygger på tanken att vi har en rätt till en privat sfär och även till att kontrollera ”bilden” av oss själva.
Det är i min mening en alldeles rimlig uppfattning att känsliga uppgifter om oss endast ska vara åtkomliga för de som verkligen behöver dem, t.ex.
för att ge oss rätt vård.
Det är också en inriktning som fungerat i den svenska vården sedan patientjournalerna övergick från att vara räkenskapsmaterial till att bli stöd för vård och behandling.
En snabb och hårdragen exposé skulle kunna se ut som följer.
I och med att den svenska vården till sin absoluta merpart varit offentligt finansierad och offentligt utförd under i princip hela 1900-talet har vårdinformationen varit allmänna handlingar som ägts av vårdgivaren och i väsentliga delar bevarats i och med att sjukvårdshuvudmännen (landsting/regioner) har åtagit sig att bevara alla läkarförda journaler för all framtid.
Förutom att detta förhållande har gynnat patienterna som kunnat få vård grundad på vederhäftig information har det gett Sverige ett unikt forskningsläge med tillgång till en hel befolknings data om hälsa och vård i ett välordnat system.
Förutom att det är lätt glömma bort att vi faktiskt haft mycket väl utvecklad hantering av patientdata i över ett sekel är det också lätt att glömma bort att detta bygger på ett samhällskontrakt som kan ses som en del i den svenska välfärdsstaten.
Ungefär: högkvalitativ vård och en avancerad forskning finansieras via skatten och dina vårduppgifter används för att ge dig själv och andra patienter bättre vård.
Förutsättningen för kontraktet var 1) att patientuppgifterna användes för etiskt prövad akademisk forskning och 2) att patientuppgifterna omgavs med sekretess och att det fanns hög grad av spårbarhet i vilka som tagit del av dem.
Jag vet att så fort man säger eller skriver att patientuppgifterna omgavs med höga krav på sekretess så kommer det alltid ett antal människor rusande och återger hårresande berättelser från gamla journalarkiv.
Min utgångspunkt är vad lagstiftning i form av bland annat patientjournallagen betonade och studier som gjorts av journalhantering under 60-80-talet samt de mycket konkreta erfarenheter jag har av praktisk journalhantering samt sekretessmedvetande från ett antal år i olika typer av vårdverksamheter.
Personligen har jag tycket att detta varit ett bra samhällskontrakt som bygger på ett stort mått av tillit och har ofta argumenterat emot dem som menat att patienten själv ska äga sin journal eftersom det, enligt mig, skulle leda till stora nackdelar både för patienten och för samhället.
Tyvärr har jag varit tvungen att börja ompröva detta efter de senaste decenniernas digitalisering inom sjukvården.
Om vi tar det aktuella exemplet Region Stockholms för hälsodata liksom NKS intention att lämna ut stora mängder patientdata via BCG till amerikanska företag måste vi kanske övergå till ett annat sätt att se på integritet.
Kanske måste vi lämna den traditionella svenska uppfattning och se på integritet som en äganderätt vilket är ett synsätt som varit etablerat i mer konservativa tanketraditioner som exempelvis Nozick med efterföljare.
Det skulle i detta alltmer kommersialiserade sammanhang där personuppgifter blivit guldet eller kunna tolkas som att din äganderätt av dig själv också innebär att du också äger den eftertraktade resursen som dina personuppgifter utgör.
Om du äger uppgifterna måste också ha rätten att avgöra hur de får användas utöver exempelvis vad vården kräver.
Detta är ett synsätt som går emot den rådande trenden inom svensk sjukvård där inte ens tycker de mycket begränsade möjligheter till samtycken ska få finnas kvar utan hanteringen av personuppgifter ska ske långt över huvudet på patienterna.
En randanmärkning är att sjukvårdspolitiker och SKL inte riktigt tycks acceptera gällande lagstiftning som den gällande spärrar, integritet eller molntjänster.
Istället för att inrätta sina verksamheter så att de följer lagstiftningen lägger man all energi på att argumentera för att lagstiftningen ska ändras.
Det känns inte som allt igenom konstruktivt förhållningssätt och min uppfattning är att detta är en delförklaring till den haltande digitaliseringen av vården.
I ovan refererade debattartikel förefaller inriktningen vara att patientuppgifterna generellt liksom i centret för hälsodata få användas för random ändamål för var går gränserna för ändamål som exempelvis life science, kvalitetsutveckling och uppföljning?
Det är aningen förbryllande att de politiker som kallar sig liberala tycks minst intresserade av liberala värderingar och individers rättigheter utan har en närmast kinesiskt touch i synen på relationen mellan individ, kapital och staten.
När jag läser om Centrum för hälsodata tänker jag också hur Region Stockholm ständigt upprepade bristande affärssinne som i utförsäljningar av allmän egendom till totala underpriser.
Nu ska man sälja hälsodata till ”självkostnadspris”.
Varför ska kommersiella företag inte betala marknadspris för den råvara som personuppgifterna utgör?
Även om det i mina ögon är en olycklig utveckling inte minst för den medicinska forskningen vill jag ändå pröva tanken på hur det skulle se ut om vi ägde vår egen patientinformation.
Det finns liksom ingen fördel för svenska patienter att lämna data till amerikanska försäkringsbolag eller som stöd till företagen i det som Zuboff kallar den multinationella övervakningskapitalismen.
Om vi ska ersätta tillitsbaserade relationer med kommersiella måste detta ske på ett sätt som inte bara gynnar den ena parten.
Vi skulle kunna laborera med möjligheten till en digital valfrihet där man som patient fick en äganderätt till sina patientuppgifter och därmed kunna bestämma över hur de får hanteras.
Exempelvis kryssa i ett formulär med alternativ som Mina patientuppgifter får användas: Till detta kan läggas verklig anonymisering som alternativ på samtliga val.
Patienten kanske ska erbjudas möjligheten att få ta ut ersättning då personuppgifterna säljs till kommersiella aktörer och då inte ”självkostnadspris” utan ett reellt pris.
Detta tror jag vore ett bra sätt att återföra makten till patienten, sätta till press på sjukvårdshuvudmännen att ta frågan på allvar och att utveckla privacy by design vilket ju är ett lagkrav för de som glömt bort det.
Ett annat resultat vore möjligen också att patientföreningar som representerar patientens olika intressen kunde bildas och utgöra ett komplement till de patientföreningar vars oberoende kan . En ny sorts patientföreningar skulle kunna bli förhandlingspartners och förhandla fram bättre priser än självkostnadspris för råvaran.
Tanken svindlar för vilka möjligheter som skulle kunna öppnas.
Resonemanget om en digital valfrihet för individen kan med fördel även tas in i diskussionerna om öppna data.
Jag är inte säker på om jag håller med mig själv men jag tror vi som verkligen är intresserad av den personliga integriteten måste börja fundera på hur vi ska kunna hitta verktygen i en ny tid.
Efter diskussionerna om 1177-skandalen och andra händelser inom e-hälsoområdet har jag efterfrågat en nationell genomlysning av hur det egentligen står till med informationssäkerheten i den svenska vården.
I väntan på en större aktör som kan genomföra en omfattande analys av den i mitt tycke centrala frågan så tänkte jag börja dra några små strån till stacken och titta närmare på hur några viktiga aktörer inom e-hälsoområdet hanterar informationssäkerhetsfrågan.
Hälso- och sjukvården är också en av de utpekade branscher där aktörer åläggs att bedriva ei NIS-direktivet.
Att sanktionsavgifter kan utdömas från både dataskyddsmyndigheten och från IVO i det här fallet borde vara en starkt pådrivande faktor för att förbättra säkerheten.
En naturlig startpunkt är Inera som presenterar sig så här: Inera ägs av SKL Företag, regioner och kommuner.
Genom att erbjuda kompetens inom digitalisering stödjer Inera ägarnas verksamhetsutveckling.
Inera koordinerar och utvecklar gemensamma digitala lösningar till nytta för invånare, medarbetare och beslutsfattare.
och Inera utvecklar och förvaltar nationella tjänster inom e-hälsa och digitalisering på uppdrag av regioner och kommuner.
Ungefär 35 digitala tjänster drivs idag av Inera, bland annat 1177 Vårdguiden, Nationell patientöversikt och Journalen.
Vissa tjänster används av invånare, andra av vårdpersonal.
Arbete pågår med nuvarande tjänster och på vilket sätt de kan anpassas för kommunerna.
Inera ansvarar också för den gemensamma infrastruktur och it-arkitektur som ligger till grund för många av tjänsterna.
Därmed har Inera uppdraget från sjukvårdshuvudmännen att koordinera och utveckla gemensamma e-hälsolösningar – en supertungviktare inom e-hälsoområdet alltså.
Av detta följer att man har ett lika tungt ansvar när det gäller informationssäkerheten i de lösningar man erbjuder.
Detta faktum accentueras av att sjukvårdshuvudmän och vårdgivare i de flesta fall inte kan välja andra lösningar än de som Inera erbjuder eftersom de är nationella tjänster som det är nödvändigt att använda för att kunna bedriva vård.
Till skillnad mot om man skulle anlita kommersiell leverantör där man både kan styra med kravspecifikation och genom att byta leverantör om man inte är nöjd med säkerheten.
Dessutom ska Inera stödja digitalisering av regioners och kommuners verksamheter genom att tillhandahålla kompetens och material.
Bland annat säger man sig ta fram regelverk för informationssäkerhet, juridik och kvalitetssäkring.
Det vore konstigt om man inte skulle bli intresserad av hur Inera arbetar med informationssäkerhet då dessa olika uppdrag presenteras.
När man bedömer en organisations förutsättningar för att bedriva eär den vanliga metoden att utgå från vilka styrande dokument som tagits fram och beslutats.
Inte för att styrande dokument i sig med nödvändighet leder till bättre säkerhet men de ger ramarna för arbetet och beskriver förhoppningsvis det organisatoriska maskineri med bland annat ansvar och roller som förlängningen ska snurra igång det systematiska arbetet.
I korthet: regelverk är en nödvändig men absolut inte tillräcklig förutsättning för fungerande informationssäkerhet och det finns definitivt olika kvalitet på regelverk.
Dessutom innehåller regler på högre nivå mycket sällan någon som helst känslig information och skulle det återfinnas någon liten del som bedöms som känslig är den lätt att maskera vid ett utlämnande (tro mig – jag har begärt ut regler i stor omfattning från myndigheter, kommuner och regioner).
Innan vi går vidare ska jag för transparensens påpeka att jag för ett femtontal år sedan gjorde ett par konsultuppdrag för Ineras föregångare och jag hade även kontakt med Inera under den tid jag arbetade på MSB.
Mitt sammantagna intryck är att det varit motigt att införa ett systematisktt trots uppdraget Inera och dess föregångare haft.
Men åter till nuläget.
Med ovan beskrivna bakgrund var ett första steg för mig att be att få ta del av Ineras regelverk vilket jag gjorde den 6 augusti: Hej!
Jag skulle vilja ta del av: – Ineras interna ledningssystem för informationssäkerhet (LIS) som tillämpas i Ineras verksamhet – Aktuella regelverk och stödmaterial för informationssäkerhet som Inera tagit fram som stöd för sina kunder Jag skulle dessutom vilja veta när Inera senast genomförde en mer omfattande informationssäkerhetsrevision av den egna verksamheten.
Tack på förhand!
Jag fick snabbt ett automatsvar som kvitterade att mitt ärende tagits emot.
Sedan dröjde det och dröjde det.
Till slut kom ett svar den 22 augusti: Ni har begärt utlämnande av Ineras interna ledningssystem för informationssäkerhet (LIS), som tillämpas i Ineras verksamhet, samt vidare aktuella regelverk och stödmaterial för informationssäkerhet, som Inera tagit fram som stöd för sina kunder.
Ineras informationssäkerhetspolicy återfinns på .
Regelverk och stödmaterial inom informationssäkerhet och arkitektur, som delas med kunder, återfinns på .
Beträffande LIS gör Inera följande bedömning: Informationssäkerhet syftar till att hindra information från att läcka ut, förvanskas eller förstöras samt säkerställa att informationen finns tillgänglig för en legitim användare.
Ineras produkter och tjänster håller en sådan säkerhetsnivå att kunder kan känna förtroende för Inera som leverantör och uppnå en hög nivå av informationssäkerhet.
Inera har ett ledningssystem för informationssäkerhet, som är baserat på ISO 27001.
av regelverk som beskriver krypteringsnivåer, autentiserings-metoder, säkerhetsåtgärder i driftsmiljön m.m.
I systemet ingår vidare modeller förificering, incidenthantering, etc., liksom uppföljning i form av interna och externa revisioner samt säkerhetstester.
Sekretess gäller enligt 18 kap.
8 § 3 offentlighets- och sekretesslagen för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser telekommunikation eller system för automatiserad behandling av information.
LIS innehåller uppgifter av sådan art att ett utlämnande typiskt sett är ägnat att medföra skada för det intresse som skall skyddas genom den aktuella bestämmelsen.
Handlingarna kan därför inte lämnas ut.
Om ni inte är nöjd med sekretessbedömningen har ni rätt att begära ett formellt beslut.
Med vänlig hälsning Inera Detta var ett intressant svar av flera skäl.
För det första är den informationssäkerhetspolicy som bifogas och som också ligger ute på Ineras så sällsynt innehållslös och består enbart av det som i andra policys brukar ligga under rubriken ”mål”.
Bland annat saknas helt inriktning för ansvarsförhållanden vilket är av stor betydelse att definiera för en leverantör .
Att policyn är beslutad den 14 juni i år väcker även det en hel del tankar (mer om innehållet i de dokument jag fått ut längre ner).
Det riktigt förvånande är dock att Inera anser att övriga styrande dokument i sin helhet går att sekretesslägga och det med hänvisning till OSL trots att man inte tillhör de offentliga organisationer som faller under offentlighetslagstiftningen!
Detta sporrade min nyfikenhet och som den jobbiga människa jag är måste jag ställa ytterligare frågor med vändande post: Tack för svar!
En formfråga: har Inera fattat ett beslut att tillämpa OSL generellt för sin verksamhet?
Till svar fick jag följande: I Ineras bolagsordningen (från 2017) står följande: Allmänheten ska ha rätt att ta del av handlingar hos bolaget enligt de grunder som gäller för allmänna handlingars offentlighet i 2 kap.
tryckfrihetsförordningen och offentlighets- och sekretesslagen.
Här tätnade mystiken för mig.
2 kap TF och OSL handlar om hanteringen av allmänna handlingar.
Inera har per definition inte några allmänna handlingar och vad betyder då egentligen paragrafen i Ineras bolagsordning?
En generös tolkning är att man menar att Ineras handlingar ska hanteras som allmänna handlingar i myndigheter, regioner och landsting.
För att den handlingsoffentligheten ska fungera krävs bland annat diarieföring av handlingar där ärenden/handlingar får unika identiteter som går att söka fram och begära ut.
Om myndigheten, i det här fallet icke-myndigheten Inera, bedömer att det finns grund i OSL för sekretess för hela eller delar begärda handlingar ska ett sådant beslut lämnas skyndsamt med besvärshänvisning så begäran prövas i Kammarrätten.
Min nästa fråga blev därför: Tack!
Det innebär alltså att jag kan få ett formellt beslut med besvärshänvisning inom typ tre dagar?
Och svaret kom pronto: Ja, det stämmer.
Vill du alltså helst få ett formellt beslut?
Självklart vill jag ha ett formellt beslut men på vad?
Jag var tvungen att skriva tillbaka för klarläggande: Hej igen!
För att följa ert beslut om att efterleva OSL och TF bör jag få ta del av vilka handlingar och dess unika ID så att jag kan begära ut dem.
I policyn står inget om vilka övriga styrande dokument om ingår i ledningssystemet så därför behöver jag uppgifter om detta.
Exempel kan vara Riktlinje för åtkomst osv.
Dokumentnamnet kan inte falla under den sekretess ni hänvisar till.
Tyvärr har ni ju inget diarium på nätet så att jag själv kan söka reda på dessa uppgifter.
Jag skulle också vilja se beslut om till vilken instans ni skickar besvär i utlämnandefrågor.
När jag fått dessa uppgifter kan jag göra en formell begäran om utlämnande.
En vecka senare (30 augusti) kom svaret med en bilaga Hej Fia, Bifogad fil innehåller en beskrivning av Ineras ledningssystem och dess komponenter.
Den instans som är aktuell i besvärsfrågor är Kammarrätten.
Återkommer till innehållet i dokumentet senare men efter att ha läst beskrivningen skickade jag in följande begäran: Tack!
Jag har alltså fått en beskrivning av ert ledningssystem där ni bedömer att samtliga ingående dokument i sin helhet faller under OSL 18:8 § 3.
Förutom att jag tycker att det är tämligen unikt för Inera att se hela regelverket som fallande ur sekretess blir jag litet fundersam över vilka dokument i beskrivningen som är framtagna och beslutade.
Är beskrivningen en plan över vad som ska tas fram eller finns omnämnda dokument?
Och kommer Kammarrätten verkligen att anse att de är en instans för besvär gällande utbegäran om icke-allmänna handlingar (eftersom Inera inte är skyldiga att följa TF och OSL utan har det mer som en policyinriktning)?
Eftersom jag håller på att skriva om det just nu vill jag gärna pröva detta så jag begär ett formellt beslut angående utlämnande av följande dokument (eftersom de saknar unik identitet anger jag den beteckning som anges i beskrivningen): Jag förutsätter att ni gör en sekretessprövning som innebär att de delar av dokumenten som inte faller under reglerna för sekretess lämnas ut.
Förhoppningsvis håller ni också den praxis som gäller för skyndsam handläggning för denna typ av ärenden, d.v.s.
beslut inom tre arbetsdagar.
Idag den 3 september fick jag ett formell avslag med en besvärshänvisning där beslutet där samtliga handlingar i ledningssystemet förutom policyn i sin helhet bedöms i behov av sekretess.
Besvärshänvisningen är till Kammarrätten som kan göra en annan bedömning.
Själv är jag tveksam till om besvärshänvisningen verkligen fungerar eftersom Inera formellt inte faller under offentlighetsprincipen och de handlingar jag begärt ut därmed inte är att betrakta som allmänna vilket också fastslagits i ett liknande fall, då gällande (SKI).
Av rent intresse kommer jaag ändå att skicka in ett besvär.
Om vi ser till själva processen tycks Inera lägga betoningen på S snarare än O i OSL.
Det är tyvärr inte en ovanlig attityd bland myndigheter, det är klart att det är mycket bekvämare att arbeta bakom lyckta dörrar, men en mycket tråkig utveckling i ett samhälle där vi berömt oss för vår fina offentlighetsprincip.
Min fråga här blir hur syftet med informationsklassningen som säkerhetsåtgärd skulle kunna skadas om Inera lämnade ut beskrivningen av sin metod.
Eller hur riktlinjersin helhet skulle kunna vara känsliga.
För att undvika missförstånd: självklart finns det ingående beskrivningar av tekniska lösningar alternativt risker/sårbarheter som bör hållas skyddade för obehöriga (särskilt som Inera paradoxalt nog är frikostiga med tekniska beskrivningar .
Men styrande dokument på en högre nivå borde Inera ha all anledning att vilja sprida om man tar sitt uppdrag att ”koordinera och utveckla digitala lösningar” på allvar.
Eftersom vi vet att informationssäkerheten är så illa utvecklad inom sjukvården borde Inera föregå med gott exempel och visa upp vilken säkerhet man själv har i sin instans av 1177 till skillnad mot Medhelps hantering.
Vad skulle nyttan vara i att begränsa harmlös information om sitt säkerhetsarbete till sina ”kunder” om man hanterar personuppgifter för hela befolkningen och ett mycket stort antal aktörer är berörda av dessa regler på olika sätt?
En mer cynisk människa än jag skulle ifrågasätta att de dokument jag efterfrågar över huvudtaget finns annat än på ritbordet med tanke på att policyn antogs i mitten av juni i år och övriga dokument rimligen borde vara underdokument till den.
Jag väljer att tro att dokumenten i beskrivningen verkligen finns men det ledningssystem som framtonar liknar inget jag tidigare sett i en organisation med Ineras betydelse och ambition att följa ISO/IEC 27001/27002.
Policyn är som jag tidigare skrivit torftig och innehåller inte delar som ändå får uppfattas som praxis som exempelvis ansvar och roller, incident och kontinuitet vilket även är centrala aspekter för en tjänsteleverantör.
Dessa frågor återkommer inte heller på anvisningsnivå.
Inledningsvis sägs att: Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering.
Den ska också tillämpas i projekt och på förvaltningsobjekt.
Det är alltså en intern policy för bolaget Inera men vad säger det om informationssäkerheten i tjänsterna?
Och i relationen med kunderna?
När så basala frågor lämnas öppna är frågan vad policyn egentligen fyller för syfte.
Sammantaget är den bild jag får att detta inte ens om det blir genomfört skulle bli ett fungerande ledningssystem på det sätt som beskrivs i standarden.
Men då har jag som sagt inte sett själva dokumenten.
Kanske någon som är ”kund” i Ineras mening kan kolla på dessa dokument och återkomma med en beskrivning?
Ineras hemlighetsmakeri blir ännu mer märkligt med tanke på att ett flertal av de ägare som Inera kallar kunder villigt lämnat ut sina styrande dokument för informationssäkerhet när jag frågat.
Varför skulle större sekretess råda hos Inera?
Kanske är det ovanan att leva med en god offentlighetskultur som präglar Ineras synsätt.
På samhällsnivå är det i så fall ett stort problem om viktig information flyttas från öppna organisationer till slutna som Inera och SKL.
Jag tror att överdrivet sekretessläggande är till stor nackdel för säkerhetsarbete generellt men alldeles särskilt i sammanhang då en ett antal aktörer ska dela information, tjänster och infrastruktur.
Det måste finnas en grundlig kännedom och diskussion om gemensamma regler hos de som är aktörer i samarbetet men det måste också gå att presentera utanför den snävaste kretsen för att kunna skapa tillit.
Konsulter och leverantörer måste även de få inblick för att kunna utveckla sina tjänster så att de passar.
Detta gäller än mer om Inera ska axla rollen att stödja kommunerna i deras digitalisering.
Min förslag har sedan länge varit att ta fram gemensamma regelverk och skyddsnivåer för att skapa gemensam säkerhet och dessutom slippa de stora konverteringsproblem som uppstår då aktörer med olika regelverk ska samverka i samma infrastruktur.
Svensk digitalisering är i sig planlös men det skulle kunna gå att riva det Babels torn av språkförbistring som redan finns inom informationssäkerhetsområdet genom att skapa just gemensamma regelverk.
Jag gjorde ett försök 2014 när jag jobbade på MSB att få olika centrala aktörer att samverka men denna strategi har fallit i glömska trots ett flertal tunga undertecknare (bland annat SKL och Inera).
Idag är behovet av fungerande informationssäkerhet i vården större än någonsin finns det definitivt utrymme för Inera att kliva fram och göra mer av sitt uppdrag att ta fram regelverk för informationssäkerhet än det som nu finns presenterat på n, detta särskilt som SKL säger att man ska arbeta ”resolut” med att förbättra informationssäkerheten.
Ska man lyckas med det krävs dock öppenhet och dialog med de många aktörer som måste ingå i ett sådant förbättringsarbete.
Att hävda att sekretess råder för varje mening i styrande dokument på hög nivå är inte ett tecken på vilja till öppenhet och dialog.
Som en inledning på höstens äventyr tänkte jag bara göra några kompletterande anmärkningar till en debatt i Dagens samhälle.
Den inleddes med där jag ventilerade min oro efter vad som framkommit om Region Stockholms informationssäkerhet i den granskningsrapport som initierades av 1177-skandalen.
På inlägget följde två svar.
Det kom från ett par tjänstemän från SKL där man hävdade att regionerna arbetar resolut med informationssäkerhet.
I svaret är man tillämpar man ad hominem-argumentet att ett flertal gånger understryka att jag är ”konsulten”.
Det är ju förståeligt med tanke på NKS och i vilket vanrykte konsulter hamnat i efter den hanteringen men det som bekymrar mig är snarare att baktanken sannolikt är att göra mina argument ointressanta på grund av att jag inte representerar någon organisation.
Detta riktar i och för sig ljuset på ett tråkigt fenomen, att inträdesbiljetten i samtalet om samhällets gemensamma frågor förutsätter att deltagaren representerar ett särintresse.
Personligen tycker jag i stället att det demokratiska samtalet skulle tjäna på att många fler deltog, även de som inte har något annat intresse än att de är engagerade i att försöka förbättra samhället precis som när jag ställer upp som blodgivare.
Detta tillsammans med debattörernas åsikt att öppenhet om inträffade incidenter i offentlig verksamhet på något sätt skulle vara optional tycker jag också visar på det problematiska i SKL:s alltmer utvidgade roll.
Allt mer beslutsfattande och operativ verksamhet för in i en organisation där offentlighetsprincipen inte gäller och insynen, precis som debattörerna antyder, inte är en rättighet utan något som kan ges på nåder.
Att en arbetsgivarorganisation kan överta all fler uppgifter från demokratiskt valda organisationer och dessutom emellanåt kalla sig saker som ”koncernen SKL” (litet som om Almega skulle kalla sig koncernen Almega där alla tjänsteföretag skulle vara underordnade föreningen) leder till ett demokratiskt underskott som borde bekymra fler än mig.
För att inte falla i samma fälla och bara diskutera SKL:s svar utifrån vilka de är och inte utifrån deras argument ska jag här gå något djupare än jag kunde göra i mitt .
Företrädarna hävdar att regionerna arbetar resolut med informationssäkerhet men de exempel som ges på vad man gör tyder snarare på att man fortfarande är kvar i huvudsak teoretiska aktiviteter som möjligen kan få en säkerhetshöjande effekt längre fram.
Det skulle kunna tyckas vara gott nog om informationssäkerhet vore en helt ny fråga.
Det är det inte – behovet av informationssäkerhet i vården har lyfts fram som en kritisk fråga i flera decennier, det har funnits lagstiftning och föreskrifter som ställt krav på sjukvårdshuvudmän och vårdgivare ungefär lika länge.
Problemet är bara att frågan inte prioriterats och nödvändiga åtgärder inte vidtagits.
Att då litet förnärmat när vi närmar oss år 2020 hävda att man nu minsann är på gång med att ta fram mognadsmodeller och skrivit in i en egenstrategi att man anslutit sig till den nationella för informations- och cybersäkerhet känns inte, mja, som något som kommer att hindra incidenter och höja säkerhetsnivån inom den närmaste tiden.
Man säger också att SKL erbjuder sina medlemmar konkret stöd men där är problemet att det stöd som erbjuds t.ex.
i form av informationsklassningsverktyget KLASSA inte skulle ha utgjort ett stöd när det gäller upphandlingen av 1177 eftersom det är ett verktyg för att klassa system, inte informationen i processer.
SKL menar att jag bara gnäller utan konstruktiva lösningar.
Själv tycker jag att jag verkligen anstränger mig för att komma med förslag på förbättringar som att göra en gemensam analys för att kunna prioritera rätt åtgärder o.s.v.
men att vara konstruktiv innebär inte att man bortser från problemen.
Kanske har SKL fastnat i en föreställning att man ska verka som ett företag och att endast positiva marknadsbudskap ska förmedlas vilket följande ger intrycket av.
Jag tycker istället att ett rationellt hanterande av offentliga medel måste bygga på tydliga och ansvarsfulla problemformuleringar.
Sjukvården är i en ständig förändring där numera digitaliseringen spelar en avgörande roll.
Min enda önskaen tas på samma allvar som säkerheten i andra aspekter.
Ett läkemedel skulle aldrig introduceras utan noggranna tester, däremot är det fortfarande comme il faut att föra in nya digitala lösningar i skarp drift utan närmare tester.
Även Daniel Forslund (L), digitaliseringslandstingsråd i Region Stockholm och tycket att jag ensidigt fokuserat på revisionsrapporten när jag bedömde som regionens informationssäkerhet var undermålig.
Jag håller inte med.
Även om det var en kortfattad rapport pekade den på mycket basala systemfel som påverkar hela regionens säkerhetsarbete.
Men eftersom jag försöker ha någorlunda torrt på fötterna innan jag uttalar mig så har jag skrivit till regionen och bett att få ta del av regionens styrande dokument inom informationssäkerhetsområdet.
Utan att förhäva mig utan bara för att skapa kontext i frågan kan jag säga att jag genom åren som konsult och i andra roller sett ett mycket stort antal ledningssystem och också arbetat med att mäta befintlig informationssäkerhet i olika typer av organisationer.
Det är med denna bakgrund som jag bedömer att Region Stockholm saknar rimliga förutsättningar för att bedriva ett systematiskt.
Att regionen på hösten 2018 upphandlar en så känslig tjänst så sent som hösten 2018 utan att ställa relevanta säkerhetskrav är en bekräftelse på ett systemfel och inte en incident som inte kunnat undvikas.
Den som är intresserad får gärna ta del av de dokument jag fått från Region Stockholm för att göra en egen och möjligen annan bedömning.
Jag har tagit del av den granskningsrapport som KPMG genomfört på uppdrag av Region Stockholm efter 1177-skandalen och som av en händelse (?)
publicerades dagen för midsommarafton.
Rapportens omfång motsvarar på intet sätt skandalens omfång utan är ett luftigt dokument på 14 sidor inklusive bilagor.
Att rapporten är tunn räknat i sidor behöver naturligtvis inte påverka skärpan i analysen men som rätt luttrad granskare av informationssäkerhet känns de 14 sidorna som rätt kraftigt i obalans med uppdragets genomförande och omfattning: Granskningen har omfattat en kombination av IT-revision, inhämtning av information från tillgänglig dokumentation av karaktären styr- och stöddokument, uppföljningsrapporter samt intervjuer med nyckelpersoner.
Granskningen har utgått från vedertagna granskningsmetoder inom området informationssäkerhet, vilket omfattat såväl Vårdgivaren och dennes underleverantörer som Region Stockholm genom HSF.
En lista över de personer som intervjuats återfinns i bilaga 2.
Granskningen har genomförts under maj-juni 2019.
Vidare är rapportens utformning i avvikelseformat där endast väsentliga iakttagelser har lyfts fram med förslag på förbättringsåtgärder, inklusive eventuella behov att förtydliga avtal, uppföljningsrutiner och processer för att minimera att motsvarande inträffar igen.
Att på så få sidor beskriva Region Stockholms, Medhelps och ett antal underleverantörers styrning av sin informationssäkerhet, vad som gått fel och vad som bör göras för att undvika att systemfel som det inträffade upprepas känns inte riktigt seriöst.
Den sammanfattande bedömningen är dock på allvar oroande: Vår övergripande bedömning är att HSF bör se över kravställningen på informationssäkerheten i samband med upphandlingar samt att uppföljningsprocessen behöver struktureras och formaliseras för icke funktionella krav, däribland informationssäkerhet.
I allt väsentligt behöver kravställningen preciseras för att säkerställa att leverantörerna är införstådda i HSF:s förväntningar, men även för att öka den interna förståelsen för hur kraven ska följas upp.
Att avtalskraven beträffande informationssäkerhet är allmänt hållna, samtidigt som standarden inom området inte är fullt integrerad i HSF:s verksamhet, innebär i praktiken att Vårdgivarens hantering av informationssäkerhet endast har följts upp i begränsad omfattning.
Vad gäller Vårdgivaren kan vi konstatera att det inte finns något dokumenterat ledningssystem för informationssäkerhet samt att det förekommit brister i rutinen för utvärdering och uppföljning av underleverantörer till vårdtjänsten.
Vi noterar dock att Vårdgivaren, sedan incidenten, arbetar med en åtgärdsplan för att förbättra informationssäkerheten, rutiner beträffande kontroll av leverantörer samt planerar för en certifiering inom ISO 27001.
Vi noterar att de akuta bristerna hänförliga till incidenten har hanterats, bland annat genom den skyndsamma nedstängningen av den felkonfigurerade servern, uppsägningen av avtalet med underleverantören som givit upphov till incidenten samt inhämtandet av all patientinformation till Vårdgivarens egen tekniska lösning.
Vi har dock identifierat ett antal framåtblickande förbättringsområden som rör HSF:s övergripande arbetssätt beträffande informationssäkerhet, fördelningen av roller och ansvar samt metoden för hantering och uppföljning av leverantörer.
Vidare har vi även identifierat åtgärder hänförliga till Vårdgivarens arbete med informationssäkerhet och den planerade ISO-certifieringen samt sättet till vilket Vårdgivaren arbetar med att vidareförmedla HSF:s avtalskrav beträffande informationssäkerhet.
HSF är alltså Hälso- och sjukvårdsförvaltningen i Region Stockholm och vårdgivaren Medhelp.
Att Region Stockholm inte lyckas formulera tydliga säkerhetskrav i upphandlingar i en så central tjänst som 1177 är i sig skandalöst.
Att sedan Medhelp som vårdgivare helt saknar ledningssystem för informationssäkerhet och att Region Stockholm inte ens ställt krav på en så grundläggande nivå är information som bekräftar min bild att den svenska sjukvården fortfarande ignorerar behovet av informationssäkerhet.
1177-skandalen var trots allt bara sten som vändes, om än stor.
Det som verkligen oroar är de brister i Region Stockholm säkerhetsarbete som avslöjas indirekt i rapporten.
Dessa brister gör det mycket sannolikt att 1177 bara är en del i större systemfel där patienters hälsa och integritet är i en ständig riskzon om rapportens uppgifter stämmer.
Ta till exempel följande iakttagelse från granskarna: HSF saknar ett fullständigt ledningssystem för informationssäkerhet (LIS).
Enligt den regionsövergripande informationssäkerhetspolicyn ska varje nämnd införa ett lokalt ledningssystem för informationssäkerhet.
I förekommande fall har HSF tagit fram lokala styrande dokument för informationssäkerhet, men dessa återspeglar i allt väsentligt de styrdokument som finns på regional nivå.
Graden av verksamhetsanpassning är relativt låg och förvaltningen har inte tagit fram några instruktioner eller utvecklat processer för hanteringen av informationssäkerhet.
Vi noterar att instruktioner håller på att arbetas fram, men dessa berör hanteringen av portabel IT-utrustning och syftar således inte till att tydliggöra riktlinjerna för hur förvaltningen.
Region Stockholm har alltså inte tagit fram säkerhetsregler för avpassade för sjukvården utan i huvudsak nöjt sig med de generella för regionen (trots att det funnits en föreskrift att så ska göras sedan 2008 SOSFS 2008:14) och att man inte heller är på väg att göra det för mer än för bärbar utrustning.
Jag tror redan den som rent tillfälligt jobbat med informationssäkerhet i vården förstår hur mycket arbete och eftertanke som krävs för att anpassa generella regler så att de fungerar i vården, t.ex.
bara att ge en uttolkning av ansvasförhållandena för informationshanteringen är en mycket komplex fråga.
Situationen i Region Stockholm gäller även hos Medhelp som inte heller har förmåga att ställa relevanta krav på sina underleverantörer: Processer och rutiner ska finnas för att säkerställa uppfyllandet av Socialstyrelsens krav på informationssäkerhet.
Vårdgivaren har inget dokumenterat LIS och det är vår bedömning att vissa processer saknas för att kunna försäkra att kraven uppfylls.
Vi noterar exempelvis att Vårdgivaren, i enlighet med vedertagna standarder och god praxis, inte har ställt ändamålsenliga krav på samt följt upp leverantörers hantering av informationssäkerhet.
Vidare anger Socialstyrelsen att vårdgivare ska ha en informationssäkerhetspolicy som anger mål och inriktning på verksamhetens arbete med informationssäkerhet.
Vi har identifierat att Vårdgivaren har antagit en informationssäkerhetspolicy i maj 2019.
Vi noterar i sammanhanget att Vårdgivaren planerar för en certifiering inom ISO 27001 till kvartal 2, 2020 samt har ett ledningssystem för GDPR.
Den här råttan-på-repet situationen illustrerar väl varför startpunkten för att förbättra säkerheten i vården på måste ligga på sjukvårdshuvudmännen eftersom det är huvudmännen som utformar förutsättningarna för de övriga aktörerna.
Tyvärr har ju lagstiftning och föreskrifter i huvudsak varit inriktade på vårdgivarna vilka i praktiken numera har svårt att ens den egna informationssäkerheten eftersom informationen hanteras i gemensamma lösningar.
Det är därför extra nedslående när sjukvårdshuvudmännen väljer att inte driva frågan ens i den egna verksamheten och inte heller att respektera de föreskrifter som finns.
Framför allt är det en fråga där det inte skulle behövas en föreskrift för att få de styrande i Sveriges största sjukvårdshuvudman att inse behovet av att styra informationshanteringen så att patienterna kan lita på att få god och säker vård.
I den kommentar som regionens ansvariga för vård upprepar man att man ska införa emen fokuserar i åtgärderna huvudsakligen på underleverantörerna.
Men att styra underleverantörerna utan ett eget fungerande regelverk är ett moment 22 som även granskarna noterar: HSF ställer inte tillräckligt tydliga krav på sina privata vårdgivare vad gäller deras informationssäkerhet.
Kravställningen på informationssäkerhet sker genom tillämpningen av en standardbilaga, vilken anger att leverantörer/vårdgivare ska följa regionövergripande styrande dokument för informationssäkerhet.
Vi noterar att de styrande dokumenten, i sin tur, anger att informationssäkerheten hos de som arbetar på uppdrag av Region Stockholm ska regleras genom avtal.
Vår bedömning är att dessa hänvisningar kan ge upphov till skiljande uppfattningar gällande kravbilden på informationssäkerheten.
Med hänsyn till att Socialstyrelsen anger som krav att vissa kontrollmål ska uppfyllas beträffande informationssäkerheten, företrädesvis med stöd av ett LIS enligt standarder i ISO 27000-serien, är det även vår bedömning att HSF:s tillkommande avtalskrav endast ger en begränsad effekt vad gäller att tydliggöra förväntningarna på de privata vårdgivarna.
Jag ska inte tjata mer om hur uppseendeväckande det är att Region Stockholm trots föreskrifter, alla incidenter och trots alla granskningar genom åren ändå inte prioriterar att införa ens ett regelverk för vården att utgå ifrån.
Det gör att man vare sig kan ha ett internt systematiskteller ställa relevanta krav på underleverantörer, det senare framgår på ett nästan tragikomiskt sätt i relationen med Medhelp.
Informationssäkerheten i vården är ingen ny fråga utan har varit uppmärksammad sedan åtminstone första hälften av nittiotalet.
Den stora frågan är Region Stockholm (och övriga sjukvårdshuvudmän) år efter år undviker att komma till rätta med bristerna.
Varför tycker man att det är rimligt att utsätta verksamheten och patienterna för de stora risker som den bristande säkerheten leder till samtidigt som man är beredd att investera ofattbara resurser i experiment som NKS?
Och nej, det går inte att säga att 1177 var ett undantag från en i övrigt fungerande situation.
KPMG:s rapport är den senaste i en rad av rapporter som visar att den bristande säkerheten är ett systemfel som genomsyrar hela den svenska vården – har man inte styrning av informationssäkerheten så finns den inte mer än fläckvis och utan möjlighet att reducera riskerna.
En relaterad fråga är om NIS-direktivet kommer att ha någon positiv inverkan över huvud taget eller om även denna styrning mot ekommer att ignoreras.
Om läsaren tycker att jag ger en alltför mörk bild av Region Stockholms informationssäkerhet rekommenderar jag att ni läser KPMG:s knapphändiga rapport som ändå ger en antydan om regionens förmåga rörande informationssäkerhet.
Tillägg 2019-06-24: Lägger ut rapporten som pdf här: Även för den som är relativt insatt i svensk hälso- och sjukvård och dessutom fortlöpande läst DN:s långa rapportering om alla turer i NKS:s skandalen är ”Kampen om Karolinska.
Konsulterna” av journalisterna Anna Gustafsson och Lisa Röstlund en upprörande och i vissa stycken hjärtslitande läsning.
Sammanställningen av en lång rad av medvetna beslut av den politiska majoriteten under ett antal år som lett till en alltmer katastrofal situation är skakande och i förstone närmast obegriplig.
Att denna politiska revolution av den stockholmska sjukvården kunnat genomföras trots att den kantats av ekonomiska haverier i en hittills okänd skala, personal som flyr eller är helt uppgivna samt i sin yttersta konsekvens patienter som faktiskt dör på grund av omorganisationen.
Boken ger en mycket grundlig och researchad beskrivning av förloppet, dessutom välskriven.
Jag kommer inte här att gå in på djupet i boken utan rekommenderar den som sommarläsning för alla.
Som konsult kan jag särskilt uppmuntra andra konsulter läsning och därefter visst begrundade av vilken skada man kan göra om man som konsult driver sin egen agenda i kundens organisation.
Det är inte en särskilt hårfin skillnad mellan att ha integritet och att driva sina egna intressen hos kunden.
Efter att ha arbetat i offentlig sektor är det vissa drag i historien obehagligt välbekanta som övertron på att gigantiska omorganisationer löser problem och managementkonsulter som löper amok och kör över alla som har någon slags kompetens, d.v.s.
Den tystnadskultur som drivits fram vid NKS där enbart lovprisning av den värdebaserade vården tolererats är inte heller den ett unikt fenomen utan en sjuka som enligt min uppfattning äter sig allt djupare in i den offentliga sektorn generellt.
Det till synes oreflekterade upphöjandet av nya organisationsteorier som frälsningslära är inte heller unikt för NKS med sin värdebaserade vård.
Själv har jag varit med om allt från LOTS till Lean via lärande organisation, det sistnämnda något ironiskt eftersom varken landstingspolitiker eller myndighetschefer verkar lära sig något av de misslyckade organisationsexperimenten – snabbt är man på nästa modeteori.
Själv har jag mycket liten tilltro till att omorganisationer löser större problem, och för detta finns det heller föga stöd i forskningen.
Men för den ledare som vill sätta sitt märke på kommunen, regionen eller myndigheten kan en stor omorganisation vara det som skapar synlighet och inge en känsla av handlingskraft.
Region Stockholm har dock tagit vissa fenomen till en ny nivå.
Varför den borgerliga majoriteten med m och kd i spetsen valde en ekonomisk driftform (OPS) som blivit många gånger dyrare än att bygga och drifta det nya sjukhuset i egen regi saknar fortfarande rimliga svar förutom att de drevs av en nyliberal överideologi.
För den intresserade som vill djupdyka i denna del finns SvD-journalisterna Henrik Ennart och Fredrik Mellgrens bok ”Sjukt hus: om Nya Karolinska – svindlerierna, skandalerna och sjukvårdskrisen i Stockholm”, också den mycket läsvärd.
Stockholmare kommer att dras med effekterna av denna mycket dåliga affär i decennier framåt.
Att man dessutom låtit konsulter från BCG skicka in juniora konsulter, fakturera vilt samt anställa sina gamla kollegor är även det ganska många snäpp mer än vad som brukar förekomma.
Lägg därtill alla turer där anställda på KI även driver företag tillsammans med amerikanska intressen och försöker påverka utvecklingen av den stockholmska sjukvården så det gynnar de egna företagen snarare än patienterna och vi har en soppa som inte skådats i Sverige i modern tid.
Särskilt oroande blir detta med tanke på att hälso- och sjukvård är en av de sektorer som är mest utsatta för korruption vilket det finns ett aktuellt Konflikt om .Det tål att påminnas om den gamla sanningen att Sverige löper en stor risk för korruption eftersom vår självbild är att vårt samhälle är immunt mot korruption.
För mig har det dock varit av särskilt intresse att ta några steg tillbaka och sätta den värdebaserade vården och den informationshantering som följt med den i ett större historiskt och politiskt perspektiv.
Jag pratar då inte om de ”normala” it-haveriförloppen inom den svenska sjukvården och framför allt Region Stockholm där först politiker går ut med löften om fantastiska nya som sedan .
Därefter glöm, få andra att glömma och upprepa.
Nu pratar vi om en informationshantering med risker på en hel annan nivå och inbyggda i själva styrningen av sjukvården.
Den värdebaserade vårdens ledande företrädare Michael Porter (forskare i management och strategi, inte medicin) brukar enligt författarna av sammanfatta sin teori i ekvationen .
Resultatet mäts i hög grad utifrån patientens upplevelse, inte ett faktiskt mätbart resultat vilket känns fascinerande paradoxalt eftersom modellen i övrigt bygger på att mäta, mäta och åter mäta.
Observera att jag inte på något sätt ifrågasätta patientens rätt att känna sig nöjd med och delaktighet i sin vård utan invändningen ligger i att det finns få så luriga mått som upplevd nöjdhet samt att detta är ett mått är skräddarsytt för en konkurrensstyrd kommersiell verksamhet.
Redan här kan man se hur valet av vårdmodell klickar i den ideologiska revolutionen av den stockholmska sjukvården.
Den värdebaserade vården satt i system förutsätter en gigantisk datainsamling för att verkligen kunna bedöma vilken aktör som vid varje tillfälle lyckas lösa Porters ekvation bäst.
Förutom att i sig skapar det NPM-inferno som även känns igen från den svenska skolan med överdokumentation och rapportering med efterföljande stress är detta en modell som illa överensstämmer med en offentligt finansierad vård.
Istället för att ta det ansvar som krävs för bland annat multisjuka äldre maximeras istället vinsten i modellen för de vårdgivare som avverkar enskilda vårdepisoder snabbast.
Som så ofta i den moderna vårdens historia har frälsare av Porters typ fått dominera och hävda att sjukvård kan ses på precis samma sätt som bilfabriker.
Och varje gång havererar de löpande bandsprinciperna utom i vissa specifika operationstyper eftersom människor envisas med att ha kroppar och sinnen som är så mycket mer unika och komplexa än nyproducerade bilar.
Skandalen på NKS gör dock att jag (och förhoppningsvis andra) får upp ögonen för hur det ekonomiska skede vi lever i fungerar.
Sedan åtminstone 70-talet har vi vetat att vi lever i ett informationssamhälle men vad betyder egentligen det?
Inte bara att vi får en massa nya coola prylar och kan kommunicera via the world wide ( wild) webb utan att vi faktiskt gått in i en ekonomi som har information som sin huvudsakliga råvara.
Den amerikanska professorn i social psykologi Shoshana Zuboff har i sin mycket omskriva beskrivit framväxten av hur det ekonomiska systemet byggt på information som råvara fungerar.
Ofta tolkas hennes teorier endast i förhållande till Google, Facebook och liknande plattformar som .
Att se Zuboffs bok snävt som en beskrivning av hur Google och Facebook fungerar är fel menar jag.
Bland annat den globala hälso- och sjukvårdsmarknaden fungerar idag enligt samma grundprinciper.
I fallet med NKS, BCG och den värdebaserade vården blir det uppenbart hur ekonomiska intressen utanför NKS, Region Stockholm och Sverige ser den svenska sjukvården som en naturresurs att utvinna.
Zuboff är inte ensam i sitt uppsåt att skildra den digitala ekonomins framväxt men hon gör det på ett sammanfattande och övertygande sätt (och med en titel som för tankarna till favoriten bland författare till breda historiska exposéer Hobsbawm).
Mycket grovt förenklat kan Zuboffs skildring av övervakningskapitalismens era ses som ett skede där teknisk innovation korrelerar med framför allt två huvudsakliga faktorer: att det från 70-talet växer fram en nyliberal hegemoni i västvärlden och efter 11 september 2001 ett samhällsklimat som präglas av en allt starkare befogad eller obefogad känsla av otrygghet.
Nyliberalismens huvudkonflikt kan, även detta starkt förenklat, ses som en maktkamp mellan statlig/samhällelig reglering och de fria marknadskrafterna.
Under de senare decennierna av förra århundradet och de två i vårt nuvarande har en systemförändrande avreglering skett och ersatts av metoder som compliance och standarder där marknaden påstår sig kunna reglera sig själv.
Kombinerad med den konsekventa nedmonteringen av rätten till integritet som motiverats av att kunna förhindra terrorism och andra brott har kapat både samhällets och individens förmåga att på ett effektivt sätt skydda sig, eller ens vilja skydda sig, mot att personlig information utan insyn och kontroll används som råvara.
När informationen blivit råvara förflyttas äganderätten av uppgifterna från individen till det företag som kan hävda sig ha ”förädlat” den (här finns en intressant koppling till Nozick som jag inte hinner utveckla närmare men låt mig ändå säga att jag ser Nozick som själva gudfadern till berättigandet av utvecklingen).
I denna historiska korsväg utvecklar först Google och därefter bl.a.
Facebook sina tjänster.
I lika hög grad som att erbjuda användarna möjlighet att utbyta information sinsemellan börjar företagen exponentiellt samla allt mer information om användarnas beteende.
I förstone motiveras detta med att det ska ge underlag för att ge användarna allt bättre tjänster för att sedan allt mer tydligt ge stöd för riktad marknadsföring.
Med den fullständigt enorma informationsbas av överskottsinformation som Google byggde upp kunde de göra så annonsörerna kunde få stor träffsäkerhet i sin annonsering.
Steget efter att ge sökvägar till annonsörerna var det som Zuboff menar är det verkligt revolutionerande: ett överskott av information rörande användarnas beteende som med algoritmernas hjälp går att användarnas behov: Instead, we are the objects from which raw materials are extracted and expropriated for Google’s prediction factories.
Förutsägelserna berör inte bara den enskilda användarna utan, viktigare, på gruppnivå.
Ett positivt exempel är när det genom användares sökningar på Internet går att förutse influensaepidemier.
Obehagligare när en kvinna börjar få annonser om mammakläder i sitt flöde redan innan hon själv vet att hon är gravid… Den verkliga vinsten i att inte bara veta hur folk/kunder beter sig när de får hålla på som de vill utan när tjänsteleverantörerna påverkar kunderna att agera på ett sätt som gynnar leverantören utan att ens fatta det.
Tjänste- och plattformsleverantörer har, som Zuboff visar, ända sedan början haft ett gemensamt intresse och samarbete med statliga myndigheter i USA och annorstädes vilket inte gör osynliga men obetvingliga styrningen mycket skrämmande.
Den generellt positiva syn som många säkerhetsmänniskor har till övervakning blir satt i detta sammanhang oroande naiv.
Marknadspotentialen i att ha tillgång till oceaner av information om beteenden är omätbar inte bara i första läget för det egna företaget utan framför allt som en förpackad kommoditet som kan säljas vidare.
Sätt då detta i korrelation med en bransch som omsätter mellan 10 och 20 % av BNP i västvärldens länder, är i snabb global tillväxt och dessutom samlar in och bearbetar känslig personlig information om alla invånare.
Landskapet som NKS och den värdebaserade vården sätts i kan liknas vid det El dorado som conquistadorerna drömde om, med skillnaden att Sverige verkligen finns och har kvalitetsregister och patientjournaler för hela befolkningen.
Det vill säga ett verkligt El dorado för inte bara vård- och läkemedelsföretag utan även försäkringsbranschen.
Cyberrymden är en ny jättekontinent som exploatörerna vill hålla så fri från reglering som möjligt.
De fantastiska marknadsmöjligheter som ligger i att kunna prognosticera patienter och försäkringstagarnas utveckling är oöverblickbara.
Denna sanning uttrycks explicit i ett citat av en högt uppsatt tjänsteman på Karolinska som inleder avsnittet som är mycket lämpligt benämnt ”Guldet” i DN-journalisternas bok: Det är en sak som BCG och bolagen de jobbar med främst vill åt.
Det är patientdata som är deras bitcoins.
Däri ligger den stora affären i värdebaserad vård.
Vi måste lära oss att leva med att Sverige med sin långtgående nyliberalism i kombination med de kvalitetsregister som på frivillig basis byggts upp under mycket lång tid tillsammans alla övriga patientdata kommer att ha ofattbar dragningskraft på internationella företag.
Det gäller på samma sätt för all annan information inklusive personuppgifter som sammanställs av svenska myndigheter.
Det viktiga är att detta hanteras på ett öppet sätt där inte bara företagen blir nöjda utan att även kärnverksamheten och dess avnämare som patienter och medborgare.
När man ser mekanismerna som varit i kraft vid NKS kan jag inte låta bli att undra över exempelvis satsningen på När satsningen presenterades av Göran Hägglund (numera tryggt förankrad i privata vårdföretag) framställdes som en särskild USP att app-leverantörer och andra entreprenörer skulle kunna bygga tjänster på de datamängder som insamlades.
Vad var egentligen hönan och vad var ägget i Hälsa för mig?
kan ses i full careta när det gäller även härvan på NKS och den värdebaserade vården.
Lobbyismen, parasiterandet på akademin och de vilseledande budskapen om vem som gynnades.
Utan att ta partipolitisk ställning tycks för närvarande samhällets förmåga att hantera en skandal som den vid NKS undermålig.
Inget ansvarsutkrävande av de verkligt ansvariga, d.v.s.
de politiker som fattat samtliga beslut både när det gäller byggnation, värdebaserad vård, konsultanvändande och it-system, har skett.
Fristående och seriös journalistik förefaller vara det enda sättet för att skapa den insyn och kontroll som de offentliga institutionerna inte är intresserade av att själva bygga upp vilket i sig är en dyster insikt.
I detta sammanhang är en stilla önskan att hela e-hälsoområdet kommer att locka till sig lika envetna, seriösa och välskrivande journalister som de som nu skrivit ”Konsulterna”.
Ett helt ofarligt löfte att ge är att det finns lika mycket att gräva fram om e-hälsa som om NKS!
Det är lätt att hamna i en politisk depression när man funderar över hur digitaliseringens starka krafter ska kunna tyglas för att dra åt ett håll som gynnar hela samhället och så att individen har en basal möjlighet att upprätthålla sin integritet.
Att krafterna som motverkar integritet är mycket kraftfulla är uppenbart och argumentationen från de kommersiella aktörerna mot integritet som hindrar affären dominerar även i ett stort antal myndighetsutredningar har jag länge observerat.
Den sittande majoriteten i Region Stockholm gjorde det till och med till ett vallöfte att göra stockholmarnas patientdata tillgängligt för industrin.
Trots detta drabbades jag litet av en chock när jag i slutet av ”Konsulterna” får läsa att OECD antagit värdebaserad vård som strategisk inriktning och kräver att medlemsländerna, däribland Sverige, ska dela patientdata via en jättelik gemensam databas, ”Parisdatabasen” där OECD är ägare till uppgifterna.
Detta sker i samarbete med – BCG… Databasen vars nytta bedöms oklar av Socialstyrelsen och vars syfte inte klart har definierats anses ändå oumbärlig.
Särskilt upprörande är att det inte går att avtala vem som ska få tillgång till informationen utan har beskrivits som ”OECD och framtida samarbetspartners”.
Ganska långt från dataskyddsförordningens regler är väl ett understatement.
Jag uppmanar alla intresserade att hålla ögonen på detta projekt, särskilt som det verkar som att OECD i aggressiva ordalag kräver in uppgifter trots svenska myndigheters tveksamhet.
Landsting och regioner är däremot föga förvånande positiva, en nödvändig levnadsregel är nog: lita aldrig på en region i integritetsfrågor.
Vad kan då göras?
Jag menar att vi måste kunna införa ett slags samhälleligt marshmallows-test där vi vågar utreda vår nya situation och skaffa oss nödvändiga redskap för att styra utvecklingen åt ett håll som gynnar flertalet och inte bara viljelöst följa med.
Oavsett politisk uppfattning bör vi kunna komma överens om att de intressekonflikter som finns i den digitala utvecklingen måste lyftas fram och diskuteras så att åtminstone invånare i demokratier har möjlighet att ställning till hur de vill ha framtiden.
Ett konkret förslag är att tillsätta en etisk kommitté med uppdrag att fortlöpande utvärdera och ta ställning till större initiativ inom digitaliseringsområdet.
DIGG kan vara sammankallande och sköta kansliet för kommittén men ett antal mycket fristående och erkänt motspänstiga ledamöter av typen filosofer bör ingå.
Otillräckligt men kanske ett första steg på att erkänna att varje mynt har åtminstone två sidor, så även digitaliseringen.
Slutligen måste jag understryka att jag inte ger någon av de nämnda böckerna rättvisa utan uppmanar alla att själva läsa dem och bilda sig en egen uppfattning.
Själv fick jag min nya Fitbit igår… Tillägg 2019-06-18: Ett visst hopp angående möjligheten att OECD:s planer kan ändå skönjas i och med regeringens beslut att inte delta i uppbyggnaden av .
Först en disclaimer.
Denna text är skriven med ett visst undertryckt ursinne.
Under 7-8 år under mina vittflygande studier jobbade jag samtidigt på ett boende för psykiskt funktionsnedsatta barm och ungdomar.
Den erfarenheten gör att jag framförallt tänker på de patienter och anhöriga som drabbats av 1177-skandalen men också på den vårdpersonal som till skillnad från digitaliseringsbyråkrater, ”visionärer” och ”evangelister” möter patienter.
De ska nu leva i oro över hur deras arbetsgivare hanterar den information som de i förtroende tar emot och där samtal från hjälpsökande patienter studsar vidare för hantering i Thailand.
Jag jobbade också i ett landsting under 90-talet då politiker, it-leverantörer och byråkrater gick in i en lustiger dans om digitalisering som var mycket lösligt kopplad till verksamhetsbehov.
Att försöka skjuta in frågor om informationssäkerhet eller kvalitet i informationshanteringen stämplades som närmast illojalt eller i bästa fall som tugg som man måste genomlida innan man gick vidare precis som förut.
Filifjonkan på bilden har inte bara med ångestridna patienter att göra utan också känslan av den annalkande katastrofen som hon symboliserar.
Det finns inget som är så lätt som att förutspå framtiden i efterhand.
Många är nu chockade och totalt överraskade över vad som framkommit om 1177 och dess underleverantörer.
Att försöka påpeka vikten av god informationssäkerhet vid digitaliseringen har som sagt varit ett arbete i stark motvind för att inte säga full stormstyrka i 25 år.
Ofta har den berättigade oron för den alltmer bristande säkerheten inom vård-it utmålats som ett Filifjonka-aktigt beteende och att varningarna för riskerna skulle ha lika litet med vår verklighet att göra som Filifjonkans permanenta ängslighet i Mumindalens idyll.
När det nu exempelvis framkommer att Region Värmland har anlitat en underleverantör för att hantera den extremt känsliga informationen i telefonrådgivning endast med dessa säkerhetskrav: Leverantören ska skydda sin information mot otillbörlig åtkomst och förstörelse i enlighet med gällande lagar, förordningar och föreskrifter.
Hur skyddet genomförs ska dokumenteras.
Leverantören ska på begäran kunna uppvisa denna dokumentation för landstinget.
Leverantören ska följa landstingets vid var tid gällande riktlinjer för informationssäkerhet.
ger det en indikation om hur relevant oron faktiskt var/är.
Observera att inga ytterligare krav ställts till exempel i form av en säkerhetsbilaga som förtydligar vad det är man vill ha, inte ens ett personuppgiftsbiträdesavtal i någondera riktningen finns.
Otroligt nog verkar hela den massiva hypen kring dataskyddsförordningen gått regionen förbi.
Med tanke på att hela härvan ännu inte är utredd ska jag, för att undvika förhastade slutsatser, inte kommentera alla juridiska och tekniska detaljer.
Enkla lösningar är det redan alltför många som kommer med.
Inte heller finner jag det meningsfullt att ägna mer tid åt den lyteskomik som svaren från de olika leden i leverans av telefontjänsten i 1177 gett utrymme för.
Istället ska jag försöka ringa något av det systemfel som ligger som grund för den uppkomna situationen.
Grundproblemet ligger i att vård-it i Sverige under trettio år har fått växa fram inte som en sammanhängande infrastruktur utan som en brädhög där olika aktörer kunnat lägga på sin egen bräda utan att behöva ta hänsyn till någon gemensam plan.
Detta skapar naturligtvis en låg grad av funktionalitet trots de enorma resurser som lagts på digitaliseringen men dessutom har det också skapar de oöverblickbara säkerhetsrisker som 1177-skandalen är ett av de mest flagranta exemplen på.
Den främsta säkerhetsrisken är att det i många fall är omöjligt att klarlägga ansvaret för säkerheten vilket med all önskvärd tydlighet framgår i fallet med 1177.
Intuitivt skulle nog de flesta säga att det största ansvaret ligger hos sjukvårdshuvudmännen, det vill säga främst regionerna/landstingen som i den svenska förvaltningsmodellen delegerats ansvaret för och där ansvaret definieras i hälso- och sjukvårdslagen: Med huvudman avses i denna lag det landsting eller den kommun som enligt lagen ansvarar för att erbjuda hälso- och sjukvård.
Inom en huvudmans geografiska område kan en eller flera vårdgivare bedriva verksamhet.
När det gällde hanteringen av information inklusive säkerhet var detta ansvar inte särskilt besvärligt att definiera på den tiden då landstingen också utförde den absoluta merparten av vården.
Då var journalerna allmänna handlingar som tillhörde landstinget och det också ställdes tydliga krav på hanteringen (ja, jag vet att det inte alltid funkade jättebra i verkligheten men jag rör mig nu på systemnivå).
I och med kommunalisering (ÄDEL) och privatiseringsvågen blev ansvaret otydligare.
Som en andra skänkel i saxen som klippte av tydligheten i ansvarsfördelningen fungerade rörelsen mot alltfler samarbeten mellan landsting som exempelvis Sjunet och de nationella tjänsterna.
Det är här jag menar att juridiken inte hängt med, inte genom att ställa krav på integritet i det nya landskapet.
Det juridiska ansvaret läggs nämligen främst på vårdgivaren: Med vårdgivare avses i denna lag statlig myndighet, landsting, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet.
Vårdgivaren kan vara vilken aktör som helst som bedriver någon form av vård, till exempel Medhelp.
Denne har också ansvaret för informationssäkerheten vilket mycket specifikt beskrivs i Socialstyrelsens föreskrift med regler för vårdens Problemet är bara att den mest säkerhetsmedvetne vårdgivaren ändå inte kan hålla sig för sig själv utan måste fungera i brädhögen av oklara ansvar eftersom man till exempel med nödvändighet måste använda bland annat nationella tjänster.
I och med detta faller alla de många goda råd som även säkerhetsexperter av olika dignitet framfört de senaste dagarna om att det bara är att ha tydliga upphandlingsrutiner, följa upp krav o.s.v.
Inte ens dataskyddet faller ut som man skulle kunna tro när man läser i avtalet mellan Region Stockholm och Medhelp och ser att regionen är personuppgiftsbiträde åt Medhelp och inte tvärtom….
Det som måste understrykas är att den digitala världen inte bygger på bilaterala relationer utan på multilaterala och att vi saknar verktyg att hantera den nya situationen.
Även trogna gamla kämpar som tillsynsvapnet riskerar att bli tandlöst eftersom tillsynen gäller enskilda organisationer.
Att skapa ansvarsförhållanden och möjlighet till ansvarsutkrävande avpassade för multilaterala infrastrukturer bedömer jag som den mest fundamentala säkerhetsåtgärden för vård-it.
Detta är inte något som en enskild vårdgivare kan ta ansvar för utan måste byggas upp på nationell nivå.
Tyvärr har denna grundläggande förutsättning totalt negligerats i de utredningar om e-hälsa som genomfört under senare år.
Mer om de moderna strukturerna finns att läsa i den nyligen utkomna antologin .
Ansvaret är alltså idag osynkroniserat med den nationella informationsinfrastrukturen och även med den tekniska infrastrukturen.
Ändå tror jag det är viktigt med ett ansvarsutkrävande.
Tyvärr kommer nog inte Region Stockholms innovationsregionråd ta sitt ansvar och avgå, inte heller hans motsvarigheter i Region Värmland och Sörmland.
SKL:s programansvarige för e-hälsa kommer att på motsvarande sätt skjuta ansvaret ifrån sig och Inera har snabbt varit ute och sagt att de går skuldfria ur denna förödande situation.
Tyvärr, inte för att vi behöver ett melodramatiskt utspel som när Toyota-chefen gråtande bad om ursäkt för sina fel eller syndabockar, men för att ge en reboot för vård-it.
Om ett antal digitaliseringspotentater inom vården åtminstone hade omdömet att säga: ”jag har villigt tagit emot all cred för att framstå som nyskapande och innovativ, nu tar jag lika villigt mitt ansvar när det visar sig att vi kört totalt fel inom e-hälsoområdet.”.
Detta vore en mycket viktig signal att vi nu inte ska fortsätta som förut utan gå in i en ny tid.
Det jag skriver ovan kan nog de flesta hålla med om på någon nivå men varför ser det då ut som det gör?
Jag skulle vilja hävda att det inte enbart beror på inkompetens utan i lika hög grad på attityd, möjligen arrogans.
Detta är en något nedslående tanke för sannolikheten för att kunna omvandla inkompetens till kompetens är större en att rå på decennier av negativ säkerhetskultur.
Jag förstår att det är mycket behagligare att ständigt mana framåt och inte hänga upp sig på problem och hinder.
I 1177-skandalen är patientens integritet som allvarligt skadats vilket är ett värde som talföra debattörer inom digitaliseringen och e-hälsa till och med i många sammanhang förnekat.
Den bristande samordningen kan också ses som ett resultat av SKL:s framgångsrika arbete som lobbyorganisation.
SKL är en intresseorganisation för regioner och kommuner som arbetsgivare och har med stor frenesi hävdat det kommunala självstyret inom hälso- och sjukvård.
Varje försök till styrning från staten nagelfars och min bedömning är att staten efter nedmonteringen av Socialstyrelsen inte ens har möjlighet till en effektiv myndighetsstyrning vilket lämnat fältet ännu mer fritt för SKL.
Ur ett samhällsperspektiv har det även lett till en starkt minskad insyn eftersom SKL, trots att man är helt finansierad av offentliga medel, inte lyder under offentlighetsprincipen.
Vad som pågår inom SKL och vilken agenda som drivs är därför svårgenomträngligt.
Under den tid jag jobbade på MSB och, bland annat inspirerad av den norska lösningen Normen, försökte få till en styrning bättre avpassad till de multilaterala relationerna fick jag ofta känna av SKL:s maktanspråk.
Ärligt talat så var intresset inte särskilt stort ens i min egen myndighet och inte heller i de andra myndigheter som hade uppdrag i någon form som påverkade säkerhetsaspekterna i vården.
Men var det ett svalt umgänge i myndighetssfären så var SKL:s engagemang i frågan på nollpunkten.
Mitt käcka erbjudande om att MSB skulle kunna samordna och tillföra väsentliga resurser och kompetens för att göra den så skakiga informationssäkerheten i vården bättre möttes mycket kallsinnigt.
Budskapet var att detta var en uppgift som regionerna kunde klara själva (med SKL:s hjälp) och att myndigheter inte hade i territoriet att göra.
Själv kände jag mig som en ovälkommen budbärare från de många medlemsorganisationer som satt med sin usla säkerhetssituation utan reell möjlighet att göra något åt den.
Med ett avancerat tjat lyckades det till slut att få SKL att skriva under den gemensamma strategi som jag tagit fram som underlag och som nu litet patetiskt ligger kvar på MSB .
Någon gemensam styrning á la Normen är lika fjärran som då strategin skrevs.
SKL har alltså haft alla möjligheter att själva ta fram de stöd som så väl skulle behövas i deras medlemsorganisationer.
Så har inte skett förutom det tveksamma verktyget för informationsklassning som jag skrivit om Något gemensamt regelverk för att hantera den multilaterala ansvarssituationen inom vården kan jag fortfarande inte hitta på SKL: s webbsida.
Intressant nog har ju inte SKL något formellt ansvar för informationssäkerheten i vården eftersom man är en intresseorganisation och kommer säkerligen inte att påta sig något sådant nu heller.
När nu nästa trend är AI i vården blir man inte direkt lugnare, särskilt inte när SKL:s programansvarige för e-hälsa ifrågasätter lagstiftningen snarare än ansvarskänslan hos införarna som .
I mina dystrare stunder tror jag vi nått vår kollektiva inkompetensnivå där vi ska skapat ett it-monster som ingen längre kan styra.
Vi har en situation med i princip outtömliga tekniska möjligheter promotas av aggressiva leverantörer.
Tekniken möter en omogen organisationsstruktur där verklig styrning ersatts av fritt spelrum för särintressen.
Till detta kommer den bristande självinsikten om att det är så här det ser ut och den negativa säkerhetskulturen inom vården.
Och slutligen juridik och företrädare för informationssäkerhet som fortsätter att leverera lösningar gjorda för enstaka organisationer eller möjligen bilaterala relationer vilken inte är till någon större hjälp i den dagens multilaterala arkitekturer.
Självklart kan vi inte ge upp utan istället ställa oss frågan hur vi kan genomföra de absolut nödvändiga förändringar som skulle göra vård-it till en seriös verksamhet.
Här vill jag anslå en ny ton för att markera att detta är mycket komplexa frågor som vi idag i huvudsak saknar svar på.
Det är inte enkla förbättringar av upphandlingsrutiner som kan leda framåt utan förändringar av en helt annan dimension som är nödvändiga.
Det är inte beställningar mellan kund och leverantör som är det verkliga problemet utan beställningen från regeringen till sjukvårdshuvudmännen som inte fungerar där sjukvårdshuvudmännen som leverantörer inte klarar av att skapa en säker vård-it.
Mina förslag, som jag inte när något större hopp om att de kommer att anammas, är att likna vid ett undantagstillstånd.
Det kan tyckas dramatiskt men allvaret i situationen kräver extraordinära åtgärder .
Parallellt med åtgärderna bör även en attitydförskjutning initieras där vi slutar se digitalisering som ett självändamål utan blir förmögna att ta in olika perspektiv som till exempel säkerhet.
Utgångspunkten bör också att det är en nationell struktur som ska byggas och förvaltas där de gamla organisationsgränserna inte längre får sätta käppar i hjulet.
Här kan man ana att en del integritetsnihilister vädrar morgonluft men bedra er inte; målet är att stärka integriteten, inte nedmontera den ytterligare!
Efter mitt förra inlägg om e-hälsa har jag fått en del kommentarer som visar att sjukvårdens organisation och i ännu högre grad e-hälsoområdets styrning är en okänd värld för många.
Som en projektledare en gång sa till mig som en förebärare för Trump: ”Hur svårt kan det vara med sjukvård (och e-hälsa)?”.
Ganska svårt skulle jag vilja säga vilket även Trump .
Därför kommer här en inledning för att ytterligare förtydliga hur jag uppfattar organisationen idag (finns utrymme för osäkerhet i detta) samt ge ett praktiskt exempel på vad det leder till.
För att bara titta på den bristande styrningen har jag uppdaterat en gammal bild till hur jag tror det ser ut i dag (jag har inte tagit med finlir som kvalitetsregister och trygghetslarm m.m., m.m.).
Bilden är ett försök beskriva samspelet.
Som framgår är ett flertal myndigheter involverade i olika delar, det finns utförare och leverantörer.
Två saker är slående.
Den första är att det inte finns en överordnad myndighet med mandat att hålla ihop helheten och som kan vara kontaktpunkt för övriga aktörer.
Med tanke på hälso- och sjukvårdens betydelse för samhället i olika dimensioner, de mycket stora offentliga resurser som går till sjukvården och det stora antalet aktörer som deltar i det gemensamma vårdarbetet måste detta ses som ett icke-rationellt sätt att organisera det hela om man vill ha effektivitet, kvalitet och strategisk inriktning.
Det andra är SKL och sjukvårdshuvudmännens organisation som jag menar inte håller måttet för de uppgifter som man åtagit sig.
Sjukvårdshuvudmännen har en roll som offentliga organ som är reglerad i lagstiftningen.
Detsamma gäller för vårdgivare oavsett om de är privata eller offentliga.
Men i denna ordning har alltmer SKL glidit in, en intresseorganisation som inte är en myndighet, inte har en lagfäst roll och inte omfattas av offentlighetslagstiftningen.
Riksrevisionen har pekat på detta i en gällande den generella styrningen på vårdområdet.
Inom e-hälsoområdet är problemen med detta mycket tydligt.
En inte oviktig fråga i detta är att det öppenhetskrav som gäller för myndigheter som landsting, regioner och kommuner försvinner då de samarbetar i sin intresseorganisation.
Nu när aktiviteter som tidigare skedde i respektive huvudmans verksamhet flyttas in i SKL:s hägn (inklusive Inera) försvinner också insynen.
Detta kan jämföras med kommunalförbund där insynsmöjligheten fortfarande finns kvar.
Denna fråga verkar inte engagera SKL i någon högre grad, jag söker på hemsidan för att finna om man frivilligt erbjuder en likande insyn i beslutsunderlag och annat som skulle räknas som allmänna handlingar hos SKL:s medlemmar men ser inga sådana informationsinsatser.
Jag skickade även ett mail till SKL:s infoadress den 24 juli: Hej!
Jag vet att SKL inte är en myndighet och därmed inte omfattas av offentlighetslagstiftningen.
Däremot är SKL:s medlemmar det liksom medlemmarnas uppdragsgivare.
Min fråga är hur eftersträvar SKL att ändå kunna erbjuda motsvarande transparens som medlemmarna förutsätts ha?
Detta borde vara allt viktigare i och med att SKL har tagit på sig allt fler uppgifter av operativ karaktär och frågor som starkt påverkar medlemmarnas prioriteringar och finansiering.
Eller är SKL:s linje att allmänheten får tillräcklig insyn via det material som publiceras på den egna webbplatsen?
Detta mail är fortfarande obesvarat efter ett par veckor, kanske beroende på semestertider, vilket i sig är en intressant illustration av att SKL inte omfattas av kraven på myndigheter att snabbt besvara inkommande frågor.
I frågan om e-hälsa är det dock de bristande organisatoriska förutsättningarna som är mest värda att ifrågasätta.
SKL är i sig inte en organisation som är skapad för att bedriva operativ verksamhet utan för att driva förhandlingar i huvudmännens intresse mot arbetstagare och delvis även mot regeringen.
Nu har man omvandlat sig till något som varken är företag eller myndighet men har en horisontell integration där huvudmännen både är leverantörer och kunder, en typ av organisation som redan Vänerskogs jättelika konkurs 1981 visade problemen med.
Denna oreda av aktörer i en infrastruktur av mycket känslig information är detta, ja jag vågar klämma i med, katastrofalt.
Ett mycket stort antal stort antal aktörer är inne och rycker i den gemensamma informationsinfrastrukturen utan att det finns en konkret inriktning utom den som delas av regeringen och SKL.
Jag noterar att webbplatsen inte uppdaterats sedan oktober 2017 men att det kommit en som mest verkar vara ett underlag för förhandlingar samt ett antal fluffiga mål.
Det är långt till verkstaden om man säger så.
Vad leder detta till i praktiken?
Ett bra exempel är hur den ganska naturliga frågeställningen om att ge patienten tillgång till mer information om sin hälsa, behandlingar m.m har hanterats.
För att klargöra utgångsläget så har patienter haft rätt att ta del av sin journal sedan länge, se patientjournallagen (SFS 1985: 562).
En journalhandling inom enskild hälso- och sjukvård skall på begäran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller kopia, om inte annat följer av 2 kap.
8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.
E-hälsofrågan i det hela handlar mer om patienten kan del av journalen.
Personligen tycker jag att hela frågan är felformulerad – istället borde den ha varit: ”hur informerar vi patienten på bästa sätt?”.
Då hade vårdens arbetsverktyg knappast varit den bästa lösningen utan man skulle jobbat på att ge patienten information i den form och på det sätt som gör det enkelt att ta till sig.
Bortsett från detta så påbörjades under början av 2000-talet i landstingsvärlden projekt med målsättning att tillgängliggöra journalen via nätet.
Observera att detta endast handlar envägskommunikation – att patienten får möjlighet att journalen.
Trots att dessa initiativ pågick bland huvudmännen bestämde Göran Hägglund som socialminister att ett nationellt initiativ skulle inledas för att patientjournaler skulle göras tillgängliga i en tjänst där de kunde användas av tredjeparter efter patientens initiativ.
Jag ser det här som ett utslag av att både e-hälsa och e-förvaltning starkt präglades av att under åren runt decennieskiftet ses som en näringsfråga, d.v.s.
de personuppgifter som myndigheter samlar in ska ses som råvara för privata tjänsteleverantörer.
Do´nt get me started – utrymmer räcker inte till för dra upp alla negativa aspekter av detta… Låt mig istället nöja mig med att detta var en lösning med så många problem inte minst säkerhetsmässigt att den skulle ha lagt sig i byrålådan på ett mycket tidigt stadium.
Nu är det stoppat av Datainspektionen även om eHälsomyndigheten fortsätter att processa stödda av en landets mest exklusiva advokatbyråer till en kostnad på drygt 1,5 miljoner bara 2017 (jag har kollat).
För att summera: det har alltså pågått två parallella projekt utan samordning, så vitt jag kan se, för att överföra information från journal till patienter.
Man har inte i lösningarna tagit höjd för hur behovet att patienten med tillräcklig kvalitet och säkerhet ska kunna föra tillbaka uppgifter till vården – en fråga som i sig är en av grundvalarna i en utvecklad e-hälsa.
Exemplet visar mycket tydligt att det inte finns en gemensam plan, behovsanalys eller medvetenhet om att man bygger en gemensam infrastruktur.
Min erfarenhet från olika sammanhang inom området är det också ofta saknas vilja att ta vara på professionernas intresse av fungerande arbetsverktyg eller etiska krav.
Tråkigt nog tycker jag inte att arbetstagarorganisationerna varit särskilt skickliga på att samla och driva sina medlemmars olika behov, detta är dock bara mer än känslomässig upplevelse från konferensbord och från att ha tagit del av olika debattinlägg.
Trots att alla aktörer med emfas skulle säga att de starkt vurmar för patients intresse kan jag tycka att det är väl lätt att utan fog göra sig till patientens företrädare.
Framför allt är det svårt att hitta insikten i att patienter är vi alla och på samma sätt som vi har väldigt olika syn och intressen i andra frågor har vi det även som patienter.
Ett flagrant exempel på detta är de som ständigt ställer patientsäkerhet mot integritet.
Eller inte erkänner att om en välsituerad grupp använder kommersiella nätläkare för att lindra myggbett så kommer det att inkräkta på andra patienters intressen.
Även här måste finnas en mycket större helhetstanke där e-hälsan sätts i sitt rätta sammanhang.
Slutligen kan jag inte underlåta att gå in på integritetsfrågan och hur det gick när jag försökte begära ut mina personuppgifter från vården.
Även detta är en god illustration av läget.
Först till den juridiska historiken som går att scrolla förbi om man inte är intresserad men den har rätt stor betydelse för det praktiska utlämnandet av personuppgifter.
Enligt den gamla patientjournallagen hade varje vårdgivare ansvar för sin egen journal och om uppgifterna behövdes hos en annan vårdgivare måste vissa mått och steg vidtas.
En ansvarig läkare hos vårdgivare A måste göra en menprövning om det var till men eller gagn för patienten att uppgifterna lämnades ut.
Lämnades uppgifter ut skulle ett journalnotat göras om när, vad och till vem uppgifter lämnats ut och hos vårdgivare B fördes uppgifterna in som ”kopia”.
Hela förfarandet hade fördelar som att det gav mycket god spårbarhet, patienten kunde eventuellt förhindra att information lämnades vidare om man ville skydda sin integritet och det var inte hela journalen som lämnades vidare utan bara relevanta delar.
Jag vill bara påpeka dessa fördelar utan att för den delen behöva anklagas för att vara bakåtsträvare för naturligtvis är detta regler som är svåra att upprätthålla i ett digitalt flöde.
Och, ja, jag är väl medveten om att reglerna inte alltid efterlevdes.
Min poäng är att dessa säkerhetsåtgärder inte ersattes av motsvarande funktioner när patientdatalagen (PDL) infördes.
Mitt intryck efter att ha följt frågan om vårdinformation tämligen ingående sedan 1994 är att det inte ens fanns en ambition att göra det.
Denna min uppfattning stärks när jag läser förarbetena till lagstiftningen.
Jag ser patientdatalagen som ett resultat av mer än ett decenniums påverkanskampanj från olika aktörer med innebörden att säkerhet och integritet inte går att förena med digitaliseringen utan man måste välja.
Valet blev då tämligen enkelt eftersom den tekniska och organisatoriska förändringen redan genomförts.
Resultatet, förutom allt newspeak där dålig säkerhet var bra säkerhet o.s.v., var att i patientdatalagen infördes ”sammanhållen journalföring” som enligt lagens definition betyder: Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.
I och med patientdatalagen ändrades grundprincipen för hanteringen av journaluppgifter från att det tidigare defaultläget var att en vårdgivare inte kunde lämna ut uppgifter utan menprövning till nuvarande defaultläge: att information kan flöda mellan vårdgivare om inte patienten aktivt spärrar utlämnandet.
Ett villkor som satts upp för den sammanhållna journalföringen: Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att andra uppgifter än dem som anges i görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.
En sjuk patient ska alltså ta till sig information om hur informationen kommer att hanteras och dessutom ha kraft genomdriva en spärr om hen bedömer att överföringen olämplig.
Några saker bör särskilt noteras i detta redan orimliga scenario.
För det första innebär direktåtkomsten att vårdgivare 2 får tillgång till vårdinformation hos vårdgivare 1 istället för som tidigare ett journalutdrag över information som bedöms vara relevant för det aktuella sjukdomstillfället.
För det andra förutsätter det att vårdpersonalen hos vårdgivare 1 kan ge upplysningar om hur informationen kommer att hanteras i den sammanhållna journalföringen, vilka som kommer att få tillgång till den exempelvis.
Min visserligen anekdotiska men ändå uppfattning efter att ha frågat ett ganska stort antal anställda i vården finns inte en kunskap inom vården hur informationen hanteras och hur ska då personalen kunna upplysa patienten?
Detta är inte så konstigt för jag tror uppriktigt inte någon idag har kontroll över informationsflödena i vården.
För det tredje lyser ett decennium efter PDL:s ikraftträdande fortfarande möjligheten att faktiskt spärra sin journal med sin frånvaro hos ett stort antal vårdgivare.
I praktiken kan jag inte se att patienten har någon reell möjlighet att vare sig få veta hur den egna vårdinformationen hanteras eller att påverka åtkomsten till den.
Med stöd av den sammanhållna journalföringen har det vuxit fram en vårdinformationsspaghetti där det vad jag kunnat se inte finns vare sig överblick, tydlig styrning eller definierade ansvar.
Detta leder också till att när jag hos min vårdgivare frågar: ”Gör ni journalnotat om vilka samtycken till andra vårdgivare jag givit så att jag kan få en sammanställning över vilka som fått åtkomst till mina uppgifter?” får till svar ” Nej, det finns i dagsläget ingen sådan funktion i COSMIC men detta är under utveckling, det vill säga en samtyckestjänst.
Vi dokumenterar inte i x:s journal andra vårdgivares samtycken, detta är var och ens eget ansvar.
När någon inhämtar ett samtycke i COSMIC så genererar detta en logg samt en referens i journalen.”.
Det vill säga att den vårdgivare som lämnar ifrån sig informationen noterar inte detta utan patienten förväntas ansvara för spårbarheten.
Jag vände mig då till Inera som ansvarar för tjänsten Nationell Patientöversikt som är en slags växel då vårdinformation förs mellan olika vårdgivare.
På frågan om de kan redovisa vilka som eventuellt tagit del av min vårdinformation svarar de: ”Samtycke måste alltid inhämtas av den vårdgivare som ska ta del av din information i NPÖ.
Samtycket ska registreras i det lokala journalsystemet hos den aktuella vårdgivaren.
Det tekniska samtycket loggas i den nationella säkerhetstjänsten som förvaltas av Inera.
Det finns ingen dokumentation från journalinformation och inte heller någon information om varför samtycket har inhämtats.” Deras uppfattning är alltså att de endast har ”tekniska loggar” och att jag fortfarande själv måste hålla reda på mina samtycken trots digitaliseringen.
Det framgår också att de anser att de tekniska loggarna inte är att betrakta som personuppgifter.
Jag har valt att inte fördjupa mig ytterligare i detta men hoppas att andra tar upp den tråden.
Sammantaget skulle jag vilja säga att detta rimmar rätt illa med dataskyddsförordningens krav.
Min egentliga poäng med att försöka beskriva att oreda, de oklara ansvarsförhållandena och bristande överblick är att detta naturligtvis inte bara påverkar patientens möjlighet till personlig integritet.
I ännu högre grad påverkas effektivitet, patientsäkerheten och möjligheten att upprätthålla verksamheten vid större störningar.Särskilt bekymmersamt är det oklara ansvaret som även andra Vad blir då kontentan av allt detta?
Jag tror faktiskt inte huvudfrågan är huruvida sjukvården ska förstatligas utan hur den ska styras (även om jag i dagsläget har litet svårt att se exakt vilket värde den regionala politiska styrningen tillför).
Oavsett om det finns 2 eller 200 000 vårdgivare så måste det finnas en stark statlig styrning som då inte enbart omfattar den offentligt finansierade slutenvården som ett förstatligande skulle innebära.
Den nuvarande bristen på styrningen tjänar såvitt jag kan se enbart oseriösa leverantörer på och möjligen de offentliga företrädare som älskar att åka omkring på olika konferenser och framställa sig som visionära.
Situationen där myndigheter processar mot varandra vittnar väl om något om den rådande anarkin.
Om vi inte klarar av att styra digitaliseringen av vården idag så blir tanken på AI och IoT mardrömslik.
Mina förslag är därför att på äktsvenskt maner tillsätta flera rejäla utredningar men med skillnad från de tidigare inte bilägga facit från uppdragsgivaren.
Jag ser framför mig en handfull utredningar inom olika områden men som är starkt koordinerade så att resultaten går att använda.
Viktigt är att ta hänsyn till de mångskiftande intressen som hälso- och sjukvården ska tjäna, inklusive professionernas och forskningens behov på kort och lång sikt.
Inriktningen bör vara att på samma sätt som på 1940-talet bygga en långsiktigt fungerande infrastruktur i bred politisk enighet.
Några förslag (jag tar inte med komplicerade saker som prioriteringar i vården och patienters egentliga intressen): Puh!
Jag vill verkligen inte påstå att jag kommit med de definitiva sanningarna i dessa komplicerade frågor – det finns så många olika sätt att betrakta den svenska e-hälsan.
Säkert har jag missuppfattat eller vantolkat en massa saker.
Mitt enda försvar är att jag efter bästa förmåga försökt måla upp bild av e-hälsa.
Förhoppningsvis kan dessa långa inlägg stimulera andra att dela bild av samma frågor.
I maj när dataskyddsförordningen trädde i kraft inledde jag ett test: att genom att ställa frågor om hur mina personuppgifter hanterades i vården ville jag göra en temperaturmätning av den kontroll som vården generellt har över vårdinformationen.
För hälso- och sjukvård innebär (i princip) inte dataskyddsförordningen någon så stor skillnad eftersom både patientdatalagen och PuL redan gett patienten möjlighet att få tillgång till sin information och (i teorin) spärra åtkomsten till sin vårdinformation.
I verkligheten är det och har det sedan patientdatalagen varit svårt för att inte säga omöjligt att få veta hur patientuppgifter hanteras – det är i alla fall min uppfattning som jag ville pröva genom att begära upplysningar om mina egna vårduppgifter med stöd av dataskyddsförordningen.
Svaren på mina frågor var negativa (vilket jag kommer att återkomma till senare) men jag fick underlag rörande dagssituationen inom e-hälsoområdet.
Detta inlägg svävar ut in extremis och handlar om i vilket landskap som digitalisering av vårdinformationen sker.
Jag ska resonera om den bristande styrningen av e-hälsa samt pusta ut orosmoln om informationssäkerhet och det långsiktiga bevarandet av vårdinformationen.
I ett följande inlägg kommer jag att skriva mer om den bakomliggande juridiken.
Först till organisationen av den svenska sjukvården som förvånansvärt många som gör inlägg i e-hälsofrågor inte tycks bottna helt i. Tillåt mig att roa mig med en historisk utflykt.
Den svenska vården är i huvudsak offentligt finansierad via skattemedel.
Det regionala ansvarar för att erbjuda vård inom det egna upptagningsområdet enligt hälsosjukvårdslagen.
Men landstingen och regioner behöver inte själva vara utförare av all vård utan kan även vara privata.
Andelen privata vårdgivare har tillväxt mycket starkt under de senaste 20 åren men strukturen med självständiga landsting som sjukvårdshuvudmän har funnits sedan 1862 (med varierande uppdrag).
Redan här finns underlag för vanliga missuppfattningar om ansvar men också reella problem eftersom de flesta krav i föreskrifter m.m.
riktas mot vårdgivarna och inte sjukvårdshuvudmännen.
När det gäller säkerhet och integritet har dock vårdgivarna inte så stora möjligheter att påverka sin situation trots att de har ansvaret – de tvingas (formellt eller informellt) ofta av sjukvårdshuvudmän, SKL eller myndigheter att använda lösningar oavsett egna säkerhetskrav.
Landstingen är kommuner med en politisk ledning vilket gör att inriktningen för olika landsting och regioner kan variera.
För e-hälsan som av naturliga skäl blir allt mer nationell är detta en ansvarsfördelning som innebär stora problem, inte minst eftersom landstingspolitiker använt rollen för egna, i mitt tycke kortsiktiga, kampanjer.
En misstanke som gror är att e-hälsa används av politiker för att undkomma att diskutera den offentligt finansierade vårdens grundfråga: den nödvändiga prioriteringen.
Det är ett väl känt faktum att det inte finns någon bortre gräns för behovet av vård, det finns hela tiden nya sjukdomar och tillstånd som kan behandlas och definitionen av hälsa kan sättas så högt att inte minsta krämpa blir acceptabel.
Däremot är vårdens resurser begränsade – alltså måste prioriteringar ske.
Detta är den mest laddade av alla frågor för sjukvårdspolitiker eftersom prioriteringar ofelbart kommer att leda till att några patienter blir missnöjda.
Den som tillsattes i slutet av nittiotalet för att ge de lokala politikerna stöd i form av nationella prioriteringslistor släppte också snabbt den glödheta potatisen och lämnande ifrån sig litet allmänna rekommendationer om hur processen för prioriteringar skulle kunna ske .
Min teori är att politiker och högre tjänstemän i vården nu (omedvetet) använder e-hälsa som en dimridå för att undvika frågan om prioriteringar genom att hävda att e-hälsosatsningar skulle kunna leda till enorma effektivitetsvinster (som då underförstått skulle leda till att får den vård de vill ha).
I verkligheten sker en mycket negativ icke-styrd prioritering av sjukvårdsmedel genom bland annat kommersiella nätläkare där en ohelig allians mellan nätläkarnas ekonomiska intresse och människor med lättare krämpor prioriterar upp sig på bekostnad av andra med reella hälsoproblem.
En hårdvinklad beskrivning men ni förstår vad jag menar.
Detta sätter stark press på sjukvårdspolitiker som i vissa fall måste säga nej men hellre säger att e-hälsa kommer att lösa problemen.
Själv är jag positiv till de former av e-hälsa som leder till reella förbättringar men att tro att den ska kunna upphäva den omöjliga ekvationen mellan outtömliga behov och begränsade resurser är en vanföreställning som ansvarsfulla politiker borde göra upp med.
En annan viktig negativ faktor är SKL:s förändrade roll.
SKL driver sina medlemsorganisationers intressen i förhållande gentemot uppdragsgivaren staten, d.v.s.
att man vill att staten ska styra så litet som möjligt (även om det inte uttrycks preeeecis så) vilket ökar på fragmentiseringen ytterligare.
Den tidigare sammanhållande myndigheten Socialstyrelsen som var en beredande motpart för SKL blev sönderslagen för några år sedan.
Uppgifterna är nu fördelade på fyra myndigheter som tillsammans med Läkemedelsverket tycks ha ett tämligen lågintensivt samarbete.
SKL och sjukvårdshuvudmännen agerar som månghövdad maktfaktor utan eget ansvar i det tomrum som skapades när Socialstyrelsen nedmonterades.
Dessutom står e-hälsoområdet under ett starkt kommersiellt intresse, inte bara genom nätläkarna.
Den nära alliansen mellan känns inte helt betryggande för det kommande.
I den tidigare regeringen var två av hälso- och sjukvårdsministerns statssekreterare hämtade från it-leverantörer vilket Dagens samhälle skrev om förra året.
Förväntan på stora vinster inom vården och en kanske alltför nära relation är knappast positiva nyheter för patienter och skattebetalare.
Eftersom jag intresserat mig en hel del för den svenska sjukvårdens historia kan jag inte undgå att fundera över att maktbalansen mellan staten som är uppdragsgivaren och utförarna, d.v.s.
sjukvårdshuvudmännen (regioner och landsting) samt numera SKL, har förskjutits.
Att göra historiska jämförelser är alltid vanskligt men för mig går det inte att motstå frestelsen att försöka analysera varför e-hälsa och digitalisering relativt sett varit så litet framgångsrika samhällsprojekt i förhållande till de resurser som satsat.
Hade det gått att prata fram e-hälsa och digitalisering hade det svenska samhället genomgått ett Civilization-moment där den framgångsrike spelaren lyckas uppfinna elektricitet på 1100-talet.
Men tyvärr räcker det inte med miljontals power point bilder, konferensinlägg, möten, testbäddar och avgränsade dellösningar för att skapa infrastruktur.
I detta delar jag uppfattningen i om floden av åsikter.
Jag tror mig att se några orsaker till det haltande genomförandet av något som trots allt alla varit överens om ska genomföras.
Detta är en situation som i mycket liknar den som rådde från slutet av fyrtiotalet och i ett par decennier framåt då det skedde en så här i efterhand nästan ofattbar mobilisering och utbyggnad av den svenska hälso- och sjukvården.
När jag skrev en historik om den värmländska sjukvården häpnade jag över att landstinget under en tioårsperiod byggde inte mindre än fyra nya sjukhus!
Även om jag är starkt lockad ska jag inte gräva ner mig ytterligare i detta utan bara tacksamt konstatera att den samhälleliga kraftsamling är något som vi nu fortsätter att skörda frukterna av.
Hur kunde man lyckas med denna infrastrukturella revolution?
En första förutsättning var att det fanns en stark politisk enighet om att detta skulle genomföras även från de borgerliga partierna som annars kampanjade för skattesänkningar.
Men till skillnad mot e-hälsoutvecklingen (liksom digitaliseringen i övrigt) nöjde man sig inte med den politiska enigheten utan skapade även de institutionella förutsättningarna (för den som vill läsa mer om institutionella förutsättningar rekommenderar jag verkligen att läsa litet Lennart Lundqvist eller Bo Rothstein) för utbyggnad.
En viktig sådan var att skapa ett mycket genomarbetat kunskapsunderlag att ta ut riktningen ifrån.
I detta var utredningsväsendet mycket betydelsefullt, de utredningsinsatser som gjordes var av mycket hög kvalitet.
Häri ligger en väsentlig skillnad mot de utredningar och kommittéer som levererat förslag inom digitalisering och e-hälsa, jag nöjer mig med att instämma i de synpunkter som framförs i den här .
I utvecklingen fanns en mycket kraftfull och sammanhållande motor i Medicinalstyrelsen, sedermera Socialstyrelsen.
Det är idag nästan svårt att förstå hur inflytelserik myndigheten var och på vilken detaljnivå man styrde sjukvården.
Om vi bara ser till vårdbyggnader fanns det ett regelverk som ner till hur många luftkubik per vårdplats definierade hur sjukhusen skulle byggas.
Varje ritning på ny- eller ombyggnad måste skickas in för godkännande och stränga inspektörer åkte ut och kontrollerade att det som byggts höll måttet.
Landstingen var byggherrar och hade det praktiska ansvaret för byggande och vård men deras intressen samlade ingen front i Landstingsförbundet (en del av SKL:s föregångare tillsammans med Kommunförbundet) utan gick huvudsakligen via riksdagen.
Där fanns det som kallades ”landstingspartiet” eller ”landstingsbänken” där landstingsordförande som nästan undantagslöst även vara riksdagsmän kunde driva sina frågor – ofta i gott samförstånd oavsett partipolitisk tillhörighet.
Även detta var en viktig institutionell förutsättning eftersom det då fanns etablerade och lagfästa former för att lösa intressemotsättningar.
Idag är situationen radikalt annorlunda.
En viktig skillnad är förstås att det kommit in så många privata aktörer men också att när de gamla institutionerna revs ner ersattes de inte av nya som skulle varit verkningsfulla då man anammade new public management som grundfilosofi för den svenska vården.
Jag är för tillfället inne på att försöken att uppnå effektiv digitalisering och e-hälsa är bland de bästa exemplen på hur new public management på ett negativt sätt präglat svensk offentlig sektor.
Resultatet har bland annat blivit att Socialstyrelsen i accelererande takt fråntagits mandat och att sammanhållen utveckling ersatts med fragmentisering.
Intresseorganisationen SKL tycks inte heller längre gå via en beredning på myndighetsnivå utan direkt på regeringen och jag har t.o.m.
läst meningar som att ”regeringen bör SKL i uppdrag …”.
Den geografiska uppdelningen av ansvar var under perioden mindre problematisk än idag eftersom större delen av vårdens uppgifter kunde lösas inom varje landstings hank och stör.
När digitaliseringen tog fart i början av nittiotalet skapades överbryggande strukturer som exempelvis Sjunet och sedermera Carelink.
Nu finns både eHälsomyndigheten och Inera m.fl.
som utan tydlig gemensam strategi eller regelverk grejar i infrastrukturen.
Bortsett från det negativa i att sakna gemensam styrning ser jag det inte heller som problemfritt när digitalisering och e-hälsa blir frikopplade från den kärnverksamhet de ska utgöra stödfunktion för.
En annan aspekt som tycks ha glömts bort är vårdinformationens långsiktiga betydelse både för den enskilda patienten och för forskningen.
För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård.
Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades).
Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman.
Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän.
Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring.
Alla sjukvårdshuvudmän (alltså landsting/regioner) utom en om jag kommer ihåg rätt hade åtagit sig att bevara alla läkarförda journaler för all framtid.
Bakgrunden till detta var den enorma betydelse som den vårdinformation som arkiverats från sjuttonhundratalet och framåt haft för den svenska forskningen.
I PDL är kravet att en journal ska bevaras i minst tio är efter att sista anteckningen förts in i handlingen samt att journaler som allmänna handlingar ska hanteras som sådana.
Det är ungefär vad som stod i patientjournallagen också men nu är kontexten radikalt annorlunda och även innebörden av begreppen – vad är ens en ”handling” i dagens vårdinformation?
Bara den förändringen att betydligt mindre andel av vårdinformationen är allmänna handlingar och därmed kan gallras av den enskilda vårdgivaren är en stor risk.
Vissa sjukvårdshuvudmän har försökt reglera arkivfrågan i avtal med de privata vårdgivarna men detta är knappast tillräckligt.
Redan idag är det som presenteras på skärmen hos en vårdgivare en sammanställning av information ur en rad system och tjänster som kan finnas både inom och utom vårdgivarens organisation.
Detta är bara inledning av en utveckling där informationshanteringen kommer att bli organisatoriskt och tekniskt allt mer komplex.
För att bevara denna gigantiska informationsmassa för framtiden för att kunna serva patienter som envisas med att leva i bortåt ett sekel och för att kunna ge underlag för livsviktig forskning räcker det inte med att litet svävande beskriva ”e-arkiv”.
För mig är detta en mycket bekymmersam fråga och det förvånar mig att varken Riksarkivet eller de utredningar som genomförts gällande registerforskningen intresserat sig för detta.
Så här i slutet av litanian vill jag inte på något sätt hävda att vi kan använda gårdagens lösningar idag.
Däremot tror jag att det finns mycket att vinna på att ha ett historiskt perspektiv.
I detta fall vill jag lyfta fram behovet av kvalitativa kunskapsunderlag som är parlamentariskt förankrade, en långsiktig väl definierad inriktning, institutionella förutsättningar anpassade efter aktuell situation och en sammanhållande kraft med mandat att genomdriva beslutade lösningar.
Framför allt tror jag att vi måste erkänna att det finns intressemotsättningar och lyfta fram dem i ljuset för att kunna diskutera hur de ska lösas.
Ofta framhålls svårigheten med den geografiska uppdelningen, minst lika stor är den som handlar om de inte helt kompatibla intressena privata utförare och den offentliga finansieringen.
Hur dessa intressen ska balanseras mot varandra har hittills varit en icke-fråga i e-hälsosammanhang.
Det har vi inte råd att låta den fortsätta vara.
Om vi ska klara upprätthålla den väsentliga del i välfärdssamhället som den offentligt finansierade sjukvården utgör och dessutom införa dataskyddsförordning, NIS-direktiv, civil beredskap och allt annat så måste vi ändra bilden av e-hälsa.
Det handlar inte om att släppa ner litet slumpmässiga tekniska lösningar (gärna efter påtryckning av olika leverantörer) utan att se att det kräver samma mobilisering, organisation och koordinering som då sjukvården byggdes ut under efterkrigstiden.
Och glöm inte forskningen!
Det har nu gått en vecka sedan dataskyddsförordningen trädde i kraft.
Under den förlidna veckan kom även Förvaltningsrättens utslag som gav Datainspektionen rätt gällande eHälsomyndighetens tjänst .
För mig var domen mycket välkommen eftersom jag redan sedan start uppfattat Hälsa för mig som en tjänst med skakig ansvarsfördelning och bristande säkerhet trots att den är tänkt att hantera känsliga personuppgifter från hela den svenska befolkningen.
Förra veckan skulle alltså kunna ses som en bra vecka för den personliga integriteten men det återstår verkligen mycket att göra.
En separat frågeställning som behöver lyftas är vikten av att få god information om hur personuppgifter hanteras för att kunna skydda den egna integriteten.
Individens komplicerade situation blev tydlig när jag såg en del reaktioner, framför allt från tjänsteleverantörer, angående Förvaltningsrättens utslag om Hälsa för mig.
Om jag tolkar dessa reaktioner rätt så uppfattar de det som någon form av omyndigförklarande av individer att de (individerna alltså) inte själva får bedöma säkerheten och integriteten i Hälsa för mig (plus i de appar som vidareutnyttjar information) utan att klåfingriga myndigheter lägger sig i. Själv tycker jag att det är en, hm, okonventionell hållning till myndigheters och leverantörers ansvar för sina tjänster som t.o.m.
Parks & Recreation hade en bättre analys av (i säsong 7 avsnitt 5 men hela serien rekommenderas naturligtvis!).
Komplexiteten ligger i att både kunna få kunskap om hur de egna uppgifterna hanteras för att kunna välja vilka risker man vill ta som individ samtidigt som det måste ställas krav på de personuppgiftsansvariga att ha nödvändig säkerhet och dataskydd i sina lösningar.
Båda dessa aspekter förutsätter att det finns god och dokumenterad kontroll över informationsflöden och säkerhetsåtgärder som går att presentera.
Först då finns en situation där individen kan känna tillit till den personuppgiftsansvarige och välja att antingen nöja sig med det eller att fatta ett informerat val att till exempel undandra eller spärra sina uppgifter.
Samtidigt gjorde jag inspirerad av dataskyddsförordningen ett experiment att försöka få en presentation av hur mina personuppgifter hanteras i vården.
I patientdatalagen finns regler om hur utlämnande av patientuppgifter får ske till andra vårdgivare och hur individen kan förhindra att så sker.
Detta förutsätter att patienten får kännedom om hur åtkomst och potentiell åtkomst till uppgifterna om den egna vården ser ut vilket också får ses som ett grundläggande krav i dataskyddsförordningens tillämpning.
Utan att känna till hur uppgifterna hanteras kan jag inte invända mot hanteringen och eventuellt begära en spärr.
Hittills har mitt experiment att få reda på hur mina uppgifter går från vårdcentralen in i någon typ av sammanhållen journal som sedan finns tillgänglig via bland annat den nationella tjänsten NPÖ för andra vårdgivare gått sisådär vilket kommer att avrapporteras senare.
Men dessa två sammanfallande förlopp fick mig att fundera på den ständiga frågan som ställts till mig i min yrkesroll under våren angående dataskyddsförordningen: ”Vad vi göra?” – som för att hitta miniminivån.
Ett bra steg vore om myndigheter och andra i tillitsbranscher som vården istället formulerar frågan som: ”Vad vi göra för att uppnå en god integritet?”.
Omformuleringen skulle i bästa fall kunna leda till att organisationen internaliserar integritet som ett värde för den egna verksamheten istället för ett mer ögontjänande uppfyllande av externa krav.
Då skulle individens intresse av att skydda sin integritet och det av detta följande behovet av att få god information om personuppgifterna hanteras få en betydligt högre dignitet.
Mitt till leda upprepade mantra att det inte handlar om exempelvis patientsäkerhet integritet utan om patientsäkerhet integritet skulle i så fall falla ut som ett självklart mål.
Trots att jag intresserat mig för hur vårdinformation hanteras under många år har jag aldrig sett någon flödesbeskrivning som beskriver hur information, tjänster, infrastruktur och organisationer interagerar på ett mer heltäckande sätt.
Det är möjligt att det finns men inte ens i de statliga utredningar om e-hälsa m.m.
där jag funnits med i utkanten har jag sett den typen av beskrivningar.
Det samma gäller för övrigt för e-förvaltning och digitalisering.
Det är möjligt att det finns men då så i skymundan att inte ens den intresserade finner dem.
Övergripande process- och flödesbeskrivningar skulle naturligtvis inte bara var av stort värde för enskilde utan också för myndigheter och företag som administrerar olika tjänster i flödena.
Avsaknaden av gemensam kartbild kan vara en starkt bidragande orsak till den, trots idoga och stora satsningar, inte så lyckosamma digitaliseringen.
Men just nu är jag mest intresserad av den torftiga beskrivning av den i verkligheten mycket komplexa hanteringen av mina patientuppgifter som sker i lokala och nationella tjänster.
I mitt hemlandsting finns denna som visserligen är korrekt men knappast begriplig för den vanliga patienten.
I andra sammanhang betonas ofta vikten av att sätta patientens intresse i centrum och att det ska finnas en valfrihet.
Varför skulle inte samma inriktning tillämpas på integritetsfrågan?
Jag har därför några förslag som skulle kunna stärka patientens ställning.
Första förslaget: Ta fram en infograf över hur patientinformation flödar inom och mellan vårdgivare och olika leverantörer.
Med litet god vilja och innovation borde det på sikt vara möjligt att göra för den enskilde patienten men ett första steg är att visa det på en generell nivå.
Detta skulle också vara ett stort stöd i enskilda vårdgivares presentationer av hur patientens information kommer att hanteras.
Dessutom skulle mödan att beskriva den mycket intrikata informationsstruktur som byggts upp vara väl värd sett även för att få en större förståelse hos de som fortsättningsvis ska bygga vidare – kanske resulterar det t.o.m.
i en planerad utveckling.
Ett konkret förslag är att regeringen ger eHälsomyndigheten ett uppdrag att ta fram övergripande flödesbeskrivning med inriktning på personuppgifter.
Kanske bör den nya digitaliseringsmyndigheten få motsvarande uppdrag på e-förvaltningssidan.
Som den baksluga människa jag är ser jag hur starkt dessa beskrivningar skulle kunna bidra till informationssäkerheten, kontinuitets- och incidenthanteringen och till möjligheten för långsiktigt bevarande av information med autenticitet.
I flöden bör det även framgå var valmöjligheter finns för individen, d.v.s.
där man kan välja att avstå från att låta personuppgifter om en själv gå vidare.
Andra förslaget: Ett flertal av sjukvårdshuvudmännen har struntat i att efterleva PDL och inte lyckats införa möjligheten för patienten att spärra sin journal.
Kommunikationen från vårdgivarna om spärrar har också varit märklig där det ofta framstått som att man löper stora hälsomässiga risker om man vill begränsa åtkomsten till vårdinformationen.
Spärrarna är som idé en mycket klumpig form av åtkomstbegränsning som understödjer den typen av hotfulla undertexter eftersom det handlat om allt eller inget, d.v.s.
att man spärrar stora delar av vårdinformationen oavsett vilken typ av information det är.
Mitt förslag är därför att eHälsomyndigheten får i uppdrag att ta fram ett mer dynamiskt åtkomstskydd som skulle kunna leda till en större valfrihet för mig som patient.
Till exempel så skulle jag kunna få välja att endast ge tillgång till information om läkemedel och överkänslighet medan övrig information får efterfrågas vid behov.
Tredje förslaget: eftersom vården uppenbarligen inte klarar att ha en integritetsskyddande behörighetshantering (det räcker att se på de inspektioner som Datainspektionen genomför för att konstatera det) så är pseudonymisering ett alternativ för vården vilket jag skrev om redan (här vädras verkligen gamla käpphästar).
Pseudonymisering som del i ett privacy by design-arbete i vården skulle ha många fördelar för integritet och säkerhet men skulle kräva en stor sammanhållen insats och en sannolikt en förmåga till samordning som saknas idag.
Men ändå, även detta skulle kunna vara en gemensam uppgift för eHälsomyndigheten och digitaliseringsmyndigheten.
Eller kanske Vinnova skulle kunna ge stöd till några entreprenörer som vill ta fram en pseudonymiseringsapp kopplad till BankID som skulle låta oss faktiskt välja hur mycket vi vill att andra ska veta om oss?
Det finns med största säkerhet många invändningar mot mina förslag men om jag får åtminstone några att fundera över integritetsfrågor på ett mer kreativt sätt än vad som synes ske idag lovar jag att var nöjd.
Jag kan faktiskt inte släppa den här debattartikeln från , undertecknad av bland annat en utmanare om partiledarposten.
Den illustrerar tydligt några orsaker till Transportstyrelse-skandalen och den ännu större skandalen: den usla informationssäkerheten i vården.
För att inte genast mötas med argument som att ”vill du ha tillbaka pappersjournalerna då?” vill jag föra till protokollet att jag är en varm anhängare av digitalisering – men på rätt sätt och med tillräcklig säkerhet.
Här har vi ett parti som efter en sommar då informationssäkerhet var huvudnyhet i alla medier, en generaldirektör och två ministrar fått avgå och en tredje sannolikt även han på väg.
När detta inte får dem att dra slutsatsen att när helst digitalisering diskuteras måste det följas av åtminstone ordet informationssäkerhet är det svårt att ens fantisera om vilken medial atombomb som skulle väcka dem.
Att dessutom hävda att vårdens utmaningar inom informationshantering skulle kunna avhjälpas genom digitalisering är att banalisera frågan på ett sätt som är närmast en förolämpning mot de som arbetar i vården.
Alla som sett hur överdokumentation och byråkratisering har växt i takt med de New Public Management-ideal som präglat vården sedan slutet av åttiotalet (och som haft mycket varma förespråkare i Liberalerna) inser att det inte räcker med att slänga in nya appar och plattor för att förändra arbetssituationen.
Jag tror inte heller att de som är praktiska utförare av vård är tillfreds med appar som gör att patientuppgifter hamnar på okända servrar i USA, tjänster som gör att uppgifterna om läkemedel inte är korrekta, att deras signatur under en ordination kan vara satt av någon annan eller att trygghetslarmen i vart femte fall inte fungerar.
Informationssäkerhet motverkar inte patientens eller personalens intresse utan är något som skapar kvalitet i vården.
Att debattörerna lyckas förtränga de nya krav på informationssäkerhet som kommer att ställas redan nästa år genom dataskyddsförordningen och NIS-direktivet är gåtfullt.
Den bekymmerslösa hållningen till lagstiftning och annan demokratiskt beslutad styrning är visserligen inte något nytt.
Jag har irl hört en av debattörerna på ett raljerande sätt uttala sig om PuL och Datainspektionen vilket tydligen är en fastslagen hållning som gäller även MSB som : ”Vi som beslutsfattare måste vara modigare att driva orimliga tolkningar till prövning.
Vi kan annars ducka för en bedömning från datainspektionen, MSB eller en lagstiftning som samlar damm någonstans.
När lagstiftningen får orimliga konsekvenser måste vi ta ansvar för en sådan förändring.
Här krävs det ganska stora ställningstaganden kring integritet för att exempelvis individbasera den”, säger Daniel Forslund.
och för att ta två färska exempel.
Personligen har jag svårt att kalla det att ”ducka” att följa lag och föreskrifter och att en av landets främsta offentliga makthavare ser det så är aningen svårsmält.
Jag vill påminna om att oviljan att underkasta sig lagstiftningen faktiskt är det som ledde till skandalen på Transportstyrelsen.
Att samma frifräsande ogenerat demonstreras av vårdens makthavare är bekymmersamt och ger en bild av orsakerna till dagens bristande informationssäkerhet i vården.
Vad som är ändå mer förvånande är artikeln satt i ljuset av Liberalernas starka vilja att profilera sig inom det säkerhetspolitiska området.
Att släppa fram en artikel om hälso- och sjukvård som kanske är den mest samhällsviktiga av alla verksamheter som inte tar hänsyn till att verksamheten ska fungera vid större störningar och som en del av totalförsvaret skapar frågor.
Att driva på en digitalisering för normalläget är inte tillräckligt, det måste även finnas fungerande robusta lösningar när vi som bäst behöver dem.
Har partiet överhuvudtaget en sammanhållet säkerhetspolitisk linje?
Eller finns det en linje i Försvarsutskottet och en helt annan när de samhällsviktiga verksamheterna ska styras i praktiken?
Tyvärr är nog inte Liberalerna ensamma om denna vinglighet.
Inför valåret 2018 finns det all anledning att känna de kandiderande partierna på pulsen i informationssäkerhetsfrågan och då inte minst i vården.

endast för min vård, den uppföljning är lagstadgad och tydligt definierad administrativ hantering utöver ovanstående även akademisk forskning där resultaten kommer samhället till del utöver ovanstående även akademiskt forskning i kommersiell regi för kommersiellt bruk oavsett bransch Riktlinje informationssäkerhet Anvisning för informationsklassicering Anvisning för informations- och it-säkerhet för medarbetare Inför ett moratorium inom vård-it och inför inte några nya lösningar som inte är absolut nödvändiga.
Gör en heltäckande genomgång av säkerhetsbristerna inom den svenska vård-it.
Stärk Socialstyrelsens roll i förhållande till sjukvårdshuvudmän vårdgivare när det gäller vårdens informationshantering.
Detta bör även gälla myndigheter som främst ska leverera e-tjänster som E-hälsomyndigheten.
Utred hur ansvarsförhållandena för informationshanteringen i vården ser ut och hur de borde se ut.
En central fråga är det reella ansvarsutkrävandet.
Säkerställ att även det långsiktiga behovet av vårdinformationen beaktas, både den enskilda patientens behov och samhällets behov av informationen för forskningsändamål.
Ta fram en strategi och en arkitektur för den nationella nivån som inte bara är fluff.
Ta fram en gemensam styrmodellvården och låt den förvaltas av myndigheter – inte av intresseorganisationer eller utförare i första hand.
Skapa ett ackrediteringssystem för anslutning till den nationella arkitekturen.
Skapa verktyg för systematisk uppföljning av informationssäkerheten inom vård-it och lita inte på att tillsyn av enskilda organisationer skapar säkerhet.
Utveckla utbildningar för de somen i vården.
Utveckla ett forskningsprogram för informationssäkerhetsstyrning i miljöer med multilaterala ansvarsförhållanden.
Stärkt samordning av de frågor som påverkar vården i regeringskansliet och en stärkt roll för Socialstyrelsen som sammanhållande kraft i vården och beställare av it-lösningar hos e-Hälsomyndigheten, SKL m.fl.
Hur en gemensam infrastruktur ska kunna byggas upp i konkreta termer och ansvarsförhållandena för detta En ny patientdatalag som lever upp till dagens många olika behov och som inte genar när det blir svårt.
En arkivlag som kan tillgodse kravet på att bevara den gemensamma informationsinfrastruktur som uppstår inom bland annat e-hälsa.
I en ny arkivlag bör finnas utrymme för att fatta beslut om bevaranderegler även för andra än statliga myndigheter, t.ex.
ett krav på att viss vårdinformation ska bevaras för all framtid oavsett vårdgivare.
SKL:s roll med övervägande om liknande krav på öppenhet som gäller de ingående sjukvårdshuvudmännen.
Frågan bör ställas om SKL över huvud taget har de institutionella förutsättningarna att leverera gemensamma e-tjänster eller om detta istället bör ske av myndigheter Utred möjligheten att införa en lösning liknande den norska Normenden svenska vården.
Detta drev jag med klent gehör när jag jobbade på MSB men det är aldrig fel att vädra gamla käpphästar.
MSB måste våga överge sin beröringsskräck för verkligheten och kunna ge faktiskt stöd till bland annat vården.
Hur e-hälsan systematiskt ska utvärderas och vem som ska utföra det.

OFFENTLIGHET en varför förutse 16 § på vilket sätt läsa alla all en sina sjukvårdsvårdshuvudmännen vårdgivare alla måste bör eller och

Meny E-hälsa Inläggsnavigering

MENU MENU Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , , , Tagged , , , , , Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , , Tagged , , , , , , Postat av Postad i , , , , , Tagged , , , , , Postat av Postad i , , , , , Tagged , , , , , , Postat av Postad i , , , , , , , , Tagged , , , , , , , , , , Postat av Postad i , , , , , , , , Tagged , , , , , , , Postat av Postad i , , , Tagged , , , Postat av Postad i , , , ← → Sök efter:

Konsulterna vårdresultat/kostnad=värde The Age of Surveillance Capitalism

Det är ju ett antal år sedan (ganska stort antal för att vara ärlig) jag läste mina första kurser i historia på universitetet men jag kommer fortfarande ihåg hur det inpräntades i oss att vårt främsta verktyg var källkritik.
Avgörande för att våra uppsatser skulle bedömas som ”bra” var att vi var skickliga på att kritiskt granska våra källor.
Den svenska historieforskningen var då präglad av bröderna Lauritz och Curt Weibull som under de första decennierna av nittonhundratalet genomförde ett radikalt paradigmskifte även om de naturligtvis inte visste att det kallades så.
Tidigare hade även den vetenskapliga historieforskningen i Sverige varit starkt tendentiös i nationalistisk riktning men bröderna Weibull hade genom sina kontakter med tyska forskare upptäckt den källkritiska skolan.
Genom sina forskningsinsatser där de menade att endast det som är faktiskt vetbart kan användas som underlag lyckades de skapa ny kunskap bland annat beträffande Snorre Sturlasson och drottning Kristina.
Kanske blev de litet väl inflytelserika, svenska historiker blev extremt försiktiga och litet grå under en lång period.
Curt Weibull, som levde och var aktiv tills han var 105 år, var en ständig varnagel för den historiker som försökte sig på en mer eskapistisk hållning.
Trots att det finns en hel del att anföra mot den källkritiska skolan har den blivit ett rättesnöre för mig.
Att vara källkritisk är ett förhållningssätt som bör tillämpas varhelst information förmedlas.
Att ständigt fråga sig vem som säger vad vid vilken tidpunkt och i vilket syfte är en allt nödvändigare ryggmärgsreflex i informationssamhället.
Att försöka ta reda på var informationen kommer ifrån, vad den bygger på, om det finns tydliga källhänvisningar, att den går att verifiera i andra källor och om det går att se att den är granskad av andra är basala kvalitetsfrågor när information i allt snabbare takt distribueras, återanvänds, förädlas eller förvanskas.
När allt fler börjar prata om källkritikens betydelse skulle det med denna bakgrund kunna ses som renodlat positivt.
Jag börjar ändå bli fundersam kring den betydelseförskjutning av begreppet som jag tycker mig se i vissa sammanhang.
Låt mig förtydliga; källkritik på det sätt som används av forskare och inom journalistiken måste vara ett förhållningssätt som tillämpas generellt.
För en forskare måste de egna källorna granskas minst lika hårt som då man opponerar på någon annans alster.
En journalist måste vara konsekvensneutral i sin källkritik och stå oberoende inför yttre påtryckningar och inför inre drivkrafter i bedömningen av vilka källor är trovärdiga.
Om dessa grundprinciper överges är det inte forskning, granskning eller journalistik man bedriver utan någon form av påverkansarbete.
Ytterligare ett förtydligande; jag tycker inte att det är fel med opinionsbildning, Att skapa opinion och att driva intressen är fundamentet i en demokrati, till och med en ekonomiskt driven lobbyverksamhet är en del av det offentliga samtalet.
Vad jag däremot reagerar på är att begreppet källkritik alltmer börjar användas av opinionsbildare som inte alls har för avsikt att ha ett konsekvent källkritiskt förhållningssätt.
Detta tillsammans med att åsiktmaterialet är en så stor del av medieutbudet i förhållande till journalistiskt material gör medborgarens försök att skapa sig en bild av förlopp som bygger på fakta betydligt svårare.
Ett pregnant exempel på detta är den om rysk informationspåverkan som mycket lägligt presenterades i samband med Folk och Försvar.
Rapportens innehåll och mycket stora akademiska brister är lysande beskrivet i podden Mediespanarnas senaste .
Lyssna gärna själva, jag kan dock avslöja att de erfarna medieforskarna i podden med emfas meddelar att de aldrig skulle godkänna rapport som en c-uppsats.
Orsaken till det kraftfulla underbetyget är bland annat metoder som författarna använt men även hanteringen av källor.
Även utan att vara medieforskare är det ganska lätt att se vissa av dessa problem i rapporten.
För den källkritiskt drillade var även lanseringen av rapporten något som väckte frågor.
Att rapporten lansering sammanföll med Folk och försvar kan naturligtvis tillskrivas en normal marknadsföringstaktik men att det inte går att härleda vem som egentligen står bakom den borde väcka även en entusiastisk ledarskribents nyfikenhet.
Alltså kanske den mest klassiska källkritiska instinkten som Curt Weibull visserligen inte kallade ”follow the money” men desto tydligare beskrev i olika sammanhang.
Trots detta fick den ett mycket stort genomslag samtidigt som konferensen i Sälen drog i gång.
Ledarskribenter i DN, Aftonbladet m.fl.
kommenterade den tacksamt i ordalag som att det nu äntligen fanns vetenskapligt belägg för de omfattande ryska desinformationsaktiviteter som man redan tidigare hävdat pågick, på Twitter berömde myndighetsföreträdare .
Vanligtvis hyfsat nyanserade tyckare blev uppeldade och uttryck landsförrädare .
Och det är just den här paradoxen som bekymrar mig.
Åsiktskribenter och myndighetsföreträdare som i andra sammanhang betonat faran med att förhålla sig okritisk till desinformation använder här själva illa underbyggda teorier när det passar deras narrativ (som författarna till rapporten skulle uttrycka det).
Rapportens ”resultat” har inte bara tagits som fakta, andra debattörer har anammat samma synsätt som författarna om det så kallade narrativet.
I den berättelsen framställs exempelvis de som uttalar tveksamhet mot NATO-anslutning antingen som duperade av Putin eller medvetet konspirerande med samme ryske härförare – som om det inte finns några andra rimliga orsaker till denna politiska uppfattning.
Att diskreditera alla åsikter som inte ligger i linje med de som ser sig som försvarsvänner är knappast en hållning som skapar tillit i det svenska samhället.
Det tyder snarare på, som Tomas Ramberg framhöll i senaste Det politiska , att röststarka journalister, debattörer och politiker börjat tillämpa en krigslogik där den som har från myndigheter avvikande åsikter stämplas som agent för främmande makt.
Det ironiska med krigslogik att den på olika sätt markerar det olämpliga med åsikter som strider mot statsmaktens officiella hållning, d.v.s.
just det pluralistiska samhälle som samma debattörer säger vara hotat.
Denna hållning ser jag som oförenlig med att samtidigt hävda att det är viktigt med en generell källkritik.
Källkritik är ett metodiskt granskande utifrån vissa gemensamma principer.
Att uppmana till vaksamhet mot endast en aktörs desinformationsaktiviteter när vi en värld där vi ständigt bombarderas med desinformation i olika former är inte ett källkritiskt förhållningssätt.
Ännu längre från källkritiken ligger att kategorisera uppfattningar som inte överensstämmer med en upplevd nationell doktrin i utrikespolitiska frågor som medlöperi med en utländsk makt.
Jag tror vi måste göra en tydlig skillnad på att granska och att försöka påverka opinionen.
Det psykologiska försvaret som nu dammas av har en svår balansuppgift framför sig.
Enligt MSB:s webbplats har syftet med psykologiska försvaret ytterst varit att säkerställa den svenska befolkningens försvarsvilja och motståndskraft mot påtryckningar och desinformation från motståndaren, inom ramen för ett – så långt det är möjligt under dessa extrema förhållanden – demokratiskt, öppet samhälle, med åsiktsfrihet och fria medier.
Ingen censur ska .
Observera att det uttrycks i preteritum, alltså att det syftet.
Vad syftet nu är tycks inte definierat utan utreds för närvarande.
Gissningsvis är väl syftet ungefär det samma vilket innebär att påverka befolkningsvilja, alltså ett fortlöpande påverkansarbete.
I detta sammanhang är det knappast välkommet med en källkritik som riktar sig mot den information som statsmakten vill ha förmedlad.
Händelserna i samband med den ovan nämnda rapporten visar väl ganska tydligt problemen med den typen av asymmetrisk källkritik.
Att då alltför flitigt använda begreppet källkritik tror jag kommer att bli ett stort hinder i den kommunikation som ska bedrivas för att stärka det psykologiska försvaret.
För att slutligen etablera några elementära sanningar: alla statsmakter inklusive Sverige bedriver ett aktivt påverkansarbete för att stärka sina positioner kort- och långsiktigt.
Desinformation förekommer i mycket stor omfattning men är inte enbart politiskt styrd, det finns mycket starka ekonomiska incitament.
Tilliten i det demokratiska samhället stärks inte om statsmakten eller aktörer som stödjer statsmaktens doktriner bygger sina utsagor om det utrikespolitiska läget på källor som inte håller för en närmare granskning.
Må vara att åsiktsproducenter som ledarskribenter fortsätter att ha en nära relation till försvarsmakten, journalister måste däremot ta sitt ansvar och vara kritiskt granskande även inom detta område.
Jag anser att Sverige liksom andra länder måste bedriva påverkansaktiviteter men jag anser samtidigt att det inte får leda till att man desinformerar om desinformationen.
I ett demokratiskt samhälle åvilar det alla som arbetar med säkerhet att inte vara alarmistiska, att inte sprida felaktig information även om den stödjer den linje man driver och att vara så öppen som möjligt.
En stilla önskan med en blinkning år bröderna Weibull är också att man inte annekterar begreppet källkritik om man bara tänker vara kritisk inför vissa källor utan låta det begreppet fortsätta att stå för ett konsekvent förhållningssätt.
Slutligen för transparensen: jag älskar Tjechov och har en russian blue men avskyr auktoritära regimer inklusive den ryska och är därför tacksam om jag omedelbart blir avförd som Putin-lover.
Det finns litet som vederlägger Anders R Olssons uppfattning att digitalisering i sig inte leder till ett mer demokratiskt samhälle trots att det är snart tjugo år sedan han formulerade den.
Digitala lösningar kan användas i vilket syfte som helst, eller som Olsson skrev att en förvaltning stödd av digitala lösningar ”lika gärna [kan] tjäna ett totalitärt som ett auktoritärt eller demokratiskt samhälle”.
Det innebär att det krävs ett aktivt arbete med någon form av mål för att digitaliseringen ska stärka demokratin.
Jag kommer här att utan närmare resonemang om varför det skulle vara det att utgå från premissen att det är bra att stärka demokratin.
Däremot behövs några preciseringar eftersom få begrepp kan ges så många betydelser som ”demokrati”, det finns inte bara ett sätt att se på vad demokrati är utan ett helt spektrum av olika tankegångar.
Utan att gå allt för djupt kan den ena extrempositionen sägas vara det minimalistiska förhållningssätt som de så kallade elitisterna förespråkar.
Ekonomen Joseph Schumpeter är kanske den mest kända företrädaren för denna skola som definitivt inte ville göra en ordagrann tolkning av begreppet och låta folket styra, snarare är målet en maktfördelning där någon typ av elitföreträdare tävlar om makten medelst val.
delar av befolkningen, tillåts rösta och därmed garantera att en maktväxling sker på ett ordnat sätt är demokratins enda syfte.
Ibland har detta jämförts med ett marknadsperspektiv med väljarna som kunder och politikerna som leverantörer.
I andra ändan av spektrumet finns de som ansluter sig till en deliberativ demokratisyn där det offentliga samtalet inför beslut ses som centralt.
Medborgare är ett subjekt som ska kunna bilda sig en autonom och välgrundad uppfattning i politiska frågor.
Kunskap, även moralisk sådan, är av central betydelse i detta perspektiv.
Båda dessa inriktningar liksom mellanläget deltagardemokrati har långa traditioner och handlar i grunden om olika syn på relationen mellan stat och individ, mellan elit och massa.
Det finns dock ytterligare en dimension i demokratibygget som kanske är av större betydelse då e-demokrati och digitalisering ska diskuteras.
För att få en fungerande demokrati krävs, menar t.ex.
statsvetarnestorn Lennart Lundquist, både komponenten folkmakt men också det benämns konstitutionalism.
Folkmakt handlar i huvudsak om den politiska beslutsdemokratin (även om Lundquist pekar på många fler möjliga nivåer) medan konstitutionalismen (som har en betydligt längre historia än folkmaktsdelen) berör rättsstaten.
Lundquist liksom Bo Rothstein definierar konstitutionalismen med tre komponenter: En liberal demokrati måste innefatta båda dessa dimensioner; får vi rösta men saknar individuella rättigheter och rättssäkerhet får vi vad som brukar kallas illiberal demokrati som till exempel i Ryssland.
Eller som Lundquist uttrycker det: Konstitutionalismen är nödvändig för att folkmakten ska kunna få uttryck, och folkmakten fordras för att garantera konstitutionalismen.
Denna insikt bör, menar jag, prägla även hur vi väljer att utveckla e-demokratin.
Regeringens digitaliseringssträvanden är idag inriktade på den offentliga förvaltningen vilket borde göra det nödvändigt att se på vilka medel som är möjliga använda för att stärka demokratin i den konstitutionella komponenten.
Goda förutsättningar finns att göra det då regeringen, förutom alla andra initiativ, även tillsatt en delegation för att skapa ökad tillit i styrningen av offentlig verksamhet.
I direktivet till delegationen nämns inte digitalisering och tyvärr har delegationen inte heller fått ett uppdrag att analysera konstitutionella förutsättningar som skulle kunna stärka demokratin och därigenom även skapa en högre grad samhällelig tillit.
Den samhälleliga tilliten är en avgörande motkraft mot de destabiliserande krafter som vi anses alltmer utsatta för och det kan därför vara värt att överväga om inte delegationen skulle kunna få ett tilläggsuppdrag att utreda just denna aspekt.
Frågeställningar som skulle kunna tas upp är hur de individuella rättigheterna kan och bör utformas i det alltmer digitala samhället.
Dessa rättigheter är ju på inget vis universellt definierade en gång för alla utan kan omformuleras utifrån de behov som nya förutsättningar i samhället skapar.
Personlig integritet är en typ av individuell rättighet vars status bör definieras till exempel.
Det deliberativa inslaget har varit starkt i den svenska demokratitraditionen med både folkrörelsetradition och offentlighetsprincipen.
Denne inriktning har delvis eroderat under de senaste decennierna genom bland annat vårt ivriga anammande av nyliberalism och New Public Management.
De auktoritära tendenserna blir också alltmer påtagliga i vår omvärld.
Vill vi återuppväcka en mer deliberativ tanke kräver det ett betydligt mer aktivt engagemang för öppenhet även hos myndigheter, kommuner och landsting.
Öppenhet är även en förutsättning för den rättssäkerhet och kontroll som ingår i den svenska konstitutionella demokratikomponenten.
Även här finns stora möjligheter till förbättring genom digitalisering men det förutsätter aktiva åtgärder från regering, myndigheter och kommuner.
Svaret på frågan i rubriken är alltså ”ja” men endast om det finns en vilja att digitaliseringen ska vara ett verktyg för en mer utvecklad demokrati.
I några kommande inlägg kommer jag att utveckla dessa frågeställningar.
Bland annat ska jag belysa hur öppenhet och personlig integritet som kan synas vara varandras motpoler egentligen är varandras förutsättningar ur demokratiskt perspektiv.
E-hälsa är en viktig del av digitaliseringen.
Även här finns den oklara målbild som jag skrev om i förra inlägget och vissa initiativ får nästan ses som paradexempel på där risk inte vägs mot en oklar nytta.
Ett sådant är de e-hälsokonton som handhas av eHälsomyndigheten.
Idag fanns i DN på nätet en som även publicerats tidigare där jag snabbt försöker sammanfatta några centrala säkerhetsproblem.
Regeringen har, som jag tidigare skrivit om, gått ut med den stolta ambitionen att Sverige ska bli bäst i världen på att använda digitaliseringens möjligheter.
Vad exakt detta betyder är svårt att få grepp om i den mosaik av initiativ som finns beskrivna på regeringens hemsida.
När jag nu går tillbaka i äldre dokument kan den något oklara inriktningen ses som en svenska tradition inom den statliga styrningen av digitaliseringen.
Den historiskt intresserade kan inte undgå att fundera över varför styrningen av detta område skiljer sig från andra stora samhällsprojekt som utbyggnaden av järnvägen under 1800-talet eller den massiva satsningen på välfärdsstaten från 1940-talet och trettio år framåt.
Nu har digitaliseringssträvandena pågått i princip sedan slutet av sjuttiotalet och de trettio till fyrtio åren skulle ge underlag för en ordentlig forskningsinsats i svensk förvaltningshistoria.
Min egen teori är att styrningen försvårats av huvudsakligen två faktorer; en disparat målbild och att den tekniska utvecklingen sammanfallit med ett stort politiskt skifte avseende offentlig förvaltning.
Teknikutveckling innebär ofta inledande entusiasm parad med en viss valhänthet i hanteringen av de nya möjligheterna, så även inom digitaliseringsområdet.
Svårigheten i att överblicka de nya möjligheterna leder till den disparata målbilden, digitaliseringen ses som svaret på om inte alla förvaltningsfrågor så i alla fall de flesta.
Digitaliseringen Under de senaste två decenniernas digitaliseringspolitik går det att urskilja ett stort antal mål som en ökad digitalisering förväntas leda till.
Ett axplock på mål är: Ofta har det varit svårt att se vilket syfte som olika initiativ egentligen avser att tillgodose, särskilt som man i marknadsföringen kanske framhåller underordnade motiv framför de verkliga.
Som ett exempel på detta uppfattar jag Mina meddelanden som framställts som en tjänst som efterfrågats av allmänheten.
I verkligheten tror jag vad varit pådrivande varit dels att ge privata operatörer till det stora adressregister som ligger i botten för att vidareutveckla tjänster, dels att reducera kostnader för myndigheterna.
För att raljera har den något banala doktrinen att digitaliseringen per se är ”bra” har skapat en anda där mål inte behöver tydliggöras, uppfyllas eller utvärderas.
Min uppfattning är snarare att digitalisering liksom andra tekniska utvecklingsfaser är oundviklig i någon mening men bör styras mot uttalade mål, inte minst för att intressekonflikter ska vara möjliga att diskutera.
När målen är oklara eller förskjuts i politiken bör detta föranleda en offentlig diskussion.
Parallellt med det vittomfattande hoppet om att digitaliseringen skulle tjäna som en mädchen für alles i förvaltningens alla hörn har svensk förvaltning genomgått ett starkt paradigmskifte genom att nyliberalismen alltmer kommit att bli en överideologi.
I både statlig och kommunal förvaltning har detta främst tagit sig uttryck genom New Public Managements (NPM) inträde som huvudsaklig styrpolicy.
Hur frestande det än är ska jag inte här fördjupa mig NPM:s alla irrvägar som fortfarande i höggradigt levande i exempelvis Nya Karolinska Sjukhuset (NKS).
I detta sammanhang vill jag bara betona hur NPM omvandlat medborgaren till kund eftersom detta är något som, menar jag, starkt påverkat synen på digitaliseringens mål.
I den statliga styrningen av digitaliseringen går det att urskilja en tydlig förskjutning där det under 1990-talet fanns en uttalad intention att sträva efter att utveckla demokratin med hjälp av digitala lösningar.
Nämnas kan till exempel IT-kommissionen som tillsattes av Carl Bildt 1994 resulterade bl.a.
i betänkandet ”Informationsteknologin – Vingar åt människans förmåga” som lyfte fram de nya demokratiska möjligheter som användandet av it skulle kunna leda till.
För den intresserade rekommenderar jag avhandlingen Från demokrati till e-demokrati av Gustav Lidén från som fördjupar sig i e-demokratibegreppet.
Idag är däremot frågan om att styra digitaliseringen så att den utgör en transformerande kraft även för den svenska demokratin osynlig, med något undantag för ett kapitel av Bjereld och Demker i temarapporten 2016:2 från Digitaliseringskommissionen .
(Ett tips förbifarten: buzz word i digitaliseringssammanhang är ”transformerande kraft” så ska du verka insatt – använd det flitigt.)
I Digitaliseringskommissionens finns även några lösa tankar om demokrati men jag måste erkänna att den förvånande bristen på skärpa i detta betänkande gör det svårt att tro att författarna ägnat något intresse alls åt frågan.
Koordinaten där digitalisering, demokrati och informationssäkerhet sammanstrålar ökar i intresse ju mer jag funderar på det och jag tänker därför ägna några inlägg åt frågeställningar som anknyter till detta.
Som inspiration kommer jag att ha den alltför tidigt bortgångne Anders R Olsson och den skrift om elektronisk han tog fram på Demokratiutredningens uppdrag 1999 där han bland annat skriver: Man kan alltså vänta sig att en kraftfullt IT-stödd offentlig förvaltning – om de nya systemen konstrueras och utvecklas på ett kompetent sätt – blir både billigare och effektivare.
Huruvida denna förnyelse samtidigt bidrar till att stärka demokratin vet vi inte.
Den billiga och effektiva offentliga förvaltningen kan lika gärna tjäna ett totalitärt som ett auktoritärt eller demokratiskt samhälle.
En grundsten i allt systematisktär att kartlägga de interna behoven och de externa kraven som ska inrikta hur informationssäkerheten ska utformas i organisationen.
Som externa krav brukar lagstiftning och villkor i avtal räknas upp.
Inget konstigt i det om det inte vore för den något selektiva tolkningen av vilken lagstiftning som är relevant för informationssäkerheten.
De legala krav som informationssäkerheten traditionellt har intresserat sig för, utifrån den militär-polisiära bakgrunden, är kraven på skydd mot obehörig åtkomst som fanns i sekretesslagen och säkerhetsskyddslagen.
Annan lagstiftning som syftar till att begränsa åtkomst förekommer i de juridiska analyser som jag sett genomföras på myndigheter och i företag även om, som jag tidigare hävdat, kopplingen mellan integritet och informationssäkerhet ofta är otillräcklig.
Däremot är det sällan somt tar hänsyn till den andra centrala aspekten som myndigheter har att tillgodose i sin informationshantering – öppenheten.
I Sverige är det till och med så att öppenhet är defaultläget; alla allmänna handlingar är offentliga såvida inte det finns krav i sekretesslagstiftning på motsatsen.
Detta förhållande är unikt för Sverige och Finland, i andra länder gäller det omvända.
När vi i år firar 250 årsjubileet av den svenska tryckfrihetsförordningen där offentlighetsprincipen är en viktig del förtjänar detta att uppmärksammas även inom informationssäkerhetsområdet.
Kanske bör vi se ändringen från den tidigare sekretesslagen till den nuvarande offentlighets- och sekretesslagen 2009 som en uppmaning att också utveckla informationssäkerhetsområdet.
En viktig utgångspunkt är en gemensam förståelse av att sekretessbelägga information innebär en begränsning av grundlagsfästa medborgerliga rättigheter eller som det uttrycks i OSL:s portalparagraf: Bestämmelserna innebär begränsningar i yttrandefriheten enligt regeringsformen, begränsningar i den rätt att ta del av allmänna handlingar som följer av tryckfrihetsförordningen samt, i vissa särskilt angivna fall, även begränsningar i den rätt att meddela och offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen.
Den enda rimliga tolkningen som yrkesutövare är att vi måste vara mycket varsamma och välgrundade då vi begränsar åtkomsten till information så att vi inte inskränker medborgerliga rättigheter.
Informationssäkerhetens uppdrag i offentlig verksamhet är inte att ängsligt sekretessbelägga så mycket information som möjligt utan att erbjuda stöd för att göra så väl avvägda bedömningar som möjligt.
Den andra slutsatsen som jag menar att vi bör dra är att vi har en minst lika viktig uppgift i att säkerställa att allmän och offentlig information hålls tillgänglig som att skydda det som faller under sekretess mot obehörig åtkomst.
Informationssäkerhetsarbetet har fyra mål: konfidentialitet, riktighet, spårbarhet och tillgänglighet.
De åtgärder som vidtas för att upprätthålla riktighet, spårbarhet och tillgänglighet är de som behövs för att kunna tillhandahålla myndigheters information så att offentlighetsprincipens andemening förverkligas.
Jag kan ana invändningar mot det här resonemanget.
Till exempel tror jag några skulle hävda att konsekvenserna av att inte kunna skydda mot obehörig åtkomst är allvarligare än att inte kunna upprätthålla en god offentlighetsstruktur.
Själv menar jag att vi måste kunna göra båda sakerna med samma engagemang.
Vi måste både sträva efter att ge ett så bra skydd som möjligt för det som kan skada den enskilde eller riket och att ge stöd för en så omfattande öppenhet som möjligt.
I dagens situation med flykt från fakta och där lögner avsiktligt eller oavsiktligt sprids med förödande följder är tillgången till korrekt och spårbar information hos offentliga institutionerna oumbärlig för det demokratiska samhället.
Offentlighetsprincipen är ett mäktigt motgift mot desinformation och informationssäkerhet är ett avgörande stöd för att kunna upprätthålla den!
Via nätet tassar jag virtuellt omkring och försöker förstå vad som händer i digitaliseringsfrågan bakom departementens dörrar.
Jag ber redan nu om ursäkt om jag misstolkat något – det är inte alldeles enkelt att få en överblick.
Jag börjar med att regeringen tillsatt en utredning för att: kartlägga och analysera i vilken utsträckning det förekommer lagstiftning som i onödan försvårar digital utveckling och samverkan inom den offentliga .
vilket innebär ställer man sig återigen inför uppgiften att försöka få ihop delarna på ett konstruktivt sätt.
Jag måste dock medge att att formuleringen ”lagstiftning som i onödan försvårar” får mig att hoppa om inte högt så åtminstone medelhögt.
Synsättet på lagstiftningens roll känns inte genuint respektfullt om man säger så.
Mer glädjande är att utredaren ska ta hänsyn till bland annat regeringens kommande strategi om informations- och cybersäkerhet innan man redovisar sitt uppdrag i mars 2018.
Utredningen kan ses som en pendang till den utredning som tillsattes i maj med uppdrag att: analysera och ge förslag till effektiv styrning av utveckling, införande och förvaltning av nationella digitala tjänster.
Utredaren ska enligt samma uppdrag, med utgångspunkt i de nationella digitala tjänsterna Mina meddelanden och Svensk e-legitimation, analysera tjänsterna och lämna förslag till utformning av: – organisering och ansvarsfördelning för de nationella digitala tjänsterna, – åtgärder och incitament för att uppnå en ökad användning av de nationella digitala tjänsterna, och – samverkan mellan offentlig och privat sektor i tillhandahållandet av de nationella digitala .
Den senare utredningen har redan fått ett för att analysera om det vore bra att skapa en ny myndighet för att stärka digitaliseringen.
Uppdraget inklusive eventuellt förslag om nya myndighetskonstruktioner ska redovisas i mars 2017(!).
Och det är här jag börjar fundera över hur regeringen ska få ihop digitalisering och informationssäkerhet.
Nu finns ju ett utmärkt tillfälle att lyckas och det vore, tror jag, fatalt om detta tillfälle inte tas.
Låt mig understryka att jag tycker det är väldigt bra att regeringen visar handlingskraft i digitaliseringen och att en ny myndighet mycket väl kan vara vägen framåt.
jag ställer mig tveksam till tidsschemat och till samordningen av de olika utredningarna.
Min personliga riskanalys tyder på att risken att informationssäkerhet och integritet inte kommer att få den tyngd som är nödvändig för ett långsiktigt bra resultat är överhängande.
Vi har alltså en utredning som ska bedöma de rättsliga förutsättningarna för digital samverkan som ska redovisa i mars 2018 medan en annan utredning ett år före de rättsliga förutsättningarna är klarlagda ska komma med färdiga organisatoriska förslag.
Till ytter mera visso ska utredningen om de rättsliga förutsättningarna ta hänsyn till en strategi alternativt flera strategier som ännu inte finns i sinnevärlden men som ska hantera följande: Det förändrade omvärldsläget gör att samhällets behov av informations- och cybersäkerhet har ökat påtagligt.
Digitaliseringen i samhället har bl.a.
inneburit nya former av kommunikation, datahantering och datalagring, vilket medfört nya risker och sårbarheter.
För att den digitala utvecklingen ska kunna fortsätta på ett säkert sätt behöver alla aktörer, såväl privata som offentliga, mer aktivt arbeta med informations och cybersäkerhet.
Regeringen avser därför att utarbeta en nationell strategi som omhändertar olika perspektiv för att kunna identifiera och möta utmaningar mot samhällets informations- och cybersäkerhet.
Det är också av central betydelse att genomföra EU-direktivet om åtgärder för en hög gemensam nivå av säkerhet i nätverk och informationssystem (NIS-direktivet).
högre krav på enskilda aktörer som bedriver samhällsviktig verksamhet och som är beroende av informationssystem.
Direktivet innehåller också skyldigheter för varje medlemsstat att anta en nationell strategi för ökad säkerhet i . Exakt hur strategin/strategierna ska tas fram och vad de ska innehålla är för mig litet oklart eftersom den enda mer officiella beskrivningen jag hittat finns i budgetpropositionen.
Men strategin/strategierna ska alltså, så vitt jag förstår, ta ut riktningen i allt från höjd beredskap till den effektivitetsinriktade vardagliga digitaliseringen, från kommunikationsinfrastuktur till ”informationssystem”.
Som sagt en omfattande uppgift som påtagligt rör åtminstone fyra departement.
Däremot omnämns inte den kanske mest påtagliga kravställaren på informationssäkerhetsåtgärder i närtid; dataskyddsförordningen.
Med risk för att upprepa mig så sker detta samtidigt som Integritetskommittén lagt fram ett som borde föranleda en stark oro även hos regeringen angående de brister som uppdagats i olika sektorer då det gäller hanteringen av personuppgifter.
I det här sammanhanget är det mest anmärkningsvärda med strategin/strategierna som tycks vara i det allra första fasen av sin tillblivelse ändå ska tjäna som underlag för ett förslag som ska läggas fram om drygt ett år.
Och om strategin är på samma nivå som strategier av denna typ plägar vara – ger den verkligen utredningen rätt underlag för frågeställningarna?
Är det inte mer konkretiserade inriktningar som skulle behövas, d.v.s.
Och så har vi ju förslaget till ny säkerhetsskyddslag som ligger och lurar i vassen… Om vi dessutom plussar på med att regeringen trycker på i den näringslivsstödjande inriktningen så är mångfalden av delvis disparata krav som ställs på den offentliga informationshanteringen överväldigande.
Som betraktare utanför departementen förfaller behovet av en samordnad plan lika överväldigande.
En alternativ turordning till ovanstående skulle vara att göra en inledande utredning med uppdrag att redovisa en sammantagen bild av förutsättningarna för digitaliseringen man utreder hur den ska organiseras nationellt.
I förutsättningar räknar jag då in kraven på informationssäkerhet i olika riktningar, t.ex.
cybersäkerhet men i lika hög grad som stöd för att skydda den personligheten enligt dataskyddsförordningen eller för att ge informationen den riktighet och spårbarhet som krävs för öppna data.
För att det här ska fungera skulle det vara lämpligt att regeringen inte bara initierade en utredning för att kartlägga de rättsliga förutsättningarna.
Även en som kartlade och analyserade behovet av informationssäkerhet för att stödja digitaliseringen skulle behövas som underlag för en informations- och cybersäkerhetsstrategi.
Man kan ställa sig den berättigade frågan om det egentligen är så intressant hur departementen organiserar sitt inre liv.
Just i det här fallet tycker jag det eftersom resultatet av vedermödorna ”drabbar” myndigheter, kommuner och landsting.
En brist på samordning inom departementen leder till bristande samordning och svårigheter att prioritera hos de redan hårt pressade objekten för styrning.
Kommunen säkerhetssamordnare får därmed i skarp drift försöka reda ut den samordning som departementen misslyckats med.
Ökade kostnader, ineffektivitet och sämre säkerhet är en ganska realistisk konsekvens.
Digitalisering förknippas ju ofta med innovation och nytänkande.
Den, i mitt tycke, fragmentiserade utredningsordningen riskerar leda till att större sammanhang inte upptäcks och att den nyorientering i organisationsfrågor som skulle behövas nog inte kommer att ske.
Jag har till exempel tidigare efterlyst attt mer ska drivas av de aktörer som har ett verksamhetsbehov av god säkerhet.
Det skulle bland annat vara de stora tillhandahållarna av digitaliserade tjänster liksom de som tillhandahåller e-hälsa som behöver ta krafttag om de ska infria dataskyddsförordningen, OECD:s inriktning m.m.
En tänkbar lösning skulle vara att lyfta över samordningen av detsom inte gäller civilt försvar till en ny digitaliseringsmyndighet.
Då skulle en organisatorisk samordning uppstå på nationell nivå som skulle förenkla för kommunen som ska försöka styra sin informationshantering så att den både är effektiv och säker.
Jag började skriva om konstruktiva vägar framåt men kände att det behövdes litet food for thought för att konkretisera närt inte fungerar.
För att göra problembilden angelägen tänker jag i det här inlägget skriva om den pågående digitalisering som det fästs mycket stora förhoppningar vid både inom e-förvaltning och e-hälsa.
Regeringens inriktning är att effektiviteten ska sporras, pengar ska sparas och tillgängligheten öka för både medarbetare och allmänhet genom digitalisering samt att Sverige ska bli bäst i världen på digitalisering.
Den nationella vinnarskallen går även igen på e-hälsoområdet där regeringen och SKL tillsammans i skriver i sin Vision e-hälsa 2025: År 2025 ska Sverige vara bäst i världen på att använda digitaliseringens och e-hälsans möjligheter i syfte att underlätta för människor att uppnå en god och jämlik hälsa och välfärd samt utveckla och stärka egna resurser för ökad självständighet och delaktighet i samhällslivet.
Premissen för det följande resonemanget är att om regeringens målsättning ska kunna uppnås måste digitaliseringen ske med hänsyn till den personliga integriteten och med stöd av ett systematiskt.
Detta är inte min personliga uppfattning utan den analys som både OECD och ENISA gjort angående digitalisering; informationssäkerhet och skydd av integriteten är förutsättningen för att det goda vi (och regeringen) vill ha ut av digitaliseringen ska bli verklighet.
Det är alltså tre ”klossar” som ska byggas ihop för en fungerande digitalisering.
Klossarna har olika status där digitaliseringen är det rationella syftet, integriteten en rättighet och informationssäkerheten en stödfunktion.
För den offentliga verksamhetens digitaliseringen sitter regeringen med kontroll över alla tre klossarna.
Man har utsett kommittéer, kommissioner och skapat myndigheter som E-delegationen, Digitaliseringskommissionen, E-legitimationsnämnden och eHälsomyndigheten för att stimulera och styra digitaliseringssträvandena.
Även för värnet att den personliga integriteten finns en myndighet som Datainspektionen och kommittéer som exempelvis .
Slutligen finns samma typ av statliga institutioner när det gäller informationssäkerhet som bland annat MSB och ett antal statliga utredningar om informationssäkerhet det senaste decenniet.
Men trots denna kontroll över medlen, hur lyckas hopfogandet av klossar?
För pröva detta utgår jag från två aktuella exempel på myndighetsutövande; eHälsomyndigheten och Digitaliseringskommissionen.
I detta inlägg hinner jag med endast eHälsomyndigheten men jag återkommer med Digitaliseringskommissionen i nästa inlägg.
Ehälsomyndigheten ska enligt regeringens förordning: ansvara för register och it-funktioner som öppenvårdsapotek och vårdgivare behöver ha tillgång till för en patientsäker och kostnadseffektiv läkemedelshantering.
Myndigheten ska vidare samordna regeringens satsningar på e-hälsa samt övergripande följa utvecklingen på e-hälsoområdet.
Det är alltså ett mycket tungt uppdrag som innebär att både samordna andra aktörer men att också tillhandahålla egna digitala tjänster.
Hälso- och sjukvård är en av de mest vitala uppgifterna i samhället samtidigt som sjukvårdens informationshantering innehåller mycket integritetskänsliga uppgifter om alla som bor i Sverige.
Ehälsomyndigheten borde därför rimligen ha den nationellt mest utvecklade nivån av informationssäkerhet inklusive åtgärder som skyddar den personliga integriteten.
Mitt intryck är dock att så inte är fallet.
För transparensen skull bör jag kanske påpeka att jag offentligt framförde synpunkter på myndighetens tjänst Hälsa för mig som skulle lanseras under 2015, t.ex.
och .
Jag var definitivt inte ensam om att vara frågande inför säkerheten Hälsa för mig, så var även Datainspektionen med flera.
För eHälsomyndigheten borde detta vara en oro att ta på allvar så jag går in och tittar på deras hemsida för att se hur de kommunicerar om informationssäkerhet och integritet.
Min walk-about på webbplatsen inger dock ingen trygghet.
När man beskriver sina satsningar finns säkerhet med som en men med en text som endast tar upp effektiv inloggning: Digitaliseringen ger stora möjligheter för förbättringar, men om ett stort antal tjänster används samtidigt blir det krångligt för användare med många inloggningar och tidskrävande administration av användarkonton.
Inom sjukvårds- och omsorgssektorn finns behov av lösningar som garanterar en patientsäker, kostnadseffektiv och praktisk åtkomst av e-tjänster inom och mellan olika organisationer.
När man skriver om utmaningarna inom e-hälsa lyfter man fram: En svårighet är att ingen vårdgivare har en heltäckande bild av dig som patient.
Däremot inte ett ord om utmaningen i att upprätthålla god integritet.
Tjänsten Hälsa för mig har följande underpresentation: Ett säkert utrymme Hälsa för mig är en frivillig, kostnadsfri och säker lagringsplats för information.
Du bestämmer själv vilken information du vill lagra på ditt hälsokonto.
Som användare identifierar du dig med svensk e-legitimation, till exempel bank-id eller mobilt bank-id.
Tjänsten och den tekniska lösningen är utformad i enlighet med relevant lagstiftning, bland annat personuppgiftslagen (PUL) och de krav på säkerhet den innehåller.
Du kan dela din information med andra privatpersoner som har registrerat ett eget konto i Hälsa för mig.
Det är du som bestämmer om du vill dela din information med närstående, och vilken information du i så fall vill dela.
eHälsomyndigheten kommer endast att lagra och tekniskt bearbeta din information för din räkning.
Vi har inte tillgång till din information.
Texten väcker fler frågor än vad den ger svar och jag letar vidare på webbplatsen efter mer exakt information om var patientinformationen lagras, på vilket sätt den är ”säker” och vem som har ansvar för den o.s.v.. Möjligen letar jag för dåligt men om jag som är en ganska van samt frisk internetanvändare inte kan hitta den informationen så är jag osäker på hur det går för andra.
Kanske är inte detta så märkligt.
I den ovan nämnda Vision 2015 ägnas både informationssäkerhet och integritet ett mycket förstrött intresse.
Här förekommer den alltför vanliga synen att integritet ska ”balanseras” mot andra intressen.
Den som har den uppfattningen kommer att få ett hårt uppvaknande om inte annat då dataskyddsdirektivet träder i kraft… Texten ger inte heller intrycket att ha tagits fram med medverkan av någon som arbetar med informationssäkerhet, detta då exempelvis begreppet säkerhetsskydd används på ett sätt som nog ingen professionell skulle göra.
Visionen undviker samvetsgrant att beskriva vad som avses med informationssäkerhet, den enda gång ordet används sägs det att är en ”princip”.
Detta är kanske orsaken till eHälsomyndigheten sedan helt undviker ordet i rapporten om sitt .
För att sammanfatta: det finns en myndighet med ansvar för ett väsentligt område för digitaliseringen – e-hälsa.
Integritetskommittén som regeringen tillsatt pekar i sitt delbetänkande på de stora risker för den personliga integriteten som finns i dagens hälso- och sjukvård samt att informationssäkerhet är ett väsentligt redskap för att skapa och upprätthålla integritet i vården.
I NISU, regeringens utredning om samhällets informationssäkerhet, backar man från att ta upp frågan om integritet och går inte heller in på samhällsviktiga verksamheters (som sjukvårdens) behov av s. I den vision som regeringen och SKL lade fram i år liksom eHälsomyndighetens rapport om sitt samordningsuppdrag spelar både integritet och informationssäkerhet minst sagt underordnade roller.
Detta trots dataskyddsförordningens ikraftträdande allt närmare med omfattande och nya krav på integritet vilket i sin tur ställer ännu större krav på informationssäkerhet.
Och i den mer konkreta tillämpningen ger eHälsomyndighetens webbplats inga ledtrådar om vilka åtgärder som vidtagits i för informationssäkerheten i Hälsa för mig sedan förra årets kritik.
I fallet e-hälsa är det, trots den oro som framförts, svårt att tycka att regeringen samordnat de tre klossarna digitalisering, integritet och informationssäkerhet på ett särskilt bra sätt.
Efter att ha spekulerat om varfört inte funkar har jag nu tänkt skriva några inlägg om vad som bör göras för att det ska fungera bättre.
Detta sammanfaller med att regeringen överlämnar en skrivelse till riksdagen angående Riksrevisionens om informationssäkerheten vid nio myndigheter.
Riksrevisionen bedömer att ” Regeringen instämmer i denna bedömning, som ju knappast kan komma som någon överraskning efter Riksrevisionens tidigare rapporter m.m., men avser bland annat att .
Det känns därför ganska självklart att detta första inlägg om konstruktiva åtgärder får handla om förutsättningar för en sådan strategi.
Att ta fram en strategi är inte något särskilt rafflande grepp, 2009 togs en sådan fram liksom en efterföljande handlingsplan några år senare.
Varken i regeringens skrivelse eller i Riksrevisionens rapport görs någon egentlig analys av varför de tidigare strategiska samordningsförsöken trots avsevärda resurser och mandat misslyckats.
En grundläggande utgångspunkt för mig har varit att det inte är särskilt meningsfullt att göra mer av samma sak om man märker att något inte fungerar.
Istället är det viktigt att ta ett steg tillbaka och analysera och göra nya problemformuleringar.
Detta tror jag i hög grad gäller om man ska ta ut strategiska riktpunkter.
En ny strategi bör därför föregås av ett mer omfattande förarbete och inte bestå av inskickade, icke samordnade önskelistor från myndigheter som har ansvar för olika säkerhetsområden.
I fallet med informationssäkerhet har jag försökt påvisa den stora oklarhet som råder om vad informationssäkerhet egentligen är och hur det försvårar för den enskilda organisationen, för de yrkesutövande och för samordning på nationell nivå.
Detta blir än tydligare om man läser regeringens något desorienterade skrivelse där det är svårt att greppa vad det egentligen är som ska samordnas.
Om vi tittar på den nationella spelplanen och bortser från de oklarheter som råder om informationssäkerhet är i första hand organisatorisk eller teknisk fråga så går det att urskilja en rad olika syften som staten länkar till ”informationssäkerhet” vad det nu än är.
För att övergripande beskriva de huvudsakliga syften som sällan definieras i förhållande till varandra kan jag räkna upp: Till detta kommer exempelvis de starka kraven från bland annat dataskyddsförordningen som i praktiken innebär högre nivå på spårbarhet, riktighet och konfidentialitet.
Dessa olika syften ska utan närmare inriktning från staten tillgodoses i de enskilda organisationerna.
Jag tror att det är här vi måste stanna till och inse att det inte är informationssäkerhet som det ställs krav på i de olika sammanhangen.
En enskild organisation har i de flesta fall i normalläget inget internt behov av den informationssäkerhet som staten ställer krav på exempelvis rörande det civila försvaret i höjd beredskap.
Att införa säkerhetsskyddsåtgärder är inte heller något som befrämjar andra säkerhetskrav som kan finnas i en löpande verksamhet som exempelvis hög tillgänglighet.
Statliga certifieringskrav på tekniska komponenter i e-förvaltning är knappast heller något som gynnar regeringens inriktning på att Sverige ska bli bäst i världen på att ta till vara digitaliseringens .
Jag behöver kanske inte fortsätta med exempel för att slå in min poäng – det finns tydliga intressekonflikter mellan olika typer av informationssäkerhet som staten ställer krav på.
Det finns också aktiviteter som starkt påverkar säkerhetsarbetet där det egentligen inte finns någon intressekonflikt men som ändå inte är samordnade.
Ett påtagligt exempel är att rapporteringskravet för it-incidenter till MSB inte är samordnat med i det tunga krav på incidentrapportering som följer av dataskyddsförordningen.
Ett förarbete till en strategi måste, menar jag, måla upp hela informationssäkerhetslandskapet för att kunna ta ut riktningen framåt.
Ironin i att NISU och utredningen om ny säkerhetsskyddslag lägger fram sina resultat samtidigt som två helt parallella spår som aldrig mötts kommer att upprepas i nya former om inte den nödvändiga överblicken skapas.
Överblicken över syften, förutsättningar och aktörer ger också en grundval för den styrmodell som rimligen måste finnas med som ett strategiskt verktyg för att nå målen.
En gemensam styrmodell innebär inte att samma styrmedel används överallt.
Jag föreställer mig att regelstyrning är nödvändig ur det civila försvarets perspektiv medan incitaments- och kunskapsstyrning blir centrala för regeringens digitaliseringssatsningar.
Men eftersom det är Söpple kommun som kommer att bli utsatt för de olika styrmedlen måste de integreras i en gemensam modell som också hanterar organisatoriska och ekonomiska förutsättningar.
Förutsägbarhet gällande krav och ekonomiska förutsättningar är nödvändigt då allt större del av den tidigare offentliga utförda verksamheten ombesörjs av privata aktörer.
Även detta förhållande måste avspeglas i den strategiska inriktningen.
Jag tror att en strategi måste vila på noggranna överväganden av hur staten ska organisera sin styrning och sitt stöd.
När civilt försvar alltmer blir MSB:s huvudfråga och myndighetens uppgift är mer att jämföra med den som Överstyrelsen för civil beredskap (ÖCB) hade fram till 2002 är det sannolikt mer lämpligt att detsom bedrivs i normalläget integreras med statens digitaliseringssatsning.
Analysen av vad som kan tänkas fungera bäst måste vara förutsättningslös och inte utgå från olika organisatoriska särintressen.
För mig är det en viktig princip attt måste styras av behov, inte av utbud.
Det gäller i den enskilda organisationen, och det bör gälla även på det nationella planet.
När en strategi ska tas fram bör det därför ske tillsammans med de som äger verksamheterna vars information skyddas, inte enbart av de aktörer som levererar säkerhetslösningar.
Min förhoppning är att strategin inte stressas fram på departementet av någon ensam handläggare utan att det sker i ett brett samarbete med kommuner, landsting, företag och myndigheter samt viktiga kravställare som Datainspektionen, E-hälsomyndigheten och eSam.
Jag har tidigare skrivit om att jag ser kommunikation som det centrala verktyget it och kanske det tydligast inte funkar.
Det här inlägger kommer att ytligt behandla om några aspekter av det vittomfattande ämnet, nämligen förutsättningar och förförståelse, innehåll och form.
Att kommunikationen inom informationssäkerhetsområdet har jag redan försökt beskriva i ett tidigare inlägg.
Det saknas arenor och samtalsformer för att utveckla kunskap och samsyn.
Det språkbruk och de metaforer som uppstår i denna dysfunktionella kultur gör även att vår kommunikation inte fungerar i samspelet med de vi vill engagera.
Ofta framstår både vi själva och det vi säger uppfattas som ovidkommande, auktoritärt, svårbegripligt och alarmistiskt (källa: de många verksamhetsföreträdare jag samverkat med under ett par decennier).
Själv uppfattar jag kommunikationen i informationssäkerhetsfrågor ibland som direkt vilseledande för civila organisationer.
Ett exempel är den nednötta metaforen om att skydda sina guldägg.
Den underförstådda tanken är att alla organisationer har avgränsade informationsmängder eller hård/mjukvara som ska skyddas mot främst obehörig åtkomst (?)
framför alla andra.
Detta menar jag är en feltolkning av hur dagens informations- och it-infrastrukturer fungerar där det snarare handlar om komplexa samband där olika men i många fall lika viktiga krav ställs på olika delar för att helheten ska fungera.
För att ta ett exempel från verkligheten så är det i en kommunal verksamhet meningslöst att försöka peka ut vad som skulle vara ”guldägg”.
I den kommunala äldreomsorgen bör det ställas mycket höga krav på tillgänglighet i trygghetslarmen, lika höga krav på riktighet och spårbarhet i journaldokumentationen och mycket höga krav på konfidentialitet i alla delar.
För den ekonomiska redovisningen kommer peakar i tillgänglighetskraven vid vissa perioder under bokföringsåret.
Jag kan fortsätta uppräkningen med att peka på PuL, algoritmer, webbplatser m.m., m.m.
men det enda jag vill komma fram till är att jakten på ”guldägg” leder tanken och därmed kommunikationen helt fel.
Andra vanliga påståenden på konferenser och i marknadsföring är att medarbetarna skulle vara det största problemet.
Detta påstående saknar belägg och den organisation som skulle se medarbetarna som den största risken tror jag får anledning att snabbt göra en förnyad riskanalys.
Den som tycker att ovanstående kan ses som bagateller behöver sannolikt mer övergripande argumentation om den problematiska kommunikationen.
Låt oss se ett grundscenario som både gäller i den enskilda organisationen och på ett nationellt plan.
Å ena sidan finns informationssäkerhetsexperterna som ser generella risker och som har organisatoriska och tekniska metoder för att reducera dessa risker (i alla fall hypotetiskt).
Å andra sidan finns det organisationer för vilka informationen är en resurs för verksamhetens olika processer.
Det är de senare som har den faktiska möjligheten och resurserna att genomföra informationssäkerhetsåtgärder.
För att uppnå fungerande informationssäkerhet krävs insatser från båda parter.
Enda sättet att skapa en sådan gynnsam situation är god kommunikation, den goda kommunikation som jag menar ofta saknas.
Resultatet blir alltför ofta att verksamhet och informationssäkerhet samexisterar som olja och vatten.
Trots att det är verksamheten som har behov av informationssäkerhet för att kunna leverera talar informationssäkerhetsspecialisten för döva öron.
Ett aktuellt exempel på hur det kan gå är när eHälsomyndigheten, som objektivt sett är en av de svenska organisationer som har mest behov av god informationssäkerhet, levererar två om framtiden och överhuvudtaget inte analyserar behovet av just informationssäkerhet .
Jag kommer återkomma till detta i ett senare inlägg.
Sammantaget är min erfarenhet som statlig tjänsteman som försökt förbättra informationssäkerheten inom e-förvaltning och e-hälsa att försöket mötts med en ganska avsevärd brist på förståelse från båda lägren.
De som arbetar med informationssäkerhet nationellt har haft begränsat intresse av och insikt om behovet av informationssäkerhet i verksamheter som är utpräglat civila.
De som arbetar med digitalisering i förvaltning och sjukvård har med två undantag sagt typ: ”jaja, det är säkert viktigt med säkerhet men det tar vi sedan när vi realiserat våra lösningar – säkerhet innebär ju bara en massa krångel som kan leda till att vi inte kan genomföra det vi vill.” Förutsättningen för kommunikationen är alltså en ömsesidig misstro som måste överbryggas.
Behovet av informationssäkerhet finns främst hos organisationerna själva även om det på aggregerad nivå naturligtvis i hög grad är ett samhällsintresse.
Ansvaret för kommunikationen ligger dock på informationssäkerhetsspecialisterna eftersom organisationerna inte är medvetna om sitt behov.
Här uppstår dock ett avgörande problem eftersom kommunikationen om informationssäkerheten som skapas i denna situation i de flesta fall är istället för .
Det är informationssäkerhetsspecialisterna som försöker sälja in sitt utbud av standardiserade synsätt och metoder till en verksamhet som har ett behov, ett behov som tyvärr formuleras på verksamhetens egna premisser.
Detta gäller även det nationella planet där det är myndigheterna med ett utbud som fått styra strategier och handlingsplaner, inte de civila verksamheterna med behov.
Och som alltid vid utbudsstyrning är det svårt att sätta nivån och inriktningen eftersom behovet inte är definierat – utmärkt situation för ett kommersiellt företag men knappast då man försöker styra med begränsade resurser.
Kommunikationen är en produkt av områdets kultur.
Den blir därför alltför ofta inriktad på envägskommunikation, förutsätter att de man riktar sig till är okunniga (”hur ska vi få dem att förstå”) samt på lösningar som är helt omöjliga i praktiken (som att använda signalskyddslösningar i sjukvården).
Den känslomässiga argumentationen kring attacker och antagonistiska hot lämnar mottagaren i ett rationellt limbo, kvar blir rädda människor underkastade olika auktoriteter.
Den auktoritära kommunikationsformen är naturligtvis också ett resultat av vår bristande kunskap inom informationssäkerhetsområdet (se tidigare inlägg), om man är osäker ger man sig ogärna in i dialog och diskussion.
Inte så få av de ”kommunikationsplaner” jag sett har enbart innehållit aktiviteter där avsändaren förmedlat budskap men inga aktiviteter av inlyssnande.
Hur ska vi då förbättra vår kommunikation så att organisationerna drivs av en inre motivation och på så sätt får ett ständigt förbättrat?
Jag tror det viktigaste förhållningssättet är att bestämma sig för en rollfördelning där informationssäkerhetsspecialisten (både i en enskild organisation och i form av myndigheter på nationell nivå) är en stödfunktion.
Informationssäkerheten tjänar istället syftet att organisationen ska kunna upprätthålla sitt uppdrag och sin leverans med tillräcklig kvalitet och utan störningar (i detta ligger naturligtvis även att kunna uppfylla externa krav).
För att kunna ge stöd måste informationssäkerhetsspecialisten förstå verksamheten, den unika informationshanteringen och de unika behoven.
Helt enkelt förstå att en pågående dialog, ett ömsesidigt utbyte är nödvändigt i lika hög grad för den som ska stödja som den blir stödd.

Individuella rättigheter Rättssäkerhet (the Rule of Law) Maktdelning Rationaliserade inköp och betalningsrutiner genom elektronisk handel (Toppledarforum) Ökad tillgänglighet till offentliga tjänster Effektivisering av offentlig sektor (både förvaltning och exempelvis sjukvård) Tillgång till offentlig information ur ett näringsperspektiv Samordning av olika delar av den offentliga sektorn Möjligheter för privata aktörer att verka inom välfärdssektorn E-demokrati Försvarsmaktens insatser Det civila säkerhetsskyddet av rikets säkerhet samt mot terrorism Det civila försvaret Samhällets krisberedskap Stöd till myndigheter, kommuner, företag m.m.
för deras egen verksamhet och i samverkan för e-förvaltning, e-hälsa m.m.

har varit Men innan internt utbudsstyrd behovsstyrd

Meny Författare: Inläggsnavigering

MENU MENU Fia Ewald Postat av Postad i Postat av Postad i , Postat av Postad i , Postat av Postad i , Postat av Postad i , Postat av → Postad i , , Postat av Postad i , , , , Postat av Postad i , , , Postat av Postad i , , , , , , , , Tagged , , , , , Postat av Postad i , , Tagged , , , ← → Sök efter:

de granskade myndigheterna ligger på en nivå som är märkbart under vad som är tillräckligt ”.
”därför ta fram en nationell strategi för samhällets informations- och cybersäkerhet.” samma

Knappt hinner jag avsluta ett inlägg om nationell säkerhetsstrategi förrän regeringen och SKL lanserar en gemensam tvåårig handlingsplan för samverkan vid genomförande av Vision e-hälsa Som intresserad av nationella initiativ inom digitalisering och säkerhet får man ligga i för att hinna med!
Visionen innehåller inte mer konkreta mål än att vi ska vara ”bäst i världen”, ett uttryck som har en litet osund bismak i Trumps tidsålder: År 2025 ska Sverige vara bäst i världen på att använda digitaliseringens och e-hälsans möjligheter i syfte att underlätta för människor att uppnå en god och jämlik hälsa och välfärd samt utveckla och stärka egna resurser för ökad självständighet och delaktighet i . Utöver detta nämns tre insatsområden; regelverk, enhetligare begreppsanvändning samt standarder.
Under insatsområdet regelverk sägs: Utgångspunkten i arbetet med regelverk inom e-hälsoområdet är att balansera rättigheter eller intressen såsom skydd för personlig integritet, kvalitet, säkerhet och effektivitet.
De lagar och andra föreskrifter som är styrande för verksamheterna ska säkra den enskildes olika rättigheter eller intressen.
Regelverket bör hantera den tekniska utvecklingen.
Om regelverket behöver ändras för att tillgodose kvalitet och effektivitet i verksamheten ska även behovet av integritets- och säkerhetsskydd tillgodoses.
Bortsett från att begreppet säkerhetsskydd används på ett felaktigt sätt för den sista meningen i stycket fram den för mig helt obsoleta tanken att det skulle finnas en motsättning mellan säkerhet å ena sidan, kvalitet och effektivitet å den andra.
I andra branscher har man lyckats ta sig från föreställningen att informationssäkerhet är detsamma som krånglig sekretesshantering, så icke på Regeringskansliet och i SKL:s korridorer.
En handlingsplan måste väl ändå vara mer inriktad på faktiska aktiviteter tänker man hoppfullt.
Samma tre insatsområden återkommer av naturliga skäl, och minst intresse ägnas regelverksområdet.
Inledningen uppvisar samma felaktiga intressemotsättningar: De lagar, förordningar och föreskrifter som är styrande för verksamheterna ska säkra den enskildes olika rättigheter eller intressen, men måste också kunna hantera de specifika frågeställningar som den digitala utvecklingen medför.
Insatserna syftar därför till att uppnå ändamålsenliga regelverk som både värnar individens integritet och säkerhet, och samtidigt medverkar till att främja den digitala utvecklingen.
Det handlar om att balansera rättigheter såsom skydd för personlig integritet mot en jämlik, patientsäker och tillgänglig vård.
Målbilden är en aning konkretare: Skapa ändamålsenliga regelverk som såväl värnar individens integritet och säkerhet som främjar den digitala utvecklingen, samt underlätta tillämpning och införande av regelverk i berörda verksamheter.
Det låter ju jättebra tänker jag efter att i åratal tjatat om nödvändigheten av gemensam styrmodell för informationssäkerhet.
Äntligen ska det tas krafttag!
Men när jag läser om de gemensamma aktiviteter som staten och SKL ska genomföra blir jag modfälld igen: fastslå en process för att gemensamt identifiera och fånga behov av information gällande befintliga regler eller kommande förändringar av dessa, skapa förutsättningar för en säkrare läkemedelsprocess, bevaka intressen, sprida kunskap om initiativ samt vid behov ta fram nationell vägledning rörande EU-samarbetet.
Hur dessa aktiviteter ska kunna leda fram till ett gemensamt regelverk undgår mig, och om detta är det som ska genomföras fram till 2019 lär informationssäkerheten inte förbättras i vården på den här sidan decenniet.
Samtidigt är det uppenbart att säkerhetsproblemen blir allt större, bara de senaste dygnen har förlossningsvården i Stockholm drabbats , regionsjukhuset i Örebro haft stora och Nya Karolinskas patientlarm slagits ut av .
Själv har jag börjar samla på medierapporter om brister i informationssäkerheten i vården eftersom det saknas officiell statistik och det är mycket oroande läsning.
Jag känner en växande förtvivlan över att riskerna faktiskt inte tas på allvar av de som styr vården, inte ens då man sätter sig ner för att planera framtiden.
Problemen går inte att lösa för varje vårdgivare utan måste samordnas.
Det räcker det inte med att identifiera befintliga regelverk eller att nöja sig med att skapa säkrare läkemedelsprocess.
Det går inte heller att som i den nationella säkerhetsstrategin intressera sig för sjukvården endast i krigs- och krissituationer.
Vad som behövs är en stor samordnad satsning på normallägets sjukvård som du och jag är beroende av och då är det inte bara regelverk som ska samordnas.
Istället måste de politiker som gärna vill profilera sig som digitaliseringens ambassadörer se litet längre än nästa val, gräva litet djupare i fickan och börja bygga en integrerad säkerhetsarkitektur.
För att vi ens ska få en hyfsad e-hälsa som patienter kan lita på krävs en stor ekonomisk satsning, jag tänker mig en informationssäkerhetsmiljard med tanke på hur eftersatt området är.
Dessutom kompetens och uthållighet.
För att bli bäst i världen … ja, då krävs ännu mycket mer och av detta syns ingenting i handlingsplanen.
E-hälsa är en viktig del av digitaliseringen.
Även här finns den oklara målbild som jag skrev om i förra inlägget och vissa initiativ får nästan ses som paradexempel på där risk inte vägs mot en oklar nytta.
Ett sådant är de e-hälsokonton som handhas av eHälsomyndigheten.
Idag fanns i DN på nätet en som även publicerats tidigare där jag snabbt försöker sammanfatta några centrala säkerhetsproblem.
Jag började skriva om konstruktiva vägar framåt men kände att det behövdes litet food for thought för att konkretisera närt inte fungerar.
För att göra problembilden angelägen tänker jag i det här inlägget skriva om den pågående digitalisering som det fästs mycket stora förhoppningar vid både inom e-förvaltning och e-hälsa.
Regeringens inriktning är att effektiviteten ska sporras, pengar ska sparas och tillgängligheten öka för både medarbetare och allmänhet genom digitalisering samt att Sverige ska bli bäst i världen på digitalisering.
Den nationella vinnarskallen går även igen på e-hälsoområdet där regeringen och SKL tillsammans i skriver i sin Vision e-hälsa 2025: År 2025 ska Sverige vara bäst i världen på att använda digitaliseringens och e-hälsans möjligheter i syfte att underlätta för människor att uppnå en god och jämlik hälsa och välfärd samt utveckla och stärka egna resurser för ökad självständighet och delaktighet i samhällslivet.
Premissen för det följande resonemanget är att om regeringens målsättning ska kunna uppnås måste digitaliseringen ske med hänsyn till den personliga integriteten och med stöd av ett systematiskt.
Detta är inte min personliga uppfattning utan den analys som både OECD och ENISA gjort angående digitalisering; informationssäkerhet och skydd av integriteten är förutsättningen för att det goda vi (och regeringen) vill ha ut av digitaliseringen ska bli verklighet.
Det är alltså tre ”klossar” som ska byggas ihop för en fungerande digitalisering.
Klossarna har olika status där digitaliseringen är det rationella syftet, integriteten en rättighet och informationssäkerheten en stödfunktion.
För den offentliga verksamhetens digitaliseringen sitter regeringen med kontroll över alla tre klossarna.
Man har utsett kommittéer, kommissioner och skapat myndigheter som E-delegationen, Digitaliseringskommissionen, E-legitimationsnämnden och eHälsomyndigheten för att stimulera och styra digitaliseringssträvandena.
Även för värnet att den personliga integriteten finns en myndighet som Datainspektionen och kommittéer som exempelvis .
Slutligen finns samma typ av statliga institutioner när det gäller informationssäkerhet som bland annat MSB och ett antal statliga utredningar om informationssäkerhet det senaste decenniet.
Men trots denna kontroll över medlen, hur lyckas hopfogandet av klossar?
För pröva detta utgår jag från två aktuella exempel på myndighetsutövande; eHälsomyndigheten och Digitaliseringskommissionen.
I detta inlägg hinner jag med endast eHälsomyndigheten men jag återkommer med Digitaliseringskommissionen i nästa inlägg.
Ehälsomyndigheten ska enligt regeringens förordning: ansvara för register och it-funktioner som öppenvårdsapotek och vårdgivare behöver ha tillgång till för en patientsäker och kostnadseffektiv läkemedelshantering.
Myndigheten ska vidare samordna regeringens satsningar på e-hälsa samt övergripande följa utvecklingen på e-hälsoområdet.
Det är alltså ett mycket tungt uppdrag som innebär att både samordna andra aktörer men att också tillhandahålla egna digitala tjänster.
Hälso- och sjukvård är en av de mest vitala uppgifterna i samhället samtidigt som sjukvårdens informationshantering innehåller mycket integritetskänsliga uppgifter om alla som bor i Sverige.
Ehälsomyndigheten borde därför rimligen ha den nationellt mest utvecklade nivån av informationssäkerhet inklusive åtgärder som skyddar den personliga integriteten.
Mitt intryck är dock att så inte är fallet.
För transparensen skull bör jag kanske påpeka att jag offentligt framförde synpunkter på myndighetens tjänst Hälsa för mig som skulle lanseras under 2015, t.ex.
och .
Jag var definitivt inte ensam om att vara frågande inför säkerheten Hälsa för mig, så var även Datainspektionen med flera.
För eHälsomyndigheten borde detta vara en oro att ta på allvar så jag går in och tittar på deras hemsida för att se hur de kommunicerar om informationssäkerhet och integritet.
Min walk-about på webbplatsen inger dock ingen trygghet.
När man beskriver sina satsningar finns säkerhet med som en men med en text som endast tar upp effektiv inloggning: Digitaliseringen ger stora möjligheter för förbättringar, men om ett stort antal tjänster används samtidigt blir det krångligt för användare med många inloggningar och tidskrävande administration av användarkonton.
Inom sjukvårds- och omsorgssektorn finns behov av lösningar som garanterar en patientsäker, kostnadseffektiv och praktisk åtkomst av e-tjänster inom och mellan olika organisationer.
När man skriver om utmaningarna inom e-hälsa lyfter man fram: En svårighet är att ingen vårdgivare har en heltäckande bild av dig som patient.
Däremot inte ett ord om utmaningen i att upprätthålla god integritet.
Tjänsten Hälsa för mig har följande underpresentation: Ett säkert utrymme Hälsa för mig är en frivillig, kostnadsfri och säker lagringsplats för information.
Du bestämmer själv vilken information du vill lagra på ditt hälsokonto.
Som användare identifierar du dig med svensk e-legitimation, till exempel bank-id eller mobilt bank-id.
Tjänsten och den tekniska lösningen är utformad i enlighet med relevant lagstiftning, bland annat personuppgiftslagen (PUL) och de krav på säkerhet den innehåller.
Du kan dela din information med andra privatpersoner som har registrerat ett eget konto i Hälsa för mig.
Det är du som bestämmer om du vill dela din information med närstående, och vilken information du i så fall vill dela.
eHälsomyndigheten kommer endast att lagra och tekniskt bearbeta din information för din räkning.
Vi har inte tillgång till din information.
Texten väcker fler frågor än vad den ger svar och jag letar vidare på webbplatsen efter mer exakt information om var patientinformationen lagras, på vilket sätt den är ”säker” och vem som har ansvar för den o.s.v.. Möjligen letar jag för dåligt men om jag som är en ganska van samt frisk internetanvändare inte kan hitta den informationen så är jag osäker på hur det går för andra.
Kanske är inte detta så märkligt.
I den ovan nämnda Vision 2015 ägnas både informationssäkerhet och integritet ett mycket förstrött intresse.
Här förekommer den alltför vanliga synen att integritet ska ”balanseras” mot andra intressen.
Den som har den uppfattningen kommer att få ett hårt uppvaknande om inte annat då dataskyddsdirektivet träder i kraft… Texten ger inte heller intrycket att ha tagits fram med medverkan av någon som arbetar med informationssäkerhet, detta då exempelvis begreppet säkerhetsskydd används på ett sätt som nog ingen professionell skulle göra.
Visionen undviker samvetsgrant att beskriva vad som avses med informationssäkerhet, den enda gång ordet används sägs det att är en ”princip”.
Detta är kanske orsaken till eHälsomyndigheten sedan helt undviker ordet i rapporten om sitt .
För att sammanfatta: det finns en myndighet med ansvar för ett väsentligt område för digitaliseringen – e-hälsa.
Integritetskommittén som regeringen tillsatt pekar i sitt delbetänkande på de stora risker för den personliga integriteten som finns i dagens hälso- och sjukvård samt att informationssäkerhet är ett väsentligt redskap för att skapa och upprätthålla integritet i vården.
I NISU, regeringens utredning om samhällets informationssäkerhet, backar man från att ta upp frågan om integritet och går inte heller in på samhällsviktiga verksamheters (som sjukvårdens) behov av s. I den vision som regeringen och SKL lade fram i år liksom eHälsomyndighetens rapport om sitt samordningsuppdrag spelar både integritet och informationssäkerhet minst sagt underordnade roller.
Detta trots dataskyddsförordningens ikraftträdande allt närmare med omfattande och nya krav på integritet vilket i sin tur ställer ännu större krav på informationssäkerhet.
Och i den mer konkreta tillämpningen ger eHälsomyndighetens webbplats inga ledtrådar om vilka åtgärder som vidtagits i för informationssäkerheten i Hälsa för mig sedan förra årets kritik.
I fallet e-hälsa är det, trots den oro som framförts, svårt att tycka att regeringen samordnat de tre klossarna digitalisering, integritet och informationssäkerhet på ett särskilt bra sätt.
Här kommer ett litet mellanspel i min långa rant om varför informationssäkerheten inte funkar.
Istället ska jag ägna ytterligare några rader åt e-hälsa.
I slutet av september inträffade ett nytt stort it-haveri i Stockholms läns landsting (SLL) där flera sjukhus drabbades på ett sådant sätt att patientsäkerheten uppgavs .
I SLL:s digitala lösningar har större incidenter skett vid ett antal tillfällen under de senaste åren och det var bara någon månad sedan en mycket allvarlig händelse skedde i . Som samhällsmedlem och patient in spe med viss insikt om hur det ser ut på e-hälsoområdet är jag djupt oroad.
Trots att de många och allvarliga incidenterna som utgör en stor risk för patientsäkerheten och för patienternas integritet tycks insikten om de stora problemen med säkerhet inte engagera vårdens makthavare nämnvärt.
Pliktskyldigt sägs några fraser om säkerhet, sedan störtar samtalet vidare med muntra trumpetstötar om att Sverige ska bli bäst i världen på e-hälsa vilket inte förefaller innebära att vi ska bli bäst i världen på en e-hälsa.
Digitalisering beskrivs i närmast messianska former och diskussionsklimatet är av en sådan karaktär att det problematiserande som är nödvändigt för alla framgångsrika utvecklingsprojekt avvisas kategoriskt och sägs till och med vara ”förbjudet”.
Jag ser detta i sig som djupt problematiskt eftersom digitaliseringen, liksom alla andra större samhällsförändringar, innebär reella intressekonflikter som måste hanteras på ett rationellt sätt.
Detta gäller även inom informationssäkerhetsområdet specifikt där till exempel tillgänglighet och skydd mot obehörig åtkomst alltid måste balanseras mot varandra.
Historiskt har ,enligt min uppfattning, flertalet e-hälsolösningar hastats fram utan gemensam strategi i meningen långsiktig målbild och långsiktig planering där behov och beroenden är analyserade och utvärderade i en öppen diskussion.
Alltför ofta har mycket kostsamma och administrativt krävande lösningar (tänk exempelvis NPÖ) dykt upp utan att behov, säkerhet och kvalitet har klarlagts.
Efter att ett stort antal miljoner flödat in i de ofärdiga projekten har de försvunnit till en kyrkogård av misslyckade visioner.
När jag läste följande tweet kändes den därför som ett mycket tråkigt exempel på att vårdens makthavare tycks oförmögna att lära sig av tidigare misstag: Sjukvårdsminister Gabriel Wikström har nu uttalat att uppgifter kring aborter ska hanteras som övriga patientuppgifter i vården .
Detta är intressant eftersom hans resonemang ställer ett antal principiella frågor på sin spets.
För att inte bli alltför tjatig kommer jag här att lämna den ständigt återkommande falska motsättningen mellan patientsäkerhet å ena sidan och integritet å den andra där hän även om den är högst relevant.
Insamlandet av känsliga personuppgifter i register sker för det ”greater good”, alltså inte för den enskilda patientens patientsäkerhet.
Få, särskilt i Sverige, skulle argumentera emot den medicinska registerforskningens stora betydelse både för enskilda och för samhället i stort.
Det finns en mycket lång tradition att använda medicinska och andra personuppgifter för forskningsändamål så det får sägas finnas en stor acceptans att vara leverantör till allehanda forskning.
Betydelsen av möjlighet till registerforskning har också fått en aktuell beskrivning i Bengt Westerbergs 2014 .
Förutsättningen för att upprätthålla legitimiteten i registerforskningen är att patienternas integritet i hanteringen vilket Bengt Westerberg uttryckligen hade att utreda.
Han har dock fått kritik för att inte tillräckligt att beakta den intresseavvägning som måste göras och inte heller att ta hänsyn till den kritik som Datainspektionen framfört gällande brister i säkerheten i registerhanteringen.
När Gabriel Wikström nu presenterar sitt förslag lyser hela denna diskussion med sin frånvaro.
Istället sker en märklig omformulering där integriteten i hanteringen av patientuppgifter ses som att man tabubelägger vissa åkommor.
Den ganska självklara och lagstadgade uppfattningen att känsliga uppgifter om hälsa ska hanteras så att de bara är tillgängliga för de som deltar i vården av den enskilda patienten framställs som en litet gammaldags känsla av skam.
Underförstått ska en modern och neurosfri människa glatt dela med sig av dessa uppgifter till de instanser och företag som tycker sig ha nytta av dem.
Förutom att det strider mot det etiska ställningstagande som finns hos allmänheten och i rådande lagstiftning är det också djupt störande ur andra synpunkter.
Uppgifter om sexuell hälsa inklusive abort kan utgöra en verklig risk för patienten om de kommer i orätta händer.
Risken för hedersvåld och vanlig ”hederligt svensk” kvinnomisshandel finns om uppgifter om abort kommer i orätta händer.
Tyvärr har även RFSU som annars brukar vara vaksamma för kvinnors rättigheter negligerat denna .
Ministern hävdar att det saknas anledning för oro.
Registren kommer att omges med nödvändig säkerhet och dessutom finns det inga uppgifter om incidenter i tidigare registerhantering.
Båda dessa påståenden måste som ytterst tveksamma.
Säkerheten i registerhanteringen är en förlängning av säkerheten hos de vårdgivare som lämnar uppgifter till registren.
Det räcker kanske med att ta ett enda aktuellt som visar på skakigheten i den generella informationssäkerheten i sjukvården och dessutom tillägga att det i dag inte sker någon systematisk insamling av it-incidenter i sjukvården över huvud taget.
Jag vågar, utan att darra på manschetten, att informationssäkerheten som är förutsättningen för integriteten i sjukvården är klart undermålig och att ministern därför saknar fog för sitt lugnande besked kring hanteringen.
Datainspektionens utlåtanden om själva registren indikerar även de på påtagliga brister.
Det är inte bara för forskning som sjukvårdshuvudmännen och andra vill återanvända uppgifter insamlade i samband med patientens vård.
I en något märklig förra veckan hävdar ett antal administratörer med emfas rätten till patientuppgifterna.
Självklart finns ett ekonomiskt och etiskt intresse av att säkerställa att de ersättningar som privata vårdgivare erhåller från sjukvårdshuvudmännen verkligen går till vård av patienter.
Det är dock ett logiskt felslut att med svepande formuleringar om tystnadsplikt hävda att det innebär att administratörer hos landstingen måste ha direktåtkomst till alla patienters person- och hälsouppgifter hos de privata vårdgivarna.
För att försöka förtydliga frågan.
Det finns starka och legitima skäl att använda patientuppgifter för andra ändamål än för vården av den enskilda patienten.
Det finns också laglig rätt att göra detta för sjukvårdshuvudmän och vårdgivare.
Men detta måste ske så att patientens integritet kan skyddas och det är sjukvårdshuvudmännens ansvar att skapa säkra lösningar för både uppföljning och forskning.
Detta är naturligtvis ingen omöjlighet att åstadkomma om viljan finns.
Istället för att formulera indignerade debattinlägg om hur integriteten hindrar sjukvårdshuvudmännens administration är det detta man bör koncentrera sig på.
Jag skrev själv ett i Läkartidningen 2010 om möjligheten att avidentifiera patientuppgifter för att öka säkerheten.
Jag tycker fortfarande att det är den typen av lösningar som borde analyseras närmare, särskilt nu när informationssystem inom hälso- och sjukvård i allt högre grad blivit attraktiva mål för externa parter.
Aktörer inom hälso- och sjukvårdsområdet måste också ta risken med integritetsbrott för den enskilda patienten på allvar.
Och när det gäller abortregistret och de undersystem som ska leverera information till registret så måste hanteringen utformas så att det skyddar den egentliga riskägaren, nämligen den kvinna som riskerar sitt liv och sin hälsa om informationen kan läsas av fel personer.
2011 blev jag utsedd som deltagare i en referensgrupp när Socialstyrelsen skulle revidera sin föreskrift om informationshantering och journalföring inom hälso- och sjukvård SOSFS 2008:14.
Föreskriften innehöll en hel del om informationssäkerhet men vården har i ringa grad efterlevt dessa regler vilket Socialstyrelsens egna visade redan 2011 som till exempel gällande Karolinska universitetssjukhuset.
Vårdens informationssäkerhet har knappast blivit bättre sedan dess och det kan väl därför ses som positivt att Socialstyrelsen nu 2016 äntligen ha kommit i mål med den nya föreskriften.
har beteckningen HSLF-FS 2016:40 Journalföring och behandling av personuppgifter i hälso- och sjukvården.
I korthet innebär föreskriften och de allmänna råden ett tydligare krav på vårdgivare att införa ett ledningssystem för informationssäkerhet så att rätt nivå på konfidentialitet, riktighet, tillgänglighet och spårbarhet kan utvecklas och upprätthållas.
Några reflektioner kan dock göras i samband med föreskriftens ikraftträdande.
En föreskrift är en reglering på detaljerad nivå.
När det gäller vårdens informationssäkerhet och e-hälsa saknas dock en strategisk inriktning och en beskrivning av hur vårdens informationshantering på övergripande nivå ska styras så att informationssäkerheten ska förbättras.
En överenskommelse har gjorts mellan staten och Sveriges Kommuner och Landsting som kalla 2025 som en ny version av den tidigare Nationella e-hälsostrategin.
Vision är nog rätta benämningen med tanke på lösligheten i inriktningen där visserligen ”säkerhet” nämns ett antal gånger men under mycket oklara former.
Den heta frågan vem som egentligen har ansvaret för att säkerheten ska bli bättre undviks sorgfälligt.
Även på samma fluffiga sätt skrivit om att det är bra med informationssäkerhet men inte hur detta ska gå till.
Undertexten är påfallande oftaternativt integritet måste ”balanseras” mot exempelvis patientsäkerhet eller effektivitet, d.v.s.
att informationssäkerhet och skyddet av integriteten skulle hindra att patienten skulle få bra och effektiv vård.
Det enda som är tydligt är att många inflytelserika personer inom e-hälsoområdet tycks ha en dimmig uppfattning om vad informationssäkerhet är och därmed inte ser att rätt utformad informationssäkerhet leder till såväl till bättre patientsäkerhet och effektivitet som till skydd för integritet.
Den aktuella föreskriften, som kan ses som den nedersta delen i en hierarki av styrande dokument, fångar upp detta men eftersom den mer övergripande styrningen inte går i samma riktning riskerar föreskriften att liksom sin föregångare att bli utan verkan.
Socialstyrelsen har endast mandat att rikta föreskrifter till de enskilda vårdgivarna.
Föreskriften säger därmed egentligen till varje landsting eller privat vårdgivare att de ska ha ett ledningssystem för och det är naturligtvis en viktig grundprincip.
Men alltmer av vårdens informationshantering sker utanför vårdgivarens kontroll exempelvis i form av att en privat vårdgivare är tvungen att använda den upphandlande sjukvårdshuvudmannens system och rutiner.
Framför allt sker dock alltmer av hanteringen med stöd av gemensamma och nationella tjänster som vårdgivarna i praktiken är nödgade att använda för att kunna bedriva sin verksamhet och föreskriftens räckvidd innefattar exempelvis inte E-hälsomyndigheten eller Inera.
Detta blir ett olösligt dilemma för den säkerhetsmedvetna vårdgivaren.
Å ena sidan stipulerar det egna ledningssystemet att man måste formulera krav på säkerhet hos externa parter som hanterar ens information, å andra sidan har man ingen möjlighet att göra det i förhållande de stora aktörerna som hanterar alltmer av ens information.
Kvar står vårdgivaren med ansvaret gentemot patienterna och den bristande legitimiteten hos det egna ledningssystemet.
Föreskriften matchar alltså inte behovet av styrning av informationssäkerhet i den alltmer omfattande e-hälsan.
Visionen för e-hälsa 2015 sägs vara: I detta borde ingå en stor satsning på att förbättra informationssäkerheten inom vården.
Det finns dock ett ömsesidigt ointresse där e-hälsans banerförare i mycket liten omfattning ser betydelsen av informationssäkerhet samtidigt som instanserna med ansvar för informationssäkerhet inte aktivt stödjer vården.
Svaret på frågan i rubriken är nog tyvärr: nej, inte särskilt mycket.
Vad som skulle behövas vore en ordentlig utredning av vårdens behov av informationssäkerhet som skulle kunna ligga till grund för framtidens visioner.
En bredare utredning skulle också kunna lägga grunden för en bättre kommunikation mellan vårdens representanter och företrädare för informationssäkerhetsområdet.
Med en samsyn kring behov och möjligheter finns en väg framåt som skulle gagna inte bara de enskilda patienterna utan samhället i stort.
Av en händelse ser jag att Daniel Forslund, liberalt landstingsråd för (L) i Stockholms läns landsting med ansvar för innovation, eHälsa, IT-utveckling och patientnära tjänster, på en PR-site för ett it-bolag gör ett intressant uttalande .
Sammanhanget för uttalandet kan i sig tyckas symptomatiskt med tanke på den ofta litet väl nära relation som funnits mellan sjukvårdspolitiker, landstingstjänstemän och it-leverantörerna men den frågan lämnar jag för tillfället.
Det som är intressant är följande avsnitt apropå de tre stora sjukvårdshuvudmännens satsning på en ny it-plattform: För den medborgare och/eller patient som inte haft insyn vare sig i den rådande ideologin inom sjukvården eller i den praktiska verkligheten måste detta uttalande vara ganska häpnadsväckande.
Är det inte en självklarhet att integritet och patientsäkerhet måste kunna upprätthållas samtidigt?
Tyvärr är svaret att under de senaste decennierna har integriteten i sjukvården steg för steg nedmonterats både som värdering och i utformningen av den informationshantering som ska stödja vårdprocesserna.
Detta är inte enbart min personliga uppfattning utan finns även som en av de slutsatser som Integritetskommittén dragit i sin kartläggning ”Hur står det till med integriteten” http://www.regeringen.se/pressmeddelanden/2016/06/kartlaggning-identifierar-allvarliga-risker-for-den-personliga-integriteten/.
Tyvärr har inte de utredningar som skett inom e-hälsoområdet heller sett detta som en prioriterad fråga.
Förhållningssättet till integritet som funnits med i digitaliseringsprocessen av vården ända sedan dess inledande faser är att det har målats upp en motsatsställning mellan patientsäkerhet och integritet.
Det har också funnits ett mycket svagt intresse hos sjukvårdshuvudmän, vårdgivare och it-leverantörer att göra den insats som krävs för att få en styrning av informationshanteringen och systemen/tjänsterna så att båda dessa värden kan uppnås samtidigt.
Min tolkning är att man istället anpassat etik och lagstiftning efter tekniska brister.
Integritetsfrågorna har också lyfts bort från de myndigheter som normalt arbetar med att reglera och tillsyna informationshanteringen i vården, t.ex.
IVO och tidigare Socialstyrelsen.
Tidigare skedde en gemensam intresseavvägning mellan patientssäkerhet och integritet inom samma myndighet som dessutom hade vården i sin helhet som uppdrag.
Nu förväntas Datainspektionen med sina begränsade resurser och mandat försöka styra hanteringen av personuppgifter i rätt riktning inom vården.
Intresseavvägningen mellan patientssäkerhet och integritet har därmed flyttats till den enskilde vårdgivaren som ska uttolka de olika myndigheternas icke samordnade reglering i en informationshantering som däremot blir alltmer gemensam.
Dessutom har tillsynen av de regler för skydd av integritet som faktiskt finns varit otillräcklig.
Det är inte enbart tekniken som varit orsak till att integritetens allt lägre prioritet.
Både organisationsförändringar och förändrade vårdformer har starkt påverkat synen på avgränsning och ansvar för informationen.
För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård.
Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades).
Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman.
Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän.
Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring.
Vid sidan om offentlighetslagstiftningen fanns patientjournallagen som gav vårdgivarna ansvar att både säkerställa patientsäkerhet och integritet.
Socialstyrelsen hade tillsyn enligt patientjournallagen även i de delar som gällde att värna patientens integritet.
Det fanns också en yrkesgrupp som var utbildad för att professionellt hantera vårdinformation – läkarsekreterarna.
Vi som under stark motvind försökt driva integritetsfrågan i sjukvården har bemötts med i princip alla de logiska fallacier som finns i den här både lärorika och underhållande uppräkningen .
Särskilt populära har i min anekdotiska erfarenhet varit: Det kanske vanligaste har ändå varit härskartekniker som tystnad och osynliggörande vilket kanske varit det tråkigaste eftersom det lett till att en mer seriös diskussion inte förts och viktiga intresseavvägningar inte gjorts.
Själv hoppas jag på en mer rationell diskussion som klarar att beakta flera intressen samtidigt.
Integritet har trots detta blivit en allt viktigare fråga i e-samhället och det är naturligtvis positivt att makthavare inom sjukvården också uppfattar det.
Det är bara att hoppas på att det finns en seriös vilja att verkligen åstadkomma detta i 3R-projektet även om det är svårt att tolka in det i det dokument som det hänvisas till http://www.sll.se/Global/Politik/Politiska-organ/Landstingsfullmaktige/2016/2016-06-14-15/forslag-41sid19.pdf.
I beslutet om upphandlingsunderlag står det: Inte så mycket om integritet alltså.
Frågan i rubriken får vara obesvarad ett tag till.

Strawman: om du är för integritet och ser att den frågan inte hanterats i digitaliseringsprojekt så är du emot digitalisering i sig och vill gå tillbaka till pappersjournaler och hur bra var det med alla som sprang i journalarkiven?
Black or white: om du är för integritet så är du emot patientsäkerhet eftersom det framställs som omöjligt att vara för både och.
Anecdotal: Eftersom det inte finns någon egentlig sammanställning och utvärdering av vilka brister i informationshanteringen som lett till vårdskador så har ofta begränsningar i informationstillgången framställts som orsaken medan det kanske snarare handlat om bristande riktighet eller spårbarhet – detta bevisat genom egna anekdotiska bevis (vilket även kan ses som false cause, det vill säga att man skapar en korrelation som inte kan underbyggas).
Bandwagon: I och med att det funnits en gemensam acceptans för bristande integritet bland sjukvårdspolitiker och andra makthavare i vården så har det varit lätt att implicit och explicit driva en linje innebärande ”att alla gör så och varför skulle vi då ha krav på oss att göra annorlunda?”.
Appeal to authority: Mycket kraftfullt har varit att framställa läkare, annan vårdpersonal och vissa starka patientföreningar som innehavare av sanningen som inte går att motsäga.
Att de representerar särintressen har inte alltid framkommit.
Begging the question: Ett vanligt exempel som jag fått höra sedan början av nittiotalet är: ”tänk när någon kommer in medvetslös på akuten och vi kan rädda hen om vi bara får tillgång till all information – hur kan du vara emot det?” I detta exempel ligger ju antal inbäddade förutsättningar som att detta är den vårdsituation som vi bör ha som mall för alla andra (vilket även är ett exempel på composition/division) och att den som förespråkat integritet därmed sagt att det aldrig finns undantag eller speciella rutiner.

säker

Meny E-hälsa Inläggsnavigering

MENU MENU Postat av Postad i , , , , Postat av Postad i , Postat av Postad i , , , postat av → Postad i , , , Tagged , , , , , Postat av Postad i , , , Tagged , , , Postat av Postad i , , Tagged , , , Postat av Postad i , , , , , Tagged , , , , → Sök efter:

sin egen verksamhet År 2025 ska Sverige vara bäst i världen på att använda digitaliseringens och ehälsans möjligheter i syfte att underlätta för människor att uppnå en god och jämlik hälsa och välfärd samt utveckla och stärka egna resurser för ökad självständighet och delaktighet i samhällslivet.
Satsningen på en ny plattform som nu ska göras innebär att man nu kan öka både patientsäkerheten och integritetsskyddet på ett sätt som varit svårt tidigare.
– Förut har man varit tvungen att kompromissa mellan dem.
Man har låst in data i respektive system vilket gett ett bra integritetsskydd men en sämre patientsäkerhet, men för första gången kan man nu höja nivån på båda samtidigt.
Dagens tekniska system gör det möjligt att ha gemensamma databaser och ändå sätta behörigheter på informationen.
Om du är kvinna och bryter ett ben behöver ortopeden inte ha tillgång till dina gynrapporter till exempel.
Vi kan också kravställa spårbarhet, vem som läst din information, på ett annat sätt, samtidigt som vi kan öka patientsäkerheten, säger Daniel Forslund.
Kärnsystemet ska stödja följande skapa incitament för verksamhetsutveckling, inklusive arbete med standardisering kopplat till begrepp som process, teknik, patientsäkerhet och kvalitet etablera förutsättningar för arbetet med en gemensam informationsstruktur omfattande informationsmodeller och termer/begrepp system ge invånaren en ökad tillgänglighet till och enklare kommunikation med vården Stockholms läns landsting ge invånaren möjlighet till att ta aktiv del i och ansvar för sin hälsa och sjukvård ge vårdverksamheten tillgång till en användarvänlig informationsmiljö i realtid med besluts- och processtöd ge kvalitetssäkrad information för att kunna utveckla vårdens processer och dess arbetssätt ge verktyg för forskning, utveckling och utbildning ge ett lättillgängligt verktyg för myndigheter och vårdgivare så att arbetet med kvalitets- och ledningssystem underlättas.

Under senare år har frågan om säkerhetskultur blivit alltmer aktuell.
Att få medarbetare i en organisation att vara medvetna och motiverade i säkerhetsfrågor ses av allt fler som något som inte bara är ett komplement till den traditionella regelstyrningen.
Tidigare har jag skrivit om betydelsen av en profession inom informationssäkerhetsområdet.
Även för en profession är det centralt att ha någon form av kultur som både skapar gemenskap inom gruppen men också bär upp de handlingar, synsätt och värderingar som gruppen förmedlar till utomstående.
Kort sagt kan ett kollektivs kultur ge gruppen en enighet om mål och medel som inte bara beskrivs i standarder, strategier och andra dokument utan som ett socialt kitt och ett ethos.
Kultur handlar i första rummet inte om beteenden utan om det som ligger bakom beteenden, som innebörder, förståelser, idéer, värden, trosföreställningar, prioriteringar och förgivettaganden.
Kulturens betydelse finns belagd i en ganska ymnig forskning inom olika fält som jag inte här kommer att gå närmare in på utan bara som icke-expert nicka och säga: ja, detta verkar relevant även för oss som arbetar med informationssäkerhet.
Det kan verka flummigt men jag tror detta är en mer central fråga än vad det först kan tyckas eftersom den kulturella grunden kan peka ut vägen för gruppen långsiktigt.
De kulturella värderingarna ger också underlaget för prioriteringar i det vardagliga arbetet.
Sist men inte minst är en grupps kultur kärnan i den kommunikation som sker med de utanför för gruppen, de kulturella budskapen som gruppen förmedlar överröstar i princip alltid själv sakinnehållet i kommunikationen.
Eftersom jag ser kommunikation som det viktigaste verktyget i arbetet med informationssäkerhet blir därför kulturfrågan central.
Vad är då våra gemensamma värderingar och vad leder de till för beteenden?
Ingen har, såvitt jag vet, gjort en kulturanalys av aktiva inom säkerhetsområdet utan jag ska försöka uttolka de gemensamma tendenser jag tyckt mig se genom åren.
Redan nu ber jag om ursäkt för de kategoriska och säkert missvisande beskrivningar som följer men jag har för närvarande enbart tillgång till mina egna erfarenheter (vilket i sig är en del av kulturen eftersom denna typ av diskussion aldrig förs).
En första reflektion är att den militär-polisiära bakgrunden fortfarande vilar tung över oss.
Det tar sig många uttryck som i den metaforvärld som används där ”attacker”, ”hot” och ”antagonism” bara är några exempel.
Detta skapar naturligtvis en speciell atmosfär men eftersom det inte bara är så att tankar som styr ord utan i lika hög grad det omvända: att våra metaforer styr våra tankar kommer detta att påverka vårt agerande.
Jag dristar mig till att säga att traditionella informationssäkerhetsmänniskor finner det betydligt enklare att fokusera på ”attacker” än att inrikta sig på de störningar i informationshanteringen som uppstår av andra orsaker som uppdateringsfel, buggar, bristande rutiner, ineffektivitet som gör att medarbetarna är mer eller mindre tvungna att bryta mot reglerna m.m.
Vårt mindset är helt enkelt mer inriktat på attacker och det är också det vi kommunicerar exempelvis med ledningarna i de organisationer där vi verkar.
Men denna kulturella värdering kan leda oss fel även i praktisk handling för om ENISA har rätt i sin så är det inte antagonistiska hot som skapar flertalet störningar: Även om alla säkert kan vara överens om att incidentrapportering är problematiskt som underlag för att bedöma vad som egentligen händer och i ännu högre grad om vilka hot som finns är ENISA:s redovisning intressant, särskilt som det väl för Sveriges del inte finns någon som är mer relevant.
Om vi nu antar att ENISA:s uppgifter stämmer så är det stora problemet störningar i kommunikationen som leder till störningar i system.
Malicious actions är däremot en mycket liten kategori.
Flera rimliga frågor inställer sig som vad som orsakat störningarna i kommunikationen.
En annan vanlig kommentar när den här typen av siffror redovisas är att det finns ett stort mörkertal när det gäller attacker m.m.
Där är jag helt beredd att hålla med, vi ju är långt ifrån att ha en heltäckande redovisning av inträffade incidenter, rimligen är mörkertalet lika stort eller större när det gäller icke-antagonistiska incidenter.
Min poäng är i all enkelhet att den kulturella styrningen mot antagonistiska hot kan leda till felprioriteringar it.
Att vara inriktad på antagonistiska hot är också belönande i så måtto att det enklare att få uppmärksamhet både från ledningar och media om man pratar om spännande hotbilder med antagonister än om frågeställningarna tangerar den vardagliga verksamhetsutvecklingen.
I den nu rådande kulturen finns en påtaglig fara för att informationssäkerhetschefen medverkar till att ledningen beslutar om säkerhetsåtgärder som inte motsvarar den faktiska riskbilden.
Och här gömmer sig kanske också ett kulturellt problem eftersom det finns två mål för säkerhetsarbetet; att avvärja hot respektive att stödja att informationshanteringen uppfyller verksamhetens krav på konfidentialitet, riktighet, spårbarhet och tillgänglighet.
Det förstnämnda liknar mer än militär uppgift medan det andra är mer att jämföra med ett kvalitetsarbete och inbegriper en nära dialog med verksamheten.
Om vi ska arbeta mer aktivt med kulturfrågan måste vi förtydliga vilken som är vår gemensamma målbild och också vår roll.
För att skissa vidare på den kultur jag uppfattar finns i vårt sammanhang så ser jag också ett auktoritärt drag.
Detta drag har förmodligen samma militär-polisiära bakgrund som det tidigare men kanske det svaga kunskapsunderlag vi ofta har för det vi föreslår också spelar in.
Exempel på vad jag menar med det auktoritära draget är att jag tycker att det finns en övertro på regler och compliance jämfört med andra typer av styrning som mer bygger på diskussion och tvåvägskommunikation.
Jag uppfattar också att kultur och former för diskussioner som alltför litet öppna och ”akademiska”, kanske för att det inte forum som inbjuder till det.
De forum som finns är i de flesta fall konferenser där ”heliga” sanningar presenteras utan återkoppling.
Denna attityd förstärks genom att informationssäkerhetsspecialistens legitimitet oftare hämtas i externa krav som lagstiftning eller standarden än verksamhetens egna behov.
Det finns också dragning mot hemlighetsfullhet.
Detta kan härledas till när säkerhetsarbetet i första hand var inriktat på att skydda rikets säkerhet men kanske också till att vi har svårt att rationellt argumentera för olika åtgärder.
Det kan då vara enklare att antyda att det finns hot som tyvärr inte kan yppas än att tydligt redogöra för olika risker och låta ledningen eller verksamheten avgöra vad som är nödvändiga åtgärder.
Detta är en bräcklig position som jag också tror skapar osäkerhet hos många i branschen.
Jag uppfattar inställningen som felriktad därför att betoningen på det hemliga, förutom att göra de flesta samtal till återvändsgränder, också gör att andra lika viktiga frågor kommer helt i bakgrunden.
I myndigheter finns till exempel kravet på öppenhet i offentlighetsprincipen som ställer stora krav på riktighet och spårbarhet i de offentliga informationsflödena.
Informationssäkerhetsspecialisten har, i min mening, ett lika tungt uppdrag i att medverka till detta som att skydda mot obehörig åtkomst.
Detta är ett exempel på statusbalansen i kulturen, sekretess har högre status än öppenhet, men det finns även andra statusförhållanden som kan diskuteras.
Ett sådant är förhållandet mellan teknik och organisation som ofta omnämns som ”hårda” respektive ”mjuka” frågor.
Man behöver inte ha läst genusvetenskap för att tolka att den egentliga innebörden är att de hårda, manliga frågorna är aningen viktigare än de mjuka, kvinnliga.
Så är det i det övriga samhället och det finns inga skäl att tro att det set annorlunda ut inom informationssäkerhetsområdet.
I praktiken leder denna inställning ofta till en överbetoning av tekniska lösningar framför organisatoriska och också till ett ofta väl teknokratiskt förhållningssätt även i organisatoriska åtgärderna.
Det blir litet märkligt i kombination med standardens tydliga organisatoriska inriktning men det är en dissonans som har accepterats.
Slutligen är en annan viktig aspekt av kulturen den tydliga mansdominansen.
Jag ser det som ett svaghetstecken för en yrkeskår när det måste skapas särskilda forum för kvinnor vilket nu skett på flera håll.
Kanske känns det nödvändigt för att kunna leva vidare i den auktoritära och teknokratiska kultur som jag frammanat ovan.
Jag skulle dock hellre se att vi gick vidare och försökte utveckla en mer ändamålsenlig kultur för de uppgifter vi har att lösa och där alla kan delta i ett gemensamt samtal på lika villkor.
För att förena episteme och techne (och förhoppningsvis uppnå fronesis) så behöver professionen sina metoder.
Metoderna är i kunskapssamhället professionens verktyg och det som utgör grunden för en intern gemenskap och en extern uppfattning om vad en medlem i professionen kan utföra.
I detta sammanhang kommer jag att använda begreppet ”metod” som ett systematiskt och enhetligt sätt att utföra en viss aktivitet med ett beskrivet önskat resultat.
I teorin finns också ett antal metoder inom informationssäkerhetsområdet som riskanalys, informationsklassning, incident- och kontinuitetshantering.
Ledningssystem a´ la ISO 27000 kan också ses som en metametod där ovanstående metoder ingår som komponenter.
Frågan är dock hur väl metoderna uppfyller kraven på att vara systematiska, enhetliga och ha beskrivet önskat resultat.
Att metoderna är utvärderade och därmed sägas vara effektiva sedda till sitt syfte bör vara ytterligare ett krav för att de ska sägas fungera.
Förutom införandet av ledningssystem är sannolikt informationsklassning den mest upplyfta metoden för att uppnå bättre informationssäkerhet.
För att göra en snabb bedömning av metoder känns det därför ganska rimligt att titta litet närmare på klassningen så som den beskrivs.
Här har jag ett underlag på divergerande åsikter som uppstod när jag arbetade på MSB och dristade mig till att fram ett förslag på vägledning för informationsklassning.
Den informella remissen ledde till att det ramlade in en mängd svar från informationssäkerhetsmänniskor i framför allt myndigheter.
Jag planerar att använda dessa svar för en litet utförligare analys vid ett senare tillfälle – nu räcker det att säga att synpunkterna gick i alla riktningar och att alla var lika övertygade om att det sättet de uppfattade saken var det enda rätta.
Inte ens var man överens om det skulle heta ”klassning” eller ”klassificering”, ännu mindre om huruvida det är information eller system som ska klassas.
En litet märklig upplevelse vid genomläsningen var att själva syftet med informationsklassningen framstod som så odefinierat i ett antal av svaren, framför allt då man hade invändningar mot att jag i vägledningen beskrivit att informationsklassningen som metod också måste innehålla skyddsnivåer.
Lika fången som andra av min egen tankegång så har jag alltid föreställt mig det som meningslöst att klassa information om det inte leder till konkreta skyddsåtgärder.
Detta var dock inte en uppfattning som delades av alla.
Jag svävar fortfarande i ovisshet om vad då klassningen tjänar till och det är en av de många frågor som jag tycker det vore ytterst intressant att diskutera.
I paradgrenen informationsklassning saknas det alltså enhetlighet samt systematik.
Den bristande systematiken ligger bland annat i att klassningen som aktivitet inte har ett givet samband med andra aktiviteter som exempelvis riskanalys och inte heller beskrivs som en process vars resultat regelbundet utvärderas.
I vägledningen skrev jag till exempel djärvt att klassning ska ses som en form av risk- alternativt konsekvensanalys men fick mycket starkt mothugg mot detta och hur då det systematiska sambandet mellan riskanalysen och klassningen ser ut för dessa skribenter är fortfarande oklart för mig.
Det mest slående i svaren var att ofta saknades argument eller teori för den åsikt man förfäktade.
Istället var det redovisande av hur man själv i praktiken genomför sina klassningar eller, mest återkommande, hänvisningar till hur man tolkat ISO 27000.
Här ligger en viss ironi eftersom en del svar rörande klassningen där man hänvisar till standarden faktiskt går emot vad standarden säger, som när man hävdar att det system som ska klassas samtidigt som standarden uttryckligen säger att det är information.
Mycket av det som kan sägas om informationsklassning kan sägas också om ledningssystem som metod.
Förutom att syftet och genomförandet saknar enhetlighet är båda metoderna synnerligen icke utvärderade.
Jag under senare tid plöjt en hel del av den litteratur som finns på området och har ännu inte hittat några studier som exempelvis utvärderar olika metoder för informationsklassning, ej heller av om ledningssystem på det sätt som standarden föreskriver är ett effektivt sätt att styra informationssäkerhet i en organisation.
Och här måste jag gå in på helig mark och framföra ståndpunkten att ISO 27000, som gett mig så mycket stöd genom åren som yrkesverksam, inte så sällan snarare är ett hinder än en hjälp.
Eller, rättare sagt, vårt användande av standarden som en ersättning för utvärderade metoder utgör ett hinder för oss att bli mer professionella.
ISO 27000 definierar ett område som jag skulle vilja kalla organisatorisk styrning men innehåller ingenting om hur olika aktiviteter ska utföras, och är alltså ingen metod.
Som jag skrev inledningsvis skulle man kunna sträcka det till att standarden översiktligt beskriver en metametod men överlämnar till oss praktiserande att ta fram de konkreta, enhetliga, systematiska och utvärderade metoderna.
Denna metametod börjar kanske också bli litet anfrätt av tiden med sin inriktning på styrning av informationssäkerhet i organisation när information i allt högre grad flödar över organisationsgränser.
ISO 27000 har i många fall blivit en ersättning för metoder vilket vi måste erkänna för att komma vidare.
Istället för att i övermåttan peka på standarden som en bibel måste vi ta uppgiften med metodutveckling på allvar och skapa en gemensam plattform som uppfyller kraven på enhetlighet och systematik.
I ett tidigare inlägg skrev jag om vad jag uppfattar som ett bristande vetenskapligt stöd för detsom bedrivs.
Att inte kunna bottna sitt arbete i etablerad kunskap skapar av naturliga skäl avgörande hinder i det kunskapssamhälle som numera är vårt.
Men om vi kontrafaktiskt skulle anta att det fanns en välutvecklad akademisk kunskap om informationssäkerhet skulle inte denna kunskap vara tillräcklig för att få en verkligt fungerande informationssäkerhet i organisationer och i samhället i stort.
Det behövs också aktörer som vet ”hur” man ska göra, det vill säga tillför techne och fronesis till episteme.
Vad jag avser är en profession av låt oss kalla det informationssäkerhetsspecialister.
Behovet av att skapa nya professioner följer med utvecklingen av det moderna samhället från skråväsendets tillkomst under medeltiden till dagens på olika sätt legitimerade eller auktoriserade yrken.
Professionen skapar legitimitet åt yrkesutövarna, ”paketerar” deras kompetens så att den blir hanterbar även för externa parter som är intresserade av att använda den och, inte minst, utgör en dialogpartner för den akademiska kunskapsutvecklingen.
Den fruktbara relationen mellan profession och akademin kan kanske mest arketypiskt ses inom det medicinska fältet där läkarna genomgått en professionaliseringsprocess under mycket lång tid.
Numera har även andra yrkesgrupper som sjuksköterskor och fysioterapeuter gjort samma resa men för enkelhetens skull ska jag fortsättningsvis hålla fast vid läkarna som exempel.
För den som läst något om medicinhistoria är det uppenbart att samspelet mellan de praktiserande läkarna och den akademiska forskningen varit nödvändigt för att nå fram till dagens möjligheter att faktiskt bota, förebygga och lindra allehanda sjukdomstillstånd.
Sextonhundratalets fältskärer skulle inte genom praktiskt karvande i sårade soldater kunnat generalisera sin kunskap så att den skulle kunna beskriva sårinfektioner på ett allmängiltigt sätt.
Lika litet skulle de medicinska forskarna som faktiskt fanns vid denna tid kunnat avvara den praktiska kunskapen hos dem som dagligdags mötte patienter, om än med bensågen i högsta hugg.
För att detta samspel skulle kunna utvecklas på det fruktbara sätt som faktiskt skett var en viktig faktor att de praktiserande läkarna kom att utgöra en alltmer skarpt avgränsad profession med bestämd kompetens och enhetliga metoder.
Jag gör analogin till informationssäkerhetsområdet där vi har samma behov av att förena teori och praktik.
En professionell yrkesutövning kan borga för den kvalitet som är nödvändig i den praktiskt utövande delen av kunskapsområdet och av denna anledning bör en profession av informationssäkerhetsspecialister skapas.
Utvecklandet av en profession är som sagt den normala gången inom olika kunskapsområden och det finns också en omfattande forskning på temat.
Både inom gruppen själv och för externa parter som arbetsgivare in spe måste det gå att beskriva vad professionens eller (USP) är och också skapa organisatoriska strukturer för att upprätthålla denna USP.
Några av de moment i professionsbildandet som brukar tas upp litteraturen är följande: En grund då en profession vill formalisera sig är att man annekterar ett kunskapsområde och hävdar att den egna gruppen är den främsta/enda som äger denna kunskap, jämför läkare och medicinen.
Förutsättningen är att det går att definiera kunskapsområdet på ett sätt som både gruppen internt och omvärlden kan vara eniga om.
Här finns ett problem för informationssäkerhetsspecialisterna om den beskrivningen av oklarheten i vad kunskapsområdet egentligen består i godtas.
Är det en organisatorisk eller teknisk kompetens som utgör kärnan för att bara ta en av de många frågor som kan ställas.
För att få tillhöra en profession måste det definieras vilken teoretisk och praktisk kunskap man måste besitta.
Det måste också finnas en procedur som är erkänd även av utomstående som garanterar att de som utger sig för att tillhöra professionen verkligen kan antas inneha den rätta kompetensen.
Det räcker alltså inte med att man själv kallar sig ”informationssäkerhetsexpert” eller att man har lösliga grupperingar av typen communities.
En ganska självklar del i detta är en vilket idag saknas inom informationssäkerhetsområdet.
De utbildningar som erbjuds på högskolenivå (vilket vi väl får anta är rimligt att kräva) har ett mycket spretigt innehåll från ”Internationella aktörer och regelverk” till ”It-forensik” för att bara ta ett par exempel från högskolekurser som beskriver sig som utbildning i informationssäkerhet.
Andra utbildningar går in på ren it-säkerhet eller på praktiska metoder men kunskapsområdets otydlighet avspeglar sig i utbildningsutbudet.
Om vi tittar på innehållet i olika populära certifieringar blir bilden än mer otydlig, i en CISSP-certifiering uppges bland annat telekommunikation och mjukvaruutveckling ingå.
Kravet på formaliserad utbildning blir därmed i dag svårt att uppfylla liksom två andra vanliga krav på en profession: inträdeskrav och avgränsning av de som inte hör dit.
För att sammanfatta så kan vem som helst oavsett utbildning, erfarenhet eller personlig lämplighet utge sig för att vara informationssäkerhetsspecialist utan att någon kan hävda motsatsen.
En profession definieras inte bara av kunskap utan också av de specifika normer och den kultur som dess medlemmar ansluter sig till.
Exempel på detta är, förutom läkaretiken, de normer som upprätthålls av advokatsamfundet.
Det innebär också en över de som yrkestitel som följer med professionen.
Detta förutsätter i sin tur någon form av kollegial organisation som kan utöva kontroll och utveckla en yrkesmässig kultur och etik.
Idag saknas flertalet av de förutsättningar som krävs för en professionalisering inom informationssäkerhetsområdet.
Behovet är av en sådan är dock stort och om man ska dra slutsatser av andra yrkesgruppers historia måste frågan drivas av de yrkesverksamma själva.
En svårighet är att det inte finns fackföreningar eller starka intresseföreningar inom området som skulle kunna inleda en sådan process.
Ett första steg är att börja diskutera framtiden på ett öppet sätt och försöka hitta vägar framåt.
Är lämpligt med ett brett anslag där hela den spännvidd som nu ryms under beteckningen informationssäkerhet men med en specialisering på samma sätt som läkarkåren?
Eller bör vi resonera oss fram till en tydligare avgränsning mot it-säkerhet och cybersäkerhet?
Frågorna är många men än saknas forat att diskutera dem i. Som redan framgått är det svårt att ens ge en enhetlig och allmänt accepterad definition av begreppet informationssäkerhet.
Att då kunna beskriva kunskapsområdet informationssäkerhet blir därför av naturliga skäl minst lika svårt.
Ändå menar jag att den enda verkliga legitimitet som informationssäkerhetsområdet kan uppnå måste gå genom att kunna motivera synsätt, metoder och investeringar med ett kunskapsunderlag.
Kunskapsunderlaget måste därför vara av en sådan karaktär att det kan accepteras av de aktörer som vi vill ska anamma synsätten, använda metoderna och göra investeringarna.
Om vi inte kan argumentera utifrån en rationell position återstår att försöka övertyga med känslor eller utifrån särintressen alternativt mycket smalt perspektiv som att exempelvis isolera risk och se den som helt dominerande.
Min uppfattning är att vi idag är ganska långt ifrån att ha ett gemensamt kunskapsunderlag.
Kvaliteten på kunskapsunderlaget kan också ifrågasättas av flera skäl, bland annat inte oväsentliga delar har sitt ursprung i rapporter från bolag som säljer säkerhetsprodukter.
Ett kanske ännu större problem är att det saknas arenor för kunskapsutveckling utanför akademin där en professionell diskussion kan föras.
Istället skulle jag vilja hävda att området präglas av ett anti-intellektuellt förhållningssätt som leder till en stagnation också när det gäller att ta fram praktiskt fungerande lösningar för att förbättra säkerheten.
Utan att gå tvärdjupt är en rimlig utgångspunkt för ett kunskapsområde att det har olika lager av kunskapsnivåer inklusive en teoretisk grund.
För att ett auktoritativt stöd i detta men också skapa en ganska enkel pedagogik tar jag hjälp av Aristoteles som delade upp kunskapen i fem former av vilka jag endast kommer att diskutera tre: (vetenskaplig kunskap, påståendekunskap, veta att) (praktisk-produktiv kunskap, färdighetskunskap, veta hur), (praktisk klokhet, det goda omdömet, veta när) För den som vill veta mer om detta på ett enkelt sätt rekommenderar jag denna .
Min känsla har länge varit att det som uppfattas som kunskap inom informationssäkerhetsområdet går att hänföra till techne med betoning på enkla tumregler och tekniska lösningar.
Många duktiga informationssäkerhetsmänniskor har haft rejäla mått av fronesis så att de kunnat tillämpa den fyrkantiga techne-kunskapen på ett bra sätt i sina organisationer.
Däremot så uppfattar jag att episteme, den vetenskapliga kunskapen med krav på generaliserbarhet och mätbarhet, i hög grad saknas inom informationssäkerhetens kärnområde.
Vad jag då avser är att exempelvis en övergripande teoribildning på det som är vanlig inom samhällsvetenskapliga områden inte riktigt går identifiera i många av de vetenskapliga texter som publiceras om informationssäkerhet.
Det har också ofta slagit mig att jag sällan sett att etablerade uppfattningar och metoder prövas på ett vetenskapligt sätt.
För att snabbtesta mina egna fördomar har gjorde jag en sökning i svenska databaser på aktuell forskning om informationssäkerhet och fick fram några hundra publikationer som jag granskade snabbt och översiktligt utan anspråk på någon som helst vetenskaplighet.
Den som själv gå igenom samma material kan följa den här och den .
I beskrivningarna har jag försökt utläsa om det finns en teoretisk utgångspunkt som på försöker beskriva ett ontologiskt perspektiv om hur informationshantering och informationssäkerhet samverkar och vad informationssäkerhet .
Jag har också försökt läsa ut huruvida författarna verkligen ifrågasatt de etablerade synsätten och metoderna samt prövat dess effektivitet och relevans på ett ”objektivt” sätt.
Slutligen har jag tittat på inom vilken disciplin texten är skriven och om den förefaller vara övervägande organisatorisk eller tekniskt orienterad.
Efter denna snabba och djupt orättvisa genomgång tycker jag mig ändå se vissa tendenser.
Oklarheten i begreppet informationssäkerhet som jag tidigare skrivit om gestaltas också i de vetenskapliga texterna och leder till en spretighet.
Begreppet tycks kunna stå för renodlat tekniska lösningar (som jag kanske hellre skulle kalla it-säkerhet) som organisatoriska.
I de fall där jag läst sammanfattningarna är denna begreppsförvirring och ontologiska brist inte något som författarna tycks uppfatta som ett problem.
Inte heller verkar ontologin i grundbegreppen konfidentialitet, riktighet, tillgänglighet, spårbarhet alternativt CIA-begreppen utgjort en frågeställning i området.
Flertalet texter är skrivna av forskare med teknisk eller systemvetenskaplig bakgrund.
Detta leder till två helt olika problem.
Det första är att fokus ofta kommer att ligga på tekniska lösningar istället för organisatorisk styrning trots att man säger sig skriva om informationssäkerhet.
Det andra är att det är forskare med teknisk eller systemvetenskaplig bakgrund som skriver om organisatoriska frågor vilket ligger utanför deras egentliga kompetensområde, något som kan leda till att de inte helt har de redskap som krävs för en organisatoriskt inriktad forskning.
Sammantaget leder det till att den organisatoriska styrningen bli styvmoderligt behandlad.
Ett genomgående drag är att etablerade synsätt och metoder förefaller förutsättas vara fungerande och effektiva.
Detta gäller i hög grad de mer organisatoriskt inriktade texterna som kan handla om mätning, compliance och säkerhetskultur för att ta några exempel.
Detta gäller även då man exempelvis tittar på mognadsmodeller där mognaden kan ses som en slags compliance till etablerade synsätt och metoder.
Förutom compliance är fenomenologi i en relativt vanlig form av studie.
Det kan handla om hur medarbetare, patienter eller någon annan grupp uppfattar säkerhetsåtgärder eller -behov.
Inte heller här tycks metoder egentligen ifrågasättas utan snarare är det uppfattningarna om dem som kan behöva ändras.
Trots inriktningen mot compliance är det få texter som undersöker värdet av de åtgärder som compliance-kravet gäller.
Att vara compliant till kravet att ha bland annat en incidenthantering följs inte av en undersökning av effektiviteten i olika metoder för incidenthantering för att ta ett hypotetiskt exempel.
Att studera metoder och delta i metodutveckling förekommer dock inom rent tekniska frågeställningar.
Forskning är naturligtvis inte den enda källan till kunskap men det finns frågeställningar inom informationssäkerhetsområdet där jag uppfattar att en vetenskaplig metod är lämplig för att skapa nödvändig kunskap.
Det gäller både en slags grundforskning på ontologisk nivå och för insatser för att på ett vetenskapligt sätt skapa en evidensbaserad kunskap kring effektiviteten i olika, framförallt organisatoriska, metoder.
Denna typ av frågeställningar kan svårligen hanteras av enskilda informationssäkerhetsansvariga eller av enskilda organisationer.
Informationssäkerhetsområdet har stort fokus på techne vilket sannolikt leder till ineffektiva och bakåtblickande metoder.
Det är svårt att föreställa sig samma lösliga relation till evidens inom andra områden som trafiksäkerhet eller medicin trots att dessa områden måste sägas ha likartade tekniska eller hantverksmässiga bakgrund som informationssäkerhet.
Min tes är ju informationssäkerheten inte tycks hålla måttet och följaktligen anser jag kan det finnas anledning att även inom detta område inta den förkättrade normkritiska positionen och ifrågasätta även de mest etablerade sanningarna.
Att forskningen går från att anti-intellektuellt handla om ett slags hantverk till att ge frågorna den analytiska och intellektuellt utmanande behandling som de i sanning kräver.
Att gå från ett förhållningssätt som är konserverande till att bli ett explorativt som ligger i linje med den snabba organisatoriska och tekniska utveckling som sker.
För detta krävs kreativa och odogmatiska forskare som banar väg, skapar ny kunskap och ger oss andra underlag för en förbättrad praktik.
För att ta emot den mer utmanande kunskapsproduktion som skulle bli resultatet krävs en profession som har samma förhållningssätt inom techne och fronesis samt plattformar att mötas på.
Som jag skrev inledningsvis är en av de stora bristerna att den typen av plattformar saknas idag och att ingen nationell aktör känner sig manad att ta på sig ett sådant ansvar.
I nästa inlägg ska jag skriva om professionen – kanske finns det i en stärkt professionalisering en möjlighet till ett mer professionellt kunskapsbygge?
Hunnen så långt i mitt funderande får jag tips om en som visserligen är från 2008 men som bekräftar att några av de intryck jag beskrivit är problem kända sedan tidigare som exempelvis bristen på empiri och, som i citatet nedan, på teoribildning: .
Det tycks alltså finnas fler som funderar över från vilken kunskapsgrund vi egentligen utgår.
Här kommer ett litet mellanspel i min långa rant om varför informationssäkerheten inte funkar.
Istället ska jag ägna ytterligare några rader åt e-hälsa.
I slutet av september inträffade ett nytt stort it-haveri i Stockholms läns landsting (SLL) där flera sjukhus drabbades på ett sådant sätt att patientsäkerheten uppgavs .
I SLL:s digitala lösningar har större incidenter skett vid ett antal tillfällen under de senaste åren och det var bara någon månad sedan en mycket allvarlig händelse skedde i . Som samhällsmedlem och patient in spe med viss insikt om hur det ser ut på e-hälsoområdet är jag djupt oroad.
Trots att de många och allvarliga incidenterna som utgör en stor risk för patientsäkerheten och för patienternas integritet tycks insikten om de stora problemen med säkerhet inte engagera vårdens makthavare nämnvärt.
Pliktskyldigt sägs några fraser om säkerhet, sedan störtar samtalet vidare med muntra trumpetstötar om att Sverige ska bli bäst i världen på e-hälsa vilket inte förefaller innebära att vi ska bli bäst i världen på en e-hälsa.
Digitalisering beskrivs i närmast messianska former och diskussionsklimatet är av en sådan karaktär att det problematiserande som är nödvändigt för alla framgångsrika utvecklingsprojekt avvisas kategoriskt och sägs till och med vara ”förbjudet”.
Jag ser detta i sig som djupt problematiskt eftersom digitaliseringen, liksom alla andra större samhällsförändringar, innebär reella intressekonflikter som måste hanteras på ett rationellt sätt.
Detta gäller även inom informationssäkerhetsområdet specifikt där till exempel tillgänglighet och skydd mot obehörig åtkomst alltid måste balanseras mot varandra.
Historiskt har ,enligt min uppfattning, flertalet e-hälsolösningar hastats fram utan gemensam strategi i meningen långsiktig målbild och långsiktig planering där behov och beroenden är analyserade och utvärderade i en öppen diskussion.
Alltför ofta har mycket kostsamma och administrativt krävande lösningar (tänk exempelvis NPÖ) dykt upp utan att behov, säkerhet och kvalitet har klarlagts.
Efter att ett stort antal miljoner flödat in i de ofärdiga projekten har de försvunnit till en kyrkogård av misslyckade visioner.
När jag läste följande tweet kändes den därför som ett mycket tråkigt exempel på att vårdens makthavare tycks oförmögna att lära sig av tidigare misstag: I mitt förra inlägg hävdade jag att det är svårt att säga vad informationssäkerhet egentligen är.
En fråga som nära ansluter till detta är vad målet för arbetet med informationssäkerhet är.
Jag uppfattar den frågan som central att analysera både för informationssäkerhet som kunskapsområde och för den enskilda organisationen som inleder eller redan har ett fortlöpande arbete för att hantera den egna informationen på ett säkrare sätt.
Om målet inte är klarlagt är risken överhängande att informationssäkerhet blir ett självändamål.
Detta skulle strida mot en av mina mest grundläggande övertygelser;drig kan ha ett existensberättigande i sig själv utan måste se som en stödfunktion.
Då måste man dock veta vad det är som ska stödjas.
Informationssäkerheten så som vi känner den idag (om vi nu gör det) har en kort historia.
Med det menar jag inte bara begreppet informationssäkerhet vars tidigaste belägg tror jag finns på 1970-talet.
Däremot har vissa synsätt och metoder en betydligt längre historia.
Att skydda information mot obehörig åtkomst är något som skett med olika metoder är i princip lika gammalt som skrivkonsten i olika former.
Även metoder för spårbarhet som signering och för riktighet som vidimering blivit alltmer standardiserade i Europa sedan medeltiden och framåt, och då kanske främst som stöd i det alltmer intensiva ekonomiska livet.
Detta finns ganska väl beskrivet på annat håll men inom informationssäkerhetsområdet har traditionen ofta snarare hämtats från militär och polisiär verksamhet.
Målet för aktiviteterna har som en följd av detta formulerats utifrån militär/polisiära behov snarare än det från det civila samhällets behov av säkra ekonomiska transaktioner, rättssäkerhet för den enskilde och det enskilda företagets möjlighet att ha stöd för sina affärer.
I detta perspektiv är syftet med informationssäkerheten att framför allt skydda staten i någon mening, inte den enskilda verksamheten och allra minst den enskilda individen.
Den militär-polisiära bakgrunden påverkar fortfarande området starkt vilket gör målet för arbetet otydligt – är det nationens intresse som står i förgrunden eller är det vardagliga arbetet i en organisation som på bästa sätt försöker upprätthålla sin egen verksamhet med tillräcklig effektivitet och kvalitet?
Är det de externa kraven för att skydda statens intressen som ska vara det som ska lyftas fram som den främsta målbilden eller är det de interna behoven?
Innan någon börjar rasa ska jag vara tydlig: självklart menar jag inte att det går att enbart tillgodose externa krav eller enbart tillfredsställa interna behov – alla organisationer måste göra båda delar.
Vad jag menar är att det inte längre kan vara tillräckligt att se till externa krav i form av säkerhetsskyddslagen.
Inte heller går det enligt min erfarenhet att med någon större framgång att använda merparten av de informationssäkerhetsmetoder framtagna för militära eller polisiära syften i en tidspressad civil informationshantering.
Min slutsats är därmed att målet fört måste vara att stödja den enskilda organisationen, eller idag snarare informationssamverkande organisationer, att klarlägga sitt eget behov av informationssäkerhet inklusive olika typer av externa krav som riktas mot organisationen/organisationerna.
Föga revolutionerande slutsats kan tyckas, särskilt som den är i stark harmoni med ISO 27000 förutom i avseendet att standarden är helt inriktad på en autonom organisation och inte på e-samhällets allt tätare integration av informationshanteringen.
Om målet accepteras är dock konsekvenserna att ta på allvar.
Den viktigaste konsekvensen är informationssäkerhet som kunskapsområde måste kunna erbjuda effektiva sätt att avgöra vad som organisationens/organisationernas faktiska behov.
Det innebär också möjligheten att det måste finnas en öppenhet för att ledningen inte önskar särskilt mycket säkerhet utan är beredd att ta risken eftersom målet inte är så mycket säkerhet som möjligt.
När ledningen gör bedömningen kommer den att ta hänsyn till ett antal faktorer som den formulerar som verksamhetens behov inklusive att följa relevant lagstiftning.
Relevant lagstiftning är för de flesta civila organisationer i mindre grad säkerhetsskyddslagen medan alla organisationer som hanterar personuppgifter måste leva efter dataskyddsförordningen.
Myndigheter ska dessutom hantera sin information enligt offentlighetslagstiftningen vilket förutsätter god ordning på riktighet och spårbarhet.
Informationssäkerhet är alltså i sig inte ett mål utan ett medel som kan tjäna olika mål som exempelvis god integritet och god offentlighetsstruktur – vilket kan leda till intressanta intressekonflikter.
Detta ligger ganska långt ifrån det traditionella militära perspektivet att vissa handlingar som innehåller specifik information ska stämplas med sekretessmarkering och sedan hanteras enligt väl reglerade metoder.
Att kunna beskriva informationssäkerheten som ett medel är därför ett mål i sig.
Ett mål som ställer krav på kommunikation mellanoch verksamheten.
När verksamheten frågar ”vad ska informationssäkerheten egentligen vara bra för?” är detta en rimlig utgångspunkt och en bra prövosten förför att kunna motivera sitt arbete.
Jag tror vi idag är ganska långt ifrån denna typ av målformulering för vårt arbete.
Alltför ofta motiveras säkerhetsarbetet utifrån ett ganska alarmistiskt agiterande utifrån generella hot.
Verksamhetsanknytning i form av bedömning av de egna riskerna eller genom informationsklassning har ju i de genomförda undersökningarna inte visat sig förekomma i närheten av det som föreskrifter och annat stipulerar.
Den otydliga målbilden kan också göra det svårt att hitta en fungerande yrkesroll som ju snarast bör vara en konsultativ och stödjande funktion än en som söker sin legitimitet främst i externa krav som lagstiftning.
När omvärlden präglas inte bara av en stark teknikutveckling utan även en snabb organisatorisk förändring där offentliga och privata verksamheter delar informationshantering kan inte målet vara enbart att skydda statens intresse.
Istället måste målbilden vara tydlig men dynamisk och anpassad till den verksamhet som ska skyddas med hjälp av informationssäkerheten.
Först då kommer en verklig drivkraft att förbättra informationssäkerheten att komma inifrån verksamheterna själva.
Mitt eget utopiska mål är den osynliga informationssäkerheten, när den är så inarbetad i verksamhetens rutiner att ingen tänker på att den finns och risker ur säkerhetssynpunkt bedöms på samma sätt som andra risker utifrån hur de påverkar verksamhetens resultat.
I detta inlägg ska jag inrikta mig på några mer generella frågor för området som också bör vara frågor som den som inte lever och andas informationssäkerhet borde ställa.
Ett ganska modest krav är att på ett hyfsat entydigt sätt kunna definiera vad informationssäkerhet är.
Detta är dock svårare än vad det först kan förefalla.
Inte ens om det är ett slags tillstånd eller en förmåga är klart.
Jag ska här endast ta upp några av de frågor man kan ha anledning att ställa sig angående vad informationssäkerhet ska anses vara.
En definition som säkert kommer att användas av många är den som finns med i den terminologi som sammanställts inom SIS: Denna definition har övertagits av MSB i den nya föreskriften MSBFS 2016:1 trots att myndigheten i andra sammanhang talar om ”förmåga” alternativt ”tillstånd” i andra sammanhang.
Jag ska inte detta sammanhang gå in på ISO 27000 och dess översättning i detta sammanhang utan här endast koncentrera mig på det sätt som terminologin definierar begreppet.
I ordet ”bevara” finns en implicit föreställning om att en vald informationsmängd är en entitet som har initiala egenskaper som ska bibehållas i en kortare eller mindre hantering.
Detta är ett ganska egenartat synsätt som sannolikt är hämtat från ett tidigare tekniskt utvecklingsskede, kanske en slags databastänkande, där man är upptagen av transaktioner inom ett enskilt system.
Att ställa krav på informationens kvalitet före instoppandet i systemet eller vid sammanställning till nya informationsmängder ligger utanför definitionen.
I värsta fall skullet alltså leda till att felaktig information förblir felaktig eftersom då den ursprungliga riktigheten ”bevaras”.
Beskrivningen indikerar också ett statiskt förhållande där informationen liksom inkapslad färdas i ett system.
Detta stämmer inte heller särskilt väl med den informationsinfrastruktur som har växt fram där information hela tiden sammanställs, förändras och kommuniceras i nya strukturer.
Informationssäkerheten borde då syfta till att förändras och skapa en tillräcklig nivå av skydd under informationshanteringsprocessen/erna.
Personligen måste jag därför medge att ”bevarande” är en definition som inte känns relevant.
”Tillstånd” eller ”förmåga” är alternativ som skulle ge andra möjligheter men oavsett vilket begrepp som väljs borde det bygga på en mer Trots att informationssäkerhetsområdet inte bygger på tung akademisk forskning på en ontologisk nivå, till exempel rörande vad informationssäkerhet skulle sägas vara, finns det vissa hangups där det hänvisats till akademin.
Den sådan är begreppet ”spårbarhet” som av informationssäkerhetens purister inte anses ha samma autonoma värde som exempelvis riktighet och tillgänglighet.
Purismen i denna fråga känns inte särskilt väl underbyggd.
Mig veterligen inte finns någon begreppsmodellering genomförd över något av begreppen och inte heller är översättningen av den så kallade CIA-triaden ( och ) till konfidentialitet, riktighet och tillgänglighet klockren.
skulle knappast översättas till ”riktighet” i något annat sammanhang, särskilt som riktighet i SIS terminologi anges som vilket återigen antyder ett synsätt som utgår från databashantering.
Rent praktiskt är spårbarhet ett begrepp som är av stor betydelse i transaktionstäta verksamheter som bank, finans och sjukvård samt för att stödja integritetskrav.
Spårbarhet är också mycket tydligt kopplat till konkreta åtgärder som loggning – ändå väljs det bort utan närmare förklaring.
Detta är bara ett exempel på att själva grundelementen i beskrivningen av informationssäkerheten saknar verkligt definition vilket ger möjlighet till vitt skilda tolkningar och närmast trosläror om vad informationssäkerhet egentligen är.
Ett annat tolkningsproblem är skillnaden mellan informationssäkerhet å ena sidan och it-säkerhet å den andra.
Att de som inte har informationssäkerhet har svårt att uppfatta skillnaden är inte så konstigt men att även de som arbetar med informationssäkerhet vacklar i distinktionen är ett tydligt tecken på osäkerheten i begreppet informationssäkerhet.
För mig framstår det som att informationssäkerhet i i första hand är en organisatorisk stödfunktion som ska ge ledningen stöd i att styra sin verksamhets resurser så att de skyddar informationen på ett sätt som stöder verksamhetens mål.
Detta uppfattar jag också som kärnan i ISO 27000 som ju är helt inriktad på att skapa ett ledningssystem som ska ge en organisatorisk förmåga till styrning av informationshanteringen.
It-säkerhet är i detta perspektiv de tekniska åtgärder som ska vidtas för att svara på de krav som ledningssystemet ställer.
Många verksamma inom informationssäkerhetsområdet tycks inte dela denna uppfattning utan ser informationssäkerhet som synonymt med it-säkerhet.
Även denna basala fråga skulle behöva analyseras och få en mer allmänt accepterad förklaring.
Detta är bara några frågor där det enligt min uppfattning råder oklarhet och där utrymmet för analys och vidareutveckling är mycket stort.
I nästa inlägg ska jag ge mig på målet för arbetet mehöll häromveckan ett föredrag på Dataföreningen med ovanstående titel.
Min tes, eller mitt påstående snarare, är att arbetet med att få en fungerande informationssäkerhet inte fungerar särskilt bra.
Detta gäller både i den enskilda organisationen och på en nationell nivå.
Kanske överraskade föredragets inriktning några av de ganska många åhörarna eftersom det mer handlade om ”våra” interna problem, alltså vi som arbetar professionellt med informationssäkerhet och inte de yttre förhållanden som vanligtvis diskuteras.
Detta är dock frågor som jag funderat ganska länge på och där jag under föredraget förde fram ett antal aspekter som jag menar påverkar den nuvarande situationen med en otillräcklig informationssäkerhet.
I hopp om att fler i informationssäkerhetsbranschen ska känna sig motiverade att bidra med egna erfarenheter och reflektioner tänkte jag skriva några blogginlägg med utgångspunkt från det föredrag jag höll.
Först kanske påståendet i titeln ändå måste utvecklas något.
Visserligen är det svårt att säga vad ”fungerar bra” skulle kunna vara.
Detta understryks genom att det i hög grad saknas forskning på området och andra typer av offentligt redovisade undersökningar.
Det känns också otillräckligt att bara vidareförmedla utsagor från olika särintressen eller vad talskrivare lämnat till Anders Ygeman att framföra angående läget.
I den som sammanställdes av ett antal myndigheter 2015 bygger man sina spaningar på 103 angivna referenser.
Problemet är bara att den absoluta huvuddelen av referenserna är inriktade på en extern hotbild, i bästa fall något om incidenter i it-system som går att hänföra vissa specifika antagonistiska hot, men ingen av referenserna förefaller ha ägnat sig åt störningar i verksamheter.
Det vill säga störningar i informationshanteringen som påverkar verksamheten och som då lika gärna skulle kunna bero på hårdvarufel som vid Tieto-incidenten 2011 som på antagonistiska attacker.
Detta har naturligtvis inte hindrat rapportförfattarna att dra slutsatser om trender men för den som verkligen är intresserad av hur informationssäkerheten fungerar är det alldeles otillräckligt.
Låt oss ändå vara överens om att det finns starka indikationer på att det händer ett stort antal incidenter och att realiserade incidenter är ett tecken på att vidtagna säkerhetsåtgärder inte skyddar verksamheten på ett rimligt sätt.
En mer systematisk genomgång av incidenter som drabbat verksamheter och privatpersoner tror jag skulle visa att huvuddelen skulle gå att undvika med väl kända metoder som exempelvis bättre kontroll över uppdateringar i it-tjänster.
En nackdel med incidentbegreppet är att det har en tendens att enbart fånga upp mer uppseendeväckande och kanske antagonistiska situationer.
Störningar av mindre dramatisk karaktär men som kan påverka verksamheten sammantaget på ett mer negativt sätt får inte samma uppmärksamhet vilket kan leda till felprioriteringar i åtgärdsarbetet.
Ett annat sätt försöka bedöma omt är funktionellt är ett klassiskt compliance-perspektiv; att kontrollera om regler efterlevs.
Inte heller här finns ett stort generellt underlag att luta sig emot.
Inom offentlig sektor har dock de senaste åren har ett antal rapporter visat att den systematiska informationssäkerheten i myndigheter, landsting och kommuner har stora brister, ja till och med att den vissa fall tycks bli sämre snarare än bättre.
Sammantaget är alltså inte bilden ljus.
I och med att informationssäkerheten tycks fungera illa i de enskilda organisationerna kan den knappast fungera bättre på en aggregerad nationell nivå.
Kanske måste ändå förhållandet att vi inte kan ge en uppfattning om hur bra eller dålig informationssäkerheten det tydligaste tecknet på att det inte fungerar bra.
För att komma in på kärnfrågorna är det tre (bort)förklaringar till varför informationssäkerheten inte fungerar som jag skulle vilja utesluta: Eftersom det inte heller finns en sammantagen beskrivning av hur mycket pengar som satsas på att förbättra informationssäkerheten är det inte möjligt att säga att det är ekonomiska skäl som förhindrar utvecklandet av en bättre säkerhet.
I Riksrevisionens senaste om informationssäkerhet beskrivs också svårigheterna med att försöka bedöma kostnaderna.
Nationellt har det också investerats inte obetydliga medel i olika myndigheters stöd för informationssäkerhet.
Eftersom inte effekten av dessa medel utvärderats mer än mycket översiktligt av Riksrevisionen är det svårt att säga att det skulle vara för litet eller för mycket.
Min poäng är denna: om det finns beskrivet vad som bör göras för att reducera olika risker för verksamheten är det svårt att uppskatta vilka medel som skulle behövas och ledningar på olika nivåer är, med all rätt, tveksamma till att tillföra ytterligare pengar.
Bollen är därmed tillbaka som en skråfråga: om vi anser att det finns ekonomiska orsaker till att informationssäkerheten inte fungerar så måste vi bli mycket bättre på att beskriva vad pengarna skulle användas till och vad organisationen (eller nationen) skulle ha för nytta av det.
Det här är ju en verklighetsbeskrivning som ofta återkommer och som på något underförstått sätt antas utgöra ett skäl till att informationssäkerheten inte håller måttet.
Men vad är egentligen kausaliteten i det här sammanhanget, om det nu finns en sådan?
Om informationssäkerhet vore en aspekt som vunnit hög acceptans i samhället, i organisationerna, hos utvecklare av it-tjänster m.fl.
så skulle ju frågeställningen vara integrerad som en naturlig del i utveckling av tjänster, produkter och infrastruktur.
Iställeten kostnad och en motpol till effektivitet vilket gör att lösningar för att förbättra säkerheten, om de över huvud taget implementeras, inte är effektiva och ofta ligger som olja på vattnet, ofullständigt integrerade.
Som en jämförelse skulle det vara svårt att tänka sig att trafiksäkerheten skulle vara något som tilläts hamna i bakvattnet numera.
Så kanske det var i ett tidigare skede men genom ett idogt forsknings- och opinionsarbete har säkerhet en mycket hög prioritet i trafikpolitiken.
Återigen faller alltså ansvaret tillbaka på oss själva och förmåga att sälja in informationssäkerheten.
Det är få meningar som jag så ofta hört upprepas i professionella sammanhang som uttrycket: ”ledningen förstår inte”.
Ofta blir detta den tröstande förklaringen till varför man inte når framgång med sina informationssäkerhetsprojekt och självklart ligger det mycket i det.
Det går inte att smyga in informationssäkerheten i organisationen bakom ryggen på ledningen.
Även här handlar det dock om att kunna presentera vikten av informationssäkerhet så ledningen ser poängen ur sitt perspektiv – att det gynnar organisationens möjlighet att uppfylla sitt uppdrag.
Ser ledningen inte behovet av informationssäkerhet är det inte heller rationellt att införa exempelvis ett LIS.
Ledningens bristande förståelse kan därmed, menar jag, inte ses som en autonom förklaring till bristande informationssäkerhet utan som att ledningen inte fått tillräckligt bra argument för att organisationen ska bedriva ett systematiskt.
I de följande inläggen ska jag lyfta fram förhållanden som jag ser både som verkliga orsaker till bristande informationssäkerhet och som möjliga att påverka för oss som arbetar med informationssäkerhet.
Sjukvårdsminister Gabriel Wikström har nu uttalat att uppgifter kring aborter ska hanteras som övriga patientuppgifter i vården .
Detta är intressant eftersom hans resonemang ställer ett antal principiella frågor på sin spets.
För att inte bli alltför tjatig kommer jag här att lämna den ständigt återkommande falska motsättningen mellan patientsäkerhet å ena sidan och integritet å den andra där hän även om den är högst relevant.
Insamlandet av känsliga personuppgifter i register sker för det ”greater good”, alltså inte för den enskilda patientens patientsäkerhet.
Få, särskilt i Sverige, skulle argumentera emot den medicinska registerforskningens stora betydelse både för enskilda och för samhället i stort.
Det finns en mycket lång tradition att använda medicinska och andra personuppgifter för forskningsändamål så det får sägas finnas en stor acceptans att vara leverantör till allehanda forskning.
Betydelsen av möjlighet till registerforskning har också fått en aktuell beskrivning i Bengt Westerbergs 2014 .
Förutsättningen för att upprätthålla legitimiteten i registerforskningen är att patienternas integritet i hanteringen vilket Bengt Westerberg uttryckligen hade att utreda.
Han har dock fått kritik för att inte tillräckligt att beakta den intresseavvägning som måste göras och inte heller att ta hänsyn till den kritik som Datainspektionen framfört gällande brister i säkerheten i registerhanteringen.
När Gabriel Wikström nu presenterar sitt förslag lyser hela denna diskussion med sin frånvaro.
Istället sker en märklig omformulering där integriteten i hanteringen av patientuppgifter ses som att man tabubelägger vissa åkommor.
Den ganska självklara och lagstadgade uppfattningen att känsliga uppgifter om hälsa ska hanteras så att de bara är tillgängliga för de som deltar i vården av den enskilda patienten framställs som en litet gammaldags känsla av skam.
Underförstått ska en modern och neurosfri människa glatt dela med sig av dessa uppgifter till de instanser och företag som tycker sig ha nytta av dem.
Förutom att det strider mot det etiska ställningstagande som finns hos allmänheten och i rådande lagstiftning är det också djupt störande ur andra synpunkter.
Uppgifter om sexuell hälsa inklusive abort kan utgöra en verklig risk för patienten om de kommer i orätta händer.
Risken för hedersvåld och vanlig ”hederligt svensk” kvinnomisshandel finns om uppgifter om abort kommer i orätta händer.
Tyvärr har även RFSU som annars brukar vara vaksamma för kvinnors rättigheter negligerat denna .
Ministern hävdar att det saknas anledning för oro.
Registren kommer att omges med nödvändig säkerhet och dessutom finns det inga uppgifter om incidenter i tidigare registerhantering.
Båda dessa påståenden måste som ytterst tveksamma.
Säkerheten i registerhanteringen är en förlängning av säkerheten hos de vårdgivare som lämnar uppgifter till registren.
Det räcker kanske med att ta ett enda aktuellt som visar på skakigheten i den generella informationssäkerheten i sjukvården och dessutom tillägga att det i dag inte sker någon systematisk insamling av it-incidenter i sjukvården över huvud taget.
Jag vågar, utan att darra på manschetten, att informationssäkerheten som är förutsättningen för integriteten i sjukvården är klart undermålig och att ministern därför saknar fog för sitt lugnande besked kring hanteringen.
Datainspektionens utlåtanden om själva registren indikerar även de på påtagliga brister.
Det är inte bara för forskning som sjukvårdshuvudmännen och andra vill återanvända uppgifter insamlade i samband med patientens vård.
I en något märklig förra veckan hävdar ett antal administratörer med emfas rätten till patientuppgifterna.
Självklart finns ett ekonomiskt och etiskt intresse av att säkerställa att de ersättningar som privata vårdgivare erhåller från sjukvårdshuvudmännen verkligen går till vård av patienter.
Det är dock ett logiskt felslut att med svepande formuleringar om tystnadsplikt hävda att det innebär att administratörer hos landstingen måste ha direktåtkomst till alla patienters person- och hälsouppgifter hos de privata vårdgivarna.
För att försöka förtydliga frågan.
Det finns starka och legitima skäl att använda patientuppgifter för andra ändamål än för vården av den enskilda patienten.
Det finns också laglig rätt att göra detta för sjukvårdshuvudmän och vårdgivare.
Men detta måste ske så att patientens integritet kan skyddas och det är sjukvårdshuvudmännens ansvar att skapa säkra lösningar för både uppföljning och forskning.
Detta är naturligtvis ingen omöjlighet att åstadkomma om viljan finns.
Istället för att formulera indignerade debattinlägg om hur integriteten hindrar sjukvårdshuvudmännens administration är det detta man bör koncentrera sig på.
Jag skrev själv ett i Läkartidningen 2010 om möjligheten att avidentifiera patientuppgifter för att öka säkerheten.
Jag tycker fortfarande att det är den typen av lösningar som borde analyseras närmare, särskilt nu när informationssystem inom hälso- och sjukvård i allt högre grad blivit attraktiva mål för externa parter.
Aktörer inom hälso- och sjukvårdsområdet måste också ta risken med integritetsbrott för den enskilda patienten på allvar.
Och när det gäller abortregistret och de undersystem som ska leverera information till registret så måste hanteringen utformas så att det skyddar den egentliga riskägaren, nämligen den kvinna som riskerar sitt liv och sin hälsa om informationen kan läsas av fel personer.
2011 blev jag utsedd som deltagare i en referensgrupp när Socialstyrelsen skulle revidera sin föreskrift om informationshantering och journalföring inom hälso- och sjukvård SOSFS 2008:14.
Föreskriften innehöll en hel del om informationssäkerhet men vården har i ringa grad efterlevt dessa regler vilket Socialstyrelsens egna visade redan 2011 som till exempel gällande Karolinska universitetssjukhuset.
Vårdens informationssäkerhet har knappast blivit bättre sedan dess och det kan väl därför ses som positivt att Socialstyrelsen nu 2016 äntligen ha kommit i mål med den nya föreskriften.
har beteckningen HSLF-FS 2016:40 Journalföring och behandling av personuppgifter i hälso- och sjukvården.
I korthet innebär föreskriften och de allmänna råden ett tydligare krav på vårdgivare att införa ett ledningssystem för informationssäkerhet så att rätt nivå på konfidentialitet, riktighet, tillgänglighet och spårbarhet kan utvecklas och upprätthållas.
Några reflektioner kan dock göras i samband med föreskriftens ikraftträdande.
En föreskrift är en reglering på detaljerad nivå.
När det gäller vårdens informationssäkerhet och e-hälsa saknas dock en strategisk inriktning och en beskrivning av hur vårdens informationshantering på övergripande nivå ska styras så att informationssäkerheten ska förbättras.
En överenskommelse har gjorts mellan staten och Sveriges Kommuner och Landsting som kalla 2025 som en ny version av den tidigare Nationella e-hälsostrategin.
Vision är nog rätta benämningen med tanke på lösligheten i inriktningen där visserligen ”säkerhet” nämns ett antal gånger men under mycket oklara former.
Den heta frågan vem som egentligen har ansvaret för att säkerheten ska bli bättre undviks sorgfälligt.
Även på samma fluffiga sätt skrivit om att det är bra med informationssäkerhet men inte hur detta ska gå till.
Undertexten är påfallande oftaternativt integritet måste ”balanseras” mot exempelvis patientsäkerhet eller effektivitet, d.v.s.
att informationssäkerhet och skyddet av integriteten skulle hindra att patienten skulle få bra och effektiv vård.
Det enda som är tydligt är att många inflytelserika personer inom e-hälsoområdet tycks ha en dimmig uppfattning om vad informationssäkerhet är och därmed inte ser att rätt utformad informationssäkerhet leder till såväl till bättre patientsäkerhet och effektivitet som till skydd för integritet.
Den aktuella föreskriften, som kan ses som den nedersta delen i en hierarki av styrande dokument, fångar upp detta men eftersom den mer övergripande styrningen inte går i samma riktning riskerar föreskriften att liksom sin föregångare att bli utan verkan.
Socialstyrelsen har endast mandat att rikta föreskrifter till de enskilda vårdgivarna.
Föreskriften säger därmed egentligen till varje landsting eller privat vårdgivare att de ska ha ett ledningssystem för och det är naturligtvis en viktig grundprincip.
Men alltmer av vårdens informationshantering sker utanför vårdgivarens kontroll exempelvis i form av att en privat vårdgivare är tvungen att använda den upphandlande sjukvårdshuvudmannens system och rutiner.
Framför allt sker dock alltmer av hanteringen med stöd av gemensamma och nationella tjänster som vårdgivarna i praktiken är nödgade att använda för att kunna bedriva sin verksamhet och föreskriftens räckvidd innefattar exempelvis inte E-hälsomyndigheten eller Inera.
Detta blir ett olösligt dilemma för den säkerhetsmedvetna vårdgivaren.
Å ena sidan stipulerar det egna ledningssystemet att man måste formulera krav på säkerhet hos externa parter som hanterar ens information, å andra sidan har man ingen möjlighet att göra det i förhållande de stora aktörerna som hanterar alltmer av ens information.
Kvar står vårdgivaren med ansvaret gentemot patienterna och den bristande legitimiteten hos det egna ledningssystemet.
Föreskriften matchar alltså inte behovet av styrning av informationssäkerhet i den alltmer omfattande e-hälsan.
Visionen för e-hälsa 2015 sägs vara: I detta borde ingå en stor satsning på att förbättra informationssäkerheten inom vården.
Det finns dock ett ömsesidigt ointresse där e-hälsans banerförare i mycket liten omfattning ser betydelsen av informationssäkerhet samtidigt som instanserna med ansvar för informationssäkerhet inte aktivt stödjer vården.
Svaret på frågan i rubriken är nog tyvärr: nej, inte särskilt mycket.
Vad som skulle behövas vore en ordentlig utredning av vårdens behov av informationssäkerhet som skulle kunna ligga till grund för framtidens visioner.
En bredare utredning skulle också kunna lägga grunden för en bättre kommunikation mellan vårdens representanter och företrädare för informationssäkerhetsområdet.
Med en samsyn kring behov och möjligheter finns en väg framåt som skulle gagna inte bara de enskilda patienterna utan samhället i stort.

men en formaliserad utbildning kollegial kontroll attribut en episteme techne fronesis är säker konfidentialitet riktighet tillgänglighet För litet pengar Att den generella it-utvecklingen går så mycket snabbare än informationssäkerhetsutvecklingen att gapet blir större och större Ledningen förstår inte

Meny Författare: Inläggsnavigering

En profession behöver metoder

Behovet av en profession Krav på en profession Informationssäkerhetens professionalisering – hur ska vi gå vidare?
Kunskap och informationssäkerhet Episteme, Fronesis, Techne Intryck Och vad blir konsekvensen?
Vad är informationssäkerhet?
Låt oss vara överens om att det inte fungerar bra Tre saker som inte är huvudproblemet

Definition av kunskapsområde Krav på teoretisk och praktisk kunskap som säkerställs genom etablerad procedur Normer och kultur

MENU MENU Fia Ewald Postat av Postad i , , Tagged , , postat av Postad i , , , , Tagged , , , , , , Postat av Postad i , , , Tagged , , , , Postat av Postad i , Tagged , , , , , postat av → Postad i , , , Tagged , , , , , Postat av Postad i , , Tagged , , , Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , Tagged , , , Postat av Postad i , , , Tagged , , , Postat av Postad i , , Tagged , , , ← → Sök efter:

Confidentiality, integrity availability Integrity skydd mot oönskad förändring sin egen verksamhet År 2025 ska Sverige vara bäst i världen på att använda digitaliseringens och ehälsans möjligheter i syfte att underlätta för människor att uppnå en god och jämlik hälsa och välfärd samt utveckla och stärka egna resurser för ökad självständighet och delaktighet i samhällslivet.

Av en händelse ser jag att Daniel Forslund, liberalt landstingsråd för (L) i Stockholms läns landsting med ansvar för innovation, eHälsa, IT-utveckling och patientnära tjänster, på en PR-site för ett it-bolag gör ett intressant uttalande .
Sammanhanget för uttalandet kan i sig tyckas symptomatiskt med tanke på den ofta litet väl nära relation som funnits mellan sjukvårdspolitiker, landstingstjänstemän och it-leverantörerna men den frågan lämnar jag för tillfället.
Det som är intressant är följande avsnitt apropå de tre stora sjukvårdshuvudmännens satsning på en ny it-plattform: För den medborgare och/eller patient som inte haft insyn vare sig i den rådande ideologin inom sjukvården eller i den praktiska verkligheten måste detta uttalande vara ganska häpnadsväckande.
Är det inte en självklarhet att integritet och patientsäkerhet måste kunna upprätthållas samtidigt?
Tyvärr är svaret att under de senaste decennierna har integriteten i sjukvården steg för steg nedmonterats både som värdering och i utformningen av den informationshantering som ska stödja vårdprocesserna.
Detta är inte enbart min personliga uppfattning utan finns även som en av de slutsatser som Integritetskommittén dragit i sin kartläggning ”Hur står det till med integriteten” http://www.regeringen.se/pressmeddelanden/2016/06/kartlaggning-identifierar-allvarliga-risker-for-den-personliga-integriteten/.
Tyvärr har inte de utredningar som skett inom e-hälsoområdet heller sett detta som en prioriterad fråga.
Förhållningssättet till integritet som funnits med i digitaliseringsprocessen av vården ända sedan dess inledande faser är att det har målats upp en motsatsställning mellan patientsäkerhet och integritet.
Det har också funnits ett mycket svagt intresse hos sjukvårdshuvudmän, vårdgivare och it-leverantörer att göra den insats som krävs för att få en styrning av informationshanteringen och systemen/tjänsterna så att båda dessa värden kan uppnås samtidigt.
Min tolkning är att man istället anpassat etik och lagstiftning efter tekniska brister.
Integritetsfrågorna har också lyfts bort från de myndigheter som normalt arbetar med att reglera och tillsyna informationshanteringen i vården, t.ex.
IVO och tidigare Socialstyrelsen.
Tidigare skedde en gemensam intresseavvägning mellan patientssäkerhet och integritet inom samma myndighet som dessutom hade vården i sin helhet som uppdrag.
Nu förväntas Datainspektionen med sina begränsade resurser och mandat försöka styra hanteringen av personuppgifter i rätt riktning inom vården.
Intresseavvägningen mellan patientssäkerhet och integritet har därmed flyttats till den enskilde vårdgivaren som ska uttolka de olika myndigheternas icke samordnade reglering i en informationshantering som däremot blir alltmer gemensam.
Dessutom har tillsynen av de regler för skydd av integritet som faktiskt finns varit otillräcklig.
Det är inte enbart tekniken som varit orsak till att integritetens allt lägre prioritet.
Både organisationsförändringar och förändrade vårdformer har starkt påverkat synen på avgränsning och ansvar för informationen.
För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård.
Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades).
Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman.
Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän.
Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring.
Vid sidan om offentlighetslagstiftningen fanns patientjournallagen som gav vårdgivarna ansvar att både säkerställa patientsäkerhet och integritet.
Socialstyrelsen hade tillsyn enligt patientjournallagen även i de delar som gällde att värna patientens integritet.
Det fanns också en yrkesgrupp som var utbildad för att professionellt hantera vårdinformation – läkarsekreterarna.
Vi som under stark motvind försökt driva integritetsfrågan i sjukvården har bemötts med i princip alla de logiska fallacier som finns i den här både lärorika och underhållande uppräkningen .
Särskilt populära har i min anekdotiska erfarenhet varit: Det kanske vanligaste har ändå varit härskartekniker som tystnad och osynliggörande vilket kanske varit det tråkigaste eftersom det lett till att en mer seriös diskussion inte förts och viktiga intresseavvägningar inte gjorts.
Själv hoppas jag på en mer rationell diskussion som klarar att beakta flera intressen samtidigt.
Integritet har trots detta blivit en allt viktigare fråga i e-samhället och det är naturligtvis positivt att makthavare inom sjukvården också uppfattar det.
Det är bara att hoppas på att det finns en seriös vilja att verkligen åstadkomma detta i 3R-projektet även om det är svårt att tolka in det i det dokument som det hänvisas till http://www.sll.se/Global/Politik/Politiska-organ/Landstingsfullmaktige/2016/2016-06-14-15/forslag-41sid19.pdf.
I beslutet om upphandlingsunderlag står det: Inte så mycket om integritet alltså.
Frågan i rubriken får vara obesvarad ett tag till.
It-incidenter och andra störningar som påverkar informationshanteringen är och kontinuitetshantering i ett informationssäkerhetsperspektiv är en allt hetare fråga.
Detta förstärks naturligtvis av att vårt beroende till informationshanteringen är i ständig tillväxt liksom riskerna, både de medialt tacksamma antagonistiska hoten och de mer vardagliga som uppdateringar som misslyckas, buggar och hårdvaruproblem.
Utan tillgång till information och kommunikation befinner sig organisationer snabbt i krisläge.
Stora resurser ofta behövs för att åtgärda orsaken till incidenten och för återställelse till normalfunktion men också för att upprätthålla verksamhetsprocesserna med reservrutiner.
I idealläget finns en planering för åtgärder, återställelse och verksamhetsprocessernas reservrutiner samt, inte minst viktigt, för kommunikation med medarbetare och externa intressenter.
Planerna är övade, samordnade och ständigt förbättrade.
Organisationen är också medveten om att det inte bara är tillgängligheten som påverkas av avbrottet, det finns även stora risker för obehörig åtkomst och för negativa konsekvenser för riktighet och spårbarhet.
I verkligheten är i idealläget ganska långt borta vilket inte bara är en personlig erfarenhet utan framgår också från de undersökningar som gjorts av statliga myndigheter och kommuner.
Hur det står till i privata företag finns det ingen lika heltäckande undersökning av men indicierna är starka på en liknande situation även där.
Tyvärr gäller detta även verksamheter som allmänheten har stora förväntningar på ska kunna fungera även under svåra omständigheter, som sjukvården.
Den kanske mest genomarbetade analysen av dessa litet skrämmande förhållanden gjordes av Tom Andersson i en mycket intressant av läkemedelshanteringen i Västra Götalandsregionen.
Utöver de reflektioner som Tom Andersson själv gör i studien finns det några övergripande faktorer som jag anser gör det svårt för den som villa skapa en fungerande kontinuitetshantering i den egna organisationen.
Den kanske mest avgörande är att i princip alla offentliga och privata organisationer idag av sina uppdragsgivare förväntas planera enbart för ett ständigt normalläge.
Att i budgetdiskussioner hävda att det behövs en marginal, litet luft i systemet, litet extrakapacitet att ta till i händelse av störningar skulle i bästa fall väcka förvånade huvudskakningar.
Lean är möjligen en organisationsfilosofi på utgående men önskan att slimma verksamhetsprocesserna till allra nödvändigaste är numera etablerad i flertalet organisationer.
Tyvärr är det oundvikligt att en fungerande kontinuitetshantering kräver att organisationen ska klara situationer utanför normalläget vilket innebär extra resurser både för själva åtgärds- och återställelsearbetet och för reservrutiner som dessutom måste övas för att fungera.
En stor del av tidigare offentligt finansierad och offentligt utförd verksamhet överförts till privata utförare utan att avtalen innehåller krav på att utföraren ska ha en kontinuitetshantering vilket ytterligare försvårar situationen.
Även den som fått budget och sanktion för att skapa en kontinuitetsplan för informationshanteringen i den egna organisationen kommer att ha en svårhanterlig uppgift framför sig.
Informationshanteringen sker inte längre enbart i den egna organisationen utan är en del i ett komplext samspel med andra.
En processkartläggning över en verksamhetsprocess beroenden till olika tjänster och resurser för informationshantering som dessutom ständigt förändras är ett nödvändigt underlag.
Att få kontroll över denna helhet och skapa förutsättningar för att kunna hantera störningar är inget som går att lösa i ett projekt utan kräver ett systematiskt och uthålligt arbete där många interna och externa parter måste vara involverade.
I många sammanhang finns den outtalade förutsättningen att organisationer har en generell kontinuitetshantering som det går att komplettera med informationssäkerhetsaspekterna.
I ett sådant scenario finns redan modell och andra viktiga komponenter som ansvarsfördelning på plats.
Tyvärr är min erfarenhet att detta sällan är hur verkligheten beskaffad i flertalet organisationer.
Vad som finns är kanske en krisledningsorganisation men ingen faktisk planering eller övning av händelser då centrala resurser faller bort.
Den informationssäkerhetsansvarige får då arbeta i underläge och ta ansvar för mycket mer än vad som ligger i rollens mandat och uppgifter.
Här tror jag många informationssäkerhetsansvariga resignerar och med viss förtvivlan grubblar över hur de ska kunna göra det som de ändå vet är en mycket viktig del i uppdraget.
Varken för den generella kontinuitetshanteringen eller den som är specifikt inriktad på informationssäkerhet finns det mycket stöd att hämta.
Detta trots att förmågan att upprätthålla den verksamheten vid större störningar och kriser är ett ansvar som i det svenska krishanteringssystemet ligger på den enskilda organisationen.
Det finns naturligtvis standarder och konsultföretag som kan hjälpa till men någon nationell modell eller metod finns inte etablerad även om detta efterfrågats av bland annat kommuner.
Att plocka fram en egen modell eller metod framstår säkerligen för de flesta medelstora och små organisationer som övermäktigt.
Ur ett samhällsperspektiv är det också en suboptimering om alla organisationer ska ta fram egna varianter som dessutom inte är koordinerade sinsemellan.
Denna dystra bild får ändå inte göra oss passiva eftersom kontinuitetshanteringen är så betydelsefull för oss både i den enskilda organisationen och på en samhällsnivå.
Nedan följer några tips som ändå kan underlätta arbetet.
Det finns vissa återkommande anekdotiska exempel inom informationssäkerhetsområdet som ska beskriva en situation eller ett problem.
Vissa har jag säkert använt själv vid olika tillfällen.
Men när man hört något litet för många gånger börjar i alla fall jag begrunda vad som är den egentliga innebörden i exemplet – vad vill man ha sagt?
Och därefter funderar jag på vad effekten hos åhörarna, blir den verkligen den som eftersträvas?
Ett sådant återkommande exempel i presentationer, föreläsningar och utbildningar handlar om lösenord.
Antingen genom att beskriva det hela som en personlig upplevelse eller en mer generell företeelse så säger vi (även jag har gjort det någon gång för länge sedan…) att användare haft lösenord på post it-lappar fästa vid skärmen eller under skrivbordsunderlägget.
Samma exempel återkommer i tips för bättre säkerhet som och .
Det är uppenbarligen en bild som säkerhetsmänniskor finner effektfull trots att skrivbordsunderläggen i ärlighetens namn numera är sällsynta.
Ofta berättas detta med ett överseende, eller ännu värre; ett smått föraktfullt, leende som låter påskina att medarbetarna inte förstår sig på alternativt inte bryr sig om säkerhet.
Min erfarenhet är att detta är en helt felaktig uppfattning.
I princip alla verksamheter som jag jobbat i, och inte minst inom vården, är de allra flesta medarbetare mycket engagerade i att göra ett bra jobb.
Detta inkluderar även att följa de säkerhetsregler som finns.
Att sedan lösenordshanteringen ändå kan vara litet si och så tror jag beror på flera faktorer.
En väsentlig elefant i rummet är att det jobbigt att hantera lösenord på det sätt som sker nu.
Sedan mitten av 90-talet har det utlovats single sign-on-lösningar men få har hittills skådat fungerande lösningar i verkligheten.
Istället fortsätter det som förut med allt längre lösenord, olika lösenord i de allt fler applikationer som används på arbetsplatserna och med krav på byten var tredje månad.
I en stressig arbetssituation kan jag inte annat än ha förståelse för att medarbetare söker genvägar.
I vårt privatliv kan vi använda olika lösningar som automatgenererar hyfsat säkra lösenord men i arbetsmiljön är många kvar på ruta ett.
En annan faktor är kommunikationen om lösenord.
När jag läser och hör hur reglerna för lösenordshantering kommuniceras med medarbetare är det sällan med någon motivation eller beskrivning av vari risken ligger om lösenordet är för kort eller används längre än ett kvartal.
Detta tror jag är en mer generell problematik inom säkerhetsområdet.
Alltför ofta använder vi olika former av envägskommunikation och dessutom utan att ge tillräckligt bra förklaringar hur bristande tillämpningar av säkerhetsåtgärder påverkar kvaliteten och effektiviteten i verksamheten.
Jag ser det hela framför mig som en våg där goda förklaringar gör säkerhetsåtgärden uppfattas som motiverad och krångligheten acceptabel.
Slutligen är ett problem att det tycks finnas mycket litet evidens om lösenord, hur långa de bör vara och hur ofta de bör bytas.
Vi går på det som litet slängigt brukar kallas ”best practice” vilket kan tolkas som ”vi tror att det här det bästa sättet att göra det men har inga belägg för det”.
Att beläggen är svaga gör vår egen argumentation svag vilket gör det svårare att övertyga andra vilket sannolikt är en förklaring till att vi hellre kör ut en oemotsagd regel än har en mer djuplodande diskussion om risker med verksamheten.
Jag tror inte medarbetare känner sig särskilt motiverade av den här typen av exempel hur ”dumma” andra medarbetare i samma situation är.
Förmodligen kommer istället antingen en viss skamsenhet över att man inte själv heller alltid lyckas leva upp till de krångliga reglerna eller så fnyser man invärtes och tänker: ”det är ju lätt att säga när man inte vet hur det fungerar här och hur stressigt det är”.
I båda fallen tapparkontakten med sin publik.
Sammantaget drar jag tre slutsatser av ovanstående.
Att det inte är så konstigt att medarbetare gömmer lösenord under de imaginära skrivbordsunderläggen.
Att vi måste hitta bättre fungerande säkerhetslösningar både i bemärkelsen att de fungerar effektivt mot beskrivna risker och i bemärkelsen att de går att använda på ett inte alltför tyngande sätt för medarbetare.
Att vi måste bli bättre på att belägga de säkerhetslösningar vi föreslår med evidens istället för att hänvisa till ”best practice”.
Med tanke på att behovet av informationssäkerhet kommer att öka alltmer måste vi kunna både för oss själva och för de organisationer vi verkar i visa att vågen är i balans; att de tyngande rutiner och åtgärder vi förordar är motiverade.
Förhoppningsvis har det inte förbigått någon att2018 kommer att ersätta den svenska personuppgiftslagen.
Dataskyddsförordningen innebär att den enskildes rättigheter gällande skydd av personuppgifter stärks medan kraven blir strängare för myndigheter, företag och andra organisationer som hanterar personuppgifter.
Ett förbättrat integritetsskydd är verkligen välkommet med tanke på hur det ser ut på integritetsfronten idag.
Den kartläggning av som genomförts av Integritetskommittén genomfört (för transparensen skull är det väl bäst att meddela att jag suttit som expert i kommittén) visar på allvarliga brister i skyddet för den enskildes integritet i olika verksamheter.
Särskilt bekymmersam beskrivs situationen i hälso- och sjukvården vilket inte på något sätt förvånar den som har någon inblick i hur sjukvårdens informationshantering är utformad idag.
Jag kommer att återkomma till den fråga i ett senare inlägg men för den intresserade går det bra att ladda ner utredningen i sin helhet .
Ett kapitel där jag varit närmare involverad handlar om integritet och informationssäkerhet.
Dessa två storheter är nära länkade i ett antal avseenden.
Skyddet för den personliga integriteten ingår med självklarhet i aspekten ”konfidentialitet” och att skapa förutsättningar för att upprätthålla integritet är därmed ett mål fört i en organisation.
Informationssäkerhetsarbetets arsenal av åtgärder är de samma som måste användas i skyddet för integriteten.
Detta kan tyckas vara självklarheter och sammankopplingen har gjorts på det nationella planet exempelvis i den så kallade Infosäk-utredningen som lade fram sitt slutbetänkande Säker information.
I utredningen föreslogs som en av tio mål i en svensk informationssäkerhetsstrategi vara att skapa förtroende, trygghet, säkerhet, och öka integritetsskyddet.
Tråkigt nog kan detta ses som en startpunkt för en nu decennielång tradition i det nationellat (liksom i e-förvaltnings- och e-hälsosatsningar på nationella planet); att säga att integritet är ett viktigt mål men inte komma med några konkreta förslag på åtgärder för att uppnå målet.
Se även , och .
I NISU var utredarens uppdrag bland annat att: Uppdraget kan tolkas som något otydligt då ordet integritet visserligen ingår men sannolikt i samma betydelse som det engelska Detta är ett återkommande problem som , att begreppet integritet används i två helt olika betydelser inom informationssäkerhetsområdet.
Den första betydelsen är den definition av den personliga integriteten som återfinns exempelvis i personuppgiftslagen.
Den andra har sitt ursprung i EU:s definition av informationssäkerhet där användningen av begreppet är synonymt med det engelska .
Begreppet avser i detta sammanhang att en databas, ett nätverk, ett system alternativt en informationsmängd är skyddad från oavsiktlig förändring eller förlust av information.
NISU väljer att över huvud taget inte behandla den personliga integriteten: Av vilken orsak utredaren gör denna avgränsning motiveras inte närmare.
Därmed avviker NISU från det förhållningssätt som exempelvis ENISA och OECD rekommenderar.
The European Union Agency for Network and Information Security (ENISA) har uppdraget att samordna EU:s arbete med nät- och informationssäkerhet.
Integritetsfrågorna är en inte oväsentlig del av ENISA:s arbete där värnet av den personliga integriteten ses som en förutsättning för den it-utveckling som ska ge en viktig grund för den ekonomiska utveckling som eftersträvas för Europa.
Som en följd av detta har ENISA genomfört olika insatser som bland annat resulterat i ett antal publikationer som behandlar integritet från policynivå ner till teknisk tillämpning.
ENISA gjorde 2014 en ambitiös guide som beskriver hur skyddet av integritet kan utformas i praktiken i it-relaterade tjänster och system.
De har här utvidgat begreppet för konceptet till att gälla Privacy and Data Protection by Design.
I inledningen till vägledningen summeras integriteten i ett EU-perspektiv från ett överordnat värde till tekniska åtgärder som byggs in i it-lösningar: Även för OECD (Organisation for Economic Co-operation and Development)har informationssäkerhet och integritet ett nära samband vilket bland annat demonstreras av en arbetsgrupp för informationssäkerhet och integritet (Working Party on Information Security and Privacy in the Digital Economy – WPSPDE).
Från Sveriges sida har Post- och telestyrelsen (PTS) deltagit i arbetet.
2015 presenterades den senaste vägledningen i informationssäkerhetsfrågor, Digital Security Risk Management, där ett viktigt paradigmskifte genomförts då man säger att informationssäkerhet inte är en teknisk fråga utan en ekonomisk.
Informationssäkerheten ska därmed kopplas till den positiva ekonomiska utveckling som är OECD:s syfte.
OECD har lyft fram integritetsfrågorna som en viktig framgångsfaktor för den ekonomiska utvecklingen.
Skydd av personuppgifter vid dataöverföring och datalagring måste vara utformat så att det underlättar för fria dataflöden över landsgränser.
2013 kom en ny version av The OECD Privacy Framework där organisationen framhåller att man under decennier spelat en viktig roll i främjandet av integritet som ett fundamentalt värde och som ett villkor för ett fritt flöde av personuppgifter över landsgränser.
I ramverket ingår ett antal principer bland annat rörande insamling av personuppgifter, datakvalitet, syftet, användningen, säkerhet, öppenhet, individens rättigheter samt ansvar för datahanteringen.
Vad som tillkommit i revisionen 2013 är att man förordar ett riskbaserat förhållningssätt på samma sätt som i övrigtsamt krav på incidentrapportering.
Här är OECD:s linje att det bör finnas en nationell strategi för hantering av personuppgifter.
Eftersom i princip alla organisationer hanterar personuppgifter i större eller mindre omfattning så har också i princip alla organisationer legala krav på hur hanteringen ska ske.
De flesta organisationer har också behov av att kunna uppvisa en ansvarsfull hantering av personuppgifter för att kunna upprätthålla sin legitimitet och för att kunna skapa tillit hos olika omgivande aktörer.
Legitimiteten som kommer av förmågan att kunna upprätthålla den personliga integriteten har, som både ENISA och OECD understryker, en stark påverkan på ekonomisk utveckling på både samhälls- och aktörsnivå.
Kort sagt kan informationssäkerhet ha en mycket viktig funktion även för den ekonomiska utvecklingen nationellt och internationellt.
Att man i Sverige då valt en linje med svaga kopplingar mellan områdena är märkligt.
Förhoppningsvis kan svenska myndigheter samordna sig i konkreta frågor som att MSB:s obligatoriska it-incidentrapportering integreras med den rapportering av incidenter som ska utifrån kraven i dataskyddsförordningen så dubbelrapportering undviks.
Men för att stödja olika verksamheter så att de kan bedriva ettsom stödjer de allt starkare kraven på skydd av personliga integriteten kommer enligt min bedömning att kräva betydligt mer.
Detta kommer jag att återkomma till i ett senare inlägg.
Almedalsveckan är slut, politiker, leverantörer, offentliga tjänstemän och lobbyister har åkt hem efter en hektisk vecka av nätverkande.
Som vanligt har deltagarna och seminarierna blivit fler än året förut.
Bara myndigheterna har lagt ner drygt 23 miljoner på sitt deltagande enligt en som SVT gjort.
Det vore enkelt att här infoga någon liten sarkastisk kommentar men jag väljer att avstå.
Hellre än ett slentriangnäll vill jag reflektera litet om det nätverkande som Almedalen är en så tydlig symbol för.
Få ord kan idag sägas med samma entydigt positiva konnotationer som ”nätverkande”.
Vad ordet egentligen betyder är däremot oklart, det är litet kontakter, workshops, mingel, sociala medier och samverkan.
En slutsats man kan dra om man googlar på nätverkande är att det inte är ett planlöst umgänge utan nätverkandet framställs alltid som ett socialt umgänge med ett syfte, från att det är bra att ha ett socialt nätverk vid ett sorgearbete till yrkesmässiga nätverk som ska leda till jobb eller gemensamma prestationer.
Det organiserade nätverkande, som i Almedalen, kan se som en motsats till den formella byråkratin av weberianskt snitt där förenklat en organisation har en uppgift som ska utföras och detta sker genom tydliga roller, ansvar och regler.
Procedurerna är fördefinierade och reglerade.
Byråkraternas kompetens, oavsett om de är jurister eller ingenjörer, är definierad och legitimerad.
Nätverkandet sker istället över organisationsgränser, i de flesta fall utan närmare uppdrag och regler.
Deltagarnas kompetens är i det närmaste per definition skiftande och i en så löslig form som ett nätverk är ansvarsutkrävande inte en fråga.
Tillträdet till nätverket är inte meritokratiskt utan sker ofta delvis genom relationer.
I ett samhälle med hög utvecklingstakt har den traditionella byråkratin, när ständigt nya frågor ska hanteras är det inte möjligt att ständigt tillämpa fördefinierade procedurer.
I den svenska förvaltningshistorien skedde ett skifte från 1950-talet då de stora välfärdssatsningarna byggdes upp och detaljstyrningen alltmer övergick mot ramlagstiftning och mer omfattande delegationer.
Mina byråkratiska erfarenheter under senare år tyder på att den svenska förvaltningen nu i delar pendlat från Weber till att alltmer bedrivas i form av samverkan och nätverk.
Denna utveckling svarar i vissa delar på verkliga behov; det krävs kreativitet, olika perspektiv och samhällets bästa resurser oavsett organisatorisk tillhörighet för att hantera de stora framtidsfrågorna långsiktigt.
Men det finns också fallgropar när myndighetsuppdrag och andra samhälleliga åtaganden exekveras i samverkansprojekt utan formalisering.
Elementära krav som ställs på myndigheters arbete i övrigt som öppenhet, insyn och representativitet är svårt att upprätthålla.
Kanske viktigast, i ljuset av den senaste tidens händelser i myndighetsvärlden, är svårigheten för statliga och kommunala tjänstemän att agera på ett sakligt och opartiskt sätt.
I en miljö där offentliga tjänstemän förväntas utveckla personliga relationer med leverantörer och representanter för intressegrupper kan det bli mycket svårt att fatta beslut på ett opartiskt sätt.
Det finns en stor risk för vänskapskorruption men också det som Mikael Holmqvist, professor i företagsekonomi, beskriver i sin bok om Djursholm och den maktelit som bor där: konsekrati.
Konsekrati innebär maktstrukturer som fostrar och premierar särskilda beteenden, attityder, yttre företräden och manér där de som anammar dessa också får inflytande i strukturen.
Under årets Almedalsvecka var digitalisering ett hett tema.
Med all rätt ser allt fler digitalisering som ett samhällsprojekt för att skapa en gemensam infrastruktur där staten har ett stort ansvar.
Mer luddigt är däremot hur denna infrastruktur bör skapas och vari den bör bestå.
Trots att stora offentliga satsningar faktiskt gjorts under ett par decennier både inom förvaltning och inom hälso- och sjukvård står vi fortfarande idag i en tämligen ofärdig digitalisering.
En orsak till detta kan vara att staten i alltför hög grad överlåtit planering och styrning av digitalisering till olika nätverksstrukturer istället för att tänka som om det handlat om att anlägga järnvägar.
Och om programvaruleverantörer får ett starkt inflytande kommer tyngdpunkten sannolikt inte att ligga på långsiktig utveckling av basfunktioner utan på de programvaror som finns tillgängliga.
Några reflektioner efter att ha deltagit i olika samverkansformer inom digitaliseringsområdet som varit av mer levererande karaktär och inte bara för erfarenhetsutbyte.
För det första har det varit svårt att få en överblick.
Överblick över mål, beroenden och ansvar för att ta några exempel.
Eftersom denna typ av samverkansform ligger vid sidan om den ordinarie myndighetsstrukturen samtidigt som deltagarna är anställda av myndigheter är det svårt att säga vilket ansvar som myndigheterna faktiskt har och hur de ska styra arbetet i samverkansgruppen.
Det gör också att det är mycket svårt att skapa en fungerande insyn i beslutsprocessen, alltså en slags demokratiskt underskott.
Samverkan i nätverk eller tidsbegränsade konstellationer skapar en stress, inte sällan uppkommen av politiska agendor.
Nätverket vill visa snabba resultat och goda exempel eftersom man har kort tid på sig.
Utrymmet för att lösa verkliga eller uppfattade målkonflikter som till exempel frågor kopplade till säkerhet eller integritet är mycket begränsat.
Tendensen förstärks då it-leverantörer och konsulter tas in i arbetet eftersom myndigheters gemensamma digitaliseringsprojekt naturligtvis både är en god inkomstkälla och ett alldeles utmärkt skyltfönster för de egna tjänsterna.
Och här kan en ohelig allians skapas: samverkansgruppen har ett behov av konkreta lösningar men har ingen långsiktig strategi, leverantören har en tjänst som vill flyga högre på marknaden och managementkonsulten kan knyta ihop alltihop till ett koncept som ser behovsstyrt ut.
Voila – ett digitaliseringsprojekt!
Och om det inte fungerar, inte är effektivt eller har säkerhetsbrister så har samverkansgruppen upplösts, leverantören har bara gjort vad som ”beställts” och konsulten har gått vidare när det uppdagas och inget ansvar kan utkrävas.
Ovanstående kan låta cyniskt men man kan välja att se alla inblandade som organisationsformens offer.
Samverkansgrupper har inget starkt mandat, framför allt inte långsiktigt och detta har, anser jag, varit ett stort hinder för en effektiv digitalisering.
Att digitaliseringen skett utan egentlig strategi, mandat och traditionell myndighetsstruktur och i tillfälliga gruppkonstellationer har också lett till ett starkt personberoende.
Vilken kompetens som är nödvändig för att arbeta med digitaliseringen är inte tydlig och jag tror att detta skapat en stark gruppkänsla hos de som varit involverade i de större projekten – man är där som person och inte så mycket på formella meriter.
Digitaliseringen har därför fungerat mer som en konsekrati än en meritokrati.
Min upplevelse är att denna gruppgemenskap som saknat formell grund skapat en kultur där det varit svårt att hantera komplicerade frågor och att härbärgera olika åsikter.
Sammantaget har inte det svenska sättet att bedriva digitaliseringen varit så framgångsrikt som det skulle finnas förutsättningar för.
Fragmentiseringen har inte lett till goda resultat, inte skapat tillit och, vilket är min huvudfråga, haft mycket svårt att hantera informationssäkerhetsfrågor.
Trots den stora enigheten om värdet att den digitala informationshanteringen så har säkerhetsfrågorna negligerats och det saknas idag samarbetsformer för att kunna styra säkerheten i det alltmer gemensamma informationsflödena.
Detta bör naturligtvis även ses som ett tillkortakommande för oss som arbetar med informationssäkerhet där vi har vår egen konsekrati som inte prioriterat stöd för bättre säkerhet i digitaliseringen, mer om detta i ett senare inlägg.
Om alla är överens om att det är dags att satsa fullt ut på den digitala revolutionen så är det också dags att ta digitaliseringen på allvar.
Ta litet av nätverksresurserna, lägg till litet mer och satsa i långsiktiga organisationsformer med ett starkt mandat och ansvar i digitaliseringsfrågor.
Samverkan med olika aktörer är lika nödvändig som tidigare men måste ske på ett sätt så att inte olika särintressen får vara vare sig de som formulerar problemet eller kommer med snabba lösningar.
Om det skapas en litet grå och tråkig e-myndighet som inte enbart behöver ägna sig åt politik och publikfriande lösningar utan får möjlighet att uthålligt få bygga en infrastruktur med osexiga delar som gemensam informationsmodell så finns det hopp för framtiden.
Låt informationssäkerhet för normalläget ingå som ett uppdrag för myndigheten och se säkerheten som en kvalitetsfråga.
Då kan även informationssäkerhet bli en paradfråga för digitaliseringen på samma sätt som trafiksäkerhetsfrågor varit det för svensk transportinfrastruktur.

Strawman: om du är för integritet och ser att den frågan inte hanterats i digitaliseringsprojekt så är du emot digitalisering i sig och vill gå tillbaka till pappersjournaler och hur bra var det med alla som sprang i journalarkiven?
Black or white: om du är för integritet så är du emot patientsäkerhet eftersom det framställs som omöjligt att vara för både och.
Anecdotal: Eftersom det inte finns någon egentlig sammanställning och utvärdering av vilka brister i informationshanteringen som lett till vårdskador så har ofta begränsningar i informationstillgången framställts som orsaken medan det kanske snarare handlat om bristande riktighet eller spårbarhet – detta bevisat genom egna anekdotiska bevis (vilket även kan ses som false cause, det vill säga att man skapar en korrelation som inte kan underbyggas).
Bandwagon: I och med att det funnits en gemensam acceptans för bristande integritet bland sjukvårdspolitiker och andra makthavare i vården så har det varit lätt att implicit och explicit driva en linje innebärande ”att alla gör så och varför skulle vi då ha krav på oss att göra annorlunda?”.
Appeal to authority: Mycket kraftfullt har varit att framställa läkare, annan vårdpersonal och vissa starka patientföreningar som innehavare av sanningen som inte går att motsäga.
Att de representerar särintressen har inte alltid framkommit.
Begging the question: Ett vanligt exempel som jag fått höra sedan början av nittiotalet är: ”tänk när någon kommer in medvetslös på akuten och vi kan rädda hen om vi bara får tillgång till all information – hur kan du vara emot det?” I detta exempel ligger ju antal inbäddade förutsättningar som att detta är den vårdsituation som vi bör ha som mall för alla andra (vilket även är ett exempel på composition/division) och att den som förespråkat integritet därmed sagt att det aldrig finns undantag eller speciella rutiner.
Prioritera verksamhetsprocesser.
Vid en större störning kommer det inte att vara möjligt att upprätthålla all verksamhet utan de resurser i form av exempelvis tjänster, kommunikation och medarbetare måste användas för de processer som ledningen prioriterar.
Prioriteringen ska inte ske under störningen utan under exempelvis verksamhetsplanering.
Kartlägg beroenden.
Genom processkartläggning går det att identifiera vilken information och vilka bärare som är nödvändiga för att upprätthålla processen.
Det ger också ett bra underlag för it-ansvariga att ta fram den planering som ska ske mellan olika tjänster och andra it-resurser.
Håll planeringen så enkel som möjligt.
Alltför komplexa planer blir snabbt inaktuella och dessutom svåra att hantera i ett kritiskt läge.
Det är sällan intressant att gå djupare i olika tänkbara orsaker till störningen utan det är störningens effekter på verksamheten som är det intressanta.
Att koncentrera sig på effekterna gör också planeringen enklare än att ha en mängd olika alternativ utifrån olika orsaker till störningar.
Se till att ledningen är beslutsför.
Under ett akut skede måste ett antal beslut tas som ligger utanför det som är möjligt att planera och då måste de som har en ledningsfunktion känna sig trygga i att de får fatta beslut.
Förbered för kommunikation.
God kommunikation med de egna medarbetarna och med intressenter utanför den egna verksamheten är oumbärlig både före, under och efter en större störning.
Öva, öva,öva!
Övningar kan ske under mycket anspråkslösa former som exempelvis på en arbetsplatsträff där man går igenom ett scenario och simulerar de steg som planen innehåller.
Mycket nyttigt både för planen,och verksamheten.

är

Meny Författare: Inläggsnavigering

MENU MENU Fia Ewald Postat av Postad i , , , , , Tagged , , , , Postat av Postad i , Tagged , , , Postat av Postad i , Tagged , , , Postat av Postad i , Tagged , , , , Postat av Postad i , , Tagged , → Sök efter:

Satsningen på en ny plattform som nu ska göras innebär att man nu kan öka både patientsäkerheten och integritetsskyddet på ett sätt som varit svårt tidigare.
– Förut har man varit tvungen att kompromissa mellan dem.
Man har låst in data i respektive system vilket gett ett bra integritetsskydd men en sämre patientsäkerhet, men för första gången kan man nu höja nivån på båda samtidigt.
Dagens tekniska system gör det möjligt att ha gemensamma databaser och ändå sätta behörigheter på informationen.
Om du är kvinna och bryter ett ben behöver ortopeden inte ha tillgång till dina gynrapporter till exempel.
Vi kan också kravställa spårbarhet, vem som läst din information, på ett annat sätt, samtidigt som vi kan öka patientsäkerheten, säger Daniel Forslund.
Kärnsystemet ska stödja följande skapa incitament för verksamhetsutveckling, inklusive arbete med standardisering kopplat till begrepp som process, teknik, patientsäkerhet och kvalitet etablera förutsättningar för arbetet med en gemensam informationsstruktur omfattande informationsmodeller och termer/begrepp system ge invånaren en ökad tillgänglighet till och enklare kommunikation med vården Stockholms läns landsting ge invånaren möjlighet till att ta aktiv del i och ansvar för sin hälsa och sjukvård ge vårdverksamheten tillgång till en användarvänlig informationsmiljö i realtid med besluts- och processtöd ge kvalitetssäkrad information för att kunna utveckla vårdens processer och dess arbetssätt ge verktyg för forskning, utveckling och utbildning ge ett lättillgängligt verktyg för myndigheter och vårdgivare så att arbetet med kvalitets- och ledningssystem underlättas.
Regeringens skrivelse 2009/10:124 Samhällets krisberedskap – stärkt samverkan för ökad säkerhet Strategi för samhällets informationssäkerhet 2010-2015 SOU 2015:23 Informations- och cybersäkerhet i Sverige.
Strategi och åtgärder för säker information i staten (NISU) föreslå övergripande mål för samhällets, och hur Sverige ska upprätthålla säkerhet och integritet i samhällsviktig it-infrastruktur.
integrity I de delar utredningens förslag skulle kunna påverka den enskildes personliga integritet föreslår utredningen ytterligare utredningsåtgärder för att väga in sådana aspekter.

Jag blev ombedd att vara med som expert i en rörande den nu så aktuella frågan distansarbete.
Det blir ju litet fragmentariskt när man svarar på inkomna frågor så jag tänkte ta tillfället i akt och sammanställa några rekommendationer rörande distansarbete.
Den organisation som tagit fram (samt övat) en fungerande och dessutom tagit fram regler för distansarbete i normalläget har naturligtvis ett stort försprång nu.
För de som inte fokuserat på detta är det en längre väg att gå men då gäller det att man är på rätt väg innan man börjar gå.
Utgångspunkten för nedanstående rekommendationer är att det är verksamhetens processer som ska upprätthållas.
För processerna är informationen en central resurs.
Informationen och organisation i centrum alltså medan it-säkerheten blir den följd av de krav som verksamheten ställer.
Jag tar inte upp ergonomi eller vikten av gemensamma kaffestunder.
Målbilden är att kunna arbeta lika säkert på distans som på den ordinarie arbetsplatsen.
Jag ska nu framföra den något inopportuna åsikten att det dokumenteras för litet i organisationerna.
Inopportun eftersom vi fortfarande lever i en tid med oändlig övertro på fragmentiserade mätvärden, checklistor, matriser och inkodande, väl skildrat .
Huvudsak blir bisak och frågan är allt oftare för vems skull allt detta registrerande sker, kanske inte för patienten eller eleven utan för att försörja något multinationellt företags omätliga begär efter data?
Det är inte denna typ av dokumentation jag skriver om här utan snarare när matriser ersätter resonemang och utvecklade bedömningar.
För att ta informationssäkerhetsområdet som ett exempel ser jag som regel snarare än undantag informationsklassningar och riskanalyser vars värde kan ifrågasättas, särskilt i det längre perspektivet.
Det som återstår efter timmar av nedlagd arbetstid och noggrann analys är alltför ofta en matris eller ett excel-ark utan förklaringar.
Deltagare eller roller som ingått framgår inte och inte heller hur resultatet ska hanteras.
Men mest saknas på vilka grunder bedömningen gjorts.
Att arbeta på det här sättet är som att skriva i vatten.
Skrivandet, när det sker på ett beständigt sätt, är i sig ett stöd för tanken.
Medan man skriver formulerar man sina tankar, utvecklar och förtydligar, hittar svagheter, gör synteser och lägger grunden för kommunikation.
Man skapar förutsättningar för en diskussion som vaskar fram de bästa praktiska lösningarna.
Både informationsklassningar och riskanalyser ska naturligtvis ske återkommande.
En väl dokumenterad tidigare klassning eller riskanalys är ovärderligt stöd då proceduren ska upprepas.
Istället för att börja från noll kan man gå igenom vilka faktorer som kvarstår eller ändrats, om man fått fördjupad kunskap som påverkar bedömningarna, om åtgärder vidtagits som påverkar risken eller om lagstiftning tillkommit för att ta några exempel.
Utan bra dokumentation kommer inte ens de som deltagit i den förra övningen hur diskussionen gick, än mindre de som kommer till.
Att det organisatoriska minnet skapar effektivitet är en sak.
Ytterligare en är att dokumentationens syfte inte enbart är att kommunicera utan det är också ett sätt att aggregera kunskap inte bara i enstaka situationer utan genom att skapa ett större kunskapsunderlag som kan återanvändas i nya situationer.
Detta bör även ses som en del i organisationens generella riskarbete.
Det skrivna ordet är vår kapsel för kunskap vilket även går att översätta till mänsklighetens utveckling.
Låt mig ta ett sista argument för bättre dokumentation och organisatoriskt minne, nämligen att det är verktyg för att skapa ett sammanhang för de som arbetar i organisationen.
En fullödig dokumentation lägger fram de rationella skälen till gjorda bedömningar och motiverar i förlängningen säkerhetsåtgärder.
Detta leder till en positiv säkerhetskultur kan växa fram där det är naturligt att samtala om säkerhet och där det är tillåtet att ifrågasätta säkerhetsbedömningar.
Den som arbetar med säkerhet behöver inte känna sig pressad och defensiv när någon frågar varför ett visst tillvägagångssätt ska tillämpas eftersom det finns mer än siffra att bygga sin motiverande argumentation på.
KASAM, känslan av sammanhang, var ett begrepp som myntades av sociologen Se alltså detta inlägg som en plädering för att skriva bättre och läsa mer.
Den som känner sig osäker i sitt skrivande måste få öva, öva, öva och att skriva bra bör uppvärderas och ses som en omistlig kompetens för den som arbetar mehar grubblat en hel del över den falske officeren som i hägn av den svenska försvarsmakten lyckades ta sig ända in i . Som en bakgrund kan sägas att jag aldrig arbetat inom Försvarsmakten men varit i nära kontakt med representanter för myndigheten i olika sammanhang, inte minst då jag arbetade på MSB.
Dessutom gav utbildningen till signalskyddschef som jag genomgick för många år sedan en inblick i Försvarsmaktens syn på säkerhet.
Tillåt mig att framföra några obekväma iakttagelser som helt baserar sig på uppgifter i media.
Min egen upplevelse har varit att representanter från Försvarsmakten har självbilden att säkerheten i denna verksamhet är mycket bättre både vad gäller omfattning och kvalitet än den som den civila världen lyckas leverera.
Denna bild förefaller som så självklar att den aldrig ens diskuteras och påverkar även verksamheter utanför Försvarsmakten.
Det går ofta så långt att man vill exportera de säkerhetslösningar som tillämpas inom försvaret till andra delar av samhället.
Själv har jag ofta reflekterat över huruvida Försvarsmaktens (och säkerhetsskyddets) lösningar verkligen är ”bättre” än civila respektive kommersiella dito samt om de över huvud taget är möjliga att implementera i en mindre styrd miljö än Försvarsmaktens.
Skillnaderna mellan mål, organisation, kultur och teknik är så i grunden olika varandra att jag betvivlar att en rak export från Försvarsmakten är vare sig möjlig eller önskvärd.
Tvivlet har förstärkts av den attityd som kan finnas hos de som kommer från det gröna hållet, en viss överlägsenhet och ovilja att ta till sig att andra mål och medel är centrala i det civila livet.
Vid ett antal anställningsprocesser har jag också varit med om att militärer ansett sig lämpade som informationssäkerhetsspecialister i det civila trots att de saknat erfarenhet både från den rekryterande verksamhetens bransch och av informationssäkerheten.
Att ha jobbat i Försvarsmakten har varit en tillräcklig merit för dessa sökande.
Eftersom min grundprincip för säkerhetsarbete är att säkerheten måste anpassas till de unika förutsättningar som råder i varje organisation har denna inställning förefallit missriktad för den som vill förbättra säkerheten.
Det behöver kanske inte tilläggas att representanter för den hållningen inte skapar förutsättningar för en givande diskussion med respekt från båda håll.
Vart vill jag då komma med dessa anekdotiska grundade beskyllningar sammanförda med skandalincidenten den falska officeren?
En del är min egen förundran över att en verksamhet med ovanstående rykte och självbild som ”säkerhetsexperter” hamnat i en säkerhetsskandal som enligt min mening faktiskt slår den i Transportstyrelsen.
Här har man gett en uppenbart opålitlig person fått en säkerhetsklassad tjänst på Must, fått samordna signalskyddstjänsten och haft tillgång till !
Därefter har utlandstjänster med mera följt, också dessa tjänster med reella möjligheter att åstadkomma stor skada.
Slutligen blev han även en av Kustbevakningens kontaktpersoner för den ryska säkerhetstjänsten .
Sammantaget en karriär med potentiell tillgång till mycket känslig information under ett par decennier.
Lustigt nog förekommer samma kommentarer från Försvarsmakten och Must som från Transportstyrelsen där man vill reducera allvaret i händelsen genom att hävda att inget tyder på att någon skada är skedd.
Dessutom sägs att rutinerna för säkerhetskontroller skärpts de senaste tio åren.
Båda dessa defensiva kommentarer är problematiska menar jag.
Det förefaller svårt att på någon månad grundligt reda ut eventuella skadeverkningar av ett bedrägeri som vad jag förstår av media pågått i ett par decennier och dessutom i mycket känslig verksamhet.
Sakförhållanden borde föranleda en mycket större utredning med tanke på hur länge han varit där och hur kort tid som Försvarsmakten känt till förhållandena.
För mig som okunnig utomstående borde bara vetskapen om de insiderjobb Wennerström och Bergling genomförde framkalla frossa och en oerhörd iver att verkligen ta reda på vad som hänt.
Kanske sker också detta i det tysta men den till synes obekymrade hållningen i media inger inte förtroende.
Argumentet att säkerhetskontrollerna blivit så mycket bättre på senare år motsägs av att bedragaren under just de senaste åren manövrerat sig mellan olika känsliga positioner ända fram till Nato.
Det tyder inte på att noggranna kontroller gjorts.
Att verifiera de uppgifter en sökande lämnar vid ansökningsförfarandet uppfattar jag ändå som en slags basnivå.
I min okunnighet förfaller det som en relativt enkel uppgift när det gäller officerstjänster.
Den aktuella bedragaren hade ljugit om akademiska studier vilket är en sak.
En annan att han uppgivit att han genomfört officersutbildning vilket är en lögn som är mycket svårare att förstå att han lyckades slå i sina arbetsgivare.
När ett företag eller myndigheter ska anställa finns det ofta bokstavligen hundratals möjliga studiemeriter med utländska universitet inräknade.
Försvarsmakten har däremot en potentiell totalkoll på inflödet till officerstjänster, de kontrollerar ju den enda möjliga meriten.
Det finns mig veterligen inga alternativa eller privata officersutbildningar.
Att då någon ändå slipper igenom är högst förvånande.
När falska läkare avslöjas går det snabbt att kontrollera mot Socialstyrelsens förteckning över vilka som är legitimerade.
Då finns det ändå c.a.
jämfört med c.a.
vilket borde vara litet enklare att hålla reda på.
På sociala medier har jag fått upplysningen av mer insatta i branschen att det här sannolikt är ett fall av vad som kallas ”bäste bror”.
Jag tolkar det som en kåranda där man av rädsla att uppfattas som ifrågasättande av en officerskollegas kompetens eller heder underlåter att genomföra de rutinkontroller som beslutats.
Kanske känns det pinsamt att fråga någon som man borde känna utan och innan vad de egentligen har för formella meriter.
I en så liten yrkesgrupp som 9000 officerare kan naturligtvis en sådan tendens förstärkas.
Det känns inte som detta är förklaringen till varför Försvarsmakten inte reagerade när det fick uppgifterna från Kustbevakningen om de fynd myndigheten gjort angående ”officerens” meriter.
Det är bara obegripligt för en utomstående att den informationen inte ledde till omedelbara åtgärder.
Faktiskt känns det som det hela kunna fortgå än om inte Dagens Nyheter uppmärksammat det hela och ställt de frågor som fortfarande i stort är .
Vad kan vi lära av detta när det gäller säkerhet i allmänhet, förutom att pressen gör ett viktigt renhållningsarbete när myndigheterna själva inte klarar av det?
Min första tanke är hur svårt det är att få till en fungerande säkerhet.
Även om säkerhetsarbete alltför ofta framställs som enkelt att genomföra bara man följer de rätta ”mallarna” känner jag och troligen många andra som arbetat i praktiken en stor ödmjukhet inför uppgiften.
Det är så mycket som inte står i manualerna, det är så många procedurer som ska fungera, det är så många människor som ska tänka, känna och göra rätt.
Och det räcker inte att det fungerar en gång, det ska fungera åt efter år.
I det aktuella fallet är det ju de i allmänhet så hånade ”medarbetarna” som slarvat utan de som gjort säkerhetskontrollerna (eller borde ha gjort) måste ju vara människor med utpekat säkerhetsansvar.
Även detta kan jag på någon nivå förstå, att det känns fånigt och pinsamt att be någon man kanske jobbat ihop med länge presentera formella meriter och sedan dessutom kontrollera dessa merithandlingar som är utfärdade av i princip den egna arbetsgivaren.
En hel del säkerhetsarbete är ”going through the motions”, att man utan större engagemang utför repetitiva kontroller och hur frestande är det då inte att gena litet grann.
Den uthållighet som krävs här underskattas ofta.
Det är (relativt) lätt att besluta som säkerhetsregler men det blir en stor säkerhetsrisk om de regler som beslutats av olika anledningar inte tillämpas.
Orsakerna till att reglerna inte efterlevs är många, vi behöver inte gå in på dem alla, här vill jag bara peka på den situation som kan uppstå när alla låtsas som att reglerna fungerar fast alla egentligen vet att det fuskas.
En sådan säkerhetsmässig potemkinkuliss är en större risk anser jag än en beslutad lägre säkerhetsnivå som faktiskt fungerar.
Nu menar jag inte att det i det aktuella fallet fanns ett alternativ utan detta är mer en reflektion efter de senaste årens säkerhetshausse där många organisationer har beslut och styrande dokument som anvisar säkerhetsåtgärder som det i realiteten finns ambition att införa.
Kort sagt: verklig säkerhet trumfar fantasier!
För mig som arbetar med säkerhet är det en viktig uppgift att i dialog med ledningen för den aktuella organisationen bedöma vilken säkerhet som går att införa och vilka risker som olika alternativ innebär.
Det sämsta alternativet är när ledningen har uppfattningen att allt är hunky dory och att organisationen har en väl fungerande säkerhet medan verkligheten är en helt annan.
En sådan ledning kan ha mycket svårt att hantera situationer där stora brister uppdagas eftersom det strider helt mot deras verklighetsuppfattning.
Hypotetiskt skulle man kunna tänka sig hur svårt det var för Försvarsmaktens ledning att ta in att man huserat en bedragare i det allra känsligaste i ett par decennium utan att detta upptäckts.
Lika hypotetiskt kan man då förstå att detta kan leda till beslutsångest och oförmåga att agera trots att korten ligger på borden, som när Försvarsmakten fick information av Kustbevakningen och inte tycktes kunna hantera den.
Jag tror helt enkelt att det är farligt att vara alltför övertygad om att man per definition är bra på säkerhet.
Att vara bra på säkerhet är att ständigt ompröva och vara medveten om alla brister som hela tiden finns oavsett vilka insatser som görs.
Ytterligare en tankeställare ligger i att skandalen inte skulle ha upptäckts om inte DN lagt ner omfattande insatser på att gräva och gräva.
Att seriösa media är en förutsättning för icke-korrupta myndigheter är en slutsats man kan dra, en annan att det saknas interna funktioner som säkerställer compliance på ett effektivt sätt.
Det är inte så att jag vill måla f-n på väggen men jag tror att rätt många nu grubblar hur många andra som kunnat slinka in i systemet om kontrollerna är så obefintliga.
Nu har vi ett exempel på hur illa det kan gå.
Det bästa vi kan göra med det exemplet att återkommande hålla upp det framför oss och ställa frågan: kan det hända även här?
Och sedan försöka svara ärligt på det.
Tillägg 2020-02-05: Nu visar det sig att anställda själva kunnat lägga in sin meriter hos Försvarsmakten utan att kontroll skett hos .
Ganska häpnadsväckande.
Jag går in på LinkedIn eftersom det ingår i jobbet att hålla sig uppdaterad, storknar aningen av de hundratals bilder på människor som står och sitter på olika podier, framför olika power point-presentationer, runt olika sammanträdesbord (hoppas på en etnologisk studie av denna subkultur snart).
Vid de flesta inloggningar tillförs jag ingen ny och värdefull information utan det är mer samma känsla som då jag oengagerat bläddrar igenom lokaltidningen, kanske för att jag fått min beskärda del av denna typ av sammanhang.
Men så ibland dyker det upp något som kittlar till i sinnet.
Som när jag såg en av de inte så få offentligt anställda digitaliseringsmissionärerna (jag menar inte att vara ironisk – jag vet helt enkelt inte vad jag ska använda för begrepp för den här nya rollen) hävda att det var ”säkerhetsmupparna” som hindrat den digitala utvecklingen och att dessa muppar nu borde skärpa sig.
Jag kände mig träffad, jag är nog en del i muppkollektivet även om jag brukar kalla oss säkerhetsnördar.
Visserligen har jag idogt bedrivit en självkritik mot säkerhetsnörderiet, exempelvis i nio blogginlägg om varför säkerhetsarbetet inte funkar (del 1 : ) men är det verkligen säkerhetsarbetet som försvårat digitaliseringen i Sverige?
Bilden av motsättningen mellan å ena sidan digitalisering, å andra säkerhet återkommer ständigt och närs från båda sidor.
Ett purfärskt och illustrativt exempel där säkerhetssidan målar upp den hotfulla digitaliseringen är denna debattartikel.
Här presenteras den återkommande tropen att det finns en ursprunglig och manuell hantering som default är den säkrare .
Jag delar inte den uppfattningen.
Nuläget är för det första inte särskilt säkert (ett understatement) och för det andra är knappast digitalisering ett av många alternativ utan alternativ.
De som hoppas på att hejda utvecklingen av digitalisering hoppas med största sannolikhet förgäves.
Men grundattityden att förändring innebär en ökad risk försvårar av naturliga skäl kommunikationen med de som torgför digitaliseringens välsignelser.
För mig framstår det litet som två grupper, säkerhetsnördar och digitaliseringsmuppar, som delvis tappat orienteringen och börjat se sin egen mission som ett ändamål i sig själv.
Tendensen förstärks av att det finns starka ekonomiska intressen bakom båda riktningarna.
Att det dessutom uppfattas finnas icke helt oväsentliga politiska poäng i att som landstingspolitiker hävda att man står för det moderna digitala samhället eller att man som rikspolitiker frammanar behovet av skydd mot onda makter gör diket ännu djupare.
Hur stor är i realiteten intressekonflikten och hur mycket är säkerheten gruset i digitaliseringsmaskineriet?
När jag läser ESV:s uppföljningsrapport från förra veckan angående digitaliseringssträvandena i offentlig anges inte säkerhetsnördarna som förklaringen till den för sega utvecklingen.
Istället är det regeringens ineffektiva strategiska styrning av infrastrukturen, bristande samordning och bristande organisatorisk mognad som lyfts fram som hinder.
Det är ju litet nedslående med tanke på de många rara miljoner som plöjts ner i digitalisering och som inte lett till önskat resultat.
Samtidigt är det ju en fördel att det inte främst är mer pengar som behövs utan en tydligare riktning.
Själv skulle jag vilja hävda att vare sig säkerhet eller digitalisering har ett autonomt existensberättigande, endast kopplingen till verksamhets- eller samhällsnytta kan skapa anledning att utveckla säkerhet eller att digitalisera.
Det är rimligt att tona ner intressekonflikten eftersom det finns fler likheter än skillnader mellan arterna säkerhets- respektive digitaliseringsmupp och deras habitat.
I båda fallen saknas styrmodeller nationellt, konkret strategisk inriktning och ett evidensbaserat kunskapsområde för praktisk tillämpning.
En negativ likhet är att betydelsen av integritet sällan varit djupt känd av någon av arterna.
För att komma framåt tror jag att det är viktigt att skapa en gemensam insikt om nödvändigheten av både och, både digitalisering och säkerhet.
Då kan en attitydförskjutning ske inom båda kolonierna där respekt för kärnverksamheternas behov prioriteras, inte den egna gruppens agenda.
Därmed kan också grunden läggas för gemensamma strategier, styrmodeller och kunskap – allt det som saknas idag.
Jag är inte för att gå över till digitala val – det skulle innebära alldeles för stora risker… Hälsningar från en säkerhetsnörd.
Som jag litet surt påpekat några gånger är kunskapsgrunden fört påfallande svagt.
Det är därför en händelse av stort intresse när en ny forskningsantologi inom informationssäkerhetsområdet publiceras som nu då presenteras.
Än mer så när den är inriktad på organisation och inte enbart teknik som den övervägande del av de svenska forskningsinsatser varit.
Antologin bygger på resultatet från ett antal olika forskargrupper som finansierats av MSB i ett femårigt forskningsprogram relaterat till frågor om informationssäkerhetskultur.
I programmet genomfördes en omfattande enkätundersökning som använts av flera av de ingående forskningsgrupperingarna.
Att det är ett konglomerat av olika discipliner som deltagit är både en styrka och en svaghet i antologin.
Styrka eftersom det ger en i delar ny och intressant belysning av informationssäkerhet, svaghet då den röda tråden i antologin känns väl tunn och att det mer har handlar om paketering än en reell knytning till just säkerhetskultur.
Att det inte är ett inarbetat forskningsområde visar sig också i att den litteratur som använts i förvånande hög grad är utgiven för tio år sedan eller mer.
Först två allmänna reflektioner efter genomläsning.
För det första beskrivs informationssäkerhet påfallande ofta direkt och indirekt som en statisk entitet, d.v.s.
på ett icke-relationellt sätt, som här t.ex: Informationssäkerhetskultur kan vara bra såväl som dålig.
Den är bra om den gynnar .
Jag menar att informationssäkerheten inte är ett värde i sig utan att det är organisationens intressen som ska gynnas av informationssäkerhetskulturen, d.v.s.
att den goda informationssäkerhetskulturen stödjer organisationen i att identifiera sitt behov av olika informationssäkerhetsåtgärder.
Den andra reflektionen är den i mitt tycke en övertro på regelstyrning.
I några av inläggen framstår det som att informationssäkerhetskulturens främsta och möjligen enda uppgift är att motivera medarbetarna att följa regler.
Med erfarenhet från att vara informationssäkerhetsansvarig alternativt konsult i rätt många organisationer har jag upplevt att det stora behovet av säkerhetskultur är att den lägger grunden för en dialog om informationssäkerhet.
Verksamheten måste vara involverad eftersom det är den som känner de egentliga behoven av säkerhet men behöver hjälp med att kanalisera dem och över huvud taget definiera dem som säkerhetsrelaterade.
I detta är exempelvis verksamhetens förmåga och intresse av att uppmärksamma risker och kommunicera dem.
Och när det gäller styrningen är det också aningen förvånande att ledarskap inte diskuteras – när organisationskultur i allmänhet brukar ses som i en nära samvariation med ledarskap.
Här tänker jag inte enbart på det generella ledarskapet i en organisation.
Minst lika viktigt är det ledarskap som de som arbetar med informationssäkerhet utövar både nationellt och i sina respektive organisationer.
Min uppfattning, som saknar vetenskapligt belägg, är att detta ledarskap fortfarande är starkt präglat av en patriarkal kultur hämtad från en militär-polisiär tradition som är illasittande i de flesta moderna organisationer.
Detta kommer ytterligare att förstärkas när Metoo-revolutionen, som inte bara handlar om sextrakasserier utan även manligt maktmissbruk bland annat på arbetsplatser, rullar vidare.
Några av inläggen läser jag med känsla av: var det inte mer?
Det är inte sååå upphetsande med en slutsats som att tjänstemän som arbetar i regelföljande organisationsklimat anammar informationssäkerhetsregler bättre än tjänstemän i organisationer utan detta klimat.
Eller att informationssäkerhetskulturen gynnas av att ledningen uttrycker att informationssäkerhet är en viktig fråga för organisationen (även om detta ändå touchar ledarskapsfrågan som jag tidigare skrev att jag saknade).
I andra fall blir jag uppriktigt förbryllad.
Avsnittet om ”praktikanpassad informationssäkerhetspolicy” blandar alla nivåer av styrande dokument på ett sätt som jag som strukturfascist känner mig ytterst obekväm med.
Bara att skriva informationssäkerhetspolycier i plural … Ett annat exempel som leder grubbel är detta: Historiskt sett baserast på tre tekniskt orienterade principer: , och .
Författarna vill komplettera dem med ”organisatoriskt orienterade och beteendebaserade principer som ansvar, rollintegritet, förtroende och etiskt handlande”.
Jag gillar känslan av att få mattan undanryckt under fötterna, för mig har aspekterna konfidentialitet, riktighet, tillgänglighet och spårbarhet varit definitioner av vad som ska uppnås i tillräcklig grad med både organisatoriska och tekniska åtgärder.
Tyvärr kan jag inte säga att den nya vinklingen som författarna från Handelshögskolan i Örebro lanserar känns uppenbar ens vid en närmare genomläsning.
”CIA”-begreppen ifrågasätts även av filosofen Björn Lundgren som vill ersätta dem med den s.k.
Trots att jag har en del högskolepoäng i filosofi går mig delar av hans resonemang förbi, kanske för att jag fastnar på ett tidigt skede eftersom det förefaller som om hans utgångspunkt är att det finns ett läge där information är ”säker”.
I min uppfattning strider detta mot det riskbaserade säkerhetsarbetet där det snarare handlar om att rikta in sig mot ett ständigt rörligt mål och få en acceptabel riskmiljö.
Andra inlägg är mer givande.
Den etnologiska studien av den konfliktfyllda kultur som råder runt framtagandet av informationssäkerhetsstandarder bör leda till eftertanke men har också vissa (ofrivilligt?)
komiska inslag.
Flera av inläggen handlar om informationssäkerhet i hälso- och sjukvård och det är kanske här antologin är som mest intressant särskilt med den tydliga kopplingen till integritetsfrågor.
När nu många nya aktörer börjat visa intresse för integritetsfrågor i samband med dataskyddsförordningen har det ett generellt intresse.
Jag ska därför göra en fördjupning rörande ett av antologins inlägg.
Jag har i olika sammanhang ifrågasatt säkerheten och hanteringen av personuppgifter i den nationella tjänsten Hälsa för mig och kan därför säkert uppfattas som jävig men vill ändå hävda att Peter Johanssons och Sofie Hellbergs bidrag som handlar om den tjänsten är det mest givande avsnittet i antologin.
Detta inte enbart för att sjukvårdens informationssäkerhet och hantering av integritetsfrågor är så viktiga i sig utan också för att de frågeställningar de lyfter fram kan generaliseras.
Bidraget inleds med en effektiv genomgång av tidigare forskning om integritet samt om några möjliga synsätt.
Själva förordar de ett s.k.
kontextdrivet förhållningssätt i motsats att försöka skapa en allomfattande och evig definition av integritetsbegreppet: Vi delar uppfattningen om att nyckeln till att förstå och hantera personlig integritet ligger det sammanhang där integritetsfrågorna uppstår.
En fördel med detta förhållningssätt är att man redan i designfasen av nya tekniker och system kan inkludera skydd för den personliga integriteten eller sätt upp regler kring nya teknikers användningsområden.
Utan ett sådant kontextdrivet förhållningssätt finns en risk att man vare sig kan identifiera eller hantera situationer där den personliga integriteten .
Detta stämmer väl med privacy by design (som ju föreskrivs i dataskyddsförordningen) även om jag hellre skulle beskriva det som privacy by design i än i system.
Forskarna identifierar de två parallella trenderna där accelererande mängder information insamlas och bearbetas samtidigt som individen får en ökad tillgång till information om sig själv.
Med denna bakgrund studerar forskarna den tidigare regeringens satsning på tjänsten Hälsa för mig.
Hur ansvaret för säkerhet och integritet ska fördelas i det informationshanteringslandskapet är inte uppenbart vilket caset med Hälsa för mig visar.
Att trycka ner ansvaret till individen med krav på hen själv ska ”styra” sin integritet har varit en bekväm lösning som myndigheter och tjänsteleverantörer.
Individens möjlighet att göra rimliga avvägningar är av flera skäl mycket begränsad av att hen inte kan överblicka användningen av informationen, konsekvenserna av detta och dessutom är i ojämn maktrelation med leverantören av tjänsten.
En egen reflektion är att författarna i marginalen låter ett inslag i den kultur som formats runt e-hälsa skymta fram när man skriver: Att personlig integritet är något som kan upplevas stå i vägen för e-hälsoutvecklingen har vi noterat vid olika e-hälsokonferenser.
Där har vi lyssnat på olika talare som raljerat över ”integritetsivrare”, vilket vi uppfattar som mycket problematiskt då det appliceras svepande på bland annat läkare och patientföreningar som representerar särskilt sårbara .
Potentiellt negativa effekter för integriteten tonas .
Detta är en kultur jag känner igen sedan åtminstone början av nittiotalet.
Som verksam inom informationshanteringen i vården blev jag vittne till ett tydligt perspektivskifte.
Från att tystnadsplikt och integritet hade varit kärnvärden i läkarkåren och vården i stort skedde en snabb relativisering (ja, jag vet att allt inte var idealiskt tidigare heller men pratar här om de uttalade etiska ståndpunkterna).
Relativiseringen av integriteten blev ett förhållningssätt som funnits med i digitaliseringsprocessen av vården ända sedan dess begynnelse, där det har målats upp en motsatsställning mellan patientsäkerhet och integritet.
Bakgrunden till detta är att det har funnits en motvilja hos sjukvårdshuvudmän, vårdgivare och systemleverantörer att göra den insats som krävs för att få en styrning av informationshanteringen och systemen/tjänsterna så att båda dessa värden kan uppnås samtidigt.
Min uppfattning är att denna relativisering främst bottnade i att sjukvårdshuvudmännen m.fl.
inte prioriterade att ta fram organisatoriska beskrivningar av hur ”vårdrelation” ska definieras, d.v.s.
vilka medarbetare som verkligen har anledning att ta del av den enskilda patientens vårdinformationen.
Detta kompletterat med att systemleverantörerna inte klarade av att leverera digitala lösningar med en för ändamålet avpassad behörighetshantering gjorde att den personliga integriteten framställdes som ett hinder för verksamheten och ett hot för patienten.
Ett tydligt tecken var den ständigt återkommande bilden på konferenser och andra sammanhang där det beskrevs hur en medvetslös patient kommer in på akuten och personalen p.g.a.
att patienten kan ge samtycke inte kommer åt information som överkänslighet eller annan medicinsk bakgrund med följd av att patienten avlider.
Att flertalet patienter inte är medvetslösa, inte på akuten och att behörighetsstyrningen kan ske situationsanpassat försvann i detta scenario som gjorde det överväldigande tydligt för många att integritet är av ondo.
En rådande doktrin var också att behörighetsstyrning var onödigt och att loggning var lösningen på kontroll av åtkomst.
Att loggning i detta syfte skulle kräva att det är mycket tydligt vem som har åtkomsträtt, d.v.s.
i princip samma förutsättning som för den behörighetshantering som man sa sig inte kunna åstadkomma, förträngdes.
Effekten blev usel informationssäkerhet samt att etiken och i förlängningen lagstiftning anpassades efter organisatoriska och tekniska brister.
Detta vore ytterst intressant att läsa om i en forskningsstudie.
Den inneboende paradoxen med självstyrd integritet samtidigt som individen inte har det egentliga valet eller möjligheten att styra begränsningen av användningen av personuppgifter är inte unik för Hälsa för mig.
Den möjlighet att spärra uppgifter som patienten fick i patientdatalagen (PDL) 2008 har i praktiken inte realiserats utan på många sätt motarbetats av vårdgivare.
Bidraget om Hälsa för mig och den bristande integritetsanalysen i det projektet illustrerar en historisk utveckling formad genom tekniska ofullkomligheter men därefter stödd av en säkerhetskultur som legitimerar den bristande säkerheten, ja rent av gör den till en dygd.
Den bristande analysen i fråga om integritet i Hälsa för mig har lett till att Datainspektionen listat ett antal förelägganden som måste åtgärdas innan tjänsten kan tas i bruk.
E-hälsomyndigheten har överklagat detta till f men i dagsläget verkar det oklart om tjänsten kommer att kunna tas i bruk.
För mig är detta antologins absolut viktigaste bidrag när det gäller att vissa betydelsen av en positiv respektive negativ informationssäkerhetskultur.
Dessutom att den kulturella påverkan på intet sätt är begränsad till en enskild organisation utan kan omfatta en hel sektor.
Här finns verkligen möjlighet till vidare forskning.
I dessa dataskyddsförordningstider är det också av stor betydelse att visa att integritet inte handlar om teknikaliteter utan om kultur och värderingar.
Sammantaget illustrerar antologin ett spretigt kunskapsområde med oklar teori och en ganska lång väg kvar att gå.
Svaret på frågan i rubriken tycker jag mig kunna se som: ja, det finns både positiv och negativ informationssäkerhetskultur och vi måste förstå mer för att kunna stärka den positiva kulturen.
På svenska är ”säkerhet” ett begrepp medan på engelska finns både ”safety” och ”security”.
Begreppen används i kunskapsområden relaterade till säkerhetsfrågor som till exempel inom trafiksäkerhet.
I korthet innebär safety åtgärder för att motverka oavsiktliga fel, misstag, negativa avvikelser, produktfel o.s.v.
medan security är skydd mot avsiktliga, antagonistiska hot.
Det är en avgörande skillnad mellan de risker som safety-åtgärder avser att reducera jämfört med security-relaterade risker.
Information security är också ett område som traditionellt varit inriktat mot antagonistiska hot vilket i hög grad har övertagits av de svenska aktörerna inom informationssäkerhetsområdet.
Både på engelska och svenska är spåren från denna bakgrund mycket tydliga.
Jag har länge funderat över varför det rådande paradigmet inom informationssäkerhetsområdet fortfarande är så inriktat på antagonistiska hot.
Det anspråkslösa empiriska material som finns kring vilken typ störningar i informationshanteringen som ger stor verksamhetspåverkan tyder ju snarare på att det stora problemet ligger i exempelvis bristande uppdateringar i it-lösningar.
Om syftet medt är att reducera störningar som påverkar olika verksamheters möjlighet att upprätthålla sin leverans med acceptabel kvalitet så förefaller fokuseringen på antagonistiska hot kontraproduktiv.
Trots att jag tror att de flesta som sysslat med informationssäkerhet vet att det förhåller sig på det här sättet, både när det gäller hotbilden och fokuseringen på antagonistiska hot, är det märkligt besvärligt att föra en diskussion om frågan.
Orsaken till att det är svårt att diskutera frågan är att security-begreppet skapat en hegemoni som så starkt styr synsätt och de underliggande begreppen och därmed skapar ett paradigm där andra synsätt utesluts.
Att tala om paradigm i samband med informationssäkerhet kan ju tyckas både paradoxalt och onödigt teoretiserande.
Paradoxalt eftersom jag tidigare hävdat att informationssäkerhetsområdet är anti-intellektuellt och paradigm kan ju tolkas som ett akademiskt genomarbetat teoribygge.
Detta är dock en felsyn eftersom ett paradigm ofta helt eller i delar är ett omedvetet tolkningsmönster, integrerat i iakttagarens blick.
Det är också det som gör det svårhanterligt, paradigmet ligger som ett filter över verkligheten och gör att endast det som går att passa in i tolkningsmönstret slipper in.
En situation som gjorde mig brydd och som kan illustrera paradigmets kraft var när jag deltog i ett arbete på en myndighet som förutsatte att vi kunde nå fram till en definition av vad en incident är.
Med min bakgrund i verksamhetsnära informationssäkerhet var det uppenbart att begreppet incident som måste innefatta alla typer av händelser i informationshanteringen som leder till störningar i verksamheten.
Eftersom både it, informationshantering och informationssäkerhet har sitt existensberättigande som stödfunktioner för kärnverksamhetens processer så är grundorsaken till en störning för verksamheten irrelevant, antagonistisk eller inte.
Detta synsätt delades dock inte alls av deltagaren som skulle tillföra ett it-säkerhetsperspektiv.
Hen hävdade outtröttligt att endast händelser med ett antagonistiskt ursprung kan innefattas i begreppet incidenter.
Buggar, uppdateringsfel och brister i rutiner, oavsett hur dramatiska effekter på verksamheten de får, är inte incidenter enligt detta synsätt.
Varje möte i vår arbetsgrupp strandade på denna fråga.
När jag försökte framföra att denna definition av begreppet, bortsett från allt annat, även skulle leda till stora praktiska problem eftersom det ibland kan ta dygn eller ännu längre innan det går att hitta orsaken till en störning.
Ska de då räknas som incidenter och hanteras enligt fastställd incidentrutin eller inte?
Och ska en organisation ha två olika rutiner för ”negativa händelser” i informationshanteringen beroende på dess upphov trots att verksamhetspåverkan är exakt den samma?
Jag kan nu se orsaken till att vi inte kunde kommunicera på ett konstruktivt sätt i denna viktiga fråga var security-paradigmet så skymde sikten att de verkliga frågeställningarna försvann.
Att det skulle vara onödigt teoretiskt att tala om paradigm är kanske ett allvarligare felslut eftersom det är just den medvetna eller omedvetna teorin som stödjer oss i att hantera de högst praktiska frågor som leder till en bättre informationssäkerhet.
Jag tänker ganska ofta på en organisation i flygbranschen där jag var konsult under några månader och intervjuade ett stort antal personer.
Det slående var att alla som var oinvigda i informationssäkerhetens mysterier men väl insatta i trafik och kommunikation frågade om jag avsåg security eller safety när jag pratade om informationssäkerhet.
För dem var distinktionen självklar och funktionell; att ha säkerhetskontroller på flygplatser för att förhindra terrorister är en viktig uppgift men minst lika viktigt är att ta bort isen från flygplansvingar så att planet fungerar på bästa sätt.
Som passagerare är jag ytterst tacksam för den vikt som läggs vid safety-frågor som sannolikt har större betydelse för att så få trots allt blir skadade i trafiken generellt.
Detta gäller inte bara flyget naturligtvis.
Säkerhetsbältet i bilen skyddar mig inte mot terrorister men sannolikheten för att råka ut för en oavsiktlig trafikolycka bedömer jag som betydligt större och säkerhetsbältets påverkan på dödade och skadade i trafiken kan knappast överskattas.
Jag vill därför förorda att vi börjar arbeta mot ett paradigmskifte där ”Information Safety” blir lika prioriterat som ”Information Security”.
Det betyder att något överge krigsretoriken med ständiga antagonister, attacker och hot och mer inrikta sig på ett kvalitetsarbete i den gråa vardagen, att prioritera upp uppdateringar, rutiner, dokumentation, planering och utvärdering på ett systematiskt sätt.
Att kunna upprätthålla två samtidiga perspektiv är nödvändigt om vi verkligen vill att viktiga verksamheter ska kunna upprätthållas med tillräcklig kvalitet.
Innan jag fortsätter diskutera e-demokrati måste jag göra ett inlägg om en aktualitet: den nationella som presenterades på försvarsområdets Almedalen Folk och försvar.
Det är med viss förväntan jag läser strategin där ett helt avsnitt ägnas åt , illustrerat av ett stridsflygplan.
Det positiva med strategin är att det litet intrasslat beskrivs att digitaliseringen förutsätter bättre informationssäkerhet även om det känns som beskrivningen känns som ihopklippt från några gamla dokument.
Förväntan på att strategin ska innehålla något substantiellt och inriktande om informationssäkerhet avklingar tyvärr snabbt och stridsflygplanet visar sig vara en ganska kongenial illustration.
Fokus ligger helt och hållet på att upprätthålla funktionalitet i samhällsviktig verksamhet, mycket litet om ens något sägs om integritet, mänskliga rättigheter, riktighet, kvalitet eller effektivitet i verksamheten.
När tillit nämns är det tillit till digitaliseringen som nämns (!)
medan demokratifrågan är mycket avlägsen.
Detta att jämföra med den nationella strategi för som togs fram 2009 som hade som målbild: Medborgares fri- och rättigheter samt personliga integritet.
Samhällets funktionalitet, effektivitet och kvalitet.
Samhällets brottsbekämpning.
Samhällets förmåga att förebygga och hantera allvarliga störningar och kriser.
Näringslivets tillväxt.
Medborgares och verksamheters kunskap om, och förtroende för informationshantering och IT-system.
Den nu aktuella nationella säkerhetsstrategin omfattar hela säkerhetsområdet men skiljer sig också åt från andra strategier, inklusive den tidigare informationssäkerhetsstrategin, genom att inte ange några mål.
Istället inleds strategin med något som kallas ”Våra nationella intressen”.
Huruvida dessa intressen är tillgodosedda idag eller inte är oklart eftersom strategin raskt kastar sig över till ”hot” och ”åtgärder”.
Det ger en särskild prägel åt strategin eftersom den inte förmedlar några mål som skulle innebära nya möjligheter utan istället anlägger en defensiv hållning.
Detta är ganska långt ifrån regeringens offensiva inriktning inom digitaliseringsområdet.
Utmaningar som frammanas inom cyber- och informationssäkerhetsområdet anges de endast som förekommande i form av antagonistiska hot: Några exempel på sådana utmaningar är antagonistis­ka hot såsom informationsoperationer och elektroniska angrepp mot skyddsvärda informations- och kommunika­tionssystem, t.ex.
i form av datain­trång, sabotage eller spionage, exempelvis mot totalförsvarets verksamhet.
It-angrepp för att bedöma, påverka eller störa samhällsviktiga funktioner som ett förstadium till en väpnad konflikt hör också hit.
It-angrepp riskerar också att otillbörligt påverka utgången av demokratiska val.
Tyvärr finns det ju inget bra kunskapsunderlag om de bakomliggande orsakerna till störningar i informationshanteringen och hur de fördelas mellan antagonistiska respektive icke-antagonistiska incidenter.
Som jag tidigare skrivit finns det indikationer att de vanligast förekommande incidenterna är av typen uppdateringsproblem och programvarufel.
Detta stämmer även med den bild jag har efter rätt många år i branschen även detta liksom andra utsagor i frågan får ses som löst grundade antaganden eller anekdotiska bevisföringar.
Det är därför synd att strategin ensidigt inriktar sig på de antagonistiska hoten eftersom det riskerar att ge det fortsatta arbetet en slagsida som gör effektiviteten i nationellat mer begränsad.
Ytterligare en negativ aspekt med att uttala en så tydlig inriktning är att det ger intrycket av att det finns kvalitativt kunskapsunderlag i frågan.
Det kan i sin tur leda till att det nödvändiga arbetet med att hitta former för att skapa och ständigt uppdatera ett sådant kunskapsunderlag inte initieras.
Vilka åtgärder föreslås då för att komma till rätta med den allvarliga situation som målats upp?
Ja, det är ganska svårt att se några mer konkreta åtgärder vid sidan om sådant som redan finns eller redan är beslutat.
Det talas om de risk- och sårbarhetsanalyser respektive säkerhetsanalyser som redan är föreskrivna, om it-incidenter, om förslaget på ny säkerhetsskyddslag och om den nationell strategi för informations- och cybersäkerhet som bl.
a. bygger på NIS-direktivet som håller på att tas fram.
I övrigt rader som: Därtill bör arbetet med de globala dimensionerna av informations- och cybersäkerhets­frågorna intensifieras.
Vilket väl kan betyda vad som helst.
Kanske är det fel att förvänta sig något annat än det som redan framförts i andra sammanhang i den här typen av dokument, särskilt som den nationella strategin för informations- och cybersäkerhet är i antågande.
Det känns ändå som ett förlorat tillfälle att inte använda en strategi för att beskriva ett framtida önskvärt tillstånd och försöka skapa en helhetsbild.
Med denna bakgrund vill jag föra fram tre centrala önskemål på vad som borde ingå i den kommande informationssäkerhetsstrategin: Analysera och redovisa vilka olika syften som informationssäkerheten ska tjäna på samhällsnivå, även de som ligger vid sidan om att upprätthålla funktionalitet i beredskapssyfte.
Till exempel hur informationssäkerheten ska kunna stärka tilliten i viktiga samhällsfunktioner genom att säkerställa integritet, effektivitet och kvalitet.
Skapa organisatoriska former där olika informationssäkerhetsintressen kan samverka i en gemensam styrmodell – om informationssäkerheten annekteras och görs om till ett rent försvarsintresse kommer digitalisering, effektivitet, integritet och demokrati inte att kunna hanteras på ett rimligt sätt Skapa ett bättre kunskapsunderlag – det är särskilt viktigt att myndigheter går i bräschen och arbetar evidensbaserat i dessa faktaresistenta tider Både mål och åtgärder måste motsvara alla de olika behov som somt ska täcka.
Om strategin för informations- och cybersäkerhet inte klarar att omfatta andra aspekter än funktionalitet i ett beredskapsperspektiv kommer det att orsaka stora problem i den offentliga verksamheten.
Myndigheter, kommuner, landsting och även företag i välfärdsbranscher kommer då att bli tvungna att själva försöka skapa lösningar för att upprätthålla helhetsperspektivet på informationssäkerhet.
Resultatet blir fler stuprör istället för ökad standardisering och på sikt kanske ett nytt begrepp fastställas som täcker helheten och som kan ersätta ”informationssäkerhet”.
Jag har tidigare skrivit om att jag ser kommunikation som det centrala verktyget it och kanske det tydligast inte funkar.
Det här inlägger kommer att ytligt behandla om några aspekter av det vittomfattande ämnet, nämligen förutsättningar och förförståelse, innehåll och form.
Att kommunikationen inom informationssäkerhetsområdet har jag redan försökt beskriva i ett tidigare inlägg.
Det saknas arenor och samtalsformer för att utveckla kunskap och samsyn.
Det språkbruk och de metaforer som uppstår i denna dysfunktionella kultur gör även att vår kommunikation inte fungerar i samspelet med de vi vill engagera.
Ofta framstår både vi själva och det vi säger uppfattas som ovidkommande, auktoritärt, svårbegripligt och alarmistiskt (källa: de många verksamhetsföreträdare jag samverkat med under ett par decennier).
Själv uppfattar jag kommunikationen i informationssäkerhetsfrågor ibland som direkt vilseledande för civila organisationer.
Ett exempel är den nednötta metaforen om att skydda sina guldägg.
Den underförstådda tanken är att alla organisationer har avgränsade informationsmängder eller hård/mjukvara som ska skyddas mot främst obehörig åtkomst (?)
framför alla andra.
Detta menar jag är en feltolkning av hur dagens informations- och it-infrastrukturer fungerar där det snarare handlar om komplexa samband där olika men i många fall lika viktiga krav ställs på olika delar för att helheten ska fungera.
För att ta ett exempel från verkligheten så är det i en kommunal verksamhet meningslöst att försöka peka ut vad som skulle vara ”guldägg”.
I den kommunala äldreomsorgen bör det ställas mycket höga krav på tillgänglighet i trygghetslarmen, lika höga krav på riktighet och spårbarhet i journaldokumentationen och mycket höga krav på konfidentialitet i alla delar.
För den ekonomiska redovisningen kommer peakar i tillgänglighetskraven vid vissa perioder under bokföringsåret.
Jag kan fortsätta uppräkningen med att peka på PuL, algoritmer, webbplatser m.m., m.m.
men det enda jag vill komma fram till är att jakten på ”guldägg” leder tanken och därmed kommunikationen helt fel.
Andra vanliga påståenden på konferenser och i marknadsföring är att medarbetarna skulle vara det största problemet.
Detta påstående saknar belägg och den organisation som skulle se medarbetarna som den största risken tror jag får anledning att snabbt göra en förnyad riskanalys.
Den som tycker att ovanstående kan ses som bagateller behöver sannolikt mer övergripande argumentation om den problematiska kommunikationen.
Låt oss se ett grundscenario som både gäller i den enskilda organisationen och på ett nationellt plan.
Å ena sidan finns informationssäkerhetsexperterna som ser generella risker och som har organisatoriska och tekniska metoder för att reducera dessa risker (i alla fall hypotetiskt).
Å andra sidan finns det organisationer för vilka informationen är en resurs för verksamhetens olika processer.
Det är de senare som har den faktiska möjligheten och resurserna att genomföra informationssäkerhetsåtgärder.
För att uppnå fungerande informationssäkerhet krävs insatser från båda parter.
Enda sättet att skapa en sådan gynnsam situation är god kommunikation, den goda kommunikation som jag menar ofta saknas.
Resultatet blir alltför ofta att verksamhet och informationssäkerhet samexisterar som olja och vatten.
Trots att det är verksamheten som har behov av informationssäkerhet för att kunna leverera talar informationssäkerhetsspecialisten för döva öron.
Ett aktuellt exempel på hur det kan gå är när eHälsomyndigheten, som objektivt sett är en av de svenska organisationer som har mest behov av god informationssäkerhet, levererar två om framtiden och överhuvudtaget inte analyserar behovet av just informationssäkerhet .
Jag kommer återkomma till detta i ett senare inlägg.
Sammantaget är min erfarenhet som statlig tjänsteman som försökt förbättra informationssäkerheten inom e-förvaltning och e-hälsa att försöket mötts med en ganska avsevärd brist på förståelse från båda lägren.
De som arbetar med informationssäkerhet nationellt har haft begränsat intresse av och insikt om behovet av informationssäkerhet i verksamheter som är utpräglat civila.
De som arbetar med digitalisering i förvaltning och sjukvård har med två undantag sagt typ: ”jaja, det är säkert viktigt med säkerhet men det tar vi sedan när vi realiserat våra lösningar – säkerhet innebär ju bara en massa krångel som kan leda till att vi inte kan genomföra det vi vill.” Förutsättningen för kommunikationen är alltså en ömsesidig misstro som måste överbryggas.
Behovet av informationssäkerhet finns främst hos organisationerna själva även om det på aggregerad nivå naturligtvis i hög grad är ett samhällsintresse.
Ansvaret för kommunikationen ligger dock på informationssäkerhetsspecialisterna eftersom organisationerna inte är medvetna om sitt behov.
Här uppstår dock ett avgörande problem eftersom kommunikationen om informationssäkerheten som skapas i denna situation i de flesta fall är istället för .
Det är informationssäkerhetsspecialisterna som försöker sälja in sitt utbud av standardiserade synsätt och metoder till en verksamhet som har ett behov, ett behov som tyvärr formuleras på verksamhetens egna premisser.
Detta gäller även det nationella planet där det är myndigheterna med ett utbud som fått styra strategier och handlingsplaner, inte de civila verksamheterna med behov.
Och som alltid vid utbudsstyrning är det svårt att sätta nivån och inriktningen eftersom behovet inte är definierat – utmärkt situation för ett kommersiellt företag men knappast då man försöker styra med begränsade resurser.
Kommunikationen är en produkt av områdets kultur.
Den blir därför alltför ofta inriktad på envägskommunikation, förutsätter att de man riktar sig till är okunniga (”hur ska vi få dem att förstå”) samt på lösningar som är helt omöjliga i praktiken (som att använda signalskyddslösningar i sjukvården).
Den känslomässiga argumentationen kring attacker och antagonistiska hot lämnar mottagaren i ett rationellt limbo, kvar blir rädda människor underkastade olika auktoriteter.
Den auktoritära kommunikationsformen är naturligtvis också ett resultat av vår bristande kunskap inom informationssäkerhetsområdet (se tidigare inlägg), om man är osäker ger man sig ogärna in i dialog och diskussion.
Inte så få av de ”kommunikationsplaner” jag sett har enbart innehållit aktiviteter där avsändaren förmedlat budskap men inga aktiviteter av inlyssnande.
Hur ska vi då förbättra vår kommunikation så att organisationerna drivs av en inre motivation och på så sätt får ett ständigt förbättrat?
Jag tror det viktigaste förhållningssättet är att bestämma sig för en rollfördelning där informationssäkerhetsspecialisten (både i en enskild organisation och i form av myndigheter på nationell nivå) är en stödfunktion.
Informationssäkerheten tjänar istället syftet att organisationen ska kunna upprätthålla sitt uppdrag och sin leverans med tillräcklig kvalitet och utan störningar (i detta ligger naturligtvis även att kunna uppfylla externa krav).
För att kunna ge stöd måste informationssäkerhetsspecialisten förstå verksamheten, den unika informationshanteringen och de unika behoven.
Helt enkelt förstå att en pågående dialog, ett ömsesidigt utbyte är nödvändigt i lika hög grad för den som ska stödja som den blir stödd.
Under senare år har frågan om säkerhetskultur blivit alltmer aktuell.
Att få medarbetare i en organisation att vara medvetna och motiverade i säkerhetsfrågor ses av allt fler som något som inte bara är ett komplement till den traditionella regelstyrningen.
Tidigare har jag skrivit om betydelsen av en profession inom informationssäkerhetsområdet.
Även för en profession är det centralt att ha någon form av kultur som både skapar gemenskap inom gruppen men också bär upp de handlingar, synsätt och värderingar som gruppen förmedlar till utomstående.
Kort sagt kan ett kollektivs kultur ge gruppen en enighet om mål och medel som inte bara beskrivs i standarder, strategier och andra dokument utan som ett socialt kitt och ett ethos.
Kultur handlar i första rummet inte om beteenden utan om det som ligger bakom beteenden, som innebörder, förståelser, idéer, värden, trosföreställningar, prioriteringar och förgivettaganden.
Kulturens betydelse finns belagd i en ganska ymnig forskning inom olika fält som jag inte här kommer att gå närmare in på utan bara som icke-expert nicka och säga: ja, detta verkar relevant även för oss som arbetar med informationssäkerhet.
Det kan verka flummigt men jag tror detta är en mer central fråga än vad det först kan tyckas eftersom den kulturella grunden kan peka ut vägen för gruppen långsiktigt.
De kulturella värderingarna ger också underlaget för prioriteringar i det vardagliga arbetet.
Sist men inte minst är en grupps kultur kärnan i den kommunikation som sker med de utanför för gruppen, de kulturella budskapen som gruppen förmedlar överröstar i princip alltid själv sakinnehållet i kommunikationen.
Eftersom jag ser kommunikation som det viktigaste verktyget i arbetet med informationssäkerhet blir därför kulturfrågan central.
Vad är då våra gemensamma värderingar och vad leder de till för beteenden?
Ingen har, såvitt jag vet, gjort en kulturanalys av aktiva inom säkerhetsområdet utan jag ska försöka uttolka de gemensamma tendenser jag tyckt mig se genom åren.
Redan nu ber jag om ursäkt för de kategoriska och säkert missvisande beskrivningar som följer men jag har för närvarande enbart tillgång till mina egna erfarenheter (vilket i sig är en del av kulturen eftersom denna typ av diskussion aldrig förs).
En första reflektion är att den militär-polisiära bakgrunden fortfarande vilar tung över oss.
Det tar sig många uttryck som i den metaforvärld som används där ”attacker”, ”hot” och ”antagonism” bara är några exempel.
Detta skapar naturligtvis en speciell atmosfär men eftersom det inte bara är så att tankar som styr ord utan i lika hög grad det omvända: att våra metaforer styr våra tankar kommer detta att påverka vårt agerande.
Jag dristar mig till att säga att traditionella informationssäkerhetsmänniskor finner det betydligt enklare att fokusera på ”attacker” än att inrikta sig på de störningar i informationshanteringen som uppstår av andra orsaker som uppdateringsfel, buggar, bristande rutiner, ineffektivitet som gör att medarbetarna är mer eller mindre tvungna att bryta mot reglerna m.m.
Vårt mindset är helt enkelt mer inriktat på attacker och det är också det vi kommunicerar exempelvis med ledningarna i de organisationer där vi verkar.
Men denna kulturella värdering kan leda oss fel även i praktisk handling för om ENISA har rätt i sin så är det inte antagonistiska hot som skapar flertalet störningar: Även om alla säkert kan vara överens om att incidentrapportering är problematiskt som underlag för att bedöma vad som egentligen händer och i ännu högre grad om vilka hot som finns är ENISA:s redovisning intressant, särskilt som det väl för Sveriges del inte finns någon som är mer relevant.
Om vi nu antar att ENISA:s uppgifter stämmer så är det stora problemet störningar i kommunikationen som leder till störningar i system.
Malicious actions är däremot en mycket liten kategori.
Flera rimliga frågor inställer sig som vad som orsakat störningarna i kommunikationen.
En annan vanlig kommentar när den här typen av siffror redovisas är att det finns ett stort mörkertal när det gäller attacker m.m.
Där är jag helt beredd att hålla med, vi ju är långt ifrån att ha en heltäckande redovisning av inträffade incidenter, rimligen är mörkertalet lika stort eller större när det gäller icke-antagonistiska incidenter.
Min poäng är i all enkelhet att den kulturella styrningen mot antagonistiska hot kan leda till felprioriteringar it.
Att vara inriktad på antagonistiska hot är också belönande i så måtto att det enklare att få uppmärksamhet både från ledningar och media om man pratar om spännande hotbilder med antagonister än om frågeställningarna tangerar den vardagliga verksamhetsutvecklingen.
I den nu rådande kulturen finns en påtaglig fara för att informationssäkerhetschefen medverkar till att ledningen beslutar om säkerhetsåtgärder som inte motsvarar den faktiska riskbilden.
Och här gömmer sig kanske också ett kulturellt problem eftersom det finns två mål för säkerhetsarbetet; att avvärja hot respektive att stödja att informationshanteringen uppfyller verksamhetens krav på konfidentialitet, riktighet, spårbarhet och tillgänglighet.
Det förstnämnda liknar mer än militär uppgift medan det andra är mer att jämföra med ett kvalitetsarbete och inbegriper en nära dialog med verksamheten.
Om vi ska arbeta mer aktivt med kulturfrågan måste vi förtydliga vilken som är vår gemensamma målbild och också vår roll.
För att skissa vidare på den kultur jag uppfattar finns i vårt sammanhang så ser jag också ett auktoritärt drag.
Detta drag har förmodligen samma militär-polisiära bakgrund som det tidigare men kanske det svaga kunskapsunderlag vi ofta har för det vi föreslår också spelar in.
Exempel på vad jag menar med det auktoritära draget är att jag tycker att det finns en övertro på regler och compliance jämfört med andra typer av styrning som mer bygger på diskussion och tvåvägskommunikation.
Jag uppfattar också att kultur och former för diskussioner som alltför litet öppna och ”akademiska”, kanske för att det inte forum som inbjuder till det.
De forum som finns är i de flesta fall konferenser där ”heliga” sanningar presenteras utan återkoppling.
Denna attityd förstärks genom att informationssäkerhetsspecialistens legitimitet oftare hämtas i externa krav som lagstiftning eller standarden än verksamhetens egna behov.
Det finns också dragning mot hemlighetsfullhet.
Detta kan härledas till när säkerhetsarbetet i första hand var inriktat på att skydda rikets säkerhet men kanske också till att vi har svårt att rationellt argumentera för olika åtgärder.
Det kan då vara enklare att antyda att det finns hot som tyvärr inte kan yppas än att tydligt redogöra för olika risker och låta ledningen eller verksamheten avgöra vad som är nödvändiga åtgärder.
Detta är en bräcklig position som jag också tror skapar osäkerhet hos många i branschen.
Jag uppfattar inställningen som felriktad därför att betoningen på det hemliga, förutom att göra de flesta samtal till återvändsgränder, också gör att andra lika viktiga frågor kommer helt i bakgrunden.
I myndigheter finns till exempel kravet på öppenhet i offentlighetsprincipen som ställer stora krav på riktighet och spårbarhet i de offentliga informationsflödena.
Informationssäkerhetsspecialisten har, i min mening, ett lika tungt uppdrag i att medverka till detta som att skydda mot obehörig åtkomst.
Detta är ett exempel på statusbalansen i kulturen, sekretess har högre status än öppenhet, men det finns även andra statusförhållanden som kan diskuteras.
Ett sådant är förhållandet mellan teknik och organisation som ofta omnämns som ”hårda” respektive ”mjuka” frågor.
Man behöver inte ha läst genusvetenskap för att tolka att den egentliga innebörden är att de hårda, manliga frågorna är aningen viktigare än de mjuka, kvinnliga.
Så är det i det övriga samhället och det finns inga skäl att tro att det set annorlunda ut inom informationssäkerhetsområdet.
I praktiken leder denna inställning ofta till en överbetoning av tekniska lösningar framför organisatoriska och också till ett ofta väl teknokratiskt förhållningssätt även i organisatoriska åtgärderna.
Det blir litet märkligt i kombination med standardens tydliga organisatoriska inriktning men det är en dissonans som har accepterats.
Slutligen är en annan viktig aspekt av kulturen den tydliga mansdominansen.
Jag ser det som ett svaghetstecken för en yrkeskår när det måste skapas särskilda forum för kvinnor vilket nu skett på flera håll.
Kanske känns det nödvändigt för att kunna leva vidare i den auktoritära och teknokratiska kultur som jag frammanat ovan.
Jag skulle dock hellre se att vi gick vidare och försökte utveckla en mer ändamålsenlig kultur för de uppgifter vi har att lösa och där alla kan delta i ett gemensamt samtal på lika villkor.
För att förena episteme och techne (och förhoppningsvis uppnå fronesis) så behöver professionen sina metoder.
Metoderna är i kunskapssamhället professionens verktyg och det som utgör grunden för en intern gemenskap och en extern uppfattning om vad en medlem i professionen kan utföra.
I detta sammanhang kommer jag att använda begreppet ”metod” som ett systematiskt och enhetligt sätt att utföra en viss aktivitet med ett beskrivet önskat resultat.
I teorin finns också ett antal metoder inom informationssäkerhetsområdet som riskanalys, informationsklassning, incident- och kontinuitetshantering.
Ledningssystem a´ la ISO 27000 kan också ses som en metametod där ovanstående metoder ingår som komponenter.
Frågan är dock hur väl metoderna uppfyller kraven på att vara systematiska, enhetliga och ha beskrivet önskat resultat.
Att metoderna är utvärderade och därmed sägas vara effektiva sedda till sitt syfte bör vara ytterligare ett krav för att de ska sägas fungera.
Förutom införandet av ledningssystem är sannolikt informationsklassning den mest upplyfta metoden för att uppnå bättre informationssäkerhet.
För att göra en snabb bedömning av metoder känns det därför ganska rimligt att titta litet närmare på klassningen så som den beskrivs.
Här har jag ett underlag på divergerande åsikter som uppstod när jag arbetade på MSB och dristade mig till att fram ett förslag på vägledning för informationsklassning.
Den informella remissen ledde till att det ramlade in en mängd svar från informationssäkerhetsmänniskor i framför allt myndigheter.
Jag planerar att använda dessa svar för en litet utförligare analys vid ett senare tillfälle – nu räcker det att säga att synpunkterna gick i alla riktningar och att alla var lika övertygade om att det sättet de uppfattade saken var det enda rätta.
Inte ens var man överens om det skulle heta ”klassning” eller ”klassificering”, ännu mindre om huruvida det är information eller system som ska klassas.
En litet märklig upplevelse vid genomläsningen var att själva syftet med informationsklassningen framstod som så odefinierat i ett antal av svaren, framför allt då man hade invändningar mot att jag i vägledningen beskrivit att informationsklassningen som metod också måste innehålla skyddsnivåer.
Lika fången som andra av min egen tankegång så har jag alltid föreställt mig det som meningslöst att klassa information om det inte leder till konkreta skyddsåtgärder.
Detta var dock inte en uppfattning som delades av alla.
Jag svävar fortfarande i ovisshet om vad då klassningen tjänar till och det är en av de många frågor som jag tycker det vore ytterst intressant att diskutera.
I paradgrenen informationsklassning saknas det alltså enhetlighet samt systematik.
Den bristande systematiken ligger bland annat i att klassningen som aktivitet inte har ett givet samband med andra aktiviteter som exempelvis riskanalys och inte heller beskrivs som en process vars resultat regelbundet utvärderas.
I vägledningen skrev jag till exempel djärvt att klassning ska ses som en form av risk- alternativt konsekvensanalys men fick mycket starkt mothugg mot detta och hur då det systematiska sambandet mellan riskanalysen och klassningen ser ut för dessa skribenter är fortfarande oklart för mig.
Det mest slående i svaren var att ofta saknades argument eller teori för den åsikt man förfäktade.
Istället var det redovisande av hur man själv i praktiken genomför sina klassningar eller, mest återkommande, hänvisningar till hur man tolkat ISO 27000.
Här ligger en viss ironi eftersom en del svar rörande klassningen där man hänvisar till standarden faktiskt går emot vad standarden säger, som när man hävdar att det system som ska klassas samtidigt som standarden uttryckligen säger att det är information.
Mycket av det som kan sägas om informationsklassning kan sägas också om ledningssystem som metod.
Förutom att syftet och genomförandet saknar enhetlighet är båda metoderna synnerligen icke utvärderade.
Jag under senare tid plöjt en hel del av den litteratur som finns på området och har ännu inte hittat några studier som exempelvis utvärderar olika metoder för informationsklassning, ej heller av om ledningssystem på det sätt som standarden föreskriver är ett effektivt sätt att styra informationssäkerhet i en organisation.
Och här måste jag gå in på helig mark och framföra ståndpunkten att ISO 27000, som gett mig så mycket stöd genom åren som yrkesverksam, inte så sällan snarare är ett hinder än en hjälp.
Eller, rättare sagt, vårt användande av standarden som en ersättning för utvärderade metoder utgör ett hinder för oss att bli mer professionella.
ISO 27000 definierar ett område som jag skulle vilja kalla organisatorisk styrning men innehåller ingenting om hur olika aktiviteter ska utföras, och är alltså ingen metod.
Som jag skrev inledningsvis skulle man kunna sträcka det till att standarden översiktligt beskriver en metametod men överlämnar till oss praktiserande att ta fram de konkreta, enhetliga, systematiska och utvärderade metoderna.
Denna metametod börjar kanske också bli litet anfrätt av tiden med sin inriktning på styrning av informationssäkerhet i organisation när information i allt högre grad flödar över organisationsgränser.
ISO 27000 har i många fall blivit en ersättning för metoder vilket vi måste erkänna för att komma vidare.
Istället för att i övermåttan peka på standarden som en bibel måste vi ta uppgiften med metodutveckling på allvar och skapa en gemensam plattform som uppfyller kraven på enhetlighet och systematik.

Skapa en insikt om att i nuvarande läge kommer inte all verksamhet att kunna upprätthållas utan en måste ske.
Har man kontinuitetsplanerat kan man använda den prioritering av processer som redan gjorts (även om det kan behövas en liten analys för att se om tidigare prioritering fortfarande är relevant.
Om kontinuitetshanteringen inte finns på plats måste ledningen göra en prioriteringen av vilka processer/funktioner som måste fungera.
När prioriteringen bör en snabb göras för att identifiera vilken information som stödjer processen samt hur informationen hanteras, d.v.s.
vilka system, tjänster eller andra bärare som telefoni och papper som används.
Därefter görs en för att fastställa säkerhetskrav.
Även detta bör ske enligt prioriteringen så att de mest tidskritiska processerna/funktionerna tas först.
It får i uppgift att gå igenom hur befintliga lösningar kan användas för distansarbete utifrån klassningen/riskanalyserna och kontrollera i dessa lösningar.
I detta ligger även att bedöma om åtkomst och kommunikation vid distansarbete kan ske på ett tillräckligt säkert sätt.
Om it-säkerheten bedöms som för låg i befintliga lösningar föreslås alternativa lösningar där så behövs.
Om det finns en stor kvarstående risk måste ledningen få möjlighet att acceptera risken alternativt säga att den är oacceptabel vilket kan leda till att nya lösningar arbetas fram eller så bedömningen att distansarbete är olämpligt för den aktuella aktiviteten.
Börja planera och bemanna en som är avpassas till hur många som förväntas distansarbeta och se till att supporten finns när medarbetaren behöver hjälp.
Att inte få support i en ny arbetssituation leder ofelbart till att många kommer att göra fel, gena, hoppa över säkerhetsåtgärder.
Bristande support är därför ett garanterat säkerhetsproblem.
redan från början och slarva inte med sådana frågor som att det är ledningen som tar ansvar för helheten och de åtgärder som ska vidtas.
I kommunikationen bör även ingå signaler som kan leda till en positiv som att det är viktigt att medarbetare är observanta på att det kan uppstå nya risker och att det finns en tydlig punkt att rapportera detta till.
Det vill säga visa respekt för medarbetarna och se dem som en resurs i säkerhetsarbetet!
Ta fram über-tydliga till medarbetarna där det bland annat framgår: – att samma säkerhetsregler ska användas hemma som jobbet, exempelvis att alltid låsa datorn när den är obevakad – hur pappersdokument ska hanteras – vilken typ av information som kan ses som extra känslig, exempelvis känsliga personuppgifter och känslig företagsinformation – att arbetsgivarens utrustning bara får användas för arbetsändamål – att privat utrustning inte får användas för att hantera arbetsgivarens information – att telefonsamtal bör ske på ett skyddat sätt – vilka verktyg som ska användas – hur de ska användas – att verktyg som inte godkänts av arbetsgivaren inte får användas (dubbel negation, jag vet) – vem som ska kontaktas för support – vem som ska kontaktas för säkerhetsrelaterade frågor – hur incidenter ska rapporteras När man kan räkna med att distansarbetet blir långvarigt bör även den gås igenom.
Det kan handla om att skaffa skåp med tillräcklig säkerhetsnivå för vissa medarbetare eller att se över det yttre skalskyddet i vissa bostäder där känslig information ska hanteras.
Skapa rutiner för där ni minst en gång i veckan går igenom hur säkerheten vid distansarbetet fungerar, om vidtagna åtgärder fallit ut som ni hoppats eller om det finns anledning att förbättra skyddsåtgärder, om ni upplever att medarbetare fått tillräckligt bra information och om det inträffat incidenter.
Uppföljningen bör rapporteras till ledningen.
Planera för .
De säkerhetsåtgärder som vidtas i samband med distansarbete måste planeras för längre tid och det kan vara bättre att ha en mer långsam uppbyggnad för att få en långsiktigt väl fungerande lösning än att göra quick fixes som snabbt måste ersättas till allmän irritation och med medföljande säkerhetsrisker.
En fråga som tål att ställas är om verksamheten verkligen är så tidskritisk som man tror särskilt i rådande läge då ingenting riktigt fungerar som vanligt.
Att slippa stressa fram lösningar leder alltid till bättre kvalitet och oftast bättre ekonomi.
Försök att använda det påtvingade säkerhetsarbetet som måste göras till följd av pandemin som en .
Skapa säkerhetslösningar och en säkerhetskultur som förbättrar säkerheten även i det normalläge som vi förhoppningsvis snart ska återgå till.

prioritering processkartläggning informationsklassning/riskanalys it-säkerheten supportfunktion Kommunicera säkerhetskultur instruktioner fysiska säkerheten uppföljning uthållighet resurs för framtiden internt utbudsstyrd behovsstyrd men en

Meny Säkerhetskultur Inläggsnavigering

Integritet och hälso- och sjukvård En profession behöver metoder

MENU MENU Postat av Postad i , , , Tagged , Postat av Aaron Antonovsky på 1960-talet och innebär i korthet att om omvärlden ter sig begriplig, hanterbar och meningsfull så har du lättare att hantera svåra situationer.
Jag menar att det organisatoriska minnet är en betydelsefull del i om vi upplever kasam eller inte på vår arbetsplats.
Bättre rutiner för att ta fram och återanvända meningsfull dokumentation ökar vår förmåga att känna delaktighet och motverkar stress.
Detta är inte på något sätt oväsentligt i dessa dagar då allt fler mår dåligt på jobbet.
Postad i , , Tagged , , , Postat av Postad i , , Tagged , Postat av Postad i , , Tagged , , Postat av Postad i , , , Tagged , , , Postat av Postad i , , , , , Postat av Postad i , , , , , , , Postat av Postad i , , Tagged , , , Postat av Postad i , , Tagged , , postat av Postad i , , , , Tagged , , , , , , ← Sök efter:

the Informationssäkerhet och sekretess riktighet tillgänglighet processer Informations- och cybersäkerhet, digitala risker

Antalet konsulter har tillväxt kanske inte explosionsartat men massivt under de senaste decennierna.
Det skulle föra för långt att ta upp alla bakomliggande orsaker till detta i ett kort blogginlägg.
Jag tänkte istället ägna mig åt litet självspäkning så här i slutet av sommaren och resonera litet om informationssäkerhetskonsulter och vilken eventuellt nytta eller skada vi kan bidra till.
För dessa resonemang har jag inte något specifikt stöd gällande konsulter inom informationssäkerhetsområdet men utgår från forskning angående managementkonsulteri generellt.
Tankarna som presenteras nedan bygger dock främst på mina egna erfarenheter från båda sidor upphandlingsbordet samt av de studier av de palimpsestlika konsultinsatser som man alltför ofta stöter på som konsult.
Det vill säga de ofta flerfaldiga lager av tidigare uppdrag som inte lett till något varaktigt säkerhetsarbete men som lever kvar som bortglömda power points, ibland regelverk som är copy paste ur standarden och som resignation i organisationen: ”vi har ju redan försökt och det gick inte”.
Marknaden för informationssäkerhetskonsulter har som sagt växt.
Många organisationer, både privata och offentliga, ser behov externa specialister för att förbättra sin säkerhet.
Men flera faktorer försvårar redan i upphandlingsskedet.
En sådan faktor är att det är marknad där ”varan” saknar en tydlig definition för vad ska egentligen en sådan konsult ha för bakgrund och kompetens?
När det inte ens finns en tydlig överenskommelse om vad informationssäkerhet ÄR och än mindre krav på enhetliga utbildningar med fastställt innehåll så är förvirring en självklar konsekvens.
Vanligaste förvirringen är sammanblandningen av informations- respektive it-säkerhet där både leverantör och kund ofta har inriktning på teknisk säkerhet snarare än den organisatoriska säkerhet som är grunden för informationssäkerheten.
Leverantör och kund kan med denna bakgrund ha helt olika uppfattningar om vad som ska levereras.
Genomgående har leverantörer ett kunskapsövertag – det är ju de som förväntas sitta på expertisen.
Om kunden inte har gjort ett ordentligt förarbete med analys av vilken typ specialiststöd man egentligen behöver kan leverantören på olika sätt styra vad som faktiskt kommer att levereras.
Detta moment 22, att man har alltid för litet intern kompetens för att kunna beskriva vad som behövs innan man har upphandlat kompetens, gäller inte bara för enskilda organisationer.
Under åren har jag sett ett rätt stort antal gemensamma ramavtal som haft samma brist.
Upphandlingen tycks formad av önskan att hitta en informationssäkerhetens Mary Poppins som bara glider in och fixar till saker utan att besvära organisationen.
Resultatet blir bland annat att rena teknikföretag kan kapa åt sig uppdrag där organisatorisk kompetens är helt nödvändig.
När ingen annan kan beskriva vad en ”informationssäkerhetsspecialist” är och vad som krävs för att arbeta som en sådan är det naturligtvis ett omöjligt krav att ställa att just den upphandlande organisationen ska göra det.
I ett antal upphandlingar och även anställningsförfarande har varit med om att några yrkesgrupper anser sig kompetenta även om de aldrig arbetat med informationssäkerhet, läs militärer och poliser.
Tidigare har jag skrivit om att informationssäkerhet fortfarande i hög grad är en erfarenhetsbaserad kunskap där juniora utövare lär sig av seniora dito.
Men hur ska krav på denna typ av erfarenhet ställas i en upphandling och hur mycket enklare vore det inte med någon typ av examen kompletterad med praktik under x antal år?
Under senare år har det dykt upp krav på att konsulter ska vara certifierade.
Detta menar jag är ett attraktivt villospår.
De certifieringar som ofta refereras till lider dels av att vara utformade främst för amerikanska förhållande, dels ha teknisk inriktning.
Det är inte till mycket hjälp när man ska få till en organisatorisk styrning i en svensk kommun eller myndighet.Själv skulle jag alltid ge företräde till en konsult med akademisk examen i samhällsvetenskapliga ämnen framför någon med aldrig så många certifieringar men utan examen.
Ett trick som ibland har använts när upphandlingarna inte varit tillräckligt tydliga i kraven är att leverantören erbjuder en senior konsult men det sedan i praktiken blir juniora konsulter som får genomföra uppdraget.
Till viss del kan sådana ageranden uppmuntras genom upphandlingens konstruktion och hur man hanterar dilemmat att å ena sidan försöka uppnå en trygg leverans av konsultkraft från leverantören, å andra sidan få tillgång till verkligt kvalificerade konsulter.
Om betoningen läggs på att leverantörens förmåga att leverera kvantitet finns det en risk att konsulter ses som utbytbara.
En annan nackdel är att mindre leverantörer utesluts från möjligheten att lämna anbud.
Med risk att trampa folk på tårna är min erfarenhet att många av de mest kvalificerade konsulterna inom informationssäkerhetsområdet väljer att starta eget eller att arbeta i mindre bolag så att satsa på kvantitet i upphandlingen kan leda till att man kanske missar kvalitet.
Sedan är den upphandlingstekniska utformningen som ska formulera vad kunden prioriterar.
Ska man göra en bred utannonsering eller räcker det med att vända sig till några få leverantörer?
Är det priset, kvaliteten eller tiden som är viktigast?
För offentliga organisationer finns också omfattande regelverk som LOU att följa när det gäller den här typen av frågor.
Ett mer grundläggande problem är hur man egentligen ska prissätta konsulttjänster.
Fortfarande är den vanliga linjen att man använder timpris vilket är förståeligt men ofta vilseledande.
För en duktig konsult kan naturligtvis leverera mycket mer kvalitet på kortare tid än en mer orutinerad.
Ur kundens synvinkel får man alltså mer kvalitet till lägre pris om man väljer en dyrare konsult (under förutsättning att den dyrare konsulten verkligen är bättre).
Det rimliga vore att sätta priset utifrån nyttan som levereras till kunden oavsett hur lång tid det tar att utföra uppdraget.
Nu är det ofta så att upphandlingar görs av ett visst antal timmar vilket om det kombineras med alltför stor betoning av timpriset leder till att kunden får en sämre konsult till ett högre sammanlagt pris.
Jag menar också att det fordras en ansenlig mängd icke-fakturerbar tid för att utveckla sin kompetens och hålla sig uppdaterad vilket påverkar det som blir timpris ut.
För en medveten kund bör detta vara en aspekt värd att noggrant analysera innan upphandlingsunderlag skickas ut.
Kunder väljer ofta att upphandla x antal timmar eller ett fastprisuppdrag för att få kontroll och inte en löpande räkning utan slut.
Själv brukar jag istället föreslå att kunden köper en timbank med fritt avrop.
Då ligger makten hos kunden som inte behöver avropa fler timmar än man faktiskt använder och dessutom, om man inte trivs med konsulten, kan kunden på ett smidigt sätt avsluta relationen.
Eftersom det ofta är svårt att avgöra hur omfattande uppdraget blir innan man börjar med en mer konkret planering så ger detta kunden en flexibilitet som på ett avgörande sätt kan minska kostnaderna för uppdraget.
Jag tycker också det är rimligt att leverantören tar risken i affären eftersom man har kunskapsövertaget och möjligheten att påverka uppdragets utförande.
Det handlar ju också om att ställa krav som går att utvärdera på ett bra sätt vilket ju är något enklare för tekniska prylar än då man ska köpa mänsklig kompetens.
Kompetensen är som sagt svår att beskriva vilket leder till att den är även är svår att kontrollera.
Med beaktande att kunden ofta inte har möjlighet att göra en riktigt rättvis bedömning så tycker jag ändå att det finns vissa krav som kan leda till en bättre uppfattning om vad leverantörens erbjudande innebär.
Exempelvis skulle jag numera som kund ställa krav på exakt vilka konsulter som är aktuella i anbudet samt efterfråga skriftprov och andra underlag som just dessa konsulter skrivit.
Vid referenstagning skulle jag försöka tala med andra än den eller de som konsulten arbetar närmast hos en tidigare uppdragsgivare eftersom jag upplever att det är rätt vanligt att det finns en aningen symbiotisk relation mellan exempelvis informationssäkerhetsansvarig hos kunden och konsulten.
Kunden bör också få möjlighet att träffa den tilltänkta konsulten för att skaffa sig en bättre bild av personen och det intryck den ger.
Särskilt vikt bör i samtalet läggas vid vilken faktiskt erfarenhet av och förståelse för kundens verksamhet som konsulten har.
Utan denna förförståelse kommer kunden att få betala för leverantörens kompetenshöjning då konsulten måste sätta sig in i förutsättningarna för kundens organisation.
Men inte ens dessa varianter på krav garanterar på något sätt att man hittar ”rätt” konsult.
Inte bara kunden behöver göra analyser av chansen/risken för att uppdraget avlöper framgångsrikt.
Även leverantören har all anledning att försöka klargöra hur redo kundens organisation är för genomförandet av det aktuella uppdraget.
Inte så sällan tackar jag nej till uppdrag.
Det kan handla om att kunden har satt en alldeles för snäv tidsram för att de organisatoriska åtgärderna ska hinna tas fram, processas, beslutas och genomföras eller att jag inte uppfattar att ledningen verkligen är beredd på vad som kommer att vara nödvändiga förutsättningar.
Om ett avtal sluts uppstår omedelbart ett antal nya frågeställningar.
En del av dem uppkommer genom att leverantören och kunden inte har riktigt samma intressen.
Många leverantörer är starkt inriktade på att genomföra uppdrag på sitt sätt, inte minst därför att det lönar sig bättre att ”ta från hyllan” än att utveckla saker tillsammans med kunden (såvida man inte har uppdrag på löpande räkning).
Att vara alltför lyhörd och explorativ kan äventyra vinsten i ett fastprisuppdrag med definierad leverans men även uppdrag med begränsat antal timmar.
Juniora konsulter är också av naturliga skäl rädda att släppa sargen och överge mallar som tagits fram av arbetsgivaren.
För en konsult är det också en svår balansgång mellan att göra för mycket alternativt för litet.
Det är ofta svårt frestande att ta över alltmer avt, alldeles särskilt om förväntan finns på att man ska vara Mary Poppinslikt allfixande.
Det är praktiskt för konsulten eftersom man då kan genomföra arbetet på sitt sätt vilket gör att man har kontroll och det på ett sätt går snabbare.
För kunden kan det dock bli en nackdel om konsulten blir alltför dominerande eftersom man då riskerar få en leverans som inte är avpassad för verksamheten och att behovet av att bygga upp egen kompetens försummas.
Om detta finns mycket mer att skriva men eftersom det är sommar och sol får det vänta till ett senare tillfälle.
Jag tror att vi måste bli mycket mer öppna om att det är svårt både att vara kund och att vara leverantör när det kommer till att upphandla konsulttjänster.
En förbättrad dialog i de enskilda uppdragen där konsulten är följsam och öppen inför hur kunden uppfattar leveransen höjer kvaliteten inte bara i uppdraget utan kan bidra till en långsiktig utveckling av branschen.
Ja, det verkar självklart men vid ett stort antal tillfällen har jag träffat på kunder som varit missnöjda med tidigare konsult men inte tyckt sig kunna nå fram utan istället valt att så snabbt som möjligt avsluta uppdraget.
Vi måste också ha diskussioner generellt om hur man får till en bra upphandling där kund och leverantör har samförstånd om vad och hur uppdraget ska levereras och med vilken kompetens.
Kanske kan informella men allmänt accepterade paketeringar av olika typer uppdrag tas fram.
Detta försvåras dock av att det inte finns någon sammanhållande branschorganisation.
En flink människa skulle ju också kunna ta fram en ratingsida där olika konsultinsatser betygssätt ungefär som ett restaurangbesök – det vore nog smärtsamt men nyttigt för många av oss.

Meny Kompetensförsörjning

MENU MENU Postat av Postad i , , Tagged , , , Sök efter:

Jag har tagit del av den granskningsrapport som KPMG genomfört på uppdrag av Region Stockholm efter 1177-skandalen och som av en händelse (?)
publicerades dagen för midsommarafton.
Rapportens omfång motsvarar på intet sätt skandalens omfång utan är ett luftigt dokument på 14 sidor inklusive bilagor.
Att rapporten är tunn räknat i sidor behöver naturligtvis inte påverka skärpan i analysen men som rätt luttrad granskare av informationssäkerhet känns de 14 sidorna som rätt kraftigt i obalans med uppdragets genomförande och omfattning: Granskningen har omfattat en kombination av IT-revision, inhämtning av information från tillgänglig dokumentation av karaktären styr- och stöddokument, uppföljningsrapporter samt intervjuer med nyckelpersoner.
Granskningen har utgått från vedertagna granskningsmetoder inom området informationssäkerhet, vilket omfattat såväl Vårdgivaren och dennes underleverantörer som Region Stockholm genom HSF.
En lista över de personer som intervjuats återfinns i bilaga 2.
Granskningen har genomförts under maj-juni 2019.
Vidare är rapportens utformning i avvikelseformat där endast väsentliga iakttagelser har lyfts fram med förslag på förbättringsåtgärder, inklusive eventuella behov att förtydliga avtal, uppföljningsrutiner och processer för att minimera att motsvarande inträffar igen.
Att på så få sidor beskriva Region Stockholms, Medhelps och ett antal underleverantörers styrning av sin informationssäkerhet, vad som gått fel och vad som bör göras för att undvika att systemfel som det inträffade upprepas känns inte riktigt seriöst.
Den sammanfattande bedömningen är dock på allvar oroande: Vår övergripande bedömning är att HSF bör se över kravställningen på informationssäkerheten i samband med upphandlingar samt att uppföljningsprocessen behöver struktureras och formaliseras för icke funktionella krav, däribland informationssäkerhet.
I allt väsentligt behöver kravställningen preciseras för att säkerställa att leverantörerna är införstådda i HSF:s förväntningar, men även för att öka den interna förståelsen för hur kraven ska följas upp.
Att avtalskraven beträffande informationssäkerhet är allmänt hållna, samtidigt som standarden inom området inte är fullt integrerad i HSF:s verksamhet, innebär i praktiken att Vårdgivarens hantering av informationssäkerhet endast har följts upp i begränsad omfattning.
Vad gäller Vårdgivaren kan vi konstatera att det inte finns något dokumenterat ledningssystem för informationssäkerhet samt att det förekommit brister i rutinen för utvärdering och uppföljning av underleverantörer till vårdtjänsten.
Vi noterar dock att Vårdgivaren, sedan incidenten, arbetar med en åtgärdsplan för att förbättra informationssäkerheten, rutiner beträffande kontroll av leverantörer samt planerar för en certifiering inom ISO 27001.
Vi noterar att de akuta bristerna hänförliga till incidenten har hanterats, bland annat genom den skyndsamma nedstängningen av den felkonfigurerade servern, uppsägningen av avtalet med underleverantören som givit upphov till incidenten samt inhämtandet av all patientinformation till Vårdgivarens egen tekniska lösning.
Vi har dock identifierat ett antal framåtblickande förbättringsområden som rör HSF:s övergripande arbetssätt beträffande informationssäkerhet, fördelningen av roller och ansvar samt metoden för hantering och uppföljning av leverantörer.
Vidare har vi även identifierat åtgärder hänförliga till Vårdgivarens arbete med informationssäkerhet och den planerade ISO-certifieringen samt sättet till vilket Vårdgivaren arbetar med att vidareförmedla HSF:s avtalskrav beträffande informationssäkerhet.
HSF är alltså Hälso- och sjukvårdsförvaltningen i Region Stockholm och vårdgivaren Medhelp.
Att Region Stockholm inte lyckas formulera tydliga säkerhetskrav i upphandlingar i en så central tjänst som 1177 är i sig skandalöst.
Att sedan Medhelp som vårdgivare helt saknar ledningssystem för informationssäkerhet och att Region Stockholm inte ens ställt krav på en så grundläggande nivå är information som bekräftar min bild att den svenska sjukvården fortfarande ignorerar behovet av informationssäkerhet.
1177-skandalen var trots allt bara sten som vändes, om än stor.
Det som verkligen oroar är de brister i Region Stockholm säkerhetsarbete som avslöjas indirekt i rapporten.
Dessa brister gör det mycket sannolikt att 1177 bara är en del i större systemfel där patienters hälsa och integritet är i en ständig riskzon om rapportens uppgifter stämmer.
Ta till exempel följande iakttagelse från granskarna: HSF saknar ett fullständigt ledningssystem för informationssäkerhet (LIS).
Enligt den regionsövergripande informationssäkerhetspolicyn ska varje nämnd införa ett lokalt ledningssystem för informationssäkerhet.
I förekommande fall har HSF tagit fram lokala styrande dokument för informationssäkerhet, men dessa återspeglar i allt väsentligt de styrdokument som finns på regional nivå.
Graden av verksamhetsanpassning är relativt låg och förvaltningen har inte tagit fram några instruktioner eller utvecklat processer för hanteringen av informationssäkerhet.
Vi noterar att instruktioner håller på att arbetas fram, men dessa berör hanteringen av portabel IT-utrustning och syftar således inte till att tydliggöra riktlinjerna för hur förvaltningen.
Region Stockholm har alltså inte tagit fram säkerhetsregler för avpassade för sjukvården utan i huvudsak nöjt sig med de generella för regionen (trots att det funnits en föreskrift att så ska göras sedan 2008 SOSFS 2008:14) och att man inte heller är på väg att göra det för mer än för bärbar utrustning.
Jag tror redan den som rent tillfälligt jobbat med informationssäkerhet i vården förstår hur mycket arbete och eftertanke som krävs för att anpassa generella regler så att de fungerar i vården, t.ex.
bara att ge en uttolkning av ansvasförhållandena för informationshanteringen är en mycket komplex fråga.
Situationen i Region Stockholm gäller även hos Medhelp som inte heller har förmåga att ställa relevanta krav på sina underleverantörer: Processer och rutiner ska finnas för att säkerställa uppfyllandet av Socialstyrelsens krav på informationssäkerhet.
Vårdgivaren har inget dokumenterat LIS och det är vår bedömning att vissa processer saknas för att kunna försäkra att kraven uppfylls.
Vi noterar exempelvis att Vårdgivaren, i enlighet med vedertagna standarder och god praxis, inte har ställt ändamålsenliga krav på samt följt upp leverantörers hantering av informationssäkerhet.
Vidare anger Socialstyrelsen att vårdgivare ska ha en informationssäkerhetspolicy som anger mål och inriktning på verksamhetens arbete med informationssäkerhet.
Vi har identifierat att Vårdgivaren har antagit en informationssäkerhetspolicy i maj 2019.
Vi noterar i sammanhanget att Vårdgivaren planerar för en certifiering inom ISO 27001 till kvartal 2, 2020 samt har ett ledningssystem för GDPR.
Den här råttan-på-repet situationen illustrerar väl varför startpunkten för att förbättra säkerheten i vården på måste ligga på sjukvårdshuvudmännen eftersom det är huvudmännen som utformar förutsättningarna för de övriga aktörerna.
Tyvärr har ju lagstiftning och föreskrifter i huvudsak varit inriktade på vårdgivarna vilka i praktiken numera har svårt att ens den egna informationssäkerheten eftersom informationen hanteras i gemensamma lösningar.
Det är därför extra nedslående när sjukvårdshuvudmännen väljer att inte driva frågan ens i den egna verksamheten och inte heller att respektera de föreskrifter som finns.
Framför allt är det en fråga där det inte skulle behövas en föreskrift för att få de styrande i Sveriges största sjukvårdshuvudman att inse behovet av att styra informationshanteringen så att patienterna kan lita på att få god och säker vård.
I den kommentar som regionens ansvariga för vård upprepar man att man ska införa emen fokuserar i åtgärderna huvudsakligen på underleverantörerna.
Men att styra underleverantörerna utan ett eget fungerande regelverk är ett moment 22 som även granskarna noterar: HSF ställer inte tillräckligt tydliga krav på sina privata vårdgivare vad gäller deras informationssäkerhet.
Kravställningen på informationssäkerhet sker genom tillämpningen av en standardbilaga, vilken anger att leverantörer/vårdgivare ska följa regionövergripande styrande dokument för informationssäkerhet.
Vi noterar att de styrande dokumenten, i sin tur, anger att informationssäkerheten hos de som arbetar på uppdrag av Region Stockholm ska regleras genom avtal.
Vår bedömning är att dessa hänvisningar kan ge upphov till skiljande uppfattningar gällande kravbilden på informationssäkerheten.
Med hänsyn till att Socialstyrelsen anger som krav att vissa kontrollmål ska uppfyllas beträffande informationssäkerheten, företrädesvis med stöd av ett LIS enligt standarder i ISO 27000-serien, är det även vår bedömning att HSF:s tillkommande avtalskrav endast ger en begränsad effekt vad gäller att tydliggöra förväntningarna på de privata vårdgivarna.
Jag ska inte tjata mer om hur uppseendeväckande det är att Region Stockholm trots föreskrifter, alla incidenter och trots alla granskningar genom åren ändå inte prioriterar att införa ens ett regelverk för vården att utgå ifrån.
Det gör att man vare sig kan ha ett internt systematiskteller ställa relevanta krav på underleverantörer, det senare framgår på ett nästan tragikomiskt sätt i relationen med Medhelp.
Informationssäkerheten i vården är ingen ny fråga utan har varit uppmärksammad sedan åtminstone första hälften av nittiotalet.
Den stora frågan är Region Stockholm (och övriga sjukvårdshuvudmän) år efter år undviker att komma till rätta med bristerna.
Varför tycker man att det är rimligt att utsätta verksamheten och patienterna för de stora risker som den bristande säkerheten leder till samtidigt som man är beredd att investera ofattbara resurser i experiment som NKS?
Och nej, det går inte att säga att 1177 var ett undantag från en i övrigt fungerande situation.
KPMG:s rapport är den senaste i en rad av rapporter som visar att den bristande säkerheten är ett systemfel som genomsyrar hela den svenska vården – har man inte styrning av informationssäkerheten så finns den inte mer än fläckvis och utan möjlighet att reducera riskerna.
En relaterad fråga är om NIS-direktivet kommer att ha någon positiv inverkan över huvud taget eller om även denna styrning mot ekommer att ignoreras.
Om läsaren tycker att jag ger en alltför mörk bild av Region Stockholms informationssäkerhet rekommenderar jag att ni läser KPMG:s knapphändiga rapport som ändå ger en antydan om regionens förmåga rörande informationssäkerhet.
Tillägg 2019-06-24: Lägger ut rapporten som pdf här: Obligatoriska fält är märkta

en varför

Meny 1177 igen Inläggsnavigering

Lämna ett svar

MENU MENU Postat av Postad i , , , , Tagged , , , , , , ← → Din e-postadress kommer inte publiceras.

Ingen kan idag förneka vikten av att förbättra informationssäkerheten i de samhällsviktiga verksamheterna.
Ett antal utredningar har under de senaste tre åren utmynnat i olika förslag på hur detta ska ske.
Tyvärr har fokus legat allt för mycket på reaktiva åtgärder som incidentrapportering och allt för litet på det förebyggande arbetet, detta trots att det ofta påpekats att de stora säkerhetsvinsterna kan göras genom olika typer av incidenter och säkerhetsproblem motverkas innan de uppstår.
För mig framstår den i särklass viktigaste förebyggande åtgärden att tillräcklig kompetens finns för att hantera informationssäkerhetsrelaterade frågor på olika nivåer.
För att uppnå detta krävs både episteme, fronesis och techne.
Det vill säga det måste finnas en vetenskaplig grund för att de åtgärder som vidtas är effektiva i förhållande till de problem de avses att lösa, att det måste finnas en praktisk kunskap hur fungerandeska bedrivas och det måste finnas en djupare förståelse att nya situationer kan hanteras.
Jag skulle vilja hävda att detta idag i allt för hög grad saknas.
Konkret kommer ett stort antal organisationers ledningar behöver ett kompetent stöd för att styra sittså att det motsvarar de risker som verksamheten är utsatt för och för att kunna tillvarata alla nya möjligheter som den pågående digitaliseringen innebär.
Jag pratar alltså inte om it-säkerhet som är inriktad på tekniska åtgärder utan informationssäkerhet som handlar om verksamhetsstyrning och information.
Utöver befintliga krav kommer även nya från bland annat dataskyddsförordningen, NIS, civilt försvar och en ny säkerhetsskyddslag.
Det gäller c.a.
350 myndigheter, 290 kommuner, ett tjugotal landsting/regioner och ett okänt antal privata aktörer som medverkar till att upprätthålla samhällsviktiga verksamhet.
En av de vanligaste frågorna jag får när jag besöker kommuner, regioner och myndigheter är vilka utbildningsmöjligheter som finns.
Hos de som får allt tyngre ansvar för det faktiskat finns såvitt jag kan bedöma en allt större medvetenhet om kompetensbehovet.
Till viss del fanns denna insikt även i den strategi för samhällets som MSB tog fram tillsammans med andra myndigheter.
Tyvärr har inte insikten utmynnat i några konkreta satsningar för att stödja utvecklandet av professionsinriktade utbildningar.
Även om behovet av kompetens är känt anvisas få vägar för kompetensförsörjningen.
Vare sig i den nationella säkerhetsstrategin eller i digitaliseringsstrategin, båda presenterade av regeringen 2017, nämns något om kompetensförsörjning inom informationssäkerhetsområdet.
Utredningar som SOU 2015:23 , SOU 2017:36 SOU 2017:114 liksom lagrådsremissen om ny säkerhetsskyddslag är lika renons på förslag annat än de som gäller utpekade tillsynsmyndigheter.
Den nationella strategin för informations- och cyberssäkerhet (Skr.
2016/17:213) skulle kunna inge ett visst hopp eftersom den faktiskt innehåller ett avsnitt som heter Öka kunskapen och främja kompetensutvecklingen.
Hoppet om att finna ett mål att tillgodose behovet av professionell kompetens generellt avtar dock snabbt då det visar sig att det som avses är att informera organisationer om sårbarheter och behovet av säkerhetsåtgärder samt att höja den enskilda användarens kunskap.
Samtliga strategier och utredningar tycks dock förutsätta att den kompetens som behövs kommer att finnas utan vidare styrning.
Jag delar inte denna tilltro till den osynliga handen.
Istället ser jag att vi står inför ett mycket stort och komplicerat kompetensförsörjningsbehov.
Bara det ett nyrekryteringsbehov av något hundratal informationssäkerhetsspecialister årligen till kommuner och landsting/regioner som kanske har samhällets mest komplexa informationssäkerhetsbehov måste uppmärksammas.
Många av oss som idag är verksamma inom informationssäkerhetsområdet saknar formell utbildning för våra jobb eftersom utbildningar helt enkelt inte funnits i någon högre grad (jag jämställer inte olika certifieringar med högskoleutbildning även om de säkert är bra på sitt sätt).
Därav ett stort fortbildningsbehov.
De kurser på högskolenivå som erbjuds idag via en sökning på antagning.se för hösten 2018 är antingen korta kurser eller har en renodlad teknisk inriktning.
Undantagen är masterutbildningar i Örebro som har ett handfull platser samt i Luleå där ett organisatoriskt perspektiv tillförs en huvudsak it-inriktad utbildning.
Detta räcker naturligtvis inte långt.
Mitt förslag är därför att en utredning tillsätts som tillåts koncentrera sig på hur behovet av kunskap och kompetens inom informationssäkerhetsområdet ska tillgodoses under de närmaste åren.
Utgångspunkten är att staten måste ta ett betydligt större ansvar för kunskapsförsörjning på en vetenskaplig nivå och för att kunskapen omsätts till kompetenshöjande åtgärder för prioriterade målgrupper i samhället.
Målen bör vara att det gemensamma utbildningsplaner för en treårig högskoleutbildning som informationssäkerhetsspecialist med inriktning på organisation och information, att det utbildas 50 informationssäkerhetsspecialister per år samt att varje kommun har tillgång till minimum en halvtids informationssäkerhetsspecialist.
Inom detta fält kan även utbildningar av typen ”informationssäkerhetsspecialist kommunal verksamhet” och ”informationssäkerhetsspecialist hälso- och sjukvård” kunna finnas.
Även fortbildningar för redan yrkesverksamma bör ingå i ett kunskapslyft för informationssäkerhetsområdet.
Utan denna typ av insats har jag mycket svårt att se hur alla andra mål för att höja samhällets informationssäkerhet ska kunna realiseras.
Det finns alldeles för få verktyg som kan användas som stöd för informationsarbetet och det är därför i sig positivt att SKL tagit fram ett stöd för Klassning vid sidan om riskanalys den mest centrala aktiviteten för att styra informationssäkerheten vilket gör det extra intressant med ett verktyg.
Verktyget är framtaget för kommunal verksamhet med krav som ursprungligen sägs hämtade från två äldre stöd från MSB:s föregångare KBM; BITS (Basnivå för IT-Säkerhet) och BITS+.
Dessa stöd togs fram 2006 och har sedan inte uppdaterats efter att ett beslut fattades redan runt 2009 att lämna BITS därhän.
Kraven har sammanställts och utvecklats till en kravkatalog som även har en koppling till ISO 27000-serien: I samarbete mellan ett antal kommuner bearbetades kravkataloger och funktioner under våren 2015 och blev verktyget du är inne i nu.
Kraven mappades om till ISO 2700x och förtydligades.
Jag bestämde mig för att göra ett test av verktyget för att se hur det fungerar i den vardagliga situation som informationsklassning är i en organisation med ett systematiskt.
För att ge den som läser testet en bild av mina utgångspunkter tänker jag i detta inlägg först beskriva förutsättningarna för informationsklassning, och särskilt informationsklassning i kommunal verksamhet.
Jag ska också försöka tolka KLASSA:s övergripande metodsyn.
Utgångspunkten föri offentlig verksamhet är i många fall ISO-standarden, så också för mig och, om än inte direkt utsagt, för KLASSA.
Målet med klassning definieras i SS-ISO IEC 27002:14 som: Att säkerställa att information får en lämplig skyddsnivå i enlighet med dess betydelse för organisationen.
Säkerhetsåtgärden är: Information ska klassas i termer av rättsliga krav, värde, verksamhetsbetydelse och känslighet för obehörigt röjande eller modifiering.
Och vägledning för införande: Klassning och tillhörande säkerhetsåtgärder för informationen bör ta hänsyn till verksamhetens behov av spridning eller begränsning av informationen samt till de legala kraven.
Andra tillgångar än information kan också klassas i överensstämmelse med klassningen av den information som är lagrad i, behandlas av eller på annat sätt hanteras eller skyddas av tillgången.
Ett problem med standarden är att begreppen inte är modellerade vilket ställer till problem till exempel genom att begreppet ”tillgång” både kan användas för själva informationen och för de bärare som används för att hantera informationen som till exempel en applikation eller ett papper.
Denna brist blir alltmer problematisk eftersom organisationer i allt högre grad använder molntjänster eller delar tjänster på andra sätt vilka knappast kan ses som organisationens tillgångar.
Detta ska jag fördjupa mig i vid ett annat tillfälle.
Här räcker det att säga att standarden tämligen tydligt säger att det är information som ska klassas.
Som en följd av den klassning som gjorts av informationen kan även andra tillgångar klassas, t.ex.
genom en klassning av system.
Enligt standarden ska: Modellen för informationsklassning bör omfatta regler för klassning samt kriterier för granskning av klassificering över tid.
Skyddsnivån i modellen bör bedömas genom att analysera konfidentialitet, riktighet och tillgänglighet samt andra krav för den aktuella informationen.
I 27001 finns bilaga A som ofta brukar uppfattas som en kravlista för att uppfylla standarden avsnittet A.8.2.
med där målet med klassningen sägs vara: Att säkerställa att information får en lämplig skyddsnivå i överensstämmelse med dess betydelse för organisationen.
Den modell som används ska alltså inte bara innehålla beskrivning av säkerhetsåtgärder i olika skyddsnivåer utan också kriterier som för skyddsnivåer som ger en kontinuitet över tid oavsett den snabba tekniska utvecklingen.
Klassningen ska kunna genomföras utifrån konfidentialitet, riktighet och tillgänglighet men också utifrån andra krav som är aktuella.
Efter att ha arbetat med informationsklassning i vitt skilda organisationer med helt olika typer av informationshantering kan jag se vissa generella krav som måste uppfyllas om klassningsaktiviteten ska få en säkerhetshöjande effekt.
Som användare möts man av ett fräscht och lättnavigerat gränssnitt vilket skapar förväntningar.
Jag utlovas att kunna få ”informationssäkerhetsklassa” (litet knölig term men det är kanske för att göra en distinktion mot det KLASSA som används i ett arkivperspektiv) informationen i ett verksamhetssystem, att göra en handlingsplan och att få en lista med upphandlingskrav.
Redan här finns ju ett problem genom att det är ”informationen i ett verksamhetssystem” som ska klassas vilket ger en rätt föråldrad syn på relationen mellan verksamhet, information och it-lösning som jag försökt beskriva ovan.
Positivt är dock att klassa har med aspekten spårbarhet.
Detta är en nödvändighet för de organisationer som har verksamhet inom vård med tanke på de krav som ställs på detta i den relativt nya föreskriften från Socialstyrelsen .
Men vilket praktiskt stöd får jag genom KLASSA?
Jag tänker mig att jag klassar informationen i två olika verksamhetssystem med stor spännvidd.
Det första är ett tänkt rumsbokningssystem för kommunhuset i Söpple, det andra ett vårdsystem för äldreomsorgen i samma kommun.
Jag erbjuds att klassa i fem nivåer från 0= ingen eller försumbar skada till 4= synnerligen allvarlig skada.
För nivå 4 finns en oklar formulering: Röjande av informationen medför Systemet behandlar information som omfattas av sekretess och rör rikets säkerhet (hemliga uppgifter) där röjande av information kan ge oöverskådliga konsekvenser där t ex omfattande fara för liv och hälsa föreligger.Informationen omfattas av t ex säkerhetsskyddslagstiftningen.
Är det endast för uppgifter som är hemliga eller är det även andra uppgifter som kan utgöra omfattande fara för liv och hälsa om de röjs?
Säkerhetsskyddslagen säger inget om liv och hälsa – det är andra värden som avses skyddas i den lagstiftningen.
Det är inte heller rimligt att föreställa sig att sjukvård ska bedrivas med den utrustning och de rutiner som säkerhetsskyddet stipulerar (RÖS- och signalskydd för att ta ett par exempel).
Detta är en besvärande oklarhet.
När jag som test fyller i nivå 4 får jag till svar: Du har klassat kravområdet som .
Kraven på dessa typer av system hanteras inte via KLASSA.
Kontakta organisationens informationssäkerhetsansvarige för hantering av denna typ av information.
Jag förstår helt enkelt inte var liv och hälsa kommer in här eftersom konstruktörerna av KLASSA verkar avse endast rikets säkerhet.
För mitt rumsbokningssystem fyller jag i att det kan bli måttliga skade-effekter i alla aspekter (nivå 1) och får ut en kravlista som jag sedan kan bedöm hur väl jag uppfyller.
Skadeeffekten är beskriven som: Inga märkbara större svårigheter för verksamheten att nå målen.
Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation.
Enskilda individer eller andra myndigheter och organisationer kan notera störningen eller uppleva lindriga besvär men utan påvisbar ekonomisk påverkan.
Med tillägget Verksamhetens förmåga att utföra sina arbetsuppgifter påverkas endast i begränsad omfattning av otillgänglighet till systemet.
för aspekten tillgänglighet.
För vårdsystemet väljer jag lika konsekvent nivå 3 vilket står för: Skapar stora svårigheter för organisationens verksamhet.
Omöjligt eller nästan omöjligt att fullfölja uppdragen.
Samhällsviktiga funktioner i egen eller annan organisation påverkas sannolikt.
Individers liv och hälsa äventyras.
med tillägget: Verksamhetens förmåga att utföra sina arbetsuppgifter påverkas i en allvarlig/katastrofal omfattning av otillgänglighet i systemet.
Jag har några synpunkter på beskrivningar av skadeeffekterna som jag väljer att hoppa över i detta redan alltför långa inlägg.
Istället ska jag fokusera på det stöd jag får ut.
Grunden är att konstruktörerna har gått via kravbilagan till ISO 27000.
Detta leder till ett stort principiellt problem och några praktiska.
Det principiella består i en underförstådd tolkning av kraven i bilaga inte ska tolkas som en helhet utan att säkerheten höjs genom ju av kraven som uppfylls.
Detta är inte min tolkning vilken istället är att alla organisationer som eftersträvar att följa standarden ska uppfylla samtliga krav men på olika nivå beroende på sitt behov av skydd.
Organisationer som certifierar sig gör ju ett Statement of Applicability (SoA) om de inte anser att kravet är tillämpbart i deras organisation.
Det praktiska resultatet av detta principiella val i KLASSA är att listan över säkerhetskrav (som numreras utifrån standarden) är betydligt kortare för rumsbokningssystemet än för vårdsystemet.
Detta skulle kunna förefalla rimligt och som ett tecken på att säkerhetskraven är lägre – alltså färre krav.
Jag tycker dock inte det när man ser vilka krav som saknas för rumsbokningssystemet.
Exempel på vad som saknas är rena hygienfaktorer som krav på sekretessförbindelser, att identiteter inte återanvänds, styrning av loggar och uppdateringar, nätverkssäkerhet, relationen till leverantören, leverantörens åtkomst och granskning.
Dessa säkerhetskrav påverkar ju inte enbart rumsbokningssystemet utan i värsta fall hela miljön som de finns i. Att KLASSA tar sin utgångspunkt i standardens krav i sin rena form i de flesta fallen (undantag är till exempel identifieringslösningar) leder till den litet paradoxala följden att det ställs mycket få tekniska krav trots att det är system som klassas.
Det leder också till att kraven är mycket öppna för tolkning och inte till någon större hjälp vare sig intern eller vid upphandling som till exempel: Information tillhörande systemet som lagras på externa molntjänster eller på flyttbar lagringsmedia, exempelvis mobiltelefoner, USB-minnen och externa hårddiskar, hanteras och skyddas på motsvarande sätt som övrig information tillhörande systemet.
Eller ur det excelark som kan användas som stöd för upphandling: Leverantören ska ha en rutin för att både avaktivera användarkonton och permanent ta bort konton från systemet.
Trots att behovet är stort och ansatsen tycker jag inte att KLASSA är ett bra verktyg.
I vissa fall skulle jag till och med säga att det är en riskfaktor i sig eftersom KLASSA på de lägre säkerhetsnivåerna plockar bort så många självklara säkerhetsåtgärder att ett system som sägs uppfylla kraven kan vara i avsaknad av elementära säkerhetsåtgärder.
Detta är en risk i systemet och i värsta fall för hela it-miljön som det finns i. Om en leverantörs åtkomst inte är styrd och begränsad i ett system kan det leda till obehörig åtkomst även i andra integrerade lösningar för att bara ta ett exempel.
Av de sex krav jag ställde upp fyller KLASSA endast delvis upp krav 2, 4 och 6 om man gör en välvillig tolkning.
Jag hoppas SKL gör ett omtag och då även ser över till exempel kraven från dataskyddsförordningen och integrerar även dem.
Man tror ju nästan inte det är möjligt att utreda digitalisering ytterligare en gång men det får man ändå ge regeringen – att sätta fart på utredandet, det kan den!
Nu har den emotsedda utredningen om en ”ny” digitaliseringsmyndighet presenterats, med det litet sekelskiftesdoftande namnet SOU 2017:23 .
Spoilervarning eller service till er som inte vill läsa längre än hit: Först vill jag ge utredningen en eloge för den 40-sidiga historik som ingår.
En randanmärkning är att historieskrivningen skulle blivit ännu intressantare om den även inkluderat en teoretisk diskussion i ett förvaltningshistoriskt perspektiv.
Det skulle ge digitaliseringen den kontext som så ofta saknas.
Det har dock inte varit utredningens uppdrag att anlägga en mer djuplodande syn på digitaliseringens roll i samhället och i förvaltning.
Istället har regeringen velat ha en analys av och förslag till: .
Mer konkret handlar det om att ge förslag på hur staten skapa en organisation och ansvarsfördelning för nationella tjänster som Mina meddelanden och Svensk e-legitimation.
Dessa två tjänster har ju inte riktigt levererat enligt regeringens ambition och ytterligare ett uppdrag för utredningen har varit att föreslå I övrigt är det välbekant stoff där uppgifter som i princip har funnits sedan tiden för 24-timmarsmyndigheten flyttas omkring litet i myndighetsstrukturen.
Utredningen börjar i moll.
Sverige har halkar efter i digitaliseringen trots att regeringar oavsett färg sedan länge hävdat att vi ska vara bäst.
I parentes sagt har jag aldrig förstått varför strävan är att vara bäst istället för att vara tillräckligt bra men det kanske bara är trist och pragmatisk jante-inställning.
Utredningen söker den främsta orsaken till det icke-fördelaktiga läget i att staten under lång tid valt en decentraliserad ansvarsmodell för digitaliseringen.
Hypotesen framförs med hänvisning till det stora antal utredningar från andra myndigheter (Riksrevisionen, E-delegationen, ESV och Digitaliseringskommissionen) som alla pekat på samma sak.
En reflektion under läsningen är att myndigheterna visserligen enigt pekat på fenomenet men därefter lämnat helt olika svar på lösning.
E-delegationen föreslår t.ex.
någon slags mjuk samordningslösning som ska leda till ökad samordning medan Digitaliseringskommissionen istället föreslår en ny myndighet.
Det är inte alldeles lätt att vara regering och inom ett drygt år få två helt olika förslag på lösningar från sina utredningar… Avsnittet om organisation är begripligt vilket är något mer än vad som kan sägas om avsnittet En nationell digital infrastruktur.
Det inleds med utredningens bedömning Politiken för digital förvaltning bör utformas mot bakgrund av dess roll i den nationella digitala infrastrukturen.
Jag läser meningen om och om igen och förstår absolut ingenting.
Är det politiken som bör utformas med bakgrund av dess roll i den nationella digitala infrastrukturen?
Eller är det den digitala förvaltningen?
Vilken roll har i så fall i politiken alternativt den digitala förvaltningen i den nationella digitala infrastrukturen?
Och vad är den nationella digitala infrastrukturen?
Är det lösningar som staten kontrollerar, är det infrastruktur som används för nationella tjänster?
Utredaren tycks mena att infrastrukturfrågan inte nödvändigtvis behöver kräva några heltäckande statliga beslut utan att den liksom växer fram organiskt av offentliga och privata aktörer.
Det hela mynnar ut i fler frågor och egentligen inga svar.
Det avsnitt som jag av naturliga skäl är mest intresserad av är det som handlar om informationssäkerhet, integritetsskydd och personuppgiftsansvar.
Utredarens bedömningar är idag att betrakta som truismer; säkerhet måste integreras i digitaliseringen, kommuner och myndigheter behöver mera stöd för att göra det men myndigheter som har ansvar för att ge stöd i ovanstående frågor är inte koordinerade.
Detta är kända sanningar sedan länge så det en ny utredning skulle kunna tillföra skulle vara att komma ett steg längre än att pliktskyldigt skriva att det är viktiga frågor och föreslå vad som ska göras för att förbättra situationen.
Och det här jag återigen stöter på ett generellt problem med dagens utredningsväsende.
Min referensram är tyvärr härliga utredningsinsatser som t.ex.
Emigrationsutredningen 1907-1913 under Gustaf Sundbärg.
Utredningen genomfördes av tidens främsta forskare på området, ny kunskap skapades och regeringen fick dessutom ett mycket kvalificerat beslutsunderlag.
Dagens utredningar verkar alltför ofta bara innebära ett legitimerande av ett beslut som redan ligger och väntar.
Teori, analys och vetenskaplig kompetens är inte särskilt efterfrågat.
Istället hamnar utredningarna i det som jag inledningsvis gav en eloge; en sammanställning av redan publicerade källor.
”Kompilation” skulle läraren på den forskarutbildning jag påbörjade men aldrig avslutade morra innan han gav ett underkänt betyg hänvisande till det mest nesliga felsteget i skrivandet näst det rena fusket.
Nu ska jag inte vara alltför njugg, utanför säkerhetsområdet finns det resonemang om hur offentligt finansierade aktörer kan betraktas som tillför ny kunskap men det känns mer som undantag.
Jag har också förståelse för att utredningen med den korta tid (sedan i slutet av november 2016) som stått till förfogande knappast kan göra några djupdykningar.
Frågan blir då varför man väljer att tillsätta en utredning och inte helt enkelt låta tjänstemännen på RK ta fram ett beslutsunderlag i den riktning som regeringen tänkt sig besluta.
Elakt tänker jag att kanske statliga utredare om digitalisering är en av de yrkesgrupper som kan vara ersättas med eftersom de ständigt kompilerar litet till utan att tillföra någon ny analys.
Vilket omedelbart slå tillbaka på mig själv för självklart skulle mitt itererade gnäll på statliga utredningar om digitalisering precis lika lätt kunna göras av en robot.
I avsnittet om informationssäkerhet, integritetsskydd och personuppgiftsansvar kompileras det sida upp och sida ner från MSB, PTS och Datainspektionens webbplatser och föreskrifter samt från Riksrevisionens rapporter, tidigare SOU:er o.s.v.. Ingen ny kunskap och ingen analys men utredningen försäkrar som så många utredningar före den att informationssäkerhet och integritet är superviktiga förutsättningar för digitalisering.
Författningsförslaget gällande den nya myndigheten ser ut så här: 11 § Myndigheten ska samverka med Datainspektionen, Myndigheten för samhällsskydd och beredskap samt Post- och telestyrelsen i frågor om digitalisering av förvaltningen, personlig integritet och informationssäkerhet.
Det är ju ett förslag som är svårt att undvika att uppfylla… Jag uppfattar detta som det svagaste partiet i utredningen eftersom det saknar riktning, nytänkande och konkreta förslag.
Det intressanta är när utredningen själv diskuterar s.k.
eget utrymme (liksom även Mina meddelanden för den delen), vilket är en fråga med många säkerhetsdimensioner finns inte tillstymmelse till riskanalys eller diskussion om säkerhetsaspekter.
Detta skildrar i ett nötskal hur informationssäkerhet och integritet hanteras i förhållande till digitalisering; välmenande omnämnande men ingen praktik.
Min uppfattning är att den svenska demokratitraditionen är en deltagardemokrati och att vi bör utveckla demokratin i en deliberativ riktning inte minst eftersom det skulle gynna den samhälleliga tilliten.
I ett tidigare inlägg har jag framfört att digitalisering kan vara ett verksamt stöd för att göra detta men att det kräver en uttalad linje från regeringen samt konkreta åtgärder i digitaliseringsarbetet.
Jag har också hävdat det är inom den konstitutionella komponenten av demokratin, d.v.s.
när det gäller individuella rättigheter, rättssäkerhet och maktdelning, som den offentliga digitaliseringen främst kan ha positiv effekt eftersom den är inriktad på förvaltningsfrågor.
Om digitaliseringen ska stärka demokratin måste denna aspekt alltså vara framlyft i de nationella satsningar som initierats av regeringen eller andra centrala offentliga aktörer.
Jag ska här göra ett snabbt svep över digitaliseringsområdet och se hur demokratifrågan hanterats.
Det finns en historia inom e-demokratiområdet i Sverige där frågan fanns med i de fyra it-kommissionerna som avlöste varandra mellan 1994 och 2003, och även i regeringens it-politiska strategigruppens rekommendationer från 2006.
Men är utvecklandet av e-demokrati en viktig del av dagens digitaliseringssträvanden?
Det finns två aktuella urkunder för det nu pågående digitaliseringsarbetet.
Först kom den It i människans tjänst– en digital agenda för Sverige .
Därefter regeringens strategi för en digitalt samverkande statsförvaltning Med medborgaren i centrum från .
I den digitala agendan spänns bågen i demokratifrågor: It ska vara ett stöd för medborgardialog samt bidra till att öka medborgarnas kunskap, samhällsengagemang, insyn och inflytande.
En levande demokrati där individer har möjlighet att påverka beslut som rör den egna vardagen är målet för demokratipolitiken.
Inom ramen för arbetet med att stärka demokratin är prioriterade frågor goda möjligheter till insyn och inflytande, lokal- och kommunal demokrati, förstärkta möjligheter till inflytande i den demokratiska processen samt vidgat inflytande med hjälp av e-verktyg.
Därför är det positivt om it är ett stöd för medborgardialog samt bidrar till att öka medborgarnas kunskap, samhällsengagemang, insyn och inflytande.
Tyvärr utmynnar målbilden i ett åtgärdsförslag som närmast är en icke-åtgärd: Under de kommande åren är det en gemensam utmaning för stat, kommun och landsting att utveckla användningen av it som stöd i dialogen med medborgarna.
Detta bör ske på ett sätt som stärker demokratin genom att utveckla en transparent demokrati och ge medborgarna ökad möjlighet att utöva inflytande i de demokratiska beslutsprocesserna.
Regeringen stödjer därför bl.a.
fortsatt Sveriges Kommuner och Landstings projekt Medborgardialog med stöd av it som ska pågå till 2013.
Lustigt nog ägnas betydligt mycket mer engagemang åt hur demokratiutveckling via digitalisering kan ingå som en viktig del i svensk biståndspolitik än åt hur den inhemska demokratiutvecklingen kan stärkas.
Det finns också ett flertal hänvisningar till den som lade grunden för E-delegationens arbete men som också skapade en varaktig dimma kring syftet med digitaliseringen; är det för medborgaren, förvaltningen eller för näringen som olika åtgärder vidtas?
Ett mycket påtagligt exempel på detta är när en ökad tillgänglighet till offentlig information framställs som ett demokratiprojekt men det egentliga syftet visar sig vara att företag ska kunna vidareutnyttja offentlig information i kommersiella syften.
Detta är en följd av kombinationen av den svenska offentlighetsprincipen och EU:s PSI-direktiv vilket verkligen skulle förtjänat att få de olika syftena förtydligade.
Denna dubbelhet följer med in i målen för regeringens strategi Med medborgaren i centrum där ett av målen är: Öppenhet.
Vi ska ta hjälp av det digi­tala för att stärka demokratin och, öka transparensen och bidra till mer tillväxt genom öppna data.
Litet längre fram trycker man på de demokratiska värden som kan stärkas: Insyn och öppenhet är grundläggande förut­sättningar för demokratiskt ansvarsutkrävande och det är därför viktigt med transparens och tillgång till information om den statliga för­valtningen.
Digitala tjänster ger möjlighet att förverkliga offentlighetsprincipen på ett sådant sätt att information inte bara görs tillgänglig på begäran.
Ett exempel är Openaid.se, som publi­cerar information om det svenska biståndet.
De enda inriktningar i strategin som skulle kunna påverka demokratiska värden är tillsättandet av informationshanteringsutredningen och en förstudie om ökad transparens i Regeringskansliets remisshantering.
Såvitt jag kan se innehåller inte förslaget till som blev resultatet av informationshanteringsutredningen några förslag för att förbättra insynen, däremot ett antal förslag rörande integritet som ledde till invändningar av en rad remissinstanser.
Om transparensen i remisshanteringen förbättrats är jag osäker på.
Sammantaget kan man säga att det har funnits en del ambitioner i demokratifrågor, om än vaga, i regeringens styrning av digitaliseringen.
De organ som tillsatts för att realisera regeringens ambitioner kan inte heller sägas ha tagit e-demokratin vidare.
E-delegationen, en kommitté som tillsattes 2009 och fortlevde till 2015, fick av regeringen uppdraget att: beakta den utveckling som sker inom området e-demokrati, dvs.
användning av it i demokratiska processer.
Men delegationen gjorde själv en avgränsning ”av uppdraget och har inte beaktat demokratifrågor.” som man skriver i sitt .
E-delegationens efterföljare eSam (eSam är ett medlemsdrivet program för samverkan mellan myndigheter och Sveriges Kommuner och Landsting (SKL) om digitaliseringen av det offentliga Sverige) nämner inte demokratifrågan över huvud taget.
Digitaliseringskommissionen som haft regerings uppdrag att bistå Regeringskansliet i den fortsatta utvecklingen av digitaliseringspolitiken, bl.a.
genom att ta fram underlag lämnar inte heller i sitt slutbetänkande några förslag på att förbättra e-demokratin.
Däremot innehåller temarapporten från 2016 ett antal uppsatser som anknyter till demokratifrågor inklusive den personliga integriteten.
Uppsatserna är av mycket varierande kvalitet där några ha ett språkbruk som knappast setts i statliga utredningar, som på sidan 66 för att ta ett exempel: Sett ur det här perspektivet tycks många av sjukvårdens praktiker, där patienters önskemål om att slå ihop journaler inte hörsammas med hänvisning till den personliga integriteten, närmast perversa.
Lyckligtvis är inte nivån på argumentation den samma i hela rapporten men den innehåller å andra sidan mycket få förslag för att förbättra demokratin med hjälp av digitalisering.
Undantaget är Ulf Bjerelds och Marie Demkers diskussion om hur digitaliseringen kan underlätta för de politiska partierna att stärka sin ställning som länk mellan medborgarna och de beslutsfattande institutionerna.
Efter denna genomgång tycker jag mig kunna konstatera att det saknas en tydlig och uttalad linje gällande e-demokrati från den här regeringen liksom från de tidigare.
De generella initiativ som regeringen tagit för att uppmuntra en ökad digitalisering har inte heller kommit att handla om att stärka demokratin.
E-delegationen avgränsade till och med bort det uppdrag de fått av regeringen om att beakta utvecklingen inom området e-demokrati.
Bristen på engagemang är förvånande eftersom detta borde vara en angelägen uppgift då demokratin såsom vi känner den tycks alltmer hotad av auktoritära krafter.
Uppriktigt tror jag också att de digitala verktygen kan skapa möjligheter att pigga upp en förstelnad och litet rostig demokrati.
Men, som Anders R Olsson påpekade för redan för mer än femton år sedan, detta sker inte av sig själv utan förutsätter en uthållig vilja.
Jag ska återkomma till ett par frågor där digitaliseringen verkligen kan påverka demokratin i antingen positiv eller negativ riktning.
Knappt hinner jag avsluta ett inlägg om nationell säkerhetsstrategi förrän regeringen och SKL lanserar en gemensam tvåårig handlingsplan för samverkan vid genomförande av Vision e-hälsa Som intresserad av nationella initiativ inom digitalisering och säkerhet får man ligga i för att hinna med!
Visionen innehåller inte mer konkreta mål än att vi ska vara ”bäst i världen”, ett uttryck som har en litet osund bismak i Trumps tidsålder: År 2025 ska Sverige vara bäst i världen på att använda digitaliseringens och e-hälsans möjligheter i syfte att underlätta för människor att uppnå en god och jämlik hälsa och välfärd samt utveckla och stärka egna resurser för ökad självständighet och delaktighet i . Utöver detta nämns tre insatsområden; regelverk, enhetligare begreppsanvändning samt standarder.
Under insatsområdet regelverk sägs: Utgångspunkten i arbetet med regelverk inom e-hälsoområdet är att balansera rättigheter eller intressen såsom skydd för personlig integritet, kvalitet, säkerhet och effektivitet.
De lagar och andra föreskrifter som är styrande för verksamheterna ska säkra den enskildes olika rättigheter eller intressen.
Regelverket bör hantera den tekniska utvecklingen.
Om regelverket behöver ändras för att tillgodose kvalitet och effektivitet i verksamheten ska även behovet av integritets- och säkerhetsskydd tillgodoses.
Bortsett från att begreppet säkerhetsskydd används på ett felaktigt sätt för den sista meningen i stycket fram den för mig helt obsoleta tanken att det skulle finnas en motsättning mellan säkerhet å ena sidan, kvalitet och effektivitet å den andra.
I andra branscher har man lyckats ta sig från föreställningen att informationssäkerhet är detsamma som krånglig sekretesshantering, så icke på Regeringskansliet och i SKL:s korridorer.
En handlingsplan måste väl ändå vara mer inriktad på faktiska aktiviteter tänker man hoppfullt.
Samma tre insatsområden återkommer av naturliga skäl, och minst intresse ägnas regelverksområdet.
Inledningen uppvisar samma felaktiga intressemotsättningar: De lagar, förordningar och föreskrifter som är styrande för verksamheterna ska säkra den enskildes olika rättigheter eller intressen, men måste också kunna hantera de specifika frågeställningar som den digitala utvecklingen medför.
Insatserna syftar därför till att uppnå ändamålsenliga regelverk som både värnar individens integritet och säkerhet, och samtidigt medverkar till att främja den digitala utvecklingen.
Det handlar om att balansera rättigheter såsom skydd för personlig integritet mot en jämlik, patientsäker och tillgänglig vård.
Målbilden är en aning konkretare: Skapa ändamålsenliga regelverk som såväl värnar individens integritet och säkerhet som främjar den digitala utvecklingen, samt underlätta tillämpning och införande av regelverk i berörda verksamheter.
Det låter ju jättebra tänker jag efter att i åratal tjatat om nödvändigheten av gemensam styrmodell för informationssäkerhet.
Äntligen ska det tas krafttag!
Men när jag läser om de gemensamma aktiviteter som staten och SKL ska genomföra blir jag modfälld igen: fastslå en process för att gemensamt identifiera och fånga behov av information gällande befintliga regler eller kommande förändringar av dessa, skapa förutsättningar för en säkrare läkemedelsprocess, bevaka intressen, sprida kunskap om initiativ samt vid behov ta fram nationell vägledning rörande EU-samarbetet.
Hur dessa aktiviteter ska kunna leda fram till ett gemensamt regelverk undgår mig, och om detta är det som ska genomföras fram till 2019 lär informationssäkerheten inte förbättras i vården på den här sidan decenniet.
Samtidigt är det uppenbart att säkerhetsproblemen blir allt större, bara de senaste dygnen har förlossningsvården i Stockholm drabbats , regionsjukhuset i Örebro haft stora och Nya Karolinskas patientlarm slagits ut av .
Själv har jag börjar samla på medierapporter om brister i informationssäkerheten i vården eftersom det saknas officiell statistik och det är mycket oroande läsning.
Jag känner en växande förtvivlan över att riskerna faktiskt inte tas på allvar av de som styr vården, inte ens då man sätter sig ner för att planera framtiden.
Problemen går inte att lösa för varje vårdgivare utan måste samordnas.
Det räcker det inte med att identifiera befintliga regelverk eller att nöja sig med att skapa säkrare läkemedelsprocess.
Det går inte heller att som i den nationella säkerhetsstrategin intressera sig för sjukvården endast i krigs- och krissituationer.
Vad som behövs är en stor samordnad satsning på normallägets sjukvård som du och jag är beroende av och då är det inte bara regelverk som ska samordnas.
Istället måste de politiker som gärna vill profilera sig som digitaliseringens ambassadörer se litet längre än nästa val, gräva litet djupare i fickan och börja bygga en integrerad säkerhetsarkitektur.
För att vi ens ska få en hyfsad e-hälsa som patienter kan lita på krävs en stor ekonomisk satsning, jag tänker mig en informationssäkerhetsmiljard med tanke på hur eftersatt området är.
Dessutom kompetens och uthållighet.
För att bli bäst i världen … ja, då krävs ännu mycket mer och av detta syns ingenting i handlingsplanen.
Innan jag fortsätter diskutera e-demokrati måste jag göra ett inlägg om en aktualitet: den nationella som presenterades på försvarsområdets Almedalen Folk och försvar.
Det är med viss förväntan jag läser strategin där ett helt avsnitt ägnas åt , illustrerat av ett stridsflygplan.
Det positiva med strategin är att det litet intrasslat beskrivs att digitaliseringen förutsätter bättre informationssäkerhet även om det känns som beskrivningen känns som ihopklippt från några gamla dokument.
Förväntan på att strategin ska innehålla något substantiellt och inriktande om informationssäkerhet avklingar tyvärr snabbt och stridsflygplanet visar sig vara en ganska kongenial illustration.
Fokus ligger helt och hållet på att upprätthålla funktionalitet i samhällsviktig verksamhet, mycket litet om ens något sägs om integritet, mänskliga rättigheter, riktighet, kvalitet eller effektivitet i verksamheten.
När tillit nämns är det tillit till digitaliseringen som nämns (!)
medan demokratifrågan är mycket avlägsen.
Detta att jämföra med den nationella strategi för som togs fram 2009 som hade som målbild: Medborgares fri- och rättigheter samt personliga integritet.
Samhällets funktionalitet, effektivitet och kvalitet.
Samhällets brottsbekämpning.
Samhällets förmåga att förebygga och hantera allvarliga störningar och kriser.
Näringslivets tillväxt.
Medborgares och verksamheters kunskap om, och förtroende för informationshantering och IT-system.
Den nu aktuella nationella säkerhetsstrategin omfattar hela säkerhetsområdet men skiljer sig också åt från andra strategier, inklusive den tidigare informationssäkerhetsstrategin, genom att inte ange några mål.
Istället inleds strategin med något som kallas ”Våra nationella intressen”.
Huruvida dessa intressen är tillgodosedda idag eller inte är oklart eftersom strategin raskt kastar sig över till ”hot” och ”åtgärder”.
Det ger en särskild prägel åt strategin eftersom den inte förmedlar några mål som skulle innebära nya möjligheter utan istället anlägger en defensiv hållning.
Detta är ganska långt ifrån regeringens offensiva inriktning inom digitaliseringsområdet.
Utmaningar som frammanas inom cyber- och informationssäkerhetsområdet anges de endast som förekommande i form av antagonistiska hot: Några exempel på sådana utmaningar är antagonistis­ka hot såsom informationsoperationer och elektroniska angrepp mot skyddsvärda informations- och kommunika­tionssystem, t.ex.
i form av datain­trång, sabotage eller spionage, exempelvis mot totalförsvarets verksamhet.
It-angrepp för att bedöma, påverka eller störa samhällsviktiga funktioner som ett förstadium till en väpnad konflikt hör också hit.
It-angrepp riskerar också att otillbörligt påverka utgången av demokratiska val.
Tyvärr finns det ju inget bra kunskapsunderlag om de bakomliggande orsakerna till störningar i informationshanteringen och hur de fördelas mellan antagonistiska respektive icke-antagonistiska incidenter.
Som jag tidigare skrivit finns det indikationer att de vanligast förekommande incidenterna är av typen uppdateringsproblem och programvarufel.
Detta stämmer även med den bild jag har efter rätt många år i branschen även detta liksom andra utsagor i frågan får ses som löst grundade antaganden eller anekdotiska bevisföringar.
Det är därför synd att strategin ensidigt inriktar sig på de antagonistiska hoten eftersom det riskerar att ge det fortsatta arbetet en slagsida som gör effektiviteten i nationellat mer begränsad.
Ytterligare en negativ aspekt med att uttala en så tydlig inriktning är att det ger intrycket av att det finns kvalitativt kunskapsunderlag i frågan.
Det kan i sin tur leda till att det nödvändiga arbetet med att hitta former för att skapa och ständigt uppdatera ett sådant kunskapsunderlag inte initieras.
Vilka åtgärder föreslås då för att komma till rätta med den allvarliga situation som målats upp?
Ja, det är ganska svårt att se några mer konkreta åtgärder vid sidan om sådant som redan finns eller redan är beslutat.
Det talas om de risk- och sårbarhetsanalyser respektive säkerhetsanalyser som redan är föreskrivna, om it-incidenter, om förslaget på ny säkerhetsskyddslag och om den nationell strategi för informations- och cybersäkerhet som bl.
a. bygger på NIS-direktivet som håller på att tas fram.
I övrigt rader som: Därtill bör arbetet med de globala dimensionerna av informations- och cybersäkerhets­frågorna intensifieras.
Vilket väl kan betyda vad som helst.
Kanske är det fel att förvänta sig något annat än det som redan framförts i andra sammanhang i den här typen av dokument, särskilt som den nationella strategin för informations- och cybersäkerhet är i antågande.
Det känns ändå som ett förlorat tillfälle att inte använda en strategi för att beskriva ett framtida önskvärt tillstånd och försöka skapa en helhetsbild.
Med denna bakgrund vill jag föra fram tre centrala önskemål på vad som borde ingå i den kommande informationssäkerhetsstrategin: Analysera och redovisa vilka olika syften som informationssäkerheten ska tjäna på samhällsnivå, även de som ligger vid sidan om att upprätthålla funktionalitet i beredskapssyfte.
Till exempel hur informationssäkerheten ska kunna stärka tilliten i viktiga samhällsfunktioner genom att säkerställa integritet, effektivitet och kvalitet.
Skapa organisatoriska former där olika informationssäkerhetsintressen kan samverka i en gemensam styrmodell – om informationssäkerheten annekteras och görs om till ett rent försvarsintresse kommer digitalisering, effektivitet, integritet och demokrati inte att kunna hanteras på ett rimligt sätt Skapa ett bättre kunskapsunderlag – det är särskilt viktigt att myndigheter går i bräschen och arbetar evidensbaserat i dessa faktaresistenta tider Både mål och åtgärder måste motsvara alla de olika behov som somt ska täcka.
Om strategin för informations- och cybersäkerhet inte klarar att omfatta andra aspekter än funktionalitet i ett beredskapsperspektiv kommer det att orsaka stora problem i den offentliga verksamheten.
Myndigheter, kommuner, landsting och även företag i välfärdsbranscher kommer då att bli tvungna att själva försöka skapa lösningar för att upprätthålla helhetsperspektivet på informationssäkerhet.
Resultatet blir fler stuprör istället för ökad standardisering och på sikt kanske ett nytt begrepp fastställas som täcker helheten och som kan ersätta ”informationssäkerhet”.
Efter att ha spekulerat om varfört inte funkar har jag nu tänkt skriva några inlägg om vad som bör göras för att det ska fungera bättre.
Detta sammanfaller med att regeringen överlämnar en skrivelse till riksdagen angående Riksrevisionens om informationssäkerheten vid nio myndigheter.
Riksrevisionen bedömer att ” Regeringen instämmer i denna bedömning, som ju knappast kan komma som någon överraskning efter Riksrevisionens tidigare rapporter m.m., men avser bland annat att .
Det känns därför ganska självklart att detta första inlägg om konstruktiva åtgärder får handla om förutsättningar för en sådan strategi.
Att ta fram en strategi är inte något särskilt rafflande grepp, 2009 togs en sådan fram liksom en efterföljande handlingsplan några år senare.
Varken i regeringens skrivelse eller i Riksrevisionens rapport görs någon egentlig analys av varför de tidigare strategiska samordningsförsöken trots avsevärda resurser och mandat misslyckats.
En grundläggande utgångspunkt för mig har varit att det inte är särskilt meningsfullt att göra mer av samma sak om man märker att något inte fungerar.
Istället är det viktigt att ta ett steg tillbaka och analysera och göra nya problemformuleringar.
Detta tror jag i hög grad gäller om man ska ta ut strategiska riktpunkter.
En ny strategi bör därför föregås av ett mer omfattande förarbete och inte bestå av inskickade, icke samordnade önskelistor från myndigheter som har ansvar för olika säkerhetsområden.
I fallet med informationssäkerhet har jag försökt påvisa den stora oklarhet som råder om vad informationssäkerhet egentligen är och hur det försvårar för den enskilda organisationen, för de yrkesutövande och för samordning på nationell nivå.
Detta blir än tydligare om man läser regeringens något desorienterade skrivelse där det är svårt att greppa vad det egentligen är som ska samordnas.
Om vi tittar på den nationella spelplanen och bortser från de oklarheter som råder om informationssäkerhet är i första hand organisatorisk eller teknisk fråga så går det att urskilja en rad olika syften som staten länkar till ”informationssäkerhet” vad det nu än är.
För att övergripande beskriva de huvudsakliga syften som sällan definieras i förhållande till varandra kan jag räkna upp: Till detta kommer exempelvis de starka kraven från bland annat dataskyddsförordningen som i praktiken innebär högre nivå på spårbarhet, riktighet och konfidentialitet.
Dessa olika syften ska utan närmare inriktning från staten tillgodoses i de enskilda organisationerna.
Jag tror att det är här vi måste stanna till och inse att det inte är informationssäkerhet som det ställs krav på i de olika sammanhangen.
En enskild organisation har i de flesta fall i normalläget inget internt behov av den informationssäkerhet som staten ställer krav på exempelvis rörande det civila försvaret i höjd beredskap.
Att införa säkerhetsskyddsåtgärder är inte heller något som befrämjar andra säkerhetskrav som kan finnas i en löpande verksamhet som exempelvis hög tillgänglighet.
Statliga certifieringskrav på tekniska komponenter i e-förvaltning är knappast heller något som gynnar regeringens inriktning på att Sverige ska bli bäst i världen på att ta till vara digitaliseringens .
Jag behöver kanske inte fortsätta med exempel för att slå in min poäng – det finns tydliga intressekonflikter mellan olika typer av informationssäkerhet som staten ställer krav på.
Det finns också aktiviteter som starkt påverkar säkerhetsarbetet där det egentligen inte finns någon intressekonflikt men som ändå inte är samordnade.
Ett påtagligt exempel är att rapporteringskravet för it-incidenter till MSB inte är samordnat med i det tunga krav på incidentrapportering som följer av dataskyddsförordningen.
Ett förarbete till en strategi måste, menar jag, måla upp hela informationssäkerhetslandskapet för att kunna ta ut riktningen framåt.
Ironin i att NISU och utredningen om ny säkerhetsskyddslag lägger fram sina resultat samtidigt som två helt parallella spår som aldrig mötts kommer att upprepas i nya former om inte den nödvändiga överblicken skapas.
Överblicken över syften, förutsättningar och aktörer ger också en grundval för den styrmodell som rimligen måste finnas med som ett strategiskt verktyg för att nå målen.
En gemensam styrmodell innebär inte att samma styrmedel används överallt.
Jag föreställer mig att regelstyrning är nödvändig ur det civila försvarets perspektiv medan incitaments- och kunskapsstyrning blir centrala för regeringens digitaliseringssatsningar.
Men eftersom det är Söpple kommun som kommer att bli utsatt för de olika styrmedlen måste de integreras i en gemensam modell som också hanterar organisatoriska och ekonomiska förutsättningar.
Förutsägbarhet gällande krav och ekonomiska förutsättningar är nödvändigt då allt större del av den tidigare offentliga utförda verksamheten ombesörjs av privata aktörer.
Även detta förhållande måste avspeglas i den strategiska inriktningen.
Jag tror att en strategi måste vila på noggranna överväganden av hur staten ska organisera sin styrning och sitt stöd.
När civilt försvar alltmer blir MSB:s huvudfråga och myndighetens uppgift är mer att jämföra med den som Överstyrelsen för civil beredskap (ÖCB) hade fram till 2002 är det sannolikt mer lämpligt att detsom bedrivs i normalläget integreras med statens digitaliseringssatsning.
Analysen av vad som kan tänkas fungera bäst måste vara förutsättningslös och inte utgå från olika organisatoriska särintressen.
För mig är det en viktig princip attt måste styras av behov, inte av utbud.
Det gäller i den enskilda organisationen, och det bör gälla även på det nationella planet.
När en strategi ska tas fram bör det därför ske tillsammans med de som äger verksamheterna vars information skyddas, inte enbart av de aktörer som levererar säkerhetslösningar.
Min förhoppning är att strategin inte stressas fram på departementet av någon ensam handläggare utan att det sker i ett brett samarbete med kommuner, landsting, företag och myndigheter samt viktiga kravställare som Datainspektionen, E-hälsomyndigheten och eSam.

Det måste vara information och organisation som är i centrum.
Precis som standarden pekar på så är första steget att identifiera information, klassa den utifrån värdet och betydelsen för verksamheten inklusive betydelsen av att kunna uppfylla externa krav.
Att klassa system, vilket fortfarande förekommer, ger en i mitt tycke svag verksamhetsanknytning.
Detta eftersom det inte råder ett ett-till-ett-förhållande mellan verksamhet, informationsmängder och system.
Det är i de allra flesta fall bara en delmängd av en verksamhets information som hanteras i samma system och det är därför svårt att få en bild av informationens betydelse och värde för verksamheten genom att bara titta på ett system.
Ytterligare ett skäl att undvika att blanda samman klassning av information respektive av system kan illustreras av ett exempel jag använt flera gånger.
En kommun som ska klassa konsekvenserna av att informationen om att stänga fönstren och hålla sig inomhus vid en gasolycka inte når fram till invånarna kan inte bara klassa webbplatsen.
Istället måste man titta just på informationen, därefter se vilka bärare och rutiner som är lämpliga inklusive reservlösningar.
Att bara titta på webbplatsen belyser helt enkelt inte situationen.
Det måste finnas skyddsnivåer som är beskrivna för de bärare som används för informationen.
Med det avser jag system, applikationer och it-tjänster men även krav på hur den pappersbundna hantering som alltjämt finns kvar ska ske.
Skyddsnivåerna måste även innefatta krav på det fysiska skyddet som omger information och utrustning.
Skyddsnivåerna måste vara beskrivna på ett konkret sätt som går att använda som en kravspecifikation både för den egna verksamheten, dels som stöd vid upphandlingar.
Det måste gå att differentiera så att det görs åtskillnad på krav från de olika aspekterna konfidentialitet, riktighet, spårbarhet och tillgänglighet.
Att ha höga krav på tillgänglighet innebär på intet vis att man alltid har samma höga krav på konfidentialitet.
Åtgärder för uppnå det ena kan ofta motverka det andra vilket kan leda till att informationsklassning försämrar möjligheten att uppnå en anpassad säkerhet.
Det måste det finnas en aktiv förvaltning av både krav och föreslagna skyddsåtgärder så att de inte blir vilseledande och i värsta fall kan leda till en falsk trygghet som underminerar ett systematiskt säkerhetsarbete som hela tiden måste möta nya risker.
Jag har alltid förordat att information som faller under säkerhetsskyddslagen, d.v.s.
som kan på verka rikets säkerhet, ska behandlas separat eftersom det för denna information finns fastställda krav på rutiner och utrustning som ligger utanför verksamhetens normala miljö.
Det är ofta lätt att identifiera denna typ av information och skapa ett separat spår för den och sedan fortsatta den övriga klassningen.
Utredningen tycker att regeringen ska ta litet mer ansvar och ta fram en plan för digitaliseringen, tydliggöra ansvarsförhållanden, ställa krav på uppföljning m.m., m.m.
Man föreslår att antingen ska Esam plus litet annat flytta till ESV och utgöra en myndighetsfunktion för digitalisering.
Tjänsterna Mina meddelanden och e-legitimation ska förvaltas av myndigheten.
Alternativt kan en helt ny myndighet bildas för detta ändamål.
Man promotar Mina meddelanden och säger att det krävs en ny förordning för att bland annat reglera personuppgiftsansvaret i tjänsten Och trycker på att ”informationssäkerhet och integritetsskydd beaktas i varje skede av arbetet med att bygga ut den digitala förvaltningen” Försvarsmaktens insatser Det civila säkerhetsskyddet av rikets säkerhet samt mot terrorism Det civila försvaret Samhällets krisberedskap Stöd till myndigheter, kommuner, företag m.m.
för deras egen verksamhet och i samverkan för e-förvaltning, e-hälsa m.m.

Informationsklassning skada för rikets säkerhet som inte endast är ringa.

Meny Kommuner Inläggsnavigering

En sammantagen bedömning

Förutsättningar i SS-ISO IEC 27002:14 Mina egna krav Test av KLASSA Den digitala agendan Regeringens strategi för en digitalt samverkande statsförvaltning Med medborgaren i centrum E-delegationen och Digitaliseringskommissionen

MENU MENU Postat av Postad i , , , , , , , Tagged , , , , , , , Postat av Postad i , , , , Postat av Postad i , , , , Postat av Postad i , , , , , Postat av Postad i , , , , Postat av Postad i , , , , , , , Postat av Postad i , , , , , , , , Tagged , , , , , → Sök efter:

Informations- och cybersäkerhet i Sverige Informationssäkerhet för samhällsviktiga och digitala tjänster, reboot – omstart för den digitala förvaltningen effektiv styrning av utveckling, införande och förvaltning av nationella digitala tjänster åtgärder och incitament för att uppnå en ökad användning av de nationella digitala tjänsterna, och samverkan mellan offentlig och privat sektor i tillhandahållandet av de nationella digitala tjänsterna.
Informations- och cybersäkerhet, digitala risker de granskade myndigheterna ligger på en nivå som är märkbart under vad som är tillräckligt ”.
”därför ta fram en nationell strategi för samhällets informations- och cybersäkerhet.” samma

Jag fortsätter succékonceptet att blogga om obskyra ämnen med en mycket begränsad grupp av intresserade.
Förra gången utredningsväsendet, nu behovet av autenticitet.
Upprinnelsen till detta inlägg är att jag fick uppdraget att prata om äkthet på en konferens och då började fundera mer intensivt på frågan – tack för det FALK!
Detta blogginlägg ska ses som en bråkdel av vad jag anser behöver belysas gällande autenticitet.
Utgångspunkten var att både ur ett arkiv- och ett informationssäkerhetsperspektiv finns ett grundläggande intresse av att kunna skapa och upprätthålla autenticitet på olika nivå i informationshanteringen.
Att notera är att autenticitet vid sidan om skydd mot obehörig åtkomst också är det historiskt sett mest konsistenta intresset både för arkivverksamhet och för informationssäkerhetsområdet.
Dessutom är vissa tekniska åtgärder för att på olika sätt skapa autenticitet så grundläggande att vi inte ens reflekterar över dem, från underskrift på pappersdokument till olika digitala autentiseringslösningar.
Detta till trots är autenticitet som begrepp och tillämpning påfallande sällan diskuterat.
Slagningar i Libris och Diva antyder att när autenticitet explicit diskuteras gäller det i allra flesta fall kulturminnesvård, konst eller möjligen kvalitet.
Inte ens som autenticitetens betydelse i relation till juridiskt bevisvärde har skapat några större textmängder vilket påpekas i en av de få avhandlingar från senare år som har detta tema ( av Jonas Ekfeldt).
De många utredningar som genomförts rörande digitalisering har inte fördjupat sig autenticiteten utan den nämns endast flyktigt som i SOU 2018:25 där ordet autenticitet finns med två (!)
gånger på 562 sidor.
Visserligen diskuteras signaturer i ett avsnitt men som jag ser det är det enbart en delmängd av frågan och här presenterad helt utan större kontext.
Det enda glädjeämnet är en tio år gammal text av , numera landsarkivarie i Härnösand.
Ett första steg för många för att förstå begreppet autenticitet är att gå till de standarder som ofta tillmäts kvaliteten att kunna ge definitioner.
Jag har här valt två centrala standarder för området som även fått förleden SS för att ange att de ska ses som svenska standarder.
Den första är SS-ISO 15489_1 2016 som är en standard för hantering av verksamhetsinformation till vilken allt oftare arkivarier hänvisar.
Ur ett arkivperspektiv är möjligheten att bedöma graden av autenticitet en nödvändig förutsättning för i princip alla moment i hanteringen och det är därför av intresse att se vilket stöd standarden ger för att närma sig frågan.
Trots att den alltså är en svensk standard finns den ännu inte, såvitt jag kan se, översatt till svenska.
Inga förändringar har dock gjorts från en tidigare version av standarden som hade följande svenska definition: Att handlingen visar att den är vad den utger sig för att vara, Att den är skapad eller skickad av personen som uppgett sig för att ha skapat eller skickat in handlingen Att handlingen blivit skapad eller inskickad i den angivna tiden Även bortsett från den förvirrande användningen av begreppet ”handling” som skapar så mycket språkförbistring när arkivarier ska kommunicera den övriga mänskligheten (det är liksom både bärare och informationsinnehåll på en gång) så är denna definition fertil grogrund för ett antal frågor.
Som det första cirkelargumentet att handlingen (som bärare gissar jag) i sig demonstrerar något som ger autenticitet.
Som att den tycks se autenticitet som ett binärt begrepp; antingen är handlingen autentisk eller inte.
Som att autenticitet på något vagt sätt har med post att göra.
Som att autenticitet är knuten till en enskild person.
Om vi istället går över till informationssäkerheten och ser vad den svenska terminologin som SIS gav ut 2015 säger blir frågorna inte färre.
Där uppges följande: äkthet avseende uppgivna uppgifter; särskilt rörande påstådd identitet och meddelandens ursprung och innehåll Den tekniska process vari äktheten, autenticiteten bekräftas kallas autentisering.
Denna kontroll kan avse entiteter såsom användare, processer, systemkomponenter och informationsobjekt Pluspoäng för att man nämner ordet ”äkthet” och att autentisering kan gälla olika typer av komponenter.
I övrigt är det rätt svårt att förstå vad som egentligen kännetecknar autenticitet.
Vad som mest intresserar mig är dock att autenticitet valts bort som en central dimension av informationssäkerheten i ISO 27000:s tolkning.
Istället har riktighet upphöjts till en av de tre särskilda omnämnda värdena och då med denna betydelse (fortfarande enligt terminologin): skydd mot oönskad förändring Definitionen ser till skyddet medan egenskapen ”riktighet” får förstås implicit som typ oförändrad information.
Jag har svårt att förstå denna prioritering mellan begreppen.
Hur man kommit fram till den är som eljest i standardsammanhang dolt, de diskussioner, överväganden och möjligen utredningar som lett fram till olika ställningstaganden finns inte presenterade någonstans.
Bristen på den transparens och strävan efter delaktighet som finns inom exempelvis akademin saknas då standarder etablerar sina sanningar.
Riktighet kan i bästa fall ses som en delmängd av det större begreppet autenticitet.
Därför bör autenticitet eftersträvas som ett huvudmål snarare än riktighet, en uppfattning som skulle varit rimlig redan innan det digitala samhälle vi nu har fötts.
När information hela tiden skapas, transformeras och kommuniceras med oändliga möjligheter att avsiktligt eller oavsiktligt göra den missvisande vad det gäller upphov, kvalitet och intention borde autenticiteten vara en naturlig fokalpunkt för informationssäkerhet, digitalisering och arkiv.
För att inte tala om AI och deep fake.
Informationssäkerhet och valet av riktighet framför autenticitet – varför blev det så?
Bortsett från min generella hypotes om den anti-intellektuella hållning som präglar området är en spekulation att riktighet valts p.g.a.
många i branschen rekryterats från it-hållet och därför känner sig bekväma med ett databassynsätt, d.v.s.
att information i ett system ska skyddas mot förändring.
Eftersom denna snäva beskrivning av risker är otillräcklig sett till verkliga organisationers behov har man därför behövt gå in och trixa med begreppet spårbarhet för att få någon slags relevant beskrivning.
Därav det neurotiska förhållandet till spårbarhet, ett begrepp som är så tabuiserad att det inte ens går att diskutera för de rättroende.
Synd tycker jag vilket jag skrivit om Mitt förslag för att få en mer täckande beskrivning av förhållanden som behöver beskrivas är att använda konfidentialitet, autenticitet, spårbarhet och tillgänglighet.
Riktighet kan då placeras in under paraplyet autenticitet som en nödvändig men inte på långt tillräcklig aspekt att bedöma.
Dock räcker inte de definitioner som de två standarderna ger för att fylla det behov av att beskriva informationens äkthet som vi har i digitaliserad värld.
Hur ser då detta behov ut?
Kärnan i frågan är att kunna säkerställa en informationsmängds kvalitet i form av ”äkthet”.
För att ytterligare ringa in vad som åsyftas så består autenticiteten inte bara av att informationen är oförändrad (det som åsyftas med riktighet) utan även att den är vilket också kan formuleras att den har ett .
Som ett enkelt exempel: för att ett avtal ska kunna ha ett bevisvärde räcker det egentligen inte med en signatur även om det accepterats under lång tid.
Vad som krävs är att det går att härleda vem det är som undertecknat men framför allt om denna någon hade mandat att underteckna avtalet o.s.v.
Det är inte heller så att en tavla signerad med namnet Picasso övertygar alla som en äkta dyrgrip.
Den kanske bästa och enklaste illustrationen av bevisvärdets betydelse för autenticiteten finns att hämta i utvecklingen av sedlarnas historia som betalningsmedel.
De första sedlarna var egentligen kvitton på insatta medel hos en bank.
Kvittot kunde sedan användas för att på ett smidigt sätt kunna sköta betalningar utan att behöva släpa omkring högar av metaller.
För att denna effektivisering av ekonomin skulle kunna vara möjlig krävdes institutionella förutsättningar för att den enskilda sedeln skulle accepteras som autentisk och inte som vilken papperslapp som helst.
Det räcker inte med att siffrorna på sedeln är ”riktiga” utan den måste också omges andra skyddsåtgärder för att kunna accepteras som äkta.
Jag laborerar med tanken att se autenticitet som en inversion av källkritikens principer.
Det betyder att autenticitet inte är binärt utan en glidande skala av möjlighet att bedöma äktheten, beroenden, tendens, tidsförhållanden, närhet till händelsen o.s.v.
De tekniska lösningarna kan sägas ”låsa” den organisatoriska kontext som omgett informationen i olika skeden och därmed ge ett bevisvärde.
I ett långsiktigt måste de organisatoriska förhållandena som skapar autenticitet kunna återskapas på ett säkert sätt även om tekniska lösningar förändras och information migreras (kedja som ej bryts).
Inom arkivområdet används begreppet proveniens för att beskriva förhållandet mellan information, organisation och i förlängningen äkthet.
Frågan om autenticitet är principiellt densamma i digitala som i analoga informationsmängder.
Komplexiteten har dock växt explosionsartat från det kinderägg-tillstånd där information, bärare och autenticitetsskapande faktor var oupplösligt sammanfogade som i ett undertecknat pappersavtal.
Genom digitaliseringen lever dessa tre komponenter sina egna liv där samma informationsmängd kan finnas på ett otal antal bärare och med olika nivå av autenticitet.
Direkt rafflande blir det med funktioner som ”Dela dokument” i Office 365 där mottagaren får ett dokument som inte behöver vara detsamma eller ens finnas kvar när mottagaren tar fram det en andra gång i sin e-post.
Att skapa autenticitet momentant skulle i sig vara en rejäl utmaning men för att strö ytterligare salt i såren så är kravet på autenticitet utan slut eftersom trots det information over flow vi lever i så måste ansenliga mängder av den information som skapas bevaras under lång tid eller för evigt.
Kraven på att kunna arkivera information på ett säkert sätt är självklart inte mindre nu än tidigare.
Det betyder att tilltron till informationens autenticitet inte bara ska kunna upprätthållas i ett år utan i 100 eller 1000 år för många informationsmängder.
Tänk patientjournaler, tänk urkunder i statsförvaltningen, tänk instruktioner för hanteringen av utbränt kärnbränsle, tänk mätvärden av klimatet….
Att med detta perspektiv se det mycket begränsade resonemangen om exempelvis, e-leg, e-signaturer och e-arkiv känns frustrerande.
I en tid då vi pratar så mycket om fake news och risken för negativ informationspåverkan borde verktygen för att skapa och upprätthålla autenticitet slipas.
Det finns redan viss teori om proveniens och processuella värden som skapar autenticitet inom arkivdisciplinen liksom en rad techne-åtgärder inom informationssäkerhetsområdet för autentisering och validering t.ex.
Dessa kunskapsområden borde dock tillåtas expandera och dessutom befrukta varandra för att vi ska komma närmare strategier för att skapa den autenticitet som krävs på både kort och lång sikt.
Det som hindrar detta tror jag är den korta händelsehorisont som gör att vi plumsar in i jättelika digitaliseringsprojekt utan att se längre fram än möjligen införandeprojektets avslut.
Bristande strategisk inriktning, kunskapsutveckling och samarbete mellan ansvariga myndigheter är en annan.
Group think inom informationssäkerhets- respektive arkivarieskrået som skapar en oförmåga att famna de stora frågorna en tredje där standardarbetet förefaller ha fungerat som en starkt konserverande faktor framför allt för informationssäkerheten.
Sist men inte minst styrningen av digitaliseringen i hög grad överlåtits till leverantörer av tekniska lösningar samt management.
För att komma vidare bör vi alltså försöka undanröja ovanstående hinder för att kunna skapa en mer funktionell plattform för att skapa den nödvändiga autenticiteten.
När tanken låser sig kan ett trick vara att tänka på att information är dagens hårdvaluta och jämföra med hur sedlar och andra metoder för penningtransaktioner hanteras.
”Inget är så starkt som en idé, vars tid har kommit” skrev Victor Hugo.
Egentligen tycker jag att den nu inte längre så nya verksamhetsbaserade arkivredovisningen (RA-FS 2008:4) borde ha fått större genomslag i kommunsverige vid det här laget.
Visst, det är många kommuner som infört verksamhetsbaserad arkivredovisning och även börjat skruva till sina dokumenthanteringsplaner (a k a informationsförvaltningsplaner), men därifrån till att arkivredovisningen verkligen implementeras såväl tekniskt som verksamhetsmässigt känns vägen lång.
Kanske ligger en del av förklaringen i att arkivvärlden tidigare in behövt förklara saker för verksamheten på samma sätt tidigare.
I den gamla pappersbaserade världen (och den hängde med längre än många tror i den kommunala världen) skötte arkivarien eventuella sökningar efter avställda handlingar.
Hän behövde inte förklara så mycket för verksamheten och verksamheten behövde heller inte veta så mycket om hur söket faktiskt gick till.
I och med RA-FS 2008:4 tvingas arkivvärlden och resten av verksamheten mötas på ett helt annat sätt än tidigare.
Intentionerna med RA-FS 2008:4 är ju, vilket framgår tydligt av vägledningen ”Redovisa verksamhetsinformation”, att arkivredovisningen (och då främst klassificeringsstrukturen) ska styra informationshantering i såväl diarium som verksamhetssystem.
Denna intention stöder jag för övrigt till fullo!
Men…som säkert många av er som läser Fias blogg vet så är det lättare sagt än gjort att skapa dylika styrningar.
Förutom det hästjobb som många av er lagt ned på att beskriva verksamhetsprocesser, uppdatera dokumenthanteringsplaner, eventuellt försöka väva in informationssäkerhetsperspektivet (inklusive dataskydd) så ska ni dessutom lyckas få femtioelva systemägare, chefer m fl att förstå vikten av att detta arbete genomförs samt implementeras i diverse system/tjänster.
Jag är själv ingen ”äkta” arkivarie, utan har närmat mig disciplinen via diverse jobb inom informationshantering och verksamhetsutveckling.
Jag vill ändå tro att jag har lyckats förstå ganska mycket av RA-FS 2008:4 och vägledningen som nämndes ovan.
Jag var bland annat med och startade upp arbetet med att införa den nya arkivredovisningen hos Myndigheten för samhällsskydd och beredskap (MSB).
Redan då, 2011, kände jag att det var tufft att förklara det värde den skulle kunna tillföra verksamheten.
Det var snarare än fråga om att uppfylla Riksarkivets krav på myndigheten.
Eftersom det pågick ett arbete med att införa ett ledningssystem för informationssäkerhet (LIS) på MSB så väcktes idén att försöka slå två flugor i en smäll.
Tanken var att en dokumenthanteringsplan rimligen borde kunna beskriva hanteringsregler utifrån såväl ett arkivperspektiv som ett informationssäkerhetsperspektiv.
Många av de krav som ställs från respektive håll är trots allt överlappande.
Eftersom jag jobbat en tid på ett bolag som hette Astrakan och därför arbetet en del med processmodellering kändes det naturligt att försöka beskriva sambanden med hjälp av grafiska processer I och med Riksarkivets föreskrift (RA-FS) 2008:4 ska myndigheter i Sverige redovisa sina handlingar utifrån verksamhetens processer istället för enligt det gamla klassificeringsschemat från 1903.
Denna omvälvning har också på allvar börjat slå igenom i kommunsverige, vilket på många sätt är bra och egentligen bara en återspegling av den verkliga informationshanteringen.Dock upplever jag fortfarande, och jag tror att jag är i relativt stort sällskap, att det är svårt att pedagogiskt förklara för kommunens verksamheter hur arkivredovisningen kan hjälpa till att styra upp informationshanteringen annat än i själva arkivet.
Därför har jag tagit fram följande grafiska presentation.
Som så många andra som arbetar med informationssäkerhet läser jag nu med stort intresse den granskning som på regeringens uppdrag genomförts av Transportstyrelsens upphandling av förändrad it- .
Det finns ett antal faktorer till den olyckliga händelseutvecklingen som förtjänar uppmärksamhet och säkert kommer att fortsätta att penetreras.
En aspekt som jag menar borde analyseras närmare än vad som skett i granskningen är myndigheters (och även andra organisationers) behov av generell kontroll över sin information.
För mig framstår att ha kontroll över vilken information som finns i organisation samt hur den hanteras som den mest basala förutsättningen för att uppnå en fungerande informationssäkerhet.
För myndigheter är detta inte krav kopplat enbart till informationssäkerhet utan finns även i offentlighetslagstiftningen och i arkivlagen.
De allmänna handlingarna ska vara redovisade och snabbt återsökbara.
I praktiken innebär det att en myndighet (inklusive kommuner) måste ha kontroll över den information som skapas, inkommer och på olika sätt hanteras i verksamheten.
Det hjälpmedel som används för att skapa den eftersträvade kontrollen kallas ofta dokumenthanterings- eller informationshanteringsplan.
Det finns inget legalt krav på att ta fram dessa planer men realistiskt sett är det nödvändigt att ha den här typen av planer, oavsett vad de kallas, för att kunna systematiskt kunna beskriva vilken information som finns.
I fallet Transportstyrelsen skulle ett sådant verktyg kunnat ge ett bra stöd inför en eventuell outsourcing eftersom, rätt utformad, skulle planen ha identifierat vilken information som skulle ingå i upphandlingen och vilket krav på skydd ur olika hänseenden (säkerhetsskydd, personuppgifter m.m.)
som måste tillgodoses.
Mitt intryck är att många myndigheter inte har de informationshanteringsplaner som vore nödvändiga för kontroll av informationshantering.
De planer jag sett är ofta antingen fragmentariska (d.v.s.
omfattar endast delar av verksamhetens informationshantering) eller inaktuella.
Vanligt är också att de i alltför hög grad bara redovisar information som ser ut som ”dokument”.
Detta mitt intryck kan vara helt fel men jag tycker det vore en angelägen uppgift för Riksarkivet att utreda och göra till en prioriterad fråga.
Med konsekvent användning av informationshanteringsplaner skulle inte bara offentlighets- och arkivbehovet kunna tas om hand utan det skulle också kunna utgöra ett väsentligt steg mot en stärkt informationssäkerhet.
Och vara ett konkret samarbetsområde för informationssäkerhetsmänniskor och arkivarier!
I all enkelhet tror jag inte att svensk förvaltning kommer att klara den pågående digitaliseringen utan betydligt bättre samordning, i annat fall kommer händelser liknande den på Transportstyrelsen att bli återkommande.
På trettiotalet presenterade Erwin Schrödinger ett tankeexperiment som illustrerar en tänkt paradox där väldigt små fysikaliska partiklar kan befinna sig i ett så kallat överlagrat tillstånd.
Konsekvensen av paradoxen är att en katt i ett slutet rum tillsammans med en instabil atomkärna skulle kunna uppfattas som samtidigt död och levande.
Jag tänker inte fördjupa mig ytterligare i kvantfysiken.
Ur mitt perspektiv, som är att kontroll över informationen är centralpunkten både för informationssäkerhet och informationsförvaltning inklusive arkiv, finns det allt fler tillfällen då det är rimligt att använda tankeexperimentet som metafor och prata om Schrödingers information.
Det är innebär information som både finns och inte finns på samma gång, något som är negativt för den som vill ha kontroll över sin information.
Låt mig ta några exempel.
Det första exemplet är kanske det mest uppenbara och gäller formatet.
Trots att jag är mycket pro-digitalisering så får ändå pappret och dess föregångare pergament m.m.
sägas ha den stora fördelen att informationen som haft papper som bärare har varit möjlig att ta del av över seklerna.
I och med att bärarna blivit digitala sluts cirkeln på sätt och vis då information precis som i gamla glömda teckenformer blir omöjlig att ta del av även om den faktiskt finns.
Jag tänker då på den information som finns lagrat på medier och i format som inte längre går att läsa.
Diskar som står och dammar, format som ligger som bilagor till mail, gamla applikationer som inte migrerats med till nutiden– oräkneliga exempel kan göras.
Trots att de inte kan läsas ligger de kvar för ingen riktigt förmår att ta ställning och hålla i yxan.
Oförmågan att ta tag i yxan och faktiskt gallra är mitt andra exempel.
Gallring har kallats arkivariens svåraste uppgift men jag ska inte här gå in på den i och för sig mycket väsentliga frågan om vad som ska gallras utan själva gallringsrutinen.
Förutsättningen i myndigheter är att allmänna handlingar (vilket generellt är merparten av den information som myndigheten hanterar) ska bevaras.
Undantaget är när ett gallringsbeslut fattats som kan göras av ett antal skäl vilket beskrivs i en av Riksarkivets få vägledande skrifter: Vanligen syftar gallring till att myndighetens arkiv inte skall tyngas av allmänna handlingar som saknar påtagligt informationsvärde, allmänna handlingar som motsvaras av annan dokumentation i det egna arkivet eller andras arkiv, eller allmänna handlingar som har ett informationsvärde som är starkt begränsat i tiden.
I fråga om personuppgifter kan gallring ibland syfta till att skydda enskildas personliga integritet.
Rent ekonomiska bedömningar kan också ges mycket stor vikt, t ex när man har serier med få intressanta uppgifter i relation till .
Det som är själva poängen med gallringsbeslutet är att handlingarna sedan verkligen också förstörs.
Ett gallringsbeslut är inte ett förslag utan handlingarna ska faktiskt som Riksarkivet skriver ske utan dröjsmål när gallringsfristen har löpt ut eller gallringstidpunkten har uppnåtts.
Detta efterlevs inte alltid.
Ibland kan gallringsbeslut vara formulerade som att handlingar ”får” gallras vid en viss tidpunkt vilket kan ge intryck av att alternativet att handlingarna bevaras också finns.
Inte sällan har jag i kommuner, landstings och myndigheters bestånd påträffat information som borde varit gallrad och därmed, sett till de fattade besluten, inte finns.
Detta skapar naturligtvis en stor potentiell brist på rättssäkerhet för den enskilde där myndighetsbeslut säger att exempelvis en information rörande den enskilde inte finns men det sedan visar sig att den ändå gör det.
Det rimmar också mycket illa med dataskyddsförordningen och ger dessutom ett intryck av att kommunen/myndigheten har en dålig ordning där man inte efterlever fattade beslut.
Och hur skyddas en information som både finns och inte finns?
Ytterligare ett exempel som jag stött på är hanteringen av loggar.
Loggar bör av integritetsskäl i de flesta fall gallras efter kort tid, default 3 månader om inte något annat framkommit vid informationsklassning, och då verkligen tas bort.
I många verksamheter separeras dock inte loggarna från verksamhetsinformationen utan följer med i den allmänna back upen vilket gör att de ligger kvar år efter år.
Integritetskänslig information från tjänster och passersystem som följer den anställdes alla aktiviteter på jobbet kan finnas kvar trots att många arbetsgivare har loggpolicys som säger något helt annat.
Och för en myndighet blir det naturligtvis prekärt om loggarna begärs ut som allmän handling och man då måste ta ställning till om de finns eller inte finns trots att de rent faktiskt finns.
Det mest övergripande exemplet som jag redan tidigare varit inne på i en är all den information som finns i en myndighet och som bedömts inte vara allmänna handlingar.
Denna andel av den totala informationshanteringen ser jag som i stark tillväxt på gemensamma file servers, i olika egeninitierade molntjänst typ Dropbox och alla möjliga andra former.
Informationen fångas inte upp i dokumenthanteringsplaner eller andra verktyg men finns likaväl.
Jag har inga patentlösningar på hur de här olika situationerna ska hanteras.
Min spaning är helt enkelt bara att det är viktigt att vi inte har information som liknar katten i Schrödingers tankeexperiment.

autenticitet riktighet giltig bevisvärde

MENU MENU Postat av Postad i , , , Tagged , , , Postat av → Postad i , , Tagged , , , , Postat av Postad i , , , Tagged , , Postat av Postad i , , Tagged , , , Sök efter:

Om informationstekniskt bevis Juridik som stöd för förvaltningens digitalisering authenticity integrity Detta är ett gästinlägg av Fredrik Granholm, verksamhetsarkitekt i Sollefteå kommun.

Jag har alltid haft svårt för den oreflekterade gruppkänslan, när tillhörigheten till en grupp blir så viktig för ens (yrkes)identitet att det skuggar tankens klarhet.
Tyvärr tycker jag att säkerhetsbranschen ofta drabbas en överdriven gruppkänsla som leder till ett grupptänk och inte minst av en oförståelse för hur det ser ut i ”verkligheten”.
Att predika för kören, d.v.s.
för andra säkerhetsmänniskor, är enklare än att öppet diskutera säkerhetsfrågor med människor som har andra och kanske viktigare prioriteringar än säkerhet.
Själv måste jag erkänna att jag grips av en skamkänsla över att erbjuda lösningar som tar så mycket tid från kärnverksamheten, dessutom med oklart resultat.
Trots att säkerhetsbranschen av tradition är högerlutande, vilket i normala fall skulle leda till ett ifrågasättande av byråkrati, krångel, förmynderi och slöseri med skattemedel, så godtas orimligt insatskrävande säkerhetsåtgärder i just skattefinansierade verksamheter.
Ganska hemmablint kan man tycka.
Låt mig bara ta några exempel.
I Sverige finns runt grundskolor.
Såsom praxis och stöd är utformade ska då informationsklassning genomföras om inte i samtliga grundskolor så åtminstone per förvaltning eller grundskoleområde, gärna med stöd av SKR:s KLASSA.
Många kommuner väljer dessutom att ta in konsulter för att genomföra klassningarna med KLASSA för dyra pengar och utan att den så viktiga dialogen uppstår mellan verksamhet och informationssäkerhetsansvarig.
Åtgärderna som levereras ur KLASSA är inte i de flesta fall konkreta utan snarare på en nivå som kräver en egen utredning för framtagning av åtgärder hos kommunen som använder verktyget.
För mig känns det som en mycket dyrbar metod som ger ett resultat som i bästa fall är tveksamt.
Som jag tidigare betraktar jag inte det som ett sätt att effektivisera säkerhetsarbetet och föreslår andra möjligheter.
Några andra som inte är så ängsliga för att ta säkerhetsresurser i anspråk är MSB.
Myndigheten har nu tagit fram en egen som såvitt jag kan se inte har något vetenskapligt stöd (däremot en närmast rörande metodbeskrivning med formel och allt).
Det framgår inte heller varför man inte tydligare anslutit till ISO 27004 som visserligen nämns men lämnar få spår i utformningen.
MSB har gått så långt att man skrivit in ISO 27001/27002 i sin föreskrift för statliga myndigheter så det skulle känts rätt logiskt att man då gått all in i standardfamiljen även då det gäller uppföljning.
Rapporten är ett svar på ett regeringsuppdrag: Detta skulle kunna tolkas som något som liknar frivillig tillsyn eller revision men istället har MSB knåpat ihop något som enligt min bedömning (jag har ändå rätt många år i mätbranschen) kommer att ta avsevärd tid att hantera för de organisationer som väljer att delta utan egentlig nytta.
Ja, visst får ledningen en överblick men även den som är mest besatt av mantrat ”ledningens genomgång” måste någon gång landa i att det är praktiska åtgärder som måste vidtas för att förbättra säkerheten – det räcker inte att rapportera aldrig så mycket.
Jag vet hur betvingande det är med spindeldiagram, jag har stått inför otaliga ledningsgrupper och showat med gott resultat, men det som gav verklig nytta var något annat.
Det var de insatser vi lade ner på att skriva detaljerade rekommendationer noggrant anpassade efter den specifika organisationens förutsättningar och risker.
Efter att ha läst MSB:s rapport kan jag inte förstå hur denna typ av frågeställningar öht ska kunna besvaras och vad eventuella svar skulle kunna ha för kvalitet: Hur räknar man ens procent på åtgärder?
Är åtgärden att sätt lås på ett dokumentskåp lika mycket värd som att ändra backup-rutiner liksom?
Måste åtgärderna att ha varit fullständigt genomförda för att räknas eller räcker det att de är påbörjade?
Om det endast fullständigt genomförda åtgärder som ingår kommer då organisationen att prioritera kortsiktiga åtgärder och välja bort de som tar lång tid men som kanske har större betydelse för säkerheten?
Att med så många grundläggande osäkerhet försöka tillämpa en formel som denna ger mig ett intryck av ett helt verklighetsfrämmande projekt.
Ett tredje ack så resurskrävande villospår är de externa revisioner som många organisationer väljer att göra.
Det är ett enkelt men kostsamt beslut att ta för ledningen.
Och när man ser på leveranserna från inte minst större välrenommerade företag blir man ofta beklämd.
Rapporterna, som inte sällan kommer i power point-format, är så uppenbart standardrekommendationer som av juniora konsulter klippts samman till något som inte är anpassat till kundens verksamhet och i vissa fall inte ens till svensk kontext.
Hur svårtolkade (en eufemism) rapporterna kan vara tyder den absurda upplevelse som jag stött på när ett revisionsbolag anlitas för att uttolka ett annat revisionsbolags rapport och försöka göra om den till något som liknar förslag på begripliga åtgärder.
Och nej, det blev inte så mycket begripligare i nästa led.
Trots den bristande kvaliteten i många revisionsrapporter får de orimligt stor betydelse i många organisationer.
Ledningar tar dem på stort allvar och tycker sig ha fått ett underlag både för den så omtalade ”benchmarketingen” och för att att kunna vidta rätt säkerhetsåtgärder.
Det är inte så konstigt; ledningen tycker sig ha betalat dyrt för att få en professionell genomgång av ett område som man själv i de flesta fall är dåligt insatt i. Att ställa kritiska frågor är inte aktuellt, särskilt om det skulle kunna avslöja ens egen bristande kunskap.
Vid ett inte oväsentligt antal tillfällen har jag tyckt när jag läst rapporterna att de varit mer eller mindre vilseledande när det gäller vilka åtgärder som rekommenderas.
Eftersom de som utfört revisionen på ett industriellt sätt inte haft möjlighet att sätta sig in i kundens förutsättningar kan fokuseringen på de prefabricerade åtgärderna leda till både dubbelarbete när vissa element faktiskt redan finns på plats men under annan benämning än revisionsbolagets och till att väsentliga risker missas.
Dessutom är hänsyn sällan tagen till beroendeförhållandet mellan olika åtgärder, något som kan göra att kundens åtgärdsarbete blir alldeles i onödan ineffektivt.
Ibland betonar revisorerna väldigt specifika åtgärder som den som arbetar med säkerhet i organisationen vet att man redan klarat av på annat sätt eller att avsaknaden av åtgärden innebär en mycket liten risk.
Detta går dock inte fram till ledningen som sätter en större tillit till den ytliga granskningen än till den egna personalens bedömningar – onödig kraft läggs då på att checka av åtgärdsförslagen istället för på att reducera verkliga risker.
Säkerhetsarbetet kan därmed snedvridas på avgörande sätt för lång tid fram över.
Detta är bara tre exempel, det finns många fler metoder och krav som kan ses som på det hela taget tämligen improduktiva.
Det är naturligtvis inte en slump att compliance och rapportering är så populärt.
Det är betydligt lättare att ”granska” än att skapa fungerande säkerhetsåtgärder – tro mig, jag har varit på båda sidorna.
Ibland skulle jag vilja gå så långt som att det borde vara förbjudet föreslå metoder och åtgärder för den som inte själv stått i det praktiska slitet att försöka förbättra säkerheten i en faktiskt existerande organisation.
Det är först då en djupare förståelse för hur komplicerat det är att förbättra den verkliga säkerheten, inte bara den som finns i kolumner och poängsättning.
Säkerhetsbranschen har anammat synsätten som leder till största nackdelen med NPM med oklara rambeskrivningar, mätningar och rapporteringar en masse.
Trots att aktörerna i branschen som sagt ofta i andra sammanhang klagar på administration tycks man blind för den negativa byråkrati man själv skapar och som äter upp resurserna som skulle gjort så mycket större nytta i kärnverksamheten.
Informationssäkerhetskraven såsom de ser ut idag trängs med likartade strukturer för hållbarhet, miljö, jämställdhet, ekonomi m.m.
som alla är viktiga men samtidigt tar kraft från det egentliga uppdraget.
Det är tyvärr inte så stor risk att vi råkar ut för något ansvarsutkrävande men vi borde verkligen se oss i spegeln och ställa frågan om vi är närande eller tärande.
Sannolikt mest det senare vilket borde sporra oss till att tänka på att varje timme vi tvingar alternativt uppmuntrar andra till att lägga på att svara på frågor och rapportera tas från en sjuksköterska eller lärare eller någon som producerar något vettigt.
I mitt förra inlägg hävdade jag att arbetet med informationssäkerhet alltför ofta kännetecknas av byråkratiska aktiviteter utan reell säkerhetshöjande effekt men däremot med ett anspråkstagande av verksamheters resurser på ett orimligt sätt.
Det är ju inte heller enbart kärnverksamhetens resurser som används på ett sätt som kan etiskt ifrågasättas.
Att säkerhetsarbetet bedrivs utan hänsyn till hur effektiv användningen av resurser är samtidigt som den oavlåtliga klagovisan ljuder att säkerhetsarbetet får för litet resurser, ständigt för litet resurser, är paradoxalt.
För den som arbetar med säkerhet borde det ha högsta prioritet att få fram arbetssätt som ger största möjliga utdelning av säkerhetshöjande effekter i förhållanden till insatta resurser.
Tyvärr har jag sett mycket litet av den typen av analyser och jag kan t.o.m.
tycka att säkerhetsområdet får rejält med pengar sammantaget utan det riktigt framgår vad som kommit ut av det.
Rubriken på blogginlägget är aningen ironisk eftersom det väl nu är allmänt känt att effektiviseringar sällan leder till bättre verksamhet.
Jag tycker ändå att det är klädsamt om vi som jobbar informationssäkerhet, som är en stödfunktion, håller upp spegeln och ser vad vi kan göra när kärnverksamheten i många organisationer är hårt pressad av krav på besparingar.
Att försöka göra saker bättre och mer kostnadseffektiva behöver inte heller vara till nackdel för metodutveckling, jag dristar mig att anse att det skulle vara en fördel om det fanns ROI-perspektiv på både planerade och genomförda säkerhetsåtgärder.
Jag tror det skulle vara ett stort stöd för många informationssäkerhetsansvariga som nu ibland verkar beta av ett antal aktiviteter utan att kunna bedöma vad det egentligen leder till.
Vissa aktiviteter kan vara stora och dyrbara men det handlar också om annat där kostnaden kanske inte är så stor men effekten ännu mindre.
Att genomföra generiska e-utbildningar är enligt min erfarenhet tämligen bortkastat mensom initierat dem kan bocka av en ruta.
För mig betyder detta mekaniska tillvägagångssätt, förutom pengar och medarbetares tid i sjön, att organisationen invaggas i en vilseledande och farlig falsk trygghet.
Det tämligen obefintliga effektivitetspressen inom säkerhetsområdet, som är så kännbar i andra sektorer, tycker jag mig se leda till en lättja i tanke och i handling.
Det är lätt att glömma bort men informationssäkerhet handlar i grunden om att .
Har man inte det så har man inte en fungerande informationssäkerhet.
Med detta i bakhuvudet så kan den seriösa informationssäkerhetsarbetaren inte leva efter bekvämlighetsprincipen och hela tiden göra det som känns enklast.
Att enbart identifiera information som råkar finnas i system som man redan känner till är som, för att använda en mycket uttjatad bild, att leta efter den borttappade nyckeln under gatlyktan eftersom det är enklast.
Tyvärr är det så jag uppfattar rätt mycket av de insatser som går under beteckningen ”informationsklassning” som inte leder till kontroll över den information som är viktig för verksamheten utan den som redan finns bekvämt paketerad i en behållare a.k.a ett ”system”.
Ibland när jag får ”verktyg” för informationsklassning som är obegripligt efterfrågade presenterade för mig kan jag inte låta bli att fnissa till och tänka på min bekant som var kommunal it-chef på 1990-talet.
Hen hävdade att det var en underbar tillvaro där hen sågs som en wizzard som på vilken fråga som helst (i princip) från verksamheten kunde hacka ihop ett it-verktyg för att lösa en uppgift.
”Stöd” sågs helt enkelt som synonymt med någon slags programvara.
Tyvärr tycks denna uppfattning leva kvar bland många i informationssäkerhetsbranschen trots att det ofta är de icke-digitala delarna i en aktivitet som är svåra.
I informationsklassning (se nedan) är den stora frågan exempelvis att göra rätt analyser, inte att hålla reda på genomförda klassningar.
Innehåller verktygen dessutom generiska skyddsåtgärder uppstår en annan problematik: vem tar då egentligen ansvar för att det är korrekta skyddsåtgärder i förhållande till risken?
Efter denna salva känner jag mig förpliktigad att ge exempel på alternativ.
Här kommer därför ett förslag på arbetssätt motsvarande informationssäkerhetens kinderägg.
De tre fördelarna med mitt förslag är att man faktiskt arbetar med information – inte system, att man kan bygga upp en likvärdig säkerhet i likartade verksamheter och att kostnader i form av pengar och tid radikalt skulle kunna minskas samtidigt som får ökad kvalitet/säkerhet.
Med avsikt har jag valt en mycket säkerhetskänslig funktion som även är mycket vanligt förekommande: processen för läkemedelshantering i äldreomsorgen.
För att ge en kort bakgrund så ombesörjs äldreomsorgen med de 290 kommunerna som huvudman.
Kommunerna kan bedriva omsorgen själva eller anlita underleverantörer som privata vårdföretag.
Oavsett vilket så är det kommunen som har ansvar som sjukvårdshuvudman och ska därmed säkerställa att omsorgen bedrivs på ett säkert och likvärdigt sätt oavsett utförare.
En central del i omsorgen av äldre är läkemedelshanteringen.
Äldre som inte får rätt läkemedel i rätt dos vid rätt tidpunkt löper en avsevärd hälsorisk, i värsta fall med döden som utgång.
Omsorgen sker dygnet runt av ett antal medarbetare som vid varje givet tillfälle måste ha korrekt och spårbar information tillgänglig.
Samtidigt berör uppgifterna om läkemedel omsorgstagarens hälsotillstånd vilket gör dem till känsliga personuppgifter som måste omges med ett mycket starkt skydd mot obehörig åtkomst.
Utöver detta finns en särskild risk i läkemedelshanteringen, narkotiska preparat och även andra är mycket stöldbegärliga.
Även detta stärker det utpräglade behovet av spårbarhet där varje händelse kan följas och och kopplas till person som i en lång verifikationskedja.
En generisk processbeskrivning på övergripande nivå skulle kunna se ut så här.
Inga konstigheter i det men man kan gå ett fördjupande steg till utan att beskrivningen skulle tappa särskilt mycket i allmängiltighet med däremot fånga upp vilken information som hanteras, se detta utsnitt ur processen: Processen startar med att en av regionens läkare gör en läkemedelsordination vilket dokumenteras i regionens vårdsystem samt i den nationella läkemedelslistan.
Dessa moment ligger utanför processbeskrivningen ovan som startar med att information om ordination överförs till kommunen som en pappersutskrift vilket startar processen.
Den intresserade kan notera följande: Detta är inte på något sätt unikt för den här processen utan gäller för många andra.
Slutsatsen man kan dra är att om man seriöst så räcker det sannerligen inte med att ”klassa” ett enskilt system utan måste få kontroll över hela informationshanteringen.
Inte heller att enbart titta på digital information utan det är just helheten som måste fångas för att rätt åtgärder ska kunna vidtas.
Även för dataskyddet är detta en självklarhet – man kan liksom inte bara skydda personuppgifter i digital form.
I den ovan beskrivna processen finns t.o.m.
bärare som apodos-påsar som måste omhändertas på ett korrekt sätt.
Det kan tyckas ansträngande att inte bara få ägna sig åt färdigpaketerad information prydligt avgränsad i system men här finns istället stora effektivitetsvinster att göra.
Det går att klassa informationsmängden ”ordination” och så vidare så att det går att använda som en i samtliga kommuner oavsett vilka bärare man för tillfället råkar använda.
Dagens rekommendation från myndigheter och SKR är att 290 kommuner med vissa fall flera förvaltningar som bedriver äldreomsorg ska klassa system i varje förvaltning.
Dessutom måste samma manöver upprepas av de privata vårdgivare som anlitas av kommunerna.
Enligt beräkningar fanns 2019 14900 företag som ägnade sig åt vård och omsorg.
Jag har inte riktigt tid att fördjupa mig i exakt hur många av dessa som bedriver äldreomsorg men för saken skull så utgår jag från att det åtminstone finns 500 privata äldreboenden.
Sammantaget kanske det då behöver göras 850 klassningar av olika vårdgivare.
Låt oss höfta och säga att resursåtgången per klassning är minst 100 timmar inklusive förberedelser och dokumentation (detta är extremt lågt räknat med tanke på att det ofta är ett flertal deltagare på klassningarna) för att klassa ett system som stödjer en liten del av ordinationsprocessen.
Lustigt nog kommer det också att bli samma system som klassas gång på gång med varierande resultat.
Kontentan blir alltså bristande kontroll över informationen och bristande likvärdighet mellan olika äldreomsorgsverksamheter till en sammantagen resursåtgång av 85 000 timmar.
Betänk också att detta bara är en av flera processer bara i äldreomsorgen.
Mitt förslag är att man istället slår ihop sina påsar, tar fram gemensamma normerande klassningar skyddsnivåer.
Skyddsnivåerna måste då tas fram i stor öppenhet där det redovisas hur man ser på olika risker och hur de föreslagna skyddsåtgärderna avses reducera dessa.
Koppling till krav i föreskrifter med mera bör även finnas.
Skyddsnivåerna måste även innefatta skydd av andra bärare än system och molntjänster, t.ex.
fysiskt skydd av papper.
En jätteuppgift är att hålla skyddsnivåerna uppdaterade så att de inte ger förlegade rekommendationer.
Då ska vi komma ihåg att detta ändå skulle kräva en bråkdel av de resurser som skulle gå åt om varje vårdgivare skulle genomföra alla moment själv.
Jag kan mycket väl tänka mig att man i många fall även kan ge förslag på arbetsrutiner.
Vad skull då detta kunna innebära i praktiken?
Naturligtvis skulle ansvaret för säkerheten aldrig kunna delegeras men exempelvis en vårdgivare skulle kunna gå i ett bibliotek av olika verksamhetsprocesser, välja ut den aktuella och få fram en bild av generisk process samt en normerande klassning av typen nedan (fast ifylld): Därefter jämför vårdgivaren med sin egen verksamhet hur väl det presenterade materialet stämmer överens.
Gör det det i stora drag, kanske med litet annorlunda benämningar, så skulle vårdgivaren med detta stöd kunna ta sig ner till nivå att kunna köpa rätt skåp att förvara den enskilde vårdtagarens medicin i. Att krav på digitala lösningar ingår är naturligtvis självklart.
Som en bonus kan även krav på bevarande och gallring läggas in.
Det kan kännas som en överväldigande uppgift att ta itu med men minns då att den redan är överväldigande och idag tynger kärnverksamheten på ett orimligt sätt.
Kan vi åtminstone ta fram normerande klassningar för generiska processer i samhällsviktig verksamhet skulle vi ge möjlighet att höja samhällssäkerheten högst väsentligt och dessutom kunna reducera resursåtgången.
Eftersom myndigheterna med särskilt ansvar för informationssäkerhet förefaller skeptiska till den här typen av stöd finns det utrymme för andra aktörer att träda fram.
Statskontorets publikationer är en underskattad men ständig källa om inte till glädje så till mycket nyttig kunskap.
Under sommaren har jag en forskningsantologi kallad .
Min bedömning är att denna antologi är ett måste för den som arbetar med informationshantering eller informationssäkerhet i offentlig sektor.
Här får man så mycket sammanhang och tankar att man går ur boken som en tjänsteperson eller konsult stärkt och betydligt bättre rustad att hantera sitt uppdrag.
Ur en informationssäkerhetskonsults vinkel är det framför allt avsnitten om hur förpappring, managementbyråkrati, användning av standarder och konsulter riskerar leda inte bara till onödig administration utan också till bristande styrförmåga.
Tyvärr är det mycket som känns obehagligt välbekant.
Det är dystert att blir varse om hur det område man själv jobbar inom liksom man själv kanske är en förgiftad gåva till uppdragsgivaren, att det kostar mer än det smakar.
Vi kanske ödmjukt borde inseltför ofta ger upphov till mer byråkrati än nytta, till mer krångel än säkerhet.
En ständigt närvarande fråga borde vara hur kan vi skapa bättre säkerhet utan att tynga våra uppdragsgivare och utan att ta kraft från organisationernas verkliga uppgifter.
Hur mycket har alla de icke-fungerande ledningssystem inte kostat i pengar, incidenter och en falsk trygghet som hindrat att man vidtagit reella säkerhetsåtgärder.
Slutligen är det för mig oetiskt att ta mer resurser från kärnverksamheten till säkerhet om det inte går att påvisa att det är nödvändigt.
Givna frågor borde vara: Varför fungerar då så mycket avt så dåligt trots de avsevärda resurser som läggs på det från olika håll?
Efter att ha begrundat Statskontorets antologi vill jag på prov lansera hypotesen att många av informationssäkerhetens tillkortakommande beror på att arbetet bedrivits som en del i den new public management-trend som varit rådande i svensk förvaltning de senaste decennierna.
NPM diskuteras frekvent i antologin och många av dessa resonemang kan med lätthet översättas till informationssäkerhetsområdet.
Kännetecknande för NPM är bland annat en strävan att styrformerna i offentlig förvaltning ska likna de i privata företag.
Konsekvenserna blir i korthet decentralisering, ram/mål-styrning, standarder och en massa mätande.
Det som regleras är som ska göras men inte Ansvaret för hur åtgärder ska genomföras trycks ner i den decentraliserade strukturen.
Någon som kommer att tänka på den så omtalade ansvarsprincipen kanske?
NPM kan låta lockande men jag skulle säga att informationssäkerheten nationellt och i de enskilda organisationerna lidit stor skada av att det inte funnits en inriktning att ge tydliga direktiv om olika säkerhetsåtgärder ska utföras.
Det är en närmast kuslig suboptimering att varje organisation ska räkna ut allt själva.
Kravet på kortsiktig leverans och mätbarhet gör att det strategiska arbetet försummas.
Dessutom leder till en bristande samordning i en alltmer integrerad informationsinfrastruktur där en parts investering i säkerhet görs helt urarva genom att andra aktörer har gjort andra bedömningar och därmed inte infört samma skydd.
Fokus ligger också på dokument, standarder och rapportering, allt i enlighet med NPM:s styrfilosofi.
Jag tror inte att motståndet mot att få en konkretare styrning i säkerhetsfrågor ligger hos enskilda myndigheter, kommuner eller regioner, tvärtom är en vanlig utgångspunkt i diskussioner att man vill ha tydlighet och stöd i att veta vilka säkerhetsåtgärder som är adekvata och uppdaterade.
Snarare uppfattar jag att myndigheterna med föreskriftsrätt duckar och inte vill ta det ansvar som det innebär att peka med hela handen.
Det är liksom lättare att klaga på den bristande säkerheten i förvaltningen än att ge ett ändamålsenligt stöd.
Jag vill lansera ett förslag som jag haft sedan jag jobbade på MSB som exempel på hur vi skulle kunna bryta med ovanstående ineffektiva styrning och få en bättre och billigare säkerhet.
Mitt förslag är och har varit att erbjuda stöd i form av standardiserade skyddsnivåer och det jag kallar normerande klassningar.
Skyddsnivåer har jag skrivit om tidigare så därför koncentrerar jag mig på de normerande klassningarna.
Det mest uppenbara exemplet på hur det skulle kunna fungera gäller kommunal verksamhet.
Tänk er att det finns 290 kommuner med samma tio obligatoriska uppgifter.
Det leder till att man har i grunden har mycket likartade processer även om man ofta har egna beteckningar på förvaltningar, processer och informationsmängder.
I större kommuner kan det vara så att flera organisatoriska enheter ägnar sig åt samma slags verksamhet, exempelvis förskola eller äldreomsorg.
Man kan också anlita utomstående leverantörer för att driva verksamhet som till exempel ett äldreboende.
En viktig grundprincip för kommunal verksamhet är likvärdighet, dvs.
att invånare har rätt att förvänta sig samma kommunala service oavsett var man bor eller vem som är utförare.
I det här sammanhanget bör det tolkas som att invånare har rätt till samma säkerhet och integritet.
Detta uppnås dock knappast om informationsklassningar genomförs på tusentals olika sätt med helt olika resultat (jag kommer inte att ta upp SKR:s KLASSA här eftersom jag gjort det på annat ställe och kommit fram till att det inte är ett verktyg för informationsklassning utan möjligen för att ställa baskrav på enskilda system och som dessutom ger precis samma risk för olikartade bedömningar som om man inte använde verktyget).
Vad som skulle leda till både ensartade bedömningar och dramatiskt minskad resursåtgång är att göra normerande klassningar på prioriterade processer i kommunal verksamhet.
Man skulle då gå igenom en generisk process, exempelvis utbetalning av försörjningsstöd, se vilka informationsmängder som stödjer och skapas i de olika aktiviteterna i processen.
Därefter kan informationsmängderna klassas och den normerande klassningen användas av samtliga som utbetalar försörjningsstöd.
I och med att aktiviteter och informationsmängder är förvånansvärt konstanta över tid i många processer (tro mig, jag har gått igenom ett stort antal processer även i ett ”historiskt” perspektiv) så skulle denna grund kunna användas under lång tid.
Uppdateringar måste göras då exempelvis lagstiftning eller andra nya förutsättningar leder till att en förändrad bedömning blir nödvändig.
Även denna förvaltningsinsats har allt att vinna på att genomföras kollektivt och inte av varje informationsägare.
Och, observera, den normerande klassningen är bara ett stöd.
Det står varje informationsägare fritt att välja en annan nivå eftersom ansvaret för säkerheten kvarstår hos hen.
Ytterligare en poäng är att det här finns mycket stora samordningsvinster att göra även med dataskydd och arkiv.
Jamen systemen och it-tjänsterna säger ni uppbragt – varför finns inte de med i konceptet???
Det gör de faktiskt eftersom it-säkerheten hanteras i de standardiserade skyddsnivåerna och gör man sin processorienterade informationskartläggning rätt så identifierar man inte bara de digitala lösningar som används som bärare utan även de andra medier som faktiskt används.
Dessutom förekommer idag information i många fall i flera versioner på olika bärare så därför kan man inte gå nerifrån och upp.
Slutligen är bärarna inte alls lika konstanta som aktiviteter och informationsmängder så att ha dem som utgångspunkt för strategiskt styrning skulle vara göra sig själv en stor otjänst.
En passant kan sägas att samma synsätt sannolikt skulle kunna användas av SÄPO till allas nytta.
Att göra generiska säkerhetsskyddsanalyser för exempelvis kommuner och regioner skulle avlasta dessa aktörer och ge ett mer likvärdigt skydd.
(Jag flyr nu eftersom jag vet att detta är en helig ko som absolut inte får besudlas….).
Min förutsägelse är att det inte finns något ljus som automatiskt kommer att slås på i denna mörka byråkratiska tunnel utan det är vi själva genom att tänka fritt och nytt som måste skapa det.
Det är inte i mängden dokument säkerheten sitter.
Jag ska nu framföra den något inopportuna åsikten att det dokumenteras för litet i organisationerna.
Inopportun eftersom vi fortfarande lever i en tid med oändlig övertro på fragmentiserade mätvärden, checklistor, matriser och inkodande, väl skildrat .
Huvudsak blir bisak och frågan är allt oftare för vems skull allt detta registrerande sker, kanske inte för patienten eller eleven utan för att försörja något multinationellt företags omätliga begär efter data?
Det är inte denna typ av dokumentation jag skriver om här utan snarare när matriser ersätter resonemang och utvecklade bedömningar.
För att ta informationssäkerhetsområdet som ett exempel ser jag som regel snarare än undantag informationsklassningar och riskanalyser vars värde kan ifrågasättas, särskilt i det längre perspektivet.
Det som återstår efter timmar av nedlagd arbetstid och noggrann analys är alltför ofta en matris eller ett excel-ark utan förklaringar.
Deltagare eller roller som ingått framgår inte och inte heller hur resultatet ska hanteras.
Men mest saknas på vilka grunder bedömningen gjorts.
Att arbeta på det här sättet är som att skriva i vatten.
Skrivandet, när det sker på ett beständigt sätt, är i sig ett stöd för tanken.
Medan man skriver formulerar man sina tankar, utvecklar och förtydligar, hittar svagheter, gör synteser och lägger grunden för kommunikation.
Man skapar förutsättningar för en diskussion som vaskar fram de bästa praktiska lösningarna.
Både informationsklassningar och riskanalyser ska naturligtvis ske återkommande.
En väl dokumenterad tidigare klassning eller riskanalys är ovärderligt stöd då proceduren ska upprepas.
Istället för att börja från noll kan man gå igenom vilka faktorer som kvarstår eller ändrats, om man fått fördjupad kunskap som påverkar bedömningarna, om åtgärder vidtagits som påverkar risken eller om lagstiftning tillkommit för att ta några exempel.
Utan bra dokumentation kommer inte ens de som deltagit i den förra övningen hur diskussionen gick, än mindre de som kommer till.
Att det organisatoriska minnet skapar effektivitet är en sak.
Ytterligare en är att dokumentationens syfte inte enbart är att kommunicera utan det är också ett sätt att aggregera kunskap inte bara i enstaka situationer utan genom att skapa ett större kunskapsunderlag som kan återanvändas i nya situationer.
Detta bör även ses som en del i organisationens generella riskarbete.
Det skrivna ordet är vår kapsel för kunskap vilket även går att översätta till mänsklighetens utveckling.
Låt mig ta ett sista argument för bättre dokumentation och organisatoriskt minne, nämligen att det är verktyg för att skapa ett sammanhang för de som arbetar i organisationen.
En fullödig dokumentation lägger fram de rationella skälen till gjorda bedömningar och motiverar i förlängningen säkerhetsåtgärder.
Detta leder till en positiv säkerhetskultur kan växa fram där det är naturligt att samtala om säkerhet och där det är tillåtet att ifrågasätta säkerhetsbedömningar.
Den som arbetar med säkerhet behöver inte känna sig pressad och defensiv när någon frågar varför ett visst tillvägagångssätt ska tillämpas eftersom det finns mer än siffra att bygga sin motiverande argumentation på.
KASAM, känslan av sammanhang, var ett begrepp som myntades av sociologen Se alltså detta inlägg som en plädering för att skriva bättre och läsa mer.
Den som känner sig osäker i sitt skrivande måste få öva, öva, öva och att skriva bra bör uppvärderas och ses som en omistlig kompetens för den som arbetar meska nu kort återkomma med en uppdatering gällande SKR och överföring av känslig information till denna intresseförening, för bakgrund se .
För att sammanfatta frågan så har SKR växt som en gökunge i den svenska förvaltningen och fått/tagit allt fler myndighetsliknande uppgifter trots att man, som SKR själva ivrigt hävdar, inte är en myndighet utan en arbetsgivare- och intresseförening.
Därav följer att SKR inte har det ansvar och den insyn som en myndighet och vi som medborgare egentligen saknar möjlighet att kontrollera och utkräva ansvar av föreningen.
SKR ligger helt enkelt utanför den styrning som den svenska förvaltningen bygger på och det är svårt att ens se vilken lagstiftning som är tillämplig.
Detta förhindrar den kritiska granskning som offentlighetsprincipen möjliggör för myndigheter även om SKR ibland försöker vilseleda genom att hävda att de handlingar som hanteras inom föreningen blir offentliga när de inkommer till medlemmarna.
Häromdagen fick jag detta l mig tillsänt där Marie Morell (m), ordförande för sjukvårdsdelegationen på SKR, hävdar just detta i en fråga som har en ekonomisk betydelse för enskilda: – Vi har kontaktat dem och skickat ut material till dem vid ett flertal tillfällen.
Det är viktigt att de skapar någon form av branschråd så att vi har en motpart att arbeta med.
Vi är en ideell förening och som sådan lyder vi inte under offentlighetsprincipen.
Men handlingarna blir offentliga så fort de inkommer till respektive region eller kommun, säger Marie Morell.
Det finns alltså ingen insyn i själva processen och som jag tidigare visat är det högst tveksamt vilka av SKR:s många ”interna” dokument som verkligen ses som inkomna till medlemmarna.
Att inte ens handlingar i beredande organ hos SKR blir allmänna handlingar hos de regioner/kommuner som har representanter i dessa organ är för mig tämligen hårresande och jag försöker förstå vem en sådan representant tror sig vara.
En privatperson som blivit invald i hembygdsföreningens styrelse (inget ont om hembygdsföreningar)?
Nu när offentlighetsprincipen är hotad från olika håll känns det extra angeläget att slå vakt av denna för Sverige (och Finland) unika medborgerliga rättighet.
I mitt framförde jag dock att det är likaledes viktigt att se vilka risker det innebär att kommunicera känslig information med en aktör där OSL inte kan tillämpas.
Grunden för att kunna skydda känslig information när den utbyts med utomstående parter är att reglera hur informationen får hanteras.
När det gäller utbyte mellan myndigheter finns denna reglering i huvudsak redan på plats genom lagstiftningen (även om jag tycker att det ofta finns anledning att förtydliga relationen myndigheter emellan).
Här intresserar jag mig inte för säkerhetsskyddsområdet utan framför allt den lagstiftning som gäller normala verksamhetsförhållande men där mycket starkt krav på konfidentialitet finns t.ex.
gällande samhällsviktig verksamhet.
Notera att det där även finns annan lagstiftning som är ytterst relevant som exempelvis Krisberedskapsförordningen.
Denna reglering saknas då information ska utbytas med privata aktörer som företag och, som i det aktuella fallet, föreningar.
Då måste menar jag ett avtal slutas som beskriver villkoren för att informationen ska kunna lämnas ut, åtgärder som ska vidtas och ansvarsförhållanden.
För att reducera att konfidentiell information kommer i orätta händer bör man även minimera informationen som utlämnas till det absolut nödvändiga samt ålägga motparten att säkerställa att endast de som verkligen behöver informationen kan ta del av den.
Enligt mitt resonemang är det alltså en självklarhet att myndigheter måste använda sekretessavtal eller motsvarande när de tänker utbyta information med företag och föreningar.
Därför frågade jag två myndigheter som på olika sätt har ett ansvar för samhällsviktig verksamhet om de slutit sekretessavtal med SKR.
Först gick frågan till MSB som ju har ett mycket omfattande ansvar i dessa frågor: Hej!
MSB har ett omfattande samarbete med SKR i olika frågor.
Vissa av dessa frågor kan vara av känslig karaktär som kommuner/regionens insatser i det civila försvaret, samhällsviktig verksamhet, informations- och cybersäkerhet osv.
I dessa frågor utbyts rimligen känslig information.
SKR är en intresseförening som inte omfattas av OSL på samma sätt som en kommun/region, ett kommunalförbund eller ett kommunalt bolag.
Jag är därför intresserad av att ta del av det samarbetsavtal med vidhängande sekretessregler eller motsvarande som utgör reglering av dessa frågor i relationen mellan SKR och MSB.
Efter tämligen lång tid och en påstötning fick jag följande svar: Jag måste först beklaga att du fått vänta på ett besked men på grund av olyckliga omständigheter har beskedet fördröjts.
Genom en sökning i vårt diarium har vi hittat två avtal med SKR: Du har rätt att begära ett skriftligt beslut som går att överklaga.
Skriv till .
För ögonblicket är jag inte så intresserad av det civila försvaret som ju knappt kommit igång så därför gick jag in på .
Det är upp till varje läsare att ta ställning men jag kan inte se att detta dokument på något sätt reglerar sekretessen i förhållande till SKR.
Detta kan synas extra anmärkningsvärt i dessa coronaapokalysens tidevarv när Socialstyrelsen sekretessbelägger information för media om vårdens p medan intresseföreningen SKR sitter med på MSB:s samordningskonferens i samma fråga.
Visserligen togs sannolikt inga känsliga frågor upp då SKR var med men det visar den vinglighet som finns då det gäller just SKR .
Jag ställde samma fråga till eHälsomyndigheten som tillsammans med bland annat SKR arbetar med den nya in (återkommer inom kort angående detta alster) och där man får gissa att det för en del diskussioner om kritiskt infrastruktur osv.
Från denna myndighet fick jag bara ett kort nej på frågan.
Detta är förstås bara två stickprov men ändå från myndigheter som är vana att hantera sekretess.
Det kan tyckas litet märkligt efter allt som hänt med Transportstyrelsen och andra incidenter där information överförts på oklara grunder.
Mitt intryck (bekräftat av ett antal tjänstepersoner på andra myndigheter) är att myndigheterna helt enkelt inte tänker på att SKR inte är en myndighet utan utgår från att föreningen är som vilken deltagare som helst i myndighetssamarbetena.
Inte heller kommuner och regioner verkar reflektera särskilt över detta utan överför utan förbehåll känslig information till det de i vissa fall verkar se som en ”överordnad” aktör.
Detta även då det gäller informationssäkerhet.
Nyligen skickades ett mail ut från SKR: Klassa 4.0 har varit efterfrågat länge och nu finns finansiering för ett projekt som inleds i nästa vecka.
Det blir flera förändringar i den nya versionen, bland annat förbättringar av befintlig funktionalitet, bland annat uppdateringar av kravkataloger som genererar uppgifter till handlingsplanen och en nödvändig översyn av upphandlingskraven.
Dessutom blir det en hel del ny funktionalitet, t.ex.
: – En ny modul för att mäta organisationens mognad, – Möjlighet till uppföljning och att ta ut nyckelvärden för organisationen och anpassat till målgrupp, – Möjlighet för SKR att ta ut nationell uppföljning på aggregerad nivå, – Stöd för CISO i det systematiska arbetet och – Modul för riskanalys.
Dessutom kommer SKR att förstärka sin organisation för att kunna avsätta mer resurser till förvaltning av Klassa.
Det kommer att öppnas en möjlighet för statliga myndigheter att använda Klassa.
Verktyget kommer dock fortsatt att ägas av SKR med kommuner och regioner som primär målgrupp.
Detta menar jag är ett projekt som bör utsättas för en mycket grundlig riskanalys!
Dessutom kan det verkligen ifrågasättas varför denna nationellt intressanta information ska ägas av en förening utan insyn och där det inte heller går att bedöma säkerhetsriskerna.
Det är dags för en mer omfattande diskussion om SKR:s roll.
Myndigheterna bör också ha en konsekvent linje i förhållande till ”förvaltningsskvadern” – antingen är man en myndighet med det fulla ansvar som en sådan har eller så få man återgå till att vara en arbetsgivarorganisation en arbetsgivarorganisation som i huvudsak ägnar sig åt sina medlemmars avtalsfrågor.
Sekretessavtal bör i dagsläget vara ett minimikrav för alla myndigheter, inklusive kommuner och regioner, som utbyter känslig information med SKR på samma sätt som man reglerar relationen med vilken privat aktör som helst.
Eftersom frågan om spårbarhetens vara eller icke vara som en självständig aspekt av informationssäkerhet är återkommande diskuterad ska jag här göra ett inlägg i frågan.
Bakgrunden är den så kallade CIA-triaden som kommer från engelskans Confidentiality, Integrity och Availability vilket ofta på svenska översatts till konfidentialitet, riktighet och tillgänglighet.
Detta är kanske inte en optimal översättning vilket möjligen är en delorsak till de olika uppfattningar som finns om hur detta ska tolkas.
Huvudorsaken skulle jag dock vilja hävda att det med förvånande kraft hävdas att det bara finns en möjlig beskrivning av vad arbetet med informationssäkerhet syftar till och att det fångas i den svenska definitionen.
Vi (inte så få) som vill problematisera begreppen för att få dem mer anpassade till de behov vi uppfattar finns möts av tystnad.
För att ge så gott underlag som möjligt för en diskussion ska jag försöka vara tydlig och transparent som möjligt i min argumentation och hoppas att få svar i samma anda.
Utgångspunkten för mitt resonemang är ett statement som jag mer uppfattar som en dogm och som ofta formuleras som kofindentialitet, riktighet och tillgänglighet är den verkliga kärnaspekterna i informationssäkerheten och att spårbarhet är en osjälvständig stödfunktion till de övriga tre.
Nyligen såg jag det formulerat som fast sats: konfidentialitet, riktighet och tillgänglighet är tillstånd, spårbarhet en förmåga.
Vare sig eller kan härledas ur ISO/IEC 27000:2018 (ordlistan för 27000-serien) som genomgående använder property som exempelvis: property of accuracy and completeness Property kan översättas som egenskap.
Inte heller i den terminologi som tagits fram av en arbetsgrupp i SIS: Teknisk Rapport SIS-TR 50:2015 (kan tyvärr inte länka eftersom den inte är fritt tillgänglig) återfinns tillstånd respektive förmåga i denna betydelse.
I rapportens inledning står det: Informationssäkerhet handlar därför om hur informationens konfidentialitet, riktighet och tillgänglighet ska bevaras så att organisationens krav kan uppfyllas.
Dessa egenskaper kompletteras ibland även med en eller flera andra egenskaper, såsom spårbarhet, oavvislighet, ansvarighet, autenticitet och auktorisation.
Här definieras alltså konfidentialitet, riktighet och tillgänglighet som men så även bland annat spårbarhet.
I övrigt förekommer begreppet tillstånd litet här och var men aldrig på det sätt som i satsen ovan.
Närmast kommer man i beskrivningen av informationssäkerhetsmodell: Enheterna i ett system indelas i logiska grupper av subjekt (användare och deras processer), objekt och resurser.
Egenskaper hos ett önskvärt, ”säkert” tillstånd definieras och det visas att varje tillståndsövergång bevarar säkerheten vid övergång från ett till-stånd till ett annat.
Ett säkert tillstånd kräver att samtliga tillåtna åtkomstfall överensstämmer med fastställda säkerhetsregler.
Jag tolkar denna beskrivning liksom de andra tillstånd som ändå förekommer i handboken (exempelvis av redundans, anonymitet m.m.)
som en sammansatt helhet som resulterar från flera/många säkerhetsaktiviteter.
Riktighet definieras exempelvis som endast: skydd mot oönskad förändring vilket jag gissar ska läsas med en koppling bakåt till inledningen; att det är en eller möjligen en funktion.
Synsättet att det finns etablerade definitioner som ”tillstånd” respektive ”förmåga” verkar vara en uppfattning som får anses begränsat till vissa företrädare i Sverige som inte har stöd i den terminologi som tagits fram.
Detta synsätt verkar inte hämtat från något internationellt etablerat sammanhang vilket det räcker att göra en slö koll på Wikipedia för att upptäcka.
I artikeln Informations security anges som key concepts som första punkt CIA- triaden med följande beskrivning The CIA triad of confidentiality, integrity, and availability is at the heart of information security.
Inte heller i den svenska akademiska diskussionen förefaller det finnas konsensus eller ens en särskilt omfattande diskussion om CIA-begreppen.
Det gör att jag särskilt höjer på ett ögonbryn då akademiker på högre nivå utan närmare förklaring anammar satser som den ovan beskrivna utan förtydliganden.
Jag är helt enig i att detta är ett key concept – då borde det förtjäna en behandling på akademisk nivå som motsvarar dess betydelse.
Fördelen med att det saknas etablerade och allmänt accepterade definitioner är att det skapar en frihet att undersöka vilket förhållningssätt som är mest ändamålsenligt och samtidigt logiskt konsistent åtminstone på en basal nivå.
Personligen finner jag inte begreppen tillstånd respektive förmåga som särskilt tydliggörande men möjligen kan en begreppsmodellering där tankarna om detta redovisas på ett öppet sätt uppenbara en logik som jag missat.
Om vi ändå i detta sammanhang kan utgå från att det finns ett antal egenskaper som är centrala för att skapa god informationssäkerhet så är nästa fråga vilka dessa är.
Inte heller här råder den fullständiga enighet om CIA-triaden vilket man ibland kan förledas att tro.
Parkerian Hexad konstruerades redan 1998 av som adderade tre aspekter till den ursprungliga triaden: Authenticity, Availability och Utility.
Även aktuella svenska exempel på kritisk diskussion om CIA triaden.
Det av MSB finansierade forskningsprojektet SECURIT landade bland annat i antologin där ett bidrag ( av Björn Lundgren) starkt ifrågasätter CIA-triaden.
Jag kanske inte är helt övertygad om den modell som forskaren anser borde ersätta CIA-triaden men i detta sammanhang är det ändå viktigt att poängtera att det är väl värt att diskutera frågan.
ISO 27000 öppnar ju också upp för att triaden kan kompletteras med ytterligare egenskaper vilket också sker exempelvis i själva standarden i avsnittet om kryptering.
Noterbart är att ISO-standarderna inte har en konsistent hantering av begreppen sinsemellan trots att de riktar sig mot samma objekt (i detta fall informationshantering).
I SS-ISO 30300 (hantering av verksamhetsinformation) anges målen vara vilket är snubblande nära ISO 27000 men med andra definitioner.
I SS-ISO 15489 (Dokumenthantering) är ett tillkommande mål autenticitet.
Här bör en begreppsmodellering göras, särskilt som SS-ISO 30300 börjat spridas främst genom SKL.
Även här finns alltså ett behov av att göra sig redo för att öppna upp och diskutera om och hur centrala begrepp ska användas.
Själv menar jag att det finns skäl för att se närmare även på autenticitet men här ska jag koncentrera mig på spårbarhet.
Istället för att som nu negligera spårbarhetsbegreppet finns det anledning att lyfta upp det och se hur dess betydelse ökat under de senaste årtiondena och detta i flera dimensioner.
För det första är det den mest självklara dimensionen att på ett säkert sätt kunna följa vad som hänt i informationshanteringen både som en följd av mänsklig aktivitet och som tekniska händelser.
I det allt mer transaktionstäta informationsflödena där en mängd aktörer är detta en alltmer central funktion.
Här gäller detta att även uppfatta egenskapen spårbarhet som en negation, det vill säga att undvika spårbarhet till exempel som skydd för den personliga integriteten.
För att bara räkna upp några krav som inte endast omfattar informationens konfidentialitet, riktighet eller tillgänglighet utan där det också ställer krav på en hög grad av spårbarhet: Kraven på spårbarhet har också en tydlig koppling till konkreta säkerhetsåtgärder där loggning är den främsta åtgärden för att skapa spårbarhet i it-tjänster.
Loggning sker även i ett antal andra typer som i inpasseringskontrollssystem, telefoni, chatt och andra kommunikationslösningar.
I den manuella informationshanteringen kan det behöva finnas rutinerna som bland annat kan omfatta signering, vidimering, kontrollerad versionshantering och kvittensförfarande.
Observera också att om dessa åtgärder inte kan matchas mot ett definierat krav på spårbarhet kan det innebära stora merkostnader, inkräktande på den personliga integriteten och ytterst leda till lagöverträdelser om det inte går att motivera åtgärden.
För att illustrera behovet inom den samhällsviktiga verksamheten sjukvård finns det gott stöd att hämta i det paper som presenterades av Ella Kolkowska, Karin Hedström och Fredrik Karlsson vid Örebro University på en konferens redan 2009: (tillgängligt via DIVA).
Spårbarheten är alltså direkt kopplad till målsättningen för kärnverksamheten och ytterst till patientsäkerheten.
Att då som SKL ta bort spårbarheten ur sitt klassningsverktyg förefaller inte direkt som att anpassa säkerheten efter verksamhetens behov och inte heller att värna sina medlemmars intressen.
Observera också att spårbarhet inte enbart handlar om att spåra användares aktiviteter utan själva informationen.
Här finns en naturlig övergång till de andra syften som spårbarheten kommer att behöva tjäna i allt högre grad.
Den första är för att skapa autenticitet, en kvalitet som blir allt mer uppenbart nödvändig.
Spårbarhet är en tydlig faktor för att kunna skapa autenticitet och oavvislighet vilket är ett krav från arkivsidan.
I den informationshantering som sker i offentlig sektor borde alltså rimligen spårbarhet upphöjas till triadnivå, särskilt sett till kravet på rättssäkerhet och att kunna tillhandahålla information för forskningsändamål.
Jag lämnar nu autenticiteten i förhoppningen att övertygelsen om betydelsen är väl känd.
Istället ska jag skriva om något som tilltar ännu mer i betydelse, nämligen möjligheten att reproducera information.
Idag sammanställs den information som visas på skärmen från ett växande antal källor, olika tjänster och applikationer.
För att kunna reproducera information såsom den såg ut vid ett visst givet tillfälle kommer att krävas allt mer avancerade funktioner av spårbarhet.
Den som har följt ett it-avbrott på närmare håll vet att den inte enbart leder till tillgänglighetsproblem utan även till en rad andra negativa konsekvenser.
En sådan är att man ofta får versionsproblem där blir svårt att säkerställa vilken den senaste versionen av olika informationstyper var.
När fel version av en delmängd körs kan det skapa mycket stora problem där hela tilltron till informationslösningen kan gå om intet.
En fatal variant är när information förlorats utan att det går att spåra att den försvunnit.
För att sammanfatta: jag kan inte se att det finns något stöd för att begreppen tillstånd respektive förmåga är etablerade som beskrivning för olika aspekter av informationssäkerhet utan snarare att skulle vara det mest använda internationellt begreppet vilket också används i ISO 27000.
Det görs heller ingen hierarkisk skillnad mellan egenskaper av den typ som framgår i uppdelningen tillstånd/förmåga.
För att försöka vara vitsig är det svårt att spåra var uppfattningen om tillstånd/förmåga har uppstått och på vilka grunder.
CIA-triadens uppräkning av egenskaper är återkommande diskuterad och kan kompletteras vid behov även enligt ISO 27000 med till exempel spårbarhet.
I detta sammanhang vill jag understryka att en portalprincip i ISO 27000en ska anpassas till verksamhetens behov, det är alltså inte standarden i sig som skapar låsningar.
Om en uppfattning är att standarden kan anpassas till verksamhetens/samhällets behov menar jag att det gör det omöjligt att använda standarden som stöd för nationell (eller lokal) styrning av informationssäkerhet.
Det finns ju liksom inget egenintresse i att följa en standard.
Det skulle behövas en riktigt djupborrande analys på flera nivåer av hanteringen av aspekten spårbarhet i Sverige.
Jag när fortfarande ett hopp om att de som ger uttryck för starka åsikter gällande spårbarhet kan ta sig tiden att utveckla hur de tänker och inte bara konstatera sin uppfattning.
Detta är inte bara en teoretisk tankelek utan frånvaron av spårbarhet eller motsvarande som styrmedel för informationssäkerheten får mycket allvarliga konsekvenser för bland annat hälso- och sjukvård men även för förmågan att upprätthålla kontinuitet, för dataskydd och för det långsiktiga bevarandet.
Ett särskilt problem ligger i att det inte går att ta del av vare sig de resonemang som ligger bakom olika ställningstaganden eller själva standardtexterna eftersom de inte fritt tillgängliga trots att de utgör underlag t.o.m.
för föreskrifter.
Denna bristande offentlighetsstruktur har jag skrivit ett annat blogginlägg om Ett typiskt tecken för en dogm är att bevarandet av dogmen är viktigare än de negativa konsekvenser dess tillämpning får.
Jämför exempelvis med katolska kyrkans dogm att preventivmedel inte är tillåtna.
Dogmen är orubbad trots de uppenbara negativa konsekvenser detta får i form av könssjukdomar och oönskade graviditeter vilket i sin tur leder till illegala aborter med oerhört lidande och död.
I fallet med katolska kyrkan går det ändå att se vem som har ansvar för dogmerna med de dödliga konsekvenserna men vem tar ansvar för dogmer inom informationssäkerhetsområdet och de eventuella konkreta följder de kan få?
Informationssäkerhet är inte en religion och vi har inget stöd av högra makter (tror jag).
Därför när jag en from förhoppning att vi gemensamt ska försöka eliminera de drag av dogmatism som ändå florerar.
För att hantera de enorma säkerhetsutmaningar vi står inför har vi inte råd att bygga säkerhetsåtgärder på resonemang som inte tål att prövas utan vi kommer istället att behöva pröva våra intellekt till det yttersta för att åter och åter hitta de bästa lösningarna.
Och vi måste inse att detta inte är teoretiska övningar utan de val vi gör leder till goda eller mindre goda resultat i praktiken och där det ligger ett stort ansvar på oss som arbetar med informationssäkerhet.
Slutligen kan jag inte undgå att tycka att myndigheter inom informationssäkerhetsområdet är de som tillsammans med akademin måste ta ett särskilt ansvar för bryta ner dogmer och bygga kunskap som samhället kan använda.
Nu ser jag fram emot en mängd kloka motargument!
Sedan jag skrev mitt förra blogginlägg där jag förordade att vi borde införa en starkare gemensam styrning av informationssäkerheten bland annat i form av gemensamma skyddsnivåer samt t.o.m.
ett gemensamt ledningssystem har jag flera gånger fått frågan ”har du kollat på KLASSA?”.
Svaret är ja, det har jag och till och med skrivit på bloggen .
Sedan dess har det skett en viss men som jag ser det så kvarstår de huvudproblem som jag skrev om i det tidigare inlägget.
Att man dessutom tagit bort spårbarhet som en bedömning i klassningen gör ju inte saken direkt bättre (vilket också ett antal personer verksamma i landsting och kommuner upprört framfört till mig).
De mest övergripande invändningarna jag hade var att verktyget bygger på att man klassar system, inte information, och att säkerhetskraven är alldeles för glesa.
Detta kan menar jag leda till att man snarast skapar säkerhetsproblem än förebygger dem eftersom en organisation kan bli invaggad i en falsk trygghet av att ha vidtagit åtgärder när de i själva verket är otillräckliga.
Dessutom stöds samma aktivitet ofta av samma eller snarlik information på olika bärare som i detta exempel från en tämligen harmlös anställningsaktivitet direkt hämtad från verkligheten: Om man då fragmentiserar klassandet till att endast omfatta informationen då den exempelvis befinner sig i rekryteringsverktyget missar man ju att skydda samma information då den förekommer i andra sammanhang.
Ju fler olika typer av tjänster och bärare som används desto viktigare blir det att ha kontroll över informationen oavsett var den befinner sig.
Med tanke på att verktyget är framtaget för kommunal verksamhet blir man litet brydd i detta hänseende när man tänker på vissa av de mest känsliga verksamheterna.
Ta till exempel överförmyndarna där konfidentialitet, riktighet och spårbarhet är oerhört viktiga för att verksamheten ska kunna bedrivas.
Överförmyndarnas informationshantering sker i en komplex mosaik av bland annat enskilda beslutssystem, lagringsytor, papper och mail.
I detta sammanhang är det självklart helt otillräckligt att bara genomföra en systemklassning av ett ärendehanteringssystem.
Man skulle kunna invända att överförmyndarna är en liten och unik verksamhet med specifika krav där man inte kan förvänta sig att generella metoder ska kunna fungera.
Visserligen svarar jag men i grunden gäller detta för de flesta verksamheter inom en kommun eller landsting eller t.o.m.
med en statlig verksamhet oavsett omfattning.
Kraven på säkerhet ligger på alla de bärare, inte bara det som en händelse definieras som ett ”system” (vilket dessutom är alltmer oklar definition sett till dagens tekniska utveckling).
Återigen vill jag propagera för att istället se det som att system och tjänster ska certifieras för att klara vissa skyddsnivåer – inte klassas.
Bortsett från kvaliteten på metoden för klassningen funderar jag över det i mitt tycke oproportionerliga intresse som finns för klassning och incidenthantering.
Samt att detta intresse tar sig uttryck i att klassning respektive incidenthantering ses som fristående aktiviteter och inte som delar i en större helhet.
Det fragmentiserade synsättet går igen i de metoder som presenteras.
Den bärande idéen är att varje organisation med egna resurser och egna värderingar ska styra informationssäkerheten i den egna verksamheten.
Detta menar jag är ett mer och mer verklighetsfrämmande paradigm i en värld där vi i allt högre grad delar information mellan organisationer samt mellan organisationer och individer.
I ett digitalt tjänstesamhälle är det inte den interna säkerheten i den enskilda organisationen som är det mest centrala utan den gemensamma infrastrukturens säkerhet.
Det är ungefär som att i vägtrafiken låta varje transportföretag men även varje individ ta fram sina egna regler och tillämpa dem på de gemensamma vägarna.
Det är klart att man genom frivilliga samordnande insatser och tillsyn skulle uppnå en viss effekt men jag tror de flesta skulle uppfatta det som ett absurt och närmast nihilistiskt trafikpolitiskt förslag.
När det gäller säkerheten i den digitala infrastrukturen är fortfarande en dominerande uppfattning.
I det tidigare blogginlägget om KLASSA ställde jag upp sex krav på en fungerande metod för informationsklassning.
Omättligt krävande som jag är vill jag nu lägga till två ytterligare.
För det första måste metoden vara tillämplig även i ett större sammanhang än i en enskild organisations användning av ett system.
För det andra ingå i en större helhet av systematiskt– att klassa information utan relation till det kretslopp av övriga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering, ansvarsfördelning och uppföljning är inte effektivt säkerhetshöjande.
Särskilt inte om skyddsnivåerna har stora brister.
Informationsklassning är helt enkelt inte sååå viktig i sig.
Men inte ens då tror jag att detta är en särskilt bra väg att gå.
Det inte alldeles enkelt att utföra klassning på ett välavvägt sätt ens med stöd av en bra metod.
Vad som krävs är erfarenhet och kompetens inom informationshantering och risker samt förståelse för hur organisationer fungerar.
Att klassa information är inte att som professor Balthazar stoppa in information i ett rör på en informationsklassningsmaskin och med automatik få ut en färdig klassning.
Därför är det inte en metod där olika organisationer förväntas göra sina egna klassningar en lösning på det mycket stora kompetensunderskottet – kompetensen behövs ändå.
Och om alla gör sina egna bedömningar i en gemensam struktur kan man fråga sig vad som blir resultatet.
En god gissning är att den lägsta nivån blir trendsättande inte minst eftersom om en part har en låg nivå på sina säkerhetsåtgärder riskerar det övriga aktörers säkerhet.
Den som har gjort en större investering riskerar att få denna investering underminerad av den som väljer en lägre nivå – ekonomin i att ändå välja den högre nivån kan starkt ifrågasättas.
Att klassa information är varken så enkelt eller så viktigt som enstaka aktivitet som man ibland vill ge sken av.
Sammantaget vill jag därmed propagera för en mycket starkare styrning av processer, informationshantering och informationssäkerhet där den gemensamma grunden inte är optional.
Vi måste lämna det föråldrade synsättet där ”system” sätts i centrum och istället inse att det är en informationsinfrastruktur som måste hanteras med vederbörlig respekt och med styrande säkerhetsregler.
Kanske har vi förlorat ett decennium av möjligheter att skapa en gemensam informationssäkerhet genom att låta en slavisk tolkning av ISO 27000 kombineras med en flummig samordningstanke.
Det räcker inte med lösryckta initiativ kring olika aktiviteter som klassning utan vi måste se att ebygger på en samverkande helhet av säkerhetsåtgärder.
Om jag ser tillbaka och försöker se var jag fått vägledning i min roll som informationssäkerhetsansvarig så är det första jag kommer att tänka på den Handbok i it-säkerhet i tre delar som Statskontoret gav ut 1997.
Även om den angav att innehållet var it-säkerhet var det i realiteten informationssäkerhet den handlade om, det vill säga den organisatoriska styrningen med hjälp av ett antal aktiviteter.
När jag tittar tillbaka i den är det inte så mycket som förändrats vilket väl får sägas vara en ganska dyster insikt.
Trots att Statskontoret inte hade ett mer renodlat informationssäkerhetsuppdrag tog man även fram ett metodstöd och mallregelverk som skulle hjälpa myndigheter att införa ett ledningssystem för informationssäkerhet.
Stödet kallades OffLIS och kom 2003 som en del i arbetet med ”24-timmarsmyndigheten”.
Krisberedskapsmyndigheten (KBM), inrättades efter vissa förvecklingar 2002 och var en av de myndigheter som 2009 slogs samman till dagens MSB.
I KBM:s uppdrag fanns bland annat att ha det sammanhållande myndighetsansvaret för samhällets informationssäkerhet och att utforma en nationell handlingsplan för informationssäkerhet.
Som en del i detta uppdrag tog man fram metodstödet BITS (Basnivå för it-säkerhet) som var tänkt att fungera som en de facto-standard för offentlig sektor.
BITS introducerades kraftfullt av KBM inte minst i kommunerna och bistod även med en slags konsultstöd samt olika typer av bidrag för att exempelvis höja den fysiska säkerheten och förbättra tillgången till reservkraft till kommunala datorhallar.
OffLIS och BITS slogs ihop 2005 för att få en ökad enhetlighet.
Seklets första årtionde var rörligt när de gällde informationssäkerhet.
Vid sidan om KBM:s uppdrag pågick informationssäkerhetsutredningen, Verva skrev föreskrifter om säkert informationsutbyte och Nämnden för elektronisk förvaltning tillsattes 2003 med uppgiften: ” att stödja utvecklingen av ett säkert effektivt elektroniskt informationsutbyte mellan myndigheter och mellan myndigheter och enskilda genom att beslut om vilka standarder för informationsutbyte myndigheter under skulle använda sig av” vilket ju låter välbekant.
Trots att frestelsen är stark ska jag inte gå längre in detta just nu utan bara konstatera att BITS var synnerligen populärt inte minst hos kommuner och efterfrågades långt efter att MSB valt att avveckla stödet.
Ett antal kommuner hänvisar fortfarande i sina styrande dokument till BITS (det är bara att googla och kolla).
Vad var det då som gjorde BITS så populärt?
En vanlig uppfattning bland de kommunala företrädare jag diskuterat frågan med var att BITS gav dem enkla handfasta regler och en tydlig lägstanivå att förhålla sig till.
Utifrån de resurser som står till buds i en liten eller medelstor kommun har detta setts med viss tacksamhet, särskilt då stödet åtföljdes med ett visst konsultativt och ekonomiskt bistånd.
Själv har jag varit skeptisk.
Ett skäl var att BITS var så inriktat på it-säkerhet (även om man vid revideringen 2006 gjorde en strukturell anpassning till ISO 27000).
Ett annat att en tillämpning av BITS leder till en basnivå medan det verkliga behovet i en kommun (liksom i andra organisationer) är att kunna ha olika nivåer av skydd beroende på informationens och verksamhetens karaktär.
Framförallt har jag tyckt att man riskerar att missa den unika organisationens behov.
BITS övergavs också av KBM och sedermera MSB.
Idag är utgångspunkten för de stöd som tas fram att varje organisation ska starta från noll och ta fram sitt eget ledningssystem med alla delar.
Den enskilda organisationen erbjuds det som kallas metodstöd eller delmängder som stöd för att klassa system.
Bara i offentlig sektor innebär det att över 400 myndigheter, 290 kommuner och 21 regioner själva ska ta fram och förvalta respektive ledningssystem, metoder för risk-och kontinuitetshantering och skyddsnivåer.
Detta är en enorm arbetsinsats som dessutom kräver att varje myndighets/kommuns/landstings ledningssystem måste översättas vid samarbeten.
Till detta kommer alla andra nödvändiga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering,….
Objektivt sett kommer detta inte att vara möjligt att genomföra eftersom det inte finns tillgänglig kompetens i en omfattning som ens är i närheten av vad som skulle behövas.
Min uppfattning är att en dellösning på den annars omöjliga ekvationen med starkt ökande krav på systematiskti kombination med en mycket påtaglig brist på tillgänglig kompetens är en ökad standardisering.
Jag har därför börjat ompröva min tidigare inställning.
Som en följd av detta tror jag det dags att ta fram en ny inriktning där en omvärdering göras av de tankar som låg bakom BITS och även OffLIS kan ingå som ett första steg.
Då menar jag inte att en revision av BITS eller en återstart på OffLIS.
Snarare att seriöst analysera vilka delar av esom kan standardiseras i olika typer av organisationer.
Ett nytt koncept borde istället vara inriktat på s. Jag ska här bara skissa upp några punkter där en standardisering skulle kunna ske och ge mycket stora samordningsvinster.
För enkelhetens skull så kan vi ta kommunerna som exempel.
Det är också lämpligt eftersom kommunerna har mycket komplexa säkerhetsbehov som är mycket svåra att hantera för den enskilda kommunen, inte minst för de små och medelstora kommunerna.
De svenska kommunerna har tio obligatoriska uppgifter, det vill säga uppgifter som de enligt lag ska utföra oavsett kommunens storlek och resurser.
Dessa uppgifter genomförs på olika sätt i olika kommuner och i olika organisatoriska konstruktioner.
Men processens olika aktiviteter är i stort sett de samma i flera av dessa obligatoriska uppgifter.
Att söka plats på förskolan eller att administrera den politiska beslutsapparaten innehåller samma moment och i stort samma information om än med olika benämningar.
För att underlätta för kommunerna skulle följande kunna göras nationellt: Naturligtvis bör det framgå att organisationen måste göra egna riskbedömningar och att det enbart är förslag.
Ändå skulle detta vara en mycket värdefull hjälp för kommunerna som också skulle kunna tillämpa grundmodellen för informationsklassning med skyddsnivåer för den unika information som kan utöver de standardiserade förslagen.
Låter mycket att ta fram nationellt tänker ni kanske.
Betänk då att alternativet är att ta fram detta i 290 kommuner, i många fall utan tillräcklig kompetens och resurser, och då få fram inkompatibla lösningar.
Sannolikheten för att flertalet kommuner inte klarar uppgiften och istället får skämmas i rapporter från MSB och Riksrevisionen är inte direkt låg.
Jag menar därför att det är en mycket rimlig investering att skapa nationella lösningar där det faktiskt går.
Hur dessa lösningar ska tas fram och vem som ska ansvara för utveckling och förvaltning tål att diskuteras.
Kanske är en stiftelse där även privata aktörer skulle kunna ingå ett alternativ?
För mig är informationsförvaltning och informationssäkerhet nära sammanhängande frågor med många gemensamma förutsättningar och problem.
Det största gemensamma problemet är kanske att de sällan integreras sinsemellan och inte heller med det som kallas digitalisering.
Eftersom jag fått uppdrag att skriva en bok om dessa frågor började jag fundera på hur jag skulle få en bättre bild av hur sambanden ser ut i praktiken.
En fråga som utkristalliserade sig var e-arkiv som en del av informationsförvaltningen.
För att kunna förstå frågan på rätt sätt är det viktigt att först analysera betydelsen av ”arkiv” och därmed av ”e-arkiv”.
Trots att det både säljs och köps s.k.
e-arkivlösningar finns det ingen definition av vad detta skulle kunna vara.
Jag kommer att återkomma till denna fråga i ett senare inlägg men här nöjer jag mig med att utgå från att e-arkiv är en process för att långsiktigt bevara digital information med autenticitet, spårbarhet, konfidentialitet, sökbarhet samt med processuella värden i behåll.
Samtliga dessa krav kan finnas i olika grad beroende på den information som ska bevaras.
Den som delar min bedömning om vad ska ses som ett e-arkiv är sannolikt beredd på att acceptera att informationssäkerhet och e-arkiv har starkt inbördes beroende.
Min utgångspunkt är också att en stor del av allmänna handlingar ska bevaras över tid liksom en inte obetydlig del av den information som produceras i privata verksamheter.
Även om kraven på konfidentialitet och tillgänglighet i de flesta fall klingar av så är ändå slutsatsen att e-arkivlösningar måste kunna erbjuda minst lika bra informationssäkerhet som de digitala lösningar som hanterar informationens mer aktiva skeden.
För e-arkivet ökar istället kraven på autenticitet som kan sägas vara en kombination av spårbarhet och riktighet.
Genom den aggregering av information som planeras i många e-arkivlösningar ökar också kraven på att skydda mot obehörig åtkomst.
Utan att utveckla detta ytterligare så måste med dessa förutsättningar ett mycket aktivtomge e-arkiven med riskanalyser och informationsklassning m.m.
på minst samma nivå som för andra digitala lösningar.
I en allt mer digital värld är jag också mycket nyfiken på hur dessa frågor ska lösas nationellt och om vi inte måste tänka på ett annat sätt när det gäller det långsiktiga bevarandet än vad vi gjort när det gäller pappershandlingar.
För den oinvigde har Riksarkivet varit slutarkivet för de allmänna handlingar som produceras i statliga myndigheter som i långsam process likt sedimentering vandrar från aktivt skede via mellanarkiv till slutlagring.
Digitaliseringen gör hela denna process onödig, de digitala handlingar som ska bevaras för eftervärlden skulle kunna överföras till slutarkiv i samma ögonblick som de skapas och en kopia hanteras i verksamheten.
Ändå tycks tankegången fortfarande var densamma i praktiken och någon slags mellanarkiv för digital information byggas upp av Statens Servicecenter som outsourcar tjänsten till något av de stora leverantörerna.
Jag ställer mig frågande till hela tanken i detta, att tjänsten byggs upp inte av den myndighet med ansvar och kompetens inom arkivområdet utan en annan, men också inför hur erbjudandet eller påbudet uppfattas av de myndigheter som förväntas delta.
Detta är bakgrunden till att jag i början av 2018 skickade ut en enkät till samtliga myndigheter, regioner/landsting och kommuner med följande frågor: Har ni tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1?
Om ja skulle jag, om möjligt, vilja ta del av den.
Har ni en egen e-arkivlösning eller planerar ni att köpa en tjänst för det eller på annat sätt anlita utomstående?
Om ni planerar att köpa en tjänst eller anlita utomstående: ser ni det som ett mellanarkiv?
Vilken tidshorisont har ni för nyttjandet av tjänsten?
Har ni en Plan för informationssäkerhet enligt 6 kap RA-FS 2009:1?
Om ja skulle jag, om möjligt, vilja ta del av den.
Om/när ni tagit fram en egen e-arkivlösning alternativt anlitat utomstående för tjänsten, har detta då föregåtts av en riskanalys och informationsklassning?
Vilka är, som ni ser det, de viktigaste kraven på informationssäkerhet när det gäller e-arkiv?
Ur offentlighetsperspektivet är svarsfrekvensen dyster för detta är hur många som svarat till dags dato trots att förfrågan även innehöll en begäran om att få ta del av allmän handling: 62 kommuner (21 % av samtliga tillfrågade) 8 regioner/landsting (40 %) 86 myndigheter (24 %) Några noteringar kan göras rörande de svarande.
Bland kommuner är det påfallande att det snarare är de små kommunerna som ansträngt sig för att svara än de medelstora eller stora.
Bland myndigheterna har universitet och högskolor varit exceptionellt bra på att svara (75 %).
Av de myndigheter som ingår i eSam som är ”ett medlemsdrivet program för samverkan mellan 24 myndigheter och SKL.
Samarbetet syftar till att underlätta och påskynda digitaliseringen av det offentliga Sverige.” och som bland annat drivit på frågan om öppna data är det knappt hälften av de ingående myndigheterna som svarat på enkäten.
Här skulle man kanske kunna önska litet mer av att leva som man lär och en vilja att förmedla information även i praktiken.
Hela tanken så som den formuleras idag är att ett ”e-arkiv” på något sätt är en applikation i egen regi, i samverkan, hos en myndighet eller i form av en molntjänst.
Därför tyckte jag också att det var intressant att ställa frågor till olika typer av leverantörer hur de formulerat säkerhetskraven på sina lösningar.
Här var svarsfrekvensen extremt låg när jag ställde dessa frågor: Kan ni redovisa på vilket sätt ni arbetat med informationssäkerhet i tjänsten?
Vilka ser ni som de främsta informationssäkerhetsriskerna kopplade till tjänsten?
Kan ni erbjuda tjänsten på olika skyddsnivåer?
Är alla typer av information möjlig att hantera i dem?
Vilka krav ställer ni på eventuella underleverantörer?
Hur ser ni på ert ansvar i förhållande till användarna av tjänsten då det gäller att uppnå tillräcklig informationssäkerhet?
Har ni ett eget internt ledningssystem för informationssäkerhet (LIS)?
Har ni en utpekad informationssäkerhetsansvarig i er organisation?
Har ni ett eget standardförslag på personuppgiftsbiträdesavtal och är det i så fall möjligt för mig att få ta del av?
Är tjänsten planerad för att klara NIS-direktivet och civilt försvar?
Jag har på dessa frågor inte fått ett enda svar som inte varit av typen ”varför ställer du de frågorna” eller ”kan vi ta det per telefon istället”.
Statens Servicecenter var dock mycket snabba och tillmötesgående och skickade över kravspecifikationen de använt när de försökt upphandla tjänsten e-arkiv.
Min slutsats är att leverantörerna: Inte fått tydligt formulerade säkerhetskrav på sina tjänster Inte har tagit fram ett generellt presentationsmaterial som redovisar vilken säkerhet som deras tjänster erbjuder.
Att säkerhet i tjänsten inte är självklara frågor ser jag som mycket bekymmersamt och som en klar brist på mognad hos dessa tjänster vilket också komplicerar situationen för särskilt mindre organisationer som planerar att upphandla ett ”e-arkiv”.
I nästa blogginlägg kommer jag att redovisa de svar som inkommit från kommuner, landsting/regioner och myndigheter.
Som jag litet surt påpekat några gånger är kunskapsgrunden fört påfallande svagt.
Det är därför en händelse av stort intresse när en ny forskningsantologi inom informationssäkerhetsområdet publiceras som nu då presenteras.
Än mer så när den är inriktad på organisation och inte enbart teknik som den övervägande del av de svenska forskningsinsatser varit.
Antologin bygger på resultatet från ett antal olika forskargrupper som finansierats av MSB i ett femårigt forskningsprogram relaterat till frågor om informationssäkerhetskultur.
I programmet genomfördes en omfattande enkätundersökning som använts av flera av de ingående forskningsgrupperingarna.
Att det är ett konglomerat av olika discipliner som deltagit är både en styrka och en svaghet i antologin.
Styrka eftersom det ger en i delar ny och intressant belysning av informationssäkerhet, svaghet då den röda tråden i antologin känns väl tunn och att det mer har handlar om paketering än en reell knytning till just säkerhetskultur.
Att det inte är ett inarbetat forskningsområde visar sig också i att den litteratur som använts i förvånande hög grad är utgiven för tio år sedan eller mer.
Först två allmänna reflektioner efter genomläsning.
För det första beskrivs informationssäkerhet påfallande ofta direkt och indirekt som en statisk entitet, d.v.s.
på ett icke-relationellt sätt, som här t.ex: Informationssäkerhetskultur kan vara bra såväl som dålig.
Den är bra om den gynnar .
Jag menar att informationssäkerheten inte är ett värde i sig utan att det är organisationens intressen som ska gynnas av informationssäkerhetskulturen, d.v.s.
att den goda informationssäkerhetskulturen stödjer organisationen i att identifiera sitt behov av olika informationssäkerhetsåtgärder.
Den andra reflektionen är den i mitt tycke en övertro på regelstyrning.
I några av inläggen framstår det som att informationssäkerhetskulturens främsta och möjligen enda uppgift är att motivera medarbetarna att följa regler.
Med erfarenhet från att vara informationssäkerhetsansvarig alternativt konsult i rätt många organisationer har jag upplevt att det stora behovet av säkerhetskultur är att den lägger grunden för en dialog om informationssäkerhet.
Verksamheten måste vara involverad eftersom det är den som känner de egentliga behoven av säkerhet men behöver hjälp med att kanalisera dem och över huvud taget definiera dem som säkerhetsrelaterade.
I detta är exempelvis verksamhetens förmåga och intresse av att uppmärksamma risker och kommunicera dem.
Och när det gäller styrningen är det också aningen förvånande att ledarskap inte diskuteras – när organisationskultur i allmänhet brukar ses som i en nära samvariation med ledarskap.
Här tänker jag inte enbart på det generella ledarskapet i en organisation.
Minst lika viktigt är det ledarskap som de som arbetar med informationssäkerhet utövar både nationellt och i sina respektive organisationer.
Min uppfattning, som saknar vetenskapligt belägg, är att detta ledarskap fortfarande är starkt präglat av en patriarkal kultur hämtad från en militär-polisiär tradition som är illasittande i de flesta moderna organisationer.
Detta kommer ytterligare att förstärkas när Metoo-revolutionen, som inte bara handlar om sextrakasserier utan även manligt maktmissbruk bland annat på arbetsplatser, rullar vidare.
Några av inläggen läser jag med känsla av: var det inte mer?
Det är inte sååå upphetsande med en slutsats som att tjänstemän som arbetar i regelföljande organisationsklimat anammar informationssäkerhetsregler bättre än tjänstemän i organisationer utan detta klimat.
Eller att informationssäkerhetskulturen gynnas av att ledningen uttrycker att informationssäkerhet är en viktig fråga för organisationen (även om detta ändå touchar ledarskapsfrågan som jag tidigare skrev att jag saknade).
I andra fall blir jag uppriktigt förbryllad.
Avsnittet om ”praktikanpassad informationssäkerhetspolicy” blandar alla nivåer av styrande dokument på ett sätt som jag som strukturfascist känner mig ytterst obekväm med.
Bara att skriva informationssäkerhetspolycier i plural … Ett annat exempel som leder grubbel är detta: Historiskt sett baserast på tre tekniskt orienterade principer: , och .
Författarna vill komplettera dem med ”organisatoriskt orienterade och beteendebaserade principer som ansvar, rollintegritet, förtroende och etiskt handlande”.
Jag gillar känslan av att få mattan undanryckt under fötterna, för mig har aspekterna konfidentialitet, riktighet, tillgänglighet och spårbarhet varit definitioner av vad som ska uppnås i tillräcklig grad med både organisatoriska och tekniska åtgärder.
Tyvärr kan jag inte säga att den nya vinklingen som författarna från Handelshögskolan i Örebro lanserar känns uppenbar ens vid en närmare genomläsning.
”CIA”-begreppen ifrågasätts även av filosofen Björn Lundgren som vill ersätta dem med den s.k.
Trots att jag har en del högskolepoäng i filosofi går mig delar av hans resonemang förbi, kanske för att jag fastnar på ett tidigt skede eftersom det förefaller som om hans utgångspunkt är att det finns ett läge där information är ”säker”.
I min uppfattning strider detta mot det riskbaserade säkerhetsarbetet där det snarare handlar om att rikta in sig mot ett ständigt rörligt mål och få en acceptabel riskmiljö.
Andra inlägg är mer givande.
Den etnologiska studien av den konfliktfyllda kultur som råder runt framtagandet av informationssäkerhetsstandarder bör leda till eftertanke men har också vissa (ofrivilligt?)
komiska inslag.
Flera av inläggen handlar om informationssäkerhet i hälso- och sjukvård och det är kanske här antologin är som mest intressant särskilt med den tydliga kopplingen till integritetsfrågor.
När nu många nya aktörer börjat visa intresse för integritetsfrågor i samband med dataskyddsförordningen har det ett generellt intresse.
Jag ska därför göra en fördjupning rörande ett av antologins inlägg.
Jag har i olika sammanhang ifrågasatt säkerheten och hanteringen av personuppgifter i den nationella tjänsten Hälsa för mig och kan därför säkert uppfattas som jävig men vill ändå hävda att Peter Johanssons och Sofie Hellbergs bidrag som handlar om den tjänsten är det mest givande avsnittet i antologin.
Detta inte enbart för att sjukvårdens informationssäkerhet och hantering av integritetsfrågor är så viktiga i sig utan också för att de frågeställningar de lyfter fram kan generaliseras.
Bidraget inleds med en effektiv genomgång av tidigare forskning om integritet samt om några möjliga synsätt.
Själva förordar de ett s.k.
kontextdrivet förhållningssätt i motsats att försöka skapa en allomfattande och evig definition av integritetsbegreppet: Vi delar uppfattningen om att nyckeln till att förstå och hantera personlig integritet ligger det sammanhang där integritetsfrågorna uppstår.
En fördel med detta förhållningssätt är att man redan i designfasen av nya tekniker och system kan inkludera skydd för den personliga integriteten eller sätt upp regler kring nya teknikers användningsområden.
Utan ett sådant kontextdrivet förhållningssätt finns en risk att man vare sig kan identifiera eller hantera situationer där den personliga integriteten .
Detta stämmer väl med privacy by design (som ju föreskrivs i dataskyddsförordningen) även om jag hellre skulle beskriva det som privacy by design i än i system.
Forskarna identifierar de två parallella trenderna där accelererande mängder information insamlas och bearbetas samtidigt som individen får en ökad tillgång till information om sig själv.
Med denna bakgrund studerar forskarna den tidigare regeringens satsning på tjänsten Hälsa för mig.
Hur ansvaret för säkerhet och integritet ska fördelas i det informationshanteringslandskapet är inte uppenbart vilket caset med Hälsa för mig visar.
Att trycka ner ansvaret till individen med krav på hen själv ska ”styra” sin integritet har varit en bekväm lösning som myndigheter och tjänsteleverantörer.
Individens möjlighet att göra rimliga avvägningar är av flera skäl mycket begränsad av att hen inte kan överblicka användningen av informationen, konsekvenserna av detta och dessutom är i ojämn maktrelation med leverantören av tjänsten.
En egen reflektion är att författarna i marginalen låter ett inslag i den kultur som formats runt e-hälsa skymta fram när man skriver: Att personlig integritet är något som kan upplevas stå i vägen för e-hälsoutvecklingen har vi noterat vid olika e-hälsokonferenser.
Där har vi lyssnat på olika talare som raljerat över ”integritetsivrare”, vilket vi uppfattar som mycket problematiskt då det appliceras svepande på bland annat läkare och patientföreningar som representerar särskilt sårbara .
Potentiellt negativa effekter för integriteten tonas .
Detta är en kultur jag känner igen sedan åtminstone början av nittiotalet.
Som verksam inom informationshanteringen i vården blev jag vittne till ett tydligt perspektivskifte.
Från att tystnadsplikt och integritet hade varit kärnvärden i läkarkåren och vården i stort skedde en snabb relativisering (ja, jag vet att allt inte var idealiskt tidigare heller men pratar här om de uttalade etiska ståndpunkterna).
Relativiseringen av integriteten blev ett förhållningssätt som funnits med i digitaliseringsprocessen av vården ända sedan dess begynnelse, där det har målats upp en motsatsställning mellan patientsäkerhet och integritet.
Bakgrunden till detta är att det har funnits en motvilja hos sjukvårdshuvudmän, vårdgivare och systemleverantörer att göra den insats som krävs för att få en styrning av informationshanteringen och systemen/tjänsterna så att båda dessa värden kan uppnås samtidigt.
Min uppfattning är att denna relativisering främst bottnade i att sjukvårdshuvudmännen m.fl.
inte prioriterade att ta fram organisatoriska beskrivningar av hur ”vårdrelation” ska definieras, d.v.s.
vilka medarbetare som verkligen har anledning att ta del av den enskilda patientens vårdinformationen.
Detta kompletterat med att systemleverantörerna inte klarade av att leverera digitala lösningar med en för ändamålet avpassad behörighetshantering gjorde att den personliga integriteten framställdes som ett hinder för verksamheten och ett hot för patienten.
Ett tydligt tecken var den ständigt återkommande bilden på konferenser och andra sammanhang där det beskrevs hur en medvetslös patient kommer in på akuten och personalen p.g.a.
att patienten kan ge samtycke inte kommer åt information som överkänslighet eller annan medicinsk bakgrund med följd av att patienten avlider.
Att flertalet patienter inte är medvetslösa, inte på akuten och att behörighetsstyrningen kan ske situationsanpassat försvann i detta scenario som gjorde det överväldigande tydligt för många att integritet är av ondo.
En rådande doktrin var också att behörighetsstyrning var onödigt och att loggning var lösningen på kontroll av åtkomst.
Att loggning i detta syfte skulle kräva att det är mycket tydligt vem som har åtkomsträtt, d.v.s.
i princip samma förutsättning som för den behörighetshantering som man sa sig inte kunna åstadkomma, förträngdes.
Effekten blev usel informationssäkerhet samt att etiken och i förlängningen lagstiftning anpassades efter organisatoriska och tekniska brister.
Detta vore ytterst intressant att läsa om i en forskningsstudie.
Den inneboende paradoxen med självstyrd integritet samtidigt som individen inte har det egentliga valet eller möjligheten att styra begränsningen av användningen av personuppgifter är inte unik för Hälsa för mig.
Den möjlighet att spärra uppgifter som patienten fick i patientdatalagen (PDL) 2008 har i praktiken inte realiserats utan på många sätt motarbetats av vårdgivare.
Bidraget om Hälsa för mig och den bristande integritetsanalysen i det projektet illustrerar en historisk utveckling formad genom tekniska ofullkomligheter men därefter stödd av en säkerhetskultur som legitimerar den bristande säkerheten, ja rent av gör den till en dygd.
Den bristande analysen i fråga om integritet i Hälsa för mig har lett till att Datainspektionen listat ett antal förelägganden som måste åtgärdas innan tjänsten kan tas i bruk.
E-hälsomyndigheten har överklagat detta till f men i dagsläget verkar det oklart om tjänsten kommer att kunna tas i bruk.
För mig är detta antologins absolut viktigaste bidrag när det gäller att vissa betydelsen av en positiv respektive negativ informationssäkerhetskultur.
Dessutom att den kulturella påverkan på intet sätt är begränsad till en enskild organisation utan kan omfatta en hel sektor.
Här finns verkligen möjlighet till vidare forskning.
I dessa dataskyddsförordningstider är det också av stor betydelse att visa att integritet inte handlar om teknikaliteter utan om kultur och värderingar.
Sammantaget illustrerar antologin ett spretigt kunskapsområde med oklar teori och en ganska lång väg kvar att gå.
Svaret på frågan i rubriken tycker jag mig kunna se som: ja, det finns både positiv och negativ informationssäkerhetskultur och vi måste förstå mer för att kunna stärka den positiva kulturen.

Merparten av informationsmängderna är även de att betrakta som tämligen generiska Merparten av informationen hanteras i pappersform, detta särskilt i kritiska aktiviteter i processen En stor del av informationen finns på flera bärare samtidigt I hela processen är spårbarheten är essentiell för patientsäkerheten Har den här åtgärden en säkerhetshöjande effekt som står i paritet med den kostnad och krångel som den orsakar verksamheten?
Är den här åtgärden verkligen avpassad till och tar hänsyn till verksamhetens egentliga behov av säkerhet?
Indirekt: vet jag som vill lansera den tillräckligt mycket om verksamhetens behov för att kunna avgöra det?
Kommer den här åtgärden verkligen att fungera i praktiken eller är den en ren pappersprodukt?
Och kommer den även att fungera över tid, t.ex.
när konsulten lämnat skeppet?
Finns det verkligen inte ett effektivare sätt att reducera risken till en acceptabel nivå?
Överenskommelse om kommunernas krisberedskap (dnr MSB 2018-09779) Överenskommelse om kommunernas arbete med civilt försvar (dnr MSB 2018-05681) Bilaga 1 omfattas av försvarssekretess (15 kap.
2 § offentlighets- och sekretesslagen (2009:400) och lämnas inte ut.
Tillförlitlighet Äkthet Integritet (oförändrad) Användbarhet avtalshantering ansvarsutkrävande interna kontrollsystem upptäckt av avvikelser teknisk övervakning dataskydd patientsäkerhet medarbetares integritet medarbetares rättssäkerhet brottsutredning forensik fysiskt skydd Ta fram en grundmodell för informationsklassning inklusive skyddsnivåer.
Observera att skyddsnivåerna är den stora tunga uppgiften som kommer att kräva långsiktig förvaltning men som kan användas även andra organisationer t.ex.
som stöd för att efterleva NIS-direktivet.
Ta fram en certifieringsinstitution där leverantörer kan certifiera sina tjänster och system på olika skyddsnivåer.
Ta fram ett antal standardprocesser utifrån de obligatoriska uppdragen Identifiera informationen i dessa processer.
Ge stöd för att kartlägga vilka bärare som används för att hantera informationen.
Observera att det inte enbart gäller system och tjänster utan även andra bärare.
Ge förslag på en standardklassning av informationsmängderna.
Med detta som utgångspunkt kan ut skyddsnivåerna plockas fram krav både på den egna verksamheten, egen it och på externa leverantörer av tjänster.

ha kontroll över sin information normerande klassning och vad hur.
hur En av nätläkarna tycker att det verkar ha varit en bristfällig konsekvensanalys inför beslutet och att det är märkligt att SKL:s handlingar inte omfattas av offentlighetsprincipen.
integrity inte sina sina sina

Meny Informationsklassning Inläggsnavigering

Integritet och hälso- och sjukvård

MENU MENU Postat av MSB fick den 19 september 2019 i uppdrag av regeringen att ta fram en struktur för uppföljning av det systematiskat i den offentliga förvaltningen.
Uppföljningsstrukturen ska syfta till att aktörer i offentlig förvaltning regelbundet ska erbjud as att medverka i uppföljningen och få återkoppling som omfattar en bedömning om vilken nivå derasbefinner sig på samt förslag på åtgärder som bör vidtas för att uppnå en högre nivå påt.
Uppföljnings strukturen ska även syfta till att MSB regelbundet ger regeringen en samlad bedömning om nivån på det systematiskat i den offentliga förvaltningen.
Postad i , , , , Tagged , , , , Postat av Postad i , , , , Tagged , , , , , , , , , Postat av Postad i , , , Tagged , , , , , , , Postat av Aaron Antonovsky på 1960-talet och innebär i korthet att om omvärlden ter sig begriplig, hanterbar och meningsfull så har du lättare att hantera svåra situationer.
Jag menar att det organisatoriska minnet är en betydelsefull del i om vi upplever kasam eller inte på vår arbetsplats.
Bättre rutiner för att ta fram och återanvända meningsfull dokumentation ökar vår förmåga att känna delaktighet och motverkar stress.
Detta är inte på något sätt oväsentligt i dessa dagar då allt fler mår dåligt på jobbet.
Postad i , , Tagged , , , Postat av Postad i , , , , Tagged , , , , , , , Postat av Postad i , , , Tagged , , , , , , Postat av Postad i , , , , Tagged , , , , , Postat av Postad i , , , , Tagged , , , , , , Postat av Postad i , , , Tagged , , , , , , Postat av Postad i , , , Tagged , , , ← Sök efter:

Tack Calle Lilius för bilderna!
Statlig förvaltningspolitik för 2020-talet tillstånd förmåga egenskaper egenskap Informationssäkerhet och organisationskultur Vad är säker kultur Information Security Goals in a Swedish Hospital egenskap Informationssäkerhet och sekretess riktighet tillgänglighet processer

Jag kommer nu att ikläda mig rollen av glädjedödare i dessa ändå så svåra tider – jag ber om ursäkt för det.
Under de senaste veckorna i coronans tid så blommar olika personligheter och mänskliga beteenden för att hantera kriser ut.
I denna vilda blandning av känslor och rationalitet är det inte lätt att urskilja vad som är vad.
Jag tänker nu oftare än vanligt på hur viktigt individens men också organisationens sätt att agera varit i de mer kritiska situationer jag varit inblandad i och vem jag skulle vilja ha vid min sida i en verkligt akut situation.
Att inte låta känslorna styra i en krissituation kan nog alla hålla med om i teorin.
Vi vet att stress försämrar vår tankeförmåga och att det därför i krissituationer är lätt att tillgripa helt fel lösningar eller missa uppenbara svagheter i handlingsalternativen.
Likaså är historien rik på exempel där boten varit värre än soten, d.v.s.
att de åtgärder man vidtagit för att hantera ett akut problem på kort eller lång sikt lett till värre konsekvenser än det ursprungliga problemet kunnat orsaka.
En illustration på detta är agapaddan som trettiotalet importerades till Australien från Hawaii som ett slags biologiskt bekämpningsmedel av en skalbagge som hotade sockerbetsodlingar.
Nu finns det över 100 miljoner av den giftiga paddan som hotar djur- och växtlivet på hela kontinenten.
Detta försvåras av att de sekundära problemen kanske uppstår inom ett helt annat område än där den ursprungliga krisen rör sig.
De som arbetar med krishanteringen kan därmed inte överblicka de möjliga sekundära konsekvenserna eftersom man kanske inte ens har rätt kompetens för att upptäcka dem.
Jag ska inte här gå in på det utslitna filosofiska järnvägsproblemet där olika liv ställs mot varandra utan nöjer mig med att säga att ALLA mår bra av att läsa filosofi och dessutom tänka några extra varv.
När vi blir utsatta för en pressande situation får många individer och organisationer ett starkt behov av att agera.
Att agera är ångestdämpande i sig för det ger känslan av att påverka hotet oavsett effekten av åtgärderna.
Just här menar jag att det just nu finns ett riskabel situation när både individer och myndigheter i positiv anda försöker bekämpa coronan eftersom man i vissa fall tycks släppa sitt ordinarie säkerhetstänkande (vilket väl i ärlighetens namn inte är på toppnivå ens i normalläget).
Samma sak med integritet och skyddet av personuppgifter.
De nya och provisoriska arbetssätten leder till nya risker som måste fångas upp och reduceras.
Anekdoter om hur man helt plötsligt fått oväntat besök i sitt Teams- eller Zoom-möte florerar utan att det observeras som ett säkerhetsproblem.
Okritiska reportage om hur kreativa elever fått skolor att börja använda (!)
i skolans uppgifter.
Entreprenörer som flashar om att de håller på att utveckla appar för smittspårning.
Säkerhet och integritet nämns ytterst sällan och då bara i formuleringar som ”liv går före allt” vilket implicit tycks betyda ”vi struntar i informationssäkerhet och integritet”.
Extra betänksam blir jag av att många tycks inspirerade av Kinas övervakningsmetoder och i denna uppskruvade anda inte tycks se vad de kostar.
När det i fredags kom ett kort meddelande på Ekot att MSB håller på att ta fram någon form av app för smittspårning åt FHM men inte vill kommentera hur den ska utformas undrar jag hur genomtänkt den lösningen egentligen är (särskilt ironiskt med tanke på att MSB varit en bastion spårbarhet som säkerhetsdimension).
Eller är detta myndigheter som drabbats av ett akut behov av att se verksamma ut och därför är beredda att hoppa över säkerhetsskacklarna?
Det är svårt att se hur en sådan lösning skulle kunna tas fram med tillräcklig legal och säkerhetsmässig analys på så kort tid.
När jag pratar om vikten av säkerhet avser jag inte enbart konfidentialitet.
Om man ska skapa olika rapporteringstjänster måste även behovet av riktighet, spårbarhet och tillgänglighet bedömas – annars riskerar man faktiskt att få lösningar där boten är värre än soten.
En lösning för akut rapportering som bygger på sms (förekommer faktiskt) leder till falsk trygghet och att nödvändiga åtgärder kanske inte sätts in för att ta ett enkelt exempel.
Det är just i krissituationer som det systematiskat prövas.
Det är nu som informationsklassningar och riskanalyser har som störst betydelse för att medvetna risker ska kunna tas av den som är riskägare.
Jag vill inte att all kreativitet och god vilja ska kväsas men vi måste arbeta på ett sätt som inte leder till större skador på sikt.
Även om det är kontraintuitivt så måste medvetna bedömningar göras av risker och lagstiftning respekteras.
Appar som används för rapportering av symptom för diagnos är exempelvis medicinsk-teknisk utrustning och måste uppfylla kraven på sådan.
Vi kan inte ge oss hän åt våra känslor utan måste låta systematiken ge oss tillgång till rationaliteten.
Extra illa om en myndighet som MSB signalerar att säkerhet skulle vara av underordnad betydelse i krislägen.
Det är nu vi som mest behöver vårt förnuft och då är det inte alltid bäst att göra ”något” utan vi måste göra så rätt som möjligt.
It-incidenter och andra störningar som påverkar informationshanteringen är och kontinuitetshantering i ett informationssäkerhetsperspektiv är en allt hetare fråga.
Detta förstärks naturligtvis av att vårt beroende till informationshanteringen är i ständig tillväxt liksom riskerna, både de medialt tacksamma antagonistiska hoten och de mer vardagliga som uppdateringar som misslyckas, buggar och hårdvaruproblem.
Utan tillgång till information och kommunikation befinner sig organisationer snabbt i krisläge.
Stora resurser ofta behövs för att åtgärda orsaken till incidenten och för återställelse till normalfunktion men också för att upprätthålla verksamhetsprocesserna med reservrutiner.
I idealläget finns en planering för åtgärder, återställelse och verksamhetsprocessernas reservrutiner samt, inte minst viktigt, för kommunikation med medarbetare och externa intressenter.
Planerna är övade, samordnade och ständigt förbättrade.
Organisationen är också medveten om att det inte bara är tillgängligheten som påverkas av avbrottet, det finns även stora risker för obehörig åtkomst och för negativa konsekvenser för riktighet och spårbarhet.
I verkligheten är i idealläget ganska långt borta vilket inte bara är en personlig erfarenhet utan framgår också från de undersökningar som gjorts av statliga myndigheter och kommuner.
Hur det står till i privata företag finns det ingen lika heltäckande undersökning av men indicierna är starka på en liknande situation även där.
Tyvärr gäller detta även verksamheter som allmänheten har stora förväntningar på ska kunna fungera även under svåra omständigheter, som sjukvården.
Den kanske mest genomarbetade analysen av dessa litet skrämmande förhållanden gjordes av Tom Andersson i en mycket intressant av läkemedelshanteringen i Västra Götalandsregionen.
Utöver de reflektioner som Tom Andersson själv gör i studien finns det några övergripande faktorer som jag anser gör det svårt för den som villa skapa en fungerande kontinuitetshantering i den egna organisationen.
Den kanske mest avgörande är att i princip alla offentliga och privata organisationer idag av sina uppdragsgivare förväntas planera enbart för ett ständigt normalläge.
Att i budgetdiskussioner hävda att det behövs en marginal, litet luft i systemet, litet extrakapacitet att ta till i händelse av störningar skulle i bästa fall väcka förvånade huvudskakningar.
Lean är möjligen en organisationsfilosofi på utgående men önskan att slimma verksamhetsprocesserna till allra nödvändigaste är numera etablerad i flertalet organisationer.
Tyvärr är det oundvikligt att en fungerande kontinuitetshantering kräver att organisationen ska klara situationer utanför normalläget vilket innebär extra resurser både för själva åtgärds- och återställelsearbetet och för reservrutiner som dessutom måste övas för att fungera.
En stor del av tidigare offentligt finansierad och offentligt utförd verksamhet överförts till privata utförare utan att avtalen innehåller krav på att utföraren ska ha en kontinuitetshantering vilket ytterligare försvårar situationen.
Även den som fått budget och sanktion för att skapa en kontinuitetsplan för informationshanteringen i den egna organisationen kommer att ha en svårhanterlig uppgift framför sig.
Informationshanteringen sker inte längre enbart i den egna organisationen utan är en del i ett komplext samspel med andra.
En processkartläggning över en verksamhetsprocess beroenden till olika tjänster och resurser för informationshantering som dessutom ständigt förändras är ett nödvändigt underlag.
Att få kontroll över denna helhet och skapa förutsättningar för att kunna hantera störningar är inget som går att lösa i ett projekt utan kräver ett systematiskt och uthålligt arbete där många interna och externa parter måste vara involverade.
I många sammanhang finns den outtalade förutsättningen att organisationer har en generell kontinuitetshantering som det går att komplettera med informationssäkerhetsaspekterna.
I ett sådant scenario finns redan modell och andra viktiga komponenter som ansvarsfördelning på plats.
Tyvärr är min erfarenhet att detta sällan är hur verkligheten beskaffad i flertalet organisationer.
Vad som finns är kanske en krisledningsorganisation men ingen faktisk planering eller övning av händelser då centrala resurser faller bort.
Den informationssäkerhetsansvarige får då arbeta i underläge och ta ansvar för mycket mer än vad som ligger i rollens mandat och uppgifter.
Här tror jag många informationssäkerhetsansvariga resignerar och med viss förtvivlan grubblar över hur de ska kunna göra det som de ändå vet är en mycket viktig del i uppdraget.
Varken för den generella kontinuitetshanteringen eller den som är specifikt inriktad på informationssäkerhet finns det mycket stöd att hämta.
Detta trots att förmågan att upprätthålla den verksamheten vid större störningar och kriser är ett ansvar som i det svenska krishanteringssystemet ligger på den enskilda organisationen.
Det finns naturligtvis standarder och konsultföretag som kan hjälpa till men någon nationell modell eller metod finns inte etablerad även om detta efterfrågats av bland annat kommuner.
Att plocka fram en egen modell eller metod framstår säkerligen för de flesta medelstora och små organisationer som övermäktigt.
Ur ett samhällsperspektiv är det också en suboptimering om alla organisationer ska ta fram egna varianter som dessutom inte är koordinerade sinsemellan.
Denna dystra bild får ändå inte göra oss passiva eftersom kontinuitetshanteringen är så betydelsefull för oss både i den enskilda organisationen och på en samhällsnivå.
Nedan följer några tips som ändå kan underlätta arbetet.

Prioritera verksamhetsprocesser.
Vid en större störning kommer det inte att vara möjligt att upprätthålla all verksamhet utan de resurser i form av exempelvis tjänster, kommunikation och medarbetare måste användas för de processer som ledningen prioriterar.
Prioriteringen ska inte ske under störningen utan under exempelvis verksamhetsplanering.
Kartlägg beroenden.
Genom processkartläggning går det att identifiera vilken information och vilka bärare som är nödvändiga för att upprätthålla processen.
Det ger också ett bra underlag för it-ansvariga att ta fram den planering som ska ske mellan olika tjänster och andra it-resurser.
Håll planeringen så enkel som möjligt.
Alltför komplexa planer blir snabbt inaktuella och dessutom svåra att hantera i ett kritiskt läge.
Det är sällan intressant att gå djupare i olika tänkbara orsaker till störningen utan det är störningens effekter på verksamheten som är det intressanta.
Att koncentrera sig på effekterna gör också planeringen enklare än att ha en mängd olika alternativ utifrån olika orsaker till störningar.
Se till att ledningen är beslutsför.
Under ett akut skede måste ett antal beslut tas som ligger utanför det som är möjligt att planera och då måste de som har en ledningsfunktion känna sig trygga i att de får fatta beslut.
Förbered för kommunikation.
God kommunikation med de egna medarbetarna och med intressenter utanför den egna verksamheten är oumbärlig både före, under och efter en större störning.
Öva, öva,öva!
Övningar kan ske under mycket anspråkslösa former som exempelvis på en arbetsplatsträff där man går igenom ett scenario och simulerar de steg som planen innehåller.
Mycket nyttigt både för planen,och verksamheten.

Meny Kontinuitetshantering

MENU MENU Postat av Postad i , , , , Tagged , , , , Postat av Postad i , Tagged , , , Sök efter:

1910 blev Karlstads lasarett det andra i Sverige som blev s.k.
delat lasarett (efter Falun).
Att ett lasarett blev delat betydde att det fanns både en medicinsk och en kirurgisk verksamhet.
I korthet var detta första steget på den snabba utveckling pådriven av en framgångsrik forskning där ögon, öron, ortopedi, röntgen, BB, barn, gynekologi o.s.v, o.s.v.
, blev egna specialiteter och subspecialiteter i ett allt finmaskigare nät.
Till detta kommer allmänmedicin och annan öppenvårdsverksamhet för att inte glömma psykiatrin i olika former.
Alla dessa med tiden hundratals olika kompetensområden måste organiseras i avdelningar, kliniker, mottagningar m.m.
för att få bästa möjliga vård för patienten till en för samhället rimlig kostnad.
Det räcker dock inte med att organisera vårdens olika verksamhet i förhållande till varandra utan vården måste styckevis och delt även passas in i samhällets generella styrning som i sin tur består av förvaltning respektive den politiska styrningen.
För Sveriges del har det i huvudsak inneburit inpassning i kommun, landsting/region och stat eftersom vården varit offentligt finansierad (även detta i huvudsak) sedan lång tid tillbaka.
Historiskt har vårdverksamheten i delar vandrat mellan huvudmännen.
Att allmänmedicin och psykiatri var ett statligt ansvar fram till 1960-talet och äldrevård en landstingsangelägenhet fram till ÄDEL-reformen då den överfördes till primärkommunerna är bara två exempel.
Vad jag vill säga med denna skamligt korta sammanfattning är att sjukvård är EXTREMT svårt att styra med en fullständigt oöverblickbar komplexitet i tre dimensioner: den interna styrningen av vårdarbetet och förvaltningsstyrningen samt den politiska styrningen.
Fram till 1970-talet var inriktningen för att hantera denna komplexitet bland annat att försöka skapa mer enhetliga huvudmannaskap vilket var en av orsakerna till att exempelvis allmänmedicin och psykiatri överfördes till landstingen från staten.
Denna trend avlöstes av den glada NPM-eran när styrningen av offentlig verksamhet fragmentiserades bland annat för att underlätta för privata alternativ.
Det var då äldreomsorgen och den social omsorgen fördes till den kommunala sektorn vilket bland annat har lett till bollandet av gamla multisjuka mellan två huvudmän – något vi sett de avskräckande konsekvenserna av nu efter covid-19.
Det är ett ganska väl beforskat hur organisatorisk komplexitet leder till det som slarvigt brukar kallas byråkrati men som jag hellre skulle benämna administration som inte är direkt kopplad till kärnverksamhetens uppgifter.
Ju större antal aktörer som ska förmås att röra sig i samma riktning eller åtminstone samspela, desto fler samordnade aktiviteter krävs för att hålla ihop helheten.
Det blir strategier, policies, planer, möten, kontroller och rapporteringar i olika riktningar.
Genom privatiseringen av offentlig verksamhet har dessutom ytterligare behov av upphandlingar, kravställningar, regelverk, beställningar och uppföljningar tillkommit.
Detta skapar kohorter av nya typer av administratörer, alltså inte den gamla typen som skötte budget, bokföring och löneutbetalningar.
Istället har kvalitetsutvecklare, upphandlingsspecialister, digitaliseringsstrateger, e-hälsosamordnare och (visst, jag kackar i eget bo) informationssäkerhetsansvariga tillkommit.
Och så naturligtvis kommunikatörer, kommunikatörer och åter kommunikatörer.
Utan jämförelser i övrigt kommer jag osökt att tänka på den här gamla klassiska bilden där jag föreställer mig vårdpersonalen dignar under hela lasset av administration upp till sjukvårdspolitiker och vårdbolagschefer.
Det är med detta i bakhuvudet jag läser i DN som drar en lans för förstatligande av sjukvården.
För mig framstår det som ett relevant förslag.
1962 gav de flesta landsting ut historiker över sina första hundra år.
Dessa historiker rymmer en fascinerande motsättning mellan beständighet och föränderlighet.
Landstingen hade funnits i respektingivande hundra år men vad ett landsting var och skulle syssla med hade ständigt förändrats under dessa är.
Vad detta lär oss är att hur samhällets basala funktioner ska organiseras ständigt måste omprövas för att institutionerna ska vara ändamålsenliga och anpassade till rådande behov.
Historiskt har detta skett kontinuerligt som jag snabbskissat ovan och det finns ingen anledning att tro att just den organisation av sjukvården har idag är den enda möjliga oavsett vad som händer i samhället i övrigt.
Själv hyser jag inte någon ohejdad tilltro till att ett förstatligande av sjukvården skulle lösa alla eller ens merparten av problem som vården har att leva med men i all enkelhet skulle åtminstone ett lager i pyramiden försvinna.
Förhoppningsvis skulle grundläggande mål som likvärdig vård vara enklare att uppnå.
En annan effekt är att den samordnade byråkratin internt mellan de idag 21 regioner skulle kunna plockas bort (även om den säkert delvis skulle komma tillbaka i en annan form).
Att inte bara DN utan även andra med viss energi börjar ifrågasätta regionernas roll väcker oro i regionsleden, inte minst hos särintressets främsta företrädare SKR vars ordförande Anders Knape som skrev ett kanske aningen sentimentalt på DN:s ledare.
Han, liksom regionala företrädare, lobbar ivrigt för att regionernas USP är den politiska styrningen av regionerna som hypotetiskt skulle göra sjukvården regionalt anpassad och därmed ”bättre”.
Med viss bombasm skriver Knape: den lokala och regionala nivåns omkring 40.000 förtroendevalda utifrån kunskap om invånarna lokalt och regionalt.
Deras kraft är oslagbar.
För den som något fördjupat sig i landstingens/regionernas historia väcker denna beskrivning antagligen skuggan av ett leende.
Inga sjukvårdsstrider har varit så infekterade som de enskilda landsting där sedan åtminstone 1920-talet omfattande manifestationer skett för att sjukstugor skulle placeras i ”rätt” samhälle eller rörande nedläggningar av sjukhus.
Knapes uttalande pekar snarare på en klassisk problemställning inom svensk sjukvård: den potentiella motsättningen mellan regional särart å ena sidan och likvärdighet nationellt å andra.
För mig framstår denna argumentationslinje också som alltmer paradoxal då SKR själva så intensivt försöker samla nationell styrning hos sig själva.
Som jag tidigare skrivit om har alltfler frågor börjat samordnas via SKR och därmed flyttats från den regionala nivån till en nationell.
Om SKR starkaste argument mot ett förstatligande är det demokratiska värde som finns i den regionala politiska styrningen verkar det ju vara att såga av sin egen viktigaste sittgren om makten förs från dessa demokratiska församlingar in i det mörker som föreningen SKR utgör.
Själv skulle jag alla dagar i veckan föredra en normal svensk myndighet framför SKR som nationellt samordnande.
Ibland dristar jag mig till och med till att tycka att det kanske är en demokratisk fördel om sjukvården lyfts bort från bypolitiken.
Knape har förstås en poäng när han lyfter fram mindre lyckade statliga experiment och då även inom digitaliseringsområdet.
Tyvärr måste jag dock säga att det är en boll som är svår att inte smasha tillbaka för den som strävar mot förstatligande av sjukvården.
INGEN fråga har engagerat SKR så mycket som digitalisering som lösning på all och jag misstänker att man har en gemensam morgonbön i SKR-palatset som går ungefär så här: Digitalisering, låt ditt namn bli helgat Låt ditt rike komma.
Ge oss i dag vårt dagliga bröd .
Och glöm våra misslyckade projekt, så som vi glömmer dem själva.
Och för oss inte in i verkligheten, utan fräls oss från ansvar.
Förlåt, det är semester… Min poäng är att trots den närmast religiösa inställning som SKR har till digitalisering i teorin så ser i praktiken digitaliseringen av den svenska sjukvården som ett härke trots de enorma resurser som tillförts.
Jag sitter mycket tungt på mina händer för att inte skriva något om den totala frånvaron av samordning av informationssäkerhet och det provocerande ointresset för integritetsfrågor där SKR knappast agerat som insiktsfull vägledare för sina medlemmar.
Om verkligheten ska användas som betygssättare för regionernas och SKR:s förmåga att skapa en nationellt sammanhållande och långsiktigt fungerande vård så ser det rätt illa ut för Knapes linje.
För att komma vidare vore det önskvärt med en hederlig gammaldags utredning som inte helt styrdes av särintressen inom vården.
Personligen lutar jag svagt åt att behovet av nationell samordning av sjukvården bäst hanteras genom ett förstatligande åtminstone av delar av vården.
Det kommer visserligen att skapa nya gränslinjer – hur ska exempelvis äldreomsorgen hanteras med större medicinsk kompetens – men jag tror verkligen det är dags att ompröva dagens situation.
Lämnade idag följande remissvar angående arkivutredningen.
Arkivutredningen fick i uppdrag att göra en bred översyn av arkivområdet i Sverige.
Jag menar att utredningen inte lyckats formulera de strategiska frågor som är av verklig betydelse för att arkivväsendet ska kunna uppfylla sin viktiga samhällsfunktion, än mindre kommit med lösningar på dessa frågor.
Istället har man fastnat i detaljer och frågor av mindre betydelse.
Genomgående har det som kan sammanfattas som ”kulturarvsperspektivet” få styra utredningens inriktning och prioriteringar.
Det gör att de mycket komplexa frågor som samhällets informationshantering brottas med i huvudsak lämnas utan behandling.
Några av de frågor som jag menar är av essentiella för att information av vikt ska kunna säkras för framtiden och som utredningen utelämnar i sin rapport är följande.
Det finns i idag ingen plan för hur all den information som skapas idag ska bevaras med kvalitet, säkerhet och autenticitet för framtiden.
Detta är kärnan i all arkivverksamhet.
När vi nu har en exponentiell tillväxt av information saknas organisatoriska, metodmässiga och tekniska lösningar för det långsiktiga bevarandet.
Likaså saknas aktuell vägledning för hur gallring ska kunna genomföras i de enorma informationsmängder som skapas.
De senast tillkomna generella vägledningar rörande gallring togs fram av Riksarkivet under senare hälften av 1990-talet, d.v.s.
för snart ett kvarts sekel sedan.
Istället för varaktiga lösningar har spridda experiment med så kallade e-arkiv skett i olika regi som exempelvis Statens servicecenters upprepade misslyckande med en e-arkivtjänst.
Dessa lösningar är dock bara mellanarkiv – hur det slutgiltiga omhändertagandet av den digitala informationen är fortfarande höljt i dunkel.
Denna fråga borde ha varit centrum i utredning som har till uppdrag att göra en översyn av arkivverksamheten.
Ända fram till 1990-talet föreföll det fortfarande relevant att utgå från att varje myndighet kan ha i uppdrag att kontrollera den information man själv upprättar samt den information som inkommer till myndigheten.
Detta är idag ett betraktelsesätt som ligger långt ifrån den verklighet som snarare består av en snabbt sammanväxande nationell (och delvis internationell) informationsinfrastruktur.
Offentliga och privata aktörer ingår i processer information utbyts, förädlas, aggregeras och ackumuleras i snabb takt.
Svåra frågor som hur information ska kunna reproduceras från olika källor på ett säkert sätt över tid berörs inte av utredningen.
Inte heller hur ansvarsfördelningen i denna gemensamma infrastruktur ska fördelas röner intresse hos utredningen.
Vad som ska utgöra allmänna handlingar i den enskilda myndighetens arkiv liksom vem som ska ses som arkivbildare i denna helhet finns det idag inga officiella verktyg för att avgöra.
Även detta hade varit en central fråga att peka på för utredningen.
Arkivlagen gör en sammankoppling mellan allmänna handlingar och arkiv: Tyvärr gör denna sammankoppling att då en allt mindre andel av en myndighets handlingar ses som allmänna handlingar, vilket är negativt i sig, kommer även andelen information som ska bedömas ur arkivperspektivet att minska.
Vad denna utveckling innebär för framtidens möjlighet för bland annat forskning tas inte upp utredningen.
Ej heller hur detta påverkar den svenska demokratin där en mer extensiv tillämpning av vad som ska utgöra allmänna handlingar skulle kunna förbättra insyn och delaktighet.
Av särskilt intresse är de verksamheter som tidigare varit offentliga men som privatiserats och där det inte längre finns allmänna handlingar som ger insyn eller möjlighet till forskning.
Här finns privata företag men även intresseorganisationer som SKR som med offentliga medel skapar information med stor betydelse för samhället men som samhället saknar kontroll över.
I informationssamhället är av naturliga skäl information den viktigaste resursen.
Den information som skapas av myndigheter inklusive kommuner och regioner är därför begärlig inte bara inom myndighetssfären och inte bara för forskning utan även för nationella och internationella företag.
Detta har uppmärksammats vad gäller personuppgifter och alldeles särskilt för personuppgifter inom hälso- och sjukvård som är det nya guldet för många multinationella företag.
Hur svenska myndigheter ska förhålla sig till detta utan att t.ex.
äventyra personlig integritet eller riskera att snedvrida verksamheten för att producera information kommenteras inte av utredningen.
Lika litet berörs hur arkivväsendet ska förhålla sig till långsiktigt enormt värdefulla vårdsystemen och hur de ska bevaras för framtiden.
Riksarkivet har uttryckt att de anser att myndigheten ska får peka ut ”samhällsviktig” information oavsett arkivbildare.
Jag menar att det snarare behövs en analys av informationens betydelse som samhällsresurs för att först därefter kan bli möjlighet att besluta om hur prioritering och omhändertagande ska ske.
Utredningen uppmärksammar inte den nära relation arkivområdet har till områden som informationssäkerhet och dataskydd samt generell informationshantering.
Möjligen har det dominerande kulturarvsperspektivet gjort utredningen blind för de aktuella utmaningar som kräver samverkan mellan dessa områden.
Ett förslag är att snarast ta fram en strategi för svensk arkivverksamhet som behandlar ovanstående frågor.
Strategin bör bygga på en utredning som förutsättningslöst går igenom: möjligheter för att långsiktigt kunna bevara och tillhandahålla för samhället relevant information i autentisk form.
I detta ligger även att analysera intressenter och på vilket sätt de ska få tillgång till information alternativt påverka vilken information som ska tas fram/bevaras.
Utan närmare analys går att säga att hela andra resurser än nuvarande kommer att behövas för att ta hand om informationen.
Hur en hållbar finansiering på tillräcklig nivå ska ske är även det en fråga som bör utredas innan en strategi tas fram.
Fia Ewald En gång arkivarie, alltid arkivarie Jag ska nu kort återkomma med en uppdatering gällande SKR och överföring av känslig information till denna intresseförening, för bakgrund se .
För att sammanfatta frågan så har SKR växt som en gökunge i den svenska förvaltningen och fått/tagit allt fler myndighetsliknande uppgifter trots att man, som SKR själva ivrigt hävdar, inte är en myndighet utan en arbetsgivare- och intresseförening.
Därav följer att SKR inte har det ansvar och den insyn som en myndighet och vi som medborgare egentligen saknar möjlighet att kontrollera och utkräva ansvar av föreningen.
SKR ligger helt enkelt utanför den styrning som den svenska förvaltningen bygger på och det är svårt att ens se vilken lagstiftning som är tillämplig.
Detta förhindrar den kritiska granskning som offentlighetsprincipen möjliggör för myndigheter även om SKR ibland försöker vilseleda genom att hävda att de handlingar som hanteras inom föreningen blir offentliga när de inkommer till medlemmarna.
Häromdagen fick jag detta l mig tillsänt där Marie Morell (m), ordförande för sjukvårdsdelegationen på SKR, hävdar just detta i en fråga som har en ekonomisk betydelse för enskilda: – Vi har kontaktat dem och skickat ut material till dem vid ett flertal tillfällen.
Det är viktigt att de skapar någon form av branschråd så att vi har en motpart att arbeta med.
Vi är en ideell förening och som sådan lyder vi inte under offentlighetsprincipen.
Men handlingarna blir offentliga så fort de inkommer till respektive region eller kommun, säger Marie Morell.
Det finns alltså ingen insyn i själva processen och som jag tidigare visat är det högst tveksamt vilka av SKR:s många ”interna” dokument som verkligen ses som inkomna till medlemmarna.
Att inte ens handlingar i beredande organ hos SKR blir allmänna handlingar hos de regioner/kommuner som har representanter i dessa organ är för mig tämligen hårresande och jag försöker förstå vem en sådan representant tror sig vara.
En privatperson som blivit invald i hembygdsföreningens styrelse (inget ont om hembygdsföreningar)?
Nu när offentlighetsprincipen är hotad från olika håll känns det extra angeläget att slå vakt av denna för Sverige (och Finland) unika medborgerliga rättighet.
I mitt framförde jag dock att det är likaledes viktigt att se vilka risker det innebär att kommunicera känslig information med en aktör där OSL inte kan tillämpas.
Grunden för att kunna skydda känslig information när den utbyts med utomstående parter är att reglera hur informationen får hanteras.
När det gäller utbyte mellan myndigheter finns denna reglering i huvudsak redan på plats genom lagstiftningen (även om jag tycker att det ofta finns anledning att förtydliga relationen myndigheter emellan).
Här intresserar jag mig inte för säkerhetsskyddsområdet utan framför allt den lagstiftning som gäller normala verksamhetsförhållande men där mycket starkt krav på konfidentialitet finns t.ex.
gällande samhällsviktig verksamhet.
Notera att det där även finns annan lagstiftning som är ytterst relevant som exempelvis Krisberedskapsförordningen.
Denna reglering saknas då information ska utbytas med privata aktörer som företag och, som i det aktuella fallet, föreningar.
Då måste menar jag ett avtal slutas som beskriver villkoren för att informationen ska kunna lämnas ut, åtgärder som ska vidtas och ansvarsförhållanden.
För att reducera att konfidentiell information kommer i orätta händer bör man även minimera informationen som utlämnas till det absolut nödvändiga samt ålägga motparten att säkerställa att endast de som verkligen behöver informationen kan ta del av den.
Enligt mitt resonemang är det alltså en självklarhet att myndigheter måste använda sekretessavtal eller motsvarande när de tänker utbyta information med företag och föreningar.
Därför frågade jag två myndigheter som på olika sätt har ett ansvar för samhällsviktig verksamhet om de slutit sekretessavtal med SKR.
Först gick frågan till MSB som ju har ett mycket omfattande ansvar i dessa frågor: Hej!
MSB har ett omfattande samarbete med SKR i olika frågor.
Vissa av dessa frågor kan vara av känslig karaktär som kommuner/regionens insatser i det civila försvaret, samhällsviktig verksamhet, informations- och cybersäkerhet osv.
I dessa frågor utbyts rimligen känslig information.
SKR är en intresseförening som inte omfattas av OSL på samma sätt som en kommun/region, ett kommunalförbund eller ett kommunalt bolag.
Jag är därför intresserad av att ta del av det samarbetsavtal med vidhängande sekretessregler eller motsvarande som utgör reglering av dessa frågor i relationen mellan SKR och MSB.
Efter tämligen lång tid och en påstötning fick jag följande svar: Jag måste först beklaga att du fått vänta på ett besked men på grund av olyckliga omständigheter har beskedet fördröjts.
Genom en sökning i vårt diarium har vi hittat två avtal med SKR: Du har rätt att begära ett skriftligt beslut som går att överklaga.
Skriv till .
För ögonblicket är jag inte så intresserad av det civila försvaret som ju knappt kommit igång så därför gick jag in på .
Det är upp till varje läsare att ta ställning men jag kan inte se att detta dokument på något sätt reglerar sekretessen i förhållande till SKR.
Detta kan synas extra anmärkningsvärt i dessa coronaapokalysens tidevarv när Socialstyrelsen sekretessbelägger information för media om vårdens p medan intresseföreningen SKR sitter med på MSB:s samordningskonferens i samma fråga.
Visserligen togs sannolikt inga känsliga frågor upp då SKR var med men det visar den vinglighet som finns då det gäller just SKR .
Jag ställde samma fråga till eHälsomyndigheten som tillsammans med bland annat SKR arbetar med den nya in (återkommer inom kort angående detta alster) och där man får gissa att det för en del diskussioner om kritiskt infrastruktur osv.
Från denna myndighet fick jag bara ett kort nej på frågan.
Detta är förstås bara två stickprov men ändå från myndigheter som är vana att hantera sekretess.
Det kan tyckas litet märkligt efter allt som hänt med Transportstyrelsen och andra incidenter där information överförts på oklara grunder.
Mitt intryck (bekräftat av ett antal tjänstepersoner på andra myndigheter) är att myndigheterna helt enkelt inte tänker på att SKR inte är en myndighet utan utgår från att föreningen är som vilken deltagare som helst i myndighetssamarbetena.
Inte heller kommuner och regioner verkar reflektera särskilt över detta utan överför utan förbehåll känslig information till det de i vissa fall verkar se som en ”överordnad” aktör.
Detta även då det gäller informationssäkerhet.
Nyligen skickades ett mail ut från SKR: Klassa 4.0 har varit efterfrågat länge och nu finns finansiering för ett projekt som inleds i nästa vecka.
Det blir flera förändringar i den nya versionen, bland annat förbättringar av befintlig funktionalitet, bland annat uppdateringar av kravkataloger som genererar uppgifter till handlingsplanen och en nödvändig översyn av upphandlingskraven.
Dessutom blir det en hel del ny funktionalitet, t.ex.
: – En ny modul för att mäta organisationens mognad, – Möjlighet till uppföljning och att ta ut nyckelvärden för organisationen och anpassat till målgrupp, – Möjlighet för SKR att ta ut nationell uppföljning på aggregerad nivå, – Stöd för CISO i det systematiska arbetet och – Modul för riskanalys.
Dessutom kommer SKR att förstärka sin organisation för att kunna avsätta mer resurser till förvaltning av Klassa.
Det kommer att öppnas en möjlighet för statliga myndigheter att använda Klassa.
Verktyget kommer dock fortsatt att ägas av SKR med kommuner och regioner som primär målgrupp.
Detta menar jag är ett projekt som bör utsättas för en mycket grundlig riskanalys!
Dessutom kan det verkligen ifrågasättas varför denna nationellt intressanta information ska ägas av en förening utan insyn och där det inte heller går att bedöma säkerhetsriskerna.
Det är dags för en mer omfattande diskussion om SKR:s roll.
Myndigheterna bör också ha en konsekvent linje i förhållande till ”förvaltningsskvadern” – antingen är man en myndighet med det fulla ansvar som en sådan har eller så få man återgå till att vara en arbetsgivarorganisation en arbetsgivarorganisation som i huvudsak ägnar sig åt sina medlemmars avtalsfrågor.
Sekretessavtal bör i dagsläget vara ett minimikrav för alla myndigheter, inklusive kommuner och regioner, som utbyter känslig information med SKR på samma sätt som man reglerar relationen med vilken privat aktör som helst.
Sällan har jag läst en utredning med sådant intresse som den nya arkivutredningen SOU 2019:58 ” ” och då har jag ändå läst många.Stoffet i utredningen och hur den är genomförd vore helt enkelt värt en egen utredning och inte bara ett blogginlägg men man tager vad man haver.
Det finns alltså hur mycket som helst att skriva ytterligare men som inte ryms här.
Innan jag går in på utredningens egentliga leverans vill jag jag uppmärksamma den metodik och presentation som tillämpats som känns mer som en redovisning av en fortlöpande workshop än en traditionell svensk utredning.
Genomgående refereras samtal med olika intressegrupper vars argument framförs utförligt innan utredningen lämnar sina förslag.
Det ger verkligen en fyllig bild av den stora bredd av frågeställningar och konfliktlinjer som förekommer i Arkiv-Sverige (detta märkliga land).
Detta tillsammans med beskrivningen med bakgrundshistorik av hur arkivväsendet är organiserat i Sverige ser jag som den stora behållningen av utredningen, mycket användbar exempelvis i undervisningssammanhang.
Utöver detta är mitt sammanfattande intryck att utredningen ägnat sig åt en mängd relativt sett små frågor, om än i vissa fall intressanta, men duckar för alla verkligt väsentliga frågor.
Dessutom är förslagen angående de frågor som man verkligen ägnar sig i de flesta fall ytterst konservativa, typ: ”efter noggrant övervägande har vi kommit fram till att den rådande ordningen är den bästa.”.
Sin djärvhet och kreativitet tycks utredningen ha reserverat för titeln på utredningen som synes sällsynt missvisande i förhållande till innehållet (intresset för putslustiga utredningstitlar är visserligen inte unikt för den här utredningen utan snarare legio i det svenska utredningsväsendet).
När man läser förslagen på ny arkivlag är det många ”skall” som blivit ”ska” och ”arkivvård” som som blivit ”arkivförvaltning” men i övrigt mycket litet förändrande kraft.
En mer rimlig utredningstitel hade varit ”Härifrån till hit”.
En annan mindre men tyvärr betydelsefull förskjutning som skett är betoningen av ”kulturarvet” ökat.
I dagens arkivlag står: Myndigheternas arkiv är en del av det nationella kulturarvet.
Myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser 1. rätten att ta del av allmänna handlingar, 2. behovet av information för rättskipningen och förvaltningen, och 3. forskningens behov.
I utredningens författningsförslag sker inga större skillnader i detta förutom att ”syfte” bli ”ändamål”, ändamålet får en egen paragraf och det nationella försvinner från kulturarvet.
Däremot ägnar utredningen sig nästintill enbart åt resonemang om kulturarvet och hur det ska skyddas och i princip inte alls åt de tre övriga ändamålen.
För mig självklara och angelägna frågor som exempelvis hur demokratin skulle kunna utvecklas genom bättre insyn i myndigheterna via de allmänna handlingarna, hur behovet av snabb och säker tillgång till information med hög grad av autenticitet i myndigheterna ska tillgodoses samt betydelsen av ett organisatoriskt minne behandlas inte alls.
Forskning likställs i bästa fall med historisk forskning men alltför ofta tycks det vara släktforskning som avses.
Ibland framstår forskning och kulturarv som på något sätt synonyma begrepp.
Kanske skulle utredningens experter och sekreterare kunnat ha en något annorlunda sammansättning för att andra centrala perspektiv kunnat lyftas fram.
De glasögon känsliga för kulturarv som använts präglar hur utredningen tar sig an övriga frågor.
Släktforskare i all ära men vilken möjlighet som här förlorats att redovisa hur de övriga ändamålen skulle kunna tillgodoses på ett bättre sätt!
Som ett par exempel på hur kulturarvsglasögonen påverkar utredningens resonemang skulle jag vilja lyfta fram följande.
Utredningen tar upp de olika uppfattningar som kan finnas mellan att digitalisera äldre material alternativt lägga resurser på att omhänderta det digitala material som hela tiden tillväxer.
Detta presenteras som om det vore två jämförbara alternativ vilket jag menar är en tankevurpa.
Att digitalisera redan omhändertaget material i pappersformat är framförallt en åtgärd för att förbättra tillgänglighet och service vilket i sig är behjärtansvärt.
Däremot är fönstret för att bevara den digitala information som ständigt tillväxer en engångschans – görs det inte kommer informationen helt enkelt inte att finnas kvar.
Även om jag inte sett någon forskning om detta är mitt intryck att vi redan nu har förlorat en stor del av de senaste decenniernas viktiga information eftersom det saknats verktyg för att ta hand om den.
I ett sådant läge är det knappast rätt prioritering att tillfredsställa dagens kulturarvsintressenter med bättre service eftersom det oundvikligen sker på framtidens bekostnad.
Ett annat (betydligt mindre viktigt) resursmässigt vägval som kommit i förgrunden för mig under senare år är att det borde vara fullt möjligt att minska arkivinstitutionernas lokalytorna i attraktiva lägen.
Idag finns de statliga arkiven fortfarande ofta kvar i pampiga byggnader trots den stark sinande strömmen av besökare till forskarsalarna när alltmer material finns digitalt tillgängligt.
Går det att moraliskt försvara denna resursfördelning eller börjar det bli dags att avveckla forskarsalarna, samarbeta med biblioteken om forskarservice och flytta depåer till billigare lägen?
Även här tror jag kulturarvskulturen (!)
spelar in i bedömningen eller att frågan inte ens tas upp när arkivens knala ekonomi diskuteras i utredningen.
Jag menar, det är ju inte säkert att det finns pengar att spara, men finns ju anledning att åtminstone ställa frågan.
Jag skulle också vilja hävda att det positiva som ligger i det empiriska förhållningssättet med mängder av intervjuer och kompilationer av bakgrund möjligen skett på bekostnad av en genomarbetad teoretisk utgångspunkt.
Arkivteori lyser helt med sin frånvaro, något som jag tror missgynnat utredningen i dess problemformuleringar.
Exempelvis tror jag att analyser med avstamp i en problematisering av inre och yttre proveniens i ett dagens gemensamma informationssäkerhetsarkitekturer skulle kunna ge intressanta ingångar för exempelvis ansvarsfördelning och nya tekniska lösningar.
En fåfäng önskan, jag vet det, är att utredningen skulle fördjupat sig i för- och nackdelar med den nära kopplingen mellan TF, OSL och arkivlagen.
När starka krafter strävar att allt mindre del av myndigheters information ska ses som allmänna handlingar kommer det i nuvarande legala konstruktion att påverka inte bara insynsmöjligheten utan i sin förlängning både forskning och kulturarv.
Som den arkivarie jag innerst inne är sörjer jag över att utredningen missat möjligheten att faktiskt göra något som skulle rädda den situation som jag idag skulle vilja jämställa med klimatkrisen.
Den gigantiska mängden information som ständigt skapas men som inte omhändertas eller bevaras på ett beständigt och säkert sätt och där arkivarierna står som med snöskyfflar i en global lavin.
Utredningens ytterst modesta försök att greppa denna situation kan delvis ses som ett symptom på att det saknas en gemensam metateori om samhällets informationshantering som gör att varje utredning eller annan insats blir som ett fragment utan sammanhang.
Ofta blir utredningar fångar i sitt uppdrag.
Orsakerna till detta kan vara flera.
En vanlig orsak är att uppdragsgivaren redan bestämt sig för vilket svar man vill ha från utredningen, en annan att uppdragsgivaren har så oklar bild av området att uppdraget får en så märklig inriktning att det blir svårt att genomföra.
Jag kan inte se att detta gäller arkivutredningen.
Uppdraget som utredaren fått är både helt fritt och detaljstyrt på en gång: En särskild utredare ska göra en bred översyn av arkivområdet.
Det övergripande syftet är att säkerställa samhällets tillgång till allmänna handlingar både nu och i framtiden.Utredaren ska bl.a.
•översiktligt beskriva arkivsektorn samt beskriva och analysera hur samhällsutvecklingen har påverkat och kan förväntas påverka förutsättningarna för arkivverksamheten och olika arkivinstitutioner, •se över arkivlagstiftningen och närliggande lagstiftning och vid behov lämna förslag på hur lagstiftningen kan anpassas till utvecklingen på området, •analysera Riksarkivets roll och lämna förslag på uppgifter i förhållande till andra myndigheter och arkivaktörer för att undvika över-lappning och för att upprätthålla en god och säker informations-hantering och möjliggöra en allsidig historiebeskrivning, •analysera de ekonomiska konsekvenserna för Riksarkivet och andra arkivmyndigheter på kort och lång sikt av den offentliga förvaltningens övergång till digitala processer, och •analysera om regleringen för de enskilda arkiven bör förändras för att kunna tillgodose behov inom rättsskipning, förvaltning, forskning och skydd för kulturarvet •lämna nödvändiga författningsförslag.
Smaka på det syftet.
Jag menar att utredningen haft chansen att ta ett strategiskt grepp om samhällets arkivfråga men istället fastnat i detaljerna och inte minst i de konflikter som finns inom arkivområdet.
Den allt överskuggande konflikten är den gällande Riksarkivets ställning vilket också framkommer i redovisningar som lämnas från de dialoger som utredningen fört med olika aktörer.
Konflikten har funnits under lång tid men har tack vare utredningen kommit i öppen dager på ett sunt sätt.
En resumé av konflikten är ungefär så här: Riksarkivet vill gärna centralisera och bestämma mer medan andra aktörer som kommuner och regioner tycker att Riksarkivet lämnar alldeles för dåligt stöd och borde ägna sig åt att utveckla sin styrning genom att sysselsätta sig med metodutveckling och effektiv rådgivning.
Riksarkivet vill t.ex.
kunna meddela föreskrifter för kommuner och regioner vilket inte mottas väl av de tilltänkta objekten för föreskrivandet.
Detta anspråk förefaller även mig rätt övermaga med tanke på att kommuner och regioner ligger betydligt längre fram i centrala arkivfrågor än vad staten och Riksarkivet gör.
Riksarkivet tycks gärna vilja fly ett operativt ansvar t.ex.
i fråga om e-arkiv och FGS:er men känner sig sedan förbisedda trots att det sällan finns anledning att uppsöka den som inte gör något.
Kritiken mot Riksarkivet är tämligen förödande då den beskrivs i ämbetsmannaprosa i utredningen: Det finns en uppfattning om att så länge den statliga arkivmyndigheten inte fullt ut klarar sina grundläggande uppgifter bör myndigheten inte tillföras nya.
Frågetecken sätts för om myndigheten verkligen har förmåga att i framtiden leda utvecklingen kring digital informationshantering.
Utredningen tycks ställa sig på deras sida som tycker att Riksarkivet borde luta sig mer mot att tillhandahålla nyttiga redskap än att genomdriva sin vilja på ett mer repressivt sätt: Utredningens inriktning bakom de föreslagna bestämmelserna är att samförstånd, tydliga föreskrifter och en generös rådgivning ska prioriteras framför arkivmyndigheternas tillsyn och sanktioner.
Jag delar helt den uppfattningen.
Både som verksam arkivarie och därefter har jag förundrats över hur torftigt stöd Riksarkivet tillhandahåller.
För att bara ta ett exempel i den stora högen så har myndigheten inte tagit fram någon vägledning för centrala arkivuppgiften gallring sedan 1995 och jag tror vi alla kan vara överens om att det hänt en del på 25 år.
Legitimiteten för Riksarkivet tycks låg också då myndigheten avlövats ett antal uppdrag till bland annat DIGG.
Den brist på metateori om samhällets informationshantering som jag tidigare nämnde leder även till en oförmåga att hantera myndigheters uppdrag i förhållande till varandra där nu det finns stora oklarheter om hur Riksarkivet och DIGG ska leva tillsammans.
Utredningens lösning på frågan är att Riksarkivet ska samordna metoden då de orimligt upphaussade FGS:er (ser verkligen fram emot att nyttan av dem utvärderas på ett opartiskt sätt) även då de tas fram på annat håll.
DIGG ska å sin sida föreslås fortsätta: samordna frågor om gemensamma standarder, format, specifikationer och liknande krav för den offentliga förvaltningens informationsutbyte i de fall uppgifterna inte ligger på regeringen eller en annan myndighet FGS:erna är verkligen ett tröstpris då Riksarkivet blir omkörda av DIGG i princip allt annat som gäller informationshantering.
Det är svårt att se att Riksarkivet spelar en viktig roll i samhällets digitalisering.
Istället lever myndigheten i en permanent identitetskris med ständiga omorganisationer där man förlamats av frågan hur mycket arkivverksamheten ska vara en del i den pågående informationshantering.
Det förefaller som de som deltagit i dialoger med utredningen, och då särskilt representanter från kommuner och regioner, starkt pläderat för det som kallas ”proaktivitet”.
Häri ligger av de andra stora konflikterna inom arkivområdet.
Ska arkiven helt koncentrera sig på att omhänderta avställt material eller ska man även gå in och proaktivt bearbeta organisationers informationshantering så att arkivintresset är med redan från då information skapas?
Eller ska arkivarierna t.o.m.
vara specialister på informationshantering generellt och inte bara sett i arkivperspektivet?
Medan vankelmod råder centralt där nog traditionen att kalla informationshanteringen för ”kontors-ADB” och något att frynas över går framför allt fler kommuner och regioner över mot organisatoriska lösningar man samordnar uppgifter relaterade till informationshantering som arkiv, informationsförvaltning, dataskydd och informationssäkerhet.
Man ser helt enkelt informationen som den kanske viktigaste resursen för en organisation, en resurs som måste utvecklas och förvaltas för att organisationen ska fungera på ett ändamålsenligt sätt.
Detta är en linje som jag själv drivit sedan 90-talet så det är klart jag hyllar denna utveckling.
Samtidigt går det inte att förneka att det uppstår en dissonans när Riksarkivet inte alls är i takt med denna rörelse utan snarare utgör en konserverande kraft (och då inte på ett positivt sätt).
Det gör att det saknas ett nationellt nav för teori-, metod-, och kunskapsutveckling, erfarenhetsutbyte och styrning för det som till och med saknar ett entydigt begrepp, jag menar informationsstyrning, informationshantering eller informationsförvaltning kan innebära vad som helst (ja, jag vet att det finns en standard för informationsförvaltning men det hjälper inte särskilt mycket här).
För mig framkommer här ytterligare en av de stora bristerna i utredningen, nämligen att man helt missar kopplingen till informationssäkerhet.
Ordet ”informationssäkerhet” nämns nio (9!)
gånger i hela utredningen och då bara en passant.
Inga analyser eller ens resonemang om hur informationssäkerhet och -hantering inklusive arkiv skulle kunna vara två hjul på samma vagn trots att mål, objekt och metoder verkligen behöver samordnas för att bli ett effektivt stöd för verksamheten.
Extra tråkigt är det då allt fler arkivarier sett sambandet i praktiken och skulle behöva inriktning och moraliskt stöd för att gå vidare.
Samma sak gäller dataskydd.
Men den stora frågan är trots allt att man inte orkar närma sig den stora elefanten: hur ska den alltmer gemensamma informationsarkitekturen tas med in i framtiden?
I detta sammanfaller alla de brister som jag tidigare pekat på.
Som att det saknas ett arkivteoretiskt resonemang om hur proveniensprincipen ska tillämpas när det inte längre går att urskilja tydliga arkivbildare i en gemensam informationshantering.
Som att utredningen inte förmår att föra en diskussion om information istället för det snäva begreppet ”allmänna handlingar”?
Som att man inte tar på allvar hur den verkligt bevarandevärda informationen som patientjournaler löper en överhängande risk att försvinna för att lagstiftning tillåter det och för att det saknas metodik för att hand om den.
Som att det inte finns en antydan till förslag på hur det långsiktiga bevarandet ska ske organisatoriskt eller tekniskt eller ens hur frågan ska angripas.
Som att det inte görs något begreppsmässigt klarläggande gällande ”e-arkiv” och långsiktigt digitalt bevarande.
Som att varken utredningen eller Riksarkivet kräver rimliga ekonomiska förutsättningar för att göra det som är nödvändigt, jag menar 288 miljoner under 5 år … Jag skulle kunna fortsätta med denna uppräkning ett bra tag till men skonar de eventuella läsare som orkat följa mig ända hit.
Här kommer en summering av min diskussion med SKR angående ett eventuellt tillämpande av offentlighetsprincipen även inom SKR.
Jag inledde med ett i Dagens samhälle där jag försökte resonera angående varför det vore lämpligt att SKR skulle omfattas av offentlighetsprincipen.
De 3500 tecken som står till buds för en debattartikel omöjliggör naturligtvis en rättvis behandling av de frågeställningar som skulle behövas för en så komplicerad fråga som den jag lyfte.
Ändå tyckte jag än då att det tydligt i min artikel framgick att det finns ett antal skäl till varför SKR:s ställning som ”ideell förening” borde omprövas.
En resonerande inställning där olika argument prövas är dock inget som intresserar SKR.
Istället skickades föreningens VD för att ge ett .
Kanske det ändå inte blev så dräpande som önskat eftersom en hel del läsare (t.ex.
och och ) reagerade på SKR:s icke-svar och den attityd varmed det förmedlades.
Litet orolig blir man ju med tanke på att Isling rekryterats till SKR för .” Själv tycker jag att SKR ofta verkar lida av ett attitydproblem där tjänstemännen antingen uttrycker sig med viss arrogans eller inte alls då motiverade frågor ställs.
Isling är i detta fall inget undantag och är hans förhållningssätt ett exempel på den nya inriktningen för SKR bör man kanske sätta sig och titta litet på på kartan för att ta ut en annan riktning.
I min försökte jag visa att SKR har stora möjligheter att uppnå den öppenhet som Isling menar att man vill men inte kan (enligt honom) ha.
Jag pekar på paradoxen att Inera valt att frivilligt tillämpa öppenhet men inte SKR men det vilar en kanske en ännu större paradox i att SKR ska ge för att utveckla demokratin kommuner och regioner.
Den som ska ge stöd i demokratiutvecklingen borde rimligen vinna på att vara ett föredöme.
För att förstå SKR:s ställning måste man förstå kommunernas (inklusive landstingskommuners även om de kallar sig regioner) ställning i det svenska styrelseskicket.
Även om man ofta pratar om det kommunala självstyret är alla den makt och det inflytande som kommuner har en delegation från den centrala statsmakten.
Kommuners existensberättigande ligger framför allt i att de har en territoriell förankring, d.v.s.
de har en delegation för styrning av vissa frågor inom ett avgränsat geografiskt område samt beskattningsrätt för samma område.
Kommunerna ska alltså kunna utgöra en motpol till den nationella styrningen och tillgodose lokalsamhällets interna behov utan att först behöva passera den nationella nivån (mycket förenklat uttryckt).
Även i detta perspektiv är SKR något av en paradox.
Genom sin ständiga tillväxt och överförande av allt fler kommunala frågor till en nationell nivå så blir legitimiteten hos det kommunala självstyret i samma takt naggat i kanten.
Mitt intresse i debattartikeln var dock främst inriktat på informationshanteringen där information som i kommunerna hanteras enligt TF och OSL blir utslussad till en ideell förening som inte alls har samma krav på sin hantering av samma information.
Det gäller öppenheten där t.ex.
stora framtidsfrågor som digitalisering och e-hälsa beslutas helt utan insyn och medborgardialog.
Men det gäller även skyddet för känslig information som i ursprungskommunerna styrs av OSL.
Jag tänkte på det när jag läste om SKR gjort en stor enkätundersökning om informationssäkerhet i alla kommuner och började då fundera på hur denna känsliga information hanterades inom SKR.
Har de deltagande kommunerna slutit sekretessavtal med SKR och vilken information har de fått om hur informationen hanteras?
Jag läser också om SKR:s där det inte står ett ord om statistiksekretess.
Ytterligare en fråga där sekretessen är av central betydelse är civilt försvar där ett alltmer aktivt deltagande kommer att krävas av kommunerna.
Vilken information i dessa frågor är möjlig att lämna till SKR?
Det är möjligt att dessa frågor hanteras på ett utmärkt sätt men just i och med avsaknaden av tillämplig lagstiftning föreställer jag mig att behovet av avtal blir stort och något krångligt att administrera liksom att ansvarsförhållanden ständigt måste redas ut.
Jag ser en risk för något jag skulle vilja kalla ”trust by proxy”, d.v.s.
att man förutsätter att SKR har samma styrning som de ingående medlemmarna och därmed inte vidtar de skyddsåtgärder som är nödvändiga.
Om jag låter omotiverat misstänksam ber jag om ursäkt men bakgrunden är delvis att det är mycket svårt att få uppgifter om säkerheten inom SKR.
När jag exempelvis ställde en fråga för ett tag sedan om föreningen har en säkerhetsskyddschef fick jag till svar att de behövde man inte svara på eftersom man inte är en myndighet… Sammantaget tror jag man skulle ha mycket att vinna på att vara tydligare i dessa frågor och då inte bara visavi medlemmar.
Alla dessa viktiga välfärdsfrågor som SKR i allt högre grad hanterar så att de därmed försvinner från offentligheten är inte bara viktiga i nuet utan också för framtiden.
Tanken att framtida forskning inte kommer att ha ett grundmaterial att utgår från för att kunna förstå hur vitala offentliga frågor beslutats svider verkligen.
Att SKR inte har ett krav på sig att bevara och tillhandahålla denna information är en förlust för hela samhällsutvecklingen!
Som en liten julklapp till SKR kommer jag här med ett förslag på lösning på problemet så att SKR också kan bedriva verksamheten med den öppenhet man säger sig vilja ha.
Idag är man alltså en ”ideell förening” vilket känns aningen märkligt med tanke på verksamhet och finansiering.
Det gör att det i finns mycket litet av som påverkar hur verksamheten ska bedrivas vilket i och för sig gör det fullt möjligt att tillämpa TF och OSL på samma sätt som Inera beslutat göra.
Å andra sidan finns det en i mitt tycke betydligt mer stabil lösning, nämligen att SKR omvandlas till ett kommunalförbund som det beskrivs i . På det sättet skulle man både få en verksamhet som är effektiv, har reglerade styrformer och de krav på informationshantering som finns i medlemsorganisationerna.
Det skulle bryta den nuvarande rörelsen där delaktighet och insyn försvinner när betydelsen av frågorna ökar men också ge betydligt bättre grund för samarbete mellan stat och kommuner.
I annat fall undrar jag var gränsen för SKR som ideell förening går – hur mycket kommunala uppgifter kan en förening egentligen ta över?
Mottar tacksamt motargument mot omvandlingen till kommunalförbund eftersom för mig känns den lösningen ganska praktisk men säkert har jag förbisett några för andra självklara förutsättningar som talar emot en sådan lösning.
Trots min julklapp tror jag ärligt talat att intresset för att ens överväga övergång från förening till kommunalförbund är mycket svalt inom SKR, det är sällan de som har privilegier som arbetar för att ta bort dem.
Däremot är det en idé att försöka få igång en debatt i riksdagen vilket kan vara en målsättning för 2020.
Ibland är man tvungen att återvända till gamla jaktmarker.
Där är jag nu.
Efter en sensommar och höst då jag funderat en hel över Inera och i förlängningen SKR blev frestelsen för stor och jag började plocka fram gamla luntor ur bokhyllan.
Luntor som jag framför allt samlat på mig när jag började forskarutbildningen i ekonomisk historia med ambitionen att skriva en avhandling om landstingens roll i den svenska modellen.
Sedan kom barn och livet emellan så det blev aldrig mer än en ambition.
Däremot ledde det till ett fortfarande pågående stort intresse för den regionala styrningen och sjukvård samt, som sagt, till en inte obetydlig samling litteratur i frågan.
Livet är cirkulärt och nu gläds jag över att återigen ha anledning att dyka in mina gamla böcker (verkligen gamla).
Jag läser om hur Svenska Landskommuners Förbund, Svenska Landstingsförbundet och Svenska Stadsförbundet via Landstings- respektive Kommunförbundet utvecklats till SKR.
Från att ha varit renodlade arbetsgivarorganisationer med uppgift att ge medlemmarna stöd i förhandlingarna med de anställdas organisationer har SKR nu utvecklats till en organisation med ständigt växande antal anställda och som lika kontinuerligt påtar sig nya operativa uppgifter.
Mycket stora skattemedel fördelas via SKR och en inte på alldeles anspråkslös summa (understatement) går till SKR:s egen interna organisation, se budgeten på sida 49 i denna redovisning jag fått ut från SKR.
per medborgare och år enligt SKR själva.
Slutligen leds SKR av indirekt valda politiker som även har kontroll över de bolag som ingår i SKR-sfären.
Enligt svensk lagstiftning ska offentlighetsprincipen tillämpas i alla myndigheter (inklusive kommuner och regioner) samt kommunala bolag m.m..
I OSL 2 kap står det följande: Vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter ska i tillämpliga delar gälla också handlingar hos aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande.
Sådana bolag, föreningar och stiftelser ska vid tillämpningen av denna lag jämställas med myndigheter.
Kommuner och landsting ska anses utöva ett rättsligt bestämmande inflytande om de ensamma eller tillsammans 1. äger aktier i ett aktiebolag eller andelar i en ekonomisk förening med mer än hälften av samtliga röster i bolaget eller föreningen eller på något annat sätt förfogar över så många röster i bolaget eller föreningen, 2. har rätt att utse eller avsätta mer än hälften av ledamöterna i styrelsen för ett aktiebolag, en ekonomisk förening eller en stiftelse, eller 3. utgör samtliga obegränsat ansvariga bolagsmän i ett handelsbolag.
Vid tillämpningen av andra stycket 1-3 ska inflytande som utövas av en juridisk person över vilken en kommun eller ett landsting bestämmer på det sätt som anges i de nämnda punkterna anses utövat av kommunen eller landstinget.
Första stycket gäller också för handlingar som efter medgivande av en kommun eller ett landsting för viss bestämd tid förvaras hos aktiebolag, handelsbolag, ekonomiska föreningar eller stiftelser där kommuner eller landsting tidigare har utövat ett rättsligt bestämmande inflytande.
Vad som föreskrivs om kommuner och landsting i första-tredje styckena tillämpas också på kommunalförbund.
För en ytlig betraktare förefaller SKR uppfylla alla kriterier som t.ex.
att kommuner/regioner utövar ett rättsligt bestämmande inflytande.
Ändå omfattas inte SKR av offentlighetsprincipen, ett förhållande som är allt mer förvånande ju mer man tänker på det.
Bristen på insyn i en politiskt styrd organisation med den makt SKR har är en anomali i det svenska systemet som sannolikt har sin upprinnelse i de ursprungliga förhandlingsorganisationernas uppgifter.
I arbetsgivarorganisationer med enda syfte att förhandla arbetsvillkor kan möjligen hemlighetsmakeriet accepteras – i en organisation som för kommuners och regioners talan i en mängd frågor, opinionsbildar på ett inte helt okontroversiellt sätt och dessutom leder allt fler operativa verksamheter kan det det inte.
Inte minst att det inte går att utkräva ansvar borde ses som en mycket missklädande fläck i det offentliga Sverige.
Att slutna sällskap inte är nyttiga ens för sig själva är en ganska uppenbar slutsats efter i Svenska Akademien.
Samma faror av vänskapskorruption lurar i SKR, dessutom är man utsatta för ett starkt kommersiellt tryck i exempelvis digitaliseringsfrågorna.
Vad synen att digitalisering är lösningen på i princip alla samhällsfrågor bygger på när inga seriösa siffror som underbygger detta väcker frågan vems intressen som egentligen tjänas av SKR.
Ökad öppenhet i denna och andra frågor skulle ställa krav på samma typ av underlag och ansvar som i de kommuner och regioner som skickat delegater till SKR.
Istället urlakas den demokratiska processen markant i och med överförandet av frågor till SKR.
Det finns även andra skäl att göra en reglering i OSL så att även SKR omfattas av kraven på offentlighet och sekretess.
Ett starkt sådant är att SKR allt mer fungerar som en mellanstation mellan statliga och kommunala myndigheter också kan komma att hantera känslig information som rör exempelvis informationssäkerhet.
Eftersom OSL inte gäller kan det vara svårt för myndigheterna att reglera eller överblicka hur informationen hanteras i föreningen SKR.
Samtidigt är det svårt för kommuner och regioner att ifrågasätta att lämna ut information om sina förhållanden till SKR.
Ytterligare ett skäl är kopplingen till arkivlagen som ställer krav på att allmänna handlingar ska bevaras inte bara av insynsskäl utan även för att garantera rättssäkerhet och möjlighet till forskning.
Risken för att den helt offentligt finansierade verksamheten SKR med sin allt tyngre samhällsroll inte lämnar ett bra forskningsmaterial efter sig är överhängande.
Min enkla poäng är att om SKR agerar som en myndighet ska man behandlas som en myndighet.
Det är dags för SKR att inte bara byta namn utan även vara beredda att ta ansvar i förhållande till sitt inflytande.
Hur OSL och kanske TF behöver förändras och kompletteras med en rad som inkluderar SKR i dess räckvidd bör vara en ganska enkel juridisk manöver (jag är ju inte jurist så jag kan ju unna mig att ta lätt på frågan).
Sannolikt är det en betydligt svårare politisk process att tvinga ut SKR:s makthavare ur den så behagliga hemliga stugvärmen men icke förty är detta vad demokratisk anständighet kräver.
Ett obligatoriskt men till intet förpliktigande uttryck sedan länge är ”transparens”, ibland så flitigt använt att man riskerar att glömma bort hur viktigt det faktiskt är med öppenhet.
Öppenheten är central för samhällsklimatet och delaktigheten men också för att kunna tillvarata den samlade kompetensen.
I Sverige har vi varit gynnade av den unika institution som offentlighetsprincipen utgjort sedan 1700-talet och som visserligen på många sätt hotas men som fortfarande är ett omhuldat ideal.
Att få insyn i och i förlängningen möjlighet att påverka de stora samhällsfrågorna är det stora värdet med öppenhet för de offentliga verksamheter där offentlighetsprincipen ska tillämpas.
Öppenhet är av samma skäl obekvämt för makthavare, det är liksom bekvämare om man får arbeta ostört och göra som man vill.
Misstag behöver heller inte upptäckas och att slippa stå till svars för det ena och det andra är naturligtvis behagligt.
Sjukvård rankas som den viktigaste frågan av väljarna.
I Sverige är sjukvården offentligt finansierad.
Dessa två premisser sammantaget ger att ett stort mått av öppenhet i hanteringen av sjukvårdsfrågor borde vara en självklarhet.
Tyvärr är inte så fallet när det gäller e-hälsa.
Även för en som tämligen noggrant följt utvecklingen inom området i 25 år är det mycket svårt att få en överblick ens över hur området styrs.
Då menar jag i form institutioner och presenterade inriktningar som rör sig på en konkret nivå.
Under de senaste tio åren har jag sett en rörelse där allt större inflyttande över e-hälsan flyttats över från staten och regionerna till SKL.
Jag har tidigare skrivit om Inera som ändå fattat beslut om att följa offentlighetsprincipen trots att man inte är skyldig att göra det.
Värre är det med SKL som är en arbetsgivarorganisation för regioner och kommuner.
Trots den litet udda konstruktionen att man som intresseorganisation tillskjuts mycket stora offentliga medel från staten och man styrs av folkvalda politiker så har inte kravet på öppenhet följt med.
Bristen på insyn blir mycket påtaglig när man ser på den för digitalisering som tillsattes efter valet och består av politiker från regioner och kommuner.
Det är alltså ett indirekt valt politiskt organ.
Uppdraget är stort och spännande för den som är intresserad av e-hälsa: Beredningen hanterar strategiska frågor om grundläggande gemensamma förutsätt­ning­ar för digital utveckling, exempelvis fråge­ställ­ningar kopplat till effektivisering genom digitalisering, automation och artificiell intelligens (AI), inno­vations- och förändringsledning, data som strategisk resurs, säker informations­hante­ring och nationell digital infrastruktur.
Vidare ska beredningen hantera rättsliga för­utsättningar för en digital samverkande förvaltning.
I uppdraget ingår också att följa SKL-koncernens samverkan för att gemensamt stötta med­lem­marna i deras verk­sam­hetsutveckling med stöd av digitalisering.
Inte minst blir man ju sugen på att läsa mer om hur beredningen ska hantera de rättsliga förutsättningar efter SKL kanske inte helt klargörande angående molntjänster häromveckan där man inte ens nämner eSams rättsliga uttalande där man avråder från att använda molntjänster.
Detta trots att SKL själva uppger följande i sin rapport: Undersökningen från Radar visar att cirka 50 procent av kommunerna använder Microsoft Office 365 (MS O365) och att 100 procent av de större kommunerna använder denna tjänst.
Hur som helst blev jag intresserad av att ta del av beredningen för digitalisering har för arbete på gång, vilka frågor man ventilerade och vilka insatser som planerades.
Detta visade sig vara en stängd dörr för när jag skickade dessa frågor till SKL:s presstjänst (de har ju inget diarium): Jag skulle vilja veta: – vilka handlingar som finns relaterade till Beredningen för digitalisering – vilka av dessa handlingar som jag kan få ta del av fick jag följande, kanske väntade svar: Tack för att du kontaktar oss.
SKL är en intresse- och arbetsgivarorganisation och omfattas inte av skyldigheten att lämna ut allmänna handlingar enligt offentlighetsprincipen.
Vi kan därmed inte hjälpa dig med din förfrågan.
Du kan läsa mer om SKL och vår organisation på .
Jag gjorde ett par försökt med kommuner och regioner, varav ett par med representanter i beredningen, om de fått in några handlingar men helt utan resultat.
Ofrivilligt parafraserar jag Tom Waits gamla låt i huvudet och får en öronmask: what are they building in there?
Men det är inte bara att man faktiskt inte lämnar ut handlingar som är utestängande.
När jag läser programmet till den med underrubriken En dag.
Oändliga möjligheter.
känner jag en lätt yrsel.
Där kommer de usual suspects att prata om ungefär samma saker som vanligt på de otaliga konferenser som går av stapeln (även om jag känner ett visst intresse för den handlingsplan för 2020-2022 som ska diskuteras) medan många av oss andra känner en mycket stor oro för de många alarmerande händelser som tydligt visar att kostnaderna skenar för för e-hälsan och att nya mycket allvarliga säkerhetsbrister hela tiden avslöjas.
Nu senast var det av ett nytt vårdinformationssystem där det avslöjas att det finns stora risker för både patientsäkerhet och integritet: I rapporten pekas på att rutinerna för riskanalys i arbetet med Skånes digitala vårdsystem, SDV, är för dåliga – informationsklassificeringen görs för sent och avklarade riskanalyser sammanställs inte centralt så att de kan följas upp.
Riskanalysverktyget anses dessutom vara svårt att hantera.
Organisationskulturen i sig finns också med bland de identifierade bristerna.
Det finns helt enkelt ingen kommunicerad agenda för informationssäkerhet med verktyg för att rapportera brister i arbetet med den nya vårdinformationsplattformen.
Det gör att brister riskerar att förbises och att ”medarbetare genom uppgivenhet både upplever och bidrar till en tystnadskultur”.
I sin tur leder det till att oro ventileras i korridorerna vilket leder till ytterligare risker.
Naturligtvis fick jag inte ut någon rapport från Region Skåne när jag efterfrågade den utan ett listigt svar att någon sådan rapport inte fanns diarieförd.
Min fråga: Jag undrar då om en sådan rapport inte finns utan att CS blivit vilseförda eller om den finns men man valt eller missat att diarieföra den?
besvarades med att den sannolikt var ett internt arbetsmaterial.
Det mest deprimerande i detta är att upprepningstvånget.
Trots att svenska sjukvården gång på gång råkar ut för stora säkerhetsproblem, trots ett antal liknande projekt i bland annat och med miljardinvesteringar inte fungerar på ett säkert sätt så är det som denna information inte tränger i genom väggarna på den svenska e-hälsans fort.
Att dessa fullkomligt vitala frågor inte tas upp på en konferens om framtidens e-hälsa gör att verkar som vi lever i två olika världar: verkligheten respektive e-hälsans utopia.
Detta är inte en bra grund för ett mycket komplicerat samhällsutvecklingsarbete!
Den tystnadskultur som den interna rapporten som CS tagit del av pekar på en mycket central risk, nämligen tystnadskulturen som gör det omöjligt att föra fram risker eftersom man då avfärdas som negativ.
För den som arbetar med säkerhet och vet hur betydelsefull en positiv säkerhetskultur är för ett fungerande säkerhetsarbete förstår på djupet hur destruktivt det här förhållningssättet är.
Tyvärr praktiseras samma förhållningssätt även på nationell nivå t.ex.
konferensprogram av typen Nationella e-hälsodagen och när en företrädare för SKL på en konferens säger att ”det är mycket enklare att vara emot”, underförstått att resa rationella frågor uppfattas som fientligt.
Jag kan möjligen förstå att SKL som lobbyorganisation jobbar med ensidiga marknadsföringsknep även om jag som skattebetalare inte skulle vilja se pengar som så väl behövs i vården gå till detta.
Däremot tycker jag att myndigheterna borde nyktra till och kunna föra en diskussion där även nyanser är tillåtna.
Jag tror alla kan stå ut med litet av den dåliga stämning som uppstår när folk visar sig ha olika åsikter.
För säkerheten i framtidens e-hälsa är det nödvändigt att kunna prata om risker och reducera dem innan de lett till ett nytt och ett nytt och ett nytt haveri.
Efter Kammarrättens utslag dröjde det bara några dagar innan jag fick ut de dokument som jag började jaga med en fråga den 6 augusti.
Samtliga tre dokument har mycket marginella maskningar vilket jag återkommer till men som läsaren själv har möjlighet att bedöma eftersom jag lägger ut dem i sin helhet.
Låt oss då se på dokumenten och då först till det mest övergripande: Riktlinje för informationssäkerhet.
Detta dokument tycks ha ganska litet att göra med den policy som beslutades i och därts övergripande syfte anges vara att främja digitalisering samtidigt som tillit till informationshanteringen upprätthålls.
De flesta skulle kanske anse att informationssäkerheten ska stödja kärnverksamhetens uppdrag, i det här fallet egentligen kundernas uppdrag, men Inera är sannolikt i detta fall ett offer för SKL:s överideologi där digitalisering är ett dominerande egenvärde.Inte ett ord om patientsäkerhet för att bara ta en sak som jag personligen anser aningen viktigare än att ”främja digitalisering”.
Den sällsynt korta policyn innehåller ingenting om ansvarsförhållanden eller vem som egentligen ska styra säkerheten, däremot är ett mål att säkerhetsarbetet ska grundas på ”gemensamma regelverk, referensarkitekturer och styrande principer”.
Gemensamma för vem och framtagna av vem kan man undra.
Policyn ska tillämpas enbart internt och det saknas relation till kunderna trots att Ineras roll som leverantör: Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering.
Den ska också tillämpas i projekt och på förvaltningsobjekt.
Policyn ger som jag ser det inte någon verksam strategisk ledning för Ineras säkerhetsarbete i rollen som tjänsteleverantör eftersom ansvar och relationer helt saknas.
Hela upplägget med denna helt urvattnade policy känns litet märkligt när Inera dessutom arbetar baklänges och lägger den som olja på vattnet på redan framtagna underliggande dokument.
Kanske har det funnits en annan policy tidigare som fadat bort utan kommentar.
Låt oss lämna policyn och istället titta på riktlinjen som av naturliga skäl saknar den kopplingar till den beslutade policyn.
En första observation som reser den alltid lika spännande frågan om kausalitet och korrelation.
Av en händelse sammanfaller att jag efterfrågade riktlinjen den 6 augusti med en massiv uppdatering som skedde den 9 augusti när en mängd basala säkerhetsaspekter fördes in i riktlinjen (se revisionshistoriken).
Detta var också första gången på tre och ett halvt år som en uppdatering skedde.
Nog om detta lustiga sammanträffande.
Inera är är ju en tjänsteleverantör av känsliga informationstjänster till vården och det som först slår mig då jag läser riktlinjen är att detta förhållande är i det närmaste osynligt i riktlinjen på samma sätt som i policyn.
Riktlinjen gör ingen distinktion mellan Ineras interna informationssäkerhet och den säkerhet som ska finnas i de tjänster som levereras.
Kundernas frånvaro i hanteringen blir närmast självlysande i definitionen av informationsägaren: För varje viktig informationsmängd ska det utses en informationsägare med uppdrag att hantera alla delar av informationssäkerheten som är relaterade till denna informationsmängd.
För de tjänster som Inera tillhandahåller är detta normalt rollen Tjänsteansvarig.
Här man alltså kortslutit systemet så kunderna är inte informationsägare och ska inte heller hantera exempelvis informationsklassning och riskanalys av den information som de faktiskt är ansvariga för.
För att göra det extrem tydligt: Inera är inte en vårdgivare utan hanterar andra vårdgivares information i ett antal gemensamma tjänster.
Vårdgivarna (offentliga och privata) är enligt lag och föreskrift ansvariga för sin information och att den hanteras på ett säkert sätt – det är bara att läsa HSLF-FS 2016:40 för att få en samlad bild av kraven.
Samtidigt skriver man t.ex.
under 15.3.1. om en informationsägare som sannolikt är kunden.
Roller och begrepp är alltså inte konsistenta.
Ytterligare ett tecken på att riktlinje inte tjänar Ineras verksamhet särskilt väl är att de ytterst knapphändiga beskrivningar av utveckling som finns i kapitlen 15.1 och 15.2.
Detta är alltså riktlinjen där ansvar, principer och arbetssätt bör framgå.
Som jag uppfattar det är Ineras huvudsakliga uppdrag att utveckla olika it-lösningar för vården vilket skulle föranleda att ett verksamhetsanpassat säkerhetsarbete skulle ha en tyngdpunkt just i utvecklings- och förvaltningsprocessen av erbjudna lösningar.
I Ineras riktlinje är det dock inte så utan det känns snarare som en ytlig genomgång av kraven i ISO 27001 med mycket små modifikationer.
Dessutom ingår den i det jag brukar tänka på som ”de öde regelverken” eftersom det inte bara kunderna som saknas utan även i hög grad andra aktörer.
Istället upprepas riktlinjen igenom ”Inera ska…” utan att närmare definiera vilken roll inom Inera som ska utföra säkerhetsarbetet.
Igenkänningsfaktorn är hög.
Jag har sett denna typ av regelverk ett otal antal gånger och ett genomgående drag är att när regelverk är så här diffusa så får de ingen eller ringa säkerhetshöjande effekt.
Har ledningen inte pekat ut ansvar (vilket man här inte har i policyn och mycket litet i riktlinjen) så finns inget maskineri som drar runt säkerhetsarbetet.
Att något i denna anonyma text skulle befinnas vara av den art att det går att sekretesslägga med hänvisning till OSL 18 kap.
8 §: Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser byggnader eller andra anläggningar, lokaler eller inventarier, tillverkning, förvaring, utlämning eller transport av pengar eller andra värdeföremål samt transport eller förvaring av vapen, ammunition, sprängämnen, klyvbart material eller radioaktiva ämnen, telekommunikation eller system för automatiserad behandling av information, behörighet att få tillgång till upptagning för automatiserad behandling eller annan handling, den civila luftfarten eller den civila sjöfarten, transporter på land av farligt gods, eller hamnskydd.
kändes märkligt.
Än mer så Ineras ursprungliga beslut att hela dokumentet skulle utgöra risk om det spreds.
På ett sätt skulle jag ironiskt kunna hålla med: kvaliteten på dokumentet indikerar en klar brist på styrning av säkerhetsarbetet vilket kan naturligtvis är en stor risk om det framkommer.
Men det som nu maskats i dokumentet är endast sex passager där man mitt i den i övrigt så generella beskrivningen av allmänna säkerhetsåtgärder tydligen placerat in var datalagring sker samt tekniska beskrivningar av bland annat segmentering.
Om dessa uppgifter är på detaljnivå har de knappast i riktlinjen att göra eftersom den då inte går att sprida i en vidare krets internt.
Även detta är att starkt skäl att se över regelverket och styrningen i stort.
Om vi sedan tittar på de två övriga dokument jag fått ta del av: så går maskningarna i dessa sammantaget att räkna på ena handens fingrar.
Förutom att även dessa i huvudsak saknar anpassning till Ineras egentliga behov av styrning och även till SKL:s flaggskepp KLASSA är det svårt att se vad som föranlett Ineras rädsla för att sprida dem.
Hela hanteringen av min begäran utlämnande av handlingar framstår som fånig och okunnig i mina ögon men har det goda med sig att det kanske hindrar andra från det överutnyttjande av 18.8 som jag tycker mig sett tecken på.
Min sammantagna bild är att Inera saknar ett sammanhängande systematisktoch att den styrning som finns inte är är inriktad på rätt målbild som till exempel att ge kunderna möjlighet att styra sin egen säkerhet eller på patientsäkerhet.
Ingenstans framgår att den informationsklassning som kunderna gör av sin information ger utslag i Ineras leverans, inte heller att Inera har ett kunderbjudande som är transparent och flexibelt.
Jag är den första att erkänna att Ineras uppdrag är mycket komplicerat men just därför skulle det kännas betydligt tryggare om det gick att urskilja ett stort engagemang för säkerhetsfrågor som skulle ge både kunder och allmänheten i stort en anledning att hysa en stor tillit till Inera.
Särskilt tänker jag på detta när nu Inera satt igång ett nytt projekt om säker digital .
Visserligen står det ”säker” i rubriken men vilket stöd har projektet i Ineras LIS för att uppnås denna säkerhet?
Finns det en risk att detta projekt hamnar i samma situation som den som kritiserades så hårt av MSB när det gäller säkerhetsaspekterna (trots att det är se att MSB bidrog på ett så särskilt strukturerat sätt)?
Hälso- och sjukvård är ju i högsta grad en samhällsviktig verksamhet som borde få MSB:s mest djuplodande intresse när en ny nationell lösning ska tas fram.
Möjligen har jag helt fel.
Kanske är säkerheten i Ineras verksamhet mycket bättre än vad de styrande dokumenten ger intryck av.
Men samtidigt är det svårt att föreställa sig edär det inte finns en tydlig dokumenterad styrning.
Självklart borde denna styrning omfatta mer än Inera – jag ska väl inte tjata om en nationell styrmodell á la Normen en gång till… Däremot vore det mycket önskvärt med en större granskning av samtliga större aktörer inom hälso- och sjukvård både för att bedöma den reella säkerheten och för att se vilka samordningsbehov som finns.
Med detta som utgångspunkt går det sedan att börja skissa på den gemensamma styrmodellen.
I väntan på detta mitt utopiska tillstånd är en rimlig inriktning att IVO koncentrerar sin tillsyn utifrån NIS-direktivet främst på dessa stora aktörer eftersom de har den största påverkan på vår gemensamma säkerhet.
Efter diskussionerna om 1177-skandalen och andra händelser inom e-hälsoområdet har jag efterfrågat en nationell genomlysning av hur det egentligen står till med informationssäkerheten i den svenska vården.
I väntan på en större aktör som kan genomföra en omfattande analys av den i mitt tycke centrala frågan så tänkte jag börja dra några små strån till stacken och titta närmare på hur några viktiga aktörer inom e-hälsoområdet hanterar informationssäkerhetsfrågan.
Hälso- och sjukvården är också en av de utpekade branscher där aktörer åläggs att bedriva ei NIS-direktivet.
Att sanktionsavgifter kan utdömas från både dataskyddsmyndigheten och från IVO i det här fallet borde vara en starkt pådrivande faktor för att förbättra säkerheten.
En naturlig startpunkt är Inera som presenterar sig så här: Inera ägs av SKL Företag, regioner och kommuner.
Genom att erbjuda kompetens inom digitalisering stödjer Inera ägarnas verksamhetsutveckling.
Inera koordinerar och utvecklar gemensamma digitala lösningar till nytta för invånare, medarbetare och beslutsfattare.
och Inera utvecklar och förvaltar nationella tjänster inom e-hälsa och digitalisering på uppdrag av regioner och kommuner.
Ungefär 35 digitala tjänster drivs idag av Inera, bland annat 1177 Vårdguiden, Nationell patientöversikt och Journalen.
Vissa tjänster används av invånare, andra av vårdpersonal.
Arbete pågår med nuvarande tjänster och på vilket sätt de kan anpassas för kommunerna.
Inera ansvarar också för den gemensamma infrastruktur och it-arkitektur som ligger till grund för många av tjänsterna.
Därmed har Inera uppdraget från sjukvårdshuvudmännen att koordinera och utveckla gemensamma e-hälsolösningar – en supertungviktare inom e-hälsoområdet alltså.
Av detta följer att man har ett lika tungt ansvar när det gäller informationssäkerheten i de lösningar man erbjuder.
Detta faktum accentueras av att sjukvårdshuvudmän och vårdgivare i de flesta fall inte kan välja andra lösningar än de som Inera erbjuder eftersom de är nationella tjänster som det är nödvändigt att använda för att kunna bedriva vård.
Till skillnad mot om man skulle anlita kommersiell leverantör där man både kan styra med kravspecifikation och genom att byta leverantör om man inte är nöjd med säkerheten.
Dessutom ska Inera stödja digitalisering av regioners och kommuners verksamheter genom att tillhandahålla kompetens och material.
Bland annat säger man sig ta fram regelverk för informationssäkerhet, juridik och kvalitetssäkring.
Det vore konstigt om man inte skulle bli intresserad av hur Inera arbetar med informationssäkerhet då dessa olika uppdrag presenteras.
När man bedömer en organisations förutsättningar för att bedriva eär den vanliga metoden att utgå från vilka styrande dokument som tagits fram och beslutats.
Inte för att styrande dokument i sig med nödvändighet leder till bättre säkerhet men de ger ramarna för arbetet och beskriver förhoppningsvis det organisatoriska maskineri med bland annat ansvar och roller som förlängningen ska snurra igång det systematiska arbetet.
I korthet: regelverk är en nödvändig men absolut inte tillräcklig förutsättning för fungerande informationssäkerhet och det finns definitivt olika kvalitet på regelverk.
Dessutom innehåller regler på högre nivå mycket sällan någon som helst känslig information och skulle det återfinnas någon liten del som bedöms som känslig är den lätt att maskera vid ett utlämnande (tro mig – jag har begärt ut regler i stor omfattning från myndigheter, kommuner och regioner).
Innan vi går vidare ska jag för transparensens påpeka att jag för ett femtontal år sedan gjorde ett par konsultuppdrag för Ineras föregångare och jag hade även kontakt med Inera under den tid jag arbetade på MSB.
Mitt sammantagna intryck är att det varit motigt att införa ett systematisktt trots uppdraget Inera och dess föregångare haft.
Men åter till nuläget.
Med ovan beskrivna bakgrund var ett första steg för mig att be att få ta del av Ineras regelverk vilket jag gjorde den 6 augusti: Hej!
Jag skulle vilja ta del av: – Ineras interna ledningssystem för informationssäkerhet (LIS) som tillämpas i Ineras verksamhet – Aktuella regelverk och stödmaterial för informationssäkerhet som Inera tagit fram som stöd för sina kunder Jag skulle dessutom vilja veta när Inera senast genomförde en mer omfattande informationssäkerhetsrevision av den egna verksamheten.
Tack på förhand!
Jag fick snabbt ett automatsvar som kvitterade att mitt ärende tagits emot.
Sedan dröjde det och dröjde det.
Till slut kom ett svar den 22 augusti: Ni har begärt utlämnande av Ineras interna ledningssystem för informationssäkerhet (LIS), som tillämpas i Ineras verksamhet, samt vidare aktuella regelverk och stödmaterial för informationssäkerhet, som Inera tagit fram som stöd för sina kunder.
Ineras informationssäkerhetspolicy återfinns på .
Regelverk och stödmaterial inom informationssäkerhet och arkitektur, som delas med kunder, återfinns på .
Beträffande LIS gör Inera följande bedömning: Informationssäkerhet syftar till att hindra information från att läcka ut, förvanskas eller förstöras samt säkerställa att informationen finns tillgänglig för en legitim användare.
Ineras produkter och tjänster håller en sådan säkerhetsnivå att kunder kan känna förtroende för Inera som leverantör och uppnå en hög nivå av informationssäkerhet.
Inera har ett ledningssystem för informationssäkerhet, som är baserat på ISO 27001.
av regelverk som beskriver krypteringsnivåer, autentiserings-metoder, säkerhetsåtgärder i driftsmiljön m.m.
I systemet ingår vidare modeller förificering, incidenthantering, etc., liksom uppföljning i form av interna och externa revisioner samt säkerhetstester.
Sekretess gäller enligt 18 kap.
8 § 3 offentlighets- och sekretesslagen för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser telekommunikation eller system för automatiserad behandling av information.
LIS innehåller uppgifter av sådan art att ett utlämnande typiskt sett är ägnat att medföra skada för det intresse som skall skyddas genom den aktuella bestämmelsen.
Handlingarna kan därför inte lämnas ut.
Om ni inte är nöjd med sekretessbedömningen har ni rätt att begära ett formellt beslut.
Med vänlig hälsning Inera Detta var ett intressant svar av flera skäl.
För det första är den informationssäkerhetspolicy som bifogas och som också ligger ute på Ineras så sällsynt innehållslös och består enbart av det som i andra policys brukar ligga under rubriken ”mål”.
Bland annat saknas helt inriktning för ansvarsförhållanden vilket är av stor betydelse att definiera för en leverantör .
Att policyn är beslutad den 14 juni i år väcker även det en hel del tankar (mer om innehållet i de dokument jag fått ut längre ner).
Det riktigt förvånande är dock att Inera anser att övriga styrande dokument i sin helhet går att sekretesslägga och det med hänvisning till OSL trots att man inte tillhör de offentliga organisationer som faller under offentlighetslagstiftningen!
Detta sporrade min nyfikenhet och som den jobbiga människa jag är måste jag ställa ytterligare frågor med vändande post: Tack för svar!
En formfråga: har Inera fattat ett beslut att tillämpa OSL generellt för sin verksamhet?
Till svar fick jag följande: I Ineras bolagsordningen (från 2017) står följande: Allmänheten ska ha rätt att ta del av handlingar hos bolaget enligt de grunder som gäller för allmänna handlingars offentlighet i 2 kap.
tryckfrihetsförordningen och offentlighets- och sekretesslagen.
Här tätnade mystiken för mig.
2 kap TF och OSL handlar om hanteringen av allmänna handlingar.
Inera har per definition inte några allmänna handlingar och vad betyder då egentligen paragrafen i Ineras bolagsordning?
En generös tolkning är att man menar att Ineras handlingar ska hanteras som allmänna handlingar i myndigheter, regioner och landsting.
För att den handlingsoffentligheten ska fungera krävs bland annat diarieföring av handlingar där ärenden/handlingar får unika identiteter som går att söka fram och begära ut.
Om myndigheten, i det här fallet icke-myndigheten Inera, bedömer att det finns grund i OSL för sekretess för hela eller delar begärda handlingar ska ett sådant beslut lämnas skyndsamt med besvärshänvisning så begäran prövas i Kammarrätten.
Min nästa fråga blev därför: Tack!
Det innebär alltså att jag kan få ett formellt beslut med besvärshänvisning inom typ tre dagar?
Och svaret kom pronto: Ja, det stämmer.
Vill du alltså helst få ett formellt beslut?
Självklart vill jag ha ett formellt beslut men på vad?
Jag var tvungen att skriva tillbaka för klarläggande: Hej igen!
För att följa ert beslut om att efterleva OSL och TF bör jag få ta del av vilka handlingar och dess unika ID så att jag kan begära ut dem.
I policyn står inget om vilka övriga styrande dokument om ingår i ledningssystemet så därför behöver jag uppgifter om detta.
Exempel kan vara Riktlinje för åtkomst osv.
Dokumentnamnet kan inte falla under den sekretess ni hänvisar till.
Tyvärr har ni ju inget diarium på nätet så att jag själv kan söka reda på dessa uppgifter.
Jag skulle också vilja se beslut om till vilken instans ni skickar besvär i utlämnandefrågor.
När jag fått dessa uppgifter kan jag göra en formell begäran om utlämnande.
En vecka senare (30 augusti) kom svaret med en bilaga Hej Fia, Bifogad fil innehåller en beskrivning av Ineras ledningssystem och dess komponenter.
Den instans som är aktuell i besvärsfrågor är Kammarrätten.
Återkommer till innehållet i dokumentet senare men efter att ha läst beskrivningen skickade jag in följande begäran: Tack!
Jag har alltså fått en beskrivning av ert ledningssystem där ni bedömer att samtliga ingående dokument i sin helhet faller under OSL 18:8 § 3.
Förutom att jag tycker att det är tämligen unikt för Inera att se hela regelverket som fallande ur sekretess blir jag litet fundersam över vilka dokument i beskrivningen som är framtagna och beslutade.
Är beskrivningen en plan över vad som ska tas fram eller finns omnämnda dokument?
Och kommer Kammarrätten verkligen att anse att de är en instans för besvär gällande utbegäran om icke-allmänna handlingar (eftersom Inera inte är skyldiga att följa TF och OSL utan har det mer som en policyinriktning)?
Eftersom jag håller på att skriva om det just nu vill jag gärna pröva detta så jag begär ett formellt beslut angående utlämnande av följande dokument (eftersom de saknar unik identitet anger jag den beteckning som anges i beskrivningen): Jag förutsätter att ni gör en sekretessprövning som innebär att de delar av dokumenten som inte faller under reglerna för sekretess lämnas ut.
Förhoppningsvis håller ni också den praxis som gäller för skyndsam handläggning för denna typ av ärenden, d.v.s.
beslut inom tre arbetsdagar.
Idag den 3 september fick jag ett formell avslag med en besvärshänvisning där beslutet där samtliga handlingar i ledningssystemet förutom policyn i sin helhet bedöms i behov av sekretess.
Besvärshänvisningen är till Kammarrätten som kan göra en annan bedömning.
Själv är jag tveksam till om besvärshänvisningen verkligen fungerar eftersom Inera formellt inte faller under offentlighetsprincipen och de handlingar jag begärt ut därmed inte är att betrakta som allmänna vilket också fastslagits i ett liknande fall, då gällande (SKI).
Av rent intresse kommer jaag ändå att skicka in ett besvär.
Om vi ser till själva processen tycks Inera lägga betoningen på S snarare än O i OSL.
Det är tyvärr inte en ovanlig attityd bland myndigheter, det är klart att det är mycket bekvämare att arbeta bakom lyckta dörrar, men en mycket tråkig utveckling i ett samhälle där vi berömt oss för vår fina offentlighetsprincip.
Min fråga här blir hur syftet med informationsklassningen som säkerhetsåtgärd skulle kunna skadas om Inera lämnade ut beskrivningen av sin metod.
Eller hur riktlinjersin helhet skulle kunna vara känsliga.
För att undvika missförstånd: självklart finns det ingående beskrivningar av tekniska lösningar alternativt risker/sårbarheter som bör hållas skyddade för obehöriga (särskilt som Inera paradoxalt nog är frikostiga med tekniska beskrivningar .
Men styrande dokument på en högre nivå borde Inera ha all anledning att vilja sprida om man tar sitt uppdrag att ”koordinera och utveckla digitala lösningar” på allvar.
Eftersom vi vet att informationssäkerheten är så illa utvecklad inom sjukvården borde Inera föregå med gott exempel och visa upp vilken säkerhet man själv har i sin instans av 1177 till skillnad mot Medhelps hantering.
Vad skulle nyttan vara i att begränsa harmlös information om sitt säkerhetsarbete till sina ”kunder” om man hanterar personuppgifter för hela befolkningen och ett mycket stort antal aktörer är berörda av dessa regler på olika sätt?
En mer cynisk människa än jag skulle ifrågasätta att de dokument jag efterfrågar över huvudtaget finns annat än på ritbordet med tanke på att policyn antogs i mitten av juni i år och övriga dokument rimligen borde vara underdokument till den.
Jag väljer att tro att dokumenten i beskrivningen verkligen finns men det ledningssystem som framtonar liknar inget jag tidigare sett i en organisation med Ineras betydelse och ambition att följa ISO/IEC 27001/27002.
Policyn är som jag tidigare skrivit torftig och innehåller inte delar som ändå får uppfattas som praxis som exempelvis ansvar och roller, incident och kontinuitet vilket även är centrala aspekter för en tjänsteleverantör.
Dessa frågor återkommer inte heller på anvisningsnivå.
Inledningsvis sägs att: Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering.
Den ska också tillämpas i projekt och på förvaltningsobjekt.
Det är alltså en intern policy för bolaget Inera men vad säger det om informationssäkerheten i tjänsterna?
Och i relationen med kunderna?
När så basala frågor lämnas öppna är frågan vad policyn egentligen fyller för syfte.
Sammantaget är den bild jag får att detta inte ens om det blir genomfört skulle bli ett fungerande ledningssystem på det sätt som beskrivs i standarden.
Men då har jag som sagt inte sett själva dokumenten.
Kanske någon som är ”kund” i Ineras mening kan kolla på dessa dokument och återkomma med en beskrivning?
Ineras hemlighetsmakeri blir ännu mer märkligt med tanke på att ett flertal av de ägare som Inera kallar kunder villigt lämnat ut sina styrande dokument för informationssäkerhet när jag frågat.
Varför skulle större sekretess råda hos Inera?
Kanske är det ovanan att leva med en god offentlighetskultur som präglar Ineras synsätt.
På samhällsnivå är det i så fall ett stort problem om viktig information flyttas från öppna organisationer till slutna som Inera och SKL.
Jag tror att överdrivet sekretessläggande är till stor nackdel för säkerhetsarbete generellt men alldeles särskilt i sammanhang då en ett antal aktörer ska dela information, tjänster och infrastruktur.
Det måste finnas en grundlig kännedom och diskussion om gemensamma regler hos de som är aktörer i samarbetet men det måste också gå att presentera utanför den snävaste kretsen för att kunna skapa tillit.
Konsulter och leverantörer måste även de få inblick för att kunna utveckla sina tjänster så att de passar.
Detta gäller än mer om Inera ska axla rollen att stödja kommunerna i deras digitalisering.
Min förslag har sedan länge varit att ta fram gemensamma regelverk och skyddsnivåer för att skapa gemensam säkerhet och dessutom slippa de stora konverteringsproblem som uppstår då aktörer med olika regelverk ska samverka i samma infrastruktur.
Svensk digitalisering är i sig planlös men det skulle kunna gå att riva det Babels torn av språkförbistring som redan finns inom informationssäkerhetsområdet genom att skapa just gemensamma regelverk.
Jag gjorde ett försök 2014 när jag jobbade på MSB att få olika centrala aktörer att samverka men denna strategi har fallit i glömska trots ett flertal tunga undertecknare (bland annat SKL och Inera).
Idag är behovet av fungerande informationssäkerhet i vården större än någonsin finns det definitivt utrymme för Inera att kliva fram och göra mer av sitt uppdrag att ta fram regelverk för informationssäkerhet än det som nu finns presenterat på n, detta särskilt som SKL säger att man ska arbeta ”resolut” med att förbättra informationssäkerheten.
Ska man lyckas med det krävs dock öppenhet och dialog med de många aktörer som måste ingå i ett sådant förbättringsarbete.
Att hävda att sekretess råder för varje mening i styrande dokument på hög nivå är inte ett tecken på vilja till öppenhet och dialog.

Det är närmast en tradition att arkivutredningar inte kommer fram till något särskilt.
Att även är som en kompass utan visare ska kanske därför inte dömas för hårt.
Istället får vi tacka för det redovisande innehållet och söka de nödvändiga lösningarna på organisation och vision för hur det långsiktiga bevarandet av information ska ske på annat håll.
Själv pläderar jag återigen för framtagandet av en arkivstrategi där både vägval görs om vad som ska ses som ingående i arkivområdet och alla de spretiga som frågor som ändå kommer att återstå knyts ihop i en rörelse framåt.
Framför allt borde INGEN kunna blunda för att det ännu inte finns någon plan för hur all den information som skapas idag ska bevaras med kvalitet, säkerhet och autenticitet för framtiden.
Detta gör att övriga arkivfrågor i min värld framstår som petitesser.

juridiska, organisatoriska arkivteoretiska, tekniska Överenskommelse om kommunernas krisberedskap (dnr MSB 2018-09779) Överenskommelse om kommunernas arbete med civilt försvar (dnr MSB 2018-05681) Bilaga 1 omfattas av försvarssekretess (15 kap.
2 § offentlighets- och sekretesslagen (2009:400) och lämnas inte ut.
Riktlinje informationssäkerhet Anvisning för informationsklassicering Anvisning för informations- och it-säkerhet för medarbetare

Folkviljan utövas genom inom En av nätläkarna tycker att det verkar ha varit en bristfällig konsekvensanalys inför beslutet och att det är märkligt att SKL:s handlingar inte omfattas av offentlighetsprincipen.

Meny Offentlighetsaspekter

Den långsiktiga hanteringen av information Den nya informationsinfrastrukturen Den krympande andelen allmänna handlingar Information som samhällsresurs Bristande relation till näraliggande områden En strategi för den svenska arkivverksamheten

MENU MENU Postat av Postad i , , , , , Tagged , , , , , , Postat av Postad i , , Tagged , , , Postat av Postad i , , , , Tagged , , , , , , , Postat av Postad i , , Tagged , , , , Postat av Postad i , , , Tagged , , , Postat av Postad i , , , , Tagged , , , Postat av Hej!
Postad i , , , Tagged , , , , Postat av Postad i , , , , , , Tagged , , , , , Postat av Postad i , , , , , Tagged , , , , , Sök efter:

En myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap.
12 § tryckfrihetsförordningen och som myndigheten beslutar ska tas om hand för arkivering.
Det övergripande syftet är att säkerställa samhällets tillgång till allmänna handlingar både nu och i framtiden.
Härifrån till evigheten

Ibland behöver vi ta ett steg tillbaka och betrakta en till synes fast definierad problemformulering på litet avstånd för att se om det är ett tillräckligt bra sätt att förstå en viktig fråga eller om det kanske finns andra sätt att betrakta den.
Jag ska nu göra ett försök att vidga frågan om integritet i förhållande till vårdinformation i synnerhet men även till den information som skapas och bearbetas i offentliga verksamhet i allmänhet.
När vi pratar om den personliga integriteten idag handlar det i de flesta sammanhang om teknik som åtkomst till personuppgifter i it-system eller övervakningskameror.
Jag tror att detta är en alldeles för begränsade problemformulering när vi ser hur personuppgifter är det högoktaniga bränslet för multinationella företag som jag skrivit om .
Samma fenomen beskrivs i den mycket välförtjänt hyllade och lästa Konsulterna av Anna Gustafsson och Lisa Röstlund.
Vår nuvarande inställning bygger på att obehörig åtkomst till uppgifterna skulle skada vårt anseende, att intima uppgifter om oss själva skulle bli kända för ”fel” personer.
Det är en rättighetstradition som bygger på tanken att vi har en rätt till en privat sfär och även till att kontrollera ”bilden” av oss själva.
Det är i min mening en alldeles rimlig uppfattning att känsliga uppgifter om oss endast ska vara åtkomliga för de som verkligen behöver dem, t.ex.
för att ge oss rätt vård.
Det är också en inriktning som fungerat i den svenska vården sedan patientjournalerna övergick från att vara räkenskapsmaterial till att bli stöd för vård och behandling.
En snabb och hårdragen exposé skulle kunna se ut som följer.
I och med att den svenska vården till sin absoluta merpart varit offentligt finansierad och offentligt utförd under i princip hela 1900-talet har vårdinformationen varit allmänna handlingar som ägts av vårdgivaren och i väsentliga delar bevarats i och med att sjukvårdshuvudmännen (landsting/regioner) har åtagit sig att bevara alla läkarförda journaler för all framtid.
Förutom att detta förhållande har gynnat patienterna som kunnat få vård grundad på vederhäftig information har det gett Sverige ett unikt forskningsläge med tillgång till en hel befolknings data om hälsa och vård i ett välordnat system.
Förutom att det är lätt glömma bort att vi faktiskt haft mycket väl utvecklad hantering av patientdata i över ett sekel är det också lätt att glömma bort att detta bygger på ett samhällskontrakt som kan ses som en del i den svenska välfärdsstaten.
Ungefär: högkvalitativ vård och en avancerad forskning finansieras via skatten och dina vårduppgifter används för att ge dig själv och andra patienter bättre vård.
Förutsättningen för kontraktet var 1) att patientuppgifterna användes för etiskt prövad akademisk forskning och 2) att patientuppgifterna omgavs med sekretess och att det fanns hög grad av spårbarhet i vilka som tagit del av dem.
Jag vet att så fort man säger eller skriver att patientuppgifterna omgavs med höga krav på sekretess så kommer det alltid ett antal människor rusande och återger hårresande berättelser från gamla journalarkiv.
Min utgångspunkt är vad lagstiftning i form av bland annat patientjournallagen betonade och studier som gjorts av journalhantering under 60-80-talet samt de mycket konkreta erfarenheter jag har av praktisk journalhantering samt sekretessmedvetande från ett antal år i olika typer av vårdverksamheter.
Personligen har jag tycket att detta varit ett bra samhällskontrakt som bygger på ett stort mått av tillit och har ofta argumenterat emot dem som menat att patienten själv ska äga sin journal eftersom det, enligt mig, skulle leda till stora nackdelar både för patienten och för samhället.
Tyvärr har jag varit tvungen att börja ompröva detta efter de senaste decenniernas digitalisering inom sjukvården.
Om vi tar det aktuella exemplet Region Stockholms för hälsodata liksom NKS intention att lämna ut stora mängder patientdata via BCG till amerikanska företag måste vi kanske övergå till ett annat sätt att se på integritet.
Kanske måste vi lämna den traditionella svenska uppfattning och se på integritet som en äganderätt vilket är ett synsätt som varit etablerat i mer konservativa tanketraditioner som exempelvis Nozick med efterföljare.
Det skulle i detta alltmer kommersialiserade sammanhang där personuppgifter blivit guldet eller kunna tolkas som att din äganderätt av dig själv också innebär att du också äger den eftertraktade resursen som dina personuppgifter utgör.
Om du äger uppgifterna måste också ha rätten att avgöra hur de får användas utöver exempelvis vad vården kräver.
Detta är ett synsätt som går emot den rådande trenden inom svensk sjukvård där inte ens tycker de mycket begränsade möjligheter till samtycken ska få finnas kvar utan hanteringen av personuppgifter ska ske långt över huvudet på patienterna.
En randanmärkning är att sjukvårdspolitiker och SKL inte riktigt tycks acceptera gällande lagstiftning som den gällande spärrar, integritet eller molntjänster.
Istället för att inrätta sina verksamheter så att de följer lagstiftningen lägger man all energi på att argumentera för att lagstiftningen ska ändras.
Det känns inte som allt igenom konstruktivt förhållningssätt och min uppfattning är att detta är en delförklaring till den haltande digitaliseringen av vården.
I ovan refererade debattartikel förefaller inriktningen vara att patientuppgifterna generellt liksom i centret för hälsodata få användas för random ändamål för var går gränserna för ändamål som exempelvis life science, kvalitetsutveckling och uppföljning?
Det är aningen förbryllande att de politiker som kallar sig liberala tycks minst intresserade av liberala värderingar och individers rättigheter utan har en närmast kinesiskt touch i synen på relationen mellan individ, kapital och staten.
När jag läser om Centrum för hälsodata tänker jag också hur Region Stockholm ständigt upprepade bristande affärssinne som i utförsäljningar av allmän egendom till totala underpriser.
Nu ska man sälja hälsodata till ”självkostnadspris”.
Varför ska kommersiella företag inte betala marknadspris för den råvara som personuppgifterna utgör?
Även om det i mina ögon är en olycklig utveckling inte minst för den medicinska forskningen vill jag ändå pröva tanken på hur det skulle se ut om vi ägde vår egen patientinformation.
Det finns liksom ingen fördel för svenska patienter att lämna data till amerikanska försäkringsbolag eller som stöd till företagen i det som Zuboff kallar den multinationella övervakningskapitalismen.
Om vi ska ersätta tillitsbaserade relationer med kommersiella måste detta ske på ett sätt som inte bara gynnar den ena parten.
Vi skulle kunna laborera med möjligheten till en digital valfrihet där man som patient fick en äganderätt till sina patientuppgifter och därmed kunna bestämma över hur de får hanteras.
Exempelvis kryssa i ett formulär med alternativ som Mina patientuppgifter får användas: Till detta kan läggas verklig anonymisering som alternativ på samtliga val.
Patienten kanske ska erbjudas möjligheten att få ta ut ersättning då personuppgifterna säljs till kommersiella aktörer och då inte ”självkostnadspris” utan ett reellt pris.
Detta tror jag vore ett bra sätt att återföra makten till patienten, sätta till press på sjukvårdshuvudmännen att ta frågan på allvar och att utveckla privacy by design vilket ju är ett lagkrav för de som glömt bort det.
Ett annat resultat vore möjligen också att patientföreningar som representerar patientens olika intressen kunde bildas och utgöra ett komplement till de patientföreningar vars oberoende kan . En ny sorts patientföreningar skulle kunna bli förhandlingspartners och förhandla fram bättre priser än självkostnadspris för råvaran.
Tanken svindlar för vilka möjligheter som skulle kunna öppnas.
Resonemanget om en digital valfrihet för individen kan med fördel även tas in i diskussionerna om öppna data.
Jag är inte säker på om jag håller med mig själv men jag tror vi som verkligen är intresserad av den personliga integriteten måste börja fundera på hur vi ska kunna hitta verktygen i en ny tid.
Även för den som är relativt insatt i svensk hälso- och sjukvård och dessutom fortlöpande läst DN:s långa rapportering om alla turer i NKS:s skandalen är ”Kampen om Karolinska.
Konsulterna” av journalisterna Anna Gustafsson och Lisa Röstlund en upprörande och i vissa stycken hjärtslitande läsning.
Sammanställningen av en lång rad av medvetna beslut av den politiska majoriteten under ett antal år som lett till en alltmer katastrofal situation är skakande och i förstone närmast obegriplig.
Att denna politiska revolution av den stockholmska sjukvården kunnat genomföras trots att den kantats av ekonomiska haverier i en hittills okänd skala, personal som flyr eller är helt uppgivna samt i sin yttersta konsekvens patienter som faktiskt dör på grund av omorganisationen.
Boken ger en mycket grundlig och researchad beskrivning av förloppet, dessutom välskriven.
Jag kommer inte här att gå in på djupet i boken utan rekommenderar den som sommarläsning för alla.
Som konsult kan jag särskilt uppmuntra andra konsulter läsning och därefter visst begrundade av vilken skada man kan göra om man som konsult driver sin egen agenda i kundens organisation.
Det är inte en särskilt hårfin skillnad mellan att ha integritet och att driva sina egna intressen hos kunden.
Efter att ha arbetat i offentlig sektor är det vissa drag i historien obehagligt välbekanta som övertron på att gigantiska omorganisationer löser problem och managementkonsulter som löper amok och kör över alla som har någon slags kompetens, d.v.s.
Den tystnadskultur som drivits fram vid NKS där enbart lovprisning av den värdebaserade vården tolererats är inte heller den ett unikt fenomen utan en sjuka som enligt min uppfattning äter sig allt djupare in i den offentliga sektorn generellt.
Det till synes oreflekterade upphöjandet av nya organisationsteorier som frälsningslära är inte heller unikt för NKS med sin värdebaserade vård.
Själv har jag varit med om allt från LOTS till Lean via lärande organisation, det sistnämnda något ironiskt eftersom varken landstingspolitiker eller myndighetschefer verkar lära sig något av de misslyckade organisationsexperimenten – snabbt är man på nästa modeteori.
Själv har jag mycket liten tilltro till att omorganisationer löser större problem, och för detta finns det heller föga stöd i forskningen.
Men för den ledare som vill sätta sitt märke på kommunen, regionen eller myndigheten kan en stor omorganisation vara det som skapar synlighet och inge en känsla av handlingskraft.
Region Stockholm har dock tagit vissa fenomen till en ny nivå.
Varför den borgerliga majoriteten med m och kd i spetsen valde en ekonomisk driftform (OPS) som blivit många gånger dyrare än att bygga och drifta det nya sjukhuset i egen regi saknar fortfarande rimliga svar förutom att de drevs av en nyliberal överideologi.
För den intresserade som vill djupdyka i denna del finns SvD-journalisterna Henrik Ennart och Fredrik Mellgrens bok ”Sjukt hus: om Nya Karolinska – svindlerierna, skandalerna och sjukvårdskrisen i Stockholm”, också den mycket läsvärd.
Stockholmare kommer att dras med effekterna av denna mycket dåliga affär i decennier framåt.
Att man dessutom låtit konsulter från BCG skicka in juniora konsulter, fakturera vilt samt anställa sina gamla kollegor är även det ganska många snäpp mer än vad som brukar förekomma.
Lägg därtill alla turer där anställda på KI även driver företag tillsammans med amerikanska intressen och försöker påverka utvecklingen av den stockholmska sjukvården så det gynnar de egna företagen snarare än patienterna och vi har en soppa som inte skådats i Sverige i modern tid.
Särskilt oroande blir detta med tanke på att hälso- och sjukvård är en av de sektorer som är mest utsatta för korruption vilket det finns ett aktuellt Konflikt om .Det tål att påminnas om den gamla sanningen att Sverige löper en stor risk för korruption eftersom vår självbild är att vårt samhälle är immunt mot korruption.
För mig har det dock varit av särskilt intresse att ta några steg tillbaka och sätta den värdebaserade vården och den informationshantering som följt med den i ett större historiskt och politiskt perspektiv.
Jag pratar då inte om de ”normala” it-haveriförloppen inom den svenska sjukvården och framför allt Region Stockholm där först politiker går ut med löften om fantastiska nya som sedan .
Därefter glöm, få andra att glömma och upprepa.
Nu pratar vi om en informationshantering med risker på en hel annan nivå och inbyggda i själva styrningen av sjukvården.
Den värdebaserade vårdens ledande företrädare Michael Porter (forskare i management och strategi, inte medicin) brukar enligt författarna av sammanfatta sin teori i ekvationen .
Resultatet mäts i hög grad utifrån patientens upplevelse, inte ett faktiskt mätbart resultat vilket känns fascinerande paradoxalt eftersom modellen i övrigt bygger på att mäta, mäta och åter mäta.
Observera att jag inte på något sätt ifrågasätta patientens rätt att känna sig nöjd med och delaktighet i sin vård utan invändningen ligger i att det finns få så luriga mått som upplevd nöjdhet samt att detta är ett mått är skräddarsytt för en konkurrensstyrd kommersiell verksamhet.
Redan här kan man se hur valet av vårdmodell klickar i den ideologiska revolutionen av den stockholmska sjukvården.
Den värdebaserade vården satt i system förutsätter en gigantisk datainsamling för att verkligen kunna bedöma vilken aktör som vid varje tillfälle lyckas lösa Porters ekvation bäst.
Förutom att i sig skapar det NPM-inferno som även känns igen från den svenska skolan med överdokumentation och rapportering med efterföljande stress är detta en modell som illa överensstämmer med en offentligt finansierad vård.
Istället för att ta det ansvar som krävs för bland annat multisjuka äldre maximeras istället vinsten i modellen för de vårdgivare som avverkar enskilda vårdepisoder snabbast.
Som så ofta i den moderna vårdens historia har frälsare av Porters typ fått dominera och hävda att sjukvård kan ses på precis samma sätt som bilfabriker.
Och varje gång havererar de löpande bandsprinciperna utom i vissa specifika operationstyper eftersom människor envisas med att ha kroppar och sinnen som är så mycket mer unika och komplexa än nyproducerade bilar.
Skandalen på NKS gör dock att jag (och förhoppningsvis andra) får upp ögonen för hur det ekonomiska skede vi lever i fungerar.
Sedan åtminstone 70-talet har vi vetat att vi lever i ett informationssamhälle men vad betyder egentligen det?
Inte bara att vi får en massa nya coola prylar och kan kommunicera via the world wide ( wild) webb utan att vi faktiskt gått in i en ekonomi som har information som sin huvudsakliga råvara.
Den amerikanska professorn i social psykologi Shoshana Zuboff har i sin mycket omskriva beskrivit framväxten av hur det ekonomiska systemet byggt på information som råvara fungerar.
Ofta tolkas hennes teorier endast i förhållande till Google, Facebook och liknande plattformar som .
Att se Zuboffs bok snävt som en beskrivning av hur Google och Facebook fungerar är fel menar jag.
Bland annat den globala hälso- och sjukvårdsmarknaden fungerar idag enligt samma grundprinciper.
I fallet med NKS, BCG och den värdebaserade vården blir det uppenbart hur ekonomiska intressen utanför NKS, Region Stockholm och Sverige ser den svenska sjukvården som en naturresurs att utvinna.
Zuboff är inte ensam i sitt uppsåt att skildra den digitala ekonomins framväxt men hon gör det på ett sammanfattande och övertygande sätt (och med en titel som för tankarna till favoriten bland författare till breda historiska exposéer Hobsbawm).
Mycket grovt förenklat kan Zuboffs skildring av övervakningskapitalismens era ses som ett skede där teknisk innovation korrelerar med framför allt två huvudsakliga faktorer: att det från 70-talet växer fram en nyliberal hegemoni i västvärlden och efter 11 september 2001 ett samhällsklimat som präglas av en allt starkare befogad eller obefogad känsla av otrygghet.
Nyliberalismens huvudkonflikt kan, även detta starkt förenklat, ses som en maktkamp mellan statlig/samhällelig reglering och de fria marknadskrafterna.
Under de senare decennierna av förra århundradet och de två i vårt nuvarande har en systemförändrande avreglering skett och ersatts av metoder som compliance och standarder där marknaden påstår sig kunna reglera sig själv.
Kombinerad med den konsekventa nedmonteringen av rätten till integritet som motiverats av att kunna förhindra terrorism och andra brott har kapat både samhällets och individens förmåga att på ett effektivt sätt skydda sig, eller ens vilja skydda sig, mot att personlig information utan insyn och kontroll används som råvara.
När informationen blivit råvara förflyttas äganderätten av uppgifterna från individen till det företag som kan hävda sig ha ”förädlat” den (här finns en intressant koppling till Nozick som jag inte hinner utveckla närmare men låt mig ändå säga att jag ser Nozick som själva gudfadern till berättigandet av utvecklingen).
I denna historiska korsväg utvecklar först Google och därefter bl.a.
Facebook sina tjänster.
I lika hög grad som att erbjuda användarna möjlighet att utbyta information sinsemellan börjar företagen exponentiellt samla allt mer information om användarnas beteende.
I förstone motiveras detta med att det ska ge underlag för att ge användarna allt bättre tjänster för att sedan allt mer tydligt ge stöd för riktad marknadsföring.
Med den fullständigt enorma informationsbas av överskottsinformation som Google byggde upp kunde de göra så annonsörerna kunde få stor träffsäkerhet i sin annonsering.
Steget efter att ge sökvägar till annonsörerna var det som Zuboff menar är det verkligt revolutionerande: ett överskott av information rörande användarnas beteende som med algoritmernas hjälp går att användarnas behov: Instead, we are the objects from which raw materials are extracted and expropriated for Google’s prediction factories.
Förutsägelserna berör inte bara den enskilda användarna utan, viktigare, på gruppnivå.
Ett positivt exempel är när det genom användares sökningar på Internet går att förutse influensaepidemier.
Obehagligare när en kvinna börjar få annonser om mammakläder i sitt flöde redan innan hon själv vet att hon är gravid… Den verkliga vinsten i att inte bara veta hur folk/kunder beter sig när de får hålla på som de vill utan när tjänsteleverantörerna påverkar kunderna att agera på ett sätt som gynnar leverantören utan att ens fatta det.
Tjänste- och plattformsleverantörer har, som Zuboff visar, ända sedan början haft ett gemensamt intresse och samarbete med statliga myndigheter i USA och annorstädes vilket inte gör osynliga men obetvingliga styrningen mycket skrämmande.
Den generellt positiva syn som många säkerhetsmänniskor har till övervakning blir satt i detta sammanhang oroande naiv.
Marknadspotentialen i att ha tillgång till oceaner av information om beteenden är omätbar inte bara i första läget för det egna företaget utan framför allt som en förpackad kommoditet som kan säljas vidare.
Sätt då detta i korrelation med en bransch som omsätter mellan 10 och 20 % av BNP i västvärldens länder, är i snabb global tillväxt och dessutom samlar in och bearbetar känslig personlig information om alla invånare.
Landskapet som NKS och den värdebaserade vården sätts i kan liknas vid det El dorado som conquistadorerna drömde om, med skillnaden att Sverige verkligen finns och har kvalitetsregister och patientjournaler för hela befolkningen.
Det vill säga ett verkligt El dorado för inte bara vård- och läkemedelsföretag utan även försäkringsbranschen.
Cyberrymden är en ny jättekontinent som exploatörerna vill hålla så fri från reglering som möjligt.
De fantastiska marknadsmöjligheter som ligger i att kunna prognosticera patienter och försäkringstagarnas utveckling är oöverblickbara.
Denna sanning uttrycks explicit i ett citat av en högt uppsatt tjänsteman på Karolinska som inleder avsnittet som är mycket lämpligt benämnt ”Guldet” i DN-journalisternas bok: Det är en sak som BCG och bolagen de jobbar med främst vill åt.
Det är patientdata som är deras bitcoins.
Däri ligger den stora affären i värdebaserad vård.
Vi måste lära oss att leva med att Sverige med sin långtgående nyliberalism i kombination med de kvalitetsregister som på frivillig basis byggts upp under mycket lång tid tillsammans alla övriga patientdata kommer att ha ofattbar dragningskraft på internationella företag.
Det gäller på samma sätt för all annan information inklusive personuppgifter som sammanställs av svenska myndigheter.
Det viktiga är att detta hanteras på ett öppet sätt där inte bara företagen blir nöjda utan att även kärnverksamheten och dess avnämare som patienter och medborgare.
När man ser mekanismerna som varit i kraft vid NKS kan jag inte låta bli att undra över exempelvis satsningen på När satsningen presenterades av Göran Hägglund (numera tryggt förankrad i privata vårdföretag) framställdes som en särskild USP att app-leverantörer och andra entreprenörer skulle kunna bygga tjänster på de datamängder som insamlades.
Vad var egentligen hönan och vad var ägget i Hälsa för mig?
kan ses i full careta när det gäller även härvan på NKS och den värdebaserade vården.
Lobbyismen, parasiterandet på akademin och de vilseledande budskapen om vem som gynnades.
Utan att ta partipolitisk ställning tycks för närvarande samhällets förmåga att hantera en skandal som den vid NKS undermålig.
Inget ansvarsutkrävande av de verkligt ansvariga, d.v.s.
de politiker som fattat samtliga beslut både när det gäller byggnation, värdebaserad vård, konsultanvändande och it-system, har skett.
Fristående och seriös journalistik förefaller vara det enda sättet för att skapa den insyn och kontroll som de offentliga institutionerna inte är intresserade av att själva bygga upp vilket i sig är en dyster insikt.
I detta sammanhang är en stilla önskan att hela e-hälsoområdet kommer att locka till sig lika envetna, seriösa och välskrivande journalister som de som nu skrivit ”Konsulterna”.
Ett helt ofarligt löfte att ge är att det finns lika mycket att gräva fram om e-hälsa som om NKS!
Det är lätt att hamna i en politisk depression när man funderar över hur digitaliseringens starka krafter ska kunna tyglas för att dra åt ett håll som gynnar hela samhället och så att individen har en basal möjlighet att upprätthålla sin integritet.
Att krafterna som motverkar integritet är mycket kraftfulla är uppenbart och argumentationen från de kommersiella aktörerna mot integritet som hindrar affären dominerar även i ett stort antal myndighetsutredningar har jag länge observerat.
Den sittande majoriteten i Region Stockholm gjorde det till och med till ett vallöfte att göra stockholmarnas patientdata tillgängligt för industrin.
Trots detta drabbades jag litet av en chock när jag i slutet av ”Konsulterna” får läsa att OECD antagit värdebaserad vård som strategisk inriktning och kräver att medlemsländerna, däribland Sverige, ska dela patientdata via en jättelik gemensam databas, ”Parisdatabasen” där OECD är ägare till uppgifterna.
Detta sker i samarbete med – BCG… Databasen vars nytta bedöms oklar av Socialstyrelsen och vars syfte inte klart har definierats anses ändå oumbärlig.
Särskilt upprörande är att det inte går att avtala vem som ska få tillgång till informationen utan har beskrivits som ”OECD och framtida samarbetspartners”.
Ganska långt från dataskyddsförordningens regler är väl ett understatement.
Jag uppmanar alla intresserade att hålla ögonen på detta projekt, särskilt som det verkar som att OECD i aggressiva ordalag kräver in uppgifter trots svenska myndigheters tveksamhet.
Landsting och regioner är däremot föga förvånande positiva, en nödvändig levnadsregel är nog: lita aldrig på en region i integritetsfrågor.
Vad kan då göras?
Jag menar att vi måste kunna införa ett slags samhälleligt marshmallows-test där vi vågar utreda vår nya situation och skaffa oss nödvändiga redskap för att styra utvecklingen åt ett håll som gynnar flertalet och inte bara viljelöst följa med.
Oavsett politisk uppfattning bör vi kunna komma överens om att de intressekonflikter som finns i den digitala utvecklingen måste lyftas fram och diskuteras så att åtminstone invånare i demokratier har möjlighet att ställning till hur de vill ha framtiden.
Ett konkret förslag är att tillsätta en etisk kommitté med uppdrag att fortlöpande utvärdera och ta ställning till större initiativ inom digitaliseringsområdet.
DIGG kan vara sammankallande och sköta kansliet för kommittén men ett antal mycket fristående och erkänt motspänstiga ledamöter av typen filosofer bör ingå.
Otillräckligt men kanske ett första steg på att erkänna att varje mynt har åtminstone två sidor, så även digitaliseringen.
Slutligen måste jag understryka att jag inte ger någon av de nämnda böckerna rättvisa utan uppmanar alla att själva läsa dem och bilda sig en egen uppfattning.
Själv fick jag min nya Fitbit igår… Tillägg 2019-06-18: Ett visst hopp angående möjligheten att OECD:s planer kan ändå skönjas i och med regeringens beslut att inte delta i uppbyggnaden av .
I maj när dataskyddsförordningen trädde i kraft inledde jag ett test: att genom att ställa frågor om hur mina personuppgifter hanterades i vården ville jag göra en temperaturmätning av den kontroll som vården generellt har över vårdinformationen.
För hälso- och sjukvård innebär (i princip) inte dataskyddsförordningen någon så stor skillnad eftersom både patientdatalagen och PuL redan gett patienten möjlighet att få tillgång till sin information och (i teorin) spärra åtkomsten till sin vårdinformation.
I verkligheten är det och har det sedan patientdatalagen varit svårt för att inte säga omöjligt att få veta hur patientuppgifter hanteras – det är i alla fall min uppfattning som jag ville pröva genom att begära upplysningar om mina egna vårduppgifter med stöd av dataskyddsförordningen.
Svaren på mina frågor var negativa (vilket jag kommer att återkomma till senare) men jag fick underlag rörande dagssituationen inom e-hälsoområdet.
Detta inlägg svävar ut in extremis och handlar om i vilket landskap som digitalisering av vårdinformationen sker.
Jag ska resonera om den bristande styrningen av e-hälsa samt pusta ut orosmoln om informationssäkerhet och det långsiktiga bevarandet av vårdinformationen.
I ett följande inlägg kommer jag att skriva mer om den bakomliggande juridiken.
Först till organisationen av den svenska sjukvården som förvånansvärt många som gör inlägg i e-hälsofrågor inte tycks bottna helt i. Tillåt mig att roa mig med en historisk utflykt.
Den svenska vården är i huvudsak offentligt finansierad via skattemedel.
Det regionala ansvarar för att erbjuda vård inom det egna upptagningsområdet enligt hälsosjukvårdslagen.
Men landstingen och regioner behöver inte själva vara utförare av all vård utan kan även vara privata.
Andelen privata vårdgivare har tillväxt mycket starkt under de senaste 20 åren men strukturen med självständiga landsting som sjukvårdshuvudmän har funnits sedan 1862 (med varierande uppdrag).
Redan här finns underlag för vanliga missuppfattningar om ansvar men också reella problem eftersom de flesta krav i föreskrifter m.m.
riktas mot vårdgivarna och inte sjukvårdshuvudmännen.
När det gäller säkerhet och integritet har dock vårdgivarna inte så stora möjligheter att påverka sin situation trots att de har ansvaret – de tvingas (formellt eller informellt) ofta av sjukvårdshuvudmän, SKL eller myndigheter att använda lösningar oavsett egna säkerhetskrav.
Landstingen är kommuner med en politisk ledning vilket gör att inriktningen för olika landsting och regioner kan variera.
För e-hälsan som av naturliga skäl blir allt mer nationell är detta en ansvarsfördelning som innebär stora problem, inte minst eftersom landstingspolitiker använt rollen för egna, i mitt tycke kortsiktiga, kampanjer.
En misstanke som gror är att e-hälsa används av politiker för att undkomma att diskutera den offentligt finansierade vårdens grundfråga: den nödvändiga prioriteringen.
Det är ett väl känt faktum att det inte finns någon bortre gräns för behovet av vård, det finns hela tiden nya sjukdomar och tillstånd som kan behandlas och definitionen av hälsa kan sättas så högt att inte minsta krämpa blir acceptabel.
Däremot är vårdens resurser begränsade – alltså måste prioriteringar ske.
Detta är den mest laddade av alla frågor för sjukvårdspolitiker eftersom prioriteringar ofelbart kommer att leda till att några patienter blir missnöjda.
Den som tillsattes i slutet av nittiotalet för att ge de lokala politikerna stöd i form av nationella prioriteringslistor släppte också snabbt den glödheta potatisen och lämnande ifrån sig litet allmänna rekommendationer om hur processen för prioriteringar skulle kunna ske .
Min teori är att politiker och högre tjänstemän i vården nu (omedvetet) använder e-hälsa som en dimridå för att undvika frågan om prioriteringar genom att hävda att e-hälsosatsningar skulle kunna leda till enorma effektivitetsvinster (som då underförstått skulle leda till att får den vård de vill ha).
I verkligheten sker en mycket negativ icke-styrd prioritering av sjukvårdsmedel genom bland annat kommersiella nätläkare där en ohelig allians mellan nätläkarnas ekonomiska intresse och människor med lättare krämpor prioriterar upp sig på bekostnad av andra med reella hälsoproblem.
En hårdvinklad beskrivning men ni förstår vad jag menar.
Detta sätter stark press på sjukvårdspolitiker som i vissa fall måste säga nej men hellre säger att e-hälsa kommer att lösa problemen.
Själv är jag positiv till de former av e-hälsa som leder till reella förbättringar men att tro att den ska kunna upphäva den omöjliga ekvationen mellan outtömliga behov och begränsade resurser är en vanföreställning som ansvarsfulla politiker borde göra upp med.
En annan viktig negativ faktor är SKL:s förändrade roll.
SKL driver sina medlemsorganisationers intressen i förhållande gentemot uppdragsgivaren staten, d.v.s.
att man vill att staten ska styra så litet som möjligt (även om det inte uttrycks preeeecis så) vilket ökar på fragmentiseringen ytterligare.
Den tidigare sammanhållande myndigheten Socialstyrelsen som var en beredande motpart för SKL blev sönderslagen för några år sedan.
Uppgifterna är nu fördelade på fyra myndigheter som tillsammans med Läkemedelsverket tycks ha ett tämligen lågintensivt samarbete.
SKL och sjukvårdshuvudmännen agerar som månghövdad maktfaktor utan eget ansvar i det tomrum som skapades när Socialstyrelsen nedmonterades.
Dessutom står e-hälsoområdet under ett starkt kommersiellt intresse, inte bara genom nätläkarna.
Den nära alliansen mellan känns inte helt betryggande för det kommande.
I den tidigare regeringen var två av hälso- och sjukvårdsministerns statssekreterare hämtade från it-leverantörer vilket Dagens samhälle skrev om förra året.
Förväntan på stora vinster inom vården och en kanske alltför nära relation är knappast positiva nyheter för patienter och skattebetalare.
Eftersom jag intresserat mig en hel del för den svenska sjukvårdens historia kan jag inte undgå att fundera över att maktbalansen mellan staten som är uppdragsgivaren och utförarna, d.v.s.
sjukvårdshuvudmännen (regioner och landsting) samt numera SKL, har förskjutits.
Att göra historiska jämförelser är alltid vanskligt men för mig går det inte att motstå frestelsen att försöka analysera varför e-hälsa och digitalisering relativt sett varit så litet framgångsrika samhällsprojekt i förhållande till de resurser som satsat.
Hade det gått att prata fram e-hälsa och digitalisering hade det svenska samhället genomgått ett Civilization-moment där den framgångsrike spelaren lyckas uppfinna elektricitet på 1100-talet.
Men tyvärr räcker det inte med miljontals power point bilder, konferensinlägg, möten, testbäddar och avgränsade dellösningar för att skapa infrastruktur.
I detta delar jag uppfattningen i om floden av åsikter.
Jag tror mig att se några orsaker till det haltande genomförandet av något som trots allt alla varit överens om ska genomföras.
Detta är en situation som i mycket liknar den som rådde från slutet av fyrtiotalet och i ett par decennier framåt då det skedde en så här i efterhand nästan ofattbar mobilisering och utbyggnad av den svenska hälso- och sjukvården.
När jag skrev en historik om den värmländska sjukvården häpnade jag över att landstinget under en tioårsperiod byggde inte mindre än fyra nya sjukhus!
Även om jag är starkt lockad ska jag inte gräva ner mig ytterligare i detta utan bara tacksamt konstatera att den samhälleliga kraftsamling är något som vi nu fortsätter att skörda frukterna av.
Hur kunde man lyckas med denna infrastrukturella revolution?
En första förutsättning var att det fanns en stark politisk enighet om att detta skulle genomföras även från de borgerliga partierna som annars kampanjade för skattesänkningar.
Men till skillnad mot e-hälsoutvecklingen (liksom digitaliseringen i övrigt) nöjde man sig inte med den politiska enigheten utan skapade även de institutionella förutsättningarna (för den som vill läsa mer om institutionella förutsättningar rekommenderar jag verkligen att läsa litet Lennart Lundqvist eller Bo Rothstein) för utbyggnad.
En viktig sådan var att skapa ett mycket genomarbetat kunskapsunderlag att ta ut riktningen ifrån.
I detta var utredningsväsendet mycket betydelsefullt, de utredningsinsatser som gjordes var av mycket hög kvalitet.
Häri ligger en väsentlig skillnad mot de utredningar och kommittéer som levererat förslag inom digitalisering och e-hälsa, jag nöjer mig med att instämma i de synpunkter som framförs i den här .
I utvecklingen fanns en mycket kraftfull och sammanhållande motor i Medicinalstyrelsen, sedermera Socialstyrelsen.
Det är idag nästan svårt att förstå hur inflytelserik myndigheten var och på vilken detaljnivå man styrde sjukvården.
Om vi bara ser till vårdbyggnader fanns det ett regelverk som ner till hur många luftkubik per vårdplats definierade hur sjukhusen skulle byggas.
Varje ritning på ny- eller ombyggnad måste skickas in för godkännande och stränga inspektörer åkte ut och kontrollerade att det som byggts höll måttet.
Landstingen var byggherrar och hade det praktiska ansvaret för byggande och vård men deras intressen samlade ingen front i Landstingsförbundet (en del av SKL:s föregångare tillsammans med Kommunförbundet) utan gick huvudsakligen via riksdagen.
Där fanns det som kallades ”landstingspartiet” eller ”landstingsbänken” där landstingsordförande som nästan undantagslöst även vara riksdagsmän kunde driva sina frågor – ofta i gott samförstånd oavsett partipolitisk tillhörighet.
Även detta var en viktig institutionell förutsättning eftersom det då fanns etablerade och lagfästa former för att lösa intressemotsättningar.
Idag är situationen radikalt annorlunda.
En viktig skillnad är förstås att det kommit in så många privata aktörer men också att när de gamla institutionerna revs ner ersattes de inte av nya som skulle varit verkningsfulla då man anammade new public management som grundfilosofi för den svenska vården.
Jag är för tillfället inne på att försöken att uppnå effektiv digitalisering och e-hälsa är bland de bästa exemplen på hur new public management på ett negativt sätt präglat svensk offentlig sektor.
Resultatet har bland annat blivit att Socialstyrelsen i accelererande takt fråntagits mandat och att sammanhållen utveckling ersatts med fragmentisering.
Intresseorganisationen SKL tycks inte heller längre gå via en beredning på myndighetsnivå utan direkt på regeringen och jag har t.o.m.
läst meningar som att ”regeringen bör SKL i uppdrag …”.
Den geografiska uppdelningen av ansvar var under perioden mindre problematisk än idag eftersom större delen av vårdens uppgifter kunde lösas inom varje landstings hank och stör.
När digitaliseringen tog fart i början av nittiotalet skapades överbryggande strukturer som exempelvis Sjunet och sedermera Carelink.
Nu finns både eHälsomyndigheten och Inera m.fl.
som utan tydlig gemensam strategi eller regelverk grejar i infrastrukturen.
Bortsett från det negativa i att sakna gemensam styrning ser jag det inte heller som problemfritt när digitalisering och e-hälsa blir frikopplade från den kärnverksamhet de ska utgöra stödfunktion för.
En annan aspekt som tycks ha glömts bort är vårdinformationens långsiktiga betydelse både för den enskilda patienten och för forskningen.
För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård.
Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades).
Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman.
Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän.
Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring.
Alla sjukvårdshuvudmän (alltså landsting/regioner) utom en om jag kommer ihåg rätt hade åtagit sig att bevara alla läkarförda journaler för all framtid.
Bakgrunden till detta var den enorma betydelse som den vårdinformation som arkiverats från sjuttonhundratalet och framåt haft för den svenska forskningen.
I PDL är kravet att en journal ska bevaras i minst tio är efter att sista anteckningen förts in i handlingen samt att journaler som allmänna handlingar ska hanteras som sådana.
Det är ungefär vad som stod i patientjournallagen också men nu är kontexten radikalt annorlunda och även innebörden av begreppen – vad är ens en ”handling” i dagens vårdinformation?
Bara den förändringen att betydligt mindre andel av vårdinformationen är allmänna handlingar och därmed kan gallras av den enskilda vårdgivaren är en stor risk.
Vissa sjukvårdshuvudmän har försökt reglera arkivfrågan i avtal med de privata vårdgivarna men detta är knappast tillräckligt.
Redan idag är det som presenteras på skärmen hos en vårdgivare en sammanställning av information ur en rad system och tjänster som kan finnas både inom och utom vårdgivarens organisation.
Detta är bara inledning av en utveckling där informationshanteringen kommer att bli organisatoriskt och tekniskt allt mer komplex.
För att bevara denna gigantiska informationsmassa för framtiden för att kunna serva patienter som envisas med att leva i bortåt ett sekel och för att kunna ge underlag för livsviktig forskning räcker det inte med att litet svävande beskriva ”e-arkiv”.
För mig är detta en mycket bekymmersam fråga och det förvånar mig att varken Riksarkivet eller de utredningar som genomförts gällande registerforskningen intresserat sig för detta.
Så här i slutet av litanian vill jag inte på något sätt hävda att vi kan använda gårdagens lösningar idag.
Däremot tror jag att det finns mycket att vinna på att ha ett historiskt perspektiv.
I detta fall vill jag lyfta fram behovet av kvalitativa kunskapsunderlag som är parlamentariskt förankrade, en långsiktig väl definierad inriktning, institutionella förutsättningar anpassade efter aktuell situation och en sammanhållande kraft med mandat att genomdriva beslutade lösningar.
Framför allt tror jag att vi måste erkänna att det finns intressemotsättningar och lyfta fram dem i ljuset för att kunna diskutera hur de ska lösas.
Ofta framhålls svårigheten med den geografiska uppdelningen, minst lika stor är den som handlar om de inte helt kompatibla intressena privata utförare och den offentliga finansieringen.
Hur dessa intressen ska balanseras mot varandra har hittills varit en icke-fråga i e-hälsosammanhang.
Det har vi inte råd att låta den fortsätta vara.
Om vi ska klara upprätthålla den väsentliga del i välfärdssamhället som den offentligt finansierade sjukvården utgör och dessutom införa dataskyddsförordning, NIS-direktiv, civil beredskap och allt annat så måste vi ändra bilden av e-hälsa.
Det handlar inte om att släppa ner litet slumpmässiga tekniska lösningar (gärna efter påtryckning av olika leverantörer) utan att se att det kräver samma mobilisering, organisation och koordinering som då sjukvården byggdes ut under efterkrigstiden.
Och glöm inte forskningen!

endast för min vård, den uppföljning är lagstadgad och tydligt definierad administrativ hantering utöver ovanstående även akademisk forskning där resultaten kommer samhället till del utöver ovanstående även akademiskt forskning i kommersiell regi för kommersiellt bruk oavsett bransch

förutse sjukvårdsvårdshuvudmännen vårdgivare alla

Meny Patientuppgifter

MENU MENU Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , , , Tagged , , , , , Postat av Postad i , , , , , , , , Tagged , , , , , , , Sök efter:

Konsulterna vårdresultat/kostnad=värde The Age of Surveillance Capitalism

Jag har tagit del av den granskningsrapport som KPMG genomfört på uppdrag av Region Stockholm efter 1177-skandalen och som av en händelse (?)
publicerades dagen för midsommarafton.
Rapportens omfång motsvarar på intet sätt skandalens omfång utan är ett luftigt dokument på 14 sidor inklusive bilagor.
Att rapporten är tunn räknat i sidor behöver naturligtvis inte påverka skärpan i analysen men som rätt luttrad granskare av informationssäkerhet känns de 14 sidorna som rätt kraftigt i obalans med uppdragets genomförande och omfattning: Granskningen har omfattat en kombination av IT-revision, inhämtning av information från tillgänglig dokumentation av karaktären styr- och stöddokument, uppföljningsrapporter samt intervjuer med nyckelpersoner.
Granskningen har utgått från vedertagna granskningsmetoder inom området informationssäkerhet, vilket omfattat såväl Vårdgivaren och dennes underleverantörer som Region Stockholm genom HSF.
En lista över de personer som intervjuats återfinns i bilaga 2.
Granskningen har genomförts under maj-juni 2019.
Vidare är rapportens utformning i avvikelseformat där endast väsentliga iakttagelser har lyfts fram med förslag på förbättringsåtgärder, inklusive eventuella behov att förtydliga avtal, uppföljningsrutiner och processer för att minimera att motsvarande inträffar igen.
Att på så få sidor beskriva Region Stockholms, Medhelps och ett antal underleverantörers styrning av sin informationssäkerhet, vad som gått fel och vad som bör göras för att undvika att systemfel som det inträffade upprepas känns inte riktigt seriöst.
Den sammanfattande bedömningen är dock på allvar oroande: Vår övergripande bedömning är att HSF bör se över kravställningen på informationssäkerheten i samband med upphandlingar samt att uppföljningsprocessen behöver struktureras och formaliseras för icke funktionella krav, däribland informationssäkerhet.
I allt väsentligt behöver kravställningen preciseras för att säkerställa att leverantörerna är införstådda i HSF:s förväntningar, men även för att öka den interna förståelsen för hur kraven ska följas upp.
Att avtalskraven beträffande informationssäkerhet är allmänt hållna, samtidigt som standarden inom området inte är fullt integrerad i HSF:s verksamhet, innebär i praktiken att Vårdgivarens hantering av informationssäkerhet endast har följts upp i begränsad omfattning.
Vad gäller Vårdgivaren kan vi konstatera att det inte finns något dokumenterat ledningssystem för informationssäkerhet samt att det förekommit brister i rutinen för utvärdering och uppföljning av underleverantörer till vårdtjänsten.
Vi noterar dock att Vårdgivaren, sedan incidenten, arbetar med en åtgärdsplan för att förbättra informationssäkerheten, rutiner beträffande kontroll av leverantörer samt planerar för en certifiering inom ISO 27001.
Vi noterar att de akuta bristerna hänförliga till incidenten har hanterats, bland annat genom den skyndsamma nedstängningen av den felkonfigurerade servern, uppsägningen av avtalet med underleverantören som givit upphov till incidenten samt inhämtandet av all patientinformation till Vårdgivarens egen tekniska lösning.
Vi har dock identifierat ett antal framåtblickande förbättringsområden som rör HSF:s övergripande arbetssätt beträffande informationssäkerhet, fördelningen av roller och ansvar samt metoden för hantering och uppföljning av leverantörer.
Vidare har vi även identifierat åtgärder hänförliga till Vårdgivarens arbete med informationssäkerhet och den planerade ISO-certifieringen samt sättet till vilket Vårdgivaren arbetar med att vidareförmedla HSF:s avtalskrav beträffande informationssäkerhet.
HSF är alltså Hälso- och sjukvårdsförvaltningen i Region Stockholm och vårdgivaren Medhelp.
Att Region Stockholm inte lyckas formulera tydliga säkerhetskrav i upphandlingar i en så central tjänst som 1177 är i sig skandalöst.
Att sedan Medhelp som vårdgivare helt saknar ledningssystem för informationssäkerhet och att Region Stockholm inte ens ställt krav på en så grundläggande nivå är information som bekräftar min bild att den svenska sjukvården fortfarande ignorerar behovet av informationssäkerhet.
1177-skandalen var trots allt bara sten som vändes, om än stor.
Det som verkligen oroar är de brister i Region Stockholm säkerhetsarbete som avslöjas indirekt i rapporten.
Dessa brister gör det mycket sannolikt att 1177 bara är en del i större systemfel där patienters hälsa och integritet är i en ständig riskzon om rapportens uppgifter stämmer.
Ta till exempel följande iakttagelse från granskarna: HSF saknar ett fullständigt ledningssystem för informationssäkerhet (LIS).
Enligt den regionsövergripande informationssäkerhetspolicyn ska varje nämnd införa ett lokalt ledningssystem för informationssäkerhet.
I förekommande fall har HSF tagit fram lokala styrande dokument för informationssäkerhet, men dessa återspeglar i allt väsentligt de styrdokument som finns på regional nivå.
Graden av verksamhetsanpassning är relativt låg och förvaltningen har inte tagit fram några instruktioner eller utvecklat processer för hanteringen av informationssäkerhet.
Vi noterar att instruktioner håller på att arbetas fram, men dessa berör hanteringen av portabel IT-utrustning och syftar således inte till att tydliggöra riktlinjerna för hur förvaltningen.
Region Stockholm har alltså inte tagit fram säkerhetsregler för avpassade för sjukvården utan i huvudsak nöjt sig med de generella för regionen (trots att det funnits en föreskrift att så ska göras sedan 2008 SOSFS 2008:14) och att man inte heller är på väg att göra det för mer än för bärbar utrustning.
Jag tror redan den som rent tillfälligt jobbat med informationssäkerhet i vården förstår hur mycket arbete och eftertanke som krävs för att anpassa generella regler så att de fungerar i vården, t.ex.
bara att ge en uttolkning av ansvasförhållandena för informationshanteringen är en mycket komplex fråga.
Situationen i Region Stockholm gäller även hos Medhelp som inte heller har förmåga att ställa relevanta krav på sina underleverantörer: Processer och rutiner ska finnas för att säkerställa uppfyllandet av Socialstyrelsens krav på informationssäkerhet.
Vårdgivaren har inget dokumenterat LIS och det är vår bedömning att vissa processer saknas för att kunna försäkra att kraven uppfylls.
Vi noterar exempelvis att Vårdgivaren, i enlighet med vedertagna standarder och god praxis, inte har ställt ändamålsenliga krav på samt följt upp leverantörers hantering av informationssäkerhet.
Vidare anger Socialstyrelsen att vårdgivare ska ha en informationssäkerhetspolicy som anger mål och inriktning på verksamhetens arbete med informationssäkerhet.
Vi har identifierat att Vårdgivaren har antagit en informationssäkerhetspolicy i maj 2019.
Vi noterar i sammanhanget att Vårdgivaren planerar för en certifiering inom ISO 27001 till kvartal 2, 2020 samt har ett ledningssystem för GDPR.
Den här råttan-på-repet situationen illustrerar väl varför startpunkten för att förbättra säkerheten i vården på måste ligga på sjukvårdshuvudmännen eftersom det är huvudmännen som utformar förutsättningarna för de övriga aktörerna.
Tyvärr har ju lagstiftning och föreskrifter i huvudsak varit inriktade på vårdgivarna vilka i praktiken numera har svårt att ens den egna informationssäkerheten eftersom informationen hanteras i gemensamma lösningar.
Det är därför extra nedslående när sjukvårdshuvudmännen väljer att inte driva frågan ens i den egna verksamheten och inte heller att respektera de föreskrifter som finns.
Framför allt är det en fråga där det inte skulle behövas en föreskrift för att få de styrande i Sveriges största sjukvårdshuvudman att inse behovet av att styra informationshanteringen så att patienterna kan lita på att få god och säker vård.
I den kommentar som regionens ansvariga för vård upprepar man att man ska införa emen fokuserar i åtgärderna huvudsakligen på underleverantörerna.
Men att styra underleverantörerna utan ett eget fungerande regelverk är ett moment 22 som även granskarna noterar: HSF ställer inte tillräckligt tydliga krav på sina privata vårdgivare vad gäller deras informationssäkerhet.
Kravställningen på informationssäkerhet sker genom tillämpningen av en standardbilaga, vilken anger att leverantörer/vårdgivare ska följa regionövergripande styrande dokument för informationssäkerhet.
Vi noterar att de styrande dokumenten, i sin tur, anger att informationssäkerheten hos de som arbetar på uppdrag av Region Stockholm ska regleras genom avtal.
Vår bedömning är att dessa hänvisningar kan ge upphov till skiljande uppfattningar gällande kravbilden på informationssäkerheten.
Med hänsyn till att Socialstyrelsen anger som krav att vissa kontrollmål ska uppfyllas beträffande informationssäkerheten, företrädesvis med stöd av ett LIS enligt standarder i ISO 27000-serien, är det även vår bedömning att HSF:s tillkommande avtalskrav endast ger en begränsad effekt vad gäller att tydliggöra förväntningarna på de privata vårdgivarna.
Jag ska inte tjata mer om hur uppseendeväckande det är att Region Stockholm trots föreskrifter, alla incidenter och trots alla granskningar genom åren ändå inte prioriterar att införa ens ett regelverk för vården att utgå ifrån.
Det gör att man vare sig kan ha ett internt systematiskteller ställa relevanta krav på underleverantörer, det senare framgår på ett nästan tragikomiskt sätt i relationen med Medhelp.
Informationssäkerheten i vården är ingen ny fråga utan har varit uppmärksammad sedan åtminstone första hälften av nittiotalet.
Den stora frågan är Region Stockholm (och övriga sjukvårdshuvudmän) år efter år undviker att komma till rätta med bristerna.
Varför tycker man att det är rimligt att utsätta verksamheten och patienterna för de stora risker som den bristande säkerheten leder till samtidigt som man är beredd att investera ofattbara resurser i experiment som NKS?
Och nej, det går inte att säga att 1177 var ett undantag från en i övrigt fungerande situation.
KPMG:s rapport är den senaste i en rad av rapporter som visar att den bristande säkerheten är ett systemfel som genomsyrar hela den svenska vården – har man inte styrning av informationssäkerheten så finns den inte mer än fläckvis och utan möjlighet att reducera riskerna.
En relaterad fråga är om NIS-direktivet kommer att ha någon positiv inverkan över huvud taget eller om även denna styrning mot ekommer att ignoreras.
Om läsaren tycker att jag ger en alltför mörk bild av Region Stockholms informationssäkerhet rekommenderar jag att ni läser KPMG:s knapphändiga rapport som ändå ger en antydan om regionens förmåga rörande informationssäkerhet.
Tillägg 2019-06-24: Lägger ut rapporten som pdf här: Även för den som är relativt insatt i svensk hälso- och sjukvård och dessutom fortlöpande läst DN:s långa rapportering om alla turer i NKS:s skandalen är ”Kampen om Karolinska.
Konsulterna” av journalisterna Anna Gustafsson och Lisa Röstlund en upprörande och i vissa stycken hjärtslitande läsning.
Sammanställningen av en lång rad av medvetna beslut av den politiska majoriteten under ett antal år som lett till en alltmer katastrofal situation är skakande och i förstone närmast obegriplig.
Att denna politiska revolution av den stockholmska sjukvården kunnat genomföras trots att den kantats av ekonomiska haverier i en hittills okänd skala, personal som flyr eller är helt uppgivna samt i sin yttersta konsekvens patienter som faktiskt dör på grund av omorganisationen.
Boken ger en mycket grundlig och researchad beskrivning av förloppet, dessutom välskriven.
Jag kommer inte här att gå in på djupet i boken utan rekommenderar den som sommarläsning för alla.
Som konsult kan jag särskilt uppmuntra andra konsulter läsning och därefter visst begrundade av vilken skada man kan göra om man som konsult driver sin egen agenda i kundens organisation.
Det är inte en särskilt hårfin skillnad mellan att ha integritet och att driva sina egna intressen hos kunden.
Efter att ha arbetat i offentlig sektor är det vissa drag i historien obehagligt välbekanta som övertron på att gigantiska omorganisationer löser problem och managementkonsulter som löper amok och kör över alla som har någon slags kompetens, d.v.s.
Den tystnadskultur som drivits fram vid NKS där enbart lovprisning av den värdebaserade vården tolererats är inte heller den ett unikt fenomen utan en sjuka som enligt min uppfattning äter sig allt djupare in i den offentliga sektorn generellt.
Det till synes oreflekterade upphöjandet av nya organisationsteorier som frälsningslära är inte heller unikt för NKS med sin värdebaserade vård.
Själv har jag varit med om allt från LOTS till Lean via lärande organisation, det sistnämnda något ironiskt eftersom varken landstingspolitiker eller myndighetschefer verkar lära sig något av de misslyckade organisationsexperimenten – snabbt är man på nästa modeteori.
Själv har jag mycket liten tilltro till att omorganisationer löser större problem, och för detta finns det heller föga stöd i forskningen.
Men för den ledare som vill sätta sitt märke på kommunen, regionen eller myndigheten kan en stor omorganisation vara det som skapar synlighet och inge en känsla av handlingskraft.
Region Stockholm har dock tagit vissa fenomen till en ny nivå.
Varför den borgerliga majoriteten med m och kd i spetsen valde en ekonomisk driftform (OPS) som blivit många gånger dyrare än att bygga och drifta det nya sjukhuset i egen regi saknar fortfarande rimliga svar förutom att de drevs av en nyliberal överideologi.
För den intresserade som vill djupdyka i denna del finns SvD-journalisterna Henrik Ennart och Fredrik Mellgrens bok ”Sjukt hus: om Nya Karolinska – svindlerierna, skandalerna och sjukvårdskrisen i Stockholm”, också den mycket läsvärd.
Stockholmare kommer att dras med effekterna av denna mycket dåliga affär i decennier framåt.
Att man dessutom låtit konsulter från BCG skicka in juniora konsulter, fakturera vilt samt anställa sina gamla kollegor är även det ganska många snäpp mer än vad som brukar förekomma.
Lägg därtill alla turer där anställda på KI även driver företag tillsammans med amerikanska intressen och försöker påverka utvecklingen av den stockholmska sjukvården så det gynnar de egna företagen snarare än patienterna och vi har en soppa som inte skådats i Sverige i modern tid.
Särskilt oroande blir detta med tanke på att hälso- och sjukvård är en av de sektorer som är mest utsatta för korruption vilket det finns ett aktuellt Konflikt om .Det tål att påminnas om den gamla sanningen att Sverige löper en stor risk för korruption eftersom vår självbild är att vårt samhälle är immunt mot korruption.
För mig har det dock varit av särskilt intresse att ta några steg tillbaka och sätta den värdebaserade vården och den informationshantering som följt med den i ett större historiskt och politiskt perspektiv.
Jag pratar då inte om de ”normala” it-haveriförloppen inom den svenska sjukvården och framför allt Region Stockholm där först politiker går ut med löften om fantastiska nya som sedan .
Därefter glöm, få andra att glömma och upprepa.
Nu pratar vi om en informationshantering med risker på en hel annan nivå och inbyggda i själva styrningen av sjukvården.
Den värdebaserade vårdens ledande företrädare Michael Porter (forskare i management och strategi, inte medicin) brukar enligt författarna av sammanfatta sin teori i ekvationen .
Resultatet mäts i hög grad utifrån patientens upplevelse, inte ett faktiskt mätbart resultat vilket känns fascinerande paradoxalt eftersom modellen i övrigt bygger på att mäta, mäta och åter mäta.
Observera att jag inte på något sätt ifrågasätta patientens rätt att känna sig nöjd med och delaktighet i sin vård utan invändningen ligger i att det finns få så luriga mått som upplevd nöjdhet samt att detta är ett mått är skräddarsytt för en konkurrensstyrd kommersiell verksamhet.
Redan här kan man se hur valet av vårdmodell klickar i den ideologiska revolutionen av den stockholmska sjukvården.
Den värdebaserade vården satt i system förutsätter en gigantisk datainsamling för att verkligen kunna bedöma vilken aktör som vid varje tillfälle lyckas lösa Porters ekvation bäst.
Förutom att i sig skapar det NPM-inferno som även känns igen från den svenska skolan med överdokumentation och rapportering med efterföljande stress är detta en modell som illa överensstämmer med en offentligt finansierad vård.
Istället för att ta det ansvar som krävs för bland annat multisjuka äldre maximeras istället vinsten i modellen för de vårdgivare som avverkar enskilda vårdepisoder snabbast.
Som så ofta i den moderna vårdens historia har frälsare av Porters typ fått dominera och hävda att sjukvård kan ses på precis samma sätt som bilfabriker.
Och varje gång havererar de löpande bandsprinciperna utom i vissa specifika operationstyper eftersom människor envisas med att ha kroppar och sinnen som är så mycket mer unika och komplexa än nyproducerade bilar.
Skandalen på NKS gör dock att jag (och förhoppningsvis andra) får upp ögonen för hur det ekonomiska skede vi lever i fungerar.
Sedan åtminstone 70-talet har vi vetat att vi lever i ett informationssamhälle men vad betyder egentligen det?
Inte bara att vi får en massa nya coola prylar och kan kommunicera via the world wide ( wild) webb utan att vi faktiskt gått in i en ekonomi som har information som sin huvudsakliga råvara.
Den amerikanska professorn i social psykologi Shoshana Zuboff har i sin mycket omskriva beskrivit framväxten av hur det ekonomiska systemet byggt på information som råvara fungerar.
Ofta tolkas hennes teorier endast i förhållande till Google, Facebook och liknande plattformar som .
Att se Zuboffs bok snävt som en beskrivning av hur Google och Facebook fungerar är fel menar jag.
Bland annat den globala hälso- och sjukvårdsmarknaden fungerar idag enligt samma grundprinciper.
I fallet med NKS, BCG och den värdebaserade vården blir det uppenbart hur ekonomiska intressen utanför NKS, Region Stockholm och Sverige ser den svenska sjukvården som en naturresurs att utvinna.
Zuboff är inte ensam i sitt uppsåt att skildra den digitala ekonomins framväxt men hon gör det på ett sammanfattande och övertygande sätt (och med en titel som för tankarna till favoriten bland författare till breda historiska exposéer Hobsbawm).
Mycket grovt förenklat kan Zuboffs skildring av övervakningskapitalismens era ses som ett skede där teknisk innovation korrelerar med framför allt två huvudsakliga faktorer: att det från 70-talet växer fram en nyliberal hegemoni i västvärlden och efter 11 september 2001 ett samhällsklimat som präglas av en allt starkare befogad eller obefogad känsla av otrygghet.
Nyliberalismens huvudkonflikt kan, även detta starkt förenklat, ses som en maktkamp mellan statlig/samhällelig reglering och de fria marknadskrafterna.
Under de senare decennierna av förra århundradet och de två i vårt nuvarande har en systemförändrande avreglering skett och ersatts av metoder som compliance och standarder där marknaden påstår sig kunna reglera sig själv.
Kombinerad med den konsekventa nedmonteringen av rätten till integritet som motiverats av att kunna förhindra terrorism och andra brott har kapat både samhällets och individens förmåga att på ett effektivt sätt skydda sig, eller ens vilja skydda sig, mot att personlig information utan insyn och kontroll används som råvara.
När informationen blivit råvara förflyttas äganderätten av uppgifterna från individen till det företag som kan hävda sig ha ”förädlat” den (här finns en intressant koppling till Nozick som jag inte hinner utveckla närmare men låt mig ändå säga att jag ser Nozick som själva gudfadern till berättigandet av utvecklingen).
I denna historiska korsväg utvecklar först Google och därefter bl.a.
Facebook sina tjänster.
I lika hög grad som att erbjuda användarna möjlighet att utbyta information sinsemellan börjar företagen exponentiellt samla allt mer information om användarnas beteende.
I förstone motiveras detta med att det ska ge underlag för att ge användarna allt bättre tjänster för att sedan allt mer tydligt ge stöd för riktad marknadsföring.
Med den fullständigt enorma informationsbas av överskottsinformation som Google byggde upp kunde de göra så annonsörerna kunde få stor träffsäkerhet i sin annonsering.
Steget efter att ge sökvägar till annonsörerna var det som Zuboff menar är det verkligt revolutionerande: ett överskott av information rörande användarnas beteende som med algoritmernas hjälp går att användarnas behov: Instead, we are the objects from which raw materials are extracted and expropriated for Google’s prediction factories.
Förutsägelserna berör inte bara den enskilda användarna utan, viktigare, på gruppnivå.
Ett positivt exempel är när det genom användares sökningar på Internet går att förutse influensaepidemier.
Obehagligare när en kvinna börjar få annonser om mammakläder i sitt flöde redan innan hon själv vet att hon är gravid… Den verkliga vinsten i att inte bara veta hur folk/kunder beter sig när de får hålla på som de vill utan när tjänsteleverantörerna påverkar kunderna att agera på ett sätt som gynnar leverantören utan att ens fatta det.
Tjänste- och plattformsleverantörer har, som Zuboff visar, ända sedan början haft ett gemensamt intresse och samarbete med statliga myndigheter i USA och annorstädes vilket inte gör osynliga men obetvingliga styrningen mycket skrämmande.
Den generellt positiva syn som många säkerhetsmänniskor har till övervakning blir satt i detta sammanhang oroande naiv.
Marknadspotentialen i att ha tillgång till oceaner av information om beteenden är omätbar inte bara i första läget för det egna företaget utan framför allt som en förpackad kommoditet som kan säljas vidare.
Sätt då detta i korrelation med en bransch som omsätter mellan 10 och 20 % av BNP i västvärldens länder, är i snabb global tillväxt och dessutom samlar in och bearbetar känslig personlig information om alla invånare.
Landskapet som NKS och den värdebaserade vården sätts i kan liknas vid det El dorado som conquistadorerna drömde om, med skillnaden att Sverige verkligen finns och har kvalitetsregister och patientjournaler för hela befolkningen.
Det vill säga ett verkligt El dorado för inte bara vård- och läkemedelsföretag utan även försäkringsbranschen.
Cyberrymden är en ny jättekontinent som exploatörerna vill hålla så fri från reglering som möjligt.
De fantastiska marknadsmöjligheter som ligger i att kunna prognosticera patienter och försäkringstagarnas utveckling är oöverblickbara.
Denna sanning uttrycks explicit i ett citat av en högt uppsatt tjänsteman på Karolinska som inleder avsnittet som är mycket lämpligt benämnt ”Guldet” i DN-journalisternas bok: Det är en sak som BCG och bolagen de jobbar med främst vill åt.
Det är patientdata som är deras bitcoins.
Däri ligger den stora affären i värdebaserad vård.
Vi måste lära oss att leva med att Sverige med sin långtgående nyliberalism i kombination med de kvalitetsregister som på frivillig basis byggts upp under mycket lång tid tillsammans alla övriga patientdata kommer att ha ofattbar dragningskraft på internationella företag.
Det gäller på samma sätt för all annan information inklusive personuppgifter som sammanställs av svenska myndigheter.
Det viktiga är att detta hanteras på ett öppet sätt där inte bara företagen blir nöjda utan att även kärnverksamheten och dess avnämare som patienter och medborgare.
När man ser mekanismerna som varit i kraft vid NKS kan jag inte låta bli att undra över exempelvis satsningen på När satsningen presenterades av Göran Hägglund (numera tryggt förankrad i privata vårdföretag) framställdes som en särskild USP att app-leverantörer och andra entreprenörer skulle kunna bygga tjänster på de datamängder som insamlades.
Vad var egentligen hönan och vad var ägget i Hälsa för mig?
kan ses i full careta när det gäller även härvan på NKS och den värdebaserade vården.
Lobbyismen, parasiterandet på akademin och de vilseledande budskapen om vem som gynnades.
Utan att ta partipolitisk ställning tycks för närvarande samhällets förmåga att hantera en skandal som den vid NKS undermålig.
Inget ansvarsutkrävande av de verkligt ansvariga, d.v.s.
de politiker som fattat samtliga beslut både när det gäller byggnation, värdebaserad vård, konsultanvändande och it-system, har skett.
Fristående och seriös journalistik förefaller vara det enda sättet för att skapa den insyn och kontroll som de offentliga institutionerna inte är intresserade av att själva bygga upp vilket i sig är en dyster insikt.
I detta sammanhang är en stilla önskan att hela e-hälsoområdet kommer att locka till sig lika envetna, seriösa och välskrivande journalister som de som nu skrivit ”Konsulterna”.
Ett helt ofarligt löfte att ge är att det finns lika mycket att gräva fram om e-hälsa som om NKS!
Det är lätt att hamna i en politisk depression när man funderar över hur digitaliseringens starka krafter ska kunna tyglas för att dra åt ett håll som gynnar hela samhället och så att individen har en basal möjlighet att upprätthålla sin integritet.
Att krafterna som motverkar integritet är mycket kraftfulla är uppenbart och argumentationen från de kommersiella aktörerna mot integritet som hindrar affären dominerar även i ett stort antal myndighetsutredningar har jag länge observerat.
Den sittande majoriteten i Region Stockholm gjorde det till och med till ett vallöfte att göra stockholmarnas patientdata tillgängligt för industrin.
Trots detta drabbades jag litet av en chock när jag i slutet av ”Konsulterna” får läsa att OECD antagit värdebaserad vård som strategisk inriktning och kräver att medlemsländerna, däribland Sverige, ska dela patientdata via en jättelik gemensam databas, ”Parisdatabasen” där OECD är ägare till uppgifterna.
Detta sker i samarbete med – BCG… Databasen vars nytta bedöms oklar av Socialstyrelsen och vars syfte inte klart har definierats anses ändå oumbärlig.
Särskilt upprörande är att det inte går att avtala vem som ska få tillgång till informationen utan har beskrivits som ”OECD och framtida samarbetspartners”.
Ganska långt från dataskyddsförordningens regler är väl ett understatement.
Jag uppmanar alla intresserade att hålla ögonen på detta projekt, särskilt som det verkar som att OECD i aggressiva ordalag kräver in uppgifter trots svenska myndigheters tveksamhet.
Landsting och regioner är däremot föga förvånande positiva, en nödvändig levnadsregel är nog: lita aldrig på en region i integritetsfrågor.
Vad kan då göras?
Jag menar att vi måste kunna införa ett slags samhälleligt marshmallows-test där vi vågar utreda vår nya situation och skaffa oss nödvändiga redskap för att styra utvecklingen åt ett håll som gynnar flertalet och inte bara viljelöst följa med.
Oavsett politisk uppfattning bör vi kunna komma överens om att de intressekonflikter som finns i den digitala utvecklingen måste lyftas fram och diskuteras så att åtminstone invånare i demokratier har möjlighet att ställning till hur de vill ha framtiden.
Ett konkret förslag är att tillsätta en etisk kommitté med uppdrag att fortlöpande utvärdera och ta ställning till större initiativ inom digitaliseringsområdet.
DIGG kan vara sammankallande och sköta kansliet för kommittén men ett antal mycket fristående och erkänt motspänstiga ledamöter av typen filosofer bör ingå.
Otillräckligt men kanske ett första steg på att erkänna att varje mynt har åtminstone två sidor, så även digitaliseringen.
Slutligen måste jag understryka att jag inte ger någon av de nämnda böckerna rättvisa utan uppmanar alla att själva läsa dem och bilda sig en egen uppfattning.
Själv fick jag min nya Fitbit igår… Tillägg 2019-06-18: Ett visst hopp angående möjligheten att OECD:s planer kan ändå skönjas i och med regeringens beslut att inte delta i uppbyggnaden av .
Jag fortsätter succékonceptet att blogga om obskyra ämnen med en mycket begränsad grupp av intresserade.
Förra gången utredningsväsendet, nu behovet av autenticitet.
Upprinnelsen till detta inlägg är att jag fick uppdraget att prata om äkthet på en konferens och då började fundera mer intensivt på frågan – tack för det FALK!
Detta blogginlägg ska ses som en bråkdel av vad jag anser behöver belysas gällande autenticitet.
Utgångspunkten var att både ur ett arkiv- och ett informationssäkerhetsperspektiv finns ett grundläggande intresse av att kunna skapa och upprätthålla autenticitet på olika nivå i informationshanteringen.
Att notera är att autenticitet vid sidan om skydd mot obehörig åtkomst också är det historiskt sett mest konsistenta intresset både för arkivverksamhet och för informationssäkerhetsområdet.
Dessutom är vissa tekniska åtgärder för att på olika sätt skapa autenticitet så grundläggande att vi inte ens reflekterar över dem, från underskrift på pappersdokument till olika digitala autentiseringslösningar.
Detta till trots är autenticitet som begrepp och tillämpning påfallande sällan diskuterat.
Slagningar i Libris och Diva antyder att när autenticitet explicit diskuteras gäller det i allra flesta fall kulturminnesvård, konst eller möjligen kvalitet.
Inte ens som autenticitetens betydelse i relation till juridiskt bevisvärde har skapat några större textmängder vilket påpekas i en av de få avhandlingar från senare år som har detta tema ( av Jonas Ekfeldt).
De många utredningar som genomförts rörande digitalisering har inte fördjupat sig autenticiteten utan den nämns endast flyktigt som i SOU 2018:25 där ordet autenticitet finns med två (!)
gånger på 562 sidor.
Visserligen diskuteras signaturer i ett avsnitt men som jag ser det är det enbart en delmängd av frågan och här presenterad helt utan större kontext.
Det enda glädjeämnet är en tio år gammal text av , numera landsarkivarie i Härnösand.
Ett första steg för många för att förstå begreppet autenticitet är att gå till de standarder som ofta tillmäts kvaliteten att kunna ge definitioner.
Jag har här valt två centrala standarder för området som även fått förleden SS för att ange att de ska ses som svenska standarder.
Den första är SS-ISO 15489_1 2016 som är en standard för hantering av verksamhetsinformation till vilken allt oftare arkivarier hänvisar.
Ur ett arkivperspektiv är möjligheten att bedöma graden av autenticitet en nödvändig förutsättning för i princip alla moment i hanteringen och det är därför av intresse att se vilket stöd standarden ger för att närma sig frågan.
Trots att den alltså är en svensk standard finns den ännu inte, såvitt jag kan se, översatt till svenska.
Inga förändringar har dock gjorts från en tidigare version av standarden som hade följande svenska definition: Att handlingen visar att den är vad den utger sig för att vara, Att den är skapad eller skickad av personen som uppgett sig för att ha skapat eller skickat in handlingen Att handlingen blivit skapad eller inskickad i den angivna tiden Även bortsett från den förvirrande användningen av begreppet ”handling” som skapar så mycket språkförbistring när arkivarier ska kommunicera den övriga mänskligheten (det är liksom både bärare och informationsinnehåll på en gång) så är denna definition fertil grogrund för ett antal frågor.
Som det första cirkelargumentet att handlingen (som bärare gissar jag) i sig demonstrerar något som ger autenticitet.
Som att den tycks se autenticitet som ett binärt begrepp; antingen är handlingen autentisk eller inte.
Som att autenticitet på något vagt sätt har med post att göra.
Som att autenticitet är knuten till en enskild person.
Om vi istället går över till informationssäkerheten och ser vad den svenska terminologin som SIS gav ut 2015 säger blir frågorna inte färre.
Där uppges följande: äkthet avseende uppgivna uppgifter; särskilt rörande påstådd identitet och meddelandens ursprung och innehåll Den tekniska process vari äktheten, autenticiteten bekräftas kallas autentisering.
Denna kontroll kan avse entiteter såsom användare, processer, systemkomponenter och informationsobjekt Pluspoäng för att man nämner ordet ”äkthet” och att autentisering kan gälla olika typer av komponenter.
I övrigt är det rätt svårt att förstå vad som egentligen kännetecknar autenticitet.
Vad som mest intresserar mig är dock att autenticitet valts bort som en central dimension av informationssäkerheten i ISO 27000:s tolkning.
Istället har riktighet upphöjts till en av de tre särskilda omnämnda värdena och då med denna betydelse (fortfarande enligt terminologin): skydd mot oönskad förändring Definitionen ser till skyddet medan egenskapen ”riktighet” får förstås implicit som typ oförändrad information.
Jag har svårt att förstå denna prioritering mellan begreppen.
Hur man kommit fram till den är som eljest i standardsammanhang dolt, de diskussioner, överväganden och möjligen utredningar som lett fram till olika ställningstaganden finns inte presenterade någonstans.
Bristen på den transparens och strävan efter delaktighet som finns inom exempelvis akademin saknas då standarder etablerar sina sanningar.
Riktighet kan i bästa fall ses som en delmängd av det större begreppet autenticitet.
Därför bör autenticitet eftersträvas som ett huvudmål snarare än riktighet, en uppfattning som skulle varit rimlig redan innan det digitala samhälle vi nu har fötts.
När information hela tiden skapas, transformeras och kommuniceras med oändliga möjligheter att avsiktligt eller oavsiktligt göra den missvisande vad det gäller upphov, kvalitet och intention borde autenticiteten vara en naturlig fokalpunkt för informationssäkerhet, digitalisering och arkiv.
För att inte tala om AI och deep fake.
Informationssäkerhet och valet av riktighet framför autenticitet – varför blev det så?
Bortsett från min generella hypotes om den anti-intellektuella hållning som präglar området är en spekulation att riktighet valts p.g.a.
många i branschen rekryterats från it-hållet och därför känner sig bekväma med ett databassynsätt, d.v.s.
att information i ett system ska skyddas mot förändring.
Eftersom denna snäva beskrivning av risker är otillräcklig sett till verkliga organisationers behov har man därför behövt gå in och trixa med begreppet spårbarhet för att få någon slags relevant beskrivning.
Därav det neurotiska förhållandet till spårbarhet, ett begrepp som är så tabuiserad att det inte ens går att diskutera för de rättroende.
Synd tycker jag vilket jag skrivit om Mitt förslag för att få en mer täckande beskrivning av förhållanden som behöver beskrivas är att använda konfidentialitet, autenticitet, spårbarhet och tillgänglighet.
Riktighet kan då placeras in under paraplyet autenticitet som en nödvändig men inte på långt tillräcklig aspekt att bedöma.
Dock räcker inte de definitioner som de två standarderna ger för att fylla det behov av att beskriva informationens äkthet som vi har i digitaliserad värld.
Hur ser då detta behov ut?
Kärnan i frågan är att kunna säkerställa en informationsmängds kvalitet i form av ”äkthet”.
För att ytterligare ringa in vad som åsyftas så består autenticiteten inte bara av att informationen är oförändrad (det som åsyftas med riktighet) utan även att den är vilket också kan formuleras att den har ett .
Som ett enkelt exempel: för att ett avtal ska kunna ha ett bevisvärde räcker det egentligen inte med en signatur även om det accepterats under lång tid.
Vad som krävs är att det går att härleda vem det är som undertecknat men framför allt om denna någon hade mandat att underteckna avtalet o.s.v.
Det är inte heller så att en tavla signerad med namnet Picasso övertygar alla som en äkta dyrgrip.
Den kanske bästa och enklaste illustrationen av bevisvärdets betydelse för autenticiteten finns att hämta i utvecklingen av sedlarnas historia som betalningsmedel.
De första sedlarna var egentligen kvitton på insatta medel hos en bank.
Kvittot kunde sedan användas för att på ett smidigt sätt kunna sköta betalningar utan att behöva släpa omkring högar av metaller.
För att denna effektivisering av ekonomin skulle kunna vara möjlig krävdes institutionella förutsättningar för att den enskilda sedeln skulle accepteras som autentisk och inte som vilken papperslapp som helst.
Det räcker inte med att siffrorna på sedeln är ”riktiga” utan den måste också omges andra skyddsåtgärder för att kunna accepteras som äkta.
Jag laborerar med tanken att se autenticitet som en inversion av källkritikens principer.
Det betyder att autenticitet inte är binärt utan en glidande skala av möjlighet att bedöma äktheten, beroenden, tendens, tidsförhållanden, närhet till händelsen o.s.v.
De tekniska lösningarna kan sägas ”låsa” den organisatoriska kontext som omgett informationen i olika skeden och därmed ge ett bevisvärde.
I ett långsiktigt måste de organisatoriska förhållandena som skapar autenticitet kunna återskapas på ett säkert sätt även om tekniska lösningar förändras och information migreras (kedja som ej bryts).
Inom arkivområdet används begreppet proveniens för att beskriva förhållandet mellan information, organisation och i förlängningen äkthet.
Frågan om autenticitet är principiellt densamma i digitala som i analoga informationsmängder.
Komplexiteten har dock växt explosionsartat från det kinderägg-tillstånd där information, bärare och autenticitetsskapande faktor var oupplösligt sammanfogade som i ett undertecknat pappersavtal.
Genom digitaliseringen lever dessa tre komponenter sina egna liv där samma informationsmängd kan finnas på ett otal antal bärare och med olika nivå av autenticitet.
Direkt rafflande blir det med funktioner som ”Dela dokument” i Office 365 där mottagaren får ett dokument som inte behöver vara detsamma eller ens finnas kvar när mottagaren tar fram det en andra gång i sin e-post.
Att skapa autenticitet momentant skulle i sig vara en rejäl utmaning men för att strö ytterligare salt i såren så är kravet på autenticitet utan slut eftersom trots det information over flow vi lever i så måste ansenliga mängder av den information som skapas bevaras under lång tid eller för evigt.
Kraven på att kunna arkivera information på ett säkert sätt är självklart inte mindre nu än tidigare.
Det betyder att tilltron till informationens autenticitet inte bara ska kunna upprätthållas i ett år utan i 100 eller 1000 år för många informationsmängder.
Tänk patientjournaler, tänk urkunder i statsförvaltningen, tänk instruktioner för hanteringen av utbränt kärnbränsle, tänk mätvärden av klimatet….
Att med detta perspektiv se det mycket begränsade resonemangen om exempelvis, e-leg, e-signaturer och e-arkiv känns frustrerande.
I en tid då vi pratar så mycket om fake news och risken för negativ informationspåverkan borde verktygen för att skapa och upprätthålla autenticitet slipas.
Det finns redan viss teori om proveniens och processuella värden som skapar autenticitet inom arkivdisciplinen liksom en rad techne-åtgärder inom informationssäkerhetsområdet för autentisering och validering t.ex.
Dessa kunskapsområden borde dock tillåtas expandera och dessutom befrukta varandra för att vi ska komma närmare strategier för att skapa den autenticitet som krävs på både kort och lång sikt.
Det som hindrar detta tror jag är den korta händelsehorisont som gör att vi plumsar in i jättelika digitaliseringsprojekt utan att se längre fram än möjligen införandeprojektets avslut.
Bristande strategisk inriktning, kunskapsutveckling och samarbete mellan ansvariga myndigheter är en annan.
Group think inom informationssäkerhets- respektive arkivarieskrået som skapar en oförmåga att famna de stora frågorna en tredje där standardarbetet förefaller ha fungerat som en starkt konserverande faktor framför allt för informationssäkerheten.
Sist men inte minst styrningen av digitaliseringen i hög grad överlåtits till leverantörer av tekniska lösningar samt management.
För att komma vidare bör vi alltså försöka undanröja ovanstående hinder för att kunna skapa en mer funktionell plattform för att skapa den nödvändiga autenticiteten.
När tanken låser sig kan ett trick vara att tänka på att information är dagens hårdvaluta och jämföra med hur sedlar och andra metoder för penningtransaktioner hanteras.
Teknikhistoria är ett fascinerande ämne som jag ägnat mycket intresse genom åren och då alldeles särskilt samspelet mellan teknik, samhällsutveckling och ekonomi.
Frågor som varför vissa tekniska uppfinningar blir innovationer medan andra inte gör det och de institutionella förutsättningar som gör att teknik leder till positiv samhällsutveckling är ganska grundligt beforskade.
En underbar populärvetenskaplig bok på detta tema är Wolfgang Schivelbuschs som jag rekommenderar alla som vill skapa sig en hälsosam distans till det utmattande nuet.
Det är med denna bakgrund som den svenska förvaltningens digitalisering ständigt förvånar mig eftersom dess genomförande tycks strida mot det som framkommit som framgångsfaktorer för införande av ny teknik.
Istället för att bygga gemensam infrastruktur och institutionella förutsättningar har svenska myndigheter och regioner/landsting ägnat sin energi åt någon slags känslomässig påverkan.
Vad är då budskapet i denna känslomässiga kommunikation?
Så här ser de mest förekommande implicita och explicita budskap ut.
Det övergripande budskapet att det finns ett stort antal ludditer som är passionerat motverkar digitalisering och som måste övertygas om att digitalisering är BRA.
Efter noggrant begrundande kan jag inte erinra mig en enda person som varit emot digitalisering, däremot många som varit emot dålig digitalisering.
Det hindrar inte att det förekommer en ständig underström av halmdockor (läs mer om det klassiska fula argumentationsfelet ) när digitalisering diskuteras.
Dessa figurer som med lock och pock måste forceras att överge papper och penna är del i en ganska bra härskarteknik eftersom den som låtsas som att dessa finns då själv framstår som en ljusbringare som står för det ”moderna”.
Och det är något som i svenska sammanhang vördas så är det det moderna, så har det varit sedan 1800-talet, oavsett vad moderniteten stått för.
Det uppenbart ologiska i att hävda att populasen är teknikfientliga bakåtsträvare på jobbet eller när de ska använda offentliga e-tjänster när de samtidigt på sin fritid har olika kommersiella e-tjänster som sina närmaste livskamrater tycks inte störa.
Nästa centrala budskap är att digitalisering per definition är bra vilket leder till den underförstådda tesen att digitalisering är bra.
Som följd av detta görs ingen skillnad mellan bra och dålig digitalisering trots att alla känner till minst fem misslyckade digitaliseringsprojekt i sin närhet.
Att det inte får finnas dåliga digitaliseringsprojekt till en dubbelriktad kultur av icke-existerande uppföljning och erfarenhetsåtervinning; eftersom det inte görs någon uppföljning kan dålig digitalisering inte påvisas.
Jag tittar in på webbplatserna för två centrala aktörer för den offentliga sektorns digitalisering, eSam och SKL, för att se hur man hanterar utvärderingsfrågan.
eSam har gett ut ett antal vägledningar och metodbeskrivningar för digital samverkan (a.k.a.
ta fram digitala lösningar) i alla möjliga skärningar men vad jag kan se har inte uppföljning och utvärdering förlänats något eget metodstöd.
I den 84-sidiga för behovsdriven utveckling finns visserligen dessa rader med: Efter varje införande bör det genomföras en utvärdering för att ta vara på erfarenheter om vad som gick bra respektive mindre bra i behovsinsamling, planering, metodval, samarbete samt hur resultaten mottogs.
Infriade tjänsten de förhoppningar verksamheten och målgruppen tänkt sig?
men i ett systematiskt arbete förväntar man sig ett något större intresse för frågan.
SKL, som får ses som ett epicentrum för den vingliga offentliga digitaliseringen, förvånar mig positivt genom att erbjuda verktyg för uppföljning exempelvis och så kallade LIKA-värderingar som den för socialtjänst.
Tyvärr visar sig dessa undersökningar vara mognadsundersökningar av i vilken omfattning man lyckats digitalisera, d.v.s.
det handlar inte om att utvärdera hur väl digitaliseringen fungerar.
Ointresset för utvärdering är paradoxalt sett i ljuset av att digilisatörerna gärna vill tala om digitalt ledarskap och vikten av styrning samt nyttorealisering (nej, det är ingen idé ni går till den vägledningen för nyttorealisering för den innehåller inget substantiellt om uppföljning).
För att kunna leda, styra och nyttorealisera i verklig bemärkelse måste man arbeta systematiskt med att utvärdera gjorda satsningar ur ett antal aspekter som ekonomi och effektivitet.
Förhållningssättet att arbeta utan systematik är menar jag en av de mest grundläggande orsakerna till att det offentliga Sveriges digitalisering inte alls når den nivå som skulle kunna förväntas med tanke på de investeringar som gjorts.
Att den svenska digitaliseringen kraftigt underpresterar är ett faktum som det nu tycks råda konsensus om även från internationella bedömare som OECD.
Orsakerna till detta borde vara synnerligen intressanta att identifiera och då inte bara genom att komma dragande med gamla kära bortförklaringar som att juridiken inte är anpassad till digitaliseringen.
Kraften i det argumentet är ju inte heller så övertygande då till exempelvis sjukvårdshuvudmän och vårdgivare högaktningsfullt struntar i viss lagstiftning som man finner obekväm.
Det går inte att argumentera för digitalisering med rationella argument, tråkiga och genomarbetade analyser eller krassa ekonomiska beräkningar.
Istället sker kommunikationen med ett överflöd av uttalande av den här typen: Eftersom dessa uttalande inte går att vare sig be- eller vederlägga befinner vi oss i en situation där ledande aktörer inom digitaliseringsetablissemanget ständigt vädjar till våra känslor istället för att föra en dialog grundad i sakfrågor.
Här uppstår tror jag den olyckliga pepp-cirkelargumentationen där utomstående inte kan delta eftersom ramen för deltagandet är satt; bara de som accepterar pepp-läget kan ingå, de som efterfrågar rationalitet, siffror och nytta uppfattas som fientligt inställda och görs mer eller mindre förfinat till icke-deltagare och i värsta fall till halmdockan ”motståndare till digitalisering”.
Att det finns ett digitaliseringsetablissemang (precis som det finns ett informationssäkerhetsetablissemang) som har mycket att försvara blir ganska uppenbart vid minsta lilla glutt in på LinkedIn.
Det vore kul att se ett sociogram över det ganska begränsade antal människor som genom åren konfererat med varandra, gett varandra komplimanger, titlar, priser och positioner.
Man har skapar myndigheter, kommittéer, kommissioner och råd för att underlätta digitaliseringen, oundgängliga roller som regeringens CDO och kommunala digitaliseringsstrateger och peppat varandra på karnevaler och festivaler (det sista var kanske en liten överdrift…).
Digitaliseringen har beskrivits som det största tekniksprånget i historien (jag skulle nog snarare hävda ångmaskinen eller elektriciteten) och som lösningen på flertalet svåra samhällsproblem.
Den arma fackutbildade personalen i välfärdssektorn har fått finna sig att bli mästrade av allehanda ”evangelister” utan definierad kompetens givits utrymme att predika.
Helt olika räknesätt har tillämpats i de kommunala ekonomierna där lärplattformar för bortåt en halv miljard kunnat prioriteras samtidigt med kraftiga nedskärningar på personalen.
Under senare tid har jag alltmer kommit att grubbla över hur den privata sektorn kunnat genomföra sin digitalisering utan detta etablissemang och överbyggnad.
Jag tror att det är dags för ett paradigmskifte inom den offentliga digitaliseringen i Sverige.
Det är inte fel på förutsättningar, ekonomi eller teknik i första hand utan på den metafysik som omger digitaliseringssträvandena, alltså de föreställningar som finns om digitaliseringen och det sammanhang som de digitala lösningarna ska fungera i. Som samhällsmedborgare skulle jag önska att digitaliseringsetablissemanget tar ett steg tillbaka och med viss självkritik granskar sina argument för att kunna börja tillämpa mer kvalitativ och effektiva arbetssätt.
Det vill säga mindre marknadsföring och mera hantverk, mindre känslor och mera strukturellt tänkande, färre halmdockor och fler verkliga läkare och lärare, färre evangelister och flera ingenjörer i vid bemärkelse, mindre digitala lösningar i sig och mer intresse för de resultat som digitaliseringen ger.
Framför allt önskar jag viljan och förmågan till ett normalt kritiskt förhållningssätt till digitalisering.
Ett stöd för denna typ av reflektioner kan vara följande över vanliga villfarelser.
Särskilt rekommenderar jag närstudier av följande bias: sunk cost fallacy, dunning kruger effect, back fire effect, self serving bias och group think.
Vår ambivalens inför molntjänster är stor.
Å ena sidan har vi risken att personuppgifter och annan känslig information kommer i orätta händer, å andra all den funktionalitet som vi så gärna vill ha.
Dessutom måste det vägas in att molntjänster erbjuder många säkerhetsfördelar, inte minst för mindre organisationer.
menar att vi står i ett vägskäl.
Själv ser jag att många redan har gjort sitt val och tyckt att nyttan med molntjänster överstiger risken.
Att många kommuner har gjort så är ingen hemlighet men jag blir ganska häpen när jag efter ett tips kollade upp , en rekryteringstjänst för Försvarsmakten.
Tipset var att denna tjänst ligger i Office 365, en molntjänst som driftas av Microsoft på Irland.
För att få korrekt information skrev jag och frågade Försvarsmakten litet om detta.
Jag har tre frågor om Mitt försvarsmakten: Slutligen skulle jag vilja ut en lista över vilka personuppgifter som hanteras i Mitt försvarsmakten.
Tack för svar!
och fick då följande svar som jag publicerar in extenso: Hej!
Se svar nedan på dina frågeställningar.
Mitt Försvarsmakten är byggt inom extern molntjänst (Microsoft Office 365).
Försvarsmakten har ställt krav på informations- och IT-säkerhet och granskat den färdiga lösningen utifrån kraven med godkänt resultat.
Inom ramen för utvecklingsarbetet har den militära underrättelse- och säkerhetstjänsten, MUST, löpande deltagit i granskningar av lösningen och har även godkänt lösningen inför driftsättningen.
Försvarsmakten arbetar kontinuerligt med kontroll och förbättringar av informations- och IT-säkerheten i alla IT-tjänster inklusive denna.
Försvarsmakten kommenterar inte i detalj hur säkerhetskraven är implementerade.
Personuppgifterna i Mitt Försvarsmakten behandlas med stöd av samtycke från den enskilde.
Av samtycket framgår även att Microsoft behandlar personuppgifterna.
Försvarsmakten använder Google Analytics från Google som analysverktyg.
Google Analytics använder cookies.
Informationen som genereras av dessa (inklusive IP-adresser) kommer att vidarebefordras till och lagras av Google.
Denna information används i syfte att utvärdera besöksstatistik.
Google kan också överföra denna information till tredje parter om det krävs enligt lag eller i de fall en tredje part behandlar informationen för Googles räkning.
Google kommer inte att koppla samman IP-adresser med annan data som Google innehar.
Google Analytics anonymiserar den information som skickas till Google.
För personer utan registrerad användarprofil i Mitt Försvarsmakten som har registrerat sig för ett specifikt event behandlas endast uppgift om namn och e-postadress.
För personer med registrerad användarprofil i Mitt Försvarsmakten behandlas uppgifter om Namn Personnummer Kontaktuppgifter (adress, telefonnummer och e-postadress) Uppgift om kön Uppgift om svenskt medborgarskap Uppgift om nuvarande sysselsättning Uppgift om nuvarande arbetsgivare Uppgift om godkända betyg MA / SV / EN från gymnasiet Uppgift om kondition och muskelstyrka Intresse för Försvarsmakten Medarbetarstatus, tidigare anställning inom FM Har ansökt om Veterankort eller har Veterankort Har sökt tjänst Har sökt GMU Har gjort rekryttest Startat GMU/GU-F/GSU/Kombattantutbildning Slutfört GMU/delkurs/GU-F Tagit anställning inom FM Avtal tecknat Avtal tecknat den Samtycker till lagring och bearbetning av information Kandidaten vill avregistrera sig Mvh Försvarsmakten Det ska medges att jag ibland varit aningen tveksam till att det ofta framställs som att Försvarsmakten är säkerhetsexperterna även då det gäller det civila samhällets säkerhet.
Men om vi acceptera premissen att Försvarsmakten är någon form av riktkarl för samhällets säkerhet blir detta svar intressant.
Frågorna jag ställer mig är: Observera att jag inte har svaret på dessa frågor – jag bara funderar.
Först en disclaimer.
Denna text är skriven med ett visst undertryckt ursinne.
Under 7-8 år under mina vittflygande studier jobbade jag samtidigt på ett boende för psykiskt funktionsnedsatta barm och ungdomar.
Den erfarenheten gör att jag framförallt tänker på de patienter och anhöriga som drabbats av 1177-skandalen men också på den vårdpersonal som till skillnad från digitaliseringsbyråkrater, ”visionärer” och ”evangelister” möter patienter.
De ska nu leva i oro över hur deras arbetsgivare hanterar den information som de i förtroende tar emot och där samtal från hjälpsökande patienter studsar vidare för hantering i Thailand.
Jag jobbade också i ett landsting under 90-talet då politiker, it-leverantörer och byråkrater gick in i en lustiger dans om digitalisering som var mycket lösligt kopplad till verksamhetsbehov.
Att försöka skjuta in frågor om informationssäkerhet eller kvalitet i informationshanteringen stämplades som närmast illojalt eller i bästa fall som tugg som man måste genomlida innan man gick vidare precis som förut.
Filifjonkan på bilden har inte bara med ångestridna patienter att göra utan också känslan av den annalkande katastrofen som hon symboliserar.
Det finns inget som är så lätt som att förutspå framtiden i efterhand.
Många är nu chockade och totalt överraskade över vad som framkommit om 1177 och dess underleverantörer.
Att försöka påpeka vikten av god informationssäkerhet vid digitaliseringen har som sagt varit ett arbete i stark motvind för att inte säga full stormstyrka i 25 år.
Ofta har den berättigade oron för den alltmer bristande säkerheten inom vård-it utmålats som ett Filifjonka-aktigt beteende och att varningarna för riskerna skulle ha lika litet med vår verklighet att göra som Filifjonkans permanenta ängslighet i Mumindalens idyll.
När det nu exempelvis framkommer att Region Värmland har anlitat en underleverantör för att hantera den extremt känsliga informationen i telefonrådgivning endast med dessa säkerhetskrav: Leverantören ska skydda sin information mot otillbörlig åtkomst och förstörelse i enlighet med gällande lagar, förordningar och föreskrifter.
Hur skyddet genomförs ska dokumenteras.
Leverantören ska på begäran kunna uppvisa denna dokumentation för landstinget.
Leverantören ska följa landstingets vid var tid gällande riktlinjer för informationssäkerhet.
ger det en indikation om hur relevant oron faktiskt var/är.
Observera att inga ytterligare krav ställts till exempel i form av en säkerhetsbilaga som förtydligar vad det är man vill ha, inte ens ett personuppgiftsbiträdesavtal i någondera riktningen finns.
Otroligt nog verkar hela den massiva hypen kring dataskyddsförordningen gått regionen förbi.
Med tanke på att hela härvan ännu inte är utredd ska jag, för att undvika förhastade slutsatser, inte kommentera alla juridiska och tekniska detaljer.
Enkla lösningar är det redan alltför många som kommer med.
Inte heller finner jag det meningsfullt att ägna mer tid åt den lyteskomik som svaren från de olika leden i leverans av telefontjänsten i 1177 gett utrymme för.
Istället ska jag försöka ringa något av det systemfel som ligger som grund för den uppkomna situationen.
Grundproblemet ligger i att vård-it i Sverige under trettio år har fått växa fram inte som en sammanhängande infrastruktur utan som en brädhög där olika aktörer kunnat lägga på sin egen bräda utan att behöva ta hänsyn till någon gemensam plan.
Detta skapar naturligtvis en låg grad av funktionalitet trots de enorma resurser som lagts på digitaliseringen men dessutom har det också skapar de oöverblickbara säkerhetsrisker som 1177-skandalen är ett av de mest flagranta exemplen på.
Den främsta säkerhetsrisken är att det i många fall är omöjligt att klarlägga ansvaret för säkerheten vilket med all önskvärd tydlighet framgår i fallet med 1177.
Intuitivt skulle nog de flesta säga att det största ansvaret ligger hos sjukvårdshuvudmännen, det vill säga främst regionerna/landstingen som i den svenska förvaltningsmodellen delegerats ansvaret för och där ansvaret definieras i hälso- och sjukvårdslagen: Med huvudman avses i denna lag det landsting eller den kommun som enligt lagen ansvarar för att erbjuda hälso- och sjukvård.
Inom en huvudmans geografiska område kan en eller flera vårdgivare bedriva verksamhet.
När det gällde hanteringen av information inklusive säkerhet var detta ansvar inte särskilt besvärligt att definiera på den tiden då landstingen också utförde den absoluta merparten av vården.
Då var journalerna allmänna handlingar som tillhörde landstinget och det också ställdes tydliga krav på hanteringen (ja, jag vet att det inte alltid funkade jättebra i verkligheten men jag rör mig nu på systemnivå).
I och med kommunalisering (ÄDEL) och privatiseringsvågen blev ansvaret otydligare.
Som en andra skänkel i saxen som klippte av tydligheten i ansvarsfördelningen fungerade rörelsen mot alltfler samarbeten mellan landsting som exempelvis Sjunet och de nationella tjänsterna.
Det är här jag menar att juridiken inte hängt med, inte genom att ställa krav på integritet i det nya landskapet.
Det juridiska ansvaret läggs nämligen främst på vårdgivaren: Med vårdgivare avses i denna lag statlig myndighet, landsting, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet.
Vårdgivaren kan vara vilken aktör som helst som bedriver någon form av vård, till exempel Medhelp.
Denne har också ansvaret för informationssäkerheten vilket mycket specifikt beskrivs i Socialstyrelsens föreskrift med regler för vårdens Problemet är bara att den mest säkerhetsmedvetne vårdgivaren ändå inte kan hålla sig för sig själv utan måste fungera i brädhögen av oklara ansvar eftersom man till exempel med nödvändighet måste använda bland annat nationella tjänster.
I och med detta faller alla de många goda råd som även säkerhetsexperter av olika dignitet framfört de senaste dagarna om att det bara är att ha tydliga upphandlingsrutiner, följa upp krav o.s.v.
Inte ens dataskyddet faller ut som man skulle kunna tro när man läser i avtalet mellan Region Stockholm och Medhelp och ser att regionen är personuppgiftsbiträde åt Medhelp och inte tvärtom….
Det som måste understrykas är att den digitala världen inte bygger på bilaterala relationer utan på multilaterala och att vi saknar verktyg att hantera den nya situationen.
Även trogna gamla kämpar som tillsynsvapnet riskerar att bli tandlöst eftersom tillsynen gäller enskilda organisationer.
Att skapa ansvarsförhållanden och möjlighet till ansvarsutkrävande avpassade för multilaterala infrastrukturer bedömer jag som den mest fundamentala säkerhetsåtgärden för vård-it.
Detta är inte något som en enskild vårdgivare kan ta ansvar för utan måste byggas upp på nationell nivå.
Tyvärr har denna grundläggande förutsättning totalt negligerats i de utredningar om e-hälsa som genomfört under senare år.
Mer om de moderna strukturerna finns att läsa i den nyligen utkomna antologin .
Ansvaret är alltså idag osynkroniserat med den nationella informationsinfrastrukturen och även med den tekniska infrastrukturen.
Ändå tror jag det är viktigt med ett ansvarsutkrävande.
Tyvärr kommer nog inte Region Stockholms innovationsregionråd ta sitt ansvar och avgå, inte heller hans motsvarigheter i Region Värmland och Sörmland.
SKL:s programansvarige för e-hälsa kommer att på motsvarande sätt skjuta ansvaret ifrån sig och Inera har snabbt varit ute och sagt att de går skuldfria ur denna förödande situation.
Tyvärr, inte för att vi behöver ett melodramatiskt utspel som när Toyota-chefen gråtande bad om ursäkt för sina fel eller syndabockar, men för att ge en reboot för vård-it.
Om ett antal digitaliseringspotentater inom vården åtminstone hade omdömet att säga: ”jag har villigt tagit emot all cred för att framstå som nyskapande och innovativ, nu tar jag lika villigt mitt ansvar när det visar sig att vi kört totalt fel inom e-hälsoområdet.”.
Detta vore en mycket viktig signal att vi nu inte ska fortsätta som förut utan gå in i en ny tid.
Det jag skriver ovan kan nog de flesta hålla med om på någon nivå men varför ser det då ut som det gör?
Jag skulle vilja hävda att det inte enbart beror på inkompetens utan i lika hög grad på attityd, möjligen arrogans.
Detta är en något nedslående tanke för sannolikheten för att kunna omvandla inkompetens till kompetens är större en att rå på decennier av negativ säkerhetskultur.
Jag förstår att det är mycket behagligare att ständigt mana framåt och inte hänga upp sig på problem och hinder.
I 1177-skandalen är patientens integritet som allvarligt skadats vilket är ett värde som talföra debattörer inom digitaliseringen och e-hälsa till och med i många sammanhang förnekat.
Den bristande samordningen kan också ses som ett resultat av SKL:s framgångsrika arbete som lobbyorganisation.
SKL är en intresseorganisation för regioner och kommuner som arbetsgivare och har med stor frenesi hävdat det kommunala självstyret inom hälso- och sjukvård.
Varje försök till styrning från staten nagelfars och min bedömning är att staten efter nedmonteringen av Socialstyrelsen inte ens har möjlighet till en effektiv myndighetsstyrning vilket lämnat fältet ännu mer fritt för SKL.
Ur ett samhällsperspektiv har det även lett till en starkt minskad insyn eftersom SKL, trots att man är helt finansierad av offentliga medel, inte lyder under offentlighetsprincipen.
Vad som pågår inom SKL och vilken agenda som drivs är därför svårgenomträngligt.
Under den tid jag jobbade på MSB och, bland annat inspirerad av den norska lösningen Normen, försökte få till en styrning bättre avpassad till de multilaterala relationerna fick jag ofta känna av SKL:s maktanspråk.
Ärligt talat så var intresset inte särskilt stort ens i min egen myndighet och inte heller i de andra myndigheter som hade uppdrag i någon form som påverkade säkerhetsaspekterna i vården.
Men var det ett svalt umgänge i myndighetssfären så var SKL:s engagemang i frågan på nollpunkten.
Mitt käcka erbjudande om att MSB skulle kunna samordna och tillföra väsentliga resurser och kompetens för att göra den så skakiga informationssäkerheten i vården bättre möttes mycket kallsinnigt.
Budskapet var att detta var en uppgift som regionerna kunde klara själva (med SKL:s hjälp) och att myndigheter inte hade i territoriet att göra.
Själv kände jag mig som en ovälkommen budbärare från de många medlemsorganisationer som satt med sin usla säkerhetssituation utan reell möjlighet att göra något åt den.
Med ett avancerat tjat lyckades det till slut att få SKL att skriva under den gemensamma strategi som jag tagit fram som underlag och som nu litet patetiskt ligger kvar på MSB .
Någon gemensam styrning á la Normen är lika fjärran som då strategin skrevs.
SKL har alltså haft alla möjligheter att själva ta fram de stöd som så väl skulle behövas i deras medlemsorganisationer.
Så har inte skett förutom det tveksamma verktyget för informationsklassning som jag skrivit om Något gemensamt regelverk för att hantera den multilaterala ansvarssituationen inom vården kan jag fortfarande inte hitta på SKL: s webbsida.
Intressant nog har ju inte SKL något formellt ansvar för informationssäkerheten i vården eftersom man är en intresseorganisation och kommer säkerligen inte att påta sig något sådant nu heller.
När nu nästa trend är AI i vården blir man inte direkt lugnare, särskilt inte när SKL:s programansvarige för e-hälsa ifrågasätter lagstiftningen snarare än ansvarskänslan hos införarna som .
I mina dystrare stunder tror jag vi nått vår kollektiva inkompetensnivå där vi ska skapat ett it-monster som ingen längre kan styra.
Vi har en situation med i princip outtömliga tekniska möjligheter promotas av aggressiva leverantörer.
Tekniken möter en omogen organisationsstruktur där verklig styrning ersatts av fritt spelrum för särintressen.
Till detta kommer den bristande självinsikten om att det är så här det ser ut och den negativa säkerhetskulturen inom vården.
Och slutligen juridik och företrädare för informationssäkerhet som fortsätter att leverera lösningar gjorda för enstaka organisationer eller möjligen bilaterala relationer vilken inte är till någon större hjälp i den dagens multilaterala arkitekturer.
Självklart kan vi inte ge upp utan istället ställa oss frågan hur vi kan genomföra de absolut nödvändiga förändringar som skulle göra vård-it till en seriös verksamhet.
Här vill jag anslå en ny ton för att markera att detta är mycket komplexa frågor som vi idag i huvudsak saknar svar på.
Det är inte enkla förbättringar av upphandlingsrutiner som kan leda framåt utan förändringar av en helt annan dimension som är nödvändiga.
Det är inte beställningar mellan kund och leverantör som är det verkliga problemet utan beställningen från regeringen till sjukvårdshuvudmännen som inte fungerar där sjukvårdshuvudmännen som leverantörer inte klarar av att skapa en säker vård-it.
Mina förslag, som jag inte när något större hopp om att de kommer att anammas, är att likna vid ett undantagstillstånd.
Det kan tyckas dramatiskt men allvaret i situationen kräver extraordinära åtgärder .
Parallellt med åtgärderna bör även en attitydförskjutning initieras där vi slutar se digitalisering som ett självändamål utan blir förmögna att ta in olika perspektiv som till exempel säkerhet.
Utgångspunkten bör också att det är en nationell struktur som ska byggas och förvaltas där de gamla organisationsgränserna inte längre får sätta käppar i hjulet.
Här kan man ana att en del integritetsnihilister vädrar morgonluft men bedra er inte; målet är att stärka integriteten, inte nedmontera den ytterligare!
Redan när jag under 1990-talet arbetade med informationshantering och informationssäkerhet i ett landsting (jag på den gamla goda tiden när det fortfarande hette landsting och inte regioner) blev den sköra balansen mellan landstingets eget ansvar och det nationella intresset tydlig för mig.
Det är inget okänt eller nytt problem som nördar med överdrivet förvaltningshistoriskt intresse (d.v.s.
De nya medicinska behandlingar liksom nya politiska vindar drev dock tillsammans med digitaliseringen fram en historiskt ny situation där de tidigare så inbillat självrådiga landstingen pressades åt två motsatta håll.
Å ena sidan blev det enskilda landstingets sjukvårdsverksamhet alltmer integrerad i ett nationellt landskap som bland annat bestod i att specialiserad vård koncentrerades till ”vårdhubbar” och en gemensam struktur i nivåer.
Å andra sidan en ökad fragmentisering med fler aktörer som kommuner, privata vårdleverantörer och fler tillsynsmyndigheter.
I detta skede skulle de institutionella förutsättningarna förändrats så att en stark styrning möjliggjorts.
Istället gjorde införandet av new public management att bristen på samordning nationellt trycktes ner till disparata krav för det enskilda landstinget att försöka pussla ihop.
Jag kommer fortfarande ihåg den lätta panik jag kände när jag ringde till Socialstyrelsen i en fråga rörande journalhantering.
Den hjälpsamma tjänstemannen meddelade att hen bara kunde ge stöd angående patientssäkerhetsaspekten i hanteringen av patientinformation.
För att få råd avseende integritetsaspekter i samma hantering var jag tvungen att vända mig till Datainspektionen, och nej, de två myndigheterna hade tyvärr inte tagit fram några gemensamma vägledningar.
Systemfelet att man inte på nationell nivå integrerar frågeställningar som delvis är i konflikt i det praktiska utförandet utan skjuter över det till de utförande organisationerna att lösa individuellt är verkligen inte unikt för vården.
På område efter område kan samma mönster urskiljas.
Jag har redan mer än en gång för mycket beskrivit den (icke-)existerande samordnade styrningen av säkerhet och digitalisering.
Jag har på senare tid börjat fundera alltmer på den heliga ansvarsprincipen som infördes på 1980-talet och då ersatte en centraliserad styrning av bland annat krisberedskap.
I och med detta försvann visserligen detaljkraven på enskilda verksamheter men också inbillar jag mig möjligheten att kunna mobilisera samhällsfunktioner med nödvändig överblick över helheten.
(Eftersom jag blivit alltmer nyfiken på tankarna bakom krisberedskap har jag börjat läsa litet, för andra med samma dragning kan en bra ingång vara den här ).
Kanske är det överblicken och systemtänkandet jag saknade mest när jag började arbeta på en samordnande myndighet.
Det var med en känsla av desillusion som jag tyckte mig se konkurrens och revirpink snarare än samarbetsanda hos de myndigheter som skulle samverka.
Min upplevelse var också att det fanns ett klimat där det var mycket svårt att ta varandras perspektiv och ännu mindre perspektivet hos dem som konkret skulle genomföra flertalet säkerhetsåtgärder, d.v.s.
de vanliga organisationerna.
Särskilt dystert kändes detta med tanke på hur väl övriga samhällsaktörer behövde en samordnad inriktning och gemensam säkerhetsarkitektur (inte bara teknisk) – något som faktiskt inte det enskilda landstinget eller kommunen kan åstadkomma.
För att inte drabbas av något ont öga vill jag återigen understryka att detta är min egen subjektiva upplevelse som säkert påverkades av mina högt ställda förväntningar.
De i det svenska statsskicket så självständiga myndigheterna föreföll också tämligen befriade från stark styrning från regeringskansliet.
Snarare tycktes en omvänd ordning råda där expertmyndigheterna hade starkt inflytande över de inte alltför seniora tjänstemännen på RK och därmed i vissa delar tycktes formulera sina egna uppdrag.
Hunnen så långt i mina reminiscenser dök tanken på Freja och hennes vagn dragen av katter upp.
Alla med minsta kännedom om katter kan föreställa sig vilket sjå Freja hade om hon skulle få vagnen att rulla framåt, en katt som lägger sig och vägrar röra sig, två som går åt två helt olika håll och till det massa stirrande och fräsande.
Men för att tänja på metaforen med Frejas vagn borde det vara en huvudfråga att vagnen med digitalisering, säkerhet och integritet rullar framåt.
Då måste dragarna röra sig i samma riktning och helst vara lämpliga för ändamålet.
Att samordning inte är svårt bara när det gäller de stora frågorna utan även i de mer konkreta metodfrågorna demonstreras i den frustrerande verklighet som de många som ska förverkliga intentionerna lever i. Efter att ha misslyckats med att få både intern och extern acceptans för en vägledning för informationsklassning började jag tänka om.
Informationsklassning är en metod som jag själv praktiserat i ett par decennier med en tydlig förutsättning: den måste leda fram till konkreta och säkerhetshöjande åtgärder.
Genom åren har jag sett många varianter av förslag på informationsklassning men mycket få som faktiskt tillämpats i praktiken.
Det har till och med förekommit på konferenser och seminarier att metoder presenterats som framgångsrika trots att de aldrig använts i någon organisation!
Informationsklassning i all ära men en stor del av säkerhetskraven är så generiska att det inte finns någon anledning att gå omvägen via klassningar.
Ta exempelvis det mycket aktuella exemplet med ”molntjänster” med vilket för närvarande avses Office 365 och liknande helt omfattande lösningar där i princip all administrativ information utom HR och ekonomi kan hamna.
Såvitt jag kan bedöma är det inte meningsfullt att genomföra enskilda informationsklassningar per verksamhet och inte heller per organisation (mer om det .)
När nu säkerhetsskyddslagstiftningen inför ytterligare klassningar (vilket jag skrivit om bland annat och ) blir uppgiften ännu mer omöjlig att genomföra.
Min slutsats är därför att informationsklassning faktiskt inte går att använda på det sätt som jag själv gjort i någon större skala utan att vi måste tänka om.
Jag tror dessutom att det vore en samhällelig suboptimering av rang att göra som eSam och andra myndigheter föreslår: att varje organisation själv ska göra egna informationsklassningar och riskbedömningar.
För mig vore det enda rimliga att de myndigheter som har formellt ansvar och de organisationer (som eSam) som tycker sig ha anledning att göra generella statements också bidrar till att lösa frågan och inte bara delar ut Svarte pettrar.
När jag slutade på MSB (där jag då var chef för enheten för systematiskt) för tre år sedan låg enhetens fokus på tre strategiska projekt: Såvitt jag vet hamnade projekten i malpåse men jag skulle vilja förklara den bakgrund till projekten som jag bedömer som varande fortfarande relevant.
En del var en ökande medvetenhet om hur NPM-tänkandet präglat även informationssäkerhetsområdet bland annat i form av en extrem decentralisering och fokus på mätning snarare än att skapa en sammanhållen och kostnadseffektiv arkitektur av säkerhetsåtgärder.
Exempel på detta är att den stora övertron till att ISO-standarden ska lösa problemen trots att den uttryckligen är inriktad på enskilda organisationers säkerhet och därmed har en stor potential för att ge olika svar i olika organisationer.
Ett annat är det lika överdrivna intresset för att samla in incidentrapporter utan att sedan riktigt veta vad man ska göra med dem.
Istället menar jag (fortfarande) en stark central styrning måste till och att tanken på standarderna som universallösningen måste överges.
Enkelt uttryckt måste vi förflytta oss från metoder som är skapade för att skapa resultat till styrning som ger ett enhetligt resultat i den gemensamma infrastrukturen.
Att skapa större enhetlighet inte bara vad gäller metod utan i faktiska säkerhetsåtgärder bör i sig vara ett mål.
Det vill säga att där det förekommer likartad information i likartade processer bör den om möjligt hanteras på ett enhetligt sätt.
Om man har detta som utgångspunkt finns i Sverige alldeles lysande förutsättningar för att nå snabba säkerhetshöjningar, något som nu inte alls tillvaratas utan snarare motarbetas.
Låt oss ta kommunerna som det kanske tydligaste exemplet.
Samtliga 290 kommuner har tio obligatoriska uppgifter som de ska utföra.
Det innebär att deras kärnverksamhet i består av tio i huvudsak likartade processer med i huvudsak likartad information.
Att söka skola eller byggnadslov ser ungefär likadant ut även om man kan ha olika organisationer, system och begrepp.
Genom att utnyttja den fördelen och skapa generiska processer inklusive informationsmängder kan man också ta fram informationsklassningar för kärnverksamheten som kommunerna kan utgå från liksom även skyddsnivåer där systemen som stöder processerna kan placeras in.
Detta är bara ett exempel på hur vi snarare har motverkat de stora fördelar som finns i likheten och skapat ett enormt maskineri av krav på att med bristfälliga resurser klassa samma information fast få fram olika resultat… Förutom den effektivitet och kostnadsreducering som skulle kunna vinnas med den här typen av styrning är den kanske mest centrala att det faktiskt skulle leda till bättre säkerhet.
De riskbedömningar, klassningar och skyddsnivåer som kan tas fram med experter på nationell nivå kan med stor sannolikhet, förutom att vara enhetliga, vara av en annan kvalitet än de som en informationssäkerhetsansvarig på 20 % i Söpple kommun har möjlighet att frambringa.
Här vill jag dock med all kraft understryka att den verksamhetskunskap som finns i företag, kommuner, regioner och myndigheter inte kan ersättas av säkerhetsexperter.
Nej, här det snarare frågan om en stark funktionell renodling där verksamheter står för verksamhetskompetensen och säkerhetsfunktioner står för säkerhetskompetens.
Och självklart kommer det att kvarstå verksamhet som är unik som måste hanteras av den egna organisationen.
Grunden var att försöka komma fram till hur man ska kunna skapa institutionella förutsättningar för att skapa en fungerande informationssäkerhet som dessutom är i samklang med både den planerade och den oplanerade digitalisering som pågår.
Jag vill betona betydelsen av institutionella förutsättningar i styrsystem eftersom det inom säkerhetsområdet florerar en underförstådd föreställning om regelstyrning både i den lokala organisationen och på nationellt plan.
Den kan tolkas som att det räcker med att bara säga till vad som gäller (regler) och sedan straffa eller skamma de som avviker från dessa.
Om detta har en säkerhetshöjande effekt eller inte har en underordnad betydelse.
Till och med vid framtagandet av föreskrifter är frågan om hur föreskriften ska få effekt en osynlig fråga.
För att belägga det räcker det att konstatera att det saknas en planerad uppföljning av föreskrifters genomslag inte tas fram.
Jag tror helt enkelt att säkerhetsområdet måste börja närma sig andra områden när det gäller styrning.
Detta behov blir än mer framträdande då det sedan ett par decennier är i allt högre grad privata aktörer som utför centrala delar av samhällsviktig och offentligt finansierad verksamhet.
I en situation av mer governance och mindre government blir rak regelstyrning mindre effektiv.
De institutionella förutsättningarna innebär inte bara regler utan också där beteendena bör förflyttas så att de överensstämmer med reglerna.
En viktig uppgift är alltså att hitta de mekanismer som kan underlätta denna förflyttning.
Ganska självklart men kanske för ofta bortglömt.
Styrningen beror alltså på att man väljer rätt metoder för att underlätta förflyttningen av beteendena.
Straff och tillsyn är ofta framlyfta incitament inom säkerhetsområdet men min uppfattning är att minst lika stort intresse borde vigas åt de positiva incitamenten som exempelvis överenskommelser, kunskapsstyrning och en positiv säkerhetskultur även på nationell nivå.
För att inte hamna i Frejas situation och ha en vagn spänd bakom trilskande kissar har jag tagit fram följande superförenklade bild över hur en gemensam styrmodell skulle kunna utformas.
Pilarna ovanifrån är verksamhetskrav för att styrmodellen ska utformas med de risker som finns i detta perspektiv.
Vad som inte finns med är hur styrmodellen ska samverka med myndigheternas krav på digitalisering – detta mest beroende på att jag funnit det omöjligt att hitta underlag för att beskriva hur denna styrning är avsedd att ske.
Här vill jag skjuta in att den här typen av modell även skulle leda till att relationen med leverantörer av tjänster för informationshantering skulle förbättras på ett antal nivåer.
För det första skulle kommunikationen vid upphandlingar kunna ske med stöd av skyddsnivåerna i modellen: kunden kan istället för egenhändigt utformad kravspec för säkerhet peka på vilken skyddsnivå systemet eller tjänsten ska uppfylla.
För det andra kan, om beskrivningarna i skyddsnivåerna är rätt utformade, leverantörerna bidra med lösningar med bättre säkerhet än vad kunderna skulle kunna formulera krav på.
Leverantörerna har trots allt som sin kärnuppgift att utveckla teknik vilket inte kunderna har.
För det tredje skulle det ge leverantörerna ett mått av förutsägbarhet som gör det värt att investera i utveckling av nya säkerhetslösningar.
För att bara ta några möjliga förbättringar.
Det skulle också innebära att man kan lyfta kretsloppet av ständig förbättring, PDCA-cykeln, från den enskilda organisationen till vår gemensamma informations- och it-struktur, med dessa exempel: Detta är bara en bråkdel som finns att säga om detta.
I ett senare inlägg kommer jag därför att beskriva förslaget ytterligare.
Observera fram till dess med tacksamhet att jag inte satt Operation Gyllenborst som namn på modellen.
I maj när dataskyddsförordningen trädde i kraft inledde jag ett test: att genom att ställa frågor om hur mina personuppgifter hanterades i vården ville jag göra en temperaturmätning av den kontroll som vården generellt har över vårdinformationen.
För hälso- och sjukvård innebär (i princip) inte dataskyddsförordningen någon så stor skillnad eftersom både patientdatalagen och PuL redan gett patienten möjlighet att få tillgång till sin information och (i teorin) spärra åtkomsten till sin vårdinformation.
I verkligheten är det och har det sedan patientdatalagen varit svårt för att inte säga omöjligt att få veta hur patientuppgifter hanteras – det är i alla fall min uppfattning som jag ville pröva genom att begära upplysningar om mina egna vårduppgifter med stöd av dataskyddsförordningen.
Svaren på mina frågor var negativa (vilket jag kommer att återkomma till senare) men jag fick underlag rörande dagssituationen inom e-hälsoområdet.
Detta inlägg svävar ut in extremis och handlar om i vilket landskap som digitalisering av vårdinformationen sker.
Jag ska resonera om den bristande styrningen av e-hälsa samt pusta ut orosmoln om informationssäkerhet och det långsiktiga bevarandet av vårdinformationen.
I ett följande inlägg kommer jag att skriva mer om den bakomliggande juridiken.
Först till organisationen av den svenska sjukvården som förvånansvärt många som gör inlägg i e-hälsofrågor inte tycks bottna helt i. Tillåt mig att roa mig med en historisk utflykt.
Den svenska vården är i huvudsak offentligt finansierad via skattemedel.
Det regionala ansvarar för att erbjuda vård inom det egna upptagningsområdet enligt hälsosjukvårdslagen.
Men landstingen och regioner behöver inte själva vara utförare av all vård utan kan även vara privata.
Andelen privata vårdgivare har tillväxt mycket starkt under de senaste 20 åren men strukturen med självständiga landsting som sjukvårdshuvudmän har funnits sedan 1862 (med varierande uppdrag).
Redan här finns underlag för vanliga missuppfattningar om ansvar men också reella problem eftersom de flesta krav i föreskrifter m.m.
riktas mot vårdgivarna och inte sjukvårdshuvudmännen.
När det gäller säkerhet och integritet har dock vårdgivarna inte så stora möjligheter att påverka sin situation trots att de har ansvaret – de tvingas (formellt eller informellt) ofta av sjukvårdshuvudmän, SKL eller myndigheter att använda lösningar oavsett egna säkerhetskrav.
Landstingen är kommuner med en politisk ledning vilket gör att inriktningen för olika landsting och regioner kan variera.
För e-hälsan som av naturliga skäl blir allt mer nationell är detta en ansvarsfördelning som innebär stora problem, inte minst eftersom landstingspolitiker använt rollen för egna, i mitt tycke kortsiktiga, kampanjer.
En misstanke som gror är att e-hälsa används av politiker för att undkomma att diskutera den offentligt finansierade vårdens grundfråga: den nödvändiga prioriteringen.
Det är ett väl känt faktum att det inte finns någon bortre gräns för behovet av vård, det finns hela tiden nya sjukdomar och tillstånd som kan behandlas och definitionen av hälsa kan sättas så högt att inte minsta krämpa blir acceptabel.
Däremot är vårdens resurser begränsade – alltså måste prioriteringar ske.
Detta är den mest laddade av alla frågor för sjukvårdspolitiker eftersom prioriteringar ofelbart kommer att leda till att några patienter blir missnöjda.
Den som tillsattes i slutet av nittiotalet för att ge de lokala politikerna stöd i form av nationella prioriteringslistor släppte också snabbt den glödheta potatisen och lämnande ifrån sig litet allmänna rekommendationer om hur processen för prioriteringar skulle kunna ske .
Min teori är att politiker och högre tjänstemän i vården nu (omedvetet) använder e-hälsa som en dimridå för att undvika frågan om prioriteringar genom att hävda att e-hälsosatsningar skulle kunna leda till enorma effektivitetsvinster (som då underförstått skulle leda till att får den vård de vill ha).
I verkligheten sker en mycket negativ icke-styrd prioritering av sjukvårdsmedel genom bland annat kommersiella nätläkare där en ohelig allians mellan nätläkarnas ekonomiska intresse och människor med lättare krämpor prioriterar upp sig på bekostnad av andra med reella hälsoproblem.
En hårdvinklad beskrivning men ni förstår vad jag menar.
Detta sätter stark press på sjukvårdspolitiker som i vissa fall måste säga nej men hellre säger att e-hälsa kommer att lösa problemen.
Själv är jag positiv till de former av e-hälsa som leder till reella förbättringar men att tro att den ska kunna upphäva den omöjliga ekvationen mellan outtömliga behov och begränsade resurser är en vanföreställning som ansvarsfulla politiker borde göra upp med.
En annan viktig negativ faktor är SKL:s förändrade roll.
SKL driver sina medlemsorganisationers intressen i förhållande gentemot uppdragsgivaren staten, d.v.s.
att man vill att staten ska styra så litet som möjligt (även om det inte uttrycks preeeecis så) vilket ökar på fragmentiseringen ytterligare.
Den tidigare sammanhållande myndigheten Socialstyrelsen som var en beredande motpart för SKL blev sönderslagen för några år sedan.
Uppgifterna är nu fördelade på fyra myndigheter som tillsammans med Läkemedelsverket tycks ha ett tämligen lågintensivt samarbete.
SKL och sjukvårdshuvudmännen agerar som månghövdad maktfaktor utan eget ansvar i det tomrum som skapades när Socialstyrelsen nedmonterades.
Dessutom står e-hälsoområdet under ett starkt kommersiellt intresse, inte bara genom nätläkarna.
Den nära alliansen mellan känns inte helt betryggande för det kommande.
I den tidigare regeringen var två av hälso- och sjukvårdsministerns statssekreterare hämtade från it-leverantörer vilket Dagens samhälle skrev om förra året.
Förväntan på stora vinster inom vården och en kanske alltför nära relation är knappast positiva nyheter för patienter och skattebetalare.
Eftersom jag intresserat mig en hel del för den svenska sjukvårdens historia kan jag inte undgå att fundera över att maktbalansen mellan staten som är uppdragsgivaren och utförarna, d.v.s.
sjukvårdshuvudmännen (regioner och landsting) samt numera SKL, har förskjutits.
Att göra historiska jämförelser är alltid vanskligt men för mig går det inte att motstå frestelsen att försöka analysera varför e-hälsa och digitalisering relativt sett varit så litet framgångsrika samhällsprojekt i förhållande till de resurser som satsat.
Hade det gått att prata fram e-hälsa och digitalisering hade det svenska samhället genomgått ett Civilization-moment där den framgångsrike spelaren lyckas uppfinna elektricitet på 1100-talet.
Men tyvärr räcker det inte med miljontals power point bilder, konferensinlägg, möten, testbäddar och avgränsade dellösningar för att skapa infrastruktur.
I detta delar jag uppfattningen i om floden av åsikter.
Jag tror mig att se några orsaker till det haltande genomförandet av något som trots allt alla varit överens om ska genomföras.
Detta är en situation som i mycket liknar den som rådde från slutet av fyrtiotalet och i ett par decennier framåt då det skedde en så här i efterhand nästan ofattbar mobilisering och utbyggnad av den svenska hälso- och sjukvården.
När jag skrev en historik om den värmländska sjukvården häpnade jag över att landstinget under en tioårsperiod byggde inte mindre än fyra nya sjukhus!
Även om jag är starkt lockad ska jag inte gräva ner mig ytterligare i detta utan bara tacksamt konstatera att den samhälleliga kraftsamling är något som vi nu fortsätter att skörda frukterna av.
Hur kunde man lyckas med denna infrastrukturella revolution?
En första förutsättning var att det fanns en stark politisk enighet om att detta skulle genomföras även från de borgerliga partierna som annars kampanjade för skattesänkningar.
Men till skillnad mot e-hälsoutvecklingen (liksom digitaliseringen i övrigt) nöjde man sig inte med den politiska enigheten utan skapade även de institutionella förutsättningarna (för den som vill läsa mer om institutionella förutsättningar rekommenderar jag verkligen att läsa litet Lennart Lundqvist eller Bo Rothstein) för utbyggnad.
En viktig sådan var att skapa ett mycket genomarbetat kunskapsunderlag att ta ut riktningen ifrån.
I detta var utredningsväsendet mycket betydelsefullt, de utredningsinsatser som gjordes var av mycket hög kvalitet.
Häri ligger en väsentlig skillnad mot de utredningar och kommittéer som levererat förslag inom digitalisering och e-hälsa, jag nöjer mig med att instämma i de synpunkter som framförs i den här .
I utvecklingen fanns en mycket kraftfull och sammanhållande motor i Medicinalstyrelsen, sedermera Socialstyrelsen.
Det är idag nästan svårt att förstå hur inflytelserik myndigheten var och på vilken detaljnivå man styrde sjukvården.
Om vi bara ser till vårdbyggnader fanns det ett regelverk som ner till hur många luftkubik per vårdplats definierade hur sjukhusen skulle byggas.
Varje ritning på ny- eller ombyggnad måste skickas in för godkännande och stränga inspektörer åkte ut och kontrollerade att det som byggts höll måttet.
Landstingen var byggherrar och hade det praktiska ansvaret för byggande och vård men deras intressen samlade ingen front i Landstingsförbundet (en del av SKL:s föregångare tillsammans med Kommunförbundet) utan gick huvudsakligen via riksdagen.
Där fanns det som kallades ”landstingspartiet” eller ”landstingsbänken” där landstingsordförande som nästan undantagslöst även vara riksdagsmän kunde driva sina frågor – ofta i gott samförstånd oavsett partipolitisk tillhörighet.
Även detta var en viktig institutionell förutsättning eftersom det då fanns etablerade och lagfästa former för att lösa intressemotsättningar.
Idag är situationen radikalt annorlunda.
En viktig skillnad är förstås att det kommit in så många privata aktörer men också att när de gamla institutionerna revs ner ersattes de inte av nya som skulle varit verkningsfulla då man anammade new public management som grundfilosofi för den svenska vården.
Jag är för tillfället inne på att försöken att uppnå effektiv digitalisering och e-hälsa är bland de bästa exemplen på hur new public management på ett negativt sätt präglat svensk offentlig sektor.
Resultatet har bland annat blivit att Socialstyrelsen i accelererande takt fråntagits mandat och att sammanhållen utveckling ersatts med fragmentisering.
Intresseorganisationen SKL tycks inte heller längre gå via en beredning på myndighetsnivå utan direkt på regeringen och jag har t.o.m.
läst meningar som att ”regeringen bör SKL i uppdrag …”.
Den geografiska uppdelningen av ansvar var under perioden mindre problematisk än idag eftersom större delen av vårdens uppgifter kunde lösas inom varje landstings hank och stör.
När digitaliseringen tog fart i början av nittiotalet skapades överbryggande strukturer som exempelvis Sjunet och sedermera Carelink.
Nu finns både eHälsomyndigheten och Inera m.fl.
som utan tydlig gemensam strategi eller regelverk grejar i infrastrukturen.
Bortsett från det negativa i att sakna gemensam styrning ser jag det inte heller som problemfritt när digitalisering och e-hälsa blir frikopplade från den kärnverksamhet de ska utgöra stödfunktion för.
En annan aspekt som tycks ha glömts bort är vårdinformationens långsiktiga betydelse både för den enskilda patienten och för forskningen.
För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård.
Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades).
Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman.
Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän.
Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring.
Alla sjukvårdshuvudmän (alltså landsting/regioner) utom en om jag kommer ihåg rätt hade åtagit sig att bevara alla läkarförda journaler för all framtid.
Bakgrunden till detta var den enorma betydelse som den vårdinformation som arkiverats från sjuttonhundratalet och framåt haft för den svenska forskningen.
I PDL är kravet att en journal ska bevaras i minst tio är efter att sista anteckningen förts in i handlingen samt att journaler som allmänna handlingar ska hanteras som sådana.
Det är ungefär vad som stod i patientjournallagen också men nu är kontexten radikalt annorlunda och även innebörden av begreppen – vad är ens en ”handling” i dagens vårdinformation?
Bara den förändringen att betydligt mindre andel av vårdinformationen är allmänna handlingar och därmed kan gallras av den enskilda vårdgivaren är en stor risk.
Vissa sjukvårdshuvudmän har försökt reglera arkivfrågan i avtal med de privata vårdgivarna men detta är knappast tillräckligt.
Redan idag är det som presenteras på skärmen hos en vårdgivare en sammanställning av information ur en rad system och tjänster som kan finnas både inom och utom vårdgivarens organisation.
Detta är bara inledning av en utveckling där informationshanteringen kommer att bli organisatoriskt och tekniskt allt mer komplex.
För att bevara denna gigantiska informationsmassa för framtiden för att kunna serva patienter som envisas med att leva i bortåt ett sekel och för att kunna ge underlag för livsviktig forskning räcker det inte med att litet svävande beskriva ”e-arkiv”.
För mig är detta en mycket bekymmersam fråga och det förvånar mig att varken Riksarkivet eller de utredningar som genomförts gällande registerforskningen intresserat sig för detta.
Så här i slutet av litanian vill jag inte på något sätt hävda att vi kan använda gårdagens lösningar idag.
Däremot tror jag att det finns mycket att vinna på att ha ett historiskt perspektiv.
I detta fall vill jag lyfta fram behovet av kvalitativa kunskapsunderlag som är parlamentariskt förankrade, en långsiktig väl definierad inriktning, institutionella förutsättningar anpassade efter aktuell situation och en sammanhållande kraft med mandat att genomdriva beslutade lösningar.
Framför allt tror jag att vi måste erkänna att det finns intressemotsättningar och lyfta fram dem i ljuset för att kunna diskutera hur de ska lösas.
Ofta framhålls svårigheten med den geografiska uppdelningen, minst lika stor är den som handlar om de inte helt kompatibla intressena privata utförare och den offentliga finansieringen.
Hur dessa intressen ska balanseras mot varandra har hittills varit en icke-fråga i e-hälsosammanhang.
Det har vi inte råd att låta den fortsätta vara.
Om vi ska klara upprätthålla den väsentliga del i välfärdssamhället som den offentligt finansierade sjukvården utgör och dessutom införa dataskyddsförordning, NIS-direktiv, civil beredskap och allt annat så måste vi ändra bilden av e-hälsa.
Det handlar inte om att släppa ner litet slumpmässiga tekniska lösningar (gärna efter påtryckning av olika leverantörer) utan att se att det kräver samma mobilisering, organisation och koordinering som då sjukvården byggdes ut under efterkrigstiden.
Och glöm inte forskningen!
Den första frågan i min enkät var huruvida myndigheten, landstinget respektive kommunen tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1.
Det var en klumpigt formulerad fråga eftersom RA-FS naturligtvis bara gäller statliga myndigheter.
Min tanke var dock i all enkelhet att även om det inte finns en föreskrift om att planera sitt långsiktiga bevarande av digital information direkt riktad till den egna verksamheten så borde det ändå vara nödvändigt att ha en strategi för att kunna efterleva alla andra krav som finns på att informationen bevaras i exempelvis vårddokumentation.
För en arkivarie borde detta också vara kärnuppdraget: att ta fram en inriktning för det långsiktiga bevarandet.
För att friska upp minnet på de enstaka människor som inte har alla sina RA-FS:ar färskt i minnet så är kravet i 3 kap 1 § i RA-FS 2009:1 formulerat så här: 1 § Myndigheten ska upprätta en strategi för bevarande av elektroniska handlingar.
Av strategin ska framgå vilka åtgärder myndigheten avser att vidta för att säkerställa ett bevarande av handlingarna.
Åtgärderna ska dokumenteras i enlighet med 2 §.
Strategin ska fortlöpande kompletteras och hållas aktuell. . Med åtgärder avses hur elektroniska handlingar ska framställas, överföras, hanteras, förvaras och vårdas under den tid som de ska bevaras.
Myndigheten bör vid planeringen av system och rutiner, i enlighet med bestämmelserna i 6 § arkivförordningen (1991:446), samråda med arkivmyndigheten.
Därefter följer mer detaljerade krav på vad strategin ska innehålla men i min enkät nöjde jag mig att efterfråga själva befintligheten av en strategi.
Innan jag går vidare gör jag här en liten utvikning om förutsättningarna för ett långsiktigt bevarande.
En reflektion jag gör när jag läser Riksarkivets krav är inriktningen på system, teknik och handlingar.
Detta rimmar, menar jag, inte helt med kravet på en processorienterad arkivredovisning som finns i RA-FS 2008:4.
Till detta kommer de förvaltningsgemensamma specifikationerna som inte heller är processinriktade.
De e-arkivlösningar som presenteras som verkar vara helt inriktade på att lyfta över information från ett system till ett annat utan någon koppling till process såvitt jag kunnat utröna.
Jag är dessutom osäker på hur OAIS-modellen ska tillämpas i relation till processer.
Det framstår som det finns ett antal komponenter som det långsiktiga bevarandet ska bygga på men att dessa inte är helt koordinerade.
När jag läser de kravspecifikationer som tagits fram för e-arkiv verkar det vara de tekniska kraven som kommit i förgrunden och tyvärr på ett ganska daterat sätt.
Att prata om system i en tid då allt mer information hanteras i molntjänster kan få ganska ödesdigra konsekvenser för arkivbildnigen.
Det är synd för jag tror inte att de tekniska aspekterna är det som främst utgör ett hinder för att lyckas med ett långsiktigt bevarande.
Den här frågan går inte heller att hantera i bitar utan måste ses som en sammanfogad helhet som vilar på en solid teoretisk grund, och det är den grunden som jag uppfatta är undflyende i de resonemang som förs.
För mig som arkivteoretisk nörd skulle det optimala vara det processorienterade perspektivet var genomgående som strukturerande princip för att knyta ihop verksamhet och information, självklart ända in i det digitala långtidsbevarandet.
Konkret skulle vi kunna försöka utveckla proveniensbegreppet till att förutom den inre och yttre proveniensen även omfatta en processproveniens.
Proveniensen har ett antal funktioner för arkivbildningen som att ge informationen ett mervärde då den sätts i organisatoriska kontext, att skapa autenticitet och att ge oss de bästa möjligheterna för att kunna återsöka information.
Dessutom som redan den store Nils Nilsson underströk: de processuella värdena.
Om vi nu tar tanken med de processuella värdena och sammanför det med ett proveniensbegrepp i det långsiktiga bevarandet skulle vi kunna utveckla helt nya lösningar.
Det känns aningen pinsamt att dra upp gamla texter stup i kvarten men faktiskt skrev jag i Arkiv, samhälle och forskning redan 1997 en artikel, (AFS 1997:3 – det går tyvärr inte att länka till den) som försöker resonera om hur nya tekniska lösningar ändrar förutsättningarna för arkivteorins grundpelare.
Mycket i texten är kanske passerat men något som jag ändå tycker fortfarande förtjänar att poängteras är skillnaden mellan Müller, Feith och Fruins öppna förhållningssätt till vad som avgränsar den yttre proveniensen där de om och helhet.
I Sverige, till skillnad mot i andra länder, har arkivbildarbegreppet blivit manifest och alltid kopplat till en enskild organisation.
Om vi nu tittar på världen såsom den ser ut med snabba omorganisationer och en alltmer gemensam informationsinfrastruktur – borde vi inte då skruva upp processbegreppets betydelse och samtidigt något tona ner arkivbildarbegreppet för att uppnå det vi ska proveniensprincipen till?
Med dagens tekniska lösningar menar jag att detta vore fullt möjligt att både hitta lösningar som ger en bättre proveniens samtidigt som de skulle ge effektivitet och minskade kostnader.
För att ta ett enkelt exempel skulle det menar jag var betydligt bättre att identifiera ett antal större samhällsprocesser som varat över tid i olika former och redovisa informationen per process som första steg och därefter arkivbildare.
Ta exempelvis folkskolan som fram till 1930-talet hade kyrkan som huvudman, därefter staten och nu kommunerna medan verksamheten i huvudsak varit densamma.
För att ge bättre överblick och även proveniens skulle informationen kunna vara sökbar både per process och per arkivbildare.
Jag vill bara hinta med vad detta skulle innebära när det gäller vårdinformation där det idag är stora problem att avgöra vilken information som finns var och vem som är ansvarig för den.
Med en processorientering vid en omorganisation skulle det också vara möjligt att låta den digitala informationen vara tillgänglig både i den avslutade arkivbildningen och som överförd i den nya (ja, jag vet att man måste lösa utnämningsfrågan men det känns som ett mindre aber).
För det långsiktiga bevarandet menar jag att dessa frågeställningar har stor betydelse eftersom de både avgör arkivbildningens värde, möjligheten till återsökbarhet och inte minst ansvarsfördelningen.
Men låt oss lämna mina tankar i frågan och istället se hur de myndigheter, kommuner och landsting som svarat på enkät hanterat frågan.
Av de kommuner som svarat är det bara två som säger ett tydligt ”ja” på frågan om de tagit fram en strategi i linje RA-FS.
En handfull svarar att de gjort det som medlemmar i Sydarkivera, ytterligare några säger att de är på gång eller har strategisk inriktning i andra dokument men det absoluta flertalet uppger sig inte ha någon strategi.
Bland landstingen är det ingen av de svarande utom en region som anser sig ha en strategi motsvarande kravställningen i RA-FS 2009:1 men några har reglerat delelement i ett långtidslagrande som format.
Det man kan se i svaren är att många kommuner, landsting och regioner har försökt hitta olika typer av samarbetsformer för att gemensamt ta fram en inriktning där den mest framgångsrika tycks vara Sydarkivera.
Många respondenter uttrycker att frågan är svår att hantera autonomt eftersom man inte har kompetens eller resurser att ens utreda hur långtidsbevarandet skulle kunna gå till.
Och som någon påpekar ”Vi kommuner har ju ett speciellt förhållande till Riksarkivets föreskrifter.”, det vill säga att man kan välja att efterleva dem men det är inget tungt argument eftersom man inte är skyldig att följa dem.
är en imponerande ansats men inte heller den ger de svar som behövs.
Från myndigheterna har jag fått in svar där c.a.
50 myndigheter säger sig ha en strategi av vilka flertalet även bifogat strategin.
Det förekommer en hel del disclaimers av typen ”den har några år på nacken” eller ”vi håller på att omarbeta den”.
Ett antal myndigheter skriver också att de håller på att ta fram en strategi.
Det är ett rätt omfattande material att tränga igenom men det finns ändå några gemensamma drag som jag här ska sammanfatta i några punkter (observera att detta är generaliseringar – undantag finns).
Jag är också angelägen om att återigen understryka att frågans komplexitet som ställer nästintill orimliga krav de enskilda myndigheterna.
Först en glädjande observation: få myndigheter har idag som uttalad strategi att ta ut digital information i pappersformat för arkivering.
Visserligen förekommer detta fortfarande i verkligheten trots de mycket stora informationsförluster som detta leder till men nu är ambitionen åtminstone att komma vidare med ett kvalitativt bevarande av digital information.
De flesta strategier följer, föga förvånande, RA-FS:ens krav.
Efterlevnaden kan uppfattas som litet väl hörsam eftersom det i vissa fall blir en upprepning av vad som står i RA-FS med tillägget att ”det ska vi göra”.
Men det finns också många som gjort stora insatser för att beskriva hur den digitala informationen ska omhändertas konkret och i detalj.
Det gör att vissa av dokumenten kanske inte egentligen är strategier utan mer av riktlinjer eller instruktioner.
Genomgående är att myndigheterna har avgränsat scoopet för strategin till den egna verksamhetens verksamhetssystem eller förvaltningsobjekt trots att dagens e-förvaltning i allt högre grad innebär integrerade informationshanteringslösningar.
I de fall där det av strategierna ändå framgår att myndigheten ingår i myndighetsövergripande informationshantering nämns inte vad jag kunnat upptäcka hur detta ska hanteras arkivbildningsmässigt.
Jag kan inte se att eSam (en efterföljare till E-delegationen) ger någon vägledning i hur frågan ska omhändertas vare sig strategiskt eller operativt, teoretiskt eller .
Om jag ska utnämna en fråga som särskilt oroande är det just denna – att det skapas allt större allmänna handlingar där ansvaret för den långsiktiga hanteringen är till synes oklart.
Att för den enskilda myndigheten göra de utredningsinsatser som krävs för att lösa frågeställningen och därefter få accept på detta i ett större sammanhang framstår inte som en optimal inriktning.
Föreskriften är från 2009 och är som jag tidigare redovisat inriktad på system och elektroniska handlingar.
Det är sannolikt bakgrunden till att de strategier som jag tagit del av också är det.
Det handlar om verksamhetssystem, inte tjänster och inte heller processer, samt är i hel del fall länkade till myndighetens systemförvaltningsmodell.
Vissa formuleringar skulle kunna tolkas som att strategierna är tillämpbara även på tjänster.
Elektroniska handlingar kan förekomma även i tjänster och tjänster skulle kunna vara förvaltningsobjekt.
Sådana möjliga tolkningar verifieras dock inte i de mer instruktionslika tillvägagångssätt som ingår i strategierna.
Koppling till processorienterad arkivredovisning saknas ofta men man ser ansträngningar för att integrera arkivredovisning och bevarandeplaner (möjligen även klassificeringsstrukturer) på ett bra sätt men det framgår inte hur.
Trots det tekniska perspektivet är det svårt att se en verkligt strategisk inriktning i strategierna.
Man pekar ibland på att man valt en viss programvara eller en viss tjänst för lagring men inte för hur länge.
Ibland omnämns att överlämning till arkivmyndigheten inte är aktuellt, ibland berörs inte slutarkivering alls.
Sammantaget är jag imponerad av den kompetens som arkivarier lagt in i sina strategier.
Även om jag inte sett en strategi som jag tycker uppfyller alla krav så finns det en stor gemensam resurs i de många strategierna att crowd-sourca ur för att kanske skapa en gemensam linje.
Ur ett forsknings- och kulturarvsperspektiv finns det dock anledning att vara bekymrad.
Det finns en inte oväsentlig risk inte bara för att information inte arkiveras utan också för att den information som verkligen tas om hand kommer att sakna tillräcklig proveniens, kontext och återsökningsmöjligheter.
Jag går in på LinkedIn eftersom det ingår i jobbet att hålla sig uppdaterad, storknar aningen av de hundratals bilder på människor som står och sitter på olika podier, framför olika power point-presentationer, runt olika sammanträdesbord (hoppas på en etnologisk studie av denna subkultur snart).
Vid de flesta inloggningar tillförs jag ingen ny och värdefull information utan det är mer samma känsla som då jag oengagerat bläddrar igenom lokaltidningen, kanske för att jag fått min beskärda del av denna typ av sammanhang.
Men så ibland dyker det upp något som kittlar till i sinnet.
Som när jag såg en av de inte så få offentligt anställda digitaliseringsmissionärerna (jag menar inte att vara ironisk – jag vet helt enkelt inte vad jag ska använda för begrepp för den här nya rollen) hävda att det var ”säkerhetsmupparna” som hindrat den digitala utvecklingen och att dessa muppar nu borde skärpa sig.
Jag kände mig träffad, jag är nog en del i muppkollektivet även om jag brukar kalla oss säkerhetsnördar.
Visserligen har jag idogt bedrivit en självkritik mot säkerhetsnörderiet, exempelvis i nio blogginlägg om varför säkerhetsarbetet inte funkar (del 1 : ) men är det verkligen säkerhetsarbetet som försvårat digitaliseringen i Sverige?
Bilden av motsättningen mellan å ena sidan digitalisering, å andra säkerhet återkommer ständigt och närs från båda sidor.
Ett purfärskt och illustrativt exempel där säkerhetssidan målar upp den hotfulla digitaliseringen är denna debattartikel.
Här presenteras den återkommande tropen att det finns en ursprunglig och manuell hantering som default är den säkrare .
Jag delar inte den uppfattningen.
Nuläget är för det första inte särskilt säkert (ett understatement) och för det andra är knappast digitalisering ett av många alternativ utan alternativ.
De som hoppas på att hejda utvecklingen av digitalisering hoppas med största sannolikhet förgäves.
Men grundattityden att förändring innebär en ökad risk försvårar av naturliga skäl kommunikationen med de som torgför digitaliseringens välsignelser.
För mig framstår det litet som två grupper, säkerhetsnördar och digitaliseringsmuppar, som delvis tappat orienteringen och börjat se sin egen mission som ett ändamål i sig själv.
Tendensen förstärks av att det finns starka ekonomiska intressen bakom båda riktningarna.
Att det dessutom uppfattas finnas icke helt oväsentliga politiska poäng i att som landstingspolitiker hävda att man står för det moderna digitala samhället eller att man som rikspolitiker frammanar behovet av skydd mot onda makter gör diket ännu djupare.
Hur stor är i realiteten intressekonflikten och hur mycket är säkerheten gruset i digitaliseringsmaskineriet?
När jag läser ESV:s uppföljningsrapport från förra veckan angående digitaliseringssträvandena i offentlig anges inte säkerhetsnördarna som förklaringen till den för sega utvecklingen.
Istället är det regeringens ineffektiva strategiska styrning av infrastrukturen, bristande samordning och bristande organisatorisk mognad som lyfts fram som hinder.
Det är ju litet nedslående med tanke på de många rara miljoner som plöjts ner i digitalisering och som inte lett till önskat resultat.
Samtidigt är det ju en fördel att det inte främst är mer pengar som behövs utan en tydligare riktning.
Själv skulle jag vilja hävda att vare sig säkerhet eller digitalisering har ett autonomt existensberättigande, endast kopplingen till verksamhets- eller samhällsnytta kan skapa anledning att utveckla säkerhet eller att digitalisera.
Det är rimligt att tona ner intressekonflikten eftersom det finns fler likheter än skillnader mellan arterna säkerhets- respektive digitaliseringsmupp och deras habitat.
I båda fallen saknas styrmodeller nationellt, konkret strategisk inriktning och ett evidensbaserat kunskapsområde för praktisk tillämpning.
En negativ likhet är att betydelsen av integritet sällan varit djupt känd av någon av arterna.
För att komma framåt tror jag att det är viktigt att skapa en gemensam insikt om nödvändigheten av både och, både digitalisering och säkerhet.
Då kan en attitydförskjutning ske inom båda kolonierna där respekt för kärnverksamheternas behov prioriteras, inte den egna gruppens agenda.
Därmed kan också grunden läggas för gemensamma strategier, styrmodeller och kunskap – allt det som saknas idag.
Jag är inte för att gå över till digitala val – det skulle innebära alldeles för stora risker… Hälsningar från en säkerhetsnörd.

Sverige måste förstå att digitalisering inte är en lyxprodukt utan en kärnverksamhet.
En strategisk fråga blir att lyfta fram de förändringsagenter som finns ute i verksamheterna och helt enkelt vända på bevisbördan.
Det ska inte längre vara så att det är den som vill förändra som måste förklara sig utan snarare den som vill bevara det gamla.
Hur många av er upplever att juridiken stimulerar och möjliggör digitaliseringsresan inom hälso- och sjukvården?
Digitalisering skapar mervärde Man behöver förändra helheten – inte bara småändra i marginalen.
Då är risken att man lägger all kraft på en enskild lösning och inte på att förändra det som verkligen ger effekt Möt innevånaren/patienten tidigt genom digitala arbetsmetoder Om jag förstår det rätt ligger den här rekryteringssiten som en molntjänst där informationen ligger på Irland?
Använder siten Google Analytics?
Har det gjorts en riskanalys/informationsklassning innan man valde det här sättet att hantera informationen?
Har Försvarsmakten gjort rätt riskbedömning när det valt den här lösningen eller har de liksom många andra fallit för frestelsen och sett all fördelar finns med molntjänsterna och låtit detta få överhanden?
Om riskbedömningen är rimlig att hantera personuppgifter och andra uppgifter om exempelvis placeringar som annars uppfattas känsliga, dessutom i en omfattning som svindlar, i en molntjänst i det här sammanhanget – varför skulle det inte vara det i andra sammanhang som exempelvis i kommunal verksamhet?
Inför ett moratorium inom vård-it och inför inte några nya lösningar som inte är absolut nödvändiga.
Gör en heltäckande genomgång av säkerhetsbristerna inom den svenska vård-it.
Stärk Socialstyrelsens roll i förhållande till sjukvårdshuvudmän vårdgivare när det gäller vårdens informationshantering.
Detta bör även gälla myndigheter som främst ska leverera e-tjänster som E-hälsomyndigheten.
Utred hur ansvarsförhållandena för informationshanteringen i vården ser ut och hur de borde se ut.
En central fråga är det reella ansvarsutkrävandet.
Säkerställ att även det långsiktiga behovet av vårdinformationen beaktas, både den enskilda patientens behov och samhällets behov av informationen för forskningsändamål.
Ta fram en strategi och en arkitektur för den nationella nivån som inte bara är fluff.
Ta fram en gemensam styrmodellvården och låt den förvaltas av myndigheter – inte av intresseorganisationer eller utförare i första hand.
Skapa ett ackrediteringssystem för anslutning till den nationella arkitekturen.
Skapa verktyg för systematisk uppföljning av informationssäkerheten inom vård-it och lita inte på att tillsyn av enskilda organisationer skapar säkerhet.
Utveckla utbildningar för de somen i vården.
Utveckla ett forskningsprogram för informationssäkerhetsstyrning i miljöer med multilaterala ansvarsförhållanden.
Att ta fram ett underlag för en nationell styrmodell för informationssäkerhet som byggde på vetenskapligt stöd för styrning generellt Att ta fram 5–10 generiska processer för kommuner inklusive den informations som skapas/används i processen samt i förlängningen Att skapa ett underlag för att ta fram gemensamma skyddsnivåer som skulle kunna tillämpas av både offentliga och privata aktörer

en varför förutse autenticitet riktighet giltig bevisvärde all olika beteende sjukvårdsvårdshuvudmännen vårdgivare alla

Meny Digitalisering Inläggsnavigering

En anekdotisk bakgrund Vad bör man göra

MENU MENU Postat av Postad i , , , , Tagged , , , , , , Postat av Postad i , , , , , Tagged , , , , , Postat av Postad i , , , Tagged , , , Postat av Postad i , , , , , Tagged , , , , Postat av Postad i , , , Tagged , , , , Postat av Postad i , , , , , Tagged , , , , , , Postat av Postad i , Tagged , Postat av Postad i , , , , , , , , Tagged , , , , , , , Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , Tagged , , ← → Sök efter:

Konsulterna vårdresultat/kostnad=värde The Age of Surveillance Capitalism Om informationstekniskt bevis Juridik som stöd för förvaltningens digitalisering authenticity integrity Järnvägsresandets historia Allmänna råd Arkivbildarbegreppet och proveniensprincipen under press?
adminstrative bodies Göteborgs Stads föreskrifter och riktlinjer om arkiv- och informationshantering the

På trettiotalet presenterade Erwin Schrödinger ett tankeexperiment som illustrerar en tänkt paradox där väldigt små fysikaliska partiklar kan befinna sig i ett så kallat överlagrat tillstånd.
Konsekvensen av paradoxen är att en katt i ett slutet rum tillsammans med en instabil atomkärna skulle kunna uppfattas som samtidigt död och levande.
Jag tänker inte fördjupa mig ytterligare i kvantfysiken.
Ur mitt perspektiv, som är att kontroll över informationen är centralpunkten både för informationssäkerhet och informationsförvaltning inklusive arkiv, finns det allt fler tillfällen då det är rimligt att använda tankeexperimentet som metafor och prata om Schrödingers information.
Det är innebär information som både finns och inte finns på samma gång, något som är negativt för den som vill ha kontroll över sin information.
Låt mig ta några exempel.
Det första exemplet är kanske det mest uppenbara och gäller formatet.
Trots att jag är mycket pro-digitalisering så får ändå pappret och dess föregångare pergament m.m.
sägas ha den stora fördelen att informationen som haft papper som bärare har varit möjlig att ta del av över seklerna.
I och med att bärarna blivit digitala sluts cirkeln på sätt och vis då information precis som i gamla glömda teckenformer blir omöjlig att ta del av även om den faktiskt finns.
Jag tänker då på den information som finns lagrat på medier och i format som inte längre går att läsa.
Diskar som står och dammar, format som ligger som bilagor till mail, gamla applikationer som inte migrerats med till nutiden– oräkneliga exempel kan göras.
Trots att de inte kan läsas ligger de kvar för ingen riktigt förmår att ta ställning och hålla i yxan.
Oförmågan att ta tag i yxan och faktiskt gallra är mitt andra exempel.
Gallring har kallats arkivariens svåraste uppgift men jag ska inte här gå in på den i och för sig mycket väsentliga frågan om vad som ska gallras utan själva gallringsrutinen.
Förutsättningen i myndigheter är att allmänna handlingar (vilket generellt är merparten av den information som myndigheten hanterar) ska bevaras.
Undantaget är när ett gallringsbeslut fattats som kan göras av ett antal skäl vilket beskrivs i en av Riksarkivets få vägledande skrifter: Vanligen syftar gallring till att myndighetens arkiv inte skall tyngas av allmänna handlingar som saknar påtagligt informationsvärde, allmänna handlingar som motsvaras av annan dokumentation i det egna arkivet eller andras arkiv, eller allmänna handlingar som har ett informationsvärde som är starkt begränsat i tiden.
I fråga om personuppgifter kan gallring ibland syfta till att skydda enskildas personliga integritet.
Rent ekonomiska bedömningar kan också ges mycket stor vikt, t ex när man har serier med få intressanta uppgifter i relation till .
Det som är själva poängen med gallringsbeslutet är att handlingarna sedan verkligen också förstörs.
Ett gallringsbeslut är inte ett förslag utan handlingarna ska faktiskt som Riksarkivet skriver ske utan dröjsmål när gallringsfristen har löpt ut eller gallringstidpunkten har uppnåtts.
Detta efterlevs inte alltid.
Ibland kan gallringsbeslut vara formulerade som att handlingar ”får” gallras vid en viss tidpunkt vilket kan ge intryck av att alternativet att handlingarna bevaras också finns.
Inte sällan har jag i kommuner, landstings och myndigheters bestånd påträffat information som borde varit gallrad och därmed, sett till de fattade besluten, inte finns.
Detta skapar naturligtvis en stor potentiell brist på rättssäkerhet för den enskilde där myndighetsbeslut säger att exempelvis en information rörande den enskilde inte finns men det sedan visar sig att den ändå gör det.
Det rimmar också mycket illa med dataskyddsförordningen och ger dessutom ett intryck av att kommunen/myndigheten har en dålig ordning där man inte efterlever fattade beslut.
Och hur skyddas en information som både finns och inte finns?
Ytterligare ett exempel som jag stött på är hanteringen av loggar.
Loggar bör av integritetsskäl i de flesta fall gallras efter kort tid, default 3 månader om inte något annat framkommit vid informationsklassning, och då verkligen tas bort.
I många verksamheter separeras dock inte loggarna från verksamhetsinformationen utan följer med i den allmänna back upen vilket gör att de ligger kvar år efter år.
Integritetskänslig information från tjänster och passersystem som följer den anställdes alla aktiviteter på jobbet kan finnas kvar trots att många arbetsgivare har loggpolicys som säger något helt annat.
Och för en myndighet blir det naturligtvis prekärt om loggarna begärs ut som allmän handling och man då måste ta ställning till om de finns eller inte finns trots att de rent faktiskt finns.
Det mest övergripande exemplet som jag redan tidigare varit inne på i en är all den information som finns i en myndighet och som bedömts inte vara allmänna handlingar.
Denna andel av den totala informationshanteringen ser jag som i stark tillväxt på gemensamma file servers, i olika egeninitierade molntjänst typ Dropbox och alla möjliga andra former.
Informationen fångas inte upp i dokumenthanteringsplaner eller andra verktyg men finns likaväl.
Jag har inga patentlösningar på hur de här olika situationerna ska hanteras.
Min spaning är helt enkelt bara att det är viktigt att vi inte har information som liknar katten i Schrödingers tankeexperiment.
Efter att ha spekulerat om varfört inte funkar har jag nu tänkt skriva några inlägg om vad som bör göras för att det ska fungera bättre.
Detta sammanfaller med att regeringen överlämnar en skrivelse till riksdagen angående Riksrevisionens om informationssäkerheten vid nio myndigheter.
Riksrevisionen bedömer att ” Regeringen instämmer i denna bedömning, som ju knappast kan komma som någon överraskning efter Riksrevisionens tidigare rapporter m.m., men avser bland annat att .
Det känns därför ganska självklart att detta första inlägg om konstruktiva åtgärder får handla om förutsättningar för en sådan strategi.
Att ta fram en strategi är inte något särskilt rafflande grepp, 2009 togs en sådan fram liksom en efterföljande handlingsplan några år senare.
Varken i regeringens skrivelse eller i Riksrevisionens rapport görs någon egentlig analys av varför de tidigare strategiska samordningsförsöken trots avsevärda resurser och mandat misslyckats.
En grundläggande utgångspunkt för mig har varit att det inte är särskilt meningsfullt att göra mer av samma sak om man märker att något inte fungerar.
Istället är det viktigt att ta ett steg tillbaka och analysera och göra nya problemformuleringar.
Detta tror jag i hög grad gäller om man ska ta ut strategiska riktpunkter.
En ny strategi bör därför föregås av ett mer omfattande förarbete och inte bestå av inskickade, icke samordnade önskelistor från myndigheter som har ansvar för olika säkerhetsområden.
I fallet med informationssäkerhet har jag försökt påvisa den stora oklarhet som råder om vad informationssäkerhet egentligen är och hur det försvårar för den enskilda organisationen, för de yrkesutövande och för samordning på nationell nivå.
Detta blir än tydligare om man läser regeringens något desorienterade skrivelse där det är svårt att greppa vad det egentligen är som ska samordnas.
Om vi tittar på den nationella spelplanen och bortser från de oklarheter som råder om informationssäkerhet är i första hand organisatorisk eller teknisk fråga så går det att urskilja en rad olika syften som staten länkar till ”informationssäkerhet” vad det nu än är.
För att övergripande beskriva de huvudsakliga syften som sällan definieras i förhållande till varandra kan jag räkna upp: Till detta kommer exempelvis de starka kraven från bland annat dataskyddsförordningen som i praktiken innebär högre nivå på spårbarhet, riktighet och konfidentialitet.
Dessa olika syften ska utan närmare inriktning från staten tillgodoses i de enskilda organisationerna.
Jag tror att det är här vi måste stanna till och inse att det inte är informationssäkerhet som det ställs krav på i de olika sammanhangen.
En enskild organisation har i de flesta fall i normalläget inget internt behov av den informationssäkerhet som staten ställer krav på exempelvis rörande det civila försvaret i höjd beredskap.
Att införa säkerhetsskyddsåtgärder är inte heller något som befrämjar andra säkerhetskrav som kan finnas i en löpande verksamhet som exempelvis hög tillgänglighet.
Statliga certifieringskrav på tekniska komponenter i e-förvaltning är knappast heller något som gynnar regeringens inriktning på att Sverige ska bli bäst i världen på att ta till vara digitaliseringens .
Jag behöver kanske inte fortsätta med exempel för att slå in min poäng – det finns tydliga intressekonflikter mellan olika typer av informationssäkerhet som staten ställer krav på.
Det finns också aktiviteter som starkt påverkar säkerhetsarbetet där det egentligen inte finns någon intressekonflikt men som ändå inte är samordnade.
Ett påtagligt exempel är att rapporteringskravet för it-incidenter till MSB inte är samordnat med i det tunga krav på incidentrapportering som följer av dataskyddsförordningen.
Ett förarbete till en strategi måste, menar jag, måla upp hela informationssäkerhetslandskapet för att kunna ta ut riktningen framåt.
Ironin i att NISU och utredningen om ny säkerhetsskyddslag lägger fram sina resultat samtidigt som två helt parallella spår som aldrig mötts kommer att upprepas i nya former om inte den nödvändiga överblicken skapas.
Överblicken över syften, förutsättningar och aktörer ger också en grundval för den styrmodell som rimligen måste finnas med som ett strategiskt verktyg för att nå målen.
En gemensam styrmodell innebär inte att samma styrmedel används överallt.
Jag föreställer mig att regelstyrning är nödvändig ur det civila försvarets perspektiv medan incitaments- och kunskapsstyrning blir centrala för regeringens digitaliseringssatsningar.
Men eftersom det är Söpple kommun som kommer att bli utsatt för de olika styrmedlen måste de integreras i en gemensam modell som också hanterar organisatoriska och ekonomiska förutsättningar.
Förutsägbarhet gällande krav och ekonomiska förutsättningar är nödvändigt då allt större del av den tidigare offentliga utförda verksamheten ombesörjs av privata aktörer.
Även detta förhållande måste avspeglas i den strategiska inriktningen.
Jag tror att en strategi måste vila på noggranna överväganden av hur staten ska organisera sin styrning och sitt stöd.
När civilt försvar alltmer blir MSB:s huvudfråga och myndighetens uppgift är mer att jämföra med den som Överstyrelsen för civil beredskap (ÖCB) hade fram till 2002 är det sannolikt mer lämpligt att detsom bedrivs i normalläget integreras med statens digitaliseringssatsning.
Analysen av vad som kan tänkas fungera bäst måste vara förutsättningslös och inte utgå från olika organisatoriska särintressen.
För mig är det en viktig princip attt måste styras av behov, inte av utbud.
Det gäller i den enskilda organisationen, och det bör gälla även på det nationella planet.
När en strategi ska tas fram bör det därför ske tillsammans med de som äger verksamheterna vars information skyddas, inte enbart av de aktörer som levererar säkerhetslösningar.
Min förhoppning är att strategin inte stressas fram på departementet av någon ensam handläggare utan att det sker i ett brett samarbete med kommuner, landsting, företag och myndigheter samt viktiga kravställare som Datainspektionen, E-hälsomyndigheten och eSam.
Här kommer ett litet mellanspel i min långa rant om varför informationssäkerheten inte funkar.
Istället ska jag ägna ytterligare några rader åt e-hälsa.
I slutet av september inträffade ett nytt stort it-haveri i Stockholms läns landsting (SLL) där flera sjukhus drabbades på ett sådant sätt att patientsäkerheten uppgavs .
I SLL:s digitala lösningar har större incidenter skett vid ett antal tillfällen under de senaste åren och det var bara någon månad sedan en mycket allvarlig händelse skedde i . Som samhällsmedlem och patient in spe med viss insikt om hur det ser ut på e-hälsoområdet är jag djupt oroad.
Trots att de många och allvarliga incidenterna som utgör en stor risk för patientsäkerheten och för patienternas integritet tycks insikten om de stora problemen med säkerhet inte engagera vårdens makthavare nämnvärt.
Pliktskyldigt sägs några fraser om säkerhet, sedan störtar samtalet vidare med muntra trumpetstötar om att Sverige ska bli bäst i världen på e-hälsa vilket inte förefaller innebära att vi ska bli bäst i världen på en e-hälsa.
Digitalisering beskrivs i närmast messianska former och diskussionsklimatet är av en sådan karaktär att det problematiserande som är nödvändigt för alla framgångsrika utvecklingsprojekt avvisas kategoriskt och sägs till och med vara ”förbjudet”.
Jag ser detta i sig som djupt problematiskt eftersom digitaliseringen, liksom alla andra större samhällsförändringar, innebär reella intressekonflikter som måste hanteras på ett rationellt sätt.
Detta gäller även inom informationssäkerhetsområdet specifikt där till exempel tillgänglighet och skydd mot obehörig åtkomst alltid måste balanseras mot varandra.
Historiskt har ,enligt min uppfattning, flertalet e-hälsolösningar hastats fram utan gemensam strategi i meningen långsiktig målbild och långsiktig planering där behov och beroenden är analyserade och utvärderade i en öppen diskussion.
Alltför ofta har mycket kostsamma och administrativt krävande lösningar (tänk exempelvis NPÖ) dykt upp utan att behov, säkerhet och kvalitet har klarlagts.
Efter att ett stort antal miljoner flödat in i de ofärdiga projekten har de försvunnit till en kyrkogård av misslyckade visioner.
När jag läste följande tweet kändes den därför som ett mycket tråkigt exempel på att vårdens makthavare tycks oförmögna att lära sig av tidigare misstag: 2011 blev jag utsedd som deltagare i en referensgrupp när Socialstyrelsen skulle revidera sin föreskrift om informationshantering och journalföring inom hälso- och sjukvård SOSFS 2008:14.
Föreskriften innehöll en hel del om informationssäkerhet men vården har i ringa grad efterlevt dessa regler vilket Socialstyrelsens egna visade redan 2011 som till exempel gällande Karolinska universitetssjukhuset.
Vårdens informationssäkerhet har knappast blivit bättre sedan dess och det kan väl därför ses som positivt att Socialstyrelsen nu 2016 äntligen ha kommit i mål med den nya föreskriften.
har beteckningen HSLF-FS 2016:40 Journalföring och behandling av personuppgifter i hälso- och sjukvården.
I korthet innebär föreskriften och de allmänna råden ett tydligare krav på vårdgivare att införa ett ledningssystem för informationssäkerhet så att rätt nivå på konfidentialitet, riktighet, tillgänglighet och spårbarhet kan utvecklas och upprätthållas.
Några reflektioner kan dock göras i samband med föreskriftens ikraftträdande.
En föreskrift är en reglering på detaljerad nivå.
När det gäller vårdens informationssäkerhet och e-hälsa saknas dock en strategisk inriktning och en beskrivning av hur vårdens informationshantering på övergripande nivå ska styras så att informationssäkerheten ska förbättras.
En överenskommelse har gjorts mellan staten och Sveriges Kommuner och Landsting som kalla 2025 som en ny version av den tidigare Nationella e-hälsostrategin.
Vision är nog rätta benämningen med tanke på lösligheten i inriktningen där visserligen ”säkerhet” nämns ett antal gånger men under mycket oklara former.
Den heta frågan vem som egentligen har ansvaret för att säkerheten ska bli bättre undviks sorgfälligt.
Även på samma fluffiga sätt skrivit om att det är bra med informationssäkerhet men inte hur detta ska gå till.
Undertexten är påfallande oftaternativt integritet måste ”balanseras” mot exempelvis patientsäkerhet eller effektivitet, d.v.s.
att informationssäkerhet och skyddet av integriteten skulle hindra att patienten skulle få bra och effektiv vård.
Det enda som är tydligt är att många inflytelserika personer inom e-hälsoområdet tycks ha en dimmig uppfattning om vad informationssäkerhet är och därmed inte ser att rätt utformad informationssäkerhet leder till såväl till bättre patientsäkerhet och effektivitet som till skydd för integritet.
Den aktuella föreskriften, som kan ses som den nedersta delen i en hierarki av styrande dokument, fångar upp detta men eftersom den mer övergripande styrningen inte går i samma riktning riskerar föreskriften att liksom sin föregångare att bli utan verkan.
Socialstyrelsen har endast mandat att rikta föreskrifter till de enskilda vårdgivarna.
Föreskriften säger därmed egentligen till varje landsting eller privat vårdgivare att de ska ha ett ledningssystem för och det är naturligtvis en viktig grundprincip.
Men alltmer av vårdens informationshantering sker utanför vårdgivarens kontroll exempelvis i form av att en privat vårdgivare är tvungen att använda den upphandlande sjukvårdshuvudmannens system och rutiner.
Framför allt sker dock alltmer av hanteringen med stöd av gemensamma och nationella tjänster som vårdgivarna i praktiken är nödgade att använda för att kunna bedriva sin verksamhet och föreskriftens räckvidd innefattar exempelvis inte E-hälsomyndigheten eller Inera.
Detta blir ett olösligt dilemma för den säkerhetsmedvetna vårdgivaren.
Å ena sidan stipulerar det egna ledningssystemet att man måste formulera krav på säkerhet hos externa parter som hanterar ens information, å andra sidan har man ingen möjlighet att göra det i förhållande de stora aktörerna som hanterar alltmer av ens information.
Kvar står vårdgivaren med ansvaret gentemot patienterna och den bristande legitimiteten hos det egna ledningssystemet.
Föreskriften matchar alltså inte behovet av styrning av informationssäkerhet i den alltmer omfattande e-hälsan.
Visionen för e-hälsa 2015 sägs vara: I detta borde ingå en stor satsning på att förbättra informationssäkerheten inom vården.
Det finns dock ett ömsesidigt ointresse där e-hälsans banerförare i mycket liten omfattning ser betydelsen av informationssäkerhet samtidigt som instanserna med ansvar för informationssäkerhet inte aktivt stödjer vården.
Svaret på frågan i rubriken är nog tyvärr: nej, inte särskilt mycket.
Vad som skulle behövas vore en ordentlig utredning av vårdens behov av informationssäkerhet som skulle kunna ligga till grund för framtidens visioner.
En bredare utredning skulle också kunna lägga grunden för en bättre kommunikation mellan vårdens representanter och företrädare för informationssäkerhetsområdet.
Med en samsyn kring behov och möjligheter finns en väg framåt som skulle gagna inte bara de enskilda patienterna utan samhället i stort.
Almedalsveckan är slut, politiker, leverantörer, offentliga tjänstemän och lobbyister har åkt hem efter en hektisk vecka av nätverkande.
Som vanligt har deltagarna och seminarierna blivit fler än året förut.
Bara myndigheterna har lagt ner drygt 23 miljoner på sitt deltagande enligt en som SVT gjort.
Det vore enkelt att här infoga någon liten sarkastisk kommentar men jag väljer att avstå.
Hellre än ett slentriangnäll vill jag reflektera litet om det nätverkande som Almedalen är en så tydlig symbol för.
Få ord kan idag sägas med samma entydigt positiva konnotationer som ”nätverkande”.
Vad ordet egentligen betyder är däremot oklart, det är litet kontakter, workshops, mingel, sociala medier och samverkan.
En slutsats man kan dra om man googlar på nätverkande är att det inte är ett planlöst umgänge utan nätverkandet framställs alltid som ett socialt umgänge med ett syfte, från att det är bra att ha ett socialt nätverk vid ett sorgearbete till yrkesmässiga nätverk som ska leda till jobb eller gemensamma prestationer.
Det organiserade nätverkande, som i Almedalen, kan se som en motsats till den formella byråkratin av weberianskt snitt där förenklat en organisation har en uppgift som ska utföras och detta sker genom tydliga roller, ansvar och regler.
Procedurerna är fördefinierade och reglerade.
Byråkraternas kompetens, oavsett om de är jurister eller ingenjörer, är definierad och legitimerad.
Nätverkandet sker istället över organisationsgränser, i de flesta fall utan närmare uppdrag och regler.
Deltagarnas kompetens är i det närmaste per definition skiftande och i en så löslig form som ett nätverk är ansvarsutkrävande inte en fråga.
Tillträdet till nätverket är inte meritokratiskt utan sker ofta delvis genom relationer.
I ett samhälle med hög utvecklingstakt har den traditionella byråkratin, när ständigt nya frågor ska hanteras är det inte möjligt att ständigt tillämpa fördefinierade procedurer.
I den svenska förvaltningshistorien skedde ett skifte från 1950-talet då de stora välfärdssatsningarna byggdes upp och detaljstyrningen alltmer övergick mot ramlagstiftning och mer omfattande delegationer.
Mina byråkratiska erfarenheter under senare år tyder på att den svenska förvaltningen nu i delar pendlat från Weber till att alltmer bedrivas i form av samverkan och nätverk.
Denna utveckling svarar i vissa delar på verkliga behov; det krävs kreativitet, olika perspektiv och samhällets bästa resurser oavsett organisatorisk tillhörighet för att hantera de stora framtidsfrågorna långsiktigt.
Men det finns också fallgropar när myndighetsuppdrag och andra samhälleliga åtaganden exekveras i samverkansprojekt utan formalisering.
Elementära krav som ställs på myndigheters arbete i övrigt som öppenhet, insyn och representativitet är svårt att upprätthålla.
Kanske viktigast, i ljuset av den senaste tidens händelser i myndighetsvärlden, är svårigheten för statliga och kommunala tjänstemän att agera på ett sakligt och opartiskt sätt.
I en miljö där offentliga tjänstemän förväntas utveckla personliga relationer med leverantörer och representanter för intressegrupper kan det bli mycket svårt att fatta beslut på ett opartiskt sätt.
Det finns en stor risk för vänskapskorruption men också det som Mikael Holmqvist, professor i företagsekonomi, beskriver i sin bok om Djursholm och den maktelit som bor där: konsekrati.
Konsekrati innebär maktstrukturer som fostrar och premierar särskilda beteenden, attityder, yttre företräden och manér där de som anammar dessa också får inflytande i strukturen.
Under årets Almedalsvecka var digitalisering ett hett tema.
Med all rätt ser allt fler digitalisering som ett samhällsprojekt för att skapa en gemensam infrastruktur där staten har ett stort ansvar.
Mer luddigt är däremot hur denna infrastruktur bör skapas och vari den bör bestå.
Trots att stora offentliga satsningar faktiskt gjorts under ett par decennier både inom förvaltning och inom hälso- och sjukvård står vi fortfarande idag i en tämligen ofärdig digitalisering.
En orsak till detta kan vara att staten i alltför hög grad överlåtit planering och styrning av digitalisering till olika nätverksstrukturer istället för att tänka som om det handlat om att anlägga järnvägar.
Och om programvaruleverantörer får ett starkt inflytande kommer tyngdpunkten sannolikt inte att ligga på långsiktig utveckling av basfunktioner utan på de programvaror som finns tillgängliga.
Några reflektioner efter att ha deltagit i olika samverkansformer inom digitaliseringsområdet som varit av mer levererande karaktär och inte bara för erfarenhetsutbyte.
För det första har det varit svårt att få en överblick.
Överblick över mål, beroenden och ansvar för att ta några exempel.
Eftersom denna typ av samverkansform ligger vid sidan om den ordinarie myndighetsstrukturen samtidigt som deltagarna är anställda av myndigheter är det svårt att säga vilket ansvar som myndigheterna faktiskt har och hur de ska styra arbetet i samverkansgruppen.
Det gör också att det är mycket svårt att skapa en fungerande insyn i beslutsprocessen, alltså en slags demokratiskt underskott.
Samverkan i nätverk eller tidsbegränsade konstellationer skapar en stress, inte sällan uppkommen av politiska agendor.
Nätverket vill visa snabba resultat och goda exempel eftersom man har kort tid på sig.
Utrymmet för att lösa verkliga eller uppfattade målkonflikter som till exempel frågor kopplade till säkerhet eller integritet är mycket begränsat.
Tendensen förstärks då it-leverantörer och konsulter tas in i arbetet eftersom myndigheters gemensamma digitaliseringsprojekt naturligtvis både är en god inkomstkälla och ett alldeles utmärkt skyltfönster för de egna tjänsterna.
Och här kan en ohelig allians skapas: samverkansgruppen har ett behov av konkreta lösningar men har ingen långsiktig strategi, leverantören har en tjänst som vill flyga högre på marknaden och managementkonsulten kan knyta ihop alltihop till ett koncept som ser behovsstyrt ut.
Voila – ett digitaliseringsprojekt!
Och om det inte fungerar, inte är effektivt eller har säkerhetsbrister så har samverkansgruppen upplösts, leverantören har bara gjort vad som ”beställts” och konsulten har gått vidare när det uppdagas och inget ansvar kan utkrävas.
Ovanstående kan låta cyniskt men man kan välja att se alla inblandade som organisationsformens offer.
Samverkansgrupper har inget starkt mandat, framför allt inte långsiktigt och detta har, anser jag, varit ett stort hinder för en effektiv digitalisering.
Att digitaliseringen skett utan egentlig strategi, mandat och traditionell myndighetsstruktur och i tillfälliga gruppkonstellationer har också lett till ett starkt personberoende.
Vilken kompetens som är nödvändig för att arbeta med digitaliseringen är inte tydlig och jag tror att detta skapat en stark gruppkänsla hos de som varit involverade i de större projekten – man är där som person och inte så mycket på formella meriter.
Digitaliseringen har därför fungerat mer som en konsekrati än en meritokrati.
Min upplevelse är att denna gruppgemenskap som saknat formell grund skapat en kultur där det varit svårt att hantera komplicerade frågor och att härbärgera olika åsikter.
Sammantaget har inte det svenska sättet att bedriva digitaliseringen varit så framgångsrikt som det skulle finnas förutsättningar för.
Fragmentiseringen har inte lett till goda resultat, inte skapat tillit och, vilket är min huvudfråga, haft mycket svårt att hantera informationssäkerhetsfrågor.
Trots den stora enigheten om värdet att den digitala informationshanteringen så har säkerhetsfrågorna negligerats och det saknas idag samarbetsformer för att kunna styra säkerheten i det alltmer gemensamma informationsflödena.
Detta bör naturligtvis även ses som ett tillkortakommande för oss som arbetar med informationssäkerhet där vi har vår egen konsekrati som inte prioriterat stöd för bättre säkerhet i digitaliseringen, mer om detta i ett senare inlägg.
Om alla är överens om att det är dags att satsa fullt ut på den digitala revolutionen så är det också dags att ta digitaliseringen på allvar.
Ta litet av nätverksresurserna, lägg till litet mer och satsa i långsiktiga organisationsformer med ett starkt mandat och ansvar i digitaliseringsfrågor.
Samverkan med olika aktörer är lika nödvändig som tidigare men måste ske på ett sätt så att inte olika särintressen får vara vare sig de som formulerar problemet eller kommer med snabba lösningar.
Om det skapas en litet grå och tråkig e-myndighet som inte enbart behöver ägna sig åt politik och publikfriande lösningar utan får möjlighet att uthålligt få bygga en infrastruktur med osexiga delar som gemensam informationsmodell så finns det hopp för framtiden.
Låt informationssäkerhet för normalläget ingå som ett uppdrag för myndigheten och se säkerheten som en kvalitetsfråga.
Då kan även informationssäkerhet bli en paradfråga för digitaliseringen på samma sätt som trafiksäkerhetsfrågor varit det för svensk transportinfrastruktur.

Försvarsmaktens insatser Det civila säkerhetsskyddet av rikets säkerhet samt mot terrorism Det civila försvaret Samhällets krisberedskap Stöd till myndigheter, kommuner, företag m.m.
för deras egen verksamhet och i samverkan för e-förvaltning, e-hälsa m.m.

säker

Meny Digitalisering Inläggsnavigering

MENU MENU Postat av Postad i , , Tagged , , , Postat av Postad i , , , , , , , , Tagged , , , , , postat av → Postad i , , , Tagged , , , , , Postat av Postad i , , Tagged , , , Postat av Postad i , , Tagged , → Sök efter:

de granskade myndigheterna ligger på en nivå som är märkbart under vad som är tillräckligt ”.
”därför ta fram en nationell strategi för samhällets informations- och cybersäkerhet.” samma sin egen verksamhet År 2025 ska Sverige vara bäst i världen på att använda digitaliseringens och ehälsans möjligheter i syfte att underlätta för människor att uppnå en god och jämlik hälsa och välfärd samt utveckla och stärka egna resurser för ökad självständighet och delaktighet i samhällslivet.

Tre rapporter rörande obligatorisk incidentrapportering har kommit sedan årsskiftet: två från MSB och en från IMY (Integritetsskyddsmyndigheten).
Spännande läsning men säger rapporterna något väsentligt som jag kan dra nytta av i mitt säkerhetsarbete?
Under senare år har det nationella och även europeiska säkerhetsarbetet präglats av en klockarkärlek till obligatorisk inrapportering av incidenter.
Själv känner jag mig mer ambivalent.
Å ena sidan kan det tyckas som en självklarhet att det ska finnas en nationell lägesbild över vad som händer både för det akuta läget men även för att dra nytta av erfarenheterna som det brukar heta.
Å andra sidan är incidentrapportering en aktivitet som rusar i komplexitet när man bara börjar skrapa på ytan, det räcker att försöka rigga en fungerande process i den egna organisationen för att inse det.
Se bara den enkla processbeskrivning jag tagit fram som stöd för den enskilda organsiationer: Tyvärr måste jag medge att jag inte är alldeles övertygad om att kvantitativa insamlingar av något så komplext som incidenter är det bästa sättet att bringa klarhet i vilka verksamhetsstörningar och andra typer av realiserade hot som kan kopplas till it-incidenter (vilket är det som MSB och NIS-direktivet fokuserar på).
Förutom att det tynger de inrapporterande verksamheterna i kritiska faser undrar jag generellt om kvaliteten på rapporteringen och vilken säkerhetshöjande effekt den har.
Generellt är det ett problem att det saknas systematik i det nationella säkerhetsarbetet.
I myndigheter, kommuner, regioner och företag försöker vi få till en PDCA-snurra med ett tydligt C men i de nationella satsningarna för att stödja säkerhetsarbetet tycks inte utvärdering ses som ett nödvändigt steg.
För att ta ett par exempel så har jag frågat MSB om vilken utvärdering som skett av det s.k.
Metodstödet som ligger ute Informationssäkerhet.se och vilken säkerhetshöjande effekt det haft samt ställt samma typ av fråga till SKR angående KLASSA.
I båda fallen var svaret att man inte genomfört någon utvärdering och några planer i den riktningen nämndes inte heller.
Det finns en risk att mycket blir vad jag brukar kalla ”religiös säkerhet”, d.v.s.
åtgärder som vidtas i god tro men där det krävs just tro istället för evidens för att se resultaten.
Ofta handlar det om det som jag redan skrivit om som Graeberskt: när arbetet stannar vid dokument som skrivs, mallar som fylls i, enkäter som besvaras och engångsutbildningar som inte leder till någon djupare kunskap.
När en kommun glatt skriver om att deras styrande dokument blivit ”godkända” av tillsynsmyndigheten men att man inte tittat på hur det faktiskt ser ut i verkligheten tycker jag mig leva i Graebers värld av BS jobs.
Det finns en risk att nationell incidentrapportering blivit så populär just för att den kan röra sig i denna värld.
Vad kommer man då fram till i rapporterna?
För att få litet grepp om frågan har jag gjort en sammanställning av 2020 års inrapporterade incidenter: Som en inledning på höstens äventyr tänkte jag bara göra några kompletterande anmärkningar till en debatt i Dagens samhälle.
Den inleddes med där jag ventilerade min oro efter vad som framkommit om Region Stockholms informationssäkerhet i den granskningsrapport som initierades av 1177-skandalen.
På inlägget följde två svar.
Det kom från ett par tjänstemän från SKL där man hävdade att regionerna arbetar resolut med informationssäkerhet.
I svaret är man tillämpar man ad hominem-argumentet att ett flertal gånger understryka att jag är ”konsulten”.
Det är ju förståeligt med tanke på NKS och i vilket vanrykte konsulter hamnat i efter den hanteringen men det som bekymrar mig är snarare att baktanken sannolikt är att göra mina argument ointressanta på grund av att jag inte representerar någon organisation.
Detta riktar i och för sig ljuset på ett tråkigt fenomen, att inträdesbiljetten i samtalet om samhällets gemensamma frågor förutsätter att deltagaren representerar ett särintresse.
Personligen tycker jag i stället att det demokratiska samtalet skulle tjäna på att många fler deltog, även de som inte har något annat intresse än att de är engagerade i att försöka förbättra samhället precis som när jag ställer upp som blodgivare.
Detta tillsammans med debattörernas åsikt att öppenhet om inträffade incidenter i offentlig verksamhet på något sätt skulle vara optional tycker jag också visar på det problematiska i SKL:s alltmer utvidgade roll.
Allt mer beslutsfattande och operativ verksamhet för in i en organisation där offentlighetsprincipen inte gäller och insynen, precis som debattörerna antyder, inte är en rättighet utan något som kan ges på nåder.
Att en arbetsgivarorganisation kan överta all fler uppgifter från demokratiskt valda organisationer och dessutom emellanåt kalla sig saker som ”koncernen SKL” (litet som om Almega skulle kalla sig koncernen Almega där alla tjänsteföretag skulle vara underordnade föreningen) leder till ett demokratiskt underskott som borde bekymra fler än mig.
För att inte falla i samma fälla och bara diskutera SKL:s svar utifrån vilka de är och inte utifrån deras argument ska jag här gå något djupare än jag kunde göra i mitt .
Företrädarna hävdar att regionerna arbetar resolut med informationssäkerhet men de exempel som ges på vad man gör tyder snarare på att man fortfarande är kvar i huvudsak teoretiska aktiviteter som möjligen kan få en säkerhetshöjande effekt längre fram.
Det skulle kunna tyckas vara gott nog om informationssäkerhet vore en helt ny fråga.
Det är det inte – behovet av informationssäkerhet i vården har lyfts fram som en kritisk fråga i flera decennier, det har funnits lagstiftning och föreskrifter som ställt krav på sjukvårdshuvudmän och vårdgivare ungefär lika länge.
Problemet är bara att frågan inte prioriterats och nödvändiga åtgärder inte vidtagits.
Att då litet förnärmat när vi närmar oss år 2020 hävda att man nu minsann är på gång med att ta fram mognadsmodeller och skrivit in i en egenstrategi att man anslutit sig till den nationella för informations- och cybersäkerhet känns inte, mja, som något som kommer att hindra incidenter och höja säkerhetsnivån inom den närmaste tiden.
Man säger också att SKL erbjuder sina medlemmar konkret stöd men där är problemet att det stöd som erbjuds t.ex.
i form av informationsklassningsverktyget KLASSA inte skulle ha utgjort ett stöd när det gäller upphandlingen av 1177 eftersom det är ett verktyg för att klassa system, inte informationen i processer.
SKL menar att jag bara gnäller utan konstruktiva lösningar.
Själv tycker jag att jag verkligen anstränger mig för att komma med förslag på förbättringar som att göra en gemensam analys för att kunna prioritera rätt åtgärder o.s.v.
men att vara konstruktiv innebär inte att man bortser från problemen.
Kanske har SKL fastnat i en föreställning att man ska verka som ett företag och att endast positiva marknadsbudskap ska förmedlas vilket följande ger intrycket av.
Jag tycker istället att ett rationellt hanterande av offentliga medel måste bygga på tydliga och ansvarsfulla problemformuleringar.
Sjukvården är i en ständig förändring där numera digitaliseringen spelar en avgörande roll.
Min enda önskaen tas på samma allvar som säkerheten i andra aspekter.
Ett läkemedel skulle aldrig introduceras utan noggranna tester, däremot är det fortfarande comme il faut att föra in nya digitala lösningar i skarp drift utan närmare tester.
Även Daniel Forslund (L), digitaliseringslandstingsråd i Region Stockholm och tycket att jag ensidigt fokuserat på revisionsrapporten när jag bedömde som regionens informationssäkerhet var undermålig.
Jag håller inte med.
Även om det var en kortfattad rapport pekade den på mycket basala systemfel som påverkar hela regionens säkerhetsarbete.
Men eftersom jag försöker ha någorlunda torrt på fötterna innan jag uttalar mig så har jag skrivit till regionen och bett att få ta del av regionens styrande dokument inom informationssäkerhetsområdet.
Utan att förhäva mig utan bara för att skapa kontext i frågan kan jag säga att jag genom åren som konsult och i andra roller sett ett mycket stort antal ledningssystem och också arbetat med att mäta befintlig informationssäkerhet i olika typer av organisationer.
Det är med denna bakgrund som jag bedömer att Region Stockholm saknar rimliga förutsättningar för att bedriva ett systematiskt.
Att regionen på hösten 2018 upphandlar en så känslig tjänst så sent som hösten 2018 utan att ställa relevanta säkerhetskrav är en bekräftelse på ett systemfel och inte en incident som inte kunnat undvikas.
Den som är intresserad får gärna ta del av de dokument jag fått från Region Stockholm för att göra en egen och möjligen annan bedömning.
Jag har tagit del av den granskningsrapport som KPMG genomfört på uppdrag av Region Stockholm efter 1177-skandalen och som av en händelse (?)
publicerades dagen för midsommarafton.
Rapportens omfång motsvarar på intet sätt skandalens omfång utan är ett luftigt dokument på 14 sidor inklusive bilagor.
Att rapporten är tunn räknat i sidor behöver naturligtvis inte påverka skärpan i analysen men som rätt luttrad granskare av informationssäkerhet känns de 14 sidorna som rätt kraftigt i obalans med uppdragets genomförande och omfattning: Granskningen har omfattat en kombination av IT-revision, inhämtning av information från tillgänglig dokumentation av karaktären styr- och stöddokument, uppföljningsrapporter samt intervjuer med nyckelpersoner.
Granskningen har utgått från vedertagna granskningsmetoder inom området informationssäkerhet, vilket omfattat såväl Vårdgivaren och dennes underleverantörer som Region Stockholm genom HSF.
En lista över de personer som intervjuats återfinns i bilaga 2.
Granskningen har genomförts under maj-juni 2019.
Vidare är rapportens utformning i avvikelseformat där endast väsentliga iakttagelser har lyfts fram med förslag på förbättringsåtgärder, inklusive eventuella behov att förtydliga avtal, uppföljningsrutiner och processer för att minimera att motsvarande inträffar igen.
Att på så få sidor beskriva Region Stockholms, Medhelps och ett antal underleverantörers styrning av sin informationssäkerhet, vad som gått fel och vad som bör göras för att undvika att systemfel som det inträffade upprepas känns inte riktigt seriöst.
Den sammanfattande bedömningen är dock på allvar oroande: Vår övergripande bedömning är att HSF bör se över kravställningen på informationssäkerheten i samband med upphandlingar samt att uppföljningsprocessen behöver struktureras och formaliseras för icke funktionella krav, däribland informationssäkerhet.
I allt väsentligt behöver kravställningen preciseras för att säkerställa att leverantörerna är införstådda i HSF:s förväntningar, men även för att öka den interna förståelsen för hur kraven ska följas upp.
Att avtalskraven beträffande informationssäkerhet är allmänt hållna, samtidigt som standarden inom området inte är fullt integrerad i HSF:s verksamhet, innebär i praktiken att Vårdgivarens hantering av informationssäkerhet endast har följts upp i begränsad omfattning.
Vad gäller Vårdgivaren kan vi konstatera att det inte finns något dokumenterat ledningssystem för informationssäkerhet samt att det förekommit brister i rutinen för utvärdering och uppföljning av underleverantörer till vårdtjänsten.
Vi noterar dock att Vårdgivaren, sedan incidenten, arbetar med en åtgärdsplan för att förbättra informationssäkerheten, rutiner beträffande kontroll av leverantörer samt planerar för en certifiering inom ISO 27001.
Vi noterar att de akuta bristerna hänförliga till incidenten har hanterats, bland annat genom den skyndsamma nedstängningen av den felkonfigurerade servern, uppsägningen av avtalet med underleverantören som givit upphov till incidenten samt inhämtandet av all patientinformation till Vårdgivarens egen tekniska lösning.
Vi har dock identifierat ett antal framåtblickande förbättringsområden som rör HSF:s övergripande arbetssätt beträffande informationssäkerhet, fördelningen av roller och ansvar samt metoden för hantering och uppföljning av leverantörer.
Vidare har vi även identifierat åtgärder hänförliga till Vårdgivarens arbete med informationssäkerhet och den planerade ISO-certifieringen samt sättet till vilket Vårdgivaren arbetar med att vidareförmedla HSF:s avtalskrav beträffande informationssäkerhet.
HSF är alltså Hälso- och sjukvårdsförvaltningen i Region Stockholm och vårdgivaren Medhelp.
Att Region Stockholm inte lyckas formulera tydliga säkerhetskrav i upphandlingar i en så central tjänst som 1177 är i sig skandalöst.
Att sedan Medhelp som vårdgivare helt saknar ledningssystem för informationssäkerhet och att Region Stockholm inte ens ställt krav på en så grundläggande nivå är information som bekräftar min bild att den svenska sjukvården fortfarande ignorerar behovet av informationssäkerhet.
1177-skandalen var trots allt bara sten som vändes, om än stor.
Det som verkligen oroar är de brister i Region Stockholm säkerhetsarbete som avslöjas indirekt i rapporten.
Dessa brister gör det mycket sannolikt att 1177 bara är en del i större systemfel där patienters hälsa och integritet är i en ständig riskzon om rapportens uppgifter stämmer.
Ta till exempel följande iakttagelse från granskarna: HSF saknar ett fullständigt ledningssystem för informationssäkerhet (LIS).
Enligt den regionsövergripande informationssäkerhetspolicyn ska varje nämnd införa ett lokalt ledningssystem för informationssäkerhet.
I förekommande fall har HSF tagit fram lokala styrande dokument för informationssäkerhet, men dessa återspeglar i allt väsentligt de styrdokument som finns på regional nivå.
Graden av verksamhetsanpassning är relativt låg och förvaltningen har inte tagit fram några instruktioner eller utvecklat processer för hanteringen av informationssäkerhet.
Vi noterar att instruktioner håller på att arbetas fram, men dessa berör hanteringen av portabel IT-utrustning och syftar således inte till att tydliggöra riktlinjerna för hur förvaltningen.
Region Stockholm har alltså inte tagit fram säkerhetsregler för avpassade för sjukvården utan i huvudsak nöjt sig med de generella för regionen (trots att det funnits en föreskrift att så ska göras sedan 2008 SOSFS 2008:14) och att man inte heller är på väg att göra det för mer än för bärbar utrustning.
Jag tror redan den som rent tillfälligt jobbat med informationssäkerhet i vården förstår hur mycket arbete och eftertanke som krävs för att anpassa generella regler så att de fungerar i vården, t.ex.
bara att ge en uttolkning av ansvasförhållandena för informationshanteringen är en mycket komplex fråga.
Situationen i Region Stockholm gäller även hos Medhelp som inte heller har förmåga att ställa relevanta krav på sina underleverantörer: Processer och rutiner ska finnas för att säkerställa uppfyllandet av Socialstyrelsens krav på informationssäkerhet.
Vårdgivaren har inget dokumenterat LIS och det är vår bedömning att vissa processer saknas för att kunna försäkra att kraven uppfylls.
Vi noterar exempelvis att Vårdgivaren, i enlighet med vedertagna standarder och god praxis, inte har ställt ändamålsenliga krav på samt följt upp leverantörers hantering av informationssäkerhet.
Vidare anger Socialstyrelsen att vårdgivare ska ha en informationssäkerhetspolicy som anger mål och inriktning på verksamhetens arbete med informationssäkerhet.
Vi har identifierat att Vårdgivaren har antagit en informationssäkerhetspolicy i maj 2019.
Vi noterar i sammanhanget att Vårdgivaren planerar för en certifiering inom ISO 27001 till kvartal 2, 2020 samt har ett ledningssystem för GDPR.
Den här råttan-på-repet situationen illustrerar väl varför startpunkten för att förbättra säkerheten i vården på måste ligga på sjukvårdshuvudmännen eftersom det är huvudmännen som utformar förutsättningarna för de övriga aktörerna.
Tyvärr har ju lagstiftning och föreskrifter i huvudsak varit inriktade på vårdgivarna vilka i praktiken numera har svårt att ens den egna informationssäkerheten eftersom informationen hanteras i gemensamma lösningar.
Det är därför extra nedslående när sjukvårdshuvudmännen väljer att inte driva frågan ens i den egna verksamheten och inte heller att respektera de föreskrifter som finns.
Framför allt är det en fråga där det inte skulle behövas en föreskrift för att få de styrande i Sveriges största sjukvårdshuvudman att inse behovet av att styra informationshanteringen så att patienterna kan lita på att få god och säker vård.
I den kommentar som regionens ansvariga för vård upprepar man att man ska införa emen fokuserar i åtgärderna huvudsakligen på underleverantörerna.
Men att styra underleverantörerna utan ett eget fungerande regelverk är ett moment 22 som även granskarna noterar: HSF ställer inte tillräckligt tydliga krav på sina privata vårdgivare vad gäller deras informationssäkerhet.
Kravställningen på informationssäkerhet sker genom tillämpningen av en standardbilaga, vilken anger att leverantörer/vårdgivare ska följa regionövergripande styrande dokument för informationssäkerhet.
Vi noterar att de styrande dokumenten, i sin tur, anger att informationssäkerheten hos de som arbetar på uppdrag av Region Stockholm ska regleras genom avtal.
Vår bedömning är att dessa hänvisningar kan ge upphov till skiljande uppfattningar gällande kravbilden på informationssäkerheten.
Med hänsyn till att Socialstyrelsen anger som krav att vissa kontrollmål ska uppfyllas beträffande informationssäkerheten, företrädesvis med stöd av ett LIS enligt standarder i ISO 27000-serien, är det även vår bedömning att HSF:s tillkommande avtalskrav endast ger en begränsad effekt vad gäller att tydliggöra förväntningarna på de privata vårdgivarna.
Jag ska inte tjata mer om hur uppseendeväckande det är att Region Stockholm trots föreskrifter, alla incidenter och trots alla granskningar genom åren ändå inte prioriterar att införa ens ett regelverk för vården att utgå ifrån.
Det gör att man vare sig kan ha ett internt systematiskteller ställa relevanta krav på underleverantörer, det senare framgår på ett nästan tragikomiskt sätt i relationen med Medhelp.
Informationssäkerheten i vården är ingen ny fråga utan har varit uppmärksammad sedan åtminstone första hälften av nittiotalet.
Den stora frågan är Region Stockholm (och övriga sjukvårdshuvudmän) år efter år undviker att komma till rätta med bristerna.
Varför tycker man att det är rimligt att utsätta verksamheten och patienterna för de stora risker som den bristande säkerheten leder till samtidigt som man är beredd att investera ofattbara resurser i experiment som NKS?
Och nej, det går inte att säga att 1177 var ett undantag från en i övrigt fungerande situation.
KPMG:s rapport är den senaste i en rad av rapporter som visar att den bristande säkerheten är ett systemfel som genomsyrar hela den svenska vården – har man inte styrning av informationssäkerheten så finns den inte mer än fläckvis och utan möjlighet att reducera riskerna.
En relaterad fråga är om NIS-direktivet kommer att ha någon positiv inverkan över huvud taget eller om även denna styrning mot ekommer att ignoreras.
Om läsaren tycker att jag ger en alltför mörk bild av Region Stockholms informationssäkerhet rekommenderar jag att ni läser KPMG:s knapphändiga rapport som ändå ger en antydan om regionens förmåga rörande informationssäkerhet.
Tillägg 2019-06-24: Lägger ut rapporten som pdf här: I mina funderingar om en tänkbar nationell styrmodell för informationssäkerhet slås jag av vilket i mitt tycke oproportionerligt intresse incidentrapportering fått som säkerhetsåtgärd.
För att ge en snabb bild av nuläget så har MSB sedan snart två år en särskild föreskrift angående obligatorisk it-incidentrapportering för statliga myndigheter.
Till detta kommer dataskyddsförordningens krav och förslaget på NIS-direktivets tillämpning i som båda framför starka krav på incidentrapportering.
Dataskyddsförordningen kommer att träda i kraft i maj 2018, samma månad som även utredningens förslag rörande NIS-direktivet sannolikt kommer att sjösättas.
MSB:s incidentrapportering är alltså inriktad enbart på statliga myndigheter och gäller uttryckligen endast it-incidenter.
MSB:s definition handlar inte om störning på verksamhetens processer utan vilken typ av, framförallt teknisk, orsak som lett till störningen samt i vissa fall konsekvenser för informationshantering: störning i mjuk- eller hårdvara, störning i driftmiljö, informationsförlust eller informationsläckage, informationsförvanskning, hindrad tillgång till information, säkerhetsbrist i en produkt, angrepp, handhavandefel oönskad eller oplanerad störning i kritisk infrastruktur, eller annan plötslig oförutsedd händelse som lett till skada .
Det är alltså ett tämligen icke-stringent incidentbegrepp (lägg märke till att begreppet ”plötslig” överraskande kommer in under punkt 10) som används.
Att notera är också att bristande spårbarhet inte nämns som en incidenttyp.
Dataskyddsförordningen, som i princip kommer att gälla i alla offentliga och privata organisationer som hanterar personuppgifter, har ett incidentbegrepp som är helt inriktat på personuppgifter: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt Det är framför allt obehörig åtkomst (konfidentialitet) men även förlust eller förvanskning (riktighet) av personuppgifter som ska ses som incidenter i detta perspektiv.
Det bör dock understrykas att för att kunna efterleva dataskyddsförordningens övriga krav är både positiv och negativ spårbarhet en central faktor.
Däremot kan en personuppgiftsincident lika gärna ske i icke-digitala som digitala medier – det är alltså inte enbart it-incidenter som är aktuella (vilket särskilt bör beaktas med tanke på att den s.k.
missbruksregeln i PuL försvinner).
I författningsförslaget gällande NIS-direktivet slutligen är definitionen av incident: : en händelse med en faktisk negativ inverkan på säkerheten i nätverk eller informationssystem Precis som i MSB:s och Dataskyddsförordningens definitioner lyser verksamhetspåverkan med sin frånvaro, det är nätverken och informationssystemen som är objektet för regleringen som gäller både offentliga och privata aktörer i följande samhällsviktiga branscher: En självklar fråga är om den bristande samordning som av de tre olika regleringarna är acceptabel.
Det förefaller inte finnas några planer för att förenkla för de som kommer att behöva rapportera samma incident i två eller i värsta fall tre olika stuprör.
Gissningsvis måste MSB:s befintliga inrapportering och den som följer av NIS samordnas eftersom de båda ska ske i MSB:s regi men då kvarstår ändå personuppgiftsincidenterna.
Och i författningsförslaget för NIS-direktivet finns det en antydan om att är bra om tillsynsmyndigheterna samarbetar: med Datainspektionen när den handlägger incidenter som medfört personuppgiftsincidenter och innan ett åtgärdsföreläggande meddelas, så det finns kanske hopp om en praktisk samverkan.
Jag ska inte fördjupa mig ytterligare i samordningsproblemen även om de är nog så intressanta för alla som kommer att drabbas av dem.
Istället tänker jag svära litet i den nationella säkerhetskyrkan och ifrågasätta om det verkligen är rimligt att satsa så mycket intresse och resurser på just incidentrapportering.
Man kan göra den inte helt rimliga analogin till en enskild organisation som ska förbättra sin informationssäkerhet och då satsar större delen av sitt krut på incidentrapportering – skulle vi då tycka att det är en ändamålsenlig satsning?
Den kritiske kan här invända att författningsförslagetsamhällsviktiga och digitala tjänster innehåller litet vaga krav på säkerhetsåtgärder: 14 § Leverantörer av digitala tjänster ska utarbeta och vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder när de tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster inom unionen.
Med beaktande av den senaste tekniska utvecklingen ska dessa åtgärder säkerställa en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till den föreliggande risken, varvid hänsyn ska tas till 1. säkerheten i system och anläggningar, 2. incidenthantering, 3. hantering av driftskontinuitet, 4. övervakning, revision och testning och 5. efterlevnad av internationella standarder.
Samt även ett system för tillsyn med ett antal tillsynsmyndigheter (varav ett par redan tackat nej till uppdraget i sina remissvar).
Huvudpunkten är ändå incidentrapportering vill jag hävda.
Är detta då den mest effektiva åtgärden för att förbättra säkerheten?
Låt oss då först titta på syftet med incidentrapportering.
I en organisation är incidentrapportering inte en lösryckt aktivitet utan del i en där den fyller flera olika syften: Behovet av informationskvalitet i rapporteringen är olika för de olika syftena.
För att inleda akut felavhjälpning krävs mycket snabb kommunikation, däremot kan inte den som anmäler felet förväntas kunna redogöra för orsaken.
För att inleda kontinuitetshanteringen måste en koppling kunna göras mellan de drabbade informationsbärarna och verksamhetsprocesser för att rätt prioriteringar av återställelse respektive reservrutiner ska kunna göras.
Underlaget för långsiktig förbättring måste vara av mer analytisk karaktär men också bygga på en konsistent tillämpning av begrepp för att mönsterigenkänning ska kunna göras.
Kravet på god informationskvalitet gäller även för rapportering, riskanalysen och fört i mer vida termer.
Hur har man då resonerat i dessa frågor när det gäller den nationella rapporteringen.
Inte alls vad jag kan se, det är till och med svårt att utläsa vad syftet med den befintliga incidentrapporteringen egentligen är även om den dåvarande inrikesministern Ygeman 2015 så följande då beslutet att införa rapporteringen togs: Syftet med ett sådant system är att möjliggöra en förbättrad lägesbild över informationssäkerheten i statlig förvaltning.
Förmågan att förebygga, upptäcka och hantera it-angrepp mot statliga informationssystem ska också bli bättre.
Sådana it-incidenter kan röra exempelvis störningar i mjukvara, hårdvara eller driftmiljö eller förlust av data i olika sammanhang.
It-incidenter kan orsakas av bland annat externa attacker, säkerhetsbrister i it-produkter eller felaktigt .
Det är alltså inte incidenthantering som eftersträvas utan ”en förbättrad lägesbild”.
För mig förefaller det torftigt att ha en lägesbild som består av tekniska incidentbeskrivningar men jag tror också att inrapporteringsmoralen påverkas i starkt negativ riktning med tanke på att den svaga möjligheten till payoff eftersom det inte handlar om incidenthantering.
Egentligen inte ens om rapportering utan endast om incidentanmälan eftersom meddelande om att något hänt ska ske innan någon djupare analys har hunnit ske.
Samma oklarhet gäller även rapporteringen av personuppgiftsincidenter och rapportering enligt NIS-direktivet – det enda som kan hända är att man får ett besök av tillsynsmyndigheten för att uttrycka sig raljant.
Att både MSB och Datainspektionen hävdar att det finns ett starkt behov av att sekretessbelägga rapporteringen gör att den lägesbild som uppges vara huvudsyftet för åtminstone MSB kommer att vara tillgänglig i mycket begränsade kretsar.
Erafarenhetsåtervinningen på nationell nivå är därmed inget som kan locka fler att rapportera.
Att det sannolikt kommer att saknas ett starkt driv att rapportera incidenter påverkar kvaliteten i lägesbilden.
Ytterligare en aspekt som påverkar kvaliteten är den svaga begreppsmodelleringen av vad som ska inrapporteras samt att det saknas kriterier för verksamhetspåverkan i rapporteringen.
Här hade stora lärdomar kunnat hämtas från exempelvis smittskyddsområdet och överhuvudtaget från ett mer vetenskapligt förhållningssätt.
Att resonemang i denna riktning helt saknas både i dataskyddsförordning och i NIS-direktivet talar för sig själv.
Att incidentrapporteringen ändå fått ett så stort genomslag som universalmedel beror förmodligen på att den har en USP.
Det går nämligen att förklara vad incidentrapportering är för politiker och andra makthavare medan många andra säkerhetsåtgärder på systemnivå kräver betydligt mer i pedagogik.
Incidenter kan också kopplas till mer actioninriktad kommunikation som kan leda fram till snabba beslut än en diskussion om hur informationssäkerhet ska bli en normal del av förvaltningen.
Men, som alla vet, är det inte alltid det som är lätt att sälja som är det vi bäst behöver.
Sammantaget tror jag följande.
Den nationella incidentrapporteringen kommer inte att ge de enskilda organisationerna något stöd i det egnat och kvaliteten i de rapporter som faktiskt sker kommer att vara låg.
Den gemensamma lägesbilden som summa kommer inte ha högre kvalitet än de ingående delarna och kommer därför att ha ett värde som inte är i paritet med fokus och de resurser som läggs på incidentrapporteringen.
Vore det då inte bättre att försöka göra en något djupare analys och försöka reda ut vilka åtgärder som skulle ha en reellt säkerhetshöjande effekt på nationell nivå?
Eller åtminstone sätta in incidentrapporteringen i ett sammanhang som redovisas och som kan vara del av en större styrmodell?
Efter att ha spekulerat om varfört inte funkar har jag nu tänkt skriva några inlägg om vad som bör göras för att det ska fungera bättre.
Detta sammanfaller med att regeringen överlämnar en skrivelse till riksdagen angående Riksrevisionens om informationssäkerheten vid nio myndigheter.
Riksrevisionen bedömer att ” Regeringen instämmer i denna bedömning, som ju knappast kan komma som någon överraskning efter Riksrevisionens tidigare rapporter m.m., men avser bland annat att .
Det känns därför ganska självklart att detta första inlägg om konstruktiva åtgärder får handla om förutsättningar för en sådan strategi.
Att ta fram en strategi är inte något särskilt rafflande grepp, 2009 togs en sådan fram liksom en efterföljande handlingsplan några år senare.
Varken i regeringens skrivelse eller i Riksrevisionens rapport görs någon egentlig analys av varför de tidigare strategiska samordningsförsöken trots avsevärda resurser och mandat misslyckats.
En grundläggande utgångspunkt för mig har varit att det inte är särskilt meningsfullt att göra mer av samma sak om man märker att något inte fungerar.
Istället är det viktigt att ta ett steg tillbaka och analysera och göra nya problemformuleringar.
Detta tror jag i hög grad gäller om man ska ta ut strategiska riktpunkter.
En ny strategi bör därför föregås av ett mer omfattande förarbete och inte bestå av inskickade, icke samordnade önskelistor från myndigheter som har ansvar för olika säkerhetsområden.
I fallet med informationssäkerhet har jag försökt påvisa den stora oklarhet som råder om vad informationssäkerhet egentligen är och hur det försvårar för den enskilda organisationen, för de yrkesutövande och för samordning på nationell nivå.
Detta blir än tydligare om man läser regeringens något desorienterade skrivelse där det är svårt att greppa vad det egentligen är som ska samordnas.
Om vi tittar på den nationella spelplanen och bortser från de oklarheter som råder om informationssäkerhet är i första hand organisatorisk eller teknisk fråga så går det att urskilja en rad olika syften som staten länkar till ”informationssäkerhet” vad det nu än är.
För att övergripande beskriva de huvudsakliga syften som sällan definieras i förhållande till varandra kan jag räkna upp: Till detta kommer exempelvis de starka kraven från bland annat dataskyddsförordningen som i praktiken innebär högre nivå på spårbarhet, riktighet och konfidentialitet.
Dessa olika syften ska utan närmare inriktning från staten tillgodoses i de enskilda organisationerna.
Jag tror att det är här vi måste stanna till och inse att det inte är informationssäkerhet som det ställs krav på i de olika sammanhangen.
En enskild organisation har i de flesta fall i normalläget inget internt behov av den informationssäkerhet som staten ställer krav på exempelvis rörande det civila försvaret i höjd beredskap.
Att införa säkerhetsskyddsåtgärder är inte heller något som befrämjar andra säkerhetskrav som kan finnas i en löpande verksamhet som exempelvis hög tillgänglighet.
Statliga certifieringskrav på tekniska komponenter i e-förvaltning är knappast heller något som gynnar regeringens inriktning på att Sverige ska bli bäst i världen på att ta till vara digitaliseringens .
Jag behöver kanske inte fortsätta med exempel för att slå in min poäng – det finns tydliga intressekonflikter mellan olika typer av informationssäkerhet som staten ställer krav på.
Det finns också aktiviteter som starkt påverkar säkerhetsarbetet där det egentligen inte finns någon intressekonflikt men som ändå inte är samordnade.
Ett påtagligt exempel är att rapporteringskravet för it-incidenter till MSB inte är samordnat med i det tunga krav på incidentrapportering som följer av dataskyddsförordningen.
Ett förarbete till en strategi måste, menar jag, måla upp hela informationssäkerhetslandskapet för att kunna ta ut riktningen framåt.
Ironin i att NISU och utredningen om ny säkerhetsskyddslag lägger fram sina resultat samtidigt som två helt parallella spår som aldrig mötts kommer att upprepas i nya former om inte den nödvändiga överblicken skapas.
Överblicken över syften, förutsättningar och aktörer ger också en grundval för den styrmodell som rimligen måste finnas med som ett strategiskt verktyg för att nå målen.
En gemensam styrmodell innebär inte att samma styrmedel används överallt.
Jag föreställer mig att regelstyrning är nödvändig ur det civila försvarets perspektiv medan incitaments- och kunskapsstyrning blir centrala för regeringens digitaliseringssatsningar.
Men eftersom det är Söpple kommun som kommer att bli utsatt för de olika styrmedlen måste de integreras i en gemensam modell som också hanterar organisatoriska och ekonomiska förutsättningar.
Förutsägbarhet gällande krav och ekonomiska förutsättningar är nödvändigt då allt större del av den tidigare offentliga utförda verksamheten ombesörjs av privata aktörer.
Även detta förhållande måste avspeglas i den strategiska inriktningen.
Jag tror att en strategi måste vila på noggranna överväganden av hur staten ska organisera sin styrning och sitt stöd.
När civilt försvar alltmer blir MSB:s huvudfråga och myndighetens uppgift är mer att jämföra med den som Överstyrelsen för civil beredskap (ÖCB) hade fram till 2002 är det sannolikt mer lämpligt att detsom bedrivs i normalläget integreras med statens digitaliseringssatsning.
Analysen av vad som kan tänkas fungera bäst måste vara förutsättningslös och inte utgå från olika organisatoriska särintressen.
För mig är det en viktig princip attt måste styras av behov, inte av utbud.
Det gäller i den enskilda organisationen, och det bör gälla även på det nationella planet.
När en strategi ska tas fram bör det därför ske tillsammans med de som äger verksamheterna vars information skyddas, inte enbart av de aktörer som levererar säkerhetslösningar.
Min förhoppning är att strategin inte stressas fram på departementet av någon ensam handläggare utan att det sker i ett brett samarbete med kommuner, landsting, företag och myndigheter samt viktiga kravställare som Datainspektionen, E-hälsomyndigheten och eSam.
Här kommer ett litet mellanspel i min långa rant om varför informationssäkerheten inte funkar.
Istället ska jag ägna ytterligare några rader åt e-hälsa.
I slutet av september inträffade ett nytt stort it-haveri i Stockholms läns landsting (SLL) där flera sjukhus drabbades på ett sådant sätt att patientsäkerheten uppgavs .
I SLL:s digitala lösningar har större incidenter skett vid ett antal tillfällen under de senaste åren och det var bara någon månad sedan en mycket allvarlig händelse skedde i . Som samhällsmedlem och patient in spe med viss insikt om hur det ser ut på e-hälsoområdet är jag djupt oroad.
Trots att de många och allvarliga incidenterna som utgör en stor risk för patientsäkerheten och för patienternas integritet tycks insikten om de stora problemen med säkerhet inte engagera vårdens makthavare nämnvärt.
Pliktskyldigt sägs några fraser om säkerhet, sedan störtar samtalet vidare med muntra trumpetstötar om att Sverige ska bli bäst i världen på e-hälsa vilket inte förefaller innebära att vi ska bli bäst i världen på en e-hälsa.
Digitalisering beskrivs i närmast messianska former och diskussionsklimatet är av en sådan karaktär att det problematiserande som är nödvändigt för alla framgångsrika utvecklingsprojekt avvisas kategoriskt och sägs till och med vara ”förbjudet”.
Jag ser detta i sig som djupt problematiskt eftersom digitaliseringen, liksom alla andra större samhällsförändringar, innebär reella intressekonflikter som måste hanteras på ett rationellt sätt.
Detta gäller även inom informationssäkerhetsområdet specifikt där till exempel tillgänglighet och skydd mot obehörig åtkomst alltid måste balanseras mot varandra.
Historiskt har ,enligt min uppfattning, flertalet e-hälsolösningar hastats fram utan gemensam strategi i meningen långsiktig målbild och långsiktig planering där behov och beroenden är analyserade och utvärderade i en öppen diskussion.
Alltför ofta har mycket kostsamma och administrativt krävande lösningar (tänk exempelvis NPÖ) dykt upp utan att behov, säkerhet och kvalitet har klarlagts.
Efter att ett stort antal miljoner flödat in i de ofärdiga projekten har de försvunnit till en kyrkogård av misslyckade visioner.
När jag läste följande tweet kändes den därför som ett mycket tråkigt exempel på att vårdens makthavare tycks oförmögna att lära sig av tidigare misstag: Jag höll häromveckan ett föredrag på Dataföreningen med ovanstående titel.
Min tes, eller mitt påstående snarare, är att arbetet med att få en fungerande informationssäkerhet inte fungerar särskilt bra.
Detta gäller både i den enskilda organisationen och på en nationell nivå.
Kanske överraskade föredragets inriktning några av de ganska många åhörarna eftersom det mer handlade om ”våra” interna problem, alltså vi som arbetar professionellt med informationssäkerhet och inte de yttre förhållanden som vanligtvis diskuteras.
Detta är dock frågor som jag funderat ganska länge på och där jag under föredraget förde fram ett antal aspekter som jag menar påverkar den nuvarande situationen med en otillräcklig informationssäkerhet.
I hopp om att fler i informationssäkerhetsbranschen ska känna sig motiverade att bidra med egna erfarenheter och reflektioner tänkte jag skriva några blogginlägg med utgångspunkt från det föredrag jag höll.
Först kanske påståendet i titeln ändå måste utvecklas något.
Visserligen är det svårt att säga vad ”fungerar bra” skulle kunna vara.
Detta understryks genom att det i hög grad saknas forskning på området och andra typer av offentligt redovisade undersökningar.
Det känns också otillräckligt att bara vidareförmedla utsagor från olika särintressen eller vad talskrivare lämnat till Anders Ygeman att framföra angående läget.
I den som sammanställdes av ett antal myndigheter 2015 bygger man sina spaningar på 103 angivna referenser.
Problemet är bara att den absoluta huvuddelen av referenserna är inriktade på en extern hotbild, i bästa fall något om incidenter i it-system som går att hänföra vissa specifika antagonistiska hot, men ingen av referenserna förefaller ha ägnat sig åt störningar i verksamheter.
Det vill säga störningar i informationshanteringen som påverkar verksamheten och som då lika gärna skulle kunna bero på hårdvarufel som vid Tieto-incidenten 2011 som på antagonistiska attacker.
Detta har naturligtvis inte hindrat rapportförfattarna att dra slutsatser om trender men för den som verkligen är intresserad av hur informationssäkerheten fungerar är det alldeles otillräckligt.
Låt oss ändå vara överens om att det finns starka indikationer på att det händer ett stort antal incidenter och att realiserade incidenter är ett tecken på att vidtagna säkerhetsåtgärder inte skyddar verksamheten på ett rimligt sätt.
En mer systematisk genomgång av incidenter som drabbat verksamheter och privatpersoner tror jag skulle visa att huvuddelen skulle gå att undvika med väl kända metoder som exempelvis bättre kontroll över uppdateringar i it-tjänster.
En nackdel med incidentbegreppet är att det har en tendens att enbart fånga upp mer uppseendeväckande och kanske antagonistiska situationer.
Störningar av mindre dramatisk karaktär men som kan påverka verksamheten sammantaget på ett mer negativt sätt får inte samma uppmärksamhet vilket kan leda till felprioriteringar i åtgärdsarbetet.
Ett annat sätt försöka bedöma omt är funktionellt är ett klassiskt compliance-perspektiv; att kontrollera om regler efterlevs.
Inte heller här finns ett stort generellt underlag att luta sig emot.
Inom offentlig sektor har dock de senaste åren har ett antal rapporter visat att den systematiska informationssäkerheten i myndigheter, landsting och kommuner har stora brister, ja till och med att den vissa fall tycks bli sämre snarare än bättre.
Sammantaget är alltså inte bilden ljus.
I och med att informationssäkerheten tycks fungera illa i de enskilda organisationerna kan den knappast fungera bättre på en aggregerad nationell nivå.
Kanske måste ändå förhållandet att vi inte kan ge en uppfattning om hur bra eller dålig informationssäkerheten det tydligaste tecknet på att det inte fungerar bra.
För att komma in på kärnfrågorna är det tre (bort)förklaringar till varför informationssäkerheten inte fungerar som jag skulle vilja utesluta: Eftersom det inte heller finns en sammantagen beskrivning av hur mycket pengar som satsas på att förbättra informationssäkerheten är det inte möjligt att säga att det är ekonomiska skäl som förhindrar utvecklandet av en bättre säkerhet.
I Riksrevisionens senaste om informationssäkerhet beskrivs också svårigheterna med att försöka bedöma kostnaderna.
Nationellt har det också investerats inte obetydliga medel i olika myndigheters stöd för informationssäkerhet.
Eftersom inte effekten av dessa medel utvärderats mer än mycket översiktligt av Riksrevisionen är det svårt att säga att det skulle vara för litet eller för mycket.
Min poäng är denna: om det finns beskrivet vad som bör göras för att reducera olika risker för verksamheten är det svårt att uppskatta vilka medel som skulle behövas och ledningar på olika nivåer är, med all rätt, tveksamma till att tillföra ytterligare pengar.
Bollen är därmed tillbaka som en skråfråga: om vi anser att det finns ekonomiska orsaker till att informationssäkerheten inte fungerar så måste vi bli mycket bättre på att beskriva vad pengarna skulle användas till och vad organisationen (eller nationen) skulle ha för nytta av det.
Det här är ju en verklighetsbeskrivning som ofta återkommer och som på något underförstått sätt antas utgöra ett skäl till att informationssäkerheten inte håller måttet.
Men vad är egentligen kausaliteten i det här sammanhanget, om det nu finns en sådan?
Om informationssäkerhet vore en aspekt som vunnit hög acceptans i samhället, i organisationerna, hos utvecklare av it-tjänster m.fl.
så skulle ju frågeställningen vara integrerad som en naturlig del i utveckling av tjänster, produkter och infrastruktur.
Iställeten kostnad och en motpol till effektivitet vilket gör att lösningar för att förbättra säkerheten, om de över huvud taget implementeras, inte är effektiva och ofta ligger som olja på vattnet, ofullständigt integrerade.
Som en jämförelse skulle det vara svårt att tänka sig att trafiksäkerheten skulle vara något som tilläts hamna i bakvattnet numera.
Så kanske det var i ett tidigare skede men genom ett idogt forsknings- och opinionsarbete har säkerhet en mycket hög prioritet i trafikpolitiken.
Återigen faller alltså ansvaret tillbaka på oss själva och förmåga att sälja in informationssäkerheten.
Det är få meningar som jag så ofta hört upprepas i professionella sammanhang som uttrycket: ”ledningen förstår inte”.
Ofta blir detta den tröstande förklaringen till varför man inte når framgång med sina informationssäkerhetsprojekt och självklart ligger det mycket i det.
Det går inte att smyga in informationssäkerheten i organisationen bakom ryggen på ledningen.
Även här handlar det dock om att kunna presentera vikten av informationssäkerhet så ledningen ser poängen ur sitt perspektiv – att det gynnar organisationens möjlighet att uppfylla sitt uppdrag.
Ser ledningen inte behovet av informationssäkerhet är det inte heller rationellt att införa exempelvis ett LIS.
Ledningens bristande förståelse kan därmed, menar jag, inte ses som en autonom förklaring till bristande informationssäkerhet utan som att ledningen inte fått tillräckligt bra argument för att organisationen ska bedriva ett systematiskt.
I de följande inläggen ska jag lyfta fram förhållanden som jag ser både som verkliga orsaker till bristande informationssäkerhet och som möjliga att påverka för oss som arbetar med informationssäkerhet.
It-incidenter och andra störningar som påverkar informationshanteringen är och kontinuitetshantering i ett informationssäkerhetsperspektiv är en allt hetare fråga.
Detta förstärks naturligtvis av att vårt beroende till informationshanteringen är i ständig tillväxt liksom riskerna, både de medialt tacksamma antagonistiska hoten och de mer vardagliga som uppdateringar som misslyckas, buggar och hårdvaruproblem.
Utan tillgång till information och kommunikation befinner sig organisationer snabbt i krisläge.
Stora resurser ofta behövs för att åtgärda orsaken till incidenten och för återställelse till normalfunktion men också för att upprätthålla verksamhetsprocesserna med reservrutiner.
I idealläget finns en planering för åtgärder, återställelse och verksamhetsprocessernas reservrutiner samt, inte minst viktigt, för kommunikation med medarbetare och externa intressenter.
Planerna är övade, samordnade och ständigt förbättrade.
Organisationen är också medveten om att det inte bara är tillgängligheten som påverkas av avbrottet, det finns även stora risker för obehörig åtkomst och för negativa konsekvenser för riktighet och spårbarhet.
I verkligheten är i idealläget ganska långt borta vilket inte bara är en personlig erfarenhet utan framgår också från de undersökningar som gjorts av statliga myndigheter och kommuner.
Hur det står till i privata företag finns det ingen lika heltäckande undersökning av men indicierna är starka på en liknande situation även där.
Tyvärr gäller detta även verksamheter som allmänheten har stora förväntningar på ska kunna fungera även under svåra omständigheter, som sjukvården.
Den kanske mest genomarbetade analysen av dessa litet skrämmande förhållanden gjordes av Tom Andersson i en mycket intressant av läkemedelshanteringen i Västra Götalandsregionen.
Utöver de reflektioner som Tom Andersson själv gör i studien finns det några övergripande faktorer som jag anser gör det svårt för den som villa skapa en fungerande kontinuitetshantering i den egna organisationen.
Den kanske mest avgörande är att i princip alla offentliga och privata organisationer idag av sina uppdragsgivare förväntas planera enbart för ett ständigt normalläge.
Att i budgetdiskussioner hävda att det behövs en marginal, litet luft i systemet, litet extrakapacitet att ta till i händelse av störningar skulle i bästa fall väcka förvånade huvudskakningar.
Lean är möjligen en organisationsfilosofi på utgående men önskan att slimma verksamhetsprocesserna till allra nödvändigaste är numera etablerad i flertalet organisationer.
Tyvärr är det oundvikligt att en fungerande kontinuitetshantering kräver att organisationen ska klara situationer utanför normalläget vilket innebär extra resurser både för själva åtgärds- och återställelsearbetet och för reservrutiner som dessutom måste övas för att fungera.
En stor del av tidigare offentligt finansierad och offentligt utförd verksamhet överförts till privata utförare utan att avtalen innehåller krav på att utföraren ska ha en kontinuitetshantering vilket ytterligare försvårar situationen.
Även den som fått budget och sanktion för att skapa en kontinuitetsplan för informationshanteringen i den egna organisationen kommer att ha en svårhanterlig uppgift framför sig.
Informationshanteringen sker inte längre enbart i den egna organisationen utan är en del i ett komplext samspel med andra.
En processkartläggning över en verksamhetsprocess beroenden till olika tjänster och resurser för informationshantering som dessutom ständigt förändras är ett nödvändigt underlag.
Att få kontroll över denna helhet och skapa förutsättningar för att kunna hantera störningar är inget som går att lösa i ett projekt utan kräver ett systematiskt och uthålligt arbete där många interna och externa parter måste vara involverade.
I många sammanhang finns den outtalade förutsättningen att organisationer har en generell kontinuitetshantering som det går att komplettera med informationssäkerhetsaspekterna.
I ett sådant scenario finns redan modell och andra viktiga komponenter som ansvarsfördelning på plats.
Tyvärr är min erfarenhet att detta sällan är hur verkligheten beskaffad i flertalet organisationer.
Vad som finns är kanske en krisledningsorganisation men ingen faktisk planering eller övning av händelser då centrala resurser faller bort.
Den informationssäkerhetsansvarige får då arbeta i underläge och ta ansvar för mycket mer än vad som ligger i rollens mandat och uppgifter.
Här tror jag många informationssäkerhetsansvariga resignerar och med viss förtvivlan grubblar över hur de ska kunna göra det som de ändå vet är en mycket viktig del i uppdraget.
Varken för den generella kontinuitetshanteringen eller den som är specifikt inriktad på informationssäkerhet finns det mycket stöd att hämta.
Detta trots att förmågan att upprätthålla den verksamheten vid större störningar och kriser är ett ansvar som i det svenska krishanteringssystemet ligger på den enskilda organisationen.
Det finns naturligtvis standarder och konsultföretag som kan hjälpa till men någon nationell modell eller metod finns inte etablerad även om detta efterfrågats av bland annat kommuner.
Att plocka fram en egen modell eller metod framstår säkerligen för de flesta medelstora och små organisationer som övermäktigt.
Ur ett samhällsperspektiv är det också en suboptimering om alla organisationer ska ta fram egna varianter som dessutom inte är koordinerade sinsemellan.
Denna dystra bild får ändå inte göra oss passiva eftersom kontinuitetshanteringen är så betydelsefull för oss både i den enskilda organisationen och på en samhällsnivå.
Nedan följer några tips som ändå kan underlätta arbetet.

Energi (elektricitet, olja, gas) Transporter (lufttransporter, järnvägstransporter, sjöfart, vägtransport) Bankverksamhet Finansmarknadsinfrastruktur Hälso- och sjukvård (hälso- och sjukvårdsmiljöer [inklusive sjukhus och privata kliniker]) Leverans och distribution av dricksvatten Digital infrastruktur Initiera akut felavhjälpning Inleda återställelsearbete (kontinuitetshantering) Ge underlag för långsiktig förbättring Rapportering internt och externt Indirekt: försörja riskanalys ocht i stort Försvarsmaktens insatser Det civila säkerhetsskyddet av rikets säkerhet samt mot terrorism Det civila försvaret Samhällets krisberedskap Stöd till myndigheter, kommuner, företag m.m.
för deras egen verksamhet och i samverkan för e-förvaltning, e-hälsa m.m.
Prioritera verksamhetsprocesser.
Vid en större störning kommer det inte att vara möjligt att upprätthålla all verksamhet utan de resurser i form av exempelvis tjänster, kommunikation och medarbetare måste användas för de processer som ledningen prioriterar.
Prioriteringen ska inte ske under störningen utan under exempelvis verksamhetsplanering.
Kartlägg beroenden.
Genom processkartläggning går det att identifiera vilken information och vilka bärare som är nödvändiga för att upprätthålla processen.
Det ger också ett bra underlag för it-ansvariga att ta fram den planering som ska ske mellan olika tjänster och andra it-resurser.
Håll planeringen så enkel som möjligt.
Alltför komplexa planer blir snabbt inaktuella och dessutom svåra att hantera i ett kritiskt läge.
Det är sällan intressant att gå djupare i olika tänkbara orsaker till störningen utan det är störningens effekter på verksamheten som är det intressanta.
Att koncentrera sig på effekterna gör också planeringen enklare än att ha en mängd olika alternativ utifrån olika orsaker till störningar.
Se till att ledningen är beslutsför.
Under ett akut skede måste ett antal beslut tas som ligger utanför det som är möjligt att planera och då måste de som har en ledningsfunktion känna sig trygga i att de får fatta beslut.
Förbered för kommunikation.
God kommunikation med de egna medarbetarna och med intressenter utanför den egna verksamheten är oumbärlig både före, under och efter en större störning.
Öva, öva,öva!
Övningar kan ske under mycket anspråkslösa former som exempelvis på en arbetsplatsträff där man går igenom ett scenario och simulerar de steg som planen innehåller.
Mycket nyttigt både för planen,och verksamheten.

en varför personuppgiftsincident: incident incidenthantering säker För litet pengar Att den generella it-utvecklingen går så mycket snabbare än informationssäkerhetsutvecklingen att gapet blir större och större Ledningen förstår inte

Låt oss vara överens om att det inte fungerar bra Tre saker som inte är huvudproblemet

MENU MENU Postat av → Postad i , , , , , , , Tagged , , , , , , , Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , , Tagged , , , , , , Postat av Postad i , , , , , Postat av Postad i , , , , , , , , Tagged , , , , , postat av → Postad i , , , Tagged , , , , , Postat av Postad i , , , Tagged , , , Postat av Postad i , Tagged , , , Sök efter:

de granskade myndigheterna ligger på en nivå som är märkbart under vad som är tillräckligt ”.
”därför ta fram en nationell strategi för samhällets informations- och cybersäkerhet.” samma

Det finns vissa återkommande anekdotiska exempel inom informationssäkerhetsområdet som ska beskriva en situation eller ett problem.
Vissa har jag säkert använt själv vid olika tillfällen.
Men när man hört något litet för många gånger börjar i alla fall jag begrunda vad som är den egentliga innebörden i exemplet – vad vill man ha sagt?
Och därefter funderar jag på vad effekten hos åhörarna, blir den verkligen den som eftersträvas?
Ett sådant återkommande exempel i presentationer, föreläsningar och utbildningar handlar om lösenord.
Antingen genom att beskriva det hela som en personlig upplevelse eller en mer generell företeelse så säger vi (även jag har gjort det någon gång för länge sedan…) att användare haft lösenord på post it-lappar fästa vid skärmen eller under skrivbordsunderlägget.
Samma exempel återkommer i tips för bättre säkerhet som och .
Det är uppenbarligen en bild som säkerhetsmänniskor finner effektfull trots att skrivbordsunderläggen i ärlighetens namn numera är sällsynta.
Ofta berättas detta med ett överseende, eller ännu värre; ett smått föraktfullt, leende som låter påskina att medarbetarna inte förstår sig på alternativt inte bryr sig om säkerhet.
Min erfarenhet är att detta är en helt felaktig uppfattning.
I princip alla verksamheter som jag jobbat i, och inte minst inom vården, är de allra flesta medarbetare mycket engagerade i att göra ett bra jobb.
Detta inkluderar även att följa de säkerhetsregler som finns.
Att sedan lösenordshanteringen ändå kan vara litet si och så tror jag beror på flera faktorer.
En väsentlig elefant i rummet är att det jobbigt att hantera lösenord på det sätt som sker nu.
Sedan mitten av 90-talet har det utlovats single sign-on-lösningar men få har hittills skådat fungerande lösningar i verkligheten.
Istället fortsätter det som förut med allt längre lösenord, olika lösenord i de allt fler applikationer som används på arbetsplatserna och med krav på byten var tredje månad.
I en stressig arbetssituation kan jag inte annat än ha förståelse för att medarbetare söker genvägar.
I vårt privatliv kan vi använda olika lösningar som automatgenererar hyfsat säkra lösenord men i arbetsmiljön är många kvar på ruta ett.
En annan faktor är kommunikationen om lösenord.
När jag läser och hör hur reglerna för lösenordshantering kommuniceras med medarbetare är det sällan med någon motivation eller beskrivning av vari risken ligger om lösenordet är för kort eller används längre än ett kvartal.
Detta tror jag är en mer generell problematik inom säkerhetsområdet.
Alltför ofta använder vi olika former av envägskommunikation och dessutom utan att ge tillräckligt bra förklaringar hur bristande tillämpningar av säkerhetsåtgärder påverkar kvaliteten och effektiviteten i verksamheten.
Jag ser det hela framför mig som en våg där goda förklaringar gör säkerhetsåtgärden uppfattas som motiverad och krångligheten acceptabel.
Slutligen är ett problem att det tycks finnas mycket litet evidens om lösenord, hur långa de bör vara och hur ofta de bör bytas.
Vi går på det som litet slängigt brukar kallas ”best practice” vilket kan tolkas som ”vi tror att det här det bästa sättet att göra det men har inga belägg för det”.
Att beläggen är svaga gör vår egen argumentation svag vilket gör det svårare att övertyga andra vilket sannolikt är en förklaring till att vi hellre kör ut en oemotsagd regel än har en mer djuplodande diskussion om risker med verksamheten.
Jag tror inte medarbetare känner sig särskilt motiverade av den här typen av exempel hur ”dumma” andra medarbetare i samma situation är.
Förmodligen kommer istället antingen en viss skamsenhet över att man inte själv heller alltid lyckas leva upp till de krångliga reglerna eller så fnyser man invärtes och tänker: ”det är ju lätt att säga när man inte vet hur det fungerar här och hur stressigt det är”.
I båda fallen tapparkontakten med sin publik.
Sammantaget drar jag tre slutsatser av ovanstående.
Att det inte är så konstigt att medarbetare gömmer lösenord under de imaginära skrivbordsunderläggen.
Att vi måste hitta bättre fungerande säkerhetslösningar både i bemärkelsen att de fungerar effektivt mot beskrivna risker och i bemärkelsen att de går att använda på ett inte alltför tyngande sätt för medarbetare.
Att vi måste bli bättre på att belägga de säkerhetslösningar vi föreslår med evidens istället för att hänvisa till ”best practice”.
Med tanke på att behovet av informationssäkerhet kommer att öka alltmer måste vi kunna både för oss själva och för de organisationer vi verkar i visa att vågen är i balans; att de tyngande rutiner och åtgärder vi förordar är motiverade.
Vad ska det första blogginlägget handla om?
Det finns en uppsjö av intressanta frågor som bara ligger och väntar på att ventileras, alltifrån teoretiska frågor som vad informationssäkerhet är till hur man genomför en bra riskanalys i praktiken.
Jag bestämde mig dock för en rivstart; att ta upp den så omtalade ledningsfrågan som i alla sammanhang framhålls som förutsättningen för attt ska lyckas.
Ledningens engagemang ni vet… Genom åren har jag träffat ett mycket stort antal informationssäkerhetsansvariga (med litet olika titlar).
Den mest återkommande förklaringen till att säkerheten inte är så bra som man skulle vilja är att ledningen inte lyssnar, inte intresserar sig, inte förstår varför informationssäkerhet är så viktigt.
Ledsna och irriterade säkerhetsmänniskor beskriver hur de ihärdigt försöker förklara för till synes oengagerade ledningar allt som borde göras, vilka risker som finns och vad lagstiftningen säger.
Ibland lyckasfaktiskt upprätta en relation med ledningen, hen kanske till och med får vara adjungerad i ledningsgruppen eller åtminstone vara en fast punkt på agendan en gång i kvartalet.
I de mest lyckade ögonblicken inser ledningen att informationssäkerhet är en förutsättning för att organisationen ska kunna leverera det man har som mål på ett bra sätt.
Ofta är dessa lyckosamma relationer, enligt min erfarenhet, mycket personberoende och med dagens snabba arbetsmarknad så riskerar de snabbt att upplösas.
Vad jag talar om är inte att lyckas med att få ledningen att besluta om att införa ett ledningssystem, vilket inte behöver vara så svårt – särskilt inte med en omedveten ledning som tror att det gäller att besluta några dokument så är det klart.
Men att skapa en god säkerhetskultur där både ledning och medarbetare är engagerade i säkerhetsfrågor, vaksamma för nya risker och beredda att ständigt utveckla säkerhetsarbetet, det är något helt annat.
För att komma vidare tror jag att vi säkerhetsmänniskor måste omformulera frågan.
Istället för att se ledningens bristande engagemang som grundad i att ledningen inte förstår vikten av säkerhet så tror jag att vi måste se på oss själva.
Hur väl förstår vi verksamheten och dess säkerhetsbehov, vilka aspekter som är prioriterade för ledningen och hur vi få säkerhetsarbetet att stödja dessa prioriteringar?
Informationssäkerhet har inget egenvärde utan måste ställas i relation till behoven i den verksamhet där man verkar där behov kan vara förmågan att leva upp till externa krav som lagstiftning men också så mycket mer.
Själv har jag träffat många ledningsgrupper både som anställd och som konsult.
Framgången med att lyckas övertyga ledningarna om hur central informationssäkerhetsfrågan är har varierat och om jag försöker summera vad som funkat och vad som inte funkat i punktform ser det ut så här: Detta var några tankar kring ledningens engagemang.

Detaljerade beskrivningar av tekniska problem och tekniska lösningar – ledningsgrupper har sällan den tekniska kompetensen så att de uppskattar detta.
Långrandig och överdrivet heltäckande rapportering – ledningen har ju anställtför att ha kompetens vilket också innebär kompetens att sålla fram det som relevant.
Att hämta alltför mycket av argumentationen ur lagstiftning – självklart inser alla ledningar att lagstiftning måste följas men det är liksom inte huvuduppgiften för verksamheten.
Att var alltför ängslig och ovillig att inse att riskhantering innebär att leva med vissa risker – informationssäkerhet skiljer sig inte från andra områden och en fungerande ledning tar alltid risker och kommer att göra det även när det gäller informationssäkerhet.
Att presentera risker och brister utan komma med förslag om åtgärder – denna typ av kommunikation gör ofta att ledningar går i baklås och är oförmögna att hantera problemet.
Att vara alarmistisk och försöka ”skrämma” ledningen till att vidta åtgärder – detta är det absolut sämsta sättet att kommunicera kring säkerhet och leder enligt min erfarenhet osvikligen till att ledningsgruppen stänger av och försöker undvika kontakt i fortsättningen.
Att försöka sätta sig i ledningens position och försöka förstå vad det är de vill veta – att känna till ledningens inriktning och kunna anknyta till den underlättar påtagligt kommunikationen.
Att försöka sätta sig in i vad ledningen kan och vet om informationssäkerhet och anpassa kommunikationen därefter – ofta utgår vi ifrån att de vi talar med vet mycket mer än vad de faktiskt gör.
Om man respekterar de man pratar med och deras förförståelse av ämnet är det också mycket lättare att nå fram.
Att genomföra riskanalyser med ledningen – riskanalyser ger ledningsgrupper möjlighet att själva reflektera kring risker vilket gör att de får en egen relation till frågan.
Att alltid kommunicera specifikt om den egna organisationen och dess behov – ledningar har sällan tålamod med abstraktioner, däremot om det finns en uppenbar verksamhetsnytta i den egna organisationen blir ämnet mycket intressantare.
Att presentera hur brister leder till konkreta konsekvenser i verksamheten – de tekniska orsakerna är ofta ointressanta, däremot innebär konsekvenser i verksamheten också konsekvenser för ledningen vilket får dem att lystra.
Att göra ledningsgruppen beslutsför – ledningars funktion är att fatta beslut och att då ta fram väl underbyggda underlag om risker och åtgärder för att reducera dem som det går att fatta beslut om gör de flesta ledningar vänligt stämda.

är egentligen Funkar inte: Funkar:

Meny Säkerhetskultur Inläggsnavigering

MENU MENU Postat av Postad i , Tagged , , , Postat av Postad i , Tagged , , , → Sök efter:

Jag har alltid haft svårt för den oreflekterade gruppkänslan, när tillhörigheten till en grupp blir så viktig för ens (yrkes)identitet att det skuggar tankens klarhet.
Tyvärr tycker jag att säkerhetsbranschen ofta drabbas en överdriven gruppkänsla som leder till ett grupptänk och inte minst av en oförståelse för hur det ser ut i ”verkligheten”.
Att predika för kören, d.v.s.
för andra säkerhetsmänniskor, är enklare än att öppet diskutera säkerhetsfrågor med människor som har andra och kanske viktigare prioriteringar än säkerhet.
Själv måste jag erkänna att jag grips av en skamkänsla över att erbjuda lösningar som tar så mycket tid från kärnverksamheten, dessutom med oklart resultat.
Trots att säkerhetsbranschen av tradition är högerlutande, vilket i normala fall skulle leda till ett ifrågasättande av byråkrati, krångel, förmynderi och slöseri med skattemedel, så godtas orimligt insatskrävande säkerhetsåtgärder i just skattefinansierade verksamheter.
Ganska hemmablint kan man tycka.
Låt mig bara ta några exempel.
I Sverige finns runt grundskolor.
Såsom praxis och stöd är utformade ska då informationsklassning genomföras om inte i samtliga grundskolor så åtminstone per förvaltning eller grundskoleområde, gärna med stöd av SKR:s KLASSA.
Många kommuner väljer dessutom att ta in konsulter för att genomföra klassningarna med KLASSA för dyra pengar och utan att den så viktiga dialogen uppstår mellan verksamhet och informationssäkerhetsansvarig.
Åtgärderna som levereras ur KLASSA är inte i de flesta fall konkreta utan snarare på en nivå som kräver en egen utredning för framtagning av åtgärder hos kommunen som använder verktyget.
För mig känns det som en mycket dyrbar metod som ger ett resultat som i bästa fall är tveksamt.
Som jag tidigare betraktar jag inte det som ett sätt att effektivisera säkerhetsarbetet och föreslår andra möjligheter.
Några andra som inte är så ängsliga för att ta säkerhetsresurser i anspråk är MSB.
Myndigheten har nu tagit fram en egen som såvitt jag kan se inte har något vetenskapligt stöd (däremot en närmast rörande metodbeskrivning med formel och allt).
Det framgår inte heller varför man inte tydligare anslutit till ISO 27004 som visserligen nämns men lämnar få spår i utformningen.
MSB har gått så långt att man skrivit in ISO 27001/27002 i sin föreskrift för statliga myndigheter så det skulle känts rätt logiskt att man då gått all in i standardfamiljen även då det gäller uppföljning.
Rapporten är ett svar på ett regeringsuppdrag: Detta skulle kunna tolkas som något som liknar frivillig tillsyn eller revision men istället har MSB knåpat ihop något som enligt min bedömning (jag har ändå rätt många år i mätbranschen) kommer att ta avsevärd tid att hantera för de organisationer som väljer att delta utan egentlig nytta.
Ja, visst får ledningen en överblick men även den som är mest besatt av mantrat ”ledningens genomgång” måste någon gång landa i att det är praktiska åtgärder som måste vidtas för att förbättra säkerheten – det räcker inte att rapportera aldrig så mycket.
Jag vet hur betvingande det är med spindeldiagram, jag har stått inför otaliga ledningsgrupper och showat med gott resultat, men det som gav verklig nytta var något annat.
Det var de insatser vi lade ner på att skriva detaljerade rekommendationer noggrant anpassade efter den specifika organisationens förutsättningar och risker.
Efter att ha läst MSB:s rapport kan jag inte förstå hur denna typ av frågeställningar öht ska kunna besvaras och vad eventuella svar skulle kunna ha för kvalitet: Hur räknar man ens procent på åtgärder?
Är åtgärden att sätt lås på ett dokumentskåp lika mycket värd som att ändra backup-rutiner liksom?
Måste åtgärderna att ha varit fullständigt genomförda för att räknas eller räcker det att de är påbörjade?
Om det endast fullständigt genomförda åtgärder som ingår kommer då organisationen att prioritera kortsiktiga åtgärder och välja bort de som tar lång tid men som kanske har större betydelse för säkerheten?
Att med så många grundläggande osäkerhet försöka tillämpa en formel som denna ger mig ett intryck av ett helt verklighetsfrämmande projekt.
Ett tredje ack så resurskrävande villospår är de externa revisioner som många organisationer väljer att göra.
Det är ett enkelt men kostsamt beslut att ta för ledningen.
Och när man ser på leveranserna från inte minst större välrenommerade företag blir man ofta beklämd.
Rapporterna, som inte sällan kommer i power point-format, är så uppenbart standardrekommendationer som av juniora konsulter klippts samman till något som inte är anpassat till kundens verksamhet och i vissa fall inte ens till svensk kontext.
Hur svårtolkade (en eufemism) rapporterna kan vara tyder den absurda upplevelse som jag stött på när ett revisionsbolag anlitas för att uttolka ett annat revisionsbolags rapport och försöka göra om den till något som liknar förslag på begripliga åtgärder.
Och nej, det blev inte så mycket begripligare i nästa led.
Trots den bristande kvaliteten i många revisionsrapporter får de orimligt stor betydelse i många organisationer.
Ledningar tar dem på stort allvar och tycker sig ha fått ett underlag både för den så omtalade ”benchmarketingen” och för att att kunna vidta rätt säkerhetsåtgärder.
Det är inte så konstigt; ledningen tycker sig ha betalat dyrt för att få en professionell genomgång av ett område som man själv i de flesta fall är dåligt insatt i. Att ställa kritiska frågor är inte aktuellt, särskilt om det skulle kunna avslöja ens egen bristande kunskap.
Vid ett inte oväsentligt antal tillfällen har jag tyckt när jag läst rapporterna att de varit mer eller mindre vilseledande när det gäller vilka åtgärder som rekommenderas.
Eftersom de som utfört revisionen på ett industriellt sätt inte haft möjlighet att sätta sig in i kundens förutsättningar kan fokuseringen på de prefabricerade åtgärderna leda till både dubbelarbete när vissa element faktiskt redan finns på plats men under annan benämning än revisionsbolagets och till att väsentliga risker missas.
Dessutom är hänsyn sällan tagen till beroendeförhållandet mellan olika åtgärder, något som kan göra att kundens åtgärdsarbete blir alldeles i onödan ineffektivt.
Ibland betonar revisorerna väldigt specifika åtgärder som den som arbetar med säkerhet i organisationen vet att man redan klarat av på annat sätt eller att avsaknaden av åtgärden innebär en mycket liten risk.
Detta går dock inte fram till ledningen som sätter en större tillit till den ytliga granskningen än till den egna personalens bedömningar – onödig kraft läggs då på att checka av åtgärdsförslagen istället för på att reducera verkliga risker.
Säkerhetsarbetet kan därmed snedvridas på avgörande sätt för lång tid fram över.
Detta är bara tre exempel, det finns många fler metoder och krav som kan ses som på det hela taget tämligen improduktiva.
Det är naturligtvis inte en slump att compliance och rapportering är så populärt.
Det är betydligt lättare att ”granska” än att skapa fungerande säkerhetsåtgärder – tro mig, jag har varit på båda sidorna.
Ibland skulle jag vilja gå så långt som att det borde vara förbjudet föreslå metoder och åtgärder för den som inte själv stått i det praktiska slitet att försöka förbättra säkerheten i en faktiskt existerande organisation.
Det är först då en djupare förståelse för hur komplicerat det är att förbättra den verkliga säkerheten, inte bara den som finns i kolumner och poängsättning.
Säkerhetsbranschen har anammat synsätten som leder till största nackdelen med NPM med oklara rambeskrivningar, mätningar och rapporteringar en masse.
Trots att aktörerna i branschen som sagt ofta i andra sammanhang klagar på administration tycks man blind för den negativa byråkrati man själv skapar och som äter upp resurserna som skulle gjort så mycket större nytta i kärnverksamheten.
Informationssäkerhetskraven såsom de ser ut idag trängs med likartade strukturer för hållbarhet, miljö, jämställdhet, ekonomi m.m.
som alla är viktiga men samtidigt tar kraft från det egentliga uppdraget.
Det är tyvärr inte så stor risk att vi råkar ut för något ansvarsutkrävande men vi borde verkligen se oss i spegeln och ställa frågan om vi är närande eller tärande.
Sannolikt mest det senare vilket borde sporra oss till att tänka på att varje timme vi tvingar alternativt uppmuntrar andra till att lägga på att svara på frågor och rapportera tas från en sjuksköterska eller lärare eller någon som producerar något vettigt.
Tre rapporter rörande obligatorisk incidentrapportering har kommit sedan årsskiftet: två från MSB och en från IMY (Integritetsskyddsmyndigheten).
Spännande läsning men säger rapporterna något väsentligt som jag kan dra nytta av i mitt säkerhetsarbete?
Under senare år har det nationella och även europeiska säkerhetsarbetet präglats av en klockarkärlek till obligatorisk inrapportering av incidenter.
Själv känner jag mig mer ambivalent.
Å ena sidan kan det tyckas som en självklarhet att det ska finnas en nationell lägesbild över vad som händer både för det akuta läget men även för att dra nytta av erfarenheterna som det brukar heta.
Å andra sidan är incidentrapportering en aktivitet som rusar i komplexitet när man bara börjar skrapa på ytan, det räcker att försöka rigga en fungerande process i den egna organisationen för att inse det.
Se bara den enkla processbeskrivning jag tagit fram som stöd för den enskilda organsiationer: Tyvärr måste jag medge att jag inte är alldeles övertygad om att kvantitativa insamlingar av något så komplext som incidenter är det bästa sättet att bringa klarhet i vilka verksamhetsstörningar och andra typer av realiserade hot som kan kopplas till it-incidenter (vilket är det som MSB och NIS-direktivet fokuserar på).
Förutom att det tynger de inrapporterande verksamheterna i kritiska faser undrar jag generellt om kvaliteten på rapporteringen och vilken säkerhetshöjande effekt den har.
Generellt är det ett problem att det saknas systematik i det nationella säkerhetsarbetet.
I myndigheter, kommuner, regioner och företag försöker vi få till en PDCA-snurra med ett tydligt C men i de nationella satsningarna för att stödja säkerhetsarbetet tycks inte utvärdering ses som ett nödvändigt steg.
För att ta ett par exempel så har jag frågat MSB om vilken utvärdering som skett av det s.k.
Metodstödet som ligger ute Informationssäkerhet.se och vilken säkerhetshöjande effekt det haft samt ställt samma typ av fråga till SKR angående KLASSA.
I båda fallen var svaret att man inte genomfört någon utvärdering och några planer i den riktningen nämndes inte heller.
Det finns en risk att mycket blir vad jag brukar kalla ”religiös säkerhet”, d.v.s.
åtgärder som vidtas i god tro men där det krävs just tro istället för evidens för att se resultaten.
Ofta handlar det om det som jag redan skrivit om som Graeberskt: när arbetet stannar vid dokument som skrivs, mallar som fylls i, enkäter som besvaras och engångsutbildningar som inte leder till någon djupare kunskap.
När en kommun glatt skriver om att deras styrande dokument blivit ”godkända” av tillsynsmyndigheten men att man inte tittat på hur det faktiskt ser ut i verkligheten tycker jag mig leva i Graebers värld av BS jobs.
Det finns en risk att nationell incidentrapportering blivit så populär just för att den kan röra sig i denna värld.
Vad kommer man då fram till i rapporterna?
För att få litet grepp om frågan har jag gjort en sammanställning av 2020 års inrapporterade incidenter: Efter långt om länge släppte nu äntligen Datainspektionen (snart Integritetsskyddsmyndigheten) sina av åtta vårdgivare.
Även om jag var väl förberedd på innehållet så är det en chockerande dyster läsning när den fulla konsekvensen av vad jag redan visste blev förtydligad på detta sätt.
Låt mig först understryka att det Datainspektionen ställer krav på inte är några nya krav för vården utan de har funnits sedan länge bland annat i Socialstyrelsens och i PuL.
De brister som framkommer i granskningar har inte heller de nyhetens behag utan är de samma som i de granskningar av vården som Socialstyrelsen respektive Datainspektionen gjorde typ 2012.
Det är alltså inte så att vårdgivarna är tagna på sängen med helt ny rafflande krav utan det är väl kända försummelser som regioner och vårdgivare medvetet underlåtit att rätta till.
Egentligen räcker det att läsa följande stycke i granskningen gällande Capio S:t Görans Sjukhus AB för att se vidden av hur undermålig säkerheten och skyddet för integriteten är: Ytterligare försvårande omständigheter är att behandlingen av uppgifter om patienter i huvudjournalsystemet hör till kärnan i en vårdgivares verksamhet, att behandlingen omfattar många patienter och möjligheten till åtkomst avser en stor andel av de anställda.
Inom ramen för den inre sekretessen har mer än 2700 medarbetare åtkomst till uppgifter som rör närmare 490 000 patienter.
Utöver det har mer än 600 medarbetare, inom ramen för den sammanhållna journalföringen, åtkomstmöjligheten till uppgifter rörande cirka 3 patienter i TakeCare.
För att strö ytterligare salt i såret kan man läsa om Aleris sjukvård AB: Aleris har ett dokument som benämns ”Behovs-och riskanalys-TakeCare”.
Dokumentet har sett ut som det gör idag sedan den 28 maj 2012 då Take Care infördes och gäller både för den inre sekretessen och inom ramen för den sammanhållna journalföringen.
Av dokumentet framgår de olika profilerna, så kallade behörighetsgrupper.
Dokumentet visar bland annat läsrättigheterna samt skrivrättigheterna för respektive behörighetsgrupp.
Alla profiler förutom tekniker har tilldelats läsbehörighet till uppgifterna i TakeCare.
Då ska noteras att man hade 796 350 unika patienter i maj 2019 och 1058 aktiva användarkonton av vilket det absoluta flertalet alltså har läsrättigheter till samtliga patienter oavsett om de har en vårdrelation eller inte.
Att Aleris slänger fram en oförändrad riskanalys från 2012 säger nog det mesta om nivån på säkerhetsarbetet liksom när Capio hävdar att de visst har en behov- och riskanalys men att den av okänd anledning är borttappad.
Capio St Göran fick 30 miljoner i sanktionsavgift och Aleris Sjukvårds AB 15 miljoner (plus ytterligare 12 miljoner från sitt andra bolag Aleris Närsjukvård AB) men de är långt ifrån unika.
Bristerna hos övriga granskade vårdgivare (granskningen av Kry ännu ej beslutad) bekräftar det vi redan vet bland annat från tidigare granskningar.
Säkerheten i den svenska sjukvården är helt undermålig och det gäller inte bara vad gäller integritetsrelaterade frågor som de Datainspektionen granskat utan generellt.
Jag har begärt en större del av underlagen från Datainspektionens granskningar och ska fördjupa mig ytterligare i dem.
I detta blogginlägg ska jag ta upp några fenomen som aktualiseras i de granskningsfynd som presenteras i de offentliggjorda rapporterna.
Utgångspunkten är att den usla säkerhet som indikeras genom granskningarna är en följdriktig konsekvens av ett konsekvent förhållningssätt till integritet och säkerhet i vården från olika aktörer.
För att förstå hur samtliga granskade vårdgivare (Kry inte inräknade än så länge) så flagrant bryter mot lagstiftningen måsta man känna till att lagtrots när det gäller integritet och säkerhet i digitala lösningar är normen i den svenska vården – inte undantaget.
Att endast medarbetare med vårdrelation eller något annat mycket tydligt definierat skäl ska ha åtkomst till patientuppgifter är ett krav som har kommit med dataskyddsförordningen utan har funnits i princip sedan journalerna övergick från att vara räkenskapsmaterial till att vara vårddokumentation.
Vi rör oss alltså någonstans i början av förra seklet (hur gärna skulle jag inte vilja gå in på detaljerna i denna historia men inser att alla kan inte vara totala journalnördar – skulle någon vilja veta mer så får ni skicka ett mail).
På den tiden pappersjournalerna gällde fanns de inlåsta i journalarkiv med strikta regler för vem som fick ta del av dem.
Det kan sägas att ha rått en minimalistisk åtkomstprincip innan begreppet var uppfunnet.
Återkommande klagomål fanns på att det var för många som ändå kunde slinka in och läsa det de inte fick men möjligheten får ändå säga vara mikroskopisk jämfört med det som skildras i de aktuella granskningsrapporterna.
När de tidiga journalsystemen introducerades på slutet av 1980-talet hade de inte funktionalitet för en effektiv behörighetsstyrning på individ- och rollnivå vilket var ett första steg på färden mot dagens situation.
Istället för att tvinga leverantörerna tillbaka till ritbordet för att konstruera system som följde lagstiftningen började man (med ”man” avses i det följande den grupp av leverantörer, it-chefer, byråkrater, politiker och andra makthavare inom vården som ansvarat för digitaliseringen) tänja på normerna och hävda att det gick lika bra att styra med logguppföljning som med behörigheter.
Istället för att organisatoriskt och tekniskt begränsa åtkomsten hävdade man att logguppföljning var en jämförbar säkerhetsåtgärd (!).
Denna för svensk sjukvård unika bedömning var ett fatalt vägval ligger bakom en stor del av de säkerhetsproblem som finns i vården idag.
De negativa konsekvenserna begränsas inte enbart till att det på dryga tjugo år utvecklats de organisatoriska och tekniska lösningar som är nödvändiga för följa lagen och ha ens ett basalt skydd för patientuppgifterna.
Det har även lett till att man för att motivera det stora felsteget gjort dygd av nödvändigheten genom att hävda att ALLA inom sjukvården behöver tillgång till ALLA patientuppgifter hela tiden – allt annat vore en risk för patientsäkerheten.
I målande ordalag beskrevs hur nödvändig patientinformation inte skulle finnas tillgänglig för vårdpersonalen vid behandlingar olika slag vilket skrämde upp en hel del läkare och sköterskor som därmed köpte den konstruerade motsättningen mellan patientsäkerhet och integritet.
Det ledde till en ond spiral där krav på korrekt behörighetshanteringen inte ens ställts vid upphandlingar och stora utvecklingsprojekt trots att lagstiftningen är tydlig på denna punkt vilket i sin tur knappast motiverat leverantörer av vårdinformationssystem att utveckla sådan funktionalitet.
Det är därför en särskild glädje att Datainspektionen i granskningen av Capio S:t Göran slår fast att loggning kan ersätta att begränsa åtkomst via behörighetshantering: Capio S:t Görans anger att de använder systematisk logguppföljning för att reducera risken för att medarbetare otillbörligen tar del av patientuppgifter.
Datainspektionen konstaterar att patientdatalagen inte lämnar något utrymme förvårdgivare att kompensera frånvaron av behovs-och riskanalys, eller en allt för bred tilldelning av behörighet tillåtkomst, med en omfattande logguppföljning.
Inte heller fiktiva åtkomsthinder som ”journalfilter” eller ”aktiva val” godkänns av Datainspektionen som tillräckligt för att begränsa åtkomsten vilket kan vara en bra tumregel att ha med sig in framtida projekt.
Det känns också bra att Datainspektionen drar undan mattan för det i digitala sammanhanget urgamla svepskälet för att ha lagstridig hantering av personuppgifter, nämligen att hävda att man har en akutverksamhet.
Ytterligare en konsekvens är att den lättsinniga hållningen till lagstiftning sedan dess blivit en tradition inom vård-it.
Ett aktuellt exempel är när Region Skåne först beslutat att medvetet gå emot bättre vetande och upphandla en som går emot dataskyddslagstiftningen och sedan i sista minuten sig.
Hur mycket denna utsvävning kostat i pengar och förlorad tid är oklart.
Argumentationsfelen för att använda exempelvis molntjänster är desamma som medvetet praktiserats under par decennier i vården: ”ja men det blir ju bättre än det vi har” och så bygger man fast sig i bristfällig lösning som det tar åratal att ta sig ur istället för att ställa rätt säkerhetskrav från början och se till att de levereras.
Själv kan jag inte räkna alla gånger som jag, när jag påpekat brister i tänkta lösningar, fått kommentarer som ”ja men det är ju bättre än det som finns idag”, d.v.s.
att legitimera kända risker i nya lösningar med den falska jämförelsen med dagsläget.
Detta är ytterligare en väsentlig bakgrund till dagens situation och som bygger på samma knäppa riskhantering som är den andra återkommande bristen i Datainspektionens aktuella granskningar, nämligen risk- och sårbarhetsanalyser där vårdgivarna återkommande endast analyserar och inte risker.
För en sansad människa framstår det kanske som obegripligt varför man över huvud taget bryr sig om att göra riskanalyser om man inte är intresserad av att identifiera och reducera risker.
Jag ser det mer som en del i den svenska digitaliseringskulturen där det inte får finnas problem utan vi ständigt är glittrande glada.
Och har vi inte identifierat några risker så behöver vi ju inte några säkerhetsåtgärder och då är ”utmaningen” (inte problemet) obefintlig.
Tydliga ansvarsförhållanden är grunden för all fungerande säkerhet.
Saknas denna förutsättningen kommer säkerheten oundvikligen att bli lidande och det går inte heller att genomföra ett ansvarsutkrävande.
I den trassliga spaghettistruktur som är svensk vård-it blir detta synligt även i Datainspektionens granskningar.
En konstruktion som skulle behöva synas beskrivs i rapporten om Aleris Sjukvård AB: Federation Samverkan TakeCare (FSTC) är beställare av journalsystemet Take Care och Compu Group Medical (CGM) är leverantör av journalsystemet och ansvarar för de funktioner som systemet har för att styra behörigheter.
Alla funktioner i journalsystemet är skapade av CGM, men det är Aleris som väljer vilka funktioner som en viss personalkategori ska ha tillgång till bland de funktioner som finns inlagda.
Aleris har inga tekniska möjligheter att göra ändringar i Take Care eftersom Aleris inte har någon rådighet över journalsystemet.
Aleris är endast användare av systemet.
Aleris har inte kunnat ställa några krav på CGM vid upphandlingen av journalsystemet.
Bolaget har till exempel påpekat att det funnits problem med journalsystemet bestående i, så vitt avser behörighetstilldelningen, att systemet inte kan separera läs-och utskriftbehörigheter för en läsfunktion.
CGM har inte varit intresserade av att ändra detta trots synpunkter från Aleris.
Det är FSTC som kan beställa ändringar av funktionerna och det är sedan upp till CGM om de vill utföra ändringarna eller inte.
Aleris har en representant i FSTC som kan framföra Aleris önskemål.
Aleris har dock inte fått något gehör för bolagets synpunkter.
Här förefaller det alltså omöjligt för vårdgivaren som även är personuppgiftsansvarig att genomdriva sina säkerhetskrav eftersom en organisation utan formellt ansvar förhindrar det.
Om vi nu hypotetiskt litar blint på att Aleris verkligen ställt rätt säkerhetskrav är det alltså FSTC som drivs av Region Stockholm som inte bara förorsakat kränkningar av ett mycket stort antal patienters integritet utan också ”användarna” Aleris sanktionsavgifter.
Det borde finnas ett intresse åtminstone från ”användarna” att reda ut ansvarsförhållandena och skapa garantier för att man kan få påverkansmöjlighet på de gemensamma it-systemen så at de följer lagstiftningen även om regionen inte prioriterar den frågan.
Trots att det i övrigt finns en mycket god säkerhetskultur i vården har man alltså inte lyckats inympa informationssäkerhet i den.
Det huvudsakliga ansvaret för detta ligger naturligtvis hos regionerna som sjukvårdshuvudmän tillsammans med SKR som sedan mitten av 90-talet utlovat gemensamma regler för informationssäkerhet men hittills inte lyckats uppvisa något som ens liknar det.
Är det någonstans där Datainspektionen bör göra nästa granskning så är det hos SKR:s it-bolag Inera.
Detta är särskilt angeläget eftersom lösningar som NPÖ som tillhandahålls av Inera saknar adekvat behörighetshantering (se ovan) som inte bara drabbar den enskilde vårdgivare utan samtliga vårdgivare som använder.
En annan aktör som väcker viss tveksamhet är IVO vars granskningar hittills inte alls verkar ha genomförts på samma grundliga nivå som Datainspektionen.
Några granskade verksamheter hänvisar till granskningar som IVO gjort och som på något sätt skulle gett klartecken för den säkerhetsnivå som de nu ligger på.
Förhoppningsvis kan tillsynsansvaret i och med NIS-direktivet leda till att IVO utvecklar sina granskningsmetoder.
Jag tror att det är centralt att myndigheterna samverkar här och ser informationssäkerheten i ett helhetsperspektiv och förstår att det är en sammanhängande säkerhetsarkitektur där brister i ett hänseende skapar risker på flera olika sätt.
Det skulle även vara en fördel att ha gemensamma granskningsmetoder och kanske t.o.m.
genomföra granskningar tillsammans.
Många tillsynsmyndigheter kan lära sig mycket genom att studera med vilken noggrannhet och stringens Datainspektionens granskningar genomförts.
I rättvisans namn ska sägas att vården inte fått särskilt mycket hjälp från myndighetshåll att utveckla sin säkerhet.
Jag har tidigare om att MSB:s knytning till ISO 27000 och det metodstöd som utvecklats i denna anda knappast är till hjälp för vårdens infrastruktur och jag kan inte heller se andra satsningar som tagits fram för att stödja denna i sanning samhällsviktiga verksamhet.
Datainspektionens granskningar som endast rör ett par aspekter av säkerheten borde ge upphov till ett större samordnande projekt lett av myndigheter för att långsiktigt höja vården säkerhet eftersom detta är en fråga som regionerna med all önskvärd tydlighet visat att de inte klarar av.
En helt nödvändig insats är att tvinga regioners och SKR:s makthavare att erkänna att det finns ett mycket stort säkerhetsunderskott i vården och istället för att stoppa huvudet i ta sitt ansvar och börja bygga för framtiden.
Under de (alltför) många år jag arbetat med informationssäkerhet har ingen företeelse varit mer omhuldad än de standarder som använts som stöd i arbetet.
När jag började var det BS 77 99 och nu har vi en hel 27000-familj.
Även om jag under alla år har haft en god hjälp av standarderna har jag aldrig riktigt kunna gripas av samma entusiasm som de många, inklusive utgivare av myndigheters föreskrifter, som sett standarderna som ett magiskt spö som det i princip räcker att hänvisa till så försvinner säkerhetsproblemen.
Jag har redan skrivit ett antal inlägg, bl a och berör den ganska problematiska övertro som finns i Sverige till standardens kraft att skapa bättre informationssäkerhet.
Med tiden har jag kommit att fråga mig om sättet att se på framför allt ISO 27000 kanske snarare stjälpt än hjälptt.
En rejäl tankeställare fick jag när jag hade uppdraget att försöka få in säkerhetsperspektivet i en utredning om e-hälsa.
Få saker har jag misslyckats så kapitalt med och en av orsakerna, förutom mina egna brister, var att både utredaren och utredningens sekretariat så fort frågan kom upp smashade bort den som en irriterande fluga med: vi gör en hänvisning till att standarder ska användas.
Eftersom jag inte förstår en vink när jag får den eller snarare bryr mig om den så fortsatte jag och försökte även få ett förtydligande vilka standarder som skulle användas och hur.
Som ni säkert förstår fick jag aldrig några svar på mina frågor utan det ansågs helt tillfyllest att säkerhetsproblem skulle hanteras via ”standarder”.
Självklart förstår jag lockelsen i att det skulle kunna fungera så.
Problemet är att det inte gör det.
Om man tittar bakåt så var standarder i industrisamhällets begynnelse en typ av nationella och internationella överenskommelser om framför allt utformningen av tekniska produkter och mått.
En av mina favoriter är standarden för avstånd mellan hålen för .
Det är ju ett sant kaos som väntar om hålslagen utformas hur som helst och ingen vet vilka pärmar som kan användas för vilka papper.
Men vad händer egentligen när man flyttar över standardiseringsidéen från vidden för järnvägsspår till hur organisationer ska styra olika verksamhetsområden?
När standarder som framtagits utan kontroll från lagstiftare och den egna förvaltningen ska leva sida vid sida med den ordinarie styrningen?
I en mycket intressant från Örebros universitet har författarna (Andersson, Karlsson och Hedström) genom diskursanalys försökt förstå hur framtagandet av standarder i 27000-serien egentligen går till.
Som en bakgrund gör de en åtskillnad mellan s.k.
de facto-standarder som ta fram av ett företag eller flera företag tillsammans som har ett konkret behov av standardisering.
Den andra typen av standarder benämns de jure-standarder som kan utvecklas av olika lagstiftande organ alternativt myndigheter eller av oberoende standardorganisationer som ISO.
27000-serien är alltså en de jure-standard men ligger utanför det lagstiftande området.
Artikeln lyfter också fram att denna typ av standarder strävar efter att skapa en konsensus av vad som bland experter inom området anses vara ”best practice” vilket även framgår tydligt i arbetet med informationssäkerhetsstandarden: De jure standards play a central role in information security, and organizations are increasingly required to demonstrate compliance with them ( ; ).
Det kan alltså ifrågasättas vad standardens ställningstagande egentligen bygger, om dess anspråk på att vila på ”best practice” uppfylls.
Eftersom den inte bygger på evidens skulle dess USP bestå just i en erfarenhetsbaserad kunskap.
Om inte denna grund finns påverkas naturligtvis standardens legitimitet.
Senare i artikeln framgår på ett litet roande och samtidigt avslöjande sätt hur ytterst få som deltar i standardarbetet även om man tågat omkring på standardiseringsmötena som en fåmansprocession under beteckningen ”Sweden”.
Artikelförfattarna gör en maktanalys av själva arbetet med framtagandet av standarder men jag tycker att en vidare maktanalys av hur en mycket liten krets knutna till standardarbetet har haft ett helt dominerande inflytande över svensk förvaltnings arbete med informationssäkerhet.
Resultatet har blivit en hegemonisk doktrin om att ISO 27000 är den enda framkomliga vägen att arbeta med informationssäkerhet i svensk förvaltning trots att denna doktrin vare sig bygger på evidens eller ”best practice”.
Så här 11 år efter att ISO 27000 pekades ut som vägledande för svenska myndigheters arbete med informationssäkerhet i MSB:s föreskrift MSBFS 2009:10 (ytterligare markerat i de följande föreskrifterna fram till den nu gällande MSBFS 2020:6) så tycker jag inte det är uppenbart att det var ett helt lyckat vägval.
Detta bygger jag på attt knappast kan ses som särdeles framgångsrikt mätt med tillgängliga måttstockar, d.v.s.
de granskningar som gjorts både generellt och de som gjorts med inriktning på samhällsviktiga sektorer som exempelvis sjukvård.
Låt oss komma ihåg att detta inte är den enda möjliga vägen att välja.
I Finland antogs i år en av informationshanteringsnämnden under finansministeriet som explicit undviker att hänvisa till någon standard: referensramar och ger inga anvisningar om tekniska lösningar, som kan förändras till och med snabbt.
Utifrån en riskbedömning som görs från fall till fall ska varje myndighet välja tillräckligt säkra tekniska lösningar som är lämpliga i den aktuella situationen.
Jag kommer ihåg att ansvariga för Normen i Norge förde samma resonemang i sina reglervården, man ville inte referera till någon särskild standard.
Uppfattningen var att det var möjligt att plocka ut det man ville ha ur standarder utan att behöva ansluta sig till en helhet som inte kunde kontrolleras av norsk sjukvård.
När standarder lämnar tekniska specifikationer och övergår till organisatorisk styrning uppstår paradoxala effekter.
Jag tänker nu på att ISO 27000 innehåller mycket allmänna krav, att det ska finnas informationsklassning men inte hur den ska utföras eller vilken normskala som ska tillämpas.
Varje organisation ska själv ta fram sitt eget komplexa ledningssystem med de komponenter som anvisas i standarden men utformningen och tillämpningen kommer att se väldigt olika ut, det tror jag varje erfaren konsult kan intyga.
Istället för centrala regler som specificerar olika lösningar får vi alltså en mängd olika regelverk som ska användas i samma infrastruktur.
Standarden leder alltså sannolikt till mindre standardisering på grund av sin inriktning på enskilda organisationer istället för på helhet.
Bräckligheten i kunskapsunderlaget och det fragmentiserade resultatet är två orsaker att ompröva ISO 27000 ställning i den offentliga verksamhetensi Sverige.
Vi behöver inte kasta ut barnet med badvattnet men vi måste våga ifrågasätta doktrinen även om de som har byggt upp en stark ställning med hjälp av standarden riskerar att ta illa upp.
Informationssäkerhet är en för viktig fråga för att vi ska ha råd med heliga principer som inte tål att diskuteras.
I mitt förra inlägg hävdade jag att arbetet med informationssäkerhet alltför ofta kännetecknas av byråkratiska aktiviteter utan reell säkerhetshöjande effekt men däremot med ett anspråkstagande av verksamheters resurser på ett orimligt sätt.
Det är ju inte heller enbart kärnverksamhetens resurser som används på ett sätt som kan etiskt ifrågasättas.
Att säkerhetsarbetet bedrivs utan hänsyn till hur effektiv användningen av resurser är samtidigt som den oavlåtliga klagovisan ljuder att säkerhetsarbetet får för litet resurser, ständigt för litet resurser, är paradoxalt.
För den som arbetar med säkerhet borde det ha högsta prioritet att få fram arbetssätt som ger största möjliga utdelning av säkerhetshöjande effekter i förhållanden till insatta resurser.
Tyvärr har jag sett mycket litet av den typen av analyser och jag kan t.o.m.
tycka att säkerhetsområdet får rejält med pengar sammantaget utan det riktigt framgår vad som kommit ut av det.
Rubriken på blogginlägget är aningen ironisk eftersom det väl nu är allmänt känt att effektiviseringar sällan leder till bättre verksamhet.
Jag tycker ändå att det är klädsamt om vi som jobbar informationssäkerhet, som är en stödfunktion, håller upp spegeln och ser vad vi kan göra när kärnverksamheten i många organisationer är hårt pressad av krav på besparingar.
Att försöka göra saker bättre och mer kostnadseffektiva behöver inte heller vara till nackdel för metodutveckling, jag dristar mig att anse att det skulle vara en fördel om det fanns ROI-perspektiv på både planerade och genomförda säkerhetsåtgärder.
Jag tror det skulle vara ett stort stöd för många informationssäkerhetsansvariga som nu ibland verkar beta av ett antal aktiviteter utan att kunna bedöma vad det egentligen leder till.
Vissa aktiviteter kan vara stora och dyrbara men det handlar också om annat där kostnaden kanske inte är så stor men effekten ännu mindre.
Att genomföra generiska e-utbildningar är enligt min erfarenhet tämligen bortkastat mensom initierat dem kan bocka av en ruta.
För mig betyder detta mekaniska tillvägagångssätt, förutom pengar och medarbetares tid i sjön, att organisationen invaggas i en vilseledande och farlig falsk trygghet.
Det tämligen obefintliga effektivitetspressen inom säkerhetsområdet, som är så kännbar i andra sektorer, tycker jag mig se leda till en lättja i tanke och i handling.
Det är lätt att glömma bort men informationssäkerhet handlar i grunden om att .
Har man inte det så har man inte en fungerande informationssäkerhet.
Med detta i bakhuvudet så kan den seriösa informationssäkerhetsarbetaren inte leva efter bekvämlighetsprincipen och hela tiden göra det som känns enklast.
Att enbart identifiera information som råkar finnas i system som man redan känner till är som, för att använda en mycket uttjatad bild, att leta efter den borttappade nyckeln under gatlyktan eftersom det är enklast.
Tyvärr är det så jag uppfattar rätt mycket av de insatser som går under beteckningen ”informationsklassning” som inte leder till kontroll över den information som är viktig för verksamheten utan den som redan finns bekvämt paketerad i en behållare a.k.a ett ”system”.
Ibland när jag får ”verktyg” för informationsklassning som är obegripligt efterfrågade presenterade för mig kan jag inte låta bli att fnissa till och tänka på min bekant som var kommunal it-chef på 1990-talet.
Hen hävdade att det var en underbar tillvaro där hen sågs som en wizzard som på vilken fråga som helst (i princip) från verksamheten kunde hacka ihop ett it-verktyg för att lösa en uppgift.
”Stöd” sågs helt enkelt som synonymt med någon slags programvara.
Tyvärr tycks denna uppfattning leva kvar bland många i informationssäkerhetsbranschen trots att det ofta är de icke-digitala delarna i en aktivitet som är svåra.
I informationsklassning (se nedan) är den stora frågan exempelvis att göra rätt analyser, inte att hålla reda på genomförda klassningar.
Innehåller verktygen dessutom generiska skyddsåtgärder uppstår en annan problematik: vem tar då egentligen ansvar för att det är korrekta skyddsåtgärder i förhållande till risken?
Efter denna salva känner jag mig förpliktigad att ge exempel på alternativ.
Här kommer därför ett förslag på arbetssätt motsvarande informationssäkerhetens kinderägg.
De tre fördelarna med mitt förslag är att man faktiskt arbetar med information – inte system, att man kan bygga upp en likvärdig säkerhet i likartade verksamheter och att kostnader i form av pengar och tid radikalt skulle kunna minskas samtidigt som får ökad kvalitet/säkerhet.
Med avsikt har jag valt en mycket säkerhetskänslig funktion som även är mycket vanligt förekommande: processen för läkemedelshantering i äldreomsorgen.
För att ge en kort bakgrund så ombesörjs äldreomsorgen med de 290 kommunerna som huvudman.
Kommunerna kan bedriva omsorgen själva eller anlita underleverantörer som privata vårdföretag.
Oavsett vilket så är det kommunen som har ansvar som sjukvårdshuvudman och ska därmed säkerställa att omsorgen bedrivs på ett säkert och likvärdigt sätt oavsett utförare.
En central del i omsorgen av äldre är läkemedelshanteringen.
Äldre som inte får rätt läkemedel i rätt dos vid rätt tidpunkt löper en avsevärd hälsorisk, i värsta fall med döden som utgång.
Omsorgen sker dygnet runt av ett antal medarbetare som vid varje givet tillfälle måste ha korrekt och spårbar information tillgänglig.
Samtidigt berör uppgifterna om läkemedel omsorgstagarens hälsotillstånd vilket gör dem till känsliga personuppgifter som måste omges med ett mycket starkt skydd mot obehörig åtkomst.
Utöver detta finns en särskild risk i läkemedelshanteringen, narkotiska preparat och även andra är mycket stöldbegärliga.
Även detta stärker det utpräglade behovet av spårbarhet där varje händelse kan följas och och kopplas till person som i en lång verifikationskedja.
En generisk processbeskrivning på övergripande nivå skulle kunna se ut så här.
Inga konstigheter i det men man kan gå ett fördjupande steg till utan att beskrivningen skulle tappa särskilt mycket i allmängiltighet med däremot fånga upp vilken information som hanteras, se detta utsnitt ur processen: Processen startar med att en av regionens läkare gör en läkemedelsordination vilket dokumenteras i regionens vårdsystem samt i den nationella läkemedelslistan.
Dessa moment ligger utanför processbeskrivningen ovan som startar med att information om ordination överförs till kommunen som en pappersutskrift vilket startar processen.
Den intresserade kan notera följande: Detta är inte på något sätt unikt för den här processen utan gäller för många andra.
Slutsatsen man kan dra är att om man seriöst så räcker det sannerligen inte med att ”klassa” ett enskilt system utan måste få kontroll över hela informationshanteringen.
Inte heller att enbart titta på digital information utan det är just helheten som måste fångas för att rätt åtgärder ska kunna vidtas.
Även för dataskyddet är detta en självklarhet – man kan liksom inte bara skydda personuppgifter i digital form.
I den ovan beskrivna processen finns t.o.m.
bärare som apodos-påsar som måste omhändertas på ett korrekt sätt.
Det kan tyckas ansträngande att inte bara få ägna sig åt färdigpaketerad information prydligt avgränsad i system men här finns istället stora effektivitetsvinster att göra.
Det går att klassa informationsmängden ”ordination” och så vidare så att det går att använda som en i samtliga kommuner oavsett vilka bärare man för tillfället råkar använda.
Dagens rekommendation från myndigheter och SKR är att 290 kommuner med vissa fall flera förvaltningar som bedriver äldreomsorg ska klassa system i varje förvaltning.
Dessutom måste samma manöver upprepas av de privata vårdgivare som anlitas av kommunerna.
Enligt beräkningar fanns 2019 14900 företag som ägnade sig åt vård och omsorg.
Jag har inte riktigt tid att fördjupa mig i exakt hur många av dessa som bedriver äldreomsorg men för saken skull så utgår jag från att det åtminstone finns 500 privata äldreboenden.
Sammantaget kanske det då behöver göras 850 klassningar av olika vårdgivare.
Låt oss höfta och säga att resursåtgången per klassning är minst 100 timmar inklusive förberedelser och dokumentation (detta är extremt lågt räknat med tanke på att det ofta är ett flertal deltagare på klassningarna) för att klassa ett system som stödjer en liten del av ordinationsprocessen.
Lustigt nog kommer det också att bli samma system som klassas gång på gång med varierande resultat.
Kontentan blir alltså bristande kontroll över informationen och bristande likvärdighet mellan olika äldreomsorgsverksamheter till en sammantagen resursåtgång av 85 000 timmar.
Betänk också att detta bara är en av flera processer bara i äldreomsorgen.
Mitt förslag är att man istället slår ihop sina påsar, tar fram gemensamma normerande klassningar skyddsnivåer.
Skyddsnivåerna måste då tas fram i stor öppenhet där det redovisas hur man ser på olika risker och hur de föreslagna skyddsåtgärderna avses reducera dessa.
Koppling till krav i föreskrifter med mera bör även finnas.
Skyddsnivåerna måste även innefatta skydd av andra bärare än system och molntjänster, t.ex.
fysiskt skydd av papper.
En jätteuppgift är att hålla skyddsnivåerna uppdaterade så att de inte ger förlegade rekommendationer.
Då ska vi komma ihåg att detta ändå skulle kräva en bråkdel av de resurser som skulle gå åt om varje vårdgivare skulle genomföra alla moment själv.
Jag kan mycket väl tänka mig att man i många fall även kan ge förslag på arbetsrutiner.
Vad skull då detta kunna innebära i praktiken?
Naturligtvis skulle ansvaret för säkerheten aldrig kunna delegeras men exempelvis en vårdgivare skulle kunna gå i ett bibliotek av olika verksamhetsprocesser, välja ut den aktuella och få fram en bild av generisk process samt en normerande klassning av typen nedan (fast ifylld): Därefter jämför vårdgivaren med sin egen verksamhet hur väl det presenterade materialet stämmer överens.
Gör det det i stora drag, kanske med litet annorlunda benämningar, så skulle vårdgivaren med detta stöd kunna ta sig ner till nivå att kunna köpa rätt skåp att förvara den enskilde vårdtagarens medicin i. Att krav på digitala lösningar ingår är naturligtvis självklart.
Som en bonus kan även krav på bevarande och gallring läggas in.
Det kan kännas som en överväldigande uppgift att ta itu med men minns då att den redan är överväldigande och idag tynger kärnverksamheten på ett orimligt sätt.
Kan vi åtminstone ta fram normerande klassningar för generiska processer i samhällsviktig verksamhet skulle vi ge möjlighet att höja samhällssäkerheten högst väsentligt och dessutom kunna reducera resursåtgången.
Eftersom myndigheterna med särskilt ansvar för informationssäkerhet förefaller skeptiska till den här typen av stöd finns det utrymme för andra aktörer att träda fram.
Statskontorets publikationer är en underskattad men ständig källa om inte till glädje så till mycket nyttig kunskap.
Under sommaren har jag en forskningsantologi kallad .
Min bedömning är att denna antologi är ett måste för den som arbetar med informationshantering eller informationssäkerhet i offentlig sektor.
Här får man så mycket sammanhang och tankar att man går ur boken som en tjänsteperson eller konsult stärkt och betydligt bättre rustad att hantera sitt uppdrag.
Ur en informationssäkerhetskonsults vinkel är det framför allt avsnitten om hur förpappring, managementbyråkrati, användning av standarder och konsulter riskerar leda inte bara till onödig administration utan också till bristande styrförmåga.
Tyvärr är det mycket som känns obehagligt välbekant.
Det är dystert att blir varse om hur det område man själv jobbar inom liksom man själv kanske är en förgiftad gåva till uppdragsgivaren, att det kostar mer än det smakar.
Vi kanske ödmjukt borde inseltför ofta ger upphov till mer byråkrati än nytta, till mer krångel än säkerhet.
En ständigt närvarande fråga borde vara hur kan vi skapa bättre säkerhet utan att tynga våra uppdragsgivare och utan att ta kraft från organisationernas verkliga uppgifter.
Hur mycket har alla de icke-fungerande ledningssystem inte kostat i pengar, incidenter och en falsk trygghet som hindrat att man vidtagit reella säkerhetsåtgärder.
Slutligen är det för mig oetiskt att ta mer resurser från kärnverksamheten till säkerhet om det inte går att påvisa att det är nödvändigt.
Givna frågor borde vara: Varför fungerar då så mycket avt så dåligt trots de avsevärda resurser som läggs på det från olika håll?
Efter att ha begrundat Statskontorets antologi vill jag på prov lansera hypotesen att många av informationssäkerhetens tillkortakommande beror på att arbetet bedrivits som en del i den new public management-trend som varit rådande i svensk förvaltning de senaste decennierna.
NPM diskuteras frekvent i antologin och många av dessa resonemang kan med lätthet översättas till informationssäkerhetsområdet.
Kännetecknande för NPM är bland annat en strävan att styrformerna i offentlig förvaltning ska likna de i privata företag.
Konsekvenserna blir i korthet decentralisering, ram/mål-styrning, standarder och en massa mätande.
Det som regleras är som ska göras men inte Ansvaret för hur åtgärder ska genomföras trycks ner i den decentraliserade strukturen.
Någon som kommer att tänka på den så omtalade ansvarsprincipen kanske?
NPM kan låta lockande men jag skulle säga att informationssäkerheten nationellt och i de enskilda organisationerna lidit stor skada av att det inte funnits en inriktning att ge tydliga direktiv om olika säkerhetsåtgärder ska utföras.
Det är en närmast kuslig suboptimering att varje organisation ska räkna ut allt själva.
Kravet på kortsiktig leverans och mätbarhet gör att det strategiska arbetet försummas.
Dessutom leder till en bristande samordning i en alltmer integrerad informationsinfrastruktur där en parts investering i säkerhet görs helt urarva genom att andra aktörer har gjort andra bedömningar och därmed inte infört samma skydd.
Fokus ligger också på dokument, standarder och rapportering, allt i enlighet med NPM:s styrfilosofi.
Jag tror inte att motståndet mot att få en konkretare styrning i säkerhetsfrågor ligger hos enskilda myndigheter, kommuner eller regioner, tvärtom är en vanlig utgångspunkt i diskussioner att man vill ha tydlighet och stöd i att veta vilka säkerhetsåtgärder som är adekvata och uppdaterade.
Snarare uppfattar jag att myndigheterna med föreskriftsrätt duckar och inte vill ta det ansvar som det innebär att peka med hela handen.
Det är liksom lättare att klaga på den bristande säkerheten i förvaltningen än att ge ett ändamålsenligt stöd.
Jag vill lansera ett förslag som jag haft sedan jag jobbade på MSB som exempel på hur vi skulle kunna bryta med ovanstående ineffektiva styrning och få en bättre och billigare säkerhet.
Mitt förslag är och har varit att erbjuda stöd i form av standardiserade skyddsnivåer och det jag kallar normerande klassningar.
Skyddsnivåer har jag skrivit om tidigare så därför koncentrerar jag mig på de normerande klassningarna.
Det mest uppenbara exemplet på hur det skulle kunna fungera gäller kommunal verksamhet.
Tänk er att det finns 290 kommuner med samma tio obligatoriska uppgifter.
Det leder till att man har i grunden har mycket likartade processer även om man ofta har egna beteckningar på förvaltningar, processer och informationsmängder.
I större kommuner kan det vara så att flera organisatoriska enheter ägnar sig åt samma slags verksamhet, exempelvis förskola eller äldreomsorg.
Man kan också anlita utomstående leverantörer för att driva verksamhet som till exempel ett äldreboende.
En viktig grundprincip för kommunal verksamhet är likvärdighet, dvs.
att invånare har rätt att förvänta sig samma kommunala service oavsett var man bor eller vem som är utförare.
I det här sammanhanget bör det tolkas som att invånare har rätt till samma säkerhet och integritet.
Detta uppnås dock knappast om informationsklassningar genomförs på tusentals olika sätt med helt olika resultat (jag kommer inte att ta upp SKR:s KLASSA här eftersom jag gjort det på annat ställe och kommit fram till att det inte är ett verktyg för informationsklassning utan möjligen för att ställa baskrav på enskilda system och som dessutom ger precis samma risk för olikartade bedömningar som om man inte använde verktyget).
Vad som skulle leda till både ensartade bedömningar och dramatiskt minskad resursåtgång är att göra normerande klassningar på prioriterade processer i kommunal verksamhet.
Man skulle då gå igenom en generisk process, exempelvis utbetalning av försörjningsstöd, se vilka informationsmängder som stödjer och skapas i de olika aktiviteterna i processen.
Därefter kan informationsmängderna klassas och den normerande klassningen användas av samtliga som utbetalar försörjningsstöd.
I och med att aktiviteter och informationsmängder är förvånansvärt konstanta över tid i många processer (tro mig, jag har gått igenom ett stort antal processer även i ett ”historiskt” perspektiv) så skulle denna grund kunna användas under lång tid.
Uppdateringar måste göras då exempelvis lagstiftning eller andra nya förutsättningar leder till att en förändrad bedömning blir nödvändig.
Även denna förvaltningsinsats har allt att vinna på att genomföras kollektivt och inte av varje informationsägare.
Och, observera, den normerande klassningen är bara ett stöd.
Det står varje informationsägare fritt att välja en annan nivå eftersom ansvaret för säkerheten kvarstår hos hen.
Ytterligare en poäng är att det här finns mycket stora samordningsvinster att göra även med dataskydd och arkiv.
Jamen systemen och it-tjänsterna säger ni uppbragt – varför finns inte de med i konceptet???
Det gör de faktiskt eftersom it-säkerheten hanteras i de standardiserade skyddsnivåerna och gör man sin processorienterade informationskartläggning rätt så identifierar man inte bara de digitala lösningar som används som bärare utan även de andra medier som faktiskt används.
Dessutom förekommer idag information i många fall i flera versioner på olika bärare så därför kan man inte gå nerifrån och upp.
Slutligen är bärarna inte alls lika konstanta som aktiviteter och informationsmängder så att ha dem som utgångspunkt för strategiskt styrning skulle vara göra sig själv en stor otjänst.
En passant kan sägas att samma synsätt sannolikt skulle kunna användas av SÄPO till allas nytta.
Att göra generiska säkerhetsskyddsanalyser för exempelvis kommuner och regioner skulle avlasta dessa aktörer och ge ett mer likvärdigt skydd.
(Jag flyr nu eftersom jag vet att detta är en helig ko som absolut inte får besudlas….).
Min förutsägelse är att det inte finns något ljus som automatiskt kommer att slås på i denna mörka byråkratiska tunnel utan det är vi själva genom att tänka fritt och nytt som måste skapa det.
Det är inte i mängden dokument säkerheten sitter.
Antalet konsulter har tillväxt kanske inte explosionsartat men massivt under de senaste decennierna.
Det skulle föra för långt att ta upp alla bakomliggande orsaker till detta i ett kort blogginlägg.
Jag tänkte istället ägna mig åt litet självspäkning så här i slutet av sommaren och resonera litet om informationssäkerhetskonsulter och vilken eventuellt nytta eller skada vi kan bidra till.
För dessa resonemang har jag inte något specifikt stöd gällande konsulter inom informationssäkerhetsområdet men utgår från forskning angående managementkonsulteri generellt.
Tankarna som presenteras nedan bygger dock främst på mina egna erfarenheter från båda sidor upphandlingsbordet samt av de studier av de palimpsestlika konsultinsatser som man alltför ofta stöter på som konsult.
Det vill säga de ofta flerfaldiga lager av tidigare uppdrag som inte lett till något varaktigt säkerhetsarbete men som lever kvar som bortglömda power points, ibland regelverk som är copy paste ur standarden och som resignation i organisationen: ”vi har ju redan försökt och det gick inte”.
Marknaden för informationssäkerhetskonsulter har som sagt växt.
Många organisationer, både privata och offentliga, ser behov externa specialister för att förbättra sin säkerhet.
Men flera faktorer försvårar redan i upphandlingsskedet.
En sådan faktor är att det är marknad där ”varan” saknar en tydlig definition för vad ska egentligen en sådan konsult ha för bakgrund och kompetens?
När det inte ens finns en tydlig överenskommelse om vad informationssäkerhet ÄR och än mindre krav på enhetliga utbildningar med fastställt innehåll så är förvirring en självklar konsekvens.
Vanligaste förvirringen är sammanblandningen av informations- respektive it-säkerhet där både leverantör och kund ofta har inriktning på teknisk säkerhet snarare än den organisatoriska säkerhet som är grunden för informationssäkerheten.
Leverantör och kund kan med denna bakgrund ha helt olika uppfattningar om vad som ska levereras.
Genomgående har leverantörer ett kunskapsövertag – det är ju de som förväntas sitta på expertisen.
Om kunden inte har gjort ett ordentligt förarbete med analys av vilken typ specialiststöd man egentligen behöver kan leverantören på olika sätt styra vad som faktiskt kommer att levereras.
Detta moment 22, att man har alltid för litet intern kompetens för att kunna beskriva vad som behövs innan man har upphandlat kompetens, gäller inte bara för enskilda organisationer.
Under åren har jag sett ett rätt stort antal gemensamma ramavtal som haft samma brist.
Upphandlingen tycks formad av önskan att hitta en informationssäkerhetens Mary Poppins som bara glider in och fixar till saker utan att besvära organisationen.
Resultatet blir bland annat att rena teknikföretag kan kapa åt sig uppdrag där organisatorisk kompetens är helt nödvändig.
När ingen annan kan beskriva vad en ”informationssäkerhetsspecialist” är och vad som krävs för att arbeta som en sådan är det naturligtvis ett omöjligt krav att ställa att just den upphandlande organisationen ska göra det.
I ett antal upphandlingar och även anställningsförfarande har varit med om att några yrkesgrupper anser sig kompetenta även om de aldrig arbetat med informationssäkerhet, läs militärer och poliser.
Tidigare har jag skrivit om att informationssäkerhet fortfarande i hög grad är en erfarenhetsbaserad kunskap där juniora utövare lär sig av seniora dito.
Men hur ska krav på denna typ av erfarenhet ställas i en upphandling och hur mycket enklare vore det inte med någon typ av examen kompletterad med praktik under x antal år?
Under senare år har det dykt upp krav på att konsulter ska vara certifierade.
Detta menar jag är ett attraktivt villospår.
De certifieringar som ofta refereras till lider dels av att vara utformade främst för amerikanska förhållande, dels ha teknisk inriktning.
Det är inte till mycket hjälp när man ska få till en organisatorisk styrning i en svensk kommun eller myndighet.Själv skulle jag alltid ge företräde till en konsult med akademisk examen i samhällsvetenskapliga ämnen framför någon med aldrig så många certifieringar men utan examen.
Ett trick som ibland har använts när upphandlingarna inte varit tillräckligt tydliga i kraven är att leverantören erbjuder en senior konsult men det sedan i praktiken blir juniora konsulter som får genomföra uppdraget.
Till viss del kan sådana ageranden uppmuntras genom upphandlingens konstruktion och hur man hanterar dilemmat att å ena sidan försöka uppnå en trygg leverans av konsultkraft från leverantören, å andra sidan få tillgång till verkligt kvalificerade konsulter.
Om betoningen läggs på att leverantörens förmåga att leverera kvantitet finns det en risk att konsulter ses som utbytbara.
En annan nackdel är att mindre leverantörer utesluts från möjligheten att lämna anbud.
Med risk att trampa folk på tårna är min erfarenhet att många av de mest kvalificerade konsulterna inom informationssäkerhetsområdet väljer att starta eget eller att arbeta i mindre bolag så att satsa på kvantitet i upphandlingen kan leda till att man kanske missar kvalitet.
Sedan är den upphandlingstekniska utformningen som ska formulera vad kunden prioriterar.
Ska man göra en bred utannonsering eller räcker det med att vända sig till några få leverantörer?
Är det priset, kvaliteten eller tiden som är viktigast?
För offentliga organisationer finns också omfattande regelverk som LOU att följa när det gäller den här typen av frågor.
Ett mer grundläggande problem är hur man egentligen ska prissätta konsulttjänster.
Fortfarande är den vanliga linjen att man använder timpris vilket är förståeligt men ofta vilseledande.
För en duktig konsult kan naturligtvis leverera mycket mer kvalitet på kortare tid än en mer orutinerad.
Ur kundens synvinkel får man alltså mer kvalitet till lägre pris om man väljer en dyrare konsult (under förutsättning att den dyrare konsulten verkligen är bättre).
Det rimliga vore att sätta priset utifrån nyttan som levereras till kunden oavsett hur lång tid det tar att utföra uppdraget.
Nu är det ofta så att upphandlingar görs av ett visst antal timmar vilket om det kombineras med alltför stor betoning av timpriset leder till att kunden får en sämre konsult till ett högre sammanlagt pris.
Jag menar också att det fordras en ansenlig mängd icke-fakturerbar tid för att utveckla sin kompetens och hålla sig uppdaterad vilket påverkar det som blir timpris ut.
För en medveten kund bör detta vara en aspekt värd att noggrant analysera innan upphandlingsunderlag skickas ut.
Kunder väljer ofta att upphandla x antal timmar eller ett fastprisuppdrag för att få kontroll och inte en löpande räkning utan slut.
Själv brukar jag istället föreslå att kunden köper en timbank med fritt avrop.
Då ligger makten hos kunden som inte behöver avropa fler timmar än man faktiskt använder och dessutom, om man inte trivs med konsulten, kan kunden på ett smidigt sätt avsluta relationen.
Eftersom det ofta är svårt att avgöra hur omfattande uppdraget blir innan man börjar med en mer konkret planering så ger detta kunden en flexibilitet som på ett avgörande sätt kan minska kostnaderna för uppdraget.
Jag tycker också det är rimligt att leverantören tar risken i affären eftersom man har kunskapsövertaget och möjligheten att påverka uppdragets utförande.
Det handlar ju också om att ställa krav som går att utvärdera på ett bra sätt vilket ju är något enklare för tekniska prylar än då man ska köpa mänsklig kompetens.
Kompetensen är som sagt svår att beskriva vilket leder till att den är även är svår att kontrollera.
Med beaktande att kunden ofta inte har möjlighet att göra en riktigt rättvis bedömning så tycker jag ändå att det finns vissa krav som kan leda till en bättre uppfattning om vad leverantörens erbjudande innebär.
Exempelvis skulle jag numera som kund ställa krav på exakt vilka konsulter som är aktuella i anbudet samt efterfråga skriftprov och andra underlag som just dessa konsulter skrivit.
Vid referenstagning skulle jag försöka tala med andra än den eller de som konsulten arbetar närmast hos en tidigare uppdragsgivare eftersom jag upplever att det är rätt vanligt att det finns en aningen symbiotisk relation mellan exempelvis informationssäkerhetsansvarig hos kunden och konsulten.
Kunden bör också få möjlighet att träffa den tilltänkta konsulten för att skaffa sig en bättre bild av personen och det intryck den ger.
Särskilt vikt bör i samtalet läggas vid vilken faktiskt erfarenhet av och förståelse för kundens verksamhet som konsulten har.
Utan denna förförståelse kommer kunden att få betala för leverantörens kompetenshöjning då konsulten måste sätta sig in i förutsättningarna för kundens organisation.
Men inte ens dessa varianter på krav garanterar på något sätt att man hittar ”rätt” konsult.
Inte bara kunden behöver göra analyser av chansen/risken för att uppdraget avlöper framgångsrikt.
Även leverantören har all anledning att försöka klargöra hur redo kundens organisation är för genomförandet av det aktuella uppdraget.
Inte så sällan tackar jag nej till uppdrag.
Det kan handla om att kunden har satt en alldeles för snäv tidsram för att de organisatoriska åtgärderna ska hinna tas fram, processas, beslutas och genomföras eller att jag inte uppfattar att ledningen verkligen är beredd på vad som kommer att vara nödvändiga förutsättningar.
Om ett avtal sluts uppstår omedelbart ett antal nya frågeställningar.
En del av dem uppkommer genom att leverantören och kunden inte har riktigt samma intressen.
Många leverantörer är starkt inriktade på att genomföra uppdrag på sitt sätt, inte minst därför att det lönar sig bättre att ”ta från hyllan” än att utveckla saker tillsammans med kunden (såvida man inte har uppdrag på löpande räkning).
Att vara alltför lyhörd och explorativ kan äventyra vinsten i ett fastprisuppdrag med definierad leverans men även uppdrag med begränsat antal timmar.
Juniora konsulter är också av naturliga skäl rädda att släppa sargen och överge mallar som tagits fram av arbetsgivaren.
För en konsult är det också en svår balansgång mellan att göra för mycket alternativt för litet.
Det är ofta svårt frestande att ta över alltmer avt, alldeles särskilt om förväntan finns på att man ska vara Mary Poppinslikt allfixande.
Det är praktiskt för konsulten eftersom man då kan genomföra arbetet på sitt sätt vilket gör att man har kontroll och det på ett sätt går snabbare.
För kunden kan det dock bli en nackdel om konsulten blir alltför dominerande eftersom man då riskerar få en leverans som inte är avpassad för verksamheten och att behovet av att bygga upp egen kompetens försummas.
Om detta finns mycket mer att skriva men eftersom det är sommar och sol får det vänta till ett senare tillfälle.
Jag tror att vi måste bli mycket mer öppna om att det är svårt både att vara kund och att vara leverantör när det kommer till att upphandla konsulttjänster.
En förbättrad dialog i de enskilda uppdragen där konsulten är följsam och öppen inför hur kunden uppfattar leveransen höjer kvaliteten inte bara i uppdraget utan kan bidra till en långsiktig utveckling av branschen.
Ja, det verkar självklart men vid ett stort antal tillfällen har jag träffat på kunder som varit missnöjda med tidigare konsult men inte tyckt sig kunna nå fram utan istället valt att så snabbt som möjligt avsluta uppdraget.
Vi måste också ha diskussioner generellt om hur man får till en bra upphandling där kund och leverantör har samförstånd om vad och hur uppdraget ska levereras och med vilken kompetens.
Kanske kan informella men allmänt accepterade paketeringar av olika typer uppdrag tas fram.
Detta försvåras dock av att det inte finns någon sammanhållande branschorganisation.
En flink människa skulle ju också kunna ta fram en ratingsida där olika konsultinsatser betygssätt ungefär som ett restaurangbesök – det vore nog smärtsamt men nyttigt för många av oss.
1910 blev Karlstads lasarett det andra i Sverige som blev s.k.
delat lasarett (efter Falun).
Att ett lasarett blev delat betydde att det fanns både en medicinsk och en kirurgisk verksamhet.
I korthet var detta första steget på den snabba utveckling pådriven av en framgångsrik forskning där ögon, öron, ortopedi, röntgen, BB, barn, gynekologi o.s.v, o.s.v.
, blev egna specialiteter och subspecialiteter i ett allt finmaskigare nät.
Till detta kommer allmänmedicin och annan öppenvårdsverksamhet för att inte glömma psykiatrin i olika former.
Alla dessa med tiden hundratals olika kompetensområden måste organiseras i avdelningar, kliniker, mottagningar m.m.
för att få bästa möjliga vård för patienten till en för samhället rimlig kostnad.
Det räcker dock inte med att organisera vårdens olika verksamhet i förhållande till varandra utan vården måste styckevis och delt även passas in i samhällets generella styrning som i sin tur består av förvaltning respektive den politiska styrningen.
För Sveriges del har det i huvudsak inneburit inpassning i kommun, landsting/region och stat eftersom vården varit offentligt finansierad (även detta i huvudsak) sedan lång tid tillbaka.
Historiskt har vårdverksamheten i delar vandrat mellan huvudmännen.
Att allmänmedicin och psykiatri var ett statligt ansvar fram till 1960-talet och äldrevård en landstingsangelägenhet fram till ÄDEL-reformen då den överfördes till primärkommunerna är bara två exempel.
Vad jag vill säga med denna skamligt korta sammanfattning är att sjukvård är EXTREMT svårt att styra med en fullständigt oöverblickbar komplexitet i tre dimensioner: den interna styrningen av vårdarbetet och förvaltningsstyrningen samt den politiska styrningen.
Fram till 1970-talet var inriktningen för att hantera denna komplexitet bland annat att försöka skapa mer enhetliga huvudmannaskap vilket var en av orsakerna till att exempelvis allmänmedicin och psykiatri överfördes till landstingen från staten.
Denna trend avlöstes av den glada NPM-eran när styrningen av offentlig verksamhet fragmentiserades bland annat för att underlätta för privata alternativ.
Det var då äldreomsorgen och den social omsorgen fördes till den kommunala sektorn vilket bland annat har lett till bollandet av gamla multisjuka mellan två huvudmän – något vi sett de avskräckande konsekvenserna av nu efter covid-19.
Det är ett ganska väl beforskat hur organisatorisk komplexitet leder till det som slarvigt brukar kallas byråkrati men som jag hellre skulle benämna administration som inte är direkt kopplad till kärnverksamhetens uppgifter.
Ju större antal aktörer som ska förmås att röra sig i samma riktning eller åtminstone samspela, desto fler samordnade aktiviteter krävs för att hålla ihop helheten.
Det blir strategier, policies, planer, möten, kontroller och rapporteringar i olika riktningar.
Genom privatiseringen av offentlig verksamhet har dessutom ytterligare behov av upphandlingar, kravställningar, regelverk, beställningar och uppföljningar tillkommit.
Detta skapar kohorter av nya typer av administratörer, alltså inte den gamla typen som skötte budget, bokföring och löneutbetalningar.
Istället har kvalitetsutvecklare, upphandlingsspecialister, digitaliseringsstrateger, e-hälsosamordnare och (visst, jag kackar i eget bo) informationssäkerhetsansvariga tillkommit.
Och så naturligtvis kommunikatörer, kommunikatörer och åter kommunikatörer.
Utan jämförelser i övrigt kommer jag osökt att tänka på den här gamla klassiska bilden där jag föreställer mig vårdpersonalen dignar under hela lasset av administration upp till sjukvårdspolitiker och vårdbolagschefer.
Det är med detta i bakhuvudet jag läser i DN som drar en lans för förstatligande av sjukvården.
För mig framstår det som ett relevant förslag.
1962 gav de flesta landsting ut historiker över sina första hundra år.
Dessa historiker rymmer en fascinerande motsättning mellan beständighet och föränderlighet.
Landstingen hade funnits i respektingivande hundra år men vad ett landsting var och skulle syssla med hade ständigt förändrats under dessa är.
Vad detta lär oss är att hur samhällets basala funktioner ska organiseras ständigt måste omprövas för att institutionerna ska vara ändamålsenliga och anpassade till rådande behov.
Historiskt har detta skett kontinuerligt som jag snabbskissat ovan och det finns ingen anledning att tro att just den organisation av sjukvården har idag är den enda möjliga oavsett vad som händer i samhället i övrigt.
Själv hyser jag inte någon ohejdad tilltro till att ett förstatligande av sjukvården skulle lösa alla eller ens merparten av problem som vården har att leva med men i all enkelhet skulle åtminstone ett lager i pyramiden försvinna.
Förhoppningsvis skulle grundläggande mål som likvärdig vård vara enklare att uppnå.
En annan effekt är att den samordnade byråkratin internt mellan de idag 21 regioner skulle kunna plockas bort (även om den säkert delvis skulle komma tillbaka i en annan form).
Att inte bara DN utan även andra med viss energi börjar ifrågasätta regionernas roll väcker oro i regionsleden, inte minst hos särintressets främsta företrädare SKR vars ordförande Anders Knape som skrev ett kanske aningen sentimentalt på DN:s ledare.
Han, liksom regionala företrädare, lobbar ivrigt för att regionernas USP är den politiska styrningen av regionerna som hypotetiskt skulle göra sjukvården regionalt anpassad och därmed ”bättre”.
Med viss bombasm skriver Knape: den lokala och regionala nivåns omkring 40.000 förtroendevalda utifrån kunskap om invånarna lokalt och regionalt.
Deras kraft är oslagbar.
För den som något fördjupat sig i landstingens/regionernas historia väcker denna beskrivning antagligen skuggan av ett leende.
Inga sjukvårdsstrider har varit så infekterade som de enskilda landsting där sedan åtminstone 1920-talet omfattande manifestationer skett för att sjukstugor skulle placeras i ”rätt” samhälle eller rörande nedläggningar av sjukhus.
Knapes uttalande pekar snarare på en klassisk problemställning inom svensk sjukvård: den potentiella motsättningen mellan regional särart å ena sidan och likvärdighet nationellt å andra.
För mig framstår denna argumentationslinje också som alltmer paradoxal då SKR själva så intensivt försöker samla nationell styrning hos sig själva.
Som jag tidigare skrivit om har alltfler frågor börjat samordnas via SKR och därmed flyttats från den regionala nivån till en nationell.
Om SKR starkaste argument mot ett förstatligande är det demokratiska värde som finns i den regionala politiska styrningen verkar det ju vara att såga av sin egen viktigaste sittgren om makten förs från dessa demokratiska församlingar in i det mörker som föreningen SKR utgör.
Själv skulle jag alla dagar i veckan föredra en normal svensk myndighet framför SKR som nationellt samordnande.
Ibland dristar jag mig till och med till att tycka att det kanske är en demokratisk fördel om sjukvården lyfts bort från bypolitiken.
Knape har förstås en poäng när han lyfter fram mindre lyckade statliga experiment och då även inom digitaliseringsområdet.
Tyvärr måste jag dock säga att det är en boll som är svår att inte smasha tillbaka för den som strävar mot förstatligande av sjukvården.
INGEN fråga har engagerat SKR så mycket som digitalisering som lösning på all och jag misstänker att man har en gemensam morgonbön i SKR-palatset som går ungefär så här: Digitalisering, låt ditt namn bli helgat Låt ditt rike komma.
Ge oss i dag vårt dagliga bröd .
Och glöm våra misslyckade projekt, så som vi glömmer dem själva.
Och för oss inte in i verkligheten, utan fräls oss från ansvar.
Förlåt, det är semester… Min poäng är att trots den närmast religiösa inställning som SKR har till digitalisering i teorin så ser i praktiken digitaliseringen av den svenska sjukvården som ett härke trots de enorma resurser som tillförts.
Jag sitter mycket tungt på mina händer för att inte skriva något om den totala frånvaron av samordning av informationssäkerhet och det provocerande ointresset för integritetsfrågor där SKR knappast agerat som insiktsfull vägledare för sina medlemmar.
Om verkligheten ska användas som betygssättare för regionernas och SKR:s förmåga att skapa en nationellt sammanhållande och långsiktigt fungerande vård så ser det rätt illa ut för Knapes linje.
För att komma vidare vore det önskvärt med en hederlig gammaldags utredning som inte helt styrdes av särintressen inom vården.
Personligen lutar jag svagt åt att behovet av nationell samordning av sjukvården bäst hanteras genom ett förstatligande åtminstone av delar av vården.
Det kommer visserligen att skapa nya gränslinjer – hur ska exempelvis äldreomsorgen hanteras med större medicinsk kompetens – men jag tror verkligen det är dags att ompröva dagens situation.
Att lyckas med sitthandlar i hög grad om att kommunicera.
Att kommunicera handlar i sin tur i hög grad om att skapa förståelse och samsyn.
Detta är nödvändigt för att få människor och organisationer att agera.
Banala sanningar kan tyckas men tyvärr är dålig kommunikation en ständig ledsagare för de som arbetar med informationssäkerhet.
Själva begreppet informationssäkerhet saknar en tydlig och accepterad .
Detta leder till problem både för dem som anser sig arbeta med ”informationssäkerhet” och för dem som avser att anställa eller anlita vad de tror är en definierad kompetens.
Det blir inte enklare då man slänger in nya spännande beteckningar som ” ”.
Jag tror att det finns en olycklig tendens att de som arbetar med informationssäkerhet (i någon form) är mer intresserade av att bekräfta varandra i gruppen än att skapa en relation med omvärlden, d.v.s.
en relation byggd på ömsesidig förståelse.
Ta exemplet med titeln ”CISO” som fått en snabb spridning i svenska myndigheter inklusive regioner och kommuner.
Uttytt står CISO för vilket låter flott men titeln leder enligt min mening till mer oförståelse och förvirring än klarhet.
När informationssäkerhet i sig ännu inte är ett hushållsbegrepp så min fråga är varför man i Söpple kommun väljer att höja svårighetsnivån ytterligare och införa en titel som är helt ogenomtränglig för alla utanför skrået.Vad man chiefar över är även det höljt i dunkel.
Särskilt märkligt blir detta titulerande sett i ljuset av den svenska språklagen som uttryckligen skriver: Språket i domstolar, förvaltningsmyndigheter och andra organ som fullgör uppgifter i offentlig verksamhet är svenska.
I annan lag finns särskilda bestämmelser om rätt att använda nationella minoritetsspråk och annat nordiskt språk.
När det gäller skyldigheten för domstolar och förvaltningsmyndigheter att anlita tolk och att översätta handlingar finns det särskilda bestämmelser.
Språket i offentlig verksamhet ska vara vårdat, enkelt och begripligt.
Myndigheter har ett särskilt ansvar för att svensk terminologi inom deras olika fackområden finns tillgänglig, används och utvecklas.
Detta har alltså svenska myndigheter att följa vilket jag finner som ett rimligt krav.
Jag har funderat över varför så många väljer att bryta mot detta när det gäller CISO-begreppet, vad vill man uppnå på bekostnad av att varken den egna organisationen eller de invånare man är satt att tjäna begriper vad man sysslar med?
CISO är ju inte heller på något sätt en skyddad yrkestitel eller resultatet av en specifik utbildning utan kan stå för litet vad som helst.
Jag är den första att förespråka en klassisk professionalisering av vår yrkesgrupp, vilket jag skrivit om bland annat , men då är det helt andra och mer seriösa åtgärder som krävs än en flashig titel.
Vi borde vilja nå ut, inte spinna in oss i en allt tätare skråkokong.
Återigen; CISO-begreppet är bara ett exempel men jag tycker det är signifikativt för en attityd som jag menar är till nackdel både för professionen och för uppdragsgivare.
En episod som ofta återkommer i mitt minne är när en medarbetare för ett antal år sedan argumenterade för sin linje (som inte var min) med fritt citerat:” well, det är så vi i communitiet ser det.”.
Tyvärr fann jag mig inte tillräckligt snabbt för att fråga exakt vad ”communitiet” egentligen var och vilka som ingick i det men jag misstänker att det var någon slags informell och självutnämnd kommitté av människor som såg sig som ägare av informationssäkerhetsfrågan i Sverige.
Eftersom jag själv alltid skytt den här typen av gemenskaper är jag partisk.
Ändå vill jag säga jag uppfattar den här kårandan som ett problem som gestaltas bland annat genom lanserandet av CISO-titeln.
Istället för att rikta blicken på den egentliga målgruppen, det vill säga de som inte arbetar med informationssäkerhet, spelar vi för vårt eget galleri.
Den skapar också osunda lojalitetsband eftersom det saknas objektiva och accepterade krav på den som ska ses som en kompetent yrkesutövare.
Låt oss skingra dimman och inrikta oss på att nå ut till de som vi egentligen ska tjäna och skapa förutsättningarna för en seriös utveckling mot en profession.
Detta kan också en etablerad titel med ett tydligt kompetenskrav som på sikt till och med skulle kunna bli en skyddad.
Det är lätt att bli tidsblind men jag tror att vi även efterhand kommer att uppfatta våren 2020 som den värsta krisperioden i Sverige sedan andra världskriget.
Skadad av historiska studier är jag väl medveten om hur svårt det är att bedöma nutiden medan den pågår men har ändå blivit fascinerad av hur den nationella beredskapen fungerar när det som alla pratar om men ingen sett inträffar.
Det vill säga den stora samhällskrisen.
En termometer på hur väl det svenska krissystemet mår är den centrala myndigheten för dessa frågor Myndigheten för samhällsskydd och beredskap, MSB.
Jag hade egentligen, efter att ha studerat ett ganska stort antal allmänna handlingar, tänkt skriva om hur myndigheten hanterat det beryktade enkätverktyget.
Det är i sig en intressant historia som i delar redan skildrats av flera medier, kanske mest heltäckande av Arbetaren bland annat .
När man läser handlingarna är det så många överraskande steg allt sedan regeringen den 19 mars ger MSB ett uppdrag (Ju2020/01165/SSK) : Regeringen uppdrar åt Myndigheten för samhällsskydd och beredskap (MSB) att säkerställa att myndigheternas information med anledning av utbrottet av det nya coronaviruset är samordnad och tydlig samt att det finns effektiva kanaler för att föra ut informationen.
I uppdraget ingår att skyndsamt utarbeta ett nationellt informationsmaterial som på ett effektivt sätt ska kommuniceras till så många som möjligt.
MSB får 75 miljoner (!)
för att genomföra uppdraget under 2020, ett uppdrag som till synes inte på något sätt innehåller smittspårning eller insamlande av uppgifter.
Kanske är det de 75 miljonerna som snedvrider uppdraget från början, kanske lockar de 75 miljonerna till sig aktörer som ger myndigheten tips om vad de skulle kunna hitta på för att sätta sprätt på pengarna.
I vilket fall så är det inte MSB:s professionella kommunikatörer som får lead i detta jättelika kommunikationsuppdrag utan Avdelningen för cybersäkerhet och säkra kommunikationer.
Det formella beslutet på denna interna delning kommer den 26 mars, dagen efter att MSB bjudit in Folkhälsomyndigheten till ett möte där den förra myndigheten erbjuder den senare ett digitalt verktyg, allt enligt minnesanteckning från mötet: Kort möte med GD Folkhälsomyndigheten (FHM) sen em 25/3.
MSB tar upp initiativ kring digitalt verktyg för digital självskattning.
GD FHM positiv, betonar att ett sådant här verktyg inte ska driva fysisk testning i fel riktning.
Viktigt att anpassa svar på självskattning så respondenten inte förväntar sig att bara för att man gör digitalt test så får man fysiskt test.
Vad som händer under veckan där MSB:s samordningsuppdrag för myndigheters kommunikation angående corona övergår till att handla om ett digitalt verktyg för självskattning av smitta är för mig okänt men det är uppenbart att det är MSB som vill ha verktyget.
Litet småaktigt vill jag poängtera det eftersom jag själv blivit åthutad på sociala medier av en i utvecklingsarbetet involverad konsult när jag hävdade att det var så det låg till.
Några dagar efter åthutningen gick MSB officiellt ut och sa att det var på deras initiativ som verktyget .
Note to self som konsult: undvik att agera som dina kunders talesperson om du inte formellt blivit ombedd.
Enligt den juridiska utredning som MSB låter en extern byrå genomföra framgår det att det inte ingår i MSB:s uppdrag att bedriva smittspårning.
Därför måste man ha med sig expertmyndigheten FHM för att kunna genomföra projektet med digital självskattning.
Redan här går det se de problem som snart kommer att göra att projektet blir en återvändsgränd.
Rollen som samordnande myndighet kräver respekt för olika aktörers uppdrag och mandat och detta särskilt i trängda lägen, inte att man försöker ta över andra myndigheters uppgifter.
Sedan följer en närmast smärtsam historia fram till slutlig nedläggning via ett antal anhalter där det blir allt tydligare att ingen utom MSB (och leverantör samt konsulter) är intresserade av verktyget.
Kontentan blir x antal miljoner i sjön (konsultkostnaderna är inte medräknade i de 6,4 miljoner som MSB ska betala till leverantören), en granskning av Konkurrensverket och ett rejält tapp i anseende när MSB som bäst skulle behöva det.
Sannolikt har MSB tappat i förmåga att genomföra det egentliga uppdraget från regeringen: att samordna myndigheters information angående corona vilket knappast kan glädja uppdragsgivaren.
Det går att föreställa sig mindre trivsamma samtal på regeringskansliet.
Som en slutkommentar till Arbetaren säger MSB:s pressekreterare: Vi tar hellre kritik för att vi skyndar på att ta fram en lösning som på något sätt kan vara till hjälp när människor dör, än att få kritik för att vi sitter på händerna och inte gör något.
Vi ansåg att vi var, och är, i ett läge där det var viktigt att agera när det handlar om människoliv.
MSB reagerar alltså exakt på det sätt som jag skrivit om i ett tidigare , att göra NÅGOT känns alltid bättre även om detta något är inte leder framåt eller förbättrar situationen.
I krissituation är det viktiga tillit och att alla vet vem som ska göra vad.
I bakhuvudet gnager en liten olustig känsla av att myndigheten kan ha reagerat på yttre påverkan vilket lett fram till haveriet.
Det är lätt att glömma bort att de vanligaste påverkanskampanjerna är de ekonomiska.
Det skulle vara lätt att göra sig lustig över denna tragikomiska historia.
Det är inte min intention.
Istället får den mig, liksom många andra i dessa dagar, att reflektera över den svenska beredskapen och myndigheters förmåga.
Framförallt funderar jag på hur MSB (och andra myndigheter) förefaller så synnerligen oförberedda på en pandemi att man är tvungen att kasta sig in i så äventyrliga och ofruktbara aktiviteter som webenkäten.
Pandemi är verkligen inte en svart svan i ett riskperspektiv utan snarare vad Michele Wucker kallar en ”grå noshörning”: A “gray rhino” is a highly probable, high impact yet neglected threat: kin to both the elephant in the room and the improbable and unforeseeable black swan.
Pandemier har redan inträffat och har varit på MSB:s short list över samhällsrisker ända sedan myndigheten startade.
Ändå tycks inte nödvändiga förberedelser för samordning i en pandemisituation ha gjorts.
Detta ska inte MSB lastas för utan snarare de regeringar som styrt under perioden.
Kanske måste djurmetaforerna gå vidare till svarta strutsar (ja, jag vet att det inte är så i verkligheten att strutsar gräver ner huvudet vid annalkande fara men det är en bra metafor).
Nu pratas det i alla politiska läger om vikten av att förbättra den civila beredskapen och kanske till och med snegla tillbaka till beredskapens guldålder i Sverige: .
Problemet med detta är att det innebär att ett antal av dagens heliga kor måste slaktas om det ska fungera.
Det är inte bara mycket stora ekonomiska resurser som behövs.
Vi har under närmare 40 år demonterat den starka staten som är en förutsättning för en sammanhållen nationell beredskap och istället privatiserat och fragmentiserat ansvaret utan tanke på hur alla skärvor ska kunna skapa en helhet då det behövs.
Typexemplet på detta är ansvarsprincipen som inte är inskriven i någon lag men som har haft en förödande inverkan på den gemensamma styrningen av krisberedskapen.
Fragmentiseringen har inte kompenserats med en stark myndighet som nationellt nav.
MSB:s roll är istället att försöka samordna utan sammanhållen nationell planering och i stort utan mandat att faktiskt styra samhällsviktiga aktörer.
Fallet med webenkäten får tolkas som ett utslag av MSB:s omöjliga roll och borde vara ett exempel av många som bör leda till att ansvarsprincipen omprövas och att en verklig krisberedskapsmyndighet med fullt mandat skapas.

Merparten av informationsmängderna är även de att betrakta som tämligen generiska Merparten av informationen hanteras i pappersform, detta särskilt i kritiska aktiviteter i processen En stor del av informationen finns på flera bärare samtidigt I hela processen är spårbarheten är essentiell för patientsäkerheten Har den här åtgärden en säkerhetshöjande effekt som står i paritet med den kostnad och krångel som den orsakar verksamheten?
Är den här åtgärden verkligen avpassad till och tar hänsyn till verksamhetens egentliga behov av säkerhet?
Indirekt: vet jag som vill lansera den tillräckligt mycket om verksamhetens behov för att kunna avgöra det?
Kommer den här åtgärden verkligen att fungera i praktiken eller är den en ren pappersprodukt?
Och kommer den även att fungera över tid, t.ex.
när konsulten lämnat skeppet?
Finns det verkligen inte ett effektivare sätt att reducera risken till en acceptabel nivå?

inte inte behov bred ha kontroll över sin information normerande klassning och vad hur.
hur Folkviljan utövas genom inom

Meny Nationell styrning Inläggsnavigering

Språkanvändningen i offentlig verksamhet

MENU MENU Postat av MSB fick den 19 september 2019 i uppdrag av regeringen att ta fram en struktur för uppföljning av det systematiskat i den offentliga förvaltningen.
Uppföljningsstrukturen ska syfta till att aktörer i offentlig förvaltning regelbundet ska erbjud as att medverka i uppföljningen och få återkoppling som omfattar en bedömning om vilken nivå derasbefinner sig på samt förslag på åtgärder som bör vidtas för att uppnå en högre nivå påt.
Uppföljnings strukturen ska även syfta till att MSB regelbundet ger regeringen en samlad bedömning om nivån på det systematiskat i den offentliga förvaltningen.
Postad i , , , , Tagged , , , , Postat av → Postad i , , , , , , , Tagged , , , , , , , Postat av miljoner Postad i , , , , Tagged , , , , Postat av Rekommendationerna hänvisar inte till några allmänna standard er eller Postad i , , , Tagged , , , , , , , Postat av Postad i , , , , Tagged , , , , , , , , , Postat av Postad i , , , Tagged , , , , , , , Postat av Postad i , , Tagged , , , Postat av Postad i , , , , , Tagged , , , , , , Postat av chief information security officer Postad i , , Tagged , , , , Postat av Postad i , , , Tagged , , ← Sök efter:

Tack Calle Lilius för bilderna!
Statlig förvaltningspolitik för 2020-talet

1910 blev Karlstads lasarett det andra i Sverige som blev s.k.
delat lasarett (efter Falun).
Att ett lasarett blev delat betydde att det fanns både en medicinsk och en kirurgisk verksamhet.
I korthet var detta första steget på den snabba utveckling pådriven av en framgångsrik forskning där ögon, öron, ortopedi, röntgen, BB, barn, gynekologi o.s.v, o.s.v.
, blev egna specialiteter och subspecialiteter i ett allt finmaskigare nät.
Till detta kommer allmänmedicin och annan öppenvårdsverksamhet för att inte glömma psykiatrin i olika former.
Alla dessa med tiden hundratals olika kompetensområden måste organiseras i avdelningar, kliniker, mottagningar m.m.
för att få bästa möjliga vård för patienten till en för samhället rimlig kostnad.
Det räcker dock inte med att organisera vårdens olika verksamhet i förhållande till varandra utan vården måste styckevis och delt även passas in i samhällets generella styrning som i sin tur består av förvaltning respektive den politiska styrningen.
För Sveriges del har det i huvudsak inneburit inpassning i kommun, landsting/region och stat eftersom vården varit offentligt finansierad (även detta i huvudsak) sedan lång tid tillbaka.
Historiskt har vårdverksamheten i delar vandrat mellan huvudmännen.
Att allmänmedicin och psykiatri var ett statligt ansvar fram till 1960-talet och äldrevård en landstingsangelägenhet fram till ÄDEL-reformen då den överfördes till primärkommunerna är bara två exempel.
Vad jag vill säga med denna skamligt korta sammanfattning är att sjukvård är EXTREMT svårt att styra med en fullständigt oöverblickbar komplexitet i tre dimensioner: den interna styrningen av vårdarbetet och förvaltningsstyrningen samt den politiska styrningen.
Fram till 1970-talet var inriktningen för att hantera denna komplexitet bland annat att försöka skapa mer enhetliga huvudmannaskap vilket var en av orsakerna till att exempelvis allmänmedicin och psykiatri överfördes till landstingen från staten.
Denna trend avlöstes av den glada NPM-eran när styrningen av offentlig verksamhet fragmentiserades bland annat för att underlätta för privata alternativ.
Det var då äldreomsorgen och den social omsorgen fördes till den kommunala sektorn vilket bland annat har lett till bollandet av gamla multisjuka mellan två huvudmän – något vi sett de avskräckande konsekvenserna av nu efter covid-19.
Det är ett ganska väl beforskat hur organisatorisk komplexitet leder till det som slarvigt brukar kallas byråkrati men som jag hellre skulle benämna administration som inte är direkt kopplad till kärnverksamhetens uppgifter.
Ju större antal aktörer som ska förmås att röra sig i samma riktning eller åtminstone samspela, desto fler samordnade aktiviteter krävs för att hålla ihop helheten.
Det blir strategier, policies, planer, möten, kontroller och rapporteringar i olika riktningar.
Genom privatiseringen av offentlig verksamhet har dessutom ytterligare behov av upphandlingar, kravställningar, regelverk, beställningar och uppföljningar tillkommit.
Detta skapar kohorter av nya typer av administratörer, alltså inte den gamla typen som skötte budget, bokföring och löneutbetalningar.
Istället har kvalitetsutvecklare, upphandlingsspecialister, digitaliseringsstrateger, e-hälsosamordnare och (visst, jag kackar i eget bo) informationssäkerhetsansvariga tillkommit.
Och så naturligtvis kommunikatörer, kommunikatörer och åter kommunikatörer.
Utan jämförelser i övrigt kommer jag osökt att tänka på den här gamla klassiska bilden där jag föreställer mig vårdpersonalen dignar under hela lasset av administration upp till sjukvårdspolitiker och vårdbolagschefer.
Det är med detta i bakhuvudet jag läser i DN som drar en lans för förstatligande av sjukvården.
För mig framstår det som ett relevant förslag.
1962 gav de flesta landsting ut historiker över sina första hundra år.
Dessa historiker rymmer en fascinerande motsättning mellan beständighet och föränderlighet.
Landstingen hade funnits i respektingivande hundra år men vad ett landsting var och skulle syssla med hade ständigt förändrats under dessa är.
Vad detta lär oss är att hur samhällets basala funktioner ska organiseras ständigt måste omprövas för att institutionerna ska vara ändamålsenliga och anpassade till rådande behov.
Historiskt har detta skett kontinuerligt som jag snabbskissat ovan och det finns ingen anledning att tro att just den organisation av sjukvården har idag är den enda möjliga oavsett vad som händer i samhället i övrigt.
Själv hyser jag inte någon ohejdad tilltro till att ett förstatligande av sjukvården skulle lösa alla eller ens merparten av problem som vården har att leva med men i all enkelhet skulle åtminstone ett lager i pyramiden försvinna.
Förhoppningsvis skulle grundläggande mål som likvärdig vård vara enklare att uppnå.
En annan effekt är att den samordnade byråkratin internt mellan de idag 21 regioner skulle kunna plockas bort (även om den säkert delvis skulle komma tillbaka i en annan form).
Att inte bara DN utan även andra med viss energi börjar ifrågasätta regionernas roll väcker oro i regionsleden, inte minst hos särintressets främsta företrädare SKR vars ordförande Anders Knape som skrev ett kanske aningen sentimentalt på DN:s ledare.
Han, liksom regionala företrädare, lobbar ivrigt för att regionernas USP är den politiska styrningen av regionerna som hypotetiskt skulle göra sjukvården regionalt anpassad och därmed ”bättre”.
Med viss bombasm skriver Knape: den lokala och regionala nivåns omkring 40.000 förtroendevalda utifrån kunskap om invånarna lokalt och regionalt.
Deras kraft är oslagbar.
För den som något fördjupat sig i landstingens/regionernas historia väcker denna beskrivning antagligen skuggan av ett leende.
Inga sjukvårdsstrider har varit så infekterade som de enskilda landsting där sedan åtminstone 1920-talet omfattande manifestationer skett för att sjukstugor skulle placeras i ”rätt” samhälle eller rörande nedläggningar av sjukhus.
Knapes uttalande pekar snarare på en klassisk problemställning inom svensk sjukvård: den potentiella motsättningen mellan regional särart å ena sidan och likvärdighet nationellt å andra.
För mig framstår denna argumentationslinje också som alltmer paradoxal då SKR själva så intensivt försöker samla nationell styrning hos sig själva.
Som jag tidigare skrivit om har alltfler frågor börjat samordnas via SKR och därmed flyttats från den regionala nivån till en nationell.
Om SKR starkaste argument mot ett förstatligande är det demokratiska värde som finns i den regionala politiska styrningen verkar det ju vara att såga av sin egen viktigaste sittgren om makten förs från dessa demokratiska församlingar in i det mörker som föreningen SKR utgör.
Själv skulle jag alla dagar i veckan föredra en normal svensk myndighet framför SKR som nationellt samordnande.
Ibland dristar jag mig till och med till att tycka att det kanske är en demokratisk fördel om sjukvården lyfts bort från bypolitiken.
Knape har förstås en poäng när han lyfter fram mindre lyckade statliga experiment och då även inom digitaliseringsområdet.
Tyvärr måste jag dock säga att det är en boll som är svår att inte smasha tillbaka för den som strävar mot förstatligande av sjukvården.
INGEN fråga har engagerat SKR så mycket som digitalisering som lösning på all och jag misstänker att man har en gemensam morgonbön i SKR-palatset som går ungefär så här: Digitalisering, låt ditt namn bli helgat Låt ditt rike komma.
Ge oss i dag vårt dagliga bröd .
Och glöm våra misslyckade projekt, så som vi glömmer dem själva.
Och för oss inte in i verkligheten, utan fräls oss från ansvar.
Förlåt, det är semester… Min poäng är att trots den närmast religiösa inställning som SKR har till digitalisering i teorin så ser i praktiken digitaliseringen av den svenska sjukvården som ett härke trots de enorma resurser som tillförts.
Jag sitter mycket tungt på mina händer för att inte skriva något om den totala frånvaron av samordning av informationssäkerhet och det provocerande ointresset för integritetsfrågor där SKR knappast agerat som insiktsfull vägledare för sina medlemmar.
Om verkligheten ska användas som betygssättare för regionernas och SKR:s förmåga att skapa en nationellt sammanhållande och långsiktigt fungerande vård så ser det rätt illa ut för Knapes linje.
För att komma vidare vore det önskvärt med en hederlig gammaldags utredning som inte helt styrdes av särintressen inom vården.
Personligen lutar jag svagt åt att behovet av nationell samordning av sjukvården bäst hanteras genom ett förstatligande åtminstone av delar av vården.
Det kommer visserligen att skapa nya gränslinjer – hur ska exempelvis äldreomsorgen hanteras med större medicinsk kompetens – men jag tror verkligen det är dags att ompröva dagens situation.
Här kommer en summering av min diskussion med SKR angående ett eventuellt tillämpande av offentlighetsprincipen även inom SKR.
Jag inledde med ett i Dagens samhälle där jag försökte resonera angående varför det vore lämpligt att SKR skulle omfattas av offentlighetsprincipen.
De 3500 tecken som står till buds för en debattartikel omöjliggör naturligtvis en rättvis behandling av de frågeställningar som skulle behövas för en så komplicerad fråga som den jag lyfte.
Ändå tyckte jag än då att det tydligt i min artikel framgick att det finns ett antal skäl till varför SKR:s ställning som ”ideell förening” borde omprövas.
En resonerande inställning där olika argument prövas är dock inget som intresserar SKR.
Istället skickades föreningens VD för att ge ett .
Kanske det ändå inte blev så dräpande som önskat eftersom en hel del läsare (t.ex.
och och ) reagerade på SKR:s icke-svar och den attityd varmed det förmedlades.
Litet orolig blir man ju med tanke på att Isling rekryterats till SKR för .” Själv tycker jag att SKR ofta verkar lida av ett attitydproblem där tjänstemännen antingen uttrycker sig med viss arrogans eller inte alls då motiverade frågor ställs.
Isling är i detta fall inget undantag och är hans förhållningssätt ett exempel på den nya inriktningen för SKR bör man kanske sätta sig och titta litet på på kartan för att ta ut en annan riktning.
I min försökte jag visa att SKR har stora möjligheter att uppnå den öppenhet som Isling menar att man vill men inte kan (enligt honom) ha.
Jag pekar på paradoxen att Inera valt att frivilligt tillämpa öppenhet men inte SKR men det vilar en kanske en ännu större paradox i att SKR ska ge för att utveckla demokratin kommuner och regioner.
Den som ska ge stöd i demokratiutvecklingen borde rimligen vinna på att vara ett föredöme.
För att förstå SKR:s ställning måste man förstå kommunernas (inklusive landstingskommuners även om de kallar sig regioner) ställning i det svenska styrelseskicket.
Även om man ofta pratar om det kommunala självstyret är alla den makt och det inflytande som kommuner har en delegation från den centrala statsmakten.
Kommuners existensberättigande ligger framför allt i att de har en territoriell förankring, d.v.s.
de har en delegation för styrning av vissa frågor inom ett avgränsat geografiskt område samt beskattningsrätt för samma område.
Kommunerna ska alltså kunna utgöra en motpol till den nationella styrningen och tillgodose lokalsamhällets interna behov utan att först behöva passera den nationella nivån (mycket förenklat uttryckt).
Även i detta perspektiv är SKR något av en paradox.
Genom sin ständiga tillväxt och överförande av allt fler kommunala frågor till en nationell nivå så blir legitimiteten hos det kommunala självstyret i samma takt naggat i kanten.
Mitt intresse i debattartikeln var dock främst inriktat på informationshanteringen där information som i kommunerna hanteras enligt TF och OSL blir utslussad till en ideell förening som inte alls har samma krav på sin hantering av samma information.
Det gäller öppenheten där t.ex.
stora framtidsfrågor som digitalisering och e-hälsa beslutas helt utan insyn och medborgardialog.
Men det gäller även skyddet för känslig information som i ursprungskommunerna styrs av OSL.
Jag tänkte på det när jag läste om SKR gjort en stor enkätundersökning om informationssäkerhet i alla kommuner och började då fundera på hur denna känsliga information hanterades inom SKR.
Har de deltagande kommunerna slutit sekretessavtal med SKR och vilken information har de fått om hur informationen hanteras?
Jag läser också om SKR:s där det inte står ett ord om statistiksekretess.
Ytterligare en fråga där sekretessen är av central betydelse är civilt försvar där ett alltmer aktivt deltagande kommer att krävas av kommunerna.
Vilken information i dessa frågor är möjlig att lämna till SKR?
Det är möjligt att dessa frågor hanteras på ett utmärkt sätt men just i och med avsaknaden av tillämplig lagstiftning föreställer jag mig att behovet av avtal blir stort och något krångligt att administrera liksom att ansvarsförhållanden ständigt måste redas ut.
Jag ser en risk för något jag skulle vilja kalla ”trust by proxy”, d.v.s.
att man förutsätter att SKR har samma styrning som de ingående medlemmarna och därmed inte vidtar de skyddsåtgärder som är nödvändiga.
Om jag låter omotiverat misstänksam ber jag om ursäkt men bakgrunden är delvis att det är mycket svårt att få uppgifter om säkerheten inom SKR.
När jag exempelvis ställde en fråga för ett tag sedan om föreningen har en säkerhetsskyddschef fick jag till svar att de behövde man inte svara på eftersom man inte är en myndighet… Sammantaget tror jag man skulle ha mycket att vinna på att vara tydligare i dessa frågor och då inte bara visavi medlemmar.
Alla dessa viktiga välfärdsfrågor som SKR i allt högre grad hanterar så att de därmed försvinner från offentligheten är inte bara viktiga i nuet utan också för framtiden.
Tanken att framtida forskning inte kommer att ha ett grundmaterial att utgår från för att kunna förstå hur vitala offentliga frågor beslutats svider verkligen.
Att SKR inte har ett krav på sig att bevara och tillhandahålla denna information är en förlust för hela samhällsutvecklingen!
Som en liten julklapp till SKR kommer jag här med ett förslag på lösning på problemet så att SKR också kan bedriva verksamheten med den öppenhet man säger sig vilja ha.
Idag är man alltså en ”ideell förening” vilket känns aningen märkligt med tanke på verksamhet och finansiering.
Det gör att det i finns mycket litet av som påverkar hur verksamheten ska bedrivas vilket i och för sig gör det fullt möjligt att tillämpa TF och OSL på samma sätt som Inera beslutat göra.
Å andra sidan finns det en i mitt tycke betydligt mer stabil lösning, nämligen att SKR omvandlas till ett kommunalförbund som det beskrivs i . På det sättet skulle man både få en verksamhet som är effektiv, har reglerade styrformer och de krav på informationshantering som finns i medlemsorganisationerna.
Det skulle bryta den nuvarande rörelsen där delaktighet och insyn försvinner när betydelsen av frågorna ökar men också ge betydligt bättre grund för samarbete mellan stat och kommuner.
I annat fall undrar jag var gränsen för SKR som ideell förening går – hur mycket kommunala uppgifter kan en förening egentligen ta över?
Mottar tacksamt motargument mot omvandlingen till kommunalförbund eftersom för mig känns den lösningen ganska praktisk men säkert har jag förbisett några för andra självklara förutsättningar som talar emot en sådan lösning.
Trots min julklapp tror jag ärligt talat att intresset för att ens överväga övergång från förening till kommunalförbund är mycket svalt inom SKR, det är sällan de som har privilegier som arbetar för att ta bort dem.
Däremot är det en idé att försöka få igång en debatt i riksdagen vilket kan vara en målsättning för 2020.
Ibland är man tvungen att återvända till gamla jaktmarker.
Där är jag nu.
Efter en sensommar och höst då jag funderat en hel över Inera och i förlängningen SKR blev frestelsen för stor och jag började plocka fram gamla luntor ur bokhyllan.
Luntor som jag framför allt samlat på mig när jag började forskarutbildningen i ekonomisk historia med ambitionen att skriva en avhandling om landstingens roll i den svenska modellen.
Sedan kom barn och livet emellan så det blev aldrig mer än en ambition.
Däremot ledde det till ett fortfarande pågående stort intresse för den regionala styrningen och sjukvård samt, som sagt, till en inte obetydlig samling litteratur i frågan.
Livet är cirkulärt och nu gläds jag över att återigen ha anledning att dyka in mina gamla böcker (verkligen gamla).
Jag läser om hur Svenska Landskommuners Förbund, Svenska Landstingsförbundet och Svenska Stadsförbundet via Landstings- respektive Kommunförbundet utvecklats till SKR.
Från att ha varit renodlade arbetsgivarorganisationer med uppgift att ge medlemmarna stöd i förhandlingarna med de anställdas organisationer har SKR nu utvecklats till en organisation med ständigt växande antal anställda och som lika kontinuerligt påtar sig nya operativa uppgifter.
Mycket stora skattemedel fördelas via SKR och en inte på alldeles anspråkslös summa (understatement) går till SKR:s egen interna organisation, se budgeten på sida 49 i denna redovisning jag fått ut från SKR.
per medborgare och år enligt SKR själva.
Slutligen leds SKR av indirekt valda politiker som även har kontroll över de bolag som ingår i SKR-sfären.
Enligt svensk lagstiftning ska offentlighetsprincipen tillämpas i alla myndigheter (inklusive kommuner och regioner) samt kommunala bolag m.m..
I OSL 2 kap står det följande: Vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter ska i tillämpliga delar gälla också handlingar hos aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande.
Sådana bolag, föreningar och stiftelser ska vid tillämpningen av denna lag jämställas med myndigheter.
Kommuner och landsting ska anses utöva ett rättsligt bestämmande inflytande om de ensamma eller tillsammans 1. äger aktier i ett aktiebolag eller andelar i en ekonomisk förening med mer än hälften av samtliga röster i bolaget eller föreningen eller på något annat sätt förfogar över så många röster i bolaget eller föreningen, 2. har rätt att utse eller avsätta mer än hälften av ledamöterna i styrelsen för ett aktiebolag, en ekonomisk förening eller en stiftelse, eller 3. utgör samtliga obegränsat ansvariga bolagsmän i ett handelsbolag.
Vid tillämpningen av andra stycket 1-3 ska inflytande som utövas av en juridisk person över vilken en kommun eller ett landsting bestämmer på det sätt som anges i de nämnda punkterna anses utövat av kommunen eller landstinget.
Första stycket gäller också för handlingar som efter medgivande av en kommun eller ett landsting för viss bestämd tid förvaras hos aktiebolag, handelsbolag, ekonomiska föreningar eller stiftelser där kommuner eller landsting tidigare har utövat ett rättsligt bestämmande inflytande.
Vad som föreskrivs om kommuner och landsting i första-tredje styckena tillämpas också på kommunalförbund.
För en ytlig betraktare förefaller SKR uppfylla alla kriterier som t.ex.
att kommuner/regioner utövar ett rättsligt bestämmande inflytande.
Ändå omfattas inte SKR av offentlighetsprincipen, ett förhållande som är allt mer förvånande ju mer man tänker på det.
Bristen på insyn i en politiskt styrd organisation med den makt SKR har är en anomali i det svenska systemet som sannolikt har sin upprinnelse i de ursprungliga förhandlingsorganisationernas uppgifter.
I arbetsgivarorganisationer med enda syfte att förhandla arbetsvillkor kan möjligen hemlighetsmakeriet accepteras – i en organisation som för kommuners och regioners talan i en mängd frågor, opinionsbildar på ett inte helt okontroversiellt sätt och dessutom leder allt fler operativa verksamheter kan det det inte.
Inte minst att det inte går att utkräva ansvar borde ses som en mycket missklädande fläck i det offentliga Sverige.
Att slutna sällskap inte är nyttiga ens för sig själva är en ganska uppenbar slutsats efter i Svenska Akademien.
Samma faror av vänskapskorruption lurar i SKR, dessutom är man utsatta för ett starkt kommersiellt tryck i exempelvis digitaliseringsfrågorna.
Vad synen att digitalisering är lösningen på i princip alla samhällsfrågor bygger på när inga seriösa siffror som underbygger detta väcker frågan vems intressen som egentligen tjänas av SKR.
Ökad öppenhet i denna och andra frågor skulle ställa krav på samma typ av underlag och ansvar som i de kommuner och regioner som skickat delegater till SKR.
Istället urlakas den demokratiska processen markant i och med överförandet av frågor till SKR.
Det finns även andra skäl att göra en reglering i OSL så att även SKR omfattas av kraven på offentlighet och sekretess.
Ett starkt sådant är att SKR allt mer fungerar som en mellanstation mellan statliga och kommunala myndigheter också kan komma att hantera känslig information som rör exempelvis informationssäkerhet.
Eftersom OSL inte gäller kan det vara svårt för myndigheterna att reglera eller överblicka hur informationen hanteras i föreningen SKR.
Samtidigt är det svårt för kommuner och regioner att ifrågasätta att lämna ut information om sina förhållanden till SKR.
Ytterligare ett skäl är kopplingen till arkivlagen som ställer krav på att allmänna handlingar ska bevaras inte bara av insynsskäl utan även för att garantera rättssäkerhet och möjlighet till forskning.
Risken för att den helt offentligt finansierade verksamheten SKR med sin allt tyngre samhällsroll inte lämnar ett bra forskningsmaterial efter sig är överhängande.
Min enkla poäng är att om SKR agerar som en myndighet ska man behandlas som en myndighet.
Det är dags för SKR att inte bara byta namn utan även vara beredda att ta ansvar i förhållande till sitt inflytande.
Hur OSL och kanske TF behöver förändras och kompletteras med en rad som inkluderar SKR i dess räckvidd bör vara en ganska enkel juridisk manöver (jag är ju inte jurist så jag kan ju unna mig att ta lätt på frågan).
Sannolikt är det en betydligt svårare politisk process att tvinga ut SKR:s makthavare ur den så behagliga hemliga stugvärmen men icke förty är detta vad demokratisk anständighet kräver.
Efter Kammarrättens utslag dröjde det bara några dagar innan jag fick ut de dokument som jag började jaga med en fråga den 6 augusti.
Samtliga tre dokument har mycket marginella maskningar vilket jag återkommer till men som läsaren själv har möjlighet att bedöma eftersom jag lägger ut dem i sin helhet.
Låt oss då se på dokumenten och då först till det mest övergripande: Riktlinje för informationssäkerhet.
Detta dokument tycks ha ganska litet att göra med den policy som beslutades i och därts övergripande syfte anges vara att främja digitalisering samtidigt som tillit till informationshanteringen upprätthålls.
De flesta skulle kanske anse att informationssäkerheten ska stödja kärnverksamhetens uppdrag, i det här fallet egentligen kundernas uppdrag, men Inera är sannolikt i detta fall ett offer för SKL:s överideologi där digitalisering är ett dominerande egenvärde.Inte ett ord om patientsäkerhet för att bara ta en sak som jag personligen anser aningen viktigare än att ”främja digitalisering”.
Den sällsynt korta policyn innehåller ingenting om ansvarsförhållanden eller vem som egentligen ska styra säkerheten, däremot är ett mål att säkerhetsarbetet ska grundas på ”gemensamma regelverk, referensarkitekturer och styrande principer”.
Gemensamma för vem och framtagna av vem kan man undra.
Policyn ska tillämpas enbart internt och det saknas relation till kunderna trots att Ineras roll som leverantör: Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering.
Den ska också tillämpas i projekt och på förvaltningsobjekt.
Policyn ger som jag ser det inte någon verksam strategisk ledning för Ineras säkerhetsarbete i rollen som tjänsteleverantör eftersom ansvar och relationer helt saknas.
Hela upplägget med denna helt urvattnade policy känns litet märkligt när Inera dessutom arbetar baklänges och lägger den som olja på vattnet på redan framtagna underliggande dokument.
Kanske har det funnits en annan policy tidigare som fadat bort utan kommentar.
Låt oss lämna policyn och istället titta på riktlinjen som av naturliga skäl saknar den kopplingar till den beslutade policyn.
En första observation som reser den alltid lika spännande frågan om kausalitet och korrelation.
Av en händelse sammanfaller att jag efterfrågade riktlinjen den 6 augusti med en massiv uppdatering som skedde den 9 augusti när en mängd basala säkerhetsaspekter fördes in i riktlinjen (se revisionshistoriken).
Detta var också första gången på tre och ett halvt år som en uppdatering skedde.
Nog om detta lustiga sammanträffande.
Inera är är ju en tjänsteleverantör av känsliga informationstjänster till vården och det som först slår mig då jag läser riktlinjen är att detta förhållande är i det närmaste osynligt i riktlinjen på samma sätt som i policyn.
Riktlinjen gör ingen distinktion mellan Ineras interna informationssäkerhet och den säkerhet som ska finnas i de tjänster som levereras.
Kundernas frånvaro i hanteringen blir närmast självlysande i definitionen av informationsägaren: För varje viktig informationsmängd ska det utses en informationsägare med uppdrag att hantera alla delar av informationssäkerheten som är relaterade till denna informationsmängd.
För de tjänster som Inera tillhandahåller är detta normalt rollen Tjänsteansvarig.
Här man alltså kortslutit systemet så kunderna är inte informationsägare och ska inte heller hantera exempelvis informationsklassning och riskanalys av den information som de faktiskt är ansvariga för.
För att göra det extrem tydligt: Inera är inte en vårdgivare utan hanterar andra vårdgivares information i ett antal gemensamma tjänster.
Vårdgivarna (offentliga och privata) är enligt lag och föreskrift ansvariga för sin information och att den hanteras på ett säkert sätt – det är bara att läsa HSLF-FS 2016:40 för att få en samlad bild av kraven.
Samtidigt skriver man t.ex.
under 15.3.1. om en informationsägare som sannolikt är kunden.
Roller och begrepp är alltså inte konsistenta.
Ytterligare ett tecken på att riktlinje inte tjänar Ineras verksamhet särskilt väl är att de ytterst knapphändiga beskrivningar av utveckling som finns i kapitlen 15.1 och 15.2.
Detta är alltså riktlinjen där ansvar, principer och arbetssätt bör framgå.
Som jag uppfattar det är Ineras huvudsakliga uppdrag att utveckla olika it-lösningar för vården vilket skulle föranleda att ett verksamhetsanpassat säkerhetsarbete skulle ha en tyngdpunkt just i utvecklings- och förvaltningsprocessen av erbjudna lösningar.
I Ineras riktlinje är det dock inte så utan det känns snarare som en ytlig genomgång av kraven i ISO 27001 med mycket små modifikationer.
Dessutom ingår den i det jag brukar tänka på som ”de öde regelverken” eftersom det inte bara kunderna som saknas utan även i hög grad andra aktörer.
Istället upprepas riktlinjen igenom ”Inera ska…” utan att närmare definiera vilken roll inom Inera som ska utföra säkerhetsarbetet.
Igenkänningsfaktorn är hög.
Jag har sett denna typ av regelverk ett otal antal gånger och ett genomgående drag är att när regelverk är så här diffusa så får de ingen eller ringa säkerhetshöjande effekt.
Har ledningen inte pekat ut ansvar (vilket man här inte har i policyn och mycket litet i riktlinjen) så finns inget maskineri som drar runt säkerhetsarbetet.
Att något i denna anonyma text skulle befinnas vara av den art att det går att sekretesslägga med hänvisning till OSL 18 kap.
8 §: Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser byggnader eller andra anläggningar, lokaler eller inventarier, tillverkning, förvaring, utlämning eller transport av pengar eller andra värdeföremål samt transport eller förvaring av vapen, ammunition, sprängämnen, klyvbart material eller radioaktiva ämnen, telekommunikation eller system för automatiserad behandling av information, behörighet att få tillgång till upptagning för automatiserad behandling eller annan handling, den civila luftfarten eller den civila sjöfarten, transporter på land av farligt gods, eller hamnskydd.
kändes märkligt.
Än mer så Ineras ursprungliga beslut att hela dokumentet skulle utgöra risk om det spreds.
På ett sätt skulle jag ironiskt kunna hålla med: kvaliteten på dokumentet indikerar en klar brist på styrning av säkerhetsarbetet vilket kan naturligtvis är en stor risk om det framkommer.
Men det som nu maskats i dokumentet är endast sex passager där man mitt i den i övrigt så generella beskrivningen av allmänna säkerhetsåtgärder tydligen placerat in var datalagring sker samt tekniska beskrivningar av bland annat segmentering.
Om dessa uppgifter är på detaljnivå har de knappast i riktlinjen att göra eftersom den då inte går att sprida i en vidare krets internt.
Även detta är att starkt skäl att se över regelverket och styrningen i stort.
Om vi sedan tittar på de två övriga dokument jag fått ta del av: så går maskningarna i dessa sammantaget att räkna på ena handens fingrar.
Förutom att även dessa i huvudsak saknar anpassning till Ineras egentliga behov av styrning och även till SKL:s flaggskepp KLASSA är det svårt att se vad som föranlett Ineras rädsla för att sprida dem.
Hela hanteringen av min begäran utlämnande av handlingar framstår som fånig och okunnig i mina ögon men har det goda med sig att det kanske hindrar andra från det överutnyttjande av 18.8 som jag tycker mig sett tecken på.
Min sammantagna bild är att Inera saknar ett sammanhängande systematisktoch att den styrning som finns inte är är inriktad på rätt målbild som till exempel att ge kunderna möjlighet att styra sin egen säkerhet eller på patientsäkerhet.
Ingenstans framgår att den informationsklassning som kunderna gör av sin information ger utslag i Ineras leverans, inte heller att Inera har ett kunderbjudande som är transparent och flexibelt.
Jag är den första att erkänna att Ineras uppdrag är mycket komplicerat men just därför skulle det kännas betydligt tryggare om det gick att urskilja ett stort engagemang för säkerhetsfrågor som skulle ge både kunder och allmänheten i stort en anledning att hysa en stor tillit till Inera.
Särskilt tänker jag på detta när nu Inera satt igång ett nytt projekt om säker digital .
Visserligen står det ”säker” i rubriken men vilket stöd har projektet i Ineras LIS för att uppnås denna säkerhet?
Finns det en risk att detta projekt hamnar i samma situation som den som kritiserades så hårt av MSB när det gäller säkerhetsaspekterna (trots att det är se att MSB bidrog på ett så särskilt strukturerat sätt)?
Hälso- och sjukvård är ju i högsta grad en samhällsviktig verksamhet som borde få MSB:s mest djuplodande intresse när en ny nationell lösning ska tas fram.
Möjligen har jag helt fel.
Kanske är säkerheten i Ineras verksamhet mycket bättre än vad de styrande dokumenten ger intryck av.
Men samtidigt är det svårt att föreställa sig edär det inte finns en tydlig dokumenterad styrning.
Självklart borde denna styrning omfatta mer än Inera – jag ska väl inte tjata om en nationell styrmodell á la Normen en gång till… Däremot vore det mycket önskvärt med en större granskning av samtliga större aktörer inom hälso- och sjukvård både för att bedöma den reella säkerheten och för att se vilka samordningsbehov som finns.
Med detta som utgångspunkt går det sedan att börja skissa på den gemensamma styrmodellen.
I väntan på detta mitt utopiska tillstånd är en rimlig inriktning att IVO koncentrerar sin tillsyn utifrån NIS-direktivet främst på dessa stora aktörer eftersom de har den största påverkan på vår gemensamma säkerhet.
Den minnesgode kommer ihåg att jag bett att få se Ineras ledningssystem för informationssäkerhet, blivit nekad och hänvisad till Kammarrätt för att framföra mina besvär över detta, förloppet finns beskrivet .
Själv måste jag medge att jag fann Ineras agerande aningen besynnerligt.
Om det nu finns styrande dokument för informationssäkerheten vid sidan om den A4 som utgör policy (vilket Inera hävdar) så förefaller det märkligt att varje ord i dessa dokument skulle utgöra en sådan betydande risk för Ineras säkerhet att de inte kan lämnas ut.
För den som jag som arbetat med utlämnande av allmänna handlingar är väl bekant med rutinen att maska dokumenten så att de delar som bedöms som sekretesskänsliga inte kan läsas – ytterst sällan är dokumenten i sin helhet känsligt.
Kanske har inte Inera upparbetat rutinen för maskning än men efter att ha läst Kammarrättens utslag så är det nog dags att komma igång med det nu.
Jag är naturligtvis nöjd med utslaget och väntar nu på mina handlingar.
Samtidigt väcker ju historien med Inera en hel del tankar.
En är att vi alla är betjänta av största möjliga öppenhet om de regler gällande säkerhet som finns olika organisationer.
Vi behöver lära av varandra och vi behöver närma oss mer av praxis både på branschnivå och i samhället i stort.
Ett överdrivet hemlighetsmakeri skapar en negativ säkerhetskultur och förhindrar processen mot en nödvändig samsyn om hur styrningen av säkerhet bör utformas.
Ineras förhållningssätt pekar också på ett annat mer praktiskt problem, nämligen vikten av att utforma sin hierarki av styrande dokument rätt.
Om man, som Inera tycks ha gjort, blandar principer,ansvarsfördelning och andra faktorer som bör kunna vara helt öppna i random organisation med detaljbeskrivningar av säkerhetslösningar, risker och sårbarheter har man ju skapat ett regelverk som knappast går att sprida ens internt och ännu mindre till externa parter som kunder.
En betydligt mer positiv erfarenhet var det att begära ut samma information hos eHälsomyndigheten där jag inte bara fick ta del av de handlingar som på ett övergripande sätt styr säkerhetsarbetet utan även en bild av de handlingar som är av mer känslig karaktär.
Tyvärr bekräftades dock min bild av bristande styrning av säkerheten inom vården då två av de stora aktörerna inom svensk e-hälsa inte har ett gemensamt regelverk.
Detta är en mycket stor fråga som måste lösas innan vi kan säga att vi är på väg mot en säker e-hälsa.
Ibland behöver vi ta ett steg tillbaka och betrakta en till synes fast definierad problemformulering på litet avstånd för att se om det är ett tillräckligt bra sätt att förstå en viktig fråga eller om det kanske finns andra sätt att betrakta den.
Jag ska nu göra ett försök att vidga frågan om integritet i förhållande till vårdinformation i synnerhet men även till den information som skapas och bearbetas i offentliga verksamhet i allmänhet.
När vi pratar om den personliga integriteten idag handlar det i de flesta sammanhang om teknik som åtkomst till personuppgifter i it-system eller övervakningskameror.
Jag tror att detta är en alldeles för begränsade problemformulering när vi ser hur personuppgifter är det högoktaniga bränslet för multinationella företag som jag skrivit om .
Samma fenomen beskrivs i den mycket välförtjänt hyllade och lästa Konsulterna av Anna Gustafsson och Lisa Röstlund.
Vår nuvarande inställning bygger på att obehörig åtkomst till uppgifterna skulle skada vårt anseende, att intima uppgifter om oss själva skulle bli kända för ”fel” personer.
Det är en rättighetstradition som bygger på tanken att vi har en rätt till en privat sfär och även till att kontrollera ”bilden” av oss själva.
Det är i min mening en alldeles rimlig uppfattning att känsliga uppgifter om oss endast ska vara åtkomliga för de som verkligen behöver dem, t.ex.
för att ge oss rätt vård.
Det är också en inriktning som fungerat i den svenska vården sedan patientjournalerna övergick från att vara räkenskapsmaterial till att bli stöd för vård och behandling.
En snabb och hårdragen exposé skulle kunna se ut som följer.
I och med att den svenska vården till sin absoluta merpart varit offentligt finansierad och offentligt utförd under i princip hela 1900-talet har vårdinformationen varit allmänna handlingar som ägts av vårdgivaren och i väsentliga delar bevarats i och med att sjukvårdshuvudmännen (landsting/regioner) har åtagit sig att bevara alla läkarförda journaler för all framtid.
Förutom att detta förhållande har gynnat patienterna som kunnat få vård grundad på vederhäftig information har det gett Sverige ett unikt forskningsläge med tillgång till en hel befolknings data om hälsa och vård i ett välordnat system.
Förutom att det är lätt glömma bort att vi faktiskt haft mycket väl utvecklad hantering av patientdata i över ett sekel är det också lätt att glömma bort att detta bygger på ett samhällskontrakt som kan ses som en del i den svenska välfärdsstaten.
Ungefär: högkvalitativ vård och en avancerad forskning finansieras via skatten och dina vårduppgifter används för att ge dig själv och andra patienter bättre vård.
Förutsättningen för kontraktet var 1) att patientuppgifterna användes för etiskt prövad akademisk forskning och 2) att patientuppgifterna omgavs med sekretess och att det fanns hög grad av spårbarhet i vilka som tagit del av dem.
Jag vet att så fort man säger eller skriver att patientuppgifterna omgavs med höga krav på sekretess så kommer det alltid ett antal människor rusande och återger hårresande berättelser från gamla journalarkiv.
Min utgångspunkt är vad lagstiftning i form av bland annat patientjournallagen betonade och studier som gjorts av journalhantering under 60-80-talet samt de mycket konkreta erfarenheter jag har av praktisk journalhantering samt sekretessmedvetande från ett antal år i olika typer av vårdverksamheter.
Personligen har jag tycket att detta varit ett bra samhällskontrakt som bygger på ett stort mått av tillit och har ofta argumenterat emot dem som menat att patienten själv ska äga sin journal eftersom det, enligt mig, skulle leda till stora nackdelar både för patienten och för samhället.
Tyvärr har jag varit tvungen att börja ompröva detta efter de senaste decenniernas digitalisering inom sjukvården.
Om vi tar det aktuella exemplet Region Stockholms för hälsodata liksom NKS intention att lämna ut stora mängder patientdata via BCG till amerikanska företag måste vi kanske övergå till ett annat sätt att se på integritet.
Kanske måste vi lämna den traditionella svenska uppfattning och se på integritet som en äganderätt vilket är ett synsätt som varit etablerat i mer konservativa tanketraditioner som exempelvis Nozick med efterföljare.
Det skulle i detta alltmer kommersialiserade sammanhang där personuppgifter blivit guldet eller kunna tolkas som att din äganderätt av dig själv också innebär att du också äger den eftertraktade resursen som dina personuppgifter utgör.
Om du äger uppgifterna måste också ha rätten att avgöra hur de får användas utöver exempelvis vad vården kräver.
Detta är ett synsätt som går emot den rådande trenden inom svensk sjukvård där inte ens tycker de mycket begränsade möjligheter till samtycken ska få finnas kvar utan hanteringen av personuppgifter ska ske långt över huvudet på patienterna.
En randanmärkning är att sjukvårdspolitiker och SKL inte riktigt tycks acceptera gällande lagstiftning som den gällande spärrar, integritet eller molntjänster.
Istället för att inrätta sina verksamheter så att de följer lagstiftningen lägger man all energi på att argumentera för att lagstiftningen ska ändras.
Det känns inte som allt igenom konstruktivt förhållningssätt och min uppfattning är att detta är en delförklaring till den haltande digitaliseringen av vården.
I ovan refererade debattartikel förefaller inriktningen vara att patientuppgifterna generellt liksom i centret för hälsodata få användas för random ändamål för var går gränserna för ändamål som exempelvis life science, kvalitetsutveckling och uppföljning?
Det är aningen förbryllande att de politiker som kallar sig liberala tycks minst intresserade av liberala värderingar och individers rättigheter utan har en närmast kinesiskt touch i synen på relationen mellan individ, kapital och staten.
När jag läser om Centrum för hälsodata tänker jag också hur Region Stockholm ständigt upprepade bristande affärssinne som i utförsäljningar av allmän egendom till totala underpriser.
Nu ska man sälja hälsodata till ”självkostnadspris”.
Varför ska kommersiella företag inte betala marknadspris för den råvara som personuppgifterna utgör?
Även om det i mina ögon är en olycklig utveckling inte minst för den medicinska forskningen vill jag ändå pröva tanken på hur det skulle se ut om vi ägde vår egen patientinformation.
Det finns liksom ingen fördel för svenska patienter att lämna data till amerikanska försäkringsbolag eller som stöd till företagen i det som Zuboff kallar den multinationella övervakningskapitalismen.
Om vi ska ersätta tillitsbaserade relationer med kommersiella måste detta ske på ett sätt som inte bara gynnar den ena parten.
Vi skulle kunna laborera med möjligheten till en digital valfrihet där man som patient fick en äganderätt till sina patientuppgifter och därmed kunna bestämma över hur de får hanteras.
Exempelvis kryssa i ett formulär med alternativ som Mina patientuppgifter får användas: Till detta kan läggas verklig anonymisering som alternativ på samtliga val.
Patienten kanske ska erbjudas möjligheten att få ta ut ersättning då personuppgifterna säljs till kommersiella aktörer och då inte ”självkostnadspris” utan ett reellt pris.
Detta tror jag vore ett bra sätt att återföra makten till patienten, sätta till press på sjukvårdshuvudmännen att ta frågan på allvar och att utveckla privacy by design vilket ju är ett lagkrav för de som glömt bort det.
Ett annat resultat vore möjligen också att patientföreningar som representerar patientens olika intressen kunde bildas och utgöra ett komplement till de patientföreningar vars oberoende kan . En ny sorts patientföreningar skulle kunna bli förhandlingspartners och förhandla fram bättre priser än självkostnadspris för råvaran.
Tanken svindlar för vilka möjligheter som skulle kunna öppnas.
Resonemanget om en digital valfrihet för individen kan med fördel även tas in i diskussionerna om öppna data.
Jag är inte säker på om jag håller med mig själv men jag tror vi som verkligen är intresserad av den personliga integriteten måste börja fundera på hur vi ska kunna hitta verktygen i en ny tid.
Jag har tagit del av den granskningsrapport som KPMG genomfört på uppdrag av Region Stockholm efter 1177-skandalen och som av en händelse (?)
publicerades dagen för midsommarafton.
Rapportens omfång motsvarar på intet sätt skandalens omfång utan är ett luftigt dokument på 14 sidor inklusive bilagor.
Att rapporten är tunn räknat i sidor behöver naturligtvis inte påverka skärpan i analysen men som rätt luttrad granskare av informationssäkerhet känns de 14 sidorna som rätt kraftigt i obalans med uppdragets genomförande och omfattning: Granskningen har omfattat en kombination av IT-revision, inhämtning av information från tillgänglig dokumentation av karaktären styr- och stöddokument, uppföljningsrapporter samt intervjuer med nyckelpersoner.
Granskningen har utgått från vedertagna granskningsmetoder inom området informationssäkerhet, vilket omfattat såväl Vårdgivaren och dennes underleverantörer som Region Stockholm genom HSF.
En lista över de personer som intervjuats återfinns i bilaga 2.
Granskningen har genomförts under maj-juni 2019.
Vidare är rapportens utformning i avvikelseformat där endast väsentliga iakttagelser har lyfts fram med förslag på förbättringsåtgärder, inklusive eventuella behov att förtydliga avtal, uppföljningsrutiner och processer för att minimera att motsvarande inträffar igen.
Att på så få sidor beskriva Region Stockholms, Medhelps och ett antal underleverantörers styrning av sin informationssäkerhet, vad som gått fel och vad som bör göras för att undvika att systemfel som det inträffade upprepas känns inte riktigt seriöst.
Den sammanfattande bedömningen är dock på allvar oroande: Vår övergripande bedömning är att HSF bör se över kravställningen på informationssäkerheten i samband med upphandlingar samt att uppföljningsprocessen behöver struktureras och formaliseras för icke funktionella krav, däribland informationssäkerhet.
I allt väsentligt behöver kravställningen preciseras för att säkerställa att leverantörerna är införstådda i HSF:s förväntningar, men även för att öka den interna förståelsen för hur kraven ska följas upp.
Att avtalskraven beträffande informationssäkerhet är allmänt hållna, samtidigt som standarden inom området inte är fullt integrerad i HSF:s verksamhet, innebär i praktiken att Vårdgivarens hantering av informationssäkerhet endast har följts upp i begränsad omfattning.
Vad gäller Vårdgivaren kan vi konstatera att det inte finns något dokumenterat ledningssystem för informationssäkerhet samt att det förekommit brister i rutinen för utvärdering och uppföljning av underleverantörer till vårdtjänsten.
Vi noterar dock att Vårdgivaren, sedan incidenten, arbetar med en åtgärdsplan för att förbättra informationssäkerheten, rutiner beträffande kontroll av leverantörer samt planerar för en certifiering inom ISO 27001.
Vi noterar att de akuta bristerna hänförliga till incidenten har hanterats, bland annat genom den skyndsamma nedstängningen av den felkonfigurerade servern, uppsägningen av avtalet med underleverantören som givit upphov till incidenten samt inhämtandet av all patientinformation till Vårdgivarens egen tekniska lösning.
Vi har dock identifierat ett antal framåtblickande förbättringsområden som rör HSF:s övergripande arbetssätt beträffande informationssäkerhet, fördelningen av roller och ansvar samt metoden för hantering och uppföljning av leverantörer.
Vidare har vi även identifierat åtgärder hänförliga till Vårdgivarens arbete med informationssäkerhet och den planerade ISO-certifieringen samt sättet till vilket Vårdgivaren arbetar med att vidareförmedla HSF:s avtalskrav beträffande informationssäkerhet.
HSF är alltså Hälso- och sjukvårdsförvaltningen i Region Stockholm och vårdgivaren Medhelp.
Att Region Stockholm inte lyckas formulera tydliga säkerhetskrav i upphandlingar i en så central tjänst som 1177 är i sig skandalöst.
Att sedan Medhelp som vårdgivare helt saknar ledningssystem för informationssäkerhet och att Region Stockholm inte ens ställt krav på en så grundläggande nivå är information som bekräftar min bild att den svenska sjukvården fortfarande ignorerar behovet av informationssäkerhet.
1177-skandalen var trots allt bara sten som vändes, om än stor.
Det som verkligen oroar är de brister i Region Stockholm säkerhetsarbete som avslöjas indirekt i rapporten.
Dessa brister gör det mycket sannolikt att 1177 bara är en del i större systemfel där patienters hälsa och integritet är i en ständig riskzon om rapportens uppgifter stämmer.
Ta till exempel följande iakttagelse från granskarna: HSF saknar ett fullständigt ledningssystem för informationssäkerhet (LIS).
Enligt den regionsövergripande informationssäkerhetspolicyn ska varje nämnd införa ett lokalt ledningssystem för informationssäkerhet.
I förekommande fall har HSF tagit fram lokala styrande dokument för informationssäkerhet, men dessa återspeglar i allt väsentligt de styrdokument som finns på regional nivå.
Graden av verksamhetsanpassning är relativt låg och förvaltningen har inte tagit fram några instruktioner eller utvecklat processer för hanteringen av informationssäkerhet.
Vi noterar att instruktioner håller på att arbetas fram, men dessa berör hanteringen av portabel IT-utrustning och syftar således inte till att tydliggöra riktlinjerna för hur förvaltningen.
Region Stockholm har alltså inte tagit fram säkerhetsregler för avpassade för sjukvården utan i huvudsak nöjt sig med de generella för regionen (trots att det funnits en föreskrift att så ska göras sedan 2008 SOSFS 2008:14) och att man inte heller är på väg att göra det för mer än för bärbar utrustning.
Jag tror redan den som rent tillfälligt jobbat med informationssäkerhet i vården förstår hur mycket arbete och eftertanke som krävs för att anpassa generella regler så att de fungerar i vården, t.ex.
bara att ge en uttolkning av ansvasförhållandena för informationshanteringen är en mycket komplex fråga.
Situationen i Region Stockholm gäller även hos Medhelp som inte heller har förmåga att ställa relevanta krav på sina underleverantörer: Processer och rutiner ska finnas för att säkerställa uppfyllandet av Socialstyrelsens krav på informationssäkerhet.
Vårdgivaren har inget dokumenterat LIS och det är vår bedömning att vissa processer saknas för att kunna försäkra att kraven uppfylls.
Vi noterar exempelvis att Vårdgivaren, i enlighet med vedertagna standarder och god praxis, inte har ställt ändamålsenliga krav på samt följt upp leverantörers hantering av informationssäkerhet.
Vidare anger Socialstyrelsen att vårdgivare ska ha en informationssäkerhetspolicy som anger mål och inriktning på verksamhetens arbete med informationssäkerhet.
Vi har identifierat att Vårdgivaren har antagit en informationssäkerhetspolicy i maj 2019.
Vi noterar i sammanhanget att Vårdgivaren planerar för en certifiering inom ISO 27001 till kvartal 2, 2020 samt har ett ledningssystem för GDPR.
Den här råttan-på-repet situationen illustrerar väl varför startpunkten för att förbättra säkerheten i vården på måste ligga på sjukvårdshuvudmännen eftersom det är huvudmännen som utformar förutsättningarna för de övriga aktörerna.
Tyvärr har ju lagstiftning och föreskrifter i huvudsak varit inriktade på vårdgivarna vilka i praktiken numera har svårt att ens den egna informationssäkerheten eftersom informationen hanteras i gemensamma lösningar.
Det är därför extra nedslående när sjukvårdshuvudmännen väljer att inte driva frågan ens i den egna verksamheten och inte heller att respektera de föreskrifter som finns.
Framför allt är det en fråga där det inte skulle behövas en föreskrift för att få de styrande i Sveriges största sjukvårdshuvudman att inse behovet av att styra informationshanteringen så att patienterna kan lita på att få god och säker vård.
I den kommentar som regionens ansvariga för vård upprepar man att man ska införa emen fokuserar i åtgärderna huvudsakligen på underleverantörerna.
Men att styra underleverantörerna utan ett eget fungerande regelverk är ett moment 22 som även granskarna noterar: HSF ställer inte tillräckligt tydliga krav på sina privata vårdgivare vad gäller deras informationssäkerhet.
Kravställningen på informationssäkerhet sker genom tillämpningen av en standardbilaga, vilken anger att leverantörer/vårdgivare ska följa regionövergripande styrande dokument för informationssäkerhet.
Vi noterar att de styrande dokumenten, i sin tur, anger att informationssäkerheten hos de som arbetar på uppdrag av Region Stockholm ska regleras genom avtal.
Vår bedömning är att dessa hänvisningar kan ge upphov till skiljande uppfattningar gällande kravbilden på informationssäkerheten.
Med hänsyn till att Socialstyrelsen anger som krav att vissa kontrollmål ska uppfyllas beträffande informationssäkerheten, företrädesvis med stöd av ett LIS enligt standarder i ISO 27000-serien, är det även vår bedömning att HSF:s tillkommande avtalskrav endast ger en begränsad effekt vad gäller att tydliggöra förväntningarna på de privata vårdgivarna.
Jag ska inte tjata mer om hur uppseendeväckande det är att Region Stockholm trots föreskrifter, alla incidenter och trots alla granskningar genom åren ändå inte prioriterar att införa ens ett regelverk för vården att utgå ifrån.
Det gör att man vare sig kan ha ett internt systematiskteller ställa relevanta krav på underleverantörer, det senare framgår på ett nästan tragikomiskt sätt i relationen med Medhelp.
Informationssäkerheten i vården är ingen ny fråga utan har varit uppmärksammad sedan åtminstone första hälften av nittiotalet.
Den stora frågan är Region Stockholm (och övriga sjukvårdshuvudmän) år efter år undviker att komma till rätta med bristerna.
Varför tycker man att det är rimligt att utsätta verksamheten och patienterna för de stora risker som den bristande säkerheten leder till samtidigt som man är beredd att investera ofattbara resurser i experiment som NKS?
Och nej, det går inte att säga att 1177 var ett undantag från en i övrigt fungerande situation.
KPMG:s rapport är den senaste i en rad av rapporter som visar att den bristande säkerheten är ett systemfel som genomsyrar hela den svenska vården – har man inte styrning av informationssäkerheten så finns den inte mer än fläckvis och utan möjlighet att reducera riskerna.
En relaterad fråga är om NIS-direktivet kommer att ha någon positiv inverkan över huvud taget eller om även denna styrning mot ekommer att ignoreras.
Om läsaren tycker att jag ger en alltför mörk bild av Region Stockholms informationssäkerhet rekommenderar jag att ni läser KPMG:s knapphändiga rapport som ändå ger en antydan om regionens förmåga rörande informationssäkerhet.
Tillägg 2019-06-24: Lägger ut rapporten som pdf här: Även för den som är relativt insatt i svensk hälso- och sjukvård och dessutom fortlöpande läst DN:s långa rapportering om alla turer i NKS:s skandalen är ”Kampen om Karolinska.
Konsulterna” av journalisterna Anna Gustafsson och Lisa Röstlund en upprörande och i vissa stycken hjärtslitande läsning.
Sammanställningen av en lång rad av medvetna beslut av den politiska majoriteten under ett antal år som lett till en alltmer katastrofal situation är skakande och i förstone närmast obegriplig.
Att denna politiska revolution av den stockholmska sjukvården kunnat genomföras trots att den kantats av ekonomiska haverier i en hittills okänd skala, personal som flyr eller är helt uppgivna samt i sin yttersta konsekvens patienter som faktiskt dör på grund av omorganisationen.
Boken ger en mycket grundlig och researchad beskrivning av förloppet, dessutom välskriven.
Jag kommer inte här att gå in på djupet i boken utan rekommenderar den som sommarläsning för alla.
Som konsult kan jag särskilt uppmuntra andra konsulter läsning och därefter visst begrundade av vilken skada man kan göra om man som konsult driver sin egen agenda i kundens organisation.
Det är inte en särskilt hårfin skillnad mellan att ha integritet och att driva sina egna intressen hos kunden.
Efter att ha arbetat i offentlig sektor är det vissa drag i historien obehagligt välbekanta som övertron på att gigantiska omorganisationer löser problem och managementkonsulter som löper amok och kör över alla som har någon slags kompetens, d.v.s.
Den tystnadskultur som drivits fram vid NKS där enbart lovprisning av den värdebaserade vården tolererats är inte heller den ett unikt fenomen utan en sjuka som enligt min uppfattning äter sig allt djupare in i den offentliga sektorn generellt.
Det till synes oreflekterade upphöjandet av nya organisationsteorier som frälsningslära är inte heller unikt för NKS med sin värdebaserade vård.
Själv har jag varit med om allt från LOTS till Lean via lärande organisation, det sistnämnda något ironiskt eftersom varken landstingspolitiker eller myndighetschefer verkar lära sig något av de misslyckade organisationsexperimenten – snabbt är man på nästa modeteori.
Själv har jag mycket liten tilltro till att omorganisationer löser större problem, och för detta finns det heller föga stöd i forskningen.
Men för den ledare som vill sätta sitt märke på kommunen, regionen eller myndigheten kan en stor omorganisation vara det som skapar synlighet och inge en känsla av handlingskraft.
Region Stockholm har dock tagit vissa fenomen till en ny nivå.
Varför den borgerliga majoriteten med m och kd i spetsen valde en ekonomisk driftform (OPS) som blivit många gånger dyrare än att bygga och drifta det nya sjukhuset i egen regi saknar fortfarande rimliga svar förutom att de drevs av en nyliberal överideologi.
För den intresserade som vill djupdyka i denna del finns SvD-journalisterna Henrik Ennart och Fredrik Mellgrens bok ”Sjukt hus: om Nya Karolinska – svindlerierna, skandalerna och sjukvårdskrisen i Stockholm”, också den mycket läsvärd.
Stockholmare kommer att dras med effekterna av denna mycket dåliga affär i decennier framåt.
Att man dessutom låtit konsulter från BCG skicka in juniora konsulter, fakturera vilt samt anställa sina gamla kollegor är även det ganska många snäpp mer än vad som brukar förekomma.
Lägg därtill alla turer där anställda på KI även driver företag tillsammans med amerikanska intressen och försöker påverka utvecklingen av den stockholmska sjukvården så det gynnar de egna företagen snarare än patienterna och vi har en soppa som inte skådats i Sverige i modern tid.
Särskilt oroande blir detta med tanke på att hälso- och sjukvård är en av de sektorer som är mest utsatta för korruption vilket det finns ett aktuellt Konflikt om .Det tål att påminnas om den gamla sanningen att Sverige löper en stor risk för korruption eftersom vår självbild är att vårt samhälle är immunt mot korruption.
För mig har det dock varit av särskilt intresse att ta några steg tillbaka och sätta den värdebaserade vården och den informationshantering som följt med den i ett större historiskt och politiskt perspektiv.
Jag pratar då inte om de ”normala” it-haveriförloppen inom den svenska sjukvården och framför allt Region Stockholm där först politiker går ut med löften om fantastiska nya som sedan .
Därefter glöm, få andra att glömma och upprepa.
Nu pratar vi om en informationshantering med risker på en hel annan nivå och inbyggda i själva styrningen av sjukvården.
Den värdebaserade vårdens ledande företrädare Michael Porter (forskare i management och strategi, inte medicin) brukar enligt författarna av sammanfatta sin teori i ekvationen .
Resultatet mäts i hög grad utifrån patientens upplevelse, inte ett faktiskt mätbart resultat vilket känns fascinerande paradoxalt eftersom modellen i övrigt bygger på att mäta, mäta och åter mäta.
Observera att jag inte på något sätt ifrågasätta patientens rätt att känna sig nöjd med och delaktighet i sin vård utan invändningen ligger i att det finns få så luriga mått som upplevd nöjdhet samt att detta är ett mått är skräddarsytt för en konkurrensstyrd kommersiell verksamhet.
Redan här kan man se hur valet av vårdmodell klickar i den ideologiska revolutionen av den stockholmska sjukvården.
Den värdebaserade vården satt i system förutsätter en gigantisk datainsamling för att verkligen kunna bedöma vilken aktör som vid varje tillfälle lyckas lösa Porters ekvation bäst.
Förutom att i sig skapar det NPM-inferno som även känns igen från den svenska skolan med överdokumentation och rapportering med efterföljande stress är detta en modell som illa överensstämmer med en offentligt finansierad vård.
Istället för att ta det ansvar som krävs för bland annat multisjuka äldre maximeras istället vinsten i modellen för de vårdgivare som avverkar enskilda vårdepisoder snabbast.
Som så ofta i den moderna vårdens historia har frälsare av Porters typ fått dominera och hävda att sjukvård kan ses på precis samma sätt som bilfabriker.
Och varje gång havererar de löpande bandsprinciperna utom i vissa specifika operationstyper eftersom människor envisas med att ha kroppar och sinnen som är så mycket mer unika och komplexa än nyproducerade bilar.
Skandalen på NKS gör dock att jag (och förhoppningsvis andra) får upp ögonen för hur det ekonomiska skede vi lever i fungerar.
Sedan åtminstone 70-talet har vi vetat att vi lever i ett informationssamhälle men vad betyder egentligen det?
Inte bara att vi får en massa nya coola prylar och kan kommunicera via the world wide ( wild) webb utan att vi faktiskt gått in i en ekonomi som har information som sin huvudsakliga råvara.
Den amerikanska professorn i social psykologi Shoshana Zuboff har i sin mycket omskriva beskrivit framväxten av hur det ekonomiska systemet byggt på information som råvara fungerar.
Ofta tolkas hennes teorier endast i förhållande till Google, Facebook och liknande plattformar som .
Att se Zuboffs bok snävt som en beskrivning av hur Google och Facebook fungerar är fel menar jag.
Bland annat den globala hälso- och sjukvårdsmarknaden fungerar idag enligt samma grundprinciper.
I fallet med NKS, BCG och den värdebaserade vården blir det uppenbart hur ekonomiska intressen utanför NKS, Region Stockholm och Sverige ser den svenska sjukvården som en naturresurs att utvinna.
Zuboff är inte ensam i sitt uppsåt att skildra den digitala ekonomins framväxt men hon gör det på ett sammanfattande och övertygande sätt (och med en titel som för tankarna till favoriten bland författare till breda historiska exposéer Hobsbawm).
Mycket grovt förenklat kan Zuboffs skildring av övervakningskapitalismens era ses som ett skede där teknisk innovation korrelerar med framför allt två huvudsakliga faktorer: att det från 70-talet växer fram en nyliberal hegemoni i västvärlden och efter 11 september 2001 ett samhällsklimat som präglas av en allt starkare befogad eller obefogad känsla av otrygghet.
Nyliberalismens huvudkonflikt kan, även detta starkt förenklat, ses som en maktkamp mellan statlig/samhällelig reglering och de fria marknadskrafterna.
Under de senare decennierna av förra århundradet och de två i vårt nuvarande har en systemförändrande avreglering skett och ersatts av metoder som compliance och standarder där marknaden påstår sig kunna reglera sig själv.
Kombinerad med den konsekventa nedmonteringen av rätten till integritet som motiverats av att kunna förhindra terrorism och andra brott har kapat både samhällets och individens förmåga att på ett effektivt sätt skydda sig, eller ens vilja skydda sig, mot att personlig information utan insyn och kontroll används som råvara.
När informationen blivit råvara förflyttas äganderätten av uppgifterna från individen till det företag som kan hävda sig ha ”förädlat” den (här finns en intressant koppling till Nozick som jag inte hinner utveckla närmare men låt mig ändå säga att jag ser Nozick som själva gudfadern till berättigandet av utvecklingen).
I denna historiska korsväg utvecklar först Google och därefter bl.a.
Facebook sina tjänster.
I lika hög grad som att erbjuda användarna möjlighet att utbyta information sinsemellan börjar företagen exponentiellt samla allt mer information om användarnas beteende.
I förstone motiveras detta med att det ska ge underlag för att ge användarna allt bättre tjänster för att sedan allt mer tydligt ge stöd för riktad marknadsföring.
Med den fullständigt enorma informationsbas av överskottsinformation som Google byggde upp kunde de göra så annonsörerna kunde få stor träffsäkerhet i sin annonsering.
Steget efter att ge sökvägar till annonsörerna var det som Zuboff menar är det verkligt revolutionerande: ett överskott av information rörande användarnas beteende som med algoritmernas hjälp går att användarnas behov: Instead, we are the objects from which raw materials are extracted and expropriated for Google’s prediction factories.
Förutsägelserna berör inte bara den enskilda användarna utan, viktigare, på gruppnivå.
Ett positivt exempel är när det genom användares sökningar på Internet går att förutse influensaepidemier.
Obehagligare när en kvinna börjar få annonser om mammakläder i sitt flöde redan innan hon själv vet att hon är gravid… Den verkliga vinsten i att inte bara veta hur folk/kunder beter sig när de får hålla på som de vill utan när tjänsteleverantörerna påverkar kunderna att agera på ett sätt som gynnar leverantören utan att ens fatta det.
Tjänste- och plattformsleverantörer har, som Zuboff visar, ända sedan början haft ett gemensamt intresse och samarbete med statliga myndigheter i USA och annorstädes vilket inte gör osynliga men obetvingliga styrningen mycket skrämmande.
Den generellt positiva syn som många säkerhetsmänniskor har till övervakning blir satt i detta sammanhang oroande naiv.
Marknadspotentialen i att ha tillgång till oceaner av information om beteenden är omätbar inte bara i första läget för det egna företaget utan framför allt som en förpackad kommoditet som kan säljas vidare.
Sätt då detta i korrelation med en bransch som omsätter mellan 10 och 20 % av BNP i västvärldens länder, är i snabb global tillväxt och dessutom samlar in och bearbetar känslig personlig information om alla invånare.
Landskapet som NKS och den värdebaserade vården sätts i kan liknas vid det El dorado som conquistadorerna drömde om, med skillnaden att Sverige verkligen finns och har kvalitetsregister och patientjournaler för hela befolkningen.
Det vill säga ett verkligt El dorado för inte bara vård- och läkemedelsföretag utan även försäkringsbranschen.
Cyberrymden är en ny jättekontinent som exploatörerna vill hålla så fri från reglering som möjligt.
De fantastiska marknadsmöjligheter som ligger i att kunna prognosticera patienter och försäkringstagarnas utveckling är oöverblickbara.
Denna sanning uttrycks explicit i ett citat av en högt uppsatt tjänsteman på Karolinska som inleder avsnittet som är mycket lämpligt benämnt ”Guldet” i DN-journalisternas bok: Det är en sak som BCG och bolagen de jobbar med främst vill åt.
Det är patientdata som är deras bitcoins.
Däri ligger den stora affären i värdebaserad vård.
Vi måste lära oss att leva med att Sverige med sin långtgående nyliberalism i kombination med de kvalitetsregister som på frivillig basis byggts upp under mycket lång tid tillsammans alla övriga patientdata kommer att ha ofattbar dragningskraft på internationella företag.
Det gäller på samma sätt för all annan information inklusive personuppgifter som sammanställs av svenska myndigheter.
Det viktiga är att detta hanteras på ett öppet sätt där inte bara företagen blir nöjda utan att även kärnverksamheten och dess avnämare som patienter och medborgare.
När man ser mekanismerna som varit i kraft vid NKS kan jag inte låta bli att undra över exempelvis satsningen på När satsningen presenterades av Göran Hägglund (numera tryggt förankrad i privata vårdföretag) framställdes som en särskild USP att app-leverantörer och andra entreprenörer skulle kunna bygga tjänster på de datamängder som insamlades.
Vad var egentligen hönan och vad var ägget i Hälsa för mig?
kan ses i full careta när det gäller även härvan på NKS och den värdebaserade vården.
Lobbyismen, parasiterandet på akademin och de vilseledande budskapen om vem som gynnades.
Utan att ta partipolitisk ställning tycks för närvarande samhällets förmåga att hantera en skandal som den vid NKS undermålig.
Inget ansvarsutkrävande av de verkligt ansvariga, d.v.s.
de politiker som fattat samtliga beslut både när det gäller byggnation, värdebaserad vård, konsultanvändande och it-system, har skett.
Fristående och seriös journalistik förefaller vara det enda sättet för att skapa den insyn och kontroll som de offentliga institutionerna inte är intresserade av att själva bygga upp vilket i sig är en dyster insikt.
I detta sammanhang är en stilla önskan att hela e-hälsoområdet kommer att locka till sig lika envetna, seriösa och välskrivande journalister som de som nu skrivit ”Konsulterna”.
Ett helt ofarligt löfte att ge är att det finns lika mycket att gräva fram om e-hälsa som om NKS!
Det är lätt att hamna i en politisk depression när man funderar över hur digitaliseringens starka krafter ska kunna tyglas för att dra åt ett håll som gynnar hela samhället och så att individen har en basal möjlighet att upprätthålla sin integritet.
Att krafterna som motverkar integritet är mycket kraftfulla är uppenbart och argumentationen från de kommersiella aktörerna mot integritet som hindrar affären dominerar även i ett stort antal myndighetsutredningar har jag länge observerat.
Den sittande majoriteten i Region Stockholm gjorde det till och med till ett vallöfte att göra stockholmarnas patientdata tillgängligt för industrin.
Trots detta drabbades jag litet av en chock när jag i slutet av ”Konsulterna” får läsa att OECD antagit värdebaserad vård som strategisk inriktning och kräver att medlemsländerna, däribland Sverige, ska dela patientdata via en jättelik gemensam databas, ”Parisdatabasen” där OECD är ägare till uppgifterna.
Detta sker i samarbete med – BCG… Databasen vars nytta bedöms oklar av Socialstyrelsen och vars syfte inte klart har definierats anses ändå oumbärlig.
Särskilt upprörande är att det inte går att avtala vem som ska få tillgång till informationen utan har beskrivits som ”OECD och framtida samarbetspartners”.
Ganska långt från dataskyddsförordningens regler är väl ett understatement.
Jag uppmanar alla intresserade att hålla ögonen på detta projekt, särskilt som det verkar som att OECD i aggressiva ordalag kräver in uppgifter trots svenska myndigheters tveksamhet.
Landsting och regioner är däremot föga förvånande positiva, en nödvändig levnadsregel är nog: lita aldrig på en region i integritetsfrågor.
Vad kan då göras?
Jag menar att vi måste kunna införa ett slags samhälleligt marshmallows-test där vi vågar utreda vår nya situation och skaffa oss nödvändiga redskap för att styra utvecklingen åt ett håll som gynnar flertalet och inte bara viljelöst följa med.
Oavsett politisk uppfattning bör vi kunna komma överens om att de intressekonflikter som finns i den digitala utvecklingen måste lyftas fram och diskuteras så att åtminstone invånare i demokratier har möjlighet att ställning till hur de vill ha framtiden.
Ett konkret förslag är att tillsätta en etisk kommitté med uppdrag att fortlöpande utvärdera och ta ställning till större initiativ inom digitaliseringsområdet.
DIGG kan vara sammankallande och sköta kansliet för kommittén men ett antal mycket fristående och erkänt motspänstiga ledamöter av typen filosofer bör ingå.
Otillräckligt men kanske ett första steg på att erkänna att varje mynt har åtminstone två sidor, så även digitaliseringen.
Slutligen måste jag understryka att jag inte ger någon av de nämnda böckerna rättvisa utan uppmanar alla att själva läsa dem och bilda sig en egen uppfattning.
Själv fick jag min nya Fitbit igår… Tillägg 2019-06-18: Ett visst hopp angående möjligheten att OECD:s planer kan ändå skönjas i och med regeringens beslut att inte delta i uppbyggnaden av .
Teknikhistoria är ett fascinerande ämne som jag ägnat mycket intresse genom åren och då alldeles särskilt samspelet mellan teknik, samhällsutveckling och ekonomi.
Frågor som varför vissa tekniska uppfinningar blir innovationer medan andra inte gör det och de institutionella förutsättningar som gör att teknik leder till positiv samhällsutveckling är ganska grundligt beforskade.
En underbar populärvetenskaplig bok på detta tema är Wolfgang Schivelbuschs som jag rekommenderar alla som vill skapa sig en hälsosam distans till det utmattande nuet.
Det är med denna bakgrund som den svenska förvaltningens digitalisering ständigt förvånar mig eftersom dess genomförande tycks strida mot det som framkommit som framgångsfaktorer för införande av ny teknik.
Istället för att bygga gemensam infrastruktur och institutionella förutsättningar har svenska myndigheter och regioner/landsting ägnat sin energi åt någon slags känslomässig påverkan.
Vad är då budskapet i denna känslomässiga kommunikation?
Så här ser de mest förekommande implicita och explicita budskap ut.
Det övergripande budskapet att det finns ett stort antal ludditer som är passionerat motverkar digitalisering och som måste övertygas om att digitalisering är BRA.
Efter noggrant begrundande kan jag inte erinra mig en enda person som varit emot digitalisering, däremot många som varit emot dålig digitalisering.
Det hindrar inte att det förekommer en ständig underström av halmdockor (läs mer om det klassiska fula argumentationsfelet ) när digitalisering diskuteras.
Dessa figurer som med lock och pock måste forceras att överge papper och penna är del i en ganska bra härskarteknik eftersom den som låtsas som att dessa finns då själv framstår som en ljusbringare som står för det ”moderna”.
Och det är något som i svenska sammanhang vördas så är det det moderna, så har det varit sedan 1800-talet, oavsett vad moderniteten stått för.
Det uppenbart ologiska i att hävda att populasen är teknikfientliga bakåtsträvare på jobbet eller när de ska använda offentliga e-tjänster när de samtidigt på sin fritid har olika kommersiella e-tjänster som sina närmaste livskamrater tycks inte störa.
Nästa centrala budskap är att digitalisering per definition är bra vilket leder till den underförstådda tesen att digitalisering är bra.
Som följd av detta görs ingen skillnad mellan bra och dålig digitalisering trots att alla känner till minst fem misslyckade digitaliseringsprojekt i sin närhet.
Att det inte får finnas dåliga digitaliseringsprojekt till en dubbelriktad kultur av icke-existerande uppföljning och erfarenhetsåtervinning; eftersom det inte görs någon uppföljning kan dålig digitalisering inte påvisas.
Jag tittar in på webbplatserna för två centrala aktörer för den offentliga sektorns digitalisering, eSam och SKL, för att se hur man hanterar utvärderingsfrågan.
eSam har gett ut ett antal vägledningar och metodbeskrivningar för digital samverkan (a.k.a.
ta fram digitala lösningar) i alla möjliga skärningar men vad jag kan se har inte uppföljning och utvärdering förlänats något eget metodstöd.
I den 84-sidiga för behovsdriven utveckling finns visserligen dessa rader med: Efter varje införande bör det genomföras en utvärdering för att ta vara på erfarenheter om vad som gick bra respektive mindre bra i behovsinsamling, planering, metodval, samarbete samt hur resultaten mottogs.
Infriade tjänsten de förhoppningar verksamheten och målgruppen tänkt sig?
men i ett systematiskt arbete förväntar man sig ett något större intresse för frågan.
SKL, som får ses som ett epicentrum för den vingliga offentliga digitaliseringen, förvånar mig positivt genom att erbjuda verktyg för uppföljning exempelvis och så kallade LIKA-värderingar som den för socialtjänst.
Tyvärr visar sig dessa undersökningar vara mognadsundersökningar av i vilken omfattning man lyckats digitalisera, d.v.s.
det handlar inte om att utvärdera hur väl digitaliseringen fungerar.
Ointresset för utvärdering är paradoxalt sett i ljuset av att digilisatörerna gärna vill tala om digitalt ledarskap och vikten av styrning samt nyttorealisering (nej, det är ingen idé ni går till den vägledningen för nyttorealisering för den innehåller inget substantiellt om uppföljning).
För att kunna leda, styra och nyttorealisera i verklig bemärkelse måste man arbeta systematiskt med att utvärdera gjorda satsningar ur ett antal aspekter som ekonomi och effektivitet.
Förhållningssättet att arbeta utan systematik är menar jag en av de mest grundläggande orsakerna till att det offentliga Sveriges digitalisering inte alls når den nivå som skulle kunna förväntas med tanke på de investeringar som gjorts.
Att den svenska digitaliseringen kraftigt underpresterar är ett faktum som det nu tycks råda konsensus om även från internationella bedömare som OECD.
Orsakerna till detta borde vara synnerligen intressanta att identifiera och då inte bara genom att komma dragande med gamla kära bortförklaringar som att juridiken inte är anpassad till digitaliseringen.
Kraften i det argumentet är ju inte heller så övertygande då till exempelvis sjukvårdshuvudmän och vårdgivare högaktningsfullt struntar i viss lagstiftning som man finner obekväm.
Det går inte att argumentera för digitalisering med rationella argument, tråkiga och genomarbetade analyser eller krassa ekonomiska beräkningar.
Istället sker kommunikationen med ett överflöd av uttalande av den här typen: Eftersom dessa uttalande inte går att vare sig be- eller vederlägga befinner vi oss i en situation där ledande aktörer inom digitaliseringsetablissemanget ständigt vädjar till våra känslor istället för att föra en dialog grundad i sakfrågor.
Här uppstår tror jag den olyckliga pepp-cirkelargumentationen där utomstående inte kan delta eftersom ramen för deltagandet är satt; bara de som accepterar pepp-läget kan ingå, de som efterfrågar rationalitet, siffror och nytta uppfattas som fientligt inställda och görs mer eller mindre förfinat till icke-deltagare och i värsta fall till halmdockan ”motståndare till digitalisering”.
Att det finns ett digitaliseringsetablissemang (precis som det finns ett informationssäkerhetsetablissemang) som har mycket att försvara blir ganska uppenbart vid minsta lilla glutt in på LinkedIn.
Det vore kul att se ett sociogram över det ganska begränsade antal människor som genom åren konfererat med varandra, gett varandra komplimanger, titlar, priser och positioner.
Man har skapar myndigheter, kommittéer, kommissioner och råd för att underlätta digitaliseringen, oundgängliga roller som regeringens CDO och kommunala digitaliseringsstrateger och peppat varandra på karnevaler och festivaler (det sista var kanske en liten överdrift…).
Digitaliseringen har beskrivits som det största tekniksprånget i historien (jag skulle nog snarare hävda ångmaskinen eller elektriciteten) och som lösningen på flertalet svåra samhällsproblem.
Den arma fackutbildade personalen i välfärdssektorn har fått finna sig att bli mästrade av allehanda ”evangelister” utan definierad kompetens givits utrymme att predika.
Helt olika räknesätt har tillämpats i de kommunala ekonomierna där lärplattformar för bortåt en halv miljard kunnat prioriteras samtidigt med kraftiga nedskärningar på personalen.
Under senare tid har jag alltmer kommit att grubbla över hur den privata sektorn kunnat genomföra sin digitalisering utan detta etablissemang och överbyggnad.
Jag tror att det är dags för ett paradigmskifte inom den offentliga digitaliseringen i Sverige.
Det är inte fel på förutsättningar, ekonomi eller teknik i första hand utan på den metafysik som omger digitaliseringssträvandena, alltså de föreställningar som finns om digitaliseringen och det sammanhang som de digitala lösningarna ska fungera i. Som samhällsmedborgare skulle jag önska att digitaliseringsetablissemanget tar ett steg tillbaka och med viss självkritik granskar sina argument för att kunna börja tillämpa mer kvalitativ och effektiva arbetssätt.
Det vill säga mindre marknadsföring och mera hantverk, mindre känslor och mera strukturellt tänkande, färre halmdockor och fler verkliga läkare och lärare, färre evangelister och flera ingenjörer i vid bemärkelse, mindre digitala lösningar i sig och mer intresse för de resultat som digitaliseringen ger.
Framför allt önskar jag viljan och förmågan till ett normalt kritiskt förhållningssätt till digitalisering.
Ett stöd för denna typ av reflektioner kan vara följande över vanliga villfarelser.
Särskilt rekommenderar jag närstudier av följande bias: sunk cost fallacy, dunning kruger effect, back fire effect, self serving bias och group think.
Först en disclaimer.
Denna text är skriven med ett visst undertryckt ursinne.
Under 7-8 år under mina vittflygande studier jobbade jag samtidigt på ett boende för psykiskt funktionsnedsatta barm och ungdomar.
Den erfarenheten gör att jag framförallt tänker på de patienter och anhöriga som drabbats av 1177-skandalen men också på den vårdpersonal som till skillnad från digitaliseringsbyråkrater, ”visionärer” och ”evangelister” möter patienter.
De ska nu leva i oro över hur deras arbetsgivare hanterar den information som de i förtroende tar emot och där samtal från hjälpsökande patienter studsar vidare för hantering i Thailand.
Jag jobbade också i ett landsting under 90-talet då politiker, it-leverantörer och byråkrater gick in i en lustiger dans om digitalisering som var mycket lösligt kopplad till verksamhetsbehov.
Att försöka skjuta in frågor om informationssäkerhet eller kvalitet i informationshanteringen stämplades som närmast illojalt eller i bästa fall som tugg som man måste genomlida innan man gick vidare precis som förut.
Filifjonkan på bilden har inte bara med ångestridna patienter att göra utan också känslan av den annalkande katastrofen som hon symboliserar.
Det finns inget som är så lätt som att förutspå framtiden i efterhand.
Många är nu chockade och totalt överraskade över vad som framkommit om 1177 och dess underleverantörer.
Att försöka påpeka vikten av god informationssäkerhet vid digitaliseringen har som sagt varit ett arbete i stark motvind för att inte säga full stormstyrka i 25 år.
Ofta har den berättigade oron för den alltmer bristande säkerheten inom vård-it utmålats som ett Filifjonka-aktigt beteende och att varningarna för riskerna skulle ha lika litet med vår verklighet att göra som Filifjonkans permanenta ängslighet i Mumindalens idyll.
När det nu exempelvis framkommer att Region Värmland har anlitat en underleverantör för att hantera den extremt känsliga informationen i telefonrådgivning endast med dessa säkerhetskrav: Leverantören ska skydda sin information mot otillbörlig åtkomst och förstörelse i enlighet med gällande lagar, förordningar och föreskrifter.
Hur skyddet genomförs ska dokumenteras.
Leverantören ska på begäran kunna uppvisa denna dokumentation för landstinget.
Leverantören ska följa landstingets vid var tid gällande riktlinjer för informationssäkerhet.
ger det en indikation om hur relevant oron faktiskt var/är.
Observera att inga ytterligare krav ställts till exempel i form av en säkerhetsbilaga som förtydligar vad det är man vill ha, inte ens ett personuppgiftsbiträdesavtal i någondera riktningen finns.
Otroligt nog verkar hela den massiva hypen kring dataskyddsförordningen gått regionen förbi.
Med tanke på att hela härvan ännu inte är utredd ska jag, för att undvika förhastade slutsatser, inte kommentera alla juridiska och tekniska detaljer.
Enkla lösningar är det redan alltför många som kommer med.
Inte heller finner jag det meningsfullt att ägna mer tid åt den lyteskomik som svaren från de olika leden i leverans av telefontjänsten i 1177 gett utrymme för.
Istället ska jag försöka ringa något av det systemfel som ligger som grund för den uppkomna situationen.
Grundproblemet ligger i att vård-it i Sverige under trettio år har fått växa fram inte som en sammanhängande infrastruktur utan som en brädhög där olika aktörer kunnat lägga på sin egen bräda utan att behöva ta hänsyn till någon gemensam plan.
Detta skapar naturligtvis en låg grad av funktionalitet trots de enorma resurser som lagts på digitaliseringen men dessutom har det också skapar de oöverblickbara säkerhetsrisker som 1177-skandalen är ett av de mest flagranta exemplen på.
Den främsta säkerhetsrisken är att det i många fall är omöjligt att klarlägga ansvaret för säkerheten vilket med all önskvärd tydlighet framgår i fallet med 1177.
Intuitivt skulle nog de flesta säga att det största ansvaret ligger hos sjukvårdshuvudmännen, det vill säga främst regionerna/landstingen som i den svenska förvaltningsmodellen delegerats ansvaret för och där ansvaret definieras i hälso- och sjukvårdslagen: Med huvudman avses i denna lag det landsting eller den kommun som enligt lagen ansvarar för att erbjuda hälso- och sjukvård.
Inom en huvudmans geografiska område kan en eller flera vårdgivare bedriva verksamhet.
När det gällde hanteringen av information inklusive säkerhet var detta ansvar inte särskilt besvärligt att definiera på den tiden då landstingen också utförde den absoluta merparten av vården.
Då var journalerna allmänna handlingar som tillhörde landstinget och det också ställdes tydliga krav på hanteringen (ja, jag vet att det inte alltid funkade jättebra i verkligheten men jag rör mig nu på systemnivå).
I och med kommunalisering (ÄDEL) och privatiseringsvågen blev ansvaret otydligare.
Som en andra skänkel i saxen som klippte av tydligheten i ansvarsfördelningen fungerade rörelsen mot alltfler samarbeten mellan landsting som exempelvis Sjunet och de nationella tjänsterna.
Det är här jag menar att juridiken inte hängt med, inte genom att ställa krav på integritet i det nya landskapet.
Det juridiska ansvaret läggs nämligen främst på vårdgivaren: Med vårdgivare avses i denna lag statlig myndighet, landsting, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet.
Vårdgivaren kan vara vilken aktör som helst som bedriver någon form av vård, till exempel Medhelp.
Denne har också ansvaret för informationssäkerheten vilket mycket specifikt beskrivs i Socialstyrelsens föreskrift med regler för vårdens Problemet är bara att den mest säkerhetsmedvetne vårdgivaren ändå inte kan hålla sig för sig själv utan måste fungera i brädhögen av oklara ansvar eftersom man till exempel med nödvändighet måste använda bland annat nationella tjänster.
I och med detta faller alla de många goda råd som även säkerhetsexperter av olika dignitet framfört de senaste dagarna om att det bara är att ha tydliga upphandlingsrutiner, följa upp krav o.s.v.
Inte ens dataskyddet faller ut som man skulle kunna tro när man läser i avtalet mellan Region Stockholm och Medhelp och ser att regionen är personuppgiftsbiträde åt Medhelp och inte tvärtom….
Det som måste understrykas är att den digitala världen inte bygger på bilaterala relationer utan på multilaterala och att vi saknar verktyg att hantera den nya situationen.
Även trogna gamla kämpar som tillsynsvapnet riskerar att bli tandlöst eftersom tillsynen gäller enskilda organisationer.
Att skapa ansvarsförhållanden och möjlighet till ansvarsutkrävande avpassade för multilaterala infrastrukturer bedömer jag som den mest fundamentala säkerhetsåtgärden för vård-it.
Detta är inte något som en enskild vårdgivare kan ta ansvar för utan måste byggas upp på nationell nivå.
Tyvärr har denna grundläggande förutsättning totalt negligerats i de utredningar om e-hälsa som genomfört under senare år.
Mer om de moderna strukturerna finns att läsa i den nyligen utkomna antologin .
Ansvaret är alltså idag osynkroniserat med den nationella informationsinfrastrukturen och även med den tekniska infrastrukturen.
Ändå tror jag det är viktigt med ett ansvarsutkrävande.
Tyvärr kommer nog inte Region Stockholms innovationsregionråd ta sitt ansvar och avgå, inte heller hans motsvarigheter i Region Värmland och Sörmland.
SKL:s programansvarige för e-hälsa kommer att på motsvarande sätt skjuta ansvaret ifrån sig och Inera har snabbt varit ute och sagt att de går skuldfria ur denna förödande situation.
Tyvärr, inte för att vi behöver ett melodramatiskt utspel som när Toyota-chefen gråtande bad om ursäkt för sina fel eller syndabockar, men för att ge en reboot för vård-it.
Om ett antal digitaliseringspotentater inom vården åtminstone hade omdömet att säga: ”jag har villigt tagit emot all cred för att framstå som nyskapande och innovativ, nu tar jag lika villigt mitt ansvar när det visar sig att vi kört totalt fel inom e-hälsoområdet.”.
Detta vore en mycket viktig signal att vi nu inte ska fortsätta som förut utan gå in i en ny tid.
Det jag skriver ovan kan nog de flesta hålla med om på någon nivå men varför ser det då ut som det gör?
Jag skulle vilja hävda att det inte enbart beror på inkompetens utan i lika hög grad på attityd, möjligen arrogans.
Detta är en något nedslående tanke för sannolikheten för att kunna omvandla inkompetens till kompetens är större en att rå på decennier av negativ säkerhetskultur.
Jag förstår att det är mycket behagligare att ständigt mana framåt och inte hänga upp sig på problem och hinder.
I 1177-skandalen är patientens integritet som allvarligt skadats vilket är ett värde som talföra debattörer inom digitaliseringen och e-hälsa till och med i många sammanhang förnekat.
Den bristande samordningen kan också ses som ett resultat av SKL:s framgångsrika arbete som lobbyorganisation.
SKL är en intresseorganisation för regioner och kommuner som arbetsgivare och har med stor frenesi hävdat det kommunala självstyret inom hälso- och sjukvård.
Varje försök till styrning från staten nagelfars och min bedömning är att staten efter nedmonteringen av Socialstyrelsen inte ens har möjlighet till en effektiv myndighetsstyrning vilket lämnat fältet ännu mer fritt för SKL.
Ur ett samhällsperspektiv har det även lett till en starkt minskad insyn eftersom SKL, trots att man är helt finansierad av offentliga medel, inte lyder under offentlighetsprincipen.
Vad som pågår inom SKL och vilken agenda som drivs är därför svårgenomträngligt.
Under den tid jag jobbade på MSB och, bland annat inspirerad av den norska lösningen Normen, försökte få till en styrning bättre avpassad till de multilaterala relationerna fick jag ofta känna av SKL:s maktanspråk.
Ärligt talat så var intresset inte särskilt stort ens i min egen myndighet och inte heller i de andra myndigheter som hade uppdrag i någon form som påverkade säkerhetsaspekterna i vården.
Men var det ett svalt umgänge i myndighetssfären så var SKL:s engagemang i frågan på nollpunkten.
Mitt käcka erbjudande om att MSB skulle kunna samordna och tillföra väsentliga resurser och kompetens för att göra den så skakiga informationssäkerheten i vården bättre möttes mycket kallsinnigt.
Budskapet var att detta var en uppgift som regionerna kunde klara själva (med SKL:s hjälp) och att myndigheter inte hade i territoriet att göra.
Själv kände jag mig som en ovälkommen budbärare från de många medlemsorganisationer som satt med sin usla säkerhetssituation utan reell möjlighet att göra något åt den.
Med ett avancerat tjat lyckades det till slut att få SKL att skriva under den gemensamma strategi som jag tagit fram som underlag och som nu litet patetiskt ligger kvar på MSB .
Någon gemensam styrning á la Normen är lika fjärran som då strategin skrevs.
SKL har alltså haft alla möjligheter att själva ta fram de stöd som så väl skulle behövas i deras medlemsorganisationer.
Så har inte skett förutom det tveksamma verktyget för informationsklassning som jag skrivit om Något gemensamt regelverk för att hantera den multilaterala ansvarssituationen inom vården kan jag fortfarande inte hitta på SKL: s webbsida.
Intressant nog har ju inte SKL något formellt ansvar för informationssäkerheten i vården eftersom man är en intresseorganisation och kommer säkerligen inte att påta sig något sådant nu heller.
När nu nästa trend är AI i vården blir man inte direkt lugnare, särskilt inte när SKL:s programansvarige för e-hälsa ifrågasätter lagstiftningen snarare än ansvarskänslan hos införarna som .
I mina dystrare stunder tror jag vi nått vår kollektiva inkompetensnivå där vi ska skapat ett it-monster som ingen längre kan styra.
Vi har en situation med i princip outtömliga tekniska möjligheter promotas av aggressiva leverantörer.
Tekniken möter en omogen organisationsstruktur där verklig styrning ersatts av fritt spelrum för särintressen.
Till detta kommer den bristande självinsikten om att det är så här det ser ut och den negativa säkerhetskulturen inom vården.
Och slutligen juridik och företrädare för informationssäkerhet som fortsätter att leverera lösningar gjorda för enstaka organisationer eller möjligen bilaterala relationer vilken inte är till någon större hjälp i den dagens multilaterala arkitekturer.
Självklart kan vi inte ge upp utan istället ställa oss frågan hur vi kan genomföra de absolut nödvändiga förändringar som skulle göra vård-it till en seriös verksamhet.
Här vill jag anslå en ny ton för att markera att detta är mycket komplexa frågor som vi idag i huvudsak saknar svar på.
Det är inte enkla förbättringar av upphandlingsrutiner som kan leda framåt utan förändringar av en helt annan dimension som är nödvändiga.
Det är inte beställningar mellan kund och leverantör som är det verkliga problemet utan beställningen från regeringen till sjukvårdshuvudmännen som inte fungerar där sjukvårdshuvudmännen som leverantörer inte klarar av att skapa en säker vård-it.
Mina förslag, som jag inte när något större hopp om att de kommer att anammas, är att likna vid ett undantagstillstånd.
Det kan tyckas dramatiskt men allvaret i situationen kräver extraordinära åtgärder .
Parallellt med åtgärderna bör även en attitydförskjutning initieras där vi slutar se digitalisering som ett självändamål utan blir förmögna att ta in olika perspektiv som till exempel säkerhet.
Utgångspunkten bör också att det är en nationell struktur som ska byggas och förvaltas där de gamla organisationsgränserna inte längre får sätta käppar i hjulet.
Här kan man ana att en del integritetsnihilister vädrar morgonluft men bedra er inte; målet är att stärka integriteten, inte nedmontera den ytterligare!

endast för min vård, den uppföljning är lagstadgad och tydligt definierad administrativ hantering utöver ovanstående även akademisk forskning där resultaten kommer samhället till del utöver ovanstående även akademiskt forskning i kommersiell regi för kommersiellt bruk oavsett bransch Sverige måste förstå att digitalisering inte är en lyxprodukt utan en kärnverksamhet.
En strategisk fråga blir att lyfta fram de förändringsagenter som finns ute i verksamheterna och helt enkelt vända på bevisbördan.
Det ska inte längre vara så att det är den som vill förändra som måste förklara sig utan snarare den som vill bevara det gamla.
Hur många av er upplever att juridiken stimulerar och möjliggör digitaliseringsresan inom hälso- och sjukvården?
Digitalisering skapar mervärde Man behöver förändra helheten – inte bara småändra i marginalen.
Då är risken att man lägger all kraft på en enskild lösning och inte på att förändra det som verkligen ger effekt Möt innevånaren/patienten tidigt genom digitala arbetsmetoder Inför ett moratorium inom vård-it och inför inte några nya lösningar som inte är absolut nödvändiga.
Gör en heltäckande genomgång av säkerhetsbristerna inom den svenska vård-it.
Stärk Socialstyrelsens roll i förhållande till sjukvårdshuvudmän vårdgivare när det gäller vårdens informationshantering.
Detta bör även gälla myndigheter som främst ska leverera e-tjänster som E-hälsomyndigheten.
Utred hur ansvarsförhållandena för informationshanteringen i vården ser ut och hur de borde se ut.
En central fråga är det reella ansvarsutkrävandet.
Säkerställ att även det långsiktiga behovet av vårdinformationen beaktas, både den enskilda patientens behov och samhällets behov av informationen för forskningsändamål.
Ta fram en strategi och en arkitektur för den nationella nivån som inte bara är fluff.
Ta fram en gemensam styrmodellvården och låt den förvaltas av myndigheter – inte av intresseorganisationer eller utförare i första hand.
Skapa ett ackrediteringssystem för anslutning till den nationella arkitekturen.
Skapa verktyg för systematisk uppföljning av informationssäkerheten inom vård-it och lita inte på att tillsyn av enskilda organisationer skapar säkerhet.
Utveckla utbildningar för de somen i vården.
Utveckla ett forskningsprogram för informationssäkerhetsstyrning i miljöer med multilaterala ansvarsförhållanden.

Folkviljan utövas genom inom en varför förutse all

Meny Regioner (landsting) Inläggsnavigering

MENU MENU Postat av Postad i , , , , , Tagged , , , , , , Postat av Postad i , , , Tagged , , , Postat av Postad i , , , , Tagged , , , Postat av Postad i , , , , , , Tagged , , , , , Postat av Postad i , , , , , Tagged , , , , , Postat av Postad i , , , , Tagged , , , , Postat av Postad i , , , , Tagged , , , , , , Postat av Postad i , , , , , Tagged , , , , , Postat av Postad i , , , , , Tagged , , , , Postat av Postad i , , , , , Tagged , , , , , , ← Sök efter:

Konsulterna vårdresultat/kostnad=värde The Age of Surveillance Capitalism Järnvägsresandets historia

Den minnesgode kommer ihåg att jag tyckte det saknades några frågor vid den öppna utfrågningen i riksdagens försvarsutskott om cybersäkerhet för ett par veckor sedan.
För att inte bara planlöst gnälla ska jag formulera några av de frågor jag själv skulle ställt i rollen som en hyfsat insatt folkvald ledamot i försvarsutskottet.
Rollen kräver ju en något mer nobel approach än den som småaktig bloggare.
Jag kommer därför naturligtvis inte att ställa tråkiga frågor som vad cybersäkerhet betyder eller vad det är för värden på axlarna på MSB:s bild över utvecklingen av digitalisering respektive cybersäkerhet även om jag grubblat över detta sedan jag såg den.
Jag ska heller inte göra banala zingers av typen ”här ser vi hur man försöker lösa morgondagens frågor med gårdagens lösningar.”.
Istället kommer jag att försöka ställa fem övergripande frågor som jag menar är av betydelse för samhället och inte bara för samhällets säkerhet.
– Herr ordförande, vi har nu fått en genomgång av ett statsråd och fyra myndighetsföreträdare.
Tyvärr kan inte genomgången ha lett till en bra helhetsbild av frågan.
Varje myndighetsrepresentant har presenterat sin myndighets perspektiv på ett sätt som får åhöraren att känna sig som på toppen av ett utsiktstorn där det bara är möjligt att beskåda utsikten genom fyra fastlåsta och begränsade kikare.
Själva vyn är osynlig genom dessa tunnlade perspektiv.
När vi som folkvalda får en presentation där cyberförsvar, säkerhetsskydd, samhällsviktig verksamhet, och den vardagliga informationssäkerheten presenterade som helt separerade spår är det lätt att förstå den vanmakt som många aktörer som förväntas göra något i praktiken känner.
I NISU-utredningen 2015 var det första åtgärdsförslaget för att förbättra informationssäkerheten att utveckla en nationell styrmodell för informationssäkerhet: En nationell styrmodell för informationssäkerhet består av ett antal komponenter som måste utvecklas och förvaltas över tid.
En del är ett sammanhållande regelverk som innehåller olika nivåer av reglering under föreskriftsnivån, det vill säga en regelhierarki som motsvarar ett ledningssystem inom en organisation.
Förutom de resurser som krävs för att utveckla och förvalta styrmodellen krävs en lösning för anslutning och efterlevnadskontroll som löpande samordnas med andra intressenter.
I detta ligger också omfattande utbildningsinsatser.
I styrmodellen är informationsklassning den mest omfattande aktiviteten som går från processorienterad informationskartläggning via själva klassningsmomentet till utvecklade gemensamma skyddsnivåer.
För att skyddsnivåerna ska kunna fylla sin funktion krävs omfattande insatser av både egen och extern kompetens inom områdena administrativ, fysisk och it-inriktad säkerhet.
Slutligen förutsätter en nationell styrmodell en väl utvecklad kunskapsstyrning.
Kunskap kan i detta sammanhang röra sig om kunskap om metoder men i ännu högre grad om att kunna ge ett vederhäftigt underlag för en styrning utifrån risk.
Det innebär att kunna förmedla en uppdaterad riskbild och att samtidigt kunna förmedla stöd för riskreducerande åtgärder.
Behovet av en nationell styrmodell förefaller större än någonsin, inte minst sett i perspektivet av att försöka samordna digitalisering och säkerhet.
Min fråga till statsrådet är därför var detta förslag hamnat.
En följdfråga till myndighetsföreträdarna är om det är omöjligt att utan ett formellt uppdrag från regeringen börja samarbeta på ett sätt som leder till konkreta samordnade stöd för – Herr ordförande, två konkreta frågor angående molntjänster.
I efterdyningarna av skandalen vid Transportstyrelsen har molntjänster blivit en huvudfråga för regeringen när det gäller säkerhet.
Samtidigt vet vi att molntjänster redan används i stor omfattning av svenska myndigheter, kommuner och regioner/landsting, att de ger effektiva lösningar och i många fall bättre säkerhet än om verksamheterna själva skulle drifta och förvalta i egen miljö.
Många av de tjänster som idag finns även som applikationer för egen förvaltning kommer snart enbart att finnas som molntjänster.
Samtidigt är det svårt för Söpple kommun att ställa krav på Microsoft och Google angående säkerhet och integritetsskydd.
En lösning som skulle kunna ge både bättre säkerhet och nödvändig effektivitet var om svenska staten på samma sätt som den tyska sluter ett gemensamt avtal med några av de stora jättarna.
Jag förstår problematiken när det gäller konkurrensfrågor m.m.
men vill ändå ställa frågan om detta är något regeringen överväger eller om varje kommun och myndighet även fortsättningsvis ska försöka lista ut om det är juridiskt korrekt att använda Office 365 samt ta fram sina egna avtal.
Jag skulle också vilja fråga om den ändring som redan skett, nämligen att SÄPO och Försvarsmakten tilldelats en vetorätt när det gäller utkontraktering av information från säkerhetskänslig verksamhet.
Detta ställer ju ansvarsprincipen på ända och jag funderar i detta sammanhang om regeringen ser framför sig även andra förändringar i denna grundpelare i svensk förvaltning.
Vem tar ansvar för verksamheten i det här fallet – SÄPO eller verksamhetsledningen?
-Herr ordförande, under dagens presentationer är det lätt att få föreställningen att säkerhet är ett enkelt och entydigt begrepp samt att säkerhetsåtgärder alltid är obestridligt ”goda”.
Den som ägnat minsta tanke åt detta och kanske dessutom kanske ändå studerat lite samhällsvetenskap, historia eller filosofi vet naturligtvis att så inte är fallet.
Säkerhet existerat alltid i en relation till andra värden.
En supersäker lösning som skulle förhindra alla brott vore att låsa in alla medborgare och slänga bort nyckeln för att dra frågan över det löjligas gräns.
Samtidigt måste jag som folkvald naturligtvis beakta de olika intressen som finns i samhället och som delvis står i konflikt med ”säkerhet”.
För mig framstår det som det finns tre värden som ständigt kommer i konflikt med den renodlade säkerheten; effektivitet, demokrati och individens integritet.
I digitaliseringssträvandena ligger önskan om effektivitet.
Demokrati i den form vi känner den är ett centralt element insyn och delaktighet.
Övervakning är per se en inskränkning i integritet.
Jag hörde ingen av talarna ta upp dessa konflikter och ställer därför frågan om myndighetsföreträdarna ser det som liggande utanför sitt uppdrag att även ta hänsyn till denna typ av aspekter.
Det är i så fall viktigt att veta eftersom utgångspunkten då måste vara att myndigheterna agerar som ”säkerhetsnördar” och de övriga perspektiven måste tillföras från annat håll innan beslut tas i viktiga frågor.
– Herr ordförande, jag tror vi alla är överens om att det finns ett stort behov av att utveckla informationssäkerheten i Sverige.
En absolut vital förutsättning för att kunna göra det är att det finns tillgänglig kunskap och kompetens på olika nivåer.
Min bedömning är att detta behov är skriande idag alltifrån den vetenskapliga nivån till att det saknas tusentals informationssäkerhetsansvariga företag, kommuner, landsting och myndigheter.
Detta leder till att vi inte vet vad vi ska göra för att faktiskt vara effektiva och att det saknas operativ förmåga att bedriva det säkerhetsarbete som åläggs olika aktörer.
Situationen kommer knappast att förbättras av sig själv eftersom det idag endast finns en handfull utbildningsplatser per år för att utbilda kompetenta informationssäkerhetsansvariga.
Många av de som idag är informationssäkerhetsansvariga (eller kallar sig certifierade och informationssäkerhetsexperter) saknar helt utbildning inom området.
Fortbildningsbehovet är därför oerhört stort.
Ytterligare en aspekt är att kunskapsuppbyggnad bygger på ett kritiskt tänkande och en öppen dialog.
Ett intryck från säkerhetsområdet är att det ofta präglas av en tystnadskultur och en anti-intellektualism.
Detta bygger, tror jag, på tradition, på att det saknas arenor för ett intellektuellt utbyte i säkerhetsfrågor och på att en osäker profession sluter sig inom sig själv i kotterier.
För att komma vidare och hitta den goda säkerhetskulturen som skapar kunskap och insikt även på den nationella nivån krävs insatser även från myndigheterna.
Min fråga är hur det stora kunskaps- och kompetensbehovet ska tillgodoses och hur myndigheterna kan verka för en god säkerhetskultur med kritiskt tänkande även i de nationella sammanhangen.
– Herr ordförande, en sista fråga.
I de presentationer vi tagit del av lyfts diverse försumligheter och bristande medvetande hos samhällets aktörer fram.
Däremot sägs mycket litet om och i så fall hur myndigheterna med särskilt ansvar för säkerhet bedriver en systematisk utvärdering av sina egna insatser.
Utvärdering är ju en grundläggande aktivitet i ett systematiskt arbetssätt och det finns därför anledning att anta att denna kvalitetshöjande mekanism måste vara inbyggd i myndigheternas verksamhet.
Detta framgår dock inte i de årsredovisningar jag tagit del av och inte heller i dagens presentationer.
Därför skulle jag vilja ställa frågan om den bristande säkerheten alltid är någon annans fel eller om det är möjligt att myndigheterna sett anledning att även förbättra sina egna insatser?
En mig närstående berättade att biblioteket där hen jobbar har en dystopihylla på barn- och ungdomsavdelningen.
Så populär är den dystopiska genren för barn att den kräver en egen hylla.
Jämfört med den yviga diskussionen om tysthetsnormen på bibliotek känns det här som en viktigare fråga för mig: varför har dystopin blivit ett så dominerande narrativ, så dominerande att även barn måste få en rejäl dos av dyster framtid?
Det är alltid svårt att bedöma sin nutid men detta är bara ett tecken på att vi för närvarande lever i en tid av ett ökande materiellt välstånd, längre livslängd, ett minskat terrorhot (i alla fall i Europa) och, sett i ett längre perspektiv, färre konflikter men med en känsla av att vi vandrar på avgrundens rand.
Egendomligt nog är oron i mindre grad riktad mot reella hot som klimatsituationen.
Undersökningar liknande den ger en ganska entydig bild av den bristande tilltron till framtiden bland unga.
Flera av senare tids mest populära serier som The handmaids tale (som bygger på min gamla favorit Atwoods bok) är också dystopier.
Inte bara barnen utan även vuxna antingen får sin redan dystra världsbild bekräftad eller influeras till en sådan via masskulturen.
Den dystopiska världsbilden fördystrar inte bara den enskilda människans liv utan avspeglar ett samhälle av rädda människor.
Att rädda människor är mer lättstyrda och mer beredda att underordna sig starka ledare som säger sig kunna erbjuda skydd är väl utforskat, bland annat av Zygmunt Bauman i verk som den Flytande rädslan.
Det förenande kännetecknet för dystopierna är ett auktoritärt styre vilket känns aktuellt även utanför fiktionens värld.
Kanske kan den skräck vi känner för de fiktiva tyrannierna i allt från Harry Potter till vuxenlitteratur omvandlas till en kraft för att förhindra auktoritära tendenser i verkligheten.
Efter att ha läst Timothy Snyders On tyranny, en kort bestseller med hög densitet, funderar jag över om dystopierna på ett olyckligt sätt medverkar till att vi accepterar auktoritära tendenser som oundvikliga.
De auktoritära tendensernas återkomst riskerar att urholka demokratin och på sikt leda till tyranni.
On tyranny beskriver faktorer som historiskt sett har berett vägen för tyranni och vad en ansvarsfull individ kan göra för att motverka att dessa faktorer får genomslagskraft.
Exemplen är hämtade dels från nazismens genombrott i Tyskland, dels det sovjetiska tyranniet.
On tyranny ger uppmaningar som att slå vakt om språket, om sanningen, om institutionerna, om integriteten, om yrkesetik och om att våga stå för en egen åsikt.
Börjar vi ge vika och kompromissa eller, ännu värre, agera som en del i den kraft som vill underminera demokrati, öppenhet och integritet så kan en snabb förflyttning ske till ett auktoritärt styrelseskick.
Exempel på rörelser i den riktningen finns i flera europeiska länder idag och det finns ingen anledning att tro att Sverige skulle vara immunt.
Det kan förtjäna att understrykas att förflyttningen mot auktoritära styren i dagens Europa i huvudsak varit interna angelägenheter och jag tänkte därför i detta sammanhang inte fokusera på vår stora stygga granne i öst utan på vad vi kan göra själva.
En möjlig slutsats utifrån den historiska erfarenheten är att ett samhälle som genomsyras av tillit är det som har bäst motståndskraft mot auktoritära styren.
Vi bör alltså inte hålla ögonen öppna enbart för de auktoritära tendenserna utan även för förhållanden i samhället som antingen skapar eller eroderar tillit.
Den tillitsdelegation som Ardalan Shekarabi tillsatt är sannolikt ett positivt steg i rätt riktning men otillräckligt eftersom målet för delegationens arbete är att ”styrningen av den offentliga förvaltningen i högre utsträckning ska baseras på ”.
Det handlar i huvudsak om saker som att föreslå nya styrmodeller i den offentliga förvaltningen som kan ersätta New public management-modeller som visat sig tämligen destruktiva, d.v.s.
tillit i förhållandet mellan regeringen och myndigheterna istället för detaljerade och mätbara kontrollprogram.
Mycket bra självklart men som sagt otillräckligt för att skapa tillit hos innevånarna i förhållande till staten eller samhället i ett vidare perspektiv.Ändå ska inte verkligen inte myndigheters roll som samhällsbärande institutioner underskattas.
Här finns ett samspel mellan att myndigheterna måste göra sitt yttersta för att få förtroende men också att medborgarna, media och debattörer accepterar ett ansvar för myndigheters och andra institutioners möjlighet att fungera.
En uppfordrande maning från Snyder som känns omodern i dagens skräniga politiska klimat är att vi måste försvara våra institutioner: It is the institutions that helps us to preserve decency.
Det här är naturligtvis ett något obekvämt perspektiv, vana som vi är att få gnälla på allt.
Jag är dock beredd att köpa Snyders resonemang och ska själv försöka komma bort från slentriangnällandet och bli mer konstruktiv.
Min övertygelse om att detta är viktigt stärktes då jag häromdagen läste en terrorismforskare hundvissla om att ”Sverige” accepterar att kriminella spränger polisbilar.
Med Snyders text färsk i minnet gjorde jag en ansträngning för att se något som helst positivt i att hen utnyttjar sin stora plattform för att göra den här typen av utspel som knappast har med verkligheten att göra.
Jag kan inte se någon sådan positiv effekt – bara att tilliten i samhället minskar.
Det måste dock poängteras att försvara institutioner som sådana inte innebär att de inte får kritiseras.
Tvärtom måste ett ständigt förbättringsarbete pågå men det måste ske med respekt för institutionerna som just institutioner.
Om vi kan vara överens om premissen att tillit är en motkraft mot auktoritära synsätt så vill jag nu gå ett steg längre och säga att vi som arbetar med frågor inom informationshantering, säkerhet och integritet har en möjlighet att i någon liten mån påverka en förflyttning i rätt riktning.
Det kräver dock kulturförskjutning inom kåren mot ett arbete tydligare grundat i värderingar och även en uppgörelse med den anti-intellektuella och delvis auktoritära hållning som alltför ofta präglar synsätt och arbetsformer.
Vikten av att förankra säkerhetsåtgärder i värderingar innebär en förståelse av att ”säkerhet” inte har ett existensberättigande i sig själv utan måste vara kopplat till att utveckla och skydda värden i organisationen, och på samhällsnivå; värden för samhället.
De materiella värdena är enkla att identifiera men i förhållandet till tillit så är det, som jag uppfattar det, framför allt öppenhet, korrekthet och respekt för den enskildes integritet.
Att detta inte faller sig alldeles naturligt för alla som jobbar med säkerhet förstår jag utifrån att ha blivit kallad både integritetsextremist och öppenhetsfundamentalist (med viss glimt i ögat) av kollegor.
Och att göra sig fri från det anti-intellektuella handlar väsentligen om att erkänna att informationshantering och säkerhet befinner sig i ett territorium av ständiga dilemman där förmågan till relevanta problemformuleringar är helt central för att vara en positiv kraft.
I detta ligger naturligtvis även förmågan att tänka och att kunna ta till sig ny kunskap samt att inse att det inte finns absoluta sanningar.
Även här föreställer jag mig en ganska mödosam process för att utveckla kåren mot en mer ändamålsenlig kultur.
Låt mig ta några exempel på frågor där säkerhetsarbete kan stärka eller stjälpa tilliten.
Den mest näraliggande proberstenen är dataskyddsförordningen som träder i kraft i maj och vars syfte är stärka den personliga integriteten (och den gemensamma europeiska marknaden).
Vi är väl ett antal som både arbetat med informationssäkerhet och integritetsfrågor, t.ex.
som PUO, men min personliga erfarenhet är att integritet försätter många säkerhetsmänniskor i ett ambivalent tillstånd.
Å ena sidan finns det redan idag lagstiftning som ska skydda integriteten och som förutsätter att informationssäkerheten medverkar till detta, å andra sidan är åtgärder som olika typer övervakning centrala i säkerhetsarbetet.
Integritet och övervakning går inte att förena utan en djupare analys där det måste finnas en beredskap för att den övervakning som skulle vara eftersträvansvärd ur ett rent säkerhetsperspektiv inte går att införa på grund av den inskränker den personliga integriteten.
Den lagstiftning som redan finns angående integritetsskydd efterlevs i många fall inte.
Jag tror inte heller att lagstiftning är tillräckligt utan att relationen mellan värderingar och lagstiftning är mer komplex än vad som framskymtar i dessa mycket seniora jurister .
Värdering och lagstiftning är helt enkelt inte synonymt (för att ta det mest slitna exemplet otrohet som inte är förbjudet men som det finns en stark värdering kring).
För att kunna hantera det återkommande dilemmat mellan integritet (som lagstiftningen kräver) och övervakning måste man ha stöd i värderingar, att verkligen bottna i att integritet är ett viktigt värde och själv aktivt verka för att förbättra den.
Lyckas man med det bidrar man till tilliten inte bara genom att slå vakt om integriteten utan även genom att på ett seriöst och öppet sätt visa att världen inte är svart-vitt utan kräver avvägningar och kompromisser.
Integritet har en tendens att frammana svart-vita resonemang och dessutom märkliga motsatsförhållanden som leder tanken fel.
Jag har tidigare skrivit om den falska dikotomi (ett argumentationsfel där det förutsätts att det bara finns två alternativ, men där det egentligen skulle kunna vara så att båda dessa alternativ är falska eller att dessa inte behöver utesluta varandra) som använts när det gäller integriteten i sjukvården.
Där har nu under 25 år patientsäkerhet ställts mot integritet trots att det är fullt möjligt att uppnå både och.
Denna falska motsättning har upprätthållits av sjukvårdens makthavare på olika nivåer och av programvaruleverantörer och är märkligt seglivad och reproduceras i alla sammanhang rörande digitalisering och e-hälsa, explicit och implicit.
Ett nytt exempel på detta är den rapport som Myndigheten för vård- och omsorgsanalys publicerade i . Rapportens syfte är att beskriva till vilket man haft stöd i enkätundersökning.
Trots den goda intentionen att ta reda på befolkningens inställning till tillgången till vårduppgifter menar jag att man hamnar i ett etiskt moras när man läser enkätens beskrivning av verkligheten och de frågor som respondenterna förväntas besvara.
Ett exempel på bakgrund: Sjukvårdspersonal har inte alltid tillgång till dina journaler som förts på andra vårdenheter.
Till exempel kan det vara så att läkaren på din vårdcentral inte kan se journalen från specialistläkare som du träffat på sjukhus.
Nu tas initiativ för att se till att olika vårdenheter ska kunna se varandras journaler, så att den vårdpersonal du träffar har tillgång till viktig information om dig.
Det är bara personal som deltar i vården av dig eller som på andra sätt behöver uppgifterna för sitt arbete som har rätt att läsa din journal.
Men detta kan ändå medföra en ökad risk att personal som inte har rätt till det läser dina uppgifter.
Redan beskrivningen sätts förutsättningen att patienten måste gå med på en ökad risk för obehörig åtkomst för att få den självklara nyttan av att behöriga vårdgivare ska få rätt underlag för sin behandling.
Samtidigt beskrivs den obehöriga åtkomsten som ett undantag Andra studier och källor pekar emellertid på att hanteringen av digitala hälsouppgifter inte alltid lever upp till dessa förväntningar på säker hantering.
trots att det är väl känt inte minst genom Datainspektionens försorg att personal som inte alls behöver det har tillgång till känslig information i sjukvården är regel idag, inte ett undantag.
När respondenten får frågor som om gissar jag att flertalet förutsätter att det endast är personal som aktivt deltar i respondentens vård som avses.
Den falska dikotomin finns ständigt som en bakgrund som när man i intervjuerna frammanar en situation på liv och död: Anser du att all vårdpersonal som du kommer i kontakt med bör kunna se (allt) ditt journalinnehåll?
a. Vilka uppgifter anser du bör vara synliga – om något – för vårdpersonal på till exempel akutmottagningen?
istället för att fråga om respondenten anser att alla inom en region inklusive fotvårdsterapeuter bör få se din psykjournal.
Min generella invändning mot rapporten, vid sidan om den falska dikotomin, är att den riktar hypotetiska frågor om specifika förhållanden där respondenterna med största sannolikhet har mycket litet kunskap som hur informationshanteringen sker, vårdens organisation och rådande säkerhets- och integritetsförhållanden.
En radikal tanke är att föreställa sig att enkäten utformats utifrån dagens verkliga situation med frågor som: Hur upplever du att tusentals anställda som inte alls deltar i din vård har tillgång till all vårdinformation och det heller inte finns rutiner för att i efterhand på ett rimligt effektivt sätt kontrollera eventuell felaktig åtkomst?
Detta innebär också en möjlighet att förändra information så att du riskerar allvarlig felbehandling.
Jag tror att den typen att frågor skulle ge en mer rättvisande bild av hur människor faktiskt bedömer sin önskan om integritet.
Svarsfrekvensen når inte upp till 30 procent vilket kan vara ett tecken på att många tilltänkta respondenter uppfattade sin förmåga att besvara frågorna som begränsad.
Det har inte utgjort något hinder för de slutsatser som presenteras i rapporten.
Jag kommer säkert att återkomma till den här rapporten då den trots sina brister och luddiga slutsatser med säkerhet kommer att användas i olika e-hälsosammanhang som ett stöd för lösningar med bristfälliga integritetskrav.
Ur ett tillitsperspektiv är det också negativt inte bara på det sätt som beskrivs i rapporten: Westins många studier har också påvisat ett starkt samband mellan graden av tillit till institutioner och inställningen till integritetsskydd.
utan också genom att institutionernas förmåga att värna den enskildes integritet påverkar tilliten.
Med den integritetssyn som signaleras i rapporten riskerar integriteten att påverkas i negativ riktning vilket i sin tur kan leda till en sänkt tillit.
Detta stärks ytterligare av den bild av verkligheten som ges inte rimmar med de granskningar av faktiska förhållanden som gjorts.
För mig blir detta ett dubbelfel sett med spaning på tillit: först de verkliga bristerna i sjukvården, därefter att de ignoreras.
Samma osäkerhet om vilken verklighet vi pratar om infinner sig lätt när det gäller säkerhetsåtgärder.
Ett uppenbart exempel är övervakningskameror.
Vetenskapligt finns det svaga för att övervakningskameror minskar kriminalitet utom då de placeras i parkeringshus.
Ändå lyfts övervakningskameror ständigt fram som ett sätt att visa handlingskraft, inte minst för att bekämpa brottslighet i utsatta områden.
Jag förutsätter att flertalet som argumenterar för fler kameror är väl medvetna om den bristande effektiviteten i åtgärden men av andra skäl ändå framhärdar i sin argumentation.
Som jag ser det leder ineffektiva säkerhetsåtgärder till en falsk trygghet eller till att själva säkerhetsåtgärderna ger belägg för att människor borde känna sig orolig eller till att alerta medborgare inser att de blir ”lurade” av myndigheterna.
Inget av dessa tre alternativ skapar en större tillit i samhället.
De bör dock få oss som arbetar med säkerhet att fundera över vilka direkta och indirekta konsekvenser vårt säkerhetsarbete kan få och att våga ifrågasätta den reella säkerhetshöjande effekten av olika åtgärder.
Avvägningen mellan integritet och vilket annat värde som helst behöver inte med nödvändigt leda till att vilket värde som helst är viktigare.
Den ambivalens som finns hos många säkerhetsmänniskor inför integritetsfrågorna finns i minst lika hög grad inför öppenhet.
Öppenhetens betydelse för samhällelig tillit är knappast ifrågasatt av någon och för svenska förhållanden finns det en stor mängd statsvetenskapliga studier om detta så jag finner det överflödigt att länka till någon enskild av dessa studier.
Den intresserade kan börja med Bo Rothstein och sedan gå vidare.
Sverige har ju också unika förutsättningar för att ge insyn i myndigheters verksamhet genom offentlighetsprincipen.
Även här finns dock ett glapp mellan lagstiftningen och de värderingar som myndigheter och enskilda tjänstemän har.
För att offentlighetsprincipen ska fungera i praktiken krävs en vilja att tillhandahålla information även om det kan leda till negativa konsekvenser för myndigheten.
Den kultur som finns inom säkerhetsområdet bär på ett arv där huvuduppgiften har varit att säkerställa att hemlig information inte blir tillgänglig för obehöriga.
Resultatet blir en osäkerhet som gör att sekretesstämpeln kommer fram för flitigt när det gäller säkerhetsrelaterad information.
Att möjligheten att sekretessbelägga information tillämpas i allt vidare utsträckning uppmärksammas av grävande journalister .
Öppenheten är basen för tillit men också ett viktigt verktyg för att kunna bedriva den källkritik som är nödvändig i ett klimat där falska nyheter och påverkansaktiviteter florerar.
Men även källkritik måste utgå från rimliga värderingar som ger tillit.
För mig som är danad i Lauritz Weibulls hårda källkritiska skola är det centralt att det källkritiska förhållningssättet tillämpas även på grunden för de egna utsagorna.
Om inte denna princip anses giltig uppfattar jag det som att vi tar ett steg mot den asymmetriska situation som råder under auktoritära regimer där enbart andra nationers påverkansförsök nagelfars medan utsagor som gynnar den egna ståndpunkten okritiskt anammas.
Tecken på sådana tendenser av överdrivet välvilligt mottagande har uppmärksammats av bland annat podden Mediespanarna rörande en undermålig rapport om rysk .
Problemet är att de som har det lovvärda syftet att avslöja rysk desinformation själva blir desinformatörer.
Det är dags att avrunda detta långa och pretentiösa inlägg med att komma några förhoppningar inför det nya året, förhoppningar som känns alldeles särskilt aktuella den här veckan då Folk och försvar drar i gång samtidigt som valåret inleds.
En första förhoppning är att vi alla har ett ansvar för att medverka till att skapa tillit i samhället.
Vi som arbetar med säkerhet bör låta vårt arbete styras av värderingar som skyddar öppenhet, integritet och demokrati.
Vi måste också våga ifrågasätta våra egna sanningar och tillämpa en systematisk källkritik där det också är tillåtet att ha fel.
Ta stöd i Timothy Snyders uppmaningar och se hur du kan omsätta dem i ditt arbete.
Läs och se dystopier men motverka att de förverkligas genom att vara extra vaksamma mot alla steg som går i en auktoritär riktning, som inskränker öppenhet och demokrati samt medborgarens möjlighet att hävda sina rättigheter även i förhållande till den egna statsmakten.
Undvik att gå in i starkt polariserade lägen som skapar falska dikotomier som att vi antingen är fullständigt naiva eller att ett storkrig står för dörren vilket legitimerar inskränkningar i öppenheten och andra demokratiska rättigheter.
Och var inte rädd, rädsla urholkar inte bara själen utan även samhället.
Oavsett vilken roll jag haft inom informationssäkerhetsområdet, informationssäkerhetschef, konsult eller byråkrat på nationell nivå, har ett behov varit lika uppenbart: behovet av ökad samordning och styrning.
Slutsatsen att det inte är möjligt för en enskild organisation att utveckla ett helt eget koncept för informationssäkerhet behöver knappast motiveras, särskilt när utvecklingen gått mot allt mer gränslösa integrationer av informationshanteringen.
En självklar grundsten för många av oss som arbetat länge med informationssäkerhet har varit ISO 27000 och dess föregångare och det har därför varit naturligt att peka på den som en naturlig utgångspunkt i den nationella styrningen.
Däremot har jag alltid uppfattat det som en mycket stor nackdel att standarden liksom trots att syftet är så stor spridning som möjligt är omgivna av avsevärda ekonomiska hinder.
För en stor statlig myndighet kan några tusenlappar tyckas vara småpengar men för en liten kommun eller mindre företag är det summor som inte är lika enkla att motivera.
Att rekommendera organisationer att införa ledningssystem för informationssäkerhet enligt standarden har därför innehållit en inneboende svårighet som kanske ändå går att överse med.
Jag har däremot varit betydligt mer tveksam till den direkta hänvisning som funnits till standarden i MSB:s föreskrift sedan .
Här sägs att myndigheter ska följa en föreskrift som inte är fritt tillgänglig vare sig för myndigheten eller för exempelvis medborgare som vill kunna ha insyn i myndighetens arbete.
Att inte kunna sprida innehållet i en av grundförutsättningarna för myndighetens arbete försvårar naturligtvis kommunikationen.
Ytterligare ett problem är att en myndighet med föreskriftsrätt föreskriver andra myndigheter att följa regler som man själv inte har kontroll över och dessutom snabbt kan göra föreskriften obsolet när de ändras.
Tyvärr följde detta krav med när föreskriften uppdaterades i form av krav på ISO/IEC 27001:2014 och ISO/IEC 27002:2014 ska ”beaktas”.
I dagarna har jag fått tips om ett beslut i Högsta domstolen (tack Carl-Arne!)
som ger mig stöd i min .
Här skrivs explicit: En grundläggande del av legalitetsprincipen får därför anses vara att författningar ska finnas tillgängliga för var och en i läsbar form utan något krav på betalning, och att detta gäller också för en standard som det hänvisas till i en författning.
Att myndigheten kostnadsfritt kan informera om vad som står i standarden anses inte upphäva denna bedömning.
Med Högsta domstolens beslut, om det befinns tillämpligt även i detta sammanhang, finns nu en möjlighet att utveckla den nationella styrningen så att den blir mer transparent och tillgänglig för alla.

alltid

Meny Demokratiaspekter Inläggsnavigering

MENU MENU Postat av Postad i , , , , , Tagged , , , , , , Postat av Postad i , , Tagged , , , Postat av Postad i , , , Tagged , , , → Sök efter:

Befolkningens inställning till nytta och risker med digitala hälsouppgifter Vad är din uppfattning om att olika vårdenheter får tillgång till varandras journaler?

Här kommer en summering av min diskussion med SKR angående ett eventuellt tillämpande av offentlighetsprincipen även inom SKR.
Jag inledde med ett i Dagens samhälle där jag försökte resonera angående varför det vore lämpligt att SKR skulle omfattas av offentlighetsprincipen.
De 3500 tecken som står till buds för en debattartikel omöjliggör naturligtvis en rättvis behandling av de frågeställningar som skulle behövas för en så komplicerad fråga som den jag lyfte.
Ändå tyckte jag än då att det tydligt i min artikel framgick att det finns ett antal skäl till varför SKR:s ställning som ”ideell förening” borde omprövas.
En resonerande inställning där olika argument prövas är dock inget som intresserar SKR.
Istället skickades föreningens VD för att ge ett .
Kanske det ändå inte blev så dräpande som önskat eftersom en hel del läsare (t.ex.
och och ) reagerade på SKR:s icke-svar och den attityd varmed det förmedlades.
Litet orolig blir man ju med tanke på att Isling rekryterats till SKR för .” Själv tycker jag att SKR ofta verkar lida av ett attitydproblem där tjänstemännen antingen uttrycker sig med viss arrogans eller inte alls då motiverade frågor ställs.
Isling är i detta fall inget undantag och är hans förhållningssätt ett exempel på den nya inriktningen för SKR bör man kanske sätta sig och titta litet på på kartan för att ta ut en annan riktning.
I min försökte jag visa att SKR har stora möjligheter att uppnå den öppenhet som Isling menar att man vill men inte kan (enligt honom) ha.
Jag pekar på paradoxen att Inera valt att frivilligt tillämpa öppenhet men inte SKR men det vilar en kanske en ännu större paradox i att SKR ska ge för att utveckla demokratin kommuner och regioner.
Den som ska ge stöd i demokratiutvecklingen borde rimligen vinna på att vara ett föredöme.
För att förstå SKR:s ställning måste man förstå kommunernas (inklusive landstingskommuners även om de kallar sig regioner) ställning i det svenska styrelseskicket.
Även om man ofta pratar om det kommunala självstyret är alla den makt och det inflytande som kommuner har en delegation från den centrala statsmakten.
Kommuners existensberättigande ligger framför allt i att de har en territoriell förankring, d.v.s.
de har en delegation för styrning av vissa frågor inom ett avgränsat geografiskt område samt beskattningsrätt för samma område.
Kommunerna ska alltså kunna utgöra en motpol till den nationella styrningen och tillgodose lokalsamhällets interna behov utan att först behöva passera den nationella nivån (mycket förenklat uttryckt).
Även i detta perspektiv är SKR något av en paradox.
Genom sin ständiga tillväxt och överförande av allt fler kommunala frågor till en nationell nivå så blir legitimiteten hos det kommunala självstyret i samma takt naggat i kanten.
Mitt intresse i debattartikeln var dock främst inriktat på informationshanteringen där information som i kommunerna hanteras enligt TF och OSL blir utslussad till en ideell förening som inte alls har samma krav på sin hantering av samma information.
Det gäller öppenheten där t.ex.
stora framtidsfrågor som digitalisering och e-hälsa beslutas helt utan insyn och medborgardialog.
Men det gäller även skyddet för känslig information som i ursprungskommunerna styrs av OSL.
Jag tänkte på det när jag läste om SKR gjort en stor enkätundersökning om informationssäkerhet i alla kommuner och började då fundera på hur denna känsliga information hanterades inom SKR.
Har de deltagande kommunerna slutit sekretessavtal med SKR och vilken information har de fått om hur informationen hanteras?
Jag läser också om SKR:s där det inte står ett ord om statistiksekretess.
Ytterligare en fråga där sekretessen är av central betydelse är civilt försvar där ett alltmer aktivt deltagande kommer att krävas av kommunerna.
Vilken information i dessa frågor är möjlig att lämna till SKR?
Det är möjligt att dessa frågor hanteras på ett utmärkt sätt men just i och med avsaknaden av tillämplig lagstiftning föreställer jag mig att behovet av avtal blir stort och något krångligt att administrera liksom att ansvarsförhållanden ständigt måste redas ut.
Jag ser en risk för något jag skulle vilja kalla ”trust by proxy”, d.v.s.
att man förutsätter att SKR har samma styrning som de ingående medlemmarna och därmed inte vidtar de skyddsåtgärder som är nödvändiga.
Om jag låter omotiverat misstänksam ber jag om ursäkt men bakgrunden är delvis att det är mycket svårt att få uppgifter om säkerheten inom SKR.
När jag exempelvis ställde en fråga för ett tag sedan om föreningen har en säkerhetsskyddschef fick jag till svar att de behövde man inte svara på eftersom man inte är en myndighet… Sammantaget tror jag man skulle ha mycket att vinna på att vara tydligare i dessa frågor och då inte bara visavi medlemmar.
Alla dessa viktiga välfärdsfrågor som SKR i allt högre grad hanterar så att de därmed försvinner från offentligheten är inte bara viktiga i nuet utan också för framtiden.
Tanken att framtida forskning inte kommer att ha ett grundmaterial att utgår från för att kunna förstå hur vitala offentliga frågor beslutats svider verkligen.
Att SKR inte har ett krav på sig att bevara och tillhandahålla denna information är en förlust för hela samhällsutvecklingen!
Som en liten julklapp till SKR kommer jag här med ett förslag på lösning på problemet så att SKR också kan bedriva verksamheten med den öppenhet man säger sig vilja ha.
Idag är man alltså en ”ideell förening” vilket känns aningen märkligt med tanke på verksamhet och finansiering.
Det gör att det i finns mycket litet av som påverkar hur verksamheten ska bedrivas vilket i och för sig gör det fullt möjligt att tillämpa TF och OSL på samma sätt som Inera beslutat göra.
Å andra sidan finns det en i mitt tycke betydligt mer stabil lösning, nämligen att SKR omvandlas till ett kommunalförbund som det beskrivs i . På det sättet skulle man både få en verksamhet som är effektiv, har reglerade styrformer och de krav på informationshantering som finns i medlemsorganisationerna.
Det skulle bryta den nuvarande rörelsen där delaktighet och insyn försvinner när betydelsen av frågorna ökar men också ge betydligt bättre grund för samarbete mellan stat och kommuner.
I annat fall undrar jag var gränsen för SKR som ideell förening går – hur mycket kommunala uppgifter kan en förening egentligen ta över?
Mottar tacksamt motargument mot omvandlingen till kommunalförbund eftersom för mig känns den lösningen ganska praktisk men säkert har jag förbisett några för andra självklara förutsättningar som talar emot en sådan lösning.
Trots min julklapp tror jag ärligt talat att intresset för att ens överväga övergång från förening till kommunalförbund är mycket svalt inom SKR, det är sällan de som har privilegier som arbetar för att ta bort dem.
Däremot är det en idé att försöka få igång en debatt i riksdagen vilket kan vara en målsättning för 2020.
Jag instämmer i din uppfattning om att SKR organisationsform vållar demokratiska problem och inte minst ställer till problem för dem själva.
Nej, jag har inga fler ”giftiga” julklappar på gång men jag skulle gärna vilja att fler engagerade sig i den något smala frågan om SKR:s organisationsform, det är mer förbryllande ju mer jag tänker på det.
Obligatoriska fält är märkta

Meny En julklapp till SKR Inläggsnavigering

Lämna ett svar

MENU MENU Postat av Postad i , , , Tagged , , , ← → En julklapp till SKR skriver: skriver: Din e-postadress kommer inte publiceras.